戦国IT

情報処理技術者試験の無料過去問対策サイト

ホーム > 情報処理安全確保支援士試験 > 2015年 秋期

情報処理安全確保支援士試験 2015年 秋期 午前206

ISO/IEC 15408を評価基準とする“ITセキュリティ評価及び認証制度”の説明として、適切なものはどれか。
暗号モジュールに暗号アルゴリズムが適切に実装され,暗号鍵などが確実に保護されているかどうかを評価及び認証する制度
主に無線LANにおいて,RADIUSなどと連携することで,認証されていない利用者を全て排除し,認証された利用者だけの通信を通過させることを評価及び認証する制度
情報技術に関連した製品のセキュリティ機能の適切性、確実性を第三者機関が評価し,その結果を公的に認証する制度(正解)
情報セキュリティマネジメントシステムが,基準にのっとり、適切に組織内に構築、運用されていることを評価及び認証する制度

解説

ISO/IEC 15408を評価基準とする“ITセキュリティ評価及び認証制度”の説明【午前2 解説】

要点まとめ

  • 結論:ISO/IEC 15408はIT製品のセキュリティ機能を第三者が評価・認証する制度である。
  • 根拠:この規格は「共通評価基準(Common Criteria)」として知られ、製品のセキュリティ機能の適切性と確実性を評価する。
  • 差がつくポイント:暗号モジュールや無線LANの認証制度とは異なり、製品全体のセキュリティ評価に焦点を当てている点を理解することが重要。

正解の理由

選択肢ウは、ISO/IEC 15408(共通評価基準)に基づき、情報技術製品のセキュリティ機能の適切性と確実性を第三者機関が評価し、その結果を公的に認証する制度であると正確に説明しています。
この規格は製品のセキュリティ機能を客観的に評価するための国際標準であり、製品の信頼性を保証するために用いられます。

よくある誤解

ISO/IEC 15408は暗号モジュールの評価や無線LANの認証制度ではなく、製品全体のセキュリティ機能を評価するための基準です。
また、情報セキュリティマネジメントシステムの認証制度(ISO/IEC 27001など)とは異なります。

解法ステップ

  1. 問題文の「ISO/IEC 15408」をキーワードとして認識する。
  2. ISO/IEC 15408が「共通評価基準(Common Criteria)」であることを思い出す。
  3. 共通評価基準はIT製品のセキュリティ機能を評価・認証する制度であることを確認。
  4. 選択肢の説明と照らし合わせ、製品のセキュリティ機能評価に関する説明を選ぶ。
  5. 選択肢ウが最も適切であると判断する。

選択肢別の誤答解説

  • ア:暗号モジュールの評価はFIPS 140-2などの別規格が主であり、ISO/IEC 15408の説明としては不適切。
  • イ:無線LANの認証やRADIUS連携はネットワーク認証技術の話であり、ISO/IEC 15408の評価対象ではない。
  • ウ:情報技術製品のセキュリティ機能を第三者が評価・認証する制度として正しい。
  • エ:情報セキュリティマネジメントシステムの評価はISO/IEC 27001などのマネジメントシステム規格に該当し、ISO/IEC 15408とは異なる。

補足コラム

ISO/IEC 15408は「Common Criteria(共通評価基準)」とも呼ばれ、IT製品のセキュリティ機能を評価する国際標準です。
評価は複数の評価保証レベル(EAL1~EAL7)に分かれており、レベルが高いほど厳密な評価が行われます。
この制度により、製品のセキュリティ性能を客観的に比較・信頼できるようになります。

FAQ

Q: ISO/IEC 15408はどのような製品に適用されますか?
A: 主にIT製品全般のセキュリティ機能に適用され、OS、ネットワーク機器、ソフトウェアなどが対象です。
Q: ISO/IEC 15408とISO/IEC 27001の違いは何ですか?
A: ISO/IEC 15408は製品のセキュリティ機能評価、ISO/IEC 27001は組織の情報セキュリティマネジメントシステムの認証です。
関連キーワード: ISO/IEC 15408, 共通評価基準, ITセキュリティ評価, セキュリティ認証, EAL, 情報技術製品セキュリティ
← 前の問題へ次の問題へ →

©︎2025 情報処理技術者試験対策アプリ