「水と空気と安全はタダ」　外国との比較において日本人の考え方がこのように表現されるが、我々の周囲の変化はこれを許してくれなくなっていることに、賢明な諸兄は気づいておられるものと思う。このフレーズの「タダ」には、「求めずとも与えられている」というニュアンスと、「お金を払うような対象ではない」というニュアンスが含まれているように思う。今や清冽な水も空気も費用を投じて求めなくては得られなくなった。
　「安全」も同様に「タダ」でもなければ、座して与えられる物でもない。従来の実社会「リアルワールド」においては警察を始めとする国家や地方自治体が、税金を費やして安全の確保にあたり、警備保安ビジネスも伸びている。
　加えて近年急速に普及してきた情報の世界「サイバーワールド」での安全確保「セキュリティ」は、リアルワールドとは異質なテクノロジーのため、警察をはじめとする従来の安全確保の仕組みも十分に機能できていないのが現状であり、情報システムのセキュリティはサイバーワールドの市民であるすべての情報システム利用者や関係者にとって、避けられない責務となっている。
　この点の認識と実績では日本より欧米が先行している。また情報セキュリティ対策のような、機械的な対応だけでは処理できず、人間のメンタルワークを求められる領域への客観性の導入、標準化についても優れた成果を挙げている。その一つの集大成が本書で取り上げる情報セキュリティ評価基準「ISO15408」である。
　情報セキュリティ評価という考え方も制度も持たない日本にとっては、それが先行各国の国内標準を経て国際標準が作られるまでに成熟したものであることに大きなギャップを感じる。さらに10数年に及ぶ各国の経験を盛り込んだその内容の網羅性は、これから情報セキュリティに取り組む我々にとってたいへん優れた指針となる。ISO15408は情報セキュリティの世界での辞書となり、その用語は情報セキュリティの標準語になっていくであろうと信ずる。
　ISO15408は1999年6月に国際標準となり、同年、この標準のインポートによる国内標準化が開始され、2000年にはJIS標準（JIS X 5070）として制定される見込みである。しかしながら、情報セキュリティは日本において馴染みが少ないうえ、セキュリティ的な発想は得意とはいえない。このことは、われわれがセキュリティに関する言葉をあまり持っておらず、情報セキュリティ用語を的確に表現できる日本語がない場面に遭遇して強く感じる。それ故、ISO15408に限らず情報セキュリティに関して実際に取り組み、利用する場合は、大変であっても和訳だけでなく原文を読み、参照することを強くお勧めする。
　そうは言うものの、本書が取り上げたISO15408は大変に量が多く、かつ初めて読む者にとって馴染みのない考え方も少なくない。本書を執筆した目的は、日本で情報システムに関わる皆さんが、一刻も早く情報セキュリティの重要性、情報セキュリティ評価基準や情報セキュリティ評価・認証制度の重要性を理解され、それらを活用して電子商取引「eビジネス」を始めとするサイバーワールドでの安全と繁栄を享受することに少しでも貢献することと、 ISO15408を筆者が読んで理解したポイントをまとめて、ISO15408を少しでも容易に読み、利用していただくための道しるべになることを願ってである。
　情報セキュリティ評価基準に関して、日本では日本電子工業振興協会「JEIDA」が委員会のテーマとして取り上げたのが最初で、その後1998年からは情報処理振興事業協会「IPA」セキュリティセンターにおいてセキュリティ評価の実施に向けた調査研究と技術開発が続けられ、2000年には電子商取引安全技術研究組合「ECSEC」も業種横断的な取り組みを始めている。
　筆者は、1997年から1999年にかけてIPAセキュリティセンターに研究員として出向し、セキュリティ評価・認証の調査研究にあたった。日本における最初の公的取り組みのスタートに直接関われたのはたいへん幸せであった。ここを借りて、セキュリティ評価・認証の調査研究を支援していただいたIPAの役員各位、直接的に御指導いただいた前セキュリティセンター所長前川徹氏並びに通産省機情局情報セキュリティ政策室各位、また一緒に調査研究にあたったセキュリティセンターの皆さんに感謝申し上げます。
　最後に、本書を企画され、執筆にあたって御支援をいただいた、東京電機大学出版局の植村八潮氏、菊地雅之氏に心から感謝申し上げます。
　2000年4月

著者しるす