セキュリティアドミニストレータ？のつぶやき

昨日、コモンクライテリア（ＣＣ）に関する研修会を受けて来ました。
コモンクライテリアとは製品やシステムについて開発者が宣言するだけのセキュリティ要件を満たしているか、開発者、ユーザー以外の第三者が認証するものです。

コモンクライテリアという制度がある意味は、
セキュリティ要件は、開発者はそれに自信を持って作っている一方、ユーザーは（特に使ってセキュリティ事故が起こるまで）分からないという点から、第三者が認証する方が、ユーザーにとっては安心が得られ、開発者は外部的な評価が得られるという意味があるそうです。

開発者にとってのメリットは、認証を受けた以外の国（条約締結国に限り）でも自己の開発した製品が自己が宣言したレベルのセキュリティ要件を満たしているとされて、製品が使用される機会が増えるということだそうです。

コモンクライテリアは、国際基準ＩＳＯ１５４０８に基づくものだそうです。（どうでも良いことですが、ＩＳＯ１５４０８はセキュリティのレベルを宣言するための文章用例を定めたものだそうです。）

ただ、データを見るとコモンクライテリアの認証件数が日本では、現在の段階では５０件程度。お話によると申請から認証まで２ヶ月～６ヶ月かかるそうです。
何となく、難しそうな認証だなという気がしました。
（ちょっと今のところ私的にはビジネスにはならないようです・・・。）