EAL 4+認証とは何ですか?

EAL 4+(評価保証レベル4拡張)は、製品が独立した検査機関によって系統的に設計、テスト、およびレビューされたことを示すCommon Criteria認証です。ソースコード分析および独立した脆弱性テストが含まれ、商用製品における最高レベルの実用的保証を表します。

どの国がEAL 4+認証を認めていますか?

EAL 4+は2つの国際協定の下で認められています。CCRA(Common Criteria相互承認協定)は、米国、カナダ、英国、ドイツ、フランス、日本、オーストラリアを含む31カ国をカバーします。SOG-IS MRAは、17の欧州諸国においてEAL 4+まで完全な相互承認を提供します。

なぜEAL 4+がエンタープライズセキュリティにとって重要なのですか?

EAL 4+認証は、セキュリティ管理が主張どおりに機能することの独立した検証を提供します。政府契約、重要インフラプロジェクト、金融や医療などの規制産業において、しばしば要求されます。マーケティングの主張を超えたベンダーのセキュリティへのコミットメントを実証します。

TR7がEAL 4+ Common Criteria認証を取得

公式発表

TR7は、厳格な独立セキュリティ評価の結果、EAL 4+(評価保証レベル4拡張)Common Criteria認証の取得に成功しました。この認証は、商用製品における最高レベルの実用的基準に対して、TR7のセキュリティアーキテクチャおよび実装を検証するものです。

公式証明書を表示(PDF)

貴組織にとっての意義

エンタープライズまたは政府への導入においてセキュリティインフラストラクチャを選択する際、製品のセキュリティに関する主張が実際に真実であることをどのように検証しますか?マーケティング資料やベンダーの主張だけでは不十分です。ここで独立した認証が重要になります。

Common Criteria(ISO/IEC 15408)は、ITセキュリティ製品を評価するための国際的に認められたフレームワークです。TR7のEAL 4+認証は、当社のセキュリティ機能が認定検査機関によるソースコード分析、設計ドキュメントレビュー、および包括的な侵入テストを通じて独立的に検証されたことを意味します。

コンプライアンス、政府契約、または内部セキュリティポリシーのために、実証可能なセキュリティ保証を必要とする組織にとって、EAL 4+は必要な証拠を提供します。

Common Criteriaポータル ISO/IEC 15408標準

世界的な認知度の概要

EAL 4+認証は、相互承認協定を通じて国際的な認知度を提供し、国ごとの認証を必要としません。

CCRA加盟国

Common Criteria相互承認協定の下での完全な相互承認

Common Criteriaポータル

SOG-IS加盟国

EAL 4+までの欧州相互承認

SOG-ISポータル

EAL 4+

保証レベル

商用製品における最高レベルの実用的保証

ISO 15408

国際標準

世界的に受け入れられた評価基準

EALレベルの理解

Common Criteriaは7つの評価保証レベル(EAL 1-7)を定義しており、それぞれセキュリティ評価における厳格さの増加を表しています。

レベル	名称	主な特徴	一般的な用途
EAL 1	機能的にテスト済み	基本的な機能テスト	低リスク商用製品
EAL 2	構造的にテスト済み	構造分析、開発者テストレビュー	標準商用製品
EAL 3	系統的にテスト済み	系統的テスト、構成管理	中程度のセキュリティ環境
EAL 4	系統的に設計、テスト、レビュー済み	ソースコードレビュー、独立テスト	高セキュリティ商用製品
EAL 4+	拡張(TR7)	EAL 4に追加の保証コンポーネント	政府および重要インフラ
EAL 5-7	準形式的/形式的に検証済み	数学的証明、形式的手法	軍事、情報システム

Common Criteriaユーザーガイド

EAL 4+評価に含まれるもの

EAL 4+は基本的なテストをはるかに超えています。評価プロセスには以下が含まれます。

ソースコード分析

独立した検査機関が、ドキュメントだけでなく実際のソースコードをレビューします。セキュリティに重要な機能は、実装の正確性および潜在的な脆弱性について分析されます。

独立侵入テスト

評価者は、公開されている脆弱性情報に基づいて独自の侵入テストを実施します。ベンダーが提供したテスト結果のみに依存しません。

設計ドキュメントレビュー

脅威モデル、セキュリティポリシーの実施、モジュールインターフェースを含む、完全なセキュリティアーキテクチャドキュメントがレビューされます。

構成管理

バージョン管理、ビルドプロセス、および安全な配信メカニズムを含む、開発ライフサイクル管理が検証されます。

CCRA:31カ国での承認

Common Criteria相互承認協定(CCRA)は、ITセキュリティ証明書の相互承認のための主要な国際協定です。1998年にカナダ、フランス、ドイツ、英国、米国によって最初に署名されたCCRAは、現在すべての大陸にわたる31の加盟国を含むまでに拡大しました。

CCRAの下では、ある加盟国で認証された製品は、追加の評価を必要とせず、他のすべての加盟国で認められます。これにより、各市場ごとに個別の認証を取得するという禁止的なコストと時間が排除されます。

CCRA加盟国には、米国、カナダ、英国、ドイツ、フランス、オーストラリア、日本、韓国、インド、シンガポールなど、主要市場が含まれています。国際的に事業を展開する組織にとって、これはTR7の認証が導入するすべての場所で有効であることを意味します。

CCRA加盟国リスト

SOG-IS MRA:EAL 4+までの欧州全域での承認

欧州への導入については、情報システムセキュリティ高官グループ相互承認協定(SOG-IS MRA)が追加の承認層を提供します。新規証明書についてEAL 2までしか完全な相互承認を提供しないCCRAとは異なり、SOG-IS MRAはEAL 4+まで完全な相互承認を提供します。

