クライテリア 意味。 基本のビジネス用語45選! 新社会人なら知っておきたいしごと語辞典

カットオーバークライテリア(移行判定基準)とは

クライテリア 意味

IT 製品や情報システムに対して、を評価し認証するための評価基準を定めている。 正式名称は " Common Criteria for Information Technology Security Evaluation"(情報技術セキュリティ評価のためのコモンクライテリア)である。 2019年3月時点においては「バージョン3. 1 リリース5(2017年4月)」が最新版である。 日本では コモンクライテリアまたは CC と呼ばれるほか、 情報技術セキュリティ評価基準、 ITセキュリティ評価基準、広く一般的には セキュリティ評価基準などと呼ばれる。 現在ではが、日本の「ITセキュリティ評価及び認証制度(JISEC:Japan Information Technology Security Evaluation and Certification Scheme)」 における認証機関を運営している。 概要 [ ] CC は 現在世界20 か国以上で政府調達基準とされており、日本においても、政府におけるIT製品・システムの調達に関して CC 評価・認証取得された製品の利用が推進されている。 また、CCRA加盟国のうちの一国において一度CC評価・認証を受ければ、他の国にも通用する。 情報システムや情報機器が、異なる国々で何度もセキュリティ認証を取得する必要をなくすために、欧州の 標準や米国 標準の後継として、ISO の IS, International Standard となることを目指して開発された。 CC は他のセキュリティ標準(米 等)とは異なり、満たさなければならないセキュリティ要件のリストそのものを規定するのではなく、セキュリティ評価の枠組み()を提供している。 この枠組みの中で、利用者はセキュリティ要件(要求仕様)を指定でき、開発者は製品のセキュリティ属性について主張でき、そして、評価者はそのセキュリティ主張を製品が本当に満たしているかどうかを検査できるようになっている。 すなわち CC は、コンピュータセキュリティ製品の要求仕様を示し、開発し、評価するというプロセスが厳密な方式で行なわれたという保証を提供するものである。 CC は以下の3冊で構成される。 パート1: 概説と一般モデル Introduction and general model• パート2: セキュリティ機能要件 Security functional requirements• パート3: セキュリティ保証要件 Security assurance requirements CC によるセキュリティ評価は、ITSEC (およびその前身であるドイツ BSI 標準の ITS)同様、対象システムのセキュリティ機能性と、信頼性(品質保証)の両面から実施される。 後者においては、使用されている手法の実効性や、実装の正確性が検証されねばならない。 必要な信頼性の度合い、すなわちセキュリティ評価の広さと深さは、通常、EAL (下記参照)として指定される。 CC に基づく評価は、一般にはとても高くつき、それなりに時間もかかる。 評価は認定を受けた評価機関によって実施され、評価結果に対する認証は、CCRA (後述)加盟各国の認証機関(日本の 運営のJISEC 等)だけから受けることができる。 評価機関は、厳格に定められた手続きに則って認定され、定期的に更新を受けなければならない。 最新の規格文書 [ ] セキュリティ評価基準 バージョン3. 1 Release4)2012年9月• (日本語) 主要な概念 [ ] コモンクライテリアでは、以下のように主要な概念が数多く定義されている: プロテクションプロファイル PP, Protection Profile セキュリティ要件(要求仕様)を特定する文書。 通常、利用者(または利用者の団体)が、自分の要求仕様を文書化したもの。 実質的に、セキュリティデバイスの分類を規定している(例えば、デジタル署名用の)。 セキュリティターゲット ST, Security Target ある特定の製品のセキュリティ性能を特定する文書であり、製品を評価・認証するための基礎になる。 通常、製品の開発者が作成する。 ST は(一つ以上の) PP に適合していることを主張してもよく、評価の際は PP 適合主張が満たされているかどうかも検査される。 評価対象 TOE, Target Of Evaluation 簡単に言えば、ST にセキュリティ主張が記述された製品のことである。 セキュリティ機能要件 SFR, Security Functional Requirements 製品が提供する個々のセキュリティ機能を規定する条文。 