令和5年秋期試験問題 午前Ⅱ 問23
問23解説へ
セキュリティ評価基準であるISO/IEC 15408の説明はどれか。
- IT製品のセキュリティ機能を,IT製品の仕様書,ガイダンス,開発プロセスなどの様々な視点から評価するための国際規格である。
- IT製品やシステムを利用する要員に対するセキュリティ教育やセキュリティ監査の実施といった,組織でのセキュリティ管理を評価するための国際規格である。
- 暗号モジュールに暗号アルゴリズムが適切に実装されているかどうかを評価するための国際規格である。
- 評価保証レベル(Evaluation Assurance Level:EAL)の要件に基づいて,セキュリティ機能の強度を評価するための国際規格である。
正解 ア問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:セキュリティ技術評価
中分類:セキュリティ
小分類:セキュリティ技術評価
広告
解説
- 正しい。ISO/IEC 15408は、情報セキュリティに関連する製品やシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際規格です。CC(コモンクライテリア)とも呼ばれます。セキュリティ機能について、開発プロセス、ガイダンス文書、ライフサイクルサポート、仕様書評価、テスト、脆弱性評定といった視点から評価が行われます。ソフトウェア以外にも、ハードウェア、ファームウェア、ミドルウェア、システム全体も評価対象となります。
- ISO/IEC 27001・27002の説明です。組織内で実施される要員のセキュリティ教育やセキュリティ監査などITセキュリティ機能性に直接関係しない管理運用面は、ISO/IEC 15408の評価対象には含まれません。
- ISO/IEC 19790の説明です。暗号化アルゴリズム固有の品質評定のための基準は、ISO/IEC 15408の評価対象には含まれません。
- ISO/IEC 15408におけるEAL(評価保証レベル)は、EAL1~EAL7の7段階でセキュリティ製品の信頼性のレベルを評価するものです。強度ではありません。適切な保証レベルを選択することで、得られる保証のレベルとコストのバランスを考慮することができるようになっています。
広告