セキュリティ評価基準に関する研修

8月18日～20日の3日間、フランス在住のベトナム人専門家とオンライン接続して、Common Criteriaに関する研修を実施しました。

Common Criteriaとは、IT製品及びシステムのセキュリティが適切に設計され、その設計が正しく確実に実装されていることを評価認証するための国際標準規格のことです。

Common Criteriaでは、第三者（評価機関）が製品を評価し、その評価結果を認証機関が認証する制度があります。日本においては、情報処理推進機構（IPA）が運用しており、政府のITシステム調達において活用されています。

Common Criteria承認アレンジメントという枠組みにより、使用目的の要件を満たす製品を、国際的に認証されたより多くの選択肢から調達することができます。

3日間の研修を通して、Common Criteriaの中心的コンセプト、実習、最新状況等が講師から提供され、研修生を交えて活発な議論がなされました。特に、他の評価制度との比較、セキュリティ機能要件、セキュリティ保証要件、必要な機材について座学および演習を通して学習しました。

ベトナムにおいてもCommon Criteriaに沿ったセキュリティ評価制度を開始する計画があることから、2021年に機材供与や本邦専門家による評価技術や制度構築の支援を行う予定になっています。本研修はそれらの支援に先立ち、担当者の基礎知識の強化に役立ちました。

• （参考）IPAのITセキュリティ評価及び認証制度（JISEC）（外部サイト）