採点されません。匿名です。 間違えることは学習の一部です。読むだけでもかまいません。

セキュリティ技術評価(セキュリティ評価基準)

テクノロジ系 / 技術要素

なぜ「評価基準」が必要なのか

セキュリティ対策は「頑張って作った」だけでは信頼されない。ファイアウォールやOSが「本当に安全か」を、作った本人ではなく第三者が客観的な物差しで判定できて初めて、調達する側・利用する側が安心してその製品を選べる。この「客観的な物差し」にあたるのが、シラバスでいうセキュリティ評価基準である。基本情報技術者試験では、代表的な国際規格であるISO/IEC 15408(コモンクライテリア、CC)を軸に、日本国内の認証制度や脆弱性評価の枠組みを理解することが求められる。

ISO/IEC 15408(コモンクライテリア)と評価保証レベル(EAL)

ISO/IEC 15408は、IT製品やシステムが「セキュリティ上どのように設計され、その設計どおりに正しく実装されているか」を評価するための国際標準規格である。1999年にISO規格として、2000年に日本のJIS規格(JIS X 5070)として制定された。評価対象はファイアウォールのような専用セキュリティ製品に限らず、OS・データベース・グループウェアなど、守るべき情報資産を扱うIT製品・システム全般に及ぶ。

評価の中身は大きく2種類の要件に分かれる。

  • セキュリティ機能要件(SFR: Security Functional Requirements): 製品が備えるべき「アクセス制御」「監査」「暗号サポート」などの機能を、共通の言葉で表現したもの。
  • セキュリティ保証要件(SAR: Security Assurance Requirements): その機能が設計から製品化まで確実に実現・動作していることを、どれだけ厳密に確認したかを示す要件。「開発」「テスト」「脆弱性評定」などの観点で構成される。

この保証の厳密さの度合いを段階的に表したものが評価保証レベル(EAL: Evaluation Assurance Level)であり、EAL1(最も簡易な確認)からEAL7(最も厳密で形式的な検証)までの7段階で定義される。ここで初学者が誤解しやすいのは、EALの数字が高いほど「機能が高度」なのではなく、「どれだけ深く・厳密に評価されたか」を表す点である。たとえば同じ「ファイルの暗号化機能」を持つ製品でも、EAL2の製品は簡易な確認にとどまるのに対し、EAL5の製品は設計文書や実装コードまで踏み込んだ厳密な検証を経ている、というイメージである。

日本ではこのISO/IEC 15408に基づき、第三者機関が製品を評価・認証するJISEC(ITセキュリティ評価及び認証制度)が運用されている。国や企業がIT製品を調達する際、「JISEC認証済み・EAL◯以上」といった条件を調達要件リストに盛り込むことで、客観的な安全性の担保として活用できる。

JCMVP(暗号モジュール試験及び認証制度)

ISO/IEC 15408が製品・システム全体のセキュリティ機能を評価するのに対し、JCMVP(暗号モジュール試験及び認証制度)は、電子政府推奨暗号リストなどに記載された暗号アルゴリズムを実装したハードウェア・ソフトウェア(暗号モジュール)が、暗号鍵やパスワードといった重要情報を適切に保護できているかを、第三者試験によって確認する制度である。ISO/IEC 19790・ISO/IEC 24759を試験・認証の基準として採用し、IPAが運営してきた。なお2024年4月1日以降、暗号モジュール認証そのものの新規申請は停止されており、当面は暗号アルゴリズムが規格どおりに実装されているかを確認する「アルゴリズム確認」の申請のみが継続されている。試験では最新の制度運用状況として押さえておきたいポイントである。

CVSS(共通脆弱性評価システム)

個々の製品や暗号モジュールの認証制度とは別に、日々発見される脆弱性そのものの深刻度を数値化する仕組みがCVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)である。CVSS v3では、脆弱性の深刻度を0(なし)から10.0(緊急)までのスコアで表し、次のように区分する。

