CC(Common Criteria)

CC(Common Criteria)

 CC(Common Criteria、コモン・クライテリア)は、情報セキュリティ製品の評価基準を定めた国際標準です。CCは、情報セキュリティの要件を定義し、製品がそれらの要件を満たしているかどうかを評価するための手順を提供します。

 CCは、欧州の「ITセキュリティ評価基準」(ITSEC)とアメリカの「TCSEC」(Orange Book)を統合したものであり、その目的は、国際的な情報セキュリティ評価基準の標準化と相互運用性の確保です。CCは、情報セキュリティ製品が安全であることを証明するために使用され、公的機関、民間企業、およびその他の組織によって採用されています。

 CCは、製品の評価を7つのセキュリティ機能要件と7つの保証要件に分類しています。セキュリティ機能要件には、アクセス制御、認証、監査、暗号化、インターフェース、物理的な保護、およびセキュリティ機能の分離が含まれます。保証要件には、開発プロセス、製品の評価、製品の保護、およびサポートの継続性が含まれます。

 CCに基づく製品の評価は、独立した第三者機関によって実施され、評価レベルとして「EAL(Evaluation Assurance Level)」が設定されます。EALは、製品のセキュリティ要件を満たしているレベルを示しており、1から7までの7つのレベルがあります。レベルが高いほど、より高いセキュリティレベルを提供することが期待されます。

 CCは、世界的に信頼性が高く、安全であることが求められる情報セキュリティ製品にとって、非常に重要な基準となっています。また、CCは、情報セキュリティに関する研究や開発を推進することにも役立っています。