必ず受かる情報処理技術者試験

当サイトは、情報処理技術者試験に合格するためのWebサイトです。
ITパスポート試験,基本情報技術者,応用情報技術者,高度試験の過去問題と解答及び詳細な解説を掲載しています。
  1. トップページ
  2. プロジェクトマネージャ 午前2
  3. 令和5年度秋季問題一覧
  4. 令和5年度秋季問題23-解答・解説-分析

令和5年度秋季問題

問題23

セキュリティ評価基準である ISO/IEC 15408 の説明はどれか。

IT 製品のセキュリティ機能を,IT 製品の仕様書,ガイダンス,開発プロセスなどの様々な視点から評価するための国際規格である。
IT 製品やシステムを利用する要員に対するセキュリティ教育やセキュリティ監查の実施といった,組織でのセキュリティ管理を評価するための国際規格である。
暗号モジュールに暗号アルゴリズムが適切に実装されているかどうかを評価するための国際規格である。
評価保証レベル(Evaluation Assurance Level:EAL)の要件に基づいて,セキュリティ機能の強度を評価するための国際規格である。

セキュリティ評価基準である ISO/IEC 15408 の説明はどれか。

IT 製品のセキュリティ機能を,IT 製品の仕様書,ガイダンス,開発プロセスなどの様々な視点から評価するための国際規格である。
IT 製品やシステムを利用する要員に対するセキュリティ教育やセキュリティ監查の実施といった,組織でのセキュリティ管理を評価するための国際規格である。
暗号モジュールに暗号アルゴリズムが適切に実装されているかどうかを評価するための国際規格である。
評価保証レベル(Evaluation Assurance Level:EAL)の要件に基づいて,セキュリティ機能の強度を評価するための国際規格である。

解答:ア

<解説>

ISO/IEC 15408(コモンクライテリア)は、セキュリティ要求事項を明確化し、それに基づいて製品やシステムのセキュリティ機能を評価する枠組みを提供する国際規格である。製品仕様書、利用ガイダンス、開発プロセスなどを含む多角的評価を特徴とする。
× 情報セキュリティマネジメントシステム(ISMS)に関する ISO/IEC 27001 などのマネジメント規格の説明である。ISO/IEC 15408 は組織運用ではなく製品やシステムのセキュリティ評価に焦点を当てている。
× 暗号モジュールのセキュリティ要件を定める FIPS 140 系の規格に関する記述である。ISO/IEC 15408 は暗号モジュールに限定されず、広くIT製品・システム全般のセキュリティ評価を対象とする。
× EAL(Evaluation Assurance Level)はISO/IEC 15408に含まれる概念であり、評価保証の深さ・厳格さを示すレベルである。しかしEALは「セキュリティ機能の強度」そのものを測るものではなく、評価の保証度合い(どの程度厳格に評価されたか) を表す。したがって記述は不正確である。