セキュリティ評価基準であるISO/IEC 15408の説明はどれか。
| ア | IT製品のセキュリティ機能を、IT製品の仕様書、ガイダンス、開発プロセスなどの様々な視点から評価するための国際規格である。 |
| イ | IT製品やシステムを利用する要員に対するセキュリティ教育やセキュリティ監査の実施といった、組織でセキュリティ管理を評価するための国際規格である。 |
| ウ | 暗号モジュールに暗号アルゴリズムが適切に実装されているかどうかを評価する国際規格である。 |
| エ | 評価保証レベル(Evaluation Assurance Level:EAL)の要件に基づいて、セキュリティ機能の強度を評価するための国際規格である。 |
答え ア
【解説】
| ア | IT製品のセキュリティ機能を、IT製品の仕様書、ガイダンス、開発プロセスなどの様々な視点から評価するための国際規格は、ISO/IEC 15408です。(〇) |
| イ | IT製品やシステムを利用する要員に対するセキュリティ教育やセキュリティ監査の実施といった、組織でセキュリティ管理を評価するための国際規格は、ISO/IEC 27001(ISMS)です。(×) |
| ウ | 暗号モジュールに暗号アルゴリズムが適切に実装されているかどうかを評価する国際規格は、ISO/IEC 19790です。(×) |
| エ | ISO/IEC 15408で規定している評価保証レベル(Evaluation Assurance Level:EAL)の要件は、セキュリティ機能の強度ではなく、厳格さ評価します。(×) |
【キーワード】
・ISO/IEC 15408
- ISO/IEC 15408
セキュリティ製品およびシステムの開発や製造、運用などに関する国際標準です。
CC(Common Criteria、コモンクライテリア)として、定義されていたものが国際標準されたものです。
もっと、「コモンクライテリア」について調べてみよう。
戻る
一覧へ
次へ