ホーム > システムアーキテクト試験 > 2018年
システムアーキテクト試験 2018年 午前2 問24
情報技術セキュリティ評価のための国際標準であり、コモンクライテリア(CC)と呼ばれるものはどれか。
ウ:ISO/IEC 15408(正解)
エ:ISO/IEC 27005
イ:ISO 14004
ア:ISO 9001
解説
情報技術セキュリティ評価の国際標準「コモンクライテリア(CC)」とは【午前2 解説】
要点まとめ
- 結論:コモンクライテリア(CC)は情報技術製品のセキュリティ評価の国際標準で、ISO/IEC 15408に該当します。
- 根拠:ISO/IEC 15408は製品やシステムのセキュリティ機能を評価・認証するための共通基準を定めているため、CCと呼ばれます。
- 差がつくポイント:ISO 9001は品質管理、ISO 14004は環境管理、ISO/IEC 27005はリスクマネジメントであり、セキュリティ評価基準としてはISO/IEC 15408のみが該当します。
正解の理由
コモンクライテリア(Common Criteria、CC)は、情報技術製品やシステムのセキュリティ機能を客観的に評価・認証するための国際標準規格です。これがISO/IEC 15408として国際的に定められており、製品のセキュリティレベルを明確に示すために利用されます。したがって、選択肢の中でCCに該当するのはウ: ISO/IEC 15408です。
よくある誤解
ISO 9001やISO 14004は品質や環境管理の規格であり、セキュリティ評価とは直接関係ありません。ISO/IEC 27005は情報セキュリティリスクマネジメントの規格で、評価基準とは異なります。
解法ステップ
- 問題文から「コモンクライテリア(CC)」が情報技術のセキュリティ評価の国際標準であることを確認。
- 選択肢のISO規格番号と内容を思い出す。
- ISO 9001は品質管理、ISO 14004は環境管理、ISO/IEC 27005はリスクマネジメントであることを切り分ける。
- ISO/IEC 15408がセキュリティ評価の国際標準であることを知っているか確認。
- 正解はウ: ISO/IEC 15408と判断する。
選択肢別の誤答解説
- ア: ISO 9001
品質マネジメントシステムの国際規格であり、セキュリティ評価とは無関係です。 - イ: ISO 14004
環境マネジメントの指針を示す規格で、情報セキュリティ評価とは異なります。 - ウ: ISO/IEC 15408
情報技術製品のセキュリティ評価基準であり、コモンクライテリア(CC)そのものです。 - エ: ISO/IEC 27005
情報セキュリティリスクマネジメントの規格で、評価基準ではありません。
補足コラム
コモンクライテリアは、製品のセキュリティ機能を「評価保証レベル(EAL)」という段階的なレベルで評価します。これにより、ユーザーは製品のセキュリティ強度を比較・選択しやすくなります。日本でも多くのセキュリティ製品がCC認証を取得しており、信頼性の指標として重要視されています。
FAQ
Q: コモンクライテリアはどのような製品に適用されますか?
A: OS、ネットワーク機器、暗号モジュールなど幅広い情報技術製品に適用されます。
A: OS、ネットワーク機器、暗号モジュールなど幅広い情報技術製品に適用されます。
Q: ISO/IEC 27001とISO/IEC 15408の違いは何ですか?
A: ISO/IEC 27001は情報セキュリティマネジメントシステムの規格で、ISO/IEC 15408は製品のセキュリティ評価基準です。
A: ISO/IEC 27001は情報セキュリティマネジメントシステムの規格で、ISO/IEC 15408は製品のセキュリティ評価基準です。
関連キーワード: コモンクライテリア, CC, ISO/IEC 15408, セキュリティ評価, 情報技術セキュリティ