セキュリティ評価結果|情報処理安全確保支援士試験 令和4年秋期午前Ⅱ 問9
出典:令和4年秋期 午前Ⅱ 問9
分野:セキュリティ / セキュリティ技術評価
IT製品及びシステムが,必要なセキュリティレベルを満たしているかどうかについて,調達者が判断する際に役立つ評価結果を提供し,独立したセキュリティ評価結果間の比較を可能にするための規格はどれか。
- ア:ISO/IEC 15408
- イ:ISO/IEC 27002
- ウ:ISO/IEC 27017
- エ:ISO/IEC 30147
TSUNAGARU-ADVICE
まず押さえたいこと
ISO/IEC 15408は、IT製品やシステムのセキュリティ機能が、必要な水準を満たしているかを評価するための規格です。一般に、Common Criteria(CC)として知られています。
迷ったときの判断軸
調達者がセキュリティ評価結果を比較し、製品やシステムを選定する文脈ならISO/IEC 15408です。ISO/IEC 27002は情報セキュリティ管理策、ISO/IEC 27017はクラウドサービス向け管理策、ISO/IEC 30147はIoT関連の規格なので、IT製品・システムのセキュリティ評価に注目すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、製品調達やセキュリティ要件の確認で、どの規格を参照するかが問われることがあります。ISO/IEC 15408は、第三者評価されたセキュリティ機能を比較するための枠組みとして理解しておきましょう。
ISO/IEC 15408は、IT製品やシステムのセキュリティ機能が、必要なセキュリティ要件を満たしているかを評価するための規格です。
Common Criteria(CC)とも呼ばれ、評価結果を比較可能にすることで、調達者が製品やシステムのセキュリティレベルを判断しやすくします。
したがって、アが適切です。
❌他選択肢が誤りの理由イ:ISO/IEC 27002
⇒情報セキュリティ管理策の実践規範です。組織が情報セキュリティ管理策を選定・実施する際の指針として使われますが、IT製品やシステムのセキュリティ評価結果を比較可能にする規格ではありません。
ウ:ISO/IEC 27017
⇒クラウドサービスに関する情報セキュリティ管理策の実践規範です。クラウドサービス提供者や利用者向けの管理策を示す規格であり、IT製品やシステムの評価基準であるCommon Criteriaとは目的が異なります。
エ:ISO/IEC 30147
⇒IoTの信頼性に関する要求事項などを扱う規格です。IT製品やシステムのセキュリティ評価結果を調達者が比較するための規格ではありません。