Common Criteria EAL: セキュリティ評価基準

Common Criteria Evaluation Assurance Level (EAL) は、国際的に認められたIT製品やシステムに対するセキュリティ評価のフレームワークです。その歴史は1980年代に遡り、NISTやNSAといった組織によって開発され、現在では世界中で広く採用されています。

この記事の目次

1. EALの定義と評価レベル
2. EALの歴史的背景
3. EALの評価手法
4. EALとISO/IEC 15408の比較
5. まとめ

EALの定義と評価レベル

Common Criteria におけるEAL（Evaluation Assurance Level）は、セキュリティ特性を持つITシステムや製品に対する評価水準を表す概念です。1から7までのレベルが定義されており、数値が高いほど厳格な評価を受けます。

例えば、EAL2では基本的な文書作成と構造化テストに重点を置き、一方でEAL5はソースコードのレビューまで含む包括的な方法論を採用します。このように各レベルが異なる観点からセキュリティ性を評価するため、製品開発者の選択肢も多様化しています

EALの歴史的背景

1980年代に米国のNBS（現在のNIST）が開発したTCSECから始まったセキュリティ評価基準は、後年Common Criteriaという名称となりました。この変遷の中でEALの概念も生まれ、今日まで多くの改善と改訂を重ねています。

具体的には1990年代に多国間協力のもとにCommon Criteriaが策定され、世界中の産業界や政府機関で活用されるようになりました。その後の20年間にわたりEALは様々な製品分野でのセキュリティ確保に貢献しています

EALの評価手法

EALに基づくセキュリティ評価では、製品開発段階から評価プロセスが開始されます。文書化やテストの手順はレベルに応じて定められ、各項目をクリアすることで認証を得ることができます。

たとえばEAL3以上のレベルでは、詳細な機能仕様の作成だけでなくコードレビューやテスト結果の分析が必須となります。これらの手法を通じて、製品の安全性に対する信頯性を高めていきます

EALとISO/IEC 15408の比較

Common Criteriaとそれに関連する規格であるISO/IEC 15408は、セキュリティ評価システムにおいて密接な関係を持っています。両者は製品の認証プロセスを規定し、世界中のIT業界で重要な役割を果たしています。

具体的にはCommon Criteriaが実質的な基準となる一方、ISO/IEC 15408はその技術的な詳細や手続きを記述する規格として機能します。この組み合わせにより、EALの評価基準は明確で一貫性のある形に保たれています

まとめ

Common Criteria EAL はセキュリティ評価において重要な役割を果たしており、その歴史と進化を理解することは現代のIT製品やシステム開発において不可欠です。

※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。