クライテリア 意味。 設計クライテリア

基本のビジネス用語45選! 新社会人なら知っておきたいしごと語辞典

クライテリア 意味

IT 製品や情報システムに対して、を評価し認証するための評価基準を定めている。 正式名称は " Common Criteria for Information Technology Security Evaluation"(情報技術セキュリティ評価のためのコモンクライテリア)である。 2019年3月時点においては「バージョン3. 1 リリース5(2017年4月)」が最新版である。 日本では コモンクライテリアまたは CC と呼ばれるほか、 情報技術セキュリティ評価基準、 ITセキュリティ評価基準、広く一般的には セキュリティ評価基準などと呼ばれる。 現在ではが、日本の「ITセキュリティ評価及び認証制度(JISEC:Japan Information Technology Security Evaluation and Certification Scheme)」 における認証機関を運営している。 概要 [ ] CC は 現在世界20 か国以上で政府調達基準とされており、日本においても、政府におけるIT製品・システムの調達に関して CC 評価・認証取得された製品の利用が推進されている。 また、CCRA加盟国のうちの一国において一度CC評価・認証を受ければ、他の国にも通用する。 情報システムや情報機器が、異なる国々で何度もセキュリティ認証を取得する必要をなくすために、欧州の 標準や米国 標準の後継として、ISO の IS, International Standard となることを目指して開発された。 CC は他のセキュリティ標準(米 等)とは異なり、満たさなければならないセキュリティ要件のリストそのものを規定するのではなく、セキュリティ評価の枠組み()を提供している。 この枠組みの中で、利用者はセキュリティ要件(要求仕様)を指定でき、開発者は製品のセキュリティ属性について主張でき、そして、評価者はそのセキュリティ主張を製品が本当に満たしているかどうかを検査できるようになっている。 すなわち CC は、コンピュータセキュリティ製品の要求仕様を示し、開発し、評価するというプロセスが厳密な方式で行なわれたという保証を提供するものである。 CC は以下の3冊で構成される。 パート1: 概説と一般モデル Introduction and general model• パート2: セキュリティ機能要件 Security functional requirements• パート3: セキュリティ保証要件 Security assurance requirements CC によるセキュリティ評価は、ITSEC (およびその前身であるドイツ BSI 標準の ITS)同様、対象システムのセキュリティ機能性と、信頼性(品質保証)の両面から実施される。 後者においては、使用されている手法の実効性や、実装の正確性が検証されねばならない。 必要な信頼性の度合い、すなわちセキュリティ評価の広さと深さは、通常、EAL (下記参照)として指定される。 CC に基づく評価は、一般にはとても高くつき、それなりに時間もかかる。 評価は認定を受けた評価機関によって実施され、評価結果に対する認証は、CCRA (後述)加盟各国の認証機関(日本の 運営のJISEC 等)だけから受けることができる。 評価機関は、厳格に定められた手続きに則って認定され、定期的に更新を受けなければならない。 最新の規格文書 [ ] セキュリティ評価基準 バージョン3. 1 Release4)2012年9月• (日本語) 主要な概念 [ ] コモンクライテリアでは、以下のように主要な概念が数多く定義されている: プロテクションプロファイル PP, Protection Profile セキュリティ要件(要求仕様)を特定する文書。 通常、利用者(または利用者の団体)が、自分の要求仕様を文書化したもの。 実質的に、セキュリティデバイスの分類を規定している(例えば、デジタル署名用の)。 セキュリティターゲット ST, Security Target ある特定の製品のセキュリティ性能を特定する文書であり、製品を評価・認証するための基礎になる。 通常、製品の開発者が作成する。 ST は(一つ以上の) PP に適合していることを主張してもよく、評価の際は PP 適合主張が満たされているかどうかも検査される。 評価対象 TOE, Target Of Evaluation 簡単に言えば、ST にセキュリティ主張が記述された製品のことである。 セキュリティ機能要件 SFR, Security Functional Requirements 製品が提供する個々のセキュリティ機能を規定する条文。 