小林聡美
名前:小林 聡美(こばやし さとみ) ニックネーム:さと・さとみん 年齢:25歳 性別:女性 職業:季節・暮らし系ブログを運営するブロガー/たまにライター業も受注 居住地:東京都杉並区・阿佐ヶ谷の1Kアパート(築15年・駅徒歩7分) 出身地:長野県松本市(自然と山に囲まれた町で育つ) 身長:158cm 血液型:A型 誕生日:1999年5月12日 趣味: ・カフェで執筆&読書(特にエッセイと季節の暮らし本) ・季節の写真を撮ること(桜・紅葉・初雪など) ・和菓子&お茶めぐり ・街歩きと神社巡り ・レトロ雑貨収集 ・Netflixで癒し系ドラマ鑑賞 性格:落ち着いていると言われるが、心の中は好奇心旺盛。丁寧でコツコツ型、感性豊か。慎重派だけどやると決めたことはとことん追求するタイプ。ちょっと天然で方向音痴。ひとり時間が好きだが、人の話を聞くのも得意。 1日のタイムスケジュール(平日): 時間 行動 6:30 起床。白湯を飲んでストレッチ、ベランダから天気をチェック 7:00 朝ごはん兼SNSチェック(Instagram・Xに季節の写真を投稿することも) 8:00 自宅のデスクでブログ作成・リサーチ開始 10:30 近所のカフェに移動して作業(記事執筆・写真整理) 12:30 昼食。カフェかコンビニおにぎり+味噌汁 13:00 午後の執筆タイム。主に記事の構成づくりや装飾、アイキャッチ作成など 16:00 夕方の散歩・写真撮影(神社や商店街。季節の風景探し) 17:30 帰宅して軽めの家事(洗濯・夕飯準備) 18:30 晩ごはん&YouTube or Netflixでリラックス 20:00 投稿記事の最終チェック・予約投稿設定 21:30 読書や日記タイム(今日の出来事や感じたことをメモ) 23:00 就寝前のストレッチ&アロマ。23:30に就寝
ISO15408とISO27001の違いを理解する:目的・範囲・認証の基本を押さえよう
ISO15408は通称Common Criteriaと呼ばれ、IT製品のセキュリティがどれだけ信頼できるかを第三者機関が検証する「製品レベルの評価基準」です。保護対象となる機能を Security Target に、どの程度の検証が行われたかを EAL(評価保証レベル)で示します。製品自体の安全性を保証する点が特徴で、スマートフォンのチップや組み込み機器、ソフトウェアなど多様な製品に適用されます。
対して ISO27001は情報セキュリティマネジメントシステムの国際規格で、組織全体の情報資産をどう守るかという「管理体制」の構築と改善を目的とします。リスクアセスメント、方針、教育、物理的防護、監査といった要素を組み合わせ、PDCAサイクルを回して継続的な改善を図ります。
この二つの本質的な違いは対象の範囲と認証の性質です。Common Criteriaは製品レベルの保証、ISO27001は組織レベルの管理です。実務では、顧客が求める信頼の形に合わせて使い分けます。
例として、銀行が販売するアプリのハードウェアセキュリティとソフトウェア機能を CC で評価して信頼性を示しつつ、同じ銀行が内部でISMSを運用してデータ全体のリスクを管理するといった組み合わせが現場で行われています。
導入の際の注意点としては、費用・期間・範囲を慎重に見積もり、必要な範囲だけを評価・認証する計画を立てることです。
総じて、CCは製品の信頼性を証明し、ISMSは組織の信頼性を維持する仕組みとして、互いに補完し合います。
実務での違いと使い分けのポイント
実務では、どちらを選ぶべきかは「何を守るべきか」によって決まります。
もしあなたが作る製品やサービスが市場に出る前提で、製品そのもののセキュリティを第三者に保証したい場合は ISO15408(Common Criteria)の検証を検討します。
この場合は、セキュリティ要件を定義する保護プロファイルを作成し、対象ソフトウェアやハードウェアを評価機関に提出して評価を受けます。
評価には時間がかかることが多く、機能要件の追加や新しい脆弱性対応のたびに再評価が必要になるケースもあります。
一方、組織全体の情報資産を守る仕組みを作りたいのであれば ISO27001が適しています。
リスクアセスメント、管理策の導入、文書化、教育、内部監査、経営層の承認などを通じて、ISMSを改善していきます。
このプロセスは数か月から場合によっては年単位で動くこともあり、組織の規模と複雑さに応じて計画を立てることが重要です。
表や図を使って理解を深めるのも有効です。以下の比較表は、代表的な違いをざっくり整理したものです。
| 要素 | ISO15408(Common Criteria) | ISO27001 |
|---|---|---|
| 対象 | 製品・ソフトウェア・ハードウェア | 組織の情報セキュリティ管理 |
| 認証主体 | 評価機関 | 認証機関 |
| 目的 | 製品のセキュリティ保証 | ISMSの管理と改善 |
| 主な文書 | Protection Profile, Security Target | ISMSポリシー、リスクアセスメント、管理策 |
| 適用範囲 | 製品の信頼性・安全性 | 組織の全情報資産 |
小ネタ
ある日の放課後、友達とセキュリティの話をしていて、ISO27001という言葉が出てきた。
友人は「組織全体の守り方を決める設計図みたいだよね」と言い、私はうなずきながら説明を続けた。ISO27001は人・手順・技術を結びつけ、データの取り扱いルール、責任者、監査の仕組みを整えることが大事だ。組織全体の文化と手順を作ることが本質で、技術だけでは不十分だという点を強調する。
この雑談の中で、ISO27001を理解するコツは「リスクを見える化して、対策を段階的に実行すること」だと分かった。これを知ってから、私は学校の情報管理にも気を配るようになった。
ITの人気記事