セキュリティ機能の標準カタログとして CC は SFR のリストを規定しており、利用者が PP を書くときや、開発者が ST を書くときに、必要なものを選んで PP や ST に記載する。 例として、特別な役割をもつ利用者(管理者など)を認証する方法を規定する SFR がある。 CC は ST に含まれるべき SFR を規定しないが、ある機能(例えば、役割に従ってアクセス制限する)が正常に動作するために不可欠な他の機能(例えば、各個人の役割を識別する)を、 依存性として規定している。 セキュリティ保証要件 SAR, Security Assurance Requirements セキュリティ機能性の主張に製品が準拠していることを保証するために、製品開発の間にとられる施策を規定する条文。 例えば、全ソースコードが変更管理システムで保持されていることを要求する、十分な機能テストが行われる perform ことを要求する、など。 上の SFR 同様、CC は SAR のカタログを規定し、必要なものを選んで PP や ST に記載する。 評価保証レベル EAL, Evaluation Assurance Level 製品の開発過程全般をカバーする保証要件のパッケージであり、7段階の厳格さに対応する。 EAL1 は最も基本的(したがって実施するのも評価を受けるのも安あがり)であり、EAL7 は最も厳しい(最も高価)。 通常、ST や PP の著者は保証要件を一つ一つ選ぶことはせず、 EAL を一つ選び、必要であればより高レベルの保証要件をいくつか 追加する。 より高い EAL が必ずしも「より良いセキュリティ」を含意するとは限らず、主張している TOE セキュリティ保証がより広範に検証されたことを意味するに過ぎない。 CC は IT 調達の要件として指定されることがある。 相互運用、システム管理、利用者教育等に関しては、他の標準規格が CC 等の製品標準を補う。 TOE 内の暗号系の実装に関する詳細は、CC の適用領域外である。 代わりに米政府標準 などが暗号モジュールの仕様を規定し、使用する暗号アルゴリズムの仕様については様々な標準がある。 セキュリティ機能要件 [ ] CC の機能要件は、機能分野別に分類されており、セキュリティアーキテクチャの基本的な機能を表現したものとなっている。 前身となった TCSEC などと異なり、セキュリティ強度別の分類ではない。 や、など、セキュリティ製品の種類によって、典型的なセキュリティ機能の範囲を定めた「 プロテクションプロファイル」 PP が作られ、必要な一連の機能要件が記述される。 セキュリティ保証要件 [ ] CC は、評価結果の信頼性を担保するための数多くのセキュリティ保証要件を規定している。 保証要件は PP 評価用( APE クラス)、ST 評価用( ASE クラス)、TOE 評価用(それ以外の大部分)、および追加の枠組み用の四つに大別される。 0, 3. 1 版の TOE 保証要件は ADV 開発 、 AGD ガイダンス文書 、 ALC ライフサイクルサポート 、 ATE テスト および AVA 脆弱性評定 の 5 クラスに大分類され、中分類では 20 ファミリーとなる。 x 版では分類方法が一部異なり、 ACM 構成管理 および、 ADO 配付と運用 を加えた 7 クラス 26 ファミリーである。 EAL [ ] 必要なセキュリティ保証要件を個別に指定するのは煩雑であるばかりでなく、その正当性を検証するのも大変である。 そこで、標準的なセキュリティ保証要件の組がいくつか定義されており、保証パッケージと呼ばれる。 中でも最も重要なのが7段階の EAL(Evaluation Assurance Level, 評価保証レベル)であり、CC において定義されている。 CC EAL E 意味 EAL1 E0-E1 機能テスト D-C1 EAL2 E1 構造化テスト C1 EAL3 E2 方式的テスト、及びチェック C2 EAL4 E3 方式的設計、テスト、及びレビュー B1 EAL5 E4 準形式的設計、及びテスト B2 EAL6 E5 準形式的検証済み設計、及びテスト B3 EAL7 E6 形式的検証済み設計、及びテスト A 統合 TOE [ ] 追加の枠組みを実現する保証要件クラスとしては、3. 0, 3. 1 版には ACO 統合 クラスがある。 これは統合 TOE Composed TOE すなわち TOE 評価が評価・認証済み他社製品に依存する場合の評価の枠組みのために導入された。 保証継続 [ ] 評価・認証済み製品をバージョンアップする際、軽微な変更なら必ずしも再評価(差分評価)せずに、同等の保証が維持されていることを判定できれば効率がよい。 