スコア深刻度
9.0〜10.0緊急
7.0〜8.9重要
4.0〜6.9警告
0.1〜3.9注意
0なし

このスコアは、以下の3種類の評価基準を組み合わせて算出される。

  1. 基本評価基準(Base Metrics): 脆弱性そのものの特性(機密性・完全性・可用性への影響、攻撃の難易度など)を評価する。時間が経っても変化しない。
  2. 現状評価基準(Temporal Metrics): 攻撃コード(エクスプロイト)が出回っているか、対策パッチが公開されているかなど、時間の経過とともに変化する状況を反映する。
  3. 環境評価基準(Environmental Metrics): 実際にその脆弱性を抱えるシステムがどんな環境で使われ、どんな対策が講じられているかを反映した、利用者ごとの最終的な深刻度を評価する。

たとえば「基本評価基準では緊急(9.5)」と判定された脆弱性でも、「自社ではすでにパッチを適用済み」という環境評価基準を加味すると、実質的な緊急度は大きく下がる、といった使い方をする。CVSSは単一のスコアではなく、状況に応じて深刻度を読み替えるための「3層構造の物差し」だと理解しておくとよい。

脆弱性診断とペネトレーションテストの違い

セキュリティ対策の「実効性」を確認する手法として、脆弱性診断とペネトレーションテストがしばしば対比される。両者は目的が異なる。

  • 脆弱性診断: システムにどのような既知の脆弱性が存在するかを、ツールなども活用しながら網羅的・チェックリスト的に洗い出す活動。「穴が空いていないか」を広く浅く確認するイメージ。
  • ペネトレーションテスト(侵入テスト): 実際の攻撃者と同じ手口を用いて、疑似的にサイバー攻撃を仕掛け、既存のセキュリティ対策が「実際に機能するか」を検証する活動。特定のシナリオを深く追いかけるイメージ。

たとえば健康診断(脆弱性診断=広く浅くチェック)と、実際に負荷をかけて身体の限界を試すストレステスト(ペネトレーションテスト=実戦形式で深く検証)の関係に近い、と考えると整理しやすい。

耐タンパ性

耐タンパ性(tamper resistance)とは、ICカードや暗号処理チップのようなハードウェア・ソフトウェアが、外部からの解析・改ざん(リバースエンジニアリング等)攻撃にどれだけ耐えられるかを表す概念である。実装例としては、不正な電流や温度の変化を感知すると内部の重要データを自動的に消去する仕組みや、チップ表面を保護層で覆って物理的な解析を防ぐ仕組み、通信内容自体を暗号化して盗聴・改ざんを防ぐ仕組みなどが組み合わされる。ICカード決済端末や認証デバイスの安全性を語るうえで欠かせないキーワードである。

まとめ

セキュリティ技術評価の小項目(1)「セキュリティ評価基準」は、「製品・システムを評価する国際規格(ISO/IEC 15408)」「国内の認証制度(JISEC・JCMVP)」「脆弱性そのものの深刻度指標(CVSS)」「実効性を確認する手法(脆弱性診断・ペネトレーションテスト)」「物理的な耐性(耐タンパ性)」という、粒度の異なる複数の評価軸から構成されている。どのキーワードが「何を」「誰が」「どう評価するものか」を対応づけて覚えることが、この分野の得点力につながる。

本資料は IPA(独立行政法人 情報処理推進機構)が公表する「基本情報技術者試験シラバス(Ver.9.2)」中分類11「セキュリティ」中項目3「セキュリティ技術評価」小項目(1)「セキュリティ評価基準」(p.42)に基づく自作の解説テキストである。

  • シラバス本文・用語例は要約・言い換えて解説しており、原文の丸ごと転載ではない
  • 解説本文・具体例・図解・演習問題は本資料著者(nomuraya-dojo)の独自作成
  • シラバスそのものの著作権はIPAに帰属する。原文はIPA公式シラバスPDFを参照すること
  • 本資料の利用にあたっては、IPAの著作権・利用規約に従うこと

考えてみよう

既定では正解・不正解の判定はしません。自分のペースで「答えを見る」を。採点してほしい場合だけ「採点してほしい」を押してください。

問1

ISO/IEC 15408(コモンクライテリア)における評価保証レベル(EAL)の説明として、最も適切なものはどれか。

ア EALの数値が高いほど、製品が備えるセキュリティ機能の種類が多いことを示す。

イ EALの数値が高いほど、製品のセキュリティ評価がより厳密・詳細に行われたことを示す。

ウ EALは暗号アルゴリズムの強度を数値化したものであり、CVSSと同じ用途で使われる。

エ EALは製品の販売価格帯を示す指標であり、セキュリティとは直接関係しない。

解答: イ

解説: EALはセキュリティ機能の高さではなく、評価・保証プロセスの厳密さ(深さ・広さ)を段階的に示す指標である。同じ機能を持つ製品でもEALが高いほど、より厳格な検証を経ていることを意味する。アは機能の多寡と混同している誤り、ウはCVSSとの役割の違いを理解していない誤り、エは無関係な内容である。