セキュリティ機能の標準カタログとして CC は SFR のリストを規定しており、利用者が PP を書くときや、開発者が ST を書くときに、必要なものを選んで PP や ST に記載する。 例として、特別な役割をもつ利用者(管理者など)を認証する方法を規定する SFR がある。 CC は ST に含まれるべき SFR を規定しないが、ある機能(例えば、役割に従ってアクセス制限する)が正常に動作するために不可欠な他の機能(例えば、各個人の役割を識別する)を、 依存性として規定している。 セキュリティ保証要件 SAR, Security Assurance Requirements セキュリティ機能性の主張に製品が準拠していることを保証するために、製品開発の間にとられる施策を規定する条文。 例えば、全ソースコードが変更管理システムで保持されていることを要求する、十分な機能テストが行われる perform ことを要求する、など。 上の SFR 同様、CC は SAR のカタログを規定し、必要なものを選んで PP や ST に記載する。 評価保証レベル EAL, Evaluation Assurance Level 製品の開発過程全般をカバーする保証要件のパッケージであり、7段階の厳格さに対応する。 EAL1 は最も基本的(したがって実施するのも評価を受けるのも安あがり)であり、EAL7 は最も厳しい(最も高価)。 通常、ST や PP の著者は保証要件を一つ一つ選ぶことはせず、 EAL を一つ選び、必要であればより高レベルの保証要件をいくつか 追加する。 より高い EAL が必ずしも「より良いセキュリティ」を含意するとは限らず、主張している TOE セキュリティ保証がより広範に検証されたことを意味するに過ぎない。 CC は IT 調達の要件として指定されることがある。 相互運用、システム管理、利用者教育等に関しては、他の標準規格が CC 等の製品標準を補う。 TOE 内の暗号系の実装に関する詳細は、CC の適用領域外である。 代わりに米政府標準 などが暗号モジュールの仕様を規定し、使用する暗号アルゴリズムの仕様については様々な標準がある。 セキュリティ機能要件 [ ] CC の機能要件は、機能分野別に分類されており、セキュリティアーキテクチャの基本的な機能を表現したものとなっている。 前身となった TCSEC などと異なり、セキュリティ強度別の分類ではない。 や、など、セキュリティ製品の種類によって、典型的なセキュリティ機能の範囲を定めた「 プロテクションプロファイル」 PP が作られ、必要な一連の機能要件が記述される。 セキュリティ保証要件 [ ] CC は、評価結果の信頼性を担保するための数多くのセキュリティ保証要件を規定している。 保証要件は PP 評価用( APE クラス)、ST 評価用( ASE クラス)、TOE 評価用(それ以外の大部分)、および追加の枠組み用の四つに大別される。 0, 3. 1 版の TOE 保証要件は ADV 開発 、 AGD ガイダンス文書 、 ALC ライフサイクルサポート 、 ATE テスト および AVA 脆弱性評定 の 5 クラスに大分類され、中分類では 20 ファミリーとなる。 x 版では分類方法が一部異なり、 ACM 構成管理 および、 ADO 配付と運用 を加えた 7 クラス 26 ファミリーである。 EAL [ ] 必要なセキュリティ保証要件を個別に指定するのは煩雑であるばかりでなく、その正当性を検証するのも大変である。 そこで、標準的なセキュリティ保証要件の組がいくつか定義されており、保証パッケージと呼ばれる。 中でも最も重要なのが7段階の EAL(Evaluation Assurance Level, 評価保証レベル)であり、CC において定義されている。 CC EAL E 意味 EAL1 E0-E1 機能テスト D-C1 EAL2 E1 構造化テスト C1 EAL3 E2 方式的テスト、及びチェック C2 EAL4 E3 方式的設計、テスト、及びレビュー B1 EAL5 E4 準形式的設計、及びテスト B2 EAL6 E5 準形式的検証済み設計、及びテスト B3 EAL7 E6 形式的検証済み設計、及びテスト A 統合 TOE [ ] 追加の枠組みを実現する保証要件クラスとしては、3. 0, 3. 1 版には ACO 統合 クラスがある。 これは統合 TOE Composed TOE すなわち TOE 評価が評価・認証済み他社製品に依存する場合の評価の枠組みのために導入された。 保証継続 [ ] 評価・認証済み製品をバージョンアップする際、軽微な変更なら必ずしも再評価(差分評価)せずに、同等の保証が維持されていることを判定できれば効率がよい。 