問題
「IT セキュリティ評価及び認証制度」において「認証機関が公開する評価基準」の規格として公開している Common Criteria の説明として、最も適切なものはどれか。
選択肢
- 1運用時の脆弱性や誤使用に対する抵抗力も評価される。
- 2企業などで業務処理に利用する個別情報システムのセキュリティ能力を評価する。
- 3基準を適用する際に使用すべき評価方法についても規定している。
- 4認定における評価結果を用いるための手続きについても規定している。
正解
1. 運用時の脆弱性や誤使用に対する抵抗力も評価される。
詳しい解説を見る解説を閉じる
解説
アが正しい。Common Criteria(ISO/IEC 15408)は IT 製品・システムのセキュリティを評価する国際基準で、設計上の対策だけでなく、運用時に想定される脆弱性や誤使用に対する抵抗力(耐性)も評価対象に含めている。 イ:CC は IT 製品やセキュリティ機能(評価対象=TOE)の要件を評価する枠組みで、企業ごとの個別システムの運用能力を評価する制度ではない。ウ:評価方法を定めるのは CC 本体でなく別文書(CEM)であり、CC が評価方法まで規定するという記述は不正確。エ:評価結果の利用手続きは認証制度側の運用で定めるもので、CC の規定内容とするのは適切でない。(出典: 一般社団法人 中小企業診断協会 平成20年度 中小企業診断士1次試験 経営情報システム 第22問)
中小企業診断士トップ
一問一答・予想問題・まとめノート