日本のITセキュリティ評価及び認証制度(JISEC)に関する記述のうち、適切なものはどれか。
| ア | IT製品のうち、利用者ガイダンス、管理者ガイダンスを除いた部分だけが評価用提供物件である。 |
| イ | ハードウェア、ファームウェア、システムは制度の対象外であり、ソフトウェアだけが対象である。 |
| ウ | ファイアウォールのように、セキュリティ機能に特化したIT製品だけが制度の対象である。 |
| エ | 保護すべき資産、対抗すべき脅威、適用すべき環境が具体化できるIT製品だけが制度の対象である。 |
答え エ
【解説】
| ア | セキュリティ機能を備えているIT製品、ITシステムの、利用者ガイダンス、管理者ガイダンスも評価用提供物件です。(×) |
| イ | セキュリティ機能を備えたIT製品、ITシステム(ハードウェア、ソフトウェア、ファームウェア)が対象です。(×) |
| ウ | セキュリティ機能を備えているIT製品、ITシステムが制度の対象です。(×) |
| エ | 保護すべき資産、対抗すべき脅威、適用すべき環境が具体化できるIT製品だけが制度の対象です。(〇) |
【キーワード】
・ITセキュリティ評価及び認証制度
- ITセキュリティ評価及び認証制度(Japan Information Technology Security Evaluation and Certification Scheme、JISEC)
IT関連製品のセキュリティ機能の適切性・確実性を、セキュリティ評価基準の国際標準であるISO/IEC 15408に基づいて第三者(評価機関)が評価し、その評価結果を認証機関が認証する(日本の)制度です。
国や自治体などが情報システムを調達する際に、製品がJISECの認証を受けていることを要件とすることで、一定のセキュリティ水準を満たした製品でシステムを構成することができます。 機器やソフトウェアなど認証された製品の一覧は運営しているIPA(情報処理推進機構)のWebサイトで公開されています。
もっと、「JISEC」について調べてみよう。
戻る
一覧へ
次へ