情報セキュリティのマネジメントシステムは、ISMSという略称と共に比較的よく知られているが、それらと異なり、製品または実装・運用システムのセキュリティを評価するための技術的な内容を取り扱う規格がCommon Criteriaと呼ばれるものである。正式の規格番号はISO/IEC 15408(JIS X 5070「セキュリティ技術-情報技術セキュリティの評価基準」)である。Common Criteria とその認証の制度については、IPA((独)情報処理推進機)構内の
JISECホームページを参照されたい。
Common Criteriaの系統で、暗号モジュールについての評価は、特定の形式で行うことが必要である。その仕組みは、ISO/IEC 19790 Security requirements for cryptographic modules (JIS X19790「セキュリティ技術-暗号モジュールのセキュリティ要求事項」)で定められている。この暗号モジュールに関する認証制度はやはりIPAにより運営されており、「
暗号モジュール試験及び認証制度」(JCMVP®)と呼ばれている。
セキュリティに関して、国内での暗号技術標準の運用の観点からは、日本の電子政府向け暗号規格を整備するものとして作成された、「電子政府暗号標準」およびそれを技術的にバックアップしている団体
CRYPTRECの基準も見逃せない。
暗号モジュールと同様にPC等のセキュリティ確保のためのチップであるTPMの規格として、ISO/IEC 11889:2009 Trusted Platform Moduleが制定されている。
また、セキュリティに関わるソフトウェアおよびシステム開発上のガイドラインや調査報告書が、多数IPAセキュリティセンターから公開されている(
例1 例2)。
特にWebサイトの安全な開発に関しては、このIPAのガイド類に加えて、国際的によく知られた団体であるOWASP(
Open Web Application Security Project)のガイド類を参照すると有益である。
(2013年12月)