そのための枠組みを意図した保証要件として、CC 2. 1 版には、 AMA 保証維持 クラスがあった。 ところが、効果的な保証維持計画を、初版の認証取得前に TOE 開発者が策定するのは現実的でなく、評価方法も確立されていなかったので 2. 2 版で廃止された。 代わりに、保証継続ガイドライン ACG と呼ばれる手続き方法(保証要件ではない)が CC および CEM とは別枠で導入され、相互承認を含めて実際に運用されている。 共通評価方法 CEM [ ] 共通評価基準であるコモンクライテリアに加え、スポンサー組織および委員会によって、評価結果が理解可能かつ比較可能にするための評価方法が開発された。 正式名称は Common Methodology for Information Technology Security Evaluation(情報セキュリティ評価のための共通方法)だが、共通評価方法 Common Evaluation Methodology の頭文字を採って CEM と呼ばれる。 これは、評価機関が CC 評価を行うための最低限のアクションを記述している。 CEM 2. 3 版までの CEM は EAL1 から EAL4 までの評価に対応している。 0 および 3. 1 版では ADV, ATE, AVA の各クラスは EAL5 まで、他のクラスは全コンポーネントの評価に対応している。 歴史 [ ] 起源 [ ] CC は三つないし四つの標準を起源とする。 第1はの Trusted Computer System Evaluation Criteria , 通称「」である。 に制定され、から が国防関係のシステムを中心に評価・認証を行っている。 第2はヨーロッパの Information Technology Security Evaluation Criteria である。 国内にセキュリティ評価・認証制度をもつ、およびに、を加えた4か国が開発し、にから刊行され、他地域(など)でも採用された。 TCSEC の概念を基にしながら、より柔軟な枠組みをもち、民生品から政府専用製品まで幅広く評価・認証が行われた。 国家間での相互承認、機能主張と保証要件の分離、そして評価基準 ITSEC に加え評価方法マニュアル ITSEM の標準化など、いくつかの点で CC の枠組みの基礎となっている。 第3はの CTCPEC Canadian Trusted Computer Product Evaluation Criteria であり、上記両標準を参考に、各々のアプローチを組み合わせ、に公表された。 第4を挙げるならば、に米国で起草された FC Federal Criteria for Information Technology Security だが、この取組みは早々に CC へと方向転換された。 FC は、元々軍需用の TCSEC を、民需にも使いやすいよう ITSEC の内容も取り入れた改訂版として構想された。 政府の高度機密向けセキュリティを担当し TCSEC を運用する NSA と、それ以外(政府の一般用と民間用)のセキュリティを担当する が共に から FC 開発に取り組み、共に CC 開発に参画した。 統一 [ ] CC は、これら既存の標準規格を統一することによって誕生した。 これにより、防衛機関や情報機関向けにコンピュータ製品を販売する会社は、製品セキュリティ標準の適合性評価を、一つの標準についてだけ評価を受ければ済むようになった。 この統一と国際規格化への道のりには、実に 9年の歳月を要している。 ISO はに、各国がセキュリティ評価結果を相互承認でき、国際 IT 市場に通用するような、汎用かつ国際標準のセキュリティ評価基準の開発を決定した。 6月に、上記 TCSEC, ITSEC, CTCPEC および FC の開発に当たった6か国7組織は、共通の評価基準を共同開発し ISO 規格化することを合意した。 この活動は CC プロジェクトと名付けられ、各々の評価基準を統一し、成果を ISO に提供することを目的とした。 CC プロジェクトは各組織の代表者からなる編集委員会 CC Editorial Board, CCEB を結成して作業を開始し、上記 WG3 に対し規格案を提案した。 WG3 側では反発もあったが、運用実績のある既存の各標準とは別の標準を作ることの不安もあり、結局 WG3 側のエディターを CCEB に参画させることを条件に CC 採用を決めた。 これによって CCEB と WG3 の連携が確立し、CCEB から WG3 に原案を提供し始めた。 両者の調整を経て1月に CC 1. 0 版が完成し、4月には ISO が CD (委員会原案)として採用、配布を承認するに至った。 