情報技術セキュリティ評価基準（ＣＣ）
ISO/IEC 15408（JIS X 5070）

情報技術セキュリティ評価基準（ＣＣ）ISO/IEC 15408（JIS X 5070）

ＣＣ (Common Criteria) とは、情報技術セキュリティの観点から、情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準で、それを規格化して、ISO/IEC 15408（JIS X 5070）（セキュリティ技術 - 情報技術セキュリティの評価基準）になりました。
　従来、各国政府はＩＴ調達基準を定めていましたが、それが民間へ適用拡大するようになり、国際間での供給・調達を円滑にするために国際規格化したものです。
　日本では、政府調達に参加するには、下記のＳＴ（基本設計仕様書）の提出が必要とされています。

適用範囲

一般的には（スマートカード（ハードウェア）やＯＳ（ソフトウェア）など、ＩＴシステムの構成要素が対象になります。例えば、次のような分野は別の規格があり、ここでの対象外です。
　品質一般：ISO 9001（品質マネジメントシステム－要求事項）
　セキュリティマネジメント；ISO/IEC 27001/2 （ＩＳＭＳ）
　暗号モジュールのセキュリティ要件仕様：FIPS 140. JCMVP

ＣＣの構成

「機器〇〇は、△△のセキュリティ機能ももたなければならない」というような内容ではなく、発注者とベンダが、セキュリティの着眼点やその標準的対応などを共有し、誤解を生じない手段として用いることを目的としています。

• パート１: 概説と一般モデル (Introduction and general model)
  製品およびシステムのセキュリティを確保するための枠組みを示す。
  
  • 評価対象（Target Of Evaluation、ＴＯＥ）の定義。発注者が作成
  • セキュリティ要求仕様書（Protection Profile、ＰＰ）発注者が作成
  • 基本設計仕様書（Security Target、ＳＴ）ＰＰを満足する設計の概要。ベンダが作成
• パート２: セキュリティ機能要件 (Security functional requirements)
  セキュリティ確保に必要な機能について内容を上位階層から、「クラス」「ファミリー」「コンポーネント」「エレメント」の階層で表記している。
  　クラス：１１の着眼点とその記号
  　　　セキュリティ監査（Security audit、ＦＡＵ）、通信（Communication、ＦＣＯ）など
  ファミリー、コンポーネント、エレメントはその小区分
• パート３: セキュリティ保証要件 (Security assurance requirements)
  セキュリティ要件の実装の確かさを確認する要件がセキュリティ機能要件と同様の階層構造で記述している。
  　クラスには、開発（Development、ＡＤＶ）、テスト（Tests、ＡＴＥ）など１０項目。
  　また、評価保証レベル（Evaluation Assurance Level、ＥＡＬ）を７段階で規定している。

発注者は、セキュリティ機能要件とセキュリティ保証要件を組み合わせてＰＰ（セキュリティ要求仕様書）を作成、ベンダはＰＰを受けて、セキュリティ保証要件を参照してＳＴ（基本設計仕様書）を作成します。

発注者は、ＴＯＥと実現すべきセキュリティ機能要件を具体的に記述します。
、例えば、セキュリティ機能要件のＦＡＵ（セキュリティ監査）のSTG.1.1 では、「FAU_STG.1.1 TSFは、格納された監査記録を不正な削除から保護しなければならない。」となっています（ＴＳＦよはＴＯＥのセキュリティ機能）。
　これをそのまま使うのであれば、「FAU_STG.1.1適用」とするだけでよいし、変更が必要なときは変更部分を記述すればよいし、その修正の記述方法も示されています。

認定制度

ＣＣに基づくＩＴ製品やシステムの実装でのセキュリティの評価・認証制度があります。
　評価手法の統一基準をＣＥＭ (Common Evaluation Methodology : 共通評価方法) といいます。これも規格化され ISO/IEC 18045 になりました。正式名称はＣＭＩＴ（Common Methodology for Information Technology）といいます。すなわち、ＣＣ適合性評価制度での評価基準がＣＥＭになります。
　日本での認証機関はＩＰＡのＪＩＳＥＣです。