問2

日本国内で運用されている制度のうち、暗号モジュール(暗号アルゴリズムを実装したハードウェア・ソフトウェア)が重要情報を適切に保護しているかを第三者試験によって確認する制度はどれか。

ア JISEC

イ JCMVP

ウ CVSS

エ EAL

解答: イ

解説: JCMVP(暗号モジュール試験及び認証制度)は、暗号モジュールそのものが暗号鍵やパスワード等の重要情報を適切に保護しているかを第三者が試験・認証する制度である。JISEC(ア)はIT製品・システム全般をISO/IEC 15408に基づき評価・認証する制度、CVSS(ウ)は脆弱性の深刻度を数値化する指標、EAL(エ)はISO/IEC 15408における評価保証レベルであり、いずれも設問の内容とは異なる。

問3

CVSS v3における評価基準の説明として、誤っているものはどれか。

ア 基本評価基準(Base Metrics)は、脆弱性そのものの特性を評価し、時間が経過しても値は変化しない。

イ 現状評価基準(Temporal Metrics)は、攻撃コードの出現状況や対策情報の有無など、時間の経過に応じて変化する要素を評価する。

ウ 環境評価基準(Environmental Metrics)は、利用者の実際の運用環境や対処状況を反映した深刻度を評価する。

エ CVSSのスコアは常に一意に定まり、利用者の環境によって最終的な深刻度が変わることはない。

解答: エ

解説: CVSSは基本・現状・環境の3種類の評価基準を組み合わせて深刻度を算出する仕組みであり、環境評価基準を適用することで、同じ脆弱性でも利用者の運用環境(パッチ適用状況など)によって最終的な深刻度は変わり得る。したがってエは誤り。ア・イ・ウはそれぞれの評価基準の説明として正しい。

問4

脆弱性診断とペネトレーションテストの違いに関する説明として、最も適切なものはどれか。

ア 脆弱性診断は攻撃者と同じ手口で疑似攻撃を行い対策の実効性を検証するのに対し、ペネトレーションテストは既知の脆弱性を網羅的に洗い出す活動である。

イ 脆弱性診断は既知の脆弱性の有無を網羅的・チェックリスト的に調査するのに対し、ペネトレーションテストは実際の攻撃手法を用いて対策が機能するかを検証する。

ウ 脆弱性診断とペネトレーションテストは同一の作業を指す別名であり、実施内容に違いはない。

エ 脆弱性診断はハードウェアのみを対象とし、ペネトレーションテストはソフトウェアのみを対象とする。

解答: イ

解説: 脆弱性診断は既知の脆弱性の有無を広く網羅的に確認する活動であるのに対し、ペネトレーションテストは実際の攻撃者と同様の手法で疑似攻撃を仕掛け、既存の対策が実戦で機能するかを検証する活動である。アは説明が入れ替わっており誤り、ウ・エも実態と異なる。

問5

耐タンパ性(tamper resistance)の説明として、最も適切なものはどれか。

ア ネットワーク通信の遅延を最小化するための設計思想である。

イ ハードウェア・ソフトウェアが外部からの解析・改ざん攻撃に対してどれだけ耐えられるかを表す性質である。

ウ 脆弱性の深刻度を0〜10.0のスコアで表す指標である。

エ IT製品の第三者評価・認証にかかる期間の短さを表す指標である。

解答: イ

解説: 耐タンパ性は、ICカードや暗号処理チップなどが外部からの解析・改ざん(リバースエンジニアリング等)攻撃にどれだけ耐性を持つかを表す概念である。不正な電流・温度変化の検知による内部データ消去や、保護層によるチップ解析の防止などが実装例として挙げられる。アは無関係な概念、ウはCVSSの説明、エは認証制度の運用に関する説明であり、いずれも耐タンパ性とは異なる。

力試ししたい方は クイズ形式の演習(任意) もあります。読むだけでも十分です。