オリジナル問題
「ISO/IEC 15408 情報セキュリティ評価基準」に関する記述のうち、
不適切なものはどれか。
ア 情報技術に関連した製品のセキュリティの度合いを様々な観点
から系統的に評価できるようになる。
イ 開発企業は、安全性の高い製品やシステムを提供していること
を利用者にアピールできる。
ウ 情報技術セキュリティに関連した製品やシステムを開発者だけ
でなく、製品を導入・利用するユーザ、製品やシステムの評価者
も知っておきたい規格である。
エ 製品やシステムを利用する際のセキュリティ教育やセキュリテ
ィ監査といった組織や管理なども評価の対象となる。
解答
エ 製品やシステムを利用する際のセキュリティ教育やセキュリテ
ィ監査といった組織や管理なども評価の対象となる。
◇ISO/IEC 15408 とは。。。
「ISO/IEC 15408 情報技術セキュリティ評価基準」は、情報技術
セキュリティの観点から、情報技術に関連した製品およびシステ
ムが適切に設計され、その設計が正しく実装されているかどうか
を評価するためのセキュリティ基準です。
1999年6月にISO/IEC規格として承認されました。
また、2000年7月にはJIS X 5070として制定されました。
規定される内容は次の3つのパートで構成されています。
PART1:Introduction and general model(概説と一般モデル)
・セキュリティシステム構築のアプローチ
・PP:プロテクションプロファイル「セキュリティ要求仕様書」
・ST:セキュリティターゲット「セキュリティ基本設計書」
PART2:Security functional requirements(セキュリティ機能要件)
・STやPPを策定する過程において満たすべき機能要件
・11種類の機能要件がある
PART3:Security assurance requirements(セキュリティ保証要件)
・IT製品や個別システムにセキュリティ機能が実現されているこ
との保証を求める
・10種類の保証要件がある
・セキュリティレベル=EAL(Evaluation Assurance Level)1~7
がある
> ア 情報技術に関連した製品のセキュリティの度合いを様々な観点
> から系統的に評価できるようになる。
正しい記述です。
ISO/IEC 15408は、2つの要件から成り立つ要件集です。
・情報技術を用いた製品やシステムが備えるべきセキュリティ機能
に関する要件(機能要件)
・設計から製品化に至る過程で、セキュリティ機能が確実に実現さ
れていることの確認を求める要件(保証要件)
また、製品やシステムが機能要件をどこまで保証しているかを表す
尺度として、7段階の保証要件を定義しています。
> イ 開発企業は、安全性の高い製品やシステムを提供していること
> を利用者にアピールできる。
正しい記述です。
ISO/IEC 15408の評価、認証を受けることにより、以下の効果が得ら
れます。
・ユーザ企業は、認証製品を安心して利用できる。
・開発企業は、安全性の高い製品やシステムを提供していることを
利用者にアピールできる。
> ウ 情報技術セキュリティに関連した製品やシステムを開発者だけ
> でなく、製品を導入・利用するユーザ、製品やシステムの評価者
> も知っておきたい規格である。
正しい記述です。
製品やシステムを導入する際に、共通の基準で比較することが可能
となり、必要なセキュリティレベルに応じた適正なコストで運用や
管理を考慮することが可能となります。
> エ 製品やシステムを利用する際のセキュリティ教育やセキュリテ
> ィ監査といった組織や管理なども評価の対象となる。
不適切な記述です。
ISO/IEC 15408は、情報技術を用いた製品やシステムのセキュリティ
機能を対象としています。
ソフトウェアだけでなく、ハードウェア、ファームウェア、システ
ム全体も評価対象となります。
ただし、製品やシステムを利用する際のセキュリティ教育やセキュ
リティ監査といった組織上の運用や管理などは、使用上の前提条件
として扱われ、評価の対象とはなりません。
不適切なものはどれか。
ア 情報技術に関連した製品のセキュリティの度合いを様々な観点
から系統的に評価できるようになる。
イ 開発企業は、安全性の高い製品やシステムを提供していること
を利用者にアピールできる。
ウ 情報技術セキュリティに関連した製品やシステムを開発者だけ
でなく、製品を導入・利用するユーザ、製品やシステムの評価者
も知っておきたい規格である。
エ 製品やシステムを利用する際のセキュリティ教育やセキュリテ
ィ監査といった組織や管理なども評価の対象となる。
解説
難易度 ★★解答
エ 製品やシステムを利用する際のセキュリティ教育やセキュリテ
ィ監査といった組織や管理なども評価の対象となる。
◇ISO/IEC 15408 とは。。。
「ISO/IEC 15408 情報技術セキュリティ評価基準」は、情報技術
セキュリティの観点から、情報技術に関連した製品およびシステ
ムが適切に設計され、その設計が正しく実装されているかどうか
を評価するためのセキュリティ基準です。
1999年6月にISO/IEC規格として承認されました。
また、2000年7月にはJIS X 5070として制定されました。
規定される内容は次の3つのパートで構成されています。
PART1:Introduction and general model(概説と一般モデル)
・セキュリティシステム構築のアプローチ
・PP:プロテクションプロファイル「セキュリティ要求仕様書」
・ST:セキュリティターゲット「セキュリティ基本設計書」
PART2:Security functional requirements(セキュリティ機能要件)
・STやPPを策定する過程において満たすべき機能要件
・11種類の機能要件がある
PART3:Security assurance requirements(セキュリティ保証要件)
・IT製品や個別システムにセキュリティ機能が実現されているこ
との保証を求める
・10種類の保証要件がある
・セキュリティレベル=EAL(Evaluation Assurance Level)1~7
がある
> ア 情報技術に関連した製品のセキュリティの度合いを様々な観点
> から系統的に評価できるようになる。
正しい記述です。
ISO/IEC 15408は、2つの要件から成り立つ要件集です。
・情報技術を用いた製品やシステムが備えるべきセキュリティ機能
に関する要件(機能要件)
・設計から製品化に至る過程で、セキュリティ機能が確実に実現さ
れていることの確認を求める要件(保証要件)
また、製品やシステムが機能要件をどこまで保証しているかを表す
尺度として、7段階の保証要件を定義しています。
> イ 開発企業は、安全性の高い製品やシステムを提供していること
> を利用者にアピールできる。
正しい記述です。
ISO/IEC 15408の評価、認証を受けることにより、以下の効果が得ら
れます。
・ユーザ企業は、認証製品を安心して利用できる。
・開発企業は、安全性の高い製品やシステムを提供していることを
利用者にアピールできる。
> ウ 情報技術セキュリティに関連した製品やシステムを開発者だけ
> でなく、製品を導入・利用するユーザ、製品やシステムの評価者
> も知っておきたい規格である。
正しい記述です。
製品やシステムを導入する際に、共通の基準で比較することが可能
となり、必要なセキュリティレベルに応じた適正なコストで運用や
管理を考慮することが可能となります。
> エ 製品やシステムを利用する際のセキュリティ教育やセキュリテ
> ィ監査といった組織や管理なども評価の対象となる。
不適切な記述です。
ISO/IEC 15408は、情報技術を用いた製品やシステムのセキュリティ
機能を対象としています。
ソフトウェアだけでなく、ハードウェア、ファームウェア、システ
ム全体も評価対象となります。
ただし、製品やシステムを利用する際のセキュリティ教育やセキュ
リティ監査といった組織上の運用や管理などは、使用上の前提条件
として扱われ、評価の対象とはなりません。