各国で通用するCommon Criteriaの認証を取得する意義
"Common Criteria"というものをご存じだろうか。独立行政法人情報処理推進機構、通称IPAのサイトには以下のような説明がある。
CC (ISO/IEC 15408) とは
CC (Common Criteria) とは、情報技術セキュリティの観点から、情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格です。
つまり、平たく言えばITシステムがセキュリティの観点から適切なものかどうかを評価する国際標準規格ということ。それでは、この規格認証の取得には、どのようなメリットがあるのだろうか。ユーザーにとっての大きなメリットは、この規格認証を取得した製品を購入しシステムを構築した場合に、日本では減税措置による税額控除(あるいは特別償却)の対象になることが挙げられる。もちろん、国際標準に沿ったセキュリティ上の安全性を確保したシステムを導入した安心も得られる。
一方で、ベンダー側にとっては、いまや、この認証の取得が必須となりつつあるとのこと。
「米国政府関連のビジネスを行うには、製品の調達要件にISO/IEC 15408が入っているので、認証取得は必須です」―米国MicrosoftでSQL ServerのISO/IEC 15408の認証取得業務を担当するRoger Allan French氏は、現状では認証取得がMicrosoftのポリシーの1つとなっており、さらにユーザーのニーズがそこにはあると言う。
政府の調達要件に入っているとなると、ベンダーとしては認証を取らざる得ないだろう。認証の取得を迅速に行うことは当たり前で、そのための専任担当者も、これまた当たり前のように存在するのだ。
また、この認証が国際標準であることも、ベンダーが積極的に認証取得に臨む状況につながる。ISO/IEC 15408は、世界各国で合意されている。
これに合意している国では、この認証さえ取得していれば、その製品なりがセキュリティを確保しているという一定の信用を得られることになる。さらに、合意している国々では、政府関連ビジネスの調達要件において、この規格に準じたものが指定されるのが通常だ。ビジネスを進める上で、国ごとにセキュリティ認証を取得する手間がなくなることは、製品ベンダーの負荷の面ではかなり大きなメリットだ。こういった手間が減れば、そのぶんのコストが製品に転嫁されることもなくなるので、結果的にはユーザーにとってもメリットとなる。
