ホーム > 情報処理安全確保支援士試験 > 2022年 秋期
情報処理安全確保支援士試験 2022年 秋期 午前2 問09
IT製品及びシステムが、必要なセキュリティレベルを満たしているかどうかについて、調達者が判断する際に役立つ評価結果を提供し、独立したセキュリティ評価結果間の比較を可能にするための規格はどれか。
ア:ISO/IEC 15408(正解)
イ:ISO/IEC 27002
ウ:ISO/IEC 27017
エ:ISO/IEC 30147
解説
IT製品及びシステムのセキュリティ評価規格はどれか【午前2 解説】
要点まとめ
- 結論:IT製品やシステムのセキュリティ評価に関する国際規格はISO/IEC 15408である。
- 根拠:ISO/IEC 15408は「共通評価基準(Common Criteria)」として知られ、独立した評価結果の比較を可能にする。
- 差がつくポイント:ISO/IEC 27002や27017は情報セキュリティ管理の指針であり、評価基準ではない点を押さえること。
正解の理由
ISO/IEC 15408は、IT製品やシステムのセキュリティ機能を評価するための国際標準規格であり、共通評価基準(Common Criteria)として広く採用されています。この規格は、製品のセキュリティレベルを客観的に評価し、調達者が必要なセキュリティ要件を満たしているか判断できるように設計されています。さらに、異なる評価機関による評価結果の比較を可能にするための共通の枠組みを提供しているため、独立した評価結果間の比較が容易です。
よくある誤解
ISO/IEC 27002や27017は情報セキュリティ管理のためのガイドラインであり、製品のセキュリティ評価基準ではありません。これらとISO/IEC 15408を混同しないことが重要です。
解法ステップ
- 問題文から「IT製品やシステムのセキュリティ評価結果を提供し、比較可能にする規格」を探す。
- ISO/IEC 15408が共通評価基準(Common Criteria)であることを思い出す。
- ISO/IEC 27002は情報セキュリティ管理の実践指針であることを確認。
- ISO/IEC 27017はクラウドサービスのセキュリティ管理に関する規格であることを確認。
- ISO/IEC 30147は関連性が薄いため除外。
- よって、正解はア: ISO/IEC 15408と判断。
選択肢別の誤答解説
- ア: ISO/IEC 15408は共通評価基準であり、正解です。
- イ: ISO/IEC 27002は情報セキュリティ管理のための実践規範であり、評価基準ではありません。
- ウ: ISO/IEC 27017はクラウドサービスのセキュリティ管理に特化したガイドラインであり、評価規格ではありません。
- エ: ISO/IEC 30147は一般的に知られていない規格であり、本問題の文脈には適しません。
補足コラム
ISO/IEC 15408は「Common Criteria(共通評価基準)」とも呼ばれ、製品のセキュリティ機能を評価するための国際的な枠組みです。評価レベル(EAL: Evaluation Assurance Level)が設定されており、レベルが高いほど厳密な評価が行われています。これにより、調達者は製品のセキュリティレベルを客観的に比較・判断できます。
FAQ
Q: ISO/IEC 15408の評価レベルとは何ですか?
A: EAL(Evaluation Assurance Level)と呼ばれ、評価の厳密さや信頼度を示すレベルで、EAL1からEAL7まであります。
A: EAL(Evaluation Assurance Level)と呼ばれ、評価の厳密さや信頼度を示すレベルで、EAL1からEAL7まであります。
Q: ISO/IEC 27002とISO/IEC 15408の違いは何ですか?
A: ISO/IEC 27002は情報セキュリティ管理の実践指針であり、ISO/IEC 15408はIT製品のセキュリティ評価基準です。
A: ISO/IEC 27002は情報セキュリティ管理の実践指針であり、ISO/IEC 15408はIT製品のセキュリティ評価基準です。
関連キーワード: 共通評価基準, Common Criteria, セキュリティ評価, ISO/IEC 15408, 情報セキュリティ規格