そのための枠組みを意図した保証要件として、CC 2. 1 版には、 AMA 保証維持 クラスがあった。 ところが、効果的な保証維持計画を、初版の認証取得前に TOE 開発者が策定するのは現実的でなく、評価方法も確立されていなかったので 2. 2 版で廃止された。 代わりに、保証継続ガイドライン ACG と呼ばれる手続き方法(保証要件ではない)が CC および CEM とは別枠で導入され、相互承認を含めて実際に運用されている。 共通評価方法 CEM [ ] 共通評価基準であるコモンクライテリアに加え、スポンサー組織および委員会によって、評価結果が理解可能かつ比較可能にするための評価方法が開発された。 正式名称は Common Methodology for Information Technology Security Evaluation(情報セキュリティ評価のための共通方法)だが、共通評価方法 Common Evaluation Methodology の頭文字を採って CEM と呼ばれる。 これは、評価機関が CC 評価を行うための最低限のアクションを記述している。 CEM 2. 3 版までの CEM は EAL1 から EAL4 までの評価に対応している。 0 および 3. 1 版では ADV, ATE, AVA の各クラスは EAL5 まで、他のクラスは全コンポーネントの評価に対応している。 歴史 [ ] 起源 [ ] CC は三つないし四つの標準を起源とする。 第1はの Trusted Computer System Evaluation Criteria , 通称「」である。 に制定され、から が国防関係のシステムを中心に評価・認証を行っている。 第2はヨーロッパの Information Technology Security Evaluation Criteria である。 国内にセキュリティ評価・認証制度をもつ、およびに、を加えた4か国が開発し、にから刊行され、他地域(など)でも採用された。 TCSEC の概念を基にしながら、より柔軟な枠組みをもち、民生品から政府専用製品まで幅広く評価・認証が行われた。 国家間での相互承認、機能主張と保証要件の分離、そして評価基準 ITSEC に加え評価方法マニュアル ITSEM の標準化など、いくつかの点で CC の枠組みの基礎となっている。 第3はの CTCPEC Canadian Trusted Computer Product Evaluation Criteria であり、上記両標準を参考に、各々のアプローチを組み合わせ、に公表された。 第4を挙げるならば、に米国で起草された FC Federal Criteria for Information Technology Security だが、この取組みは早々に CC へと方向転換された。 FC は、元々軍需用の TCSEC を、民需にも使いやすいよう ITSEC の内容も取り入れた改訂版として構想された。 政府の高度機密向けセキュリティを担当し TCSEC を運用する NSA と、それ以外(政府の一般用と民間用)のセキュリティを担当する が共に から FC 開発に取り組み、共に CC 開発に参画した。 統一 [ ] CC は、これら既存の標準規格を統一することによって誕生した。 これにより、防衛機関や情報機関向けにコンピュータ製品を販売する会社は、製品セキュリティ標準の適合性評価を、一つの標準についてだけ評価を受ければ済むようになった。 この統一と国際規格化への道のりには、実に 9年の歳月を要している。 ISO はに、各国がセキュリティ評価結果を相互承認でき、国際 IT 市場に通用するような、汎用かつ国際標準のセキュリティ評価基準の開発を決定した。 6月に、上記 TCSEC, ITSEC, CTCPEC および FC の開発に当たった6か国7組織は、共通の評価基準を共同開発し ISO 規格化することを合意した。 この活動は CC プロジェクトと名付けられ、各々の評価基準を統一し、成果を ISO に提供することを目的とした。 CC プロジェクトは各組織の代表者からなる編集委員会 CC Editorial Board, CCEB を結成して作業を開始し、上記 WG3 に対し規格案を提案した。 WG3 側では反発もあったが、運用実績のある既存の各標準とは別の標準を作ることの不安もあり、結局 WG3 側のエディターを CCEB に参画させることを条件に CC 採用を決めた。 これによって CCEB と WG3 の連携が確立し、CCEB から WG3 に原案を提供し始めた。 両者の調整を経て1月に CC 1. 0 版が完成し、4月には ISO が CD (委員会原案)として採用、配布を承認するに至った。 