情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度秋期 午前Ⅱ 問6: ISO/IEC 15408を評価基準とする“ITセキュリティ評価及び認証制度”の説明として，適切なものはどれか。

問題本文

ISO/IEC 15408を評価基準とする“ITセキュリティ評価及び認証制度”の説明として，適切なものはどれか。

選択肢

• ア.暗号モジュールに暗号アルゴリズムが適切に実装され，暗号鍵などが確実に保護されているかどうかを評価及び認証する制度
• イ.主に無線LANにおいて，RADIUSなどと連携することで，認証されていない利用者を全て排除し，認証された利用者だけの通信を通過させることを評価及び認証する制度
• ウ.情報技術に関連した製品のセキュリティ機能の適切性，確実性を第三者機関が評価し，その結果を公的に認証する制度
• エ.情報セキュリティマネジメントシステムが，基準にのっとり，適切に組織内に構築，運用されていることを評価及び認証する制度

正解

ウ. 情報技術に関連した製品のセキュリティ機能の適切性，確実性を第三者機関が評価し，その結果を公的に認証する制度

解説

ISO/IEC 15408(コモンクライテリア)を基準とするITセキュリティ評価及び認証制度(JISEC)は、IT製品のセキュリティ機能の適切性・確実性を第三者機関が評価し、その結果を公的に認証する制度。よってウが正しい。実務では調達でEAL(評価保証レベル)を要件にするなど、製品選定の客観的な信頼性の根拠として使われる。

選択肢ごとの解説

• ア.暗号モジュールの実装・鍵保護を評価するのはJCMVP(暗号モジュール試験制度)であり別制度。
• イ.無線LANでRADIUS連携し利用者を選別するのはIEEE 802.1X等の認証技術で、本制度ではない。
• ウ.IT製品のセキュリティ機能を第三者が評価し公的に認証するというJISECの説明で正解。
• エ.ISMSが適切に構築・運用されているかを認証するのはISMS適合性評価制度(ISO/IEC 27001)である。