SOG-IS MRA署名国には、フランス(ANSSI)、ドイツ(BSI)、オーストリア、スペイン、フィンランド、イタリア、オランダ、ノルウェー、スウェーデン、英国が含まれます。これは、TR7のEAL 4+認証が欧州の最も厳しいセキュリティ環境において完全に認められていることを意味します。

EU機関、欧州政府契約、または厳格なセキュリティポリシーを持つEU本社のエンタープライズ向けの製品を必要とする組織にとって、SOG-IS MRA承認はしばしば要件となります。

SOG-IS MRA公式サイト ANSSI国際協定

EAL 4+が最も重要な分野

政府および防衛

米国連邦政府機関(FedRAMP整合)
NATO加盟国への導入
EU機関のセキュリティ要件
国家重要インフラ保護

金融サービス

銀行規制コンプライアンス
決済処理インフラ
取引プラットフォームセキュリティ
保険データ保護

医療およびライフサイエンス

患者データ保護(HIPAA)
医療機器接続
臨床試験データセキュリティ
製薬知的財産保護

コンプライアンスフレームワークとの整合

EAL 4+認証は、他の主要なセキュリティフレームワークとのコンプライアンスをサポートおよび強化します。

PCI DSS v4.0

要件6.4.2は自動WAF保護を義務付けています。EAL 4+認証済みWAFを使用することで、QSA監査時のセキュリティ管理の有効性に関する証拠を提供します。

NISTサイバーセキュリティフレームワーク

Common Criteria評価は、保護機能における検証済みセキュリティ特性を持つ製品の使用を強調するNIST CSFと整合しています。

ISO 27001

EAL 4+認証製品は、システムの取得、開発、保守に関連する附属書A管理策のための文書化された証拠を提供します。

SOC 2

独立して認証されたセキュリティ製品の使用は、セキュリティの共通基準をサポートし、ベンダー選定におけるデューディリジェンスを実証します。

認証が重要な理由

多くのベンダーが自社製品が「セキュア」または「エンタープライズ対応」であると主張していますが、Common Criteria認証に必要な厳格な独立評価を受けているのはごくわずかです。EAL 4+は自己評価やチェックリストではありません。ソースコードおよび設計ドキュメントへの完全なアクセスを持つ認定検査機関による数か月の評価が必要です。セキュリティベンダーを評価する際は、「貴社の製品はCommon Criteria認証済みですか?どのレベルですか?」と尋ねてください。

TR7の認証済みセキュリティ機能

TR7のEAL 4+認証は、以下を含む完全なADCプラットフォームをカバーしています。

Webアプリケーションファイアウォール

独立して検証された検出およびブロック機能を備えたOWASP Top 10およびAPIセキュリティ保護。

アプリケーションデリバリー

セッション処理およびSSL/TLS終端のための認証済みセキュリティ管理を備えたロードバランシングおよびトラフィック管理。

アクセス管理

セキュリティ機能要件に対して検証された認証、認可、およびアクセス制御メカニズム。

セキュリティ監視

認証済み完全性保護を備えた監査ログ、アラート、およびセキュリティイベント管理。

よくある質問

EAL 4+評価は通常、開始から認証まで12〜18か月かかります。これには、ドキュメント準備、検査機関によるテスト、政府スキームレビューが含まれます。厳格なスケジュールは、必要な分析の深さを反映しています。

要件は国および機関によって異なります。多くの場合、機密情報または機密性の高い情報を扱う製品にはEAL 4以上が必要です。義務付けられていない場合でも、EAL 4+認証は政府調達評価において差別化要因となることがよくあります。

CCRAは31カ国間で相互承認を提供し、新規証明書についてはEAL 2まで義務的な承認があります。SOG-IS MRAは、17の加盟国間でEAL 4+まで完全な相互承認を提供する欧州協定です。TR7の認証は両方の協定の下で認められています。

認証は、セキュリティ機能が文書化されたとおりに機能し、既知の攻撃パターンに対してテストされたという保証を提供します。製品が無敵であることを保証するものではありません。製品に無敵なものはありません。しかし、セキュリティが独立した専門家によって系統的に設計、実装、検証されたことを実証します。

Common Criteria認証はバージョン固有です。TR7は、厳格な変更管理プロセスを通じて認証を維持し、セキュリティ関連の更新は保証継続手順を通じて評価され、継続的なコンプライアンスを確保します。

結論

TR7のEAL 4+ Common Criteria認証は、実証可能なセキュリティへの重要な投資を表しています。マーケティングの主張以上のものを必要とする組織(規制要件、政府契約、または内部セキュリティポリシーのため)にとって、この認証は、TR7のセキュリティアーキテクチャおよび実装が最高レベルの実用的基準を満たしていることの独立した検証を提供します。

31のCCRA加盟国での承認、および欧州におけるSOG-IS MRAの下でのEAL 4+完全承認により、TR7は国際的に認められた認証に裏付けられた世界的に導入可能なセキュリティソリューションを提供します。セキュリティ保証が重要な場合は、それを証明できるベンダーを選択してください。

エンタープライズ向け認証済みセキュリティ

TR7のEAL 4+認証済みADCプラットフォームが貴組織のセキュリティおよびコンプライアンス要件をどのように満たすかをご確認ください。当社チームが認証ドキュメントを提供し、特定の導入シナリオについて説明いたします。

お問い合わせ