国際規格化 [ ] CC プロジェクトは 1. 0 版でトライアルユース(試行評価)を何度も行い、評価基準文書のパブリックレビュー()を広範囲に実施した。 試行評価、公開審査、および ISO からのフィードバックを基に CC の大規模な改訂が行われた。 改訂作業と並行して共通評価手法 CEM の開発、およびセキュリティ評価認証結果を各国で相互承認する枠組みの検討も進められた。 10月に CC 2. CC プロジェクトは WG3 のコメントと ISO 加盟各国の CD 投票コメントに基づき CC 2. 0 版を仕上げ、5月に FCD(最終草案)となった。 FCD 投票によって FDIS(最終規格案)化が決定した1998年10月、カナダ、フランス、ドイツ、イギリスおよび米国が MRA に署名した。 CC プロジェクトはその微修正を取り入れ、使いやすく体裁を整えた評価基準文書 CC を発行し、併せて共通評価方法 CEM 初版を発行した。 この CC 文書が、IS と実質的に同一内容、同一効力をもつ 1999年8月の CC 2. 1 版である。 1 版への指摘や問合せで明らかになった問題点は CC プロジェクト内に設けられた委員会 CCIMB で検討され、CC または CEM の修正を要する各々の指摘に対しては、問題の箇所と読み換え方を記した「解釈」 Interpretation と呼ぶ補足書面が発行された。 1月に新規格案として、発行済み解釈を反映した CC と CEM の 2. 2 版が発行された。 8月にはその後の解釈を反映した新たな IS として CC 2. CC バージョン 3 に至るまで [ ] IS 化を成し遂げた CC バージョン 2. x 系(第2版系)はよく練られたセキュリティ評価基準だったが、解釈発行による微修正では済まないような根深い問題がいくつか指摘された。 用語や概念の定義に齟齬や循環がある、評価作業に無駄な重複がある、抽象度の大きく異なる機能要件が混在している、保証要件として内容を評価すべきセキュリティ側面が機能要件として形式しか評価されない、などである。 そのため、再び大規模な改訂の機運が高まり、バージョン 2 のメンテナンス(2. 3 版の IS 化)と並行してバージョン 3 の開発が行われた。 バージョン 3(第3版)で計画された変更点のうち、まず PP と ST の改革を先行して試行評価することとなり、CC と CEM の 2. 2 版に対して PP と ST の仕様・保証要件・評価方法の抜本改訂と、それらとの整合に必要最小限の変更(機能仕様や機能強度など)だけを施した 2. 4 版が 3月に発行された。 4 版は 2. 3 版より早く発行され、パート 2 がない(2. 2 版をそのまま使う)風変わりなテスト版であった。 CC と CEM の 3. 0 版が 6月に発行され、公開審査と試行評価が行われた。 その中で明らかになった問題点を修正した 3. 1 版が 9月に発行された。 0 版ではセキュリティ機能要件も保証要件も大幅に再編された。 ところが、特に機能要件は既存の PP の移植が困難な程の抜本改訂であったので、問題となった。 そのため 3. 1 版の機能要件は 2. 3 版に近いものに戻された。 CCRA: コモンクライテリア承認アレンジメント [ ] コモンクライテリア承認アレンジメント CCRA, Common Criteria Recognition Arrangement は条約に準ずる国際協定である。 CCRA の各加盟国は、他の加盟国でなされた CC 規格評価を相互に承認することになっている。 最初はに MRA(Mutual Recognition Arrangement, 相互承認アレンジメント)という名で、カナダ、フランス、ドイツ、英国および米国が署名し、オーストラリアおよびニュージーランドがに、さらにフィンランド、ギリシア、イスラエル、イタリア、オランダ、ノルウェーおよびスペインがに参加した。 からは日本も参加。 その後 MRA は CCRA に改名され、加盟国は増え続けている。 より高い EAL については、非常に込み入っているので、国境を越えて承認する義務はなく、一部の国において国内限定で評価・認証が行われている。 参考文献 [ ]• 田渕治樹 1999年. 国際セキュリティ標準 ISO 15408のすべて. 日経BP社. 内山政人 2000年. ISO15408情報セキュリティ入門. 東京電機大学出版局. 田渕治樹 2001年. オーム社. 宇賀村直紀 2006年. ISO15408セキュリティ実践解説 : 政府調達の統一基準. ソフトリサーチセンター. 脚注 [ ] []• 10001から 20000まで• 12234• 19092• 20001以上.

