情報セキュリティー認証、国際標準を調達要件に-IPA、26カ国と合意
掲載日 2014年09月15日
情報処理推進機構(IPA)は、情報セキュリティー評価に関する国際標準「コモンクライテリア(CC)」認証をIT製品の政府調達要件とすることでCC参加各国と合意した。これに基づき「情報技術セキュリティー分野におけるコモンクライテリア認証書の承認に関するアレンジメント」に経済産業省とともに署名した。
今回のアレンジメントでは、各国の政府調達の際に個別に作成していたITセキュリティー要件を製品技術分野ごとに具体的な評価手法とともに統一的に開発し、CC加盟26カ国で活用することを宣言した。国際的に統一した要件を活用することで、調達における要件策定の効率化や複数の要件に対応した製品開発、重複した評価コストの削減、ITセキュリティー評価品質の国際的な均質化が可能となる。
http://www.nikkan.co.jp/news/nkx0220140915bfac.html
.*.
調達要件に入れるのはいいことだ。しかし、セキュリティに関する十分条件としてはいけない。ISMSの運用には少なからず穴が開いているものだ。一般管理レベルの要件とするにとどめ、調達案件が要求するセキュリティは明示的に追加されなければいけない。
.*.