国際規格化 [ ] CC プロジェクトは 1. 0 版でトライアルユース(試行評価)を何度も行い、評価基準文書のパブリックレビュー()を広範囲に実施した。 試行評価、公開審査、および ISO からのフィードバックを基に CC の大規模な改訂が行われた。 改訂作業と並行して共通評価手法 CEM の開発、およびセキュリティ評価認証結果を各国で相互承認する枠組みの検討も進められた。 10月に CC 2. CC プロジェクトは WG3 のコメントと ISO 加盟各国の CD 投票コメントに基づき CC 2. 0 版を仕上げ、5月に FCD(最終草案)となった。 FCD 投票によって FDIS(最終規格案)化が決定した1998年10月、カナダ、フランス、ドイツ、イギリスおよび米国が MRA に署名した。 CC プロジェクトはその微修正を取り入れ、使いやすく体裁を整えた評価基準文書 CC を発行し、併せて共通評価方法 CEM 初版を発行した。 この CC 文書が、IS と実質的に同一内容、同一効力をもつ 1999年8月の CC 2. 1 版である。 1 版への指摘や問合せで明らかになった問題点は CC プロジェクト内に設けられた委員会 CCIMB で検討され、CC または CEM の修正を要する各々の指摘に対しては、問題の箇所と読み換え方を記した「解釈」 Interpretation と呼ぶ補足書面が発行された。 1月に新規格案として、発行済み解釈を反映した CC と CEM の 2. 2 版が発行された。 8月にはその後の解釈を反映した新たな IS として CC 2. CC バージョン 3 に至るまで [ ] IS 化を成し遂げた CC バージョン 2. x 系(第2版系)はよく練られたセキュリティ評価基準だったが、解釈発行による微修正では済まないような根深い問題がいくつか指摘された。 用語や概念の定義に齟齬や循環がある、評価作業に無駄な重複がある、抽象度の大きく異なる機能要件が混在している、保証要件として内容を評価すべきセキュリティ側面が機能要件として形式しか評価されない、などである。 そのため、再び大規模な改訂の機運が高まり、バージョン 2 のメンテナンス(2. 3 版の IS 化)と並行してバージョン 3 の開発が行われた。 バージョン 3(第3版)で計画された変更点のうち、まず PP と ST の改革を先行して試行評価することとなり、CC と CEM の 2. 2 版に対して PP と ST の仕様・保証要件・評価方法の抜本改訂と、それらとの整合に必要最小限の変更(機能仕様や機能強度など)だけを施した 2. 4 版が 3月に発行された。 4 版は 2. 3 版より早く発行され、パート 2 がない(2. 2 版をそのまま使う)風変わりなテスト版であった。 CC と CEM の 3. 0 版が 6月に発行され、公開審査と試行評価が行われた。 その中で明らかになった問題点を修正した 3. 1 版が 9月に発行された。 0 版ではセキュリティ機能要件も保証要件も大幅に再編された。 ところが、特に機能要件は既存の PP の移植が困難な程の抜本改訂であったので、問題となった。 そのため 3. 1 版の機能要件は 2. 3 版に近いものに戻された。 CCRA: コモンクライテリア承認アレンジメント [ ] コモンクライテリア承認アレンジメント CCRA, Common Criteria Recognition Arrangement は条約に準ずる国際協定である。 CCRA の各加盟国は、他の加盟国でなされた CC 規格評価を相互に承認することになっている。 最初はに MRA(Mutual Recognition Arrangement, 相互承認アレンジメント)という名で、カナダ、フランス、ドイツ、英国および米国が署名し、オーストラリアおよびニュージーランドがに、さらにフィンランド、ギリシア、イスラエル、イタリア、オランダ、ノルウェーおよびスペインがに参加した。 からは日本も参加。 その後 MRA は CCRA に改名され、加盟国は増え続けている。 より高い EAL については、非常に込み入っているので、国境を越えて承認する義務はなく、一部の国において国内限定で評価・認証が行われている。 参考文献 [ ]• 田渕治樹 1999年. 国際セキュリティ標準 ISO 15408のすべて. 日経BP社. 内山政人 2000年. ISO15408情報セキュリティ入門. 東京電機大学出版局. 田渕治樹 2001年. オーム社. 宇賀村直紀 2006年. ISO15408セキュリティ実践解説 : 政府調達の統一基準. ソフトリサーチセンター. 脚注 [ ] []• 10001から 20000まで• 12234• 19092• 20001以上.