次の

設計クライテリア

クライテリア 意味

STOPP クライテリア 不適切の基準です。 詳細は、がオススメです。 参考文献:Int J Clin Pharmacol Ther. 2008〔PMID : 18218287〕 STOPP criteria ver. 2 2015年改訂 上記同様に、がオススメです。 Section A: 薬剤適応 Section B: 心血管系 Section C: 抗血小板薬・抗凝固薬 Section D: 中枢神経系・精神科系 Section E: 腎臓系(以下の薬剤はeGFRで測定した腎機能による急性もしくは慢性腎障害患者で潜在的に不適切な薬剤) Section F:消化器系 Section G: 呼吸器系 Section H: 筋骨格系 Section I: 泌尿器科系 Section J. 参考文献:Age Ageing. 2007〔PMID : 17881418〕 ポリファーマシー(多剤併用)改善の考え方やその対策が11日、都内で開かれた日本臨床薬理学会学術総会で討議された。 登壇した総合診療医らは、「薬の数が多いことだけではなく、その中身が問題になる」「今の医学教育は、薬の足し算は得意だが、引き算は教えていない」「効果を優先して安全性を顧みることが不足している」などと説明。 その改善に向け、各診療科に対する横断的なアプローチができる薬剤師の役割に期待感を示した。 基本的には薬の数の多さが問題になるが、「数が少なくても、本来投与すべき薬剤が投与されていないために不適切処方になる場合もある。 一方、数が多かったとしても適切な場合もある。 数だけでなく、処方の内容や質が問題になる」と強調。 ポリファーマシーを含めた不適切処方の是正に取り組むよう訴えた。 出典:【臨床薬理学会学術総会】ポリファーマシー改善で議論-診療科横断的アプローチを 関連ページと参考図書.

次の

STOPPクライテリア、STARTクライテリア|ポリファーマシー解決法

クライテリア 意味

こんにちは、しごとのみらいの竹内義晴です。 この週末は、新潟市のヒューマンアカデミーさんで、土曜日はのプラクティショナーコース、日曜日はマスタープラクティショナーコースでした。 NLPには「クライテリア」という考え方があります。 クライテリアとは、何かしらの「判断基準」のこと。 私たちは何かしらの行動をするとき、自分の中の、ある「価値」や「判断基準」を元にしています。 たとえば、「あなたにとって、仕事で大切なことはなんですか?」という問いに、多くの人は「お金」「やりがい」「充実感」のように答えると思います。 しかし、朝起きて、会社に行って、仕事をして、帰ってきて、寝るという普段の生活の中では、「仕事で大切なこと」など、考えることはあまりありません。 忙しい人ほど、その傾向があるかもしれません。 また、仮に考えていたとしても、人は物事を大雑把に捉えているので、「仕事で大切なことは、お金だ」「やりがいだ」「楽しさだ」ぐらいにしか、考えていないものです。 仕事に限った話ではありません。 恋愛、生活、健康など、さまざまなシーンでもそうです。 「自分にとって大切なこと」があいまいなために、モヤモヤした気持ちのまま毎日を過ごすことになり、なんとなく時間に流されている感じがしている方もいるかもしれません。 このようなときの、「頭の整理」に役立つのが「クライテリア」です。 クライテリアのやり方をざっくり書くと...... 頭を整理したいテーマ(「仕事」「恋愛」「生活」「健康」など)を決める• テーマに対して「価値」を10個ほど洗い出す。 使う質問は「(テーマ)で大切なことはなんですか?」• 「価値」を大切なものから順番に並び替える• それぞれの「価値」に対する「判断基準」を明確にする。 使う質問は「(テーマ)が手に入ったと、どのようにしてわかりますか?」• 「価値」と「判断基準」を明確にしたものを、大切なものから改めて並び替えてみる この流れで考えると、「自分にとって本当に大切なこと」や「今すべきこと」が見えてきて、頭の中が整理できます。 たとえば、私が仕事で最も大切なことは「楽しさ」だと思っていました。 しかし、本当に大切な価値や判断基準を改めて整理してみたら、本当に大切なのは「やりたい仕事をやっているか否か」でした。 「楽しさ」はその結果であって、今やるべきことは、本当にやりたい仕事をていねいにやること。 今やるべきことが明確になり、頭の中がスッキリ整理できました。 多くの受講生も、「大切なものは分かっているつもりだったけれど、やってみたら全く違っていた」とのこと。 自分のために加えて、職場でやってみると、チームの価値観が共有できていいでしょう。 価値や判断基準は環境や経験によっても変わります。 時々、整理してみると効果的です。

次の