PR

2.CCとは

2.1 CCの成り立ちの経緯・歴史

 1980年以前は欧米各国の軍用システムはセキュリティ要件の厳しい特注仕様による調達のみであった.その後,PCやLANの登場等,デジタル処理や通信技術の急速な進歩に伴い,軍用システムにおいても民生IT製品を活用するため,1983年に米国にてTCSEC(Trusted Computer Security Evaluation Criteria:通称オレンジブック)が制定され,これに適用する製品が調達されるようになった.欧州の各国の評価基準も1991年より欧州共通基準であるITSEC(Information Technology Security Evaluation Criteria)ベースに移行していたが,さらに米国のTCSECと欧州のITSECを共通化する目的で1996年Common Criteria v1.0が制定された.

 CCは,欧米6カ国により,1996年に開発され,1999年にISO/IEC 15408が規格化され,2000年に欧米13カ国によるCCRAが創設された.日本は2001年にITセキュリティ評価および認証制度(JISEC)を開始し,2003年にCCRAに加盟した.2005年に第三者による評価方法を定めた「ITセキュリティ評価のための共通方法(CEM: Common Evaluation Methodology)」がISO/IEC 18045として規格化された.現在は2012年9月に公開されたCC v3.1改訂第4版,CEM v3.1改訂第4版がIT製品に対するセキュリティ評価のための基準・評価方法として,広く利用されている(図1を参照).

図1●ISO/IEC 15408 関連の年表
図1●ISO/IEC 15408 関連の年表
[画像のクリックで拡大表示]