【主要内容】 情報処理製品や運用システムが間違いなく動作することの確からしさを「セキュリティ保証」と呼ぶ。それを確認するのが「セキュリティ評価」である。この確認手法が、ISO規格として国際規格(コモンクライテリアV3(ISO/IEC 15408))になっている。業務や運用システムに負荷を与えない必要最小限のセキュリティ機能(データの暗号化などの技術的なもの、教育や規則の制定などの管理的なもの)をどのように策定すればよいか。運用システムを構成するオペレーティングシステム、ミドルウェア製品や業務プログラム、端末機器やICカードなどのセキュリティ機能の保証を確保するには、どのようにこれらの製品を開発するか。個々にセキュリティ機能の保証が確保された製品群をどのようにインテグレートして運用システムを構築し、全体として、セキュリティ機能の保証を確保するか。どのように運用して、セキュリティ機能の保証を維持していくか。本書は、情報処理にかかわる製品や運用システムの開発者、インテグレータや運用者、加えて発注者、評価者やレビュアーまでを読者対象として、必須の情報を解説する。
【主要目次】 第1部 情報セキュリティ機能の保証 第2部 セキュリティ目標 第3部 セキュリティ機能と機能用件 第4部 セキュリティ機能の開発と運用 付録A 情報セキュリティ管理機能コンポーネント 付録B セキュリティ脅威とセキュリティ対策方針事例 付録C 情報処理製品/システムの脆弱性識別とその対策事例 付録D セキュリティ対策と機能要件