新入社員アヤ:「課長、この前の会議で『EAL』っていう言葉が出てきたんですけど、何ですか?」
課長:「お、いい質問だな。EALはEvaluation Assurance Level(評価保証レベル)の略で、IT製品やシステムの『セキュリティ評価の信頼度』を示す国際的な基準だ。数字が上がるほど評価が厳しくなって、信頼性も高いとされる。」
アヤ:「信頼性のレベルって…どうやって決めるんですか?」
課長:「例えば、鍵の頑丈さを試すテストを想像してみろ。簡単なテストに合格すれば低いレベル、あらゆる攻撃パターンや細かい設計チェックまでやれば高いレベルになる。EALはEAL1からEAL7まであって、EAL1は『とりあえず試験した』程度、EAL7は『数学的に安全性を証明した』レベルなんだ。」
アヤ:「なるほど!じゃあ銀行のシステムや軍事用の機器はEALが高いってことですか?」
課長:「そうだな。ただし、高いレベルが常に必要というわけじゃない。コストや開発スピードとのバランスもある。例えば一般的な企業の社内システムならEAL2〜4あたりが多い。」
アヤ:「似たような用語ってありますか?」
課長:「あるぞ。例えばISO/IEC 15408(通称Common Criteria、CC)という国際規格があって、その中で使われる評価基準のひとつがEALだ。特にEAL4〜EAL7は、CCRA(Common Criteria Recognition Arrangement)という国際承認制度で相互認証される範囲に含まれる。EALは『どれだけ深く評価されたか』を示すもので、製品の機能そのものを表すわけじゃないんだ。」
アヤ:「じゃあ違いを表にしてくれませんか?」
| 用語 | 内容 | 関係性 |
|---|---|---|
| EAL | セキュリティ評価の保証レベル(1〜7) | CCの中で評価の深さを示す要素 |
| Common Criteria(CC) | 情報セキュリティ製品の国際評価規格 | EALを含む枠組み |
課長:「つまり、CCという大きな枠の中で、EALが『どのくらい念入りに安全性を確認したか』を示しているんだ。」
アヤ:「わかりました!EALは製品の強さじゃなくて、どれだけ丁寧に安全性を調べたかの指標なんですね。」
総務省のセキュリティ調達基準
総務省では、政府調達や自治体システムのセキュリティを確保するため、Common Criteria認証を取得した製品を推奨しており、その際にEALレベルが参照される。特に行政機関向けの暗号機器や認証サーバはEAL4以上が求められる場合がある。
事例:政府電子調達システム
政府電子調達(GEPS)やマイナンバーカード関連の認証装置では、EAL4+の評価を受けたセキュリティモジュールが採用されている。これにより、設計・開発プロセスの厳格な検証と、攻撃耐性の確認が保証される。
事例:海外の軍事・金融分野
米国防総省や欧州の大手銀行では、通信暗号化装置やファイアウォールにEAL5以上の製品が採用されるケースもある。ただし、高レベルほど開発コストが膨らむため、利用分野は限定的。
情報源:
EALの数値が高いほど何が高まる?
A. 製品の動作速度
B. セキュリティ評価の信頼度
C. 価格の安さ
EALはどの国際規格の中で使われる?
A. ISO/IEC 15408(Common Criteria)
B. ISO/IEC 27001(情報セキュリティマネジメント)
C. PCI DSS(クレジットカード業界基準)
EALとCCの関係で正しいのはどれ?
A. EALはCCの一部で、評価の深さを示す
B. EALはCCと同じ意味
C. EALは製品の機能一覧を示す
回答と解説
B(数値が高いほどセキュリティ評価の信頼度が高い)
A(Common Criteriaの中で使われる)
A(EALはCCの中で評価の深さを示す要素)