ITセキュリティ認証の実際と今後の見通し(第三者評価の役割について)

抄録

ITセキュリティの国際規格と第三者評価および認証制度は多数あるが,その中で筆者が10年間評価実務を行ってきた製品のセキュリティ規格であるISO/IEC 15408 ITセキュリティ評価認証制度を中心に,第三者評価の実際を述べる.汎用規格の下にはスマートカード(ICカード),デジタル複合機等の分野別の基準がつくられている.ITセキュリティ評価は,セキュリティ仕様書,設計書,ガイダンス文書,ライフサイクル,テスト,脆弱性分析などを評価することにより行われる.評価の最終目的は,対象製品が脅威に対抗でき,セキュリティ上の脆弱性が許容できる範囲かどうか判断することである.ITセキュリティ評価は,類似製品の評価,サーベイランス,保証の維持,脆弱性分析の方法,国際規格と独自制度の関係など,公式,非公式にさまざまな仕組みがつくられていて,時代のセキュリティニーズに合わせて変化している反面,課題も多く抱えている.今後,誰もがクリエイターになる時代に合わせて,ITセキュリティと第三者評価はさらに変化していかなければならない.ベンチャーや個人クリエイター,一般消費者もITセキュリティに対する認識と共に,利用しやすいITセキュリティ第三者評価および認証制度も必要と考えられる.