IPA 個人情報処理システム用セキュリティターゲット: まるちゃんの情報セキュリティ気まぐれ日記

2006.02.02

　こんにちは、丸山満彦です。IPAの回し者ではありません（笑）。IPAより、「個人情報処理システム用セキュリティターゲット」が2006.01.31に公表されていますね。

　全体像が見えづらく詳細な記述が多い、略語が多い、カタカナ英語が多いというのが、わかりにくい理由ですかね。

　わかりにくいものは使われません。使う側の問題だけでなく、利用する側の問題もあるので・・・＝＞CC

＝＝＝重要な用語だけちょっと簡単に説明＝＝＝

ST=Security Target (セキュリティ目標)
　評価対象となるIT製品又はシステム等が備えるべきセキュリティ機能に対する要件とその仕様をまとめたセキュリティ設計仕様書。開発者が利用者に理解してもらうために作成するもので、開発のために作成するものではない。

TOE=Target Of Evaluation(評価対象)
　評価対象となるIT製品又はシステム、それらに関連する管理者及び使用者の手引書(例えば、利用者マニュアル、ガイダンス、インストール手順書など）のこと。

＝＝＝＝＝＝

丸山さんこんにちは。
貴重な情報ありがとうございます。

「個人情報処理システム用セキュリティターゲット」

個人情報保護を専門とする自分としては、これは見なければと思って早速チェックしたのですが、確かに難しいというか、わかりにくいですね。

プライバシーマークを取得する企業にここまでの水準を求めるのは難しいと思います。

もう少し段階を下げた内容になっていればよかったのにと思うと、残念です。

ではでは。

最適解さん、コメントありがとうございます。そうなんです、Common Criteriaはわかりにくいです。人に理解させようと考えている規格とは思えないんですよね・・・。残念だなぁ・・・。

Posted by: 丸山満彦 | 2006.02.02 23:26