筆者らは，情報技術セキュリティの評価基準であるCommon Criteria（CC）に関して，評価機関，ベンダ，研究者が集まる国際会議に出席した．同会議において2014年9月8日付で，本評価基準に基づく評価結果を相互に承認する国際的なアレンジメントであるCC承認アレンジメントの改訂版発効が発表された． 新しいアレンジメントに基づき，今後CC承認アレンジメント（CCRA）加盟各国が製品ベンダや評価機関，研究者と協力し技術分野ごとに共通のPP（cPP: Collaborative PP）を開発するとともに，加盟各国の政府調達でのcPP活用を促進することが新たに宣言された．本稿では， CC について，①CCとは何か？　②CCにおける認証制度はどのようになっているのか？　③本会議で発表されたcPP活用により，国際社会におけるCCはどのように変わっていくと想定できるのかについて，所見を述べたい． 1

病院内の物と人、情報をネットワークでつなぎ、収集したビッグデータを解析して医療機器の稼働率向上や病院経営の改善につなげる――。米General Electric（GE）社が推進するインダストリアル・インターネット（IoT）の“病院版”として、GEヘルスケアが打ち出した「Brilliant Hospital」構想（関連記事1）。その第一の矢が放たれた。 GEヘルスケア・ジャパンが「2016 国際医用画像総合展（ITEM 2016）」に出展した「Brilliant RaDi」がそれ。放射線科の検査効率改善を支援するサービスだ。

日本に対する組織的なサイバー攻撃のターゲットが、政府機関や防衛産業から、電力、石油、ガス、金融、交通、建設といったインフラ関連の民間企業へシフトしている――。米国のセキュリティベンダーである米Cylanceが2016年2月末、このようなレポートを公表した。 Cylanceによれば日本に対する組織的なサイバー攻撃を行っているのは「アジアに拠点を置く脅威グループ」で、同社はレポートで一連の攻撃を「Operation Dust Storm（砂嵐大作戦）」と名付けている。同レポートによれば「砂嵐大作戦」に関連する攻撃は2010年にまで遡れるという。 この犯行グループの攻撃の特徴は、ターゲットとする企業の社内のパソコンに「バックドア」を仕掛け、その企業から長期的に情報を盗み出すことにある。バッグドアは犯行グループからの指示を受け取ったり、盗み出した情報を社外に送り出したりする際に「コントロールサーバ

三菱総合研究所と日本ビジネスシステムズ（JBS）は2016年2月25日、「医療機関向けクラウドサービス対応セキュリティリファレンス」を公開した（画面）。マイクロソフトのパブリッククラウドサービス「Microsoft Azure」を対象にしたもので、医療機関のシステムに求められるセキュリティ対策に関するMicrosoft Azureの対応状況をまとめた。 このセキュリティリファレンスでは、三つの省が公開する医療機関向けのガイドライン4種に対して、Microsoft Azureの対応状況を調査している。厚生労働省の「医療情報システムの安全管理に関するガイドライン　第4.2版」、総務省の「ASP・SaaSにおける情報セキュリティ対策ガイドライン」「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン　第1.1版」、経済産業省の「医療情報を受託管理する情報処理事業者における安