次の

「 Criteria 」とは、どう言う意味ですか?

クライテリア 意味

自分が本当に求めている事を把握できていますか? 人は、自分にとって本当に大切な価値観に気付くことが難しいと言われています。 忙しいとなおさらに、自分と向き合うことや頭や心を整理することは中々ありません。 例えば、朝、会社に行って、夜遅くに帰ってくる・・・この繰り返し。 このような生活をしていると、自分の為の時間を取りにくくなり、 自分と向き合う機会が持てなくなります。 しかし、そのような人におすすめでき、今すぐ使えるNLPのスキルがあります。 そのNLPのスキルの名前をクライテリアといいます。 クライテリアは、このような使い方ができます。 ・仕事で大切にしていること ・人生で大切にしていること ・人間関係で大切にしていること など、本当は大切にしているのに、曖昧になっている価値観、 忘れている価値観、気づいていない価値観を明確にすることができます。 では、どうしてクライテリアで価値観を明確にした方がいいのかということですが、 大切にしている価値観は、私達のやる気や感動の原点だからです。 価値観が明確なのと 明確でないのとではやる気も感動も大分違います。 そして、自分が大切にしている 価値観と日々の活動がマッチしていると、能力を発揮しやすくなり目標達成しやすくなります。 そしてそれは、毎日の生活を楽しく充実したものにしてくれます。 では、NLPのクライテリアの手順に入りましょう。 そのたびに、質問を受けた人は一言で答えていきます。 例)信頼、正確性、達成感、目標、お金など。 このような質問を繰り返しながら、優先度を決めていきます。 「信頼と正確性だったら、どちらが大切ですか?」のように。 この質問を繰り返すことによって、 その人の価値観の優先順位を知ることができます。 すでに、NLPでクライテリアを学んで体験した方も、定期的に行うことをおすすめします。 なぜならば価値観や優先度は、状況や環境・時の流れで変わるからです。 そして、定期的に価値観を明確にすることで、思考・行動・結果が変わります。

次の

エクセル中級_仮番3:データベース関数・書式と引数・Criteria_1

クライテリア 意味

日本語で「クライテリア」といえば判断基準といった意味で、設計基準であったり評価基準であったり技術系であれば頻出の単語です。 英語でも criteria で同じ意味で使います。 実は私自身間違えて使って指摘されたのですが、criteria は criterion の複数形です。 どうも日本語の「クライテリア」が染み付いたのか、単数形のように使ってしまいました。 We have only one criteria. We have only one criterion. 実は単数形のように criteria を使って多少間違ってもあまり聞いていて気にならないというか、間違っているケースもよく見られるそうです。 ただ上のように only one とまでつけたので気になったようです。 each とか every とかも気を付けたいです。 通常基準は箇条書きになるように複数あるので criteria のほうが良く使うのですが、一つだけになったときは気をつけて使い分ける必要がありますね。 Our criteria is as followings. Our criterion is as followings. Our criteria are as followings. ついでですが phenomenon は現象といった意味で単数形で、複数形はphenomenaですね。

次の