※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
このテクニカル レポートは、TOE のソフトウェア要素について、ISO/IEC 18045:2008 で概説されている脆弱性分析アクティビティに追加の改良、詳細、およびガイダンスを提供することを目的としています。具体的には、「公開ソースからの潜在的な脆弱性の識別」(AVA_VAN.1.2E/2.2E/3.2E/4.2E) および「侵入テスト」(AVA_VAN.1.3E/2.4E/3.4) の改良と明確化を追加することを意図しています。 E/4.4E) 評価者のアクションは、関連する潜在的な脆弱性の検索、識別、およびテストに関して現在不正確です。このテクニカル レポートは、ソフトウェアの弱点と攻撃パターンに関する国際アドホック標準リソースを利用して、潜在的な脆弱性を客観的に検索、特定、フィルタリング、およびテストするためのアプローチに関するガイダンスを提供します。このガイダンスを通じて特定された関連するソフトウェアの弱点と攻撃パターンのセットは、分析のための最小限のセットを表しています
ISO/IEC 15408 評価の AVA_VAN 保証ファミリーの下で。追加の弱点と攻撃パターンは、特定の国家スキーム、技術コミュニティ、関連する保護プロファイル、またはその他の情報源によって関連性があると判断される場合があります。これらの標準的な構造化リソースを利用する際、ここで定義されたアプローチには、TOE セキュリティ評価プロセスと同様に、TOE 開発プロセスにも等しく適用できるという追加の利点があります。これは、アドホックに定義されているか、構造化された保証ケースの一部として定義されているかにかかわらず、開発中に識別およびテストされた関連する脆弱性と攻撃パターンは、TOE 固有の関連する脆弱性と攻撃パターンのセットに有利な開始テンプレートを提供できることを意味します。セキュリティ評価。
このテクニカル レポートは、ISO/IEC 18045 と組み合わせて使用することを意図しており、ISO/IEC 18045 の補遺として使用することを目的としています。
このテクニカル レポートは、考えられるすべての脆弱性分析方法、特に ISO/IEC 18045 で概説されている活動の範囲外のものには対応していません。一般的な脆弱性の列挙 (CWE) および一般的な攻撃パターンの列挙と分類 (CAPEC) を使用します。可能性のある攻撃を特定します。評価者による他の適切な識別リソースの使用を排除するものではありません。
このテクニカル レポートの対象読者は、ISO/IEC 15408 を適用する評価者と、評価者のアクションを確認する認証者、開発者、PP/ST 作成者 (テクニカル コミュニティを含む)、評価者スポンサー、および IT セキュリティに関心のあるその他の関係者です。
このテクニカル レポートでは、IT セキュリティ評価に関するすべての疑問が解決されるわけではなく、さらなる解釈が必要になることを認識しています。個々のスキームは、そのような解釈やその他のガイダンスをどのように扱うかを決定しますが、これらは相互承認協定の対象となる可能性があります.
Introduction
This Technical Report is intended to provide added refinement, detail and guidance to the vulnerability analysis activities outlined in ISO/IEC 18045:2008 for the software elements of a TOE. Specifically, it is intended to add refinement and clarification of the “Potential vulnerability identification from public sources” (AVA_VAN.1.2E/2.2E/3.2E/4.2E) and “Penetration testing” (AVA_VAN.1.3E/2.4E/3.4E/4.4E) evaluator actions, which are currently imprecise in regards to searching for, identifying and testing relevant potential vulnerabilities. This Technical Report provides guidance on an approach to objectively search for, identify, filter and test potential vulnerabilities utilizing international ad hoc standard resources for software weaknesses and attack patterns. The set of relevant software weaknesses and attack patterns identified through this guidance represent a minimal set for analysis
under the AVA_VAN assurance family in an ISO/IEC 15408 evaluation. Additional weaknesses and attack patterns may be determined relevant by specific national schemes, technical communities, associated protection profiles or other sources. In utilizing these standard structured resources, the approach defined here has the added benefit of being equally applicable to the TOE development process as it does to the TOE security evaluation process. This means that relevant weaknesses and attack patterns identified and tested for during development, whether defined ad hoc or as part of a structured assurance case, can provide a head start template for a TOE-specific set of relevant weaknesses and attack patterns for use in the security evaluation.
This Technical Report is intended to be used in conjunction with and, as an addendum to, ISO/IEC 18045.
This Technical Report does not address all possible vulnerability analysis methods, in particular those that fall outside the scope of the activities outlined in ISO/IEC 18045. It uses the common weakness enumeration (CWE) and the common attack pattern enumeration and classification (CAPEC) to identify possible attacks. It does not preclude the use of other appropriate identification resources by evaluators.
The target audience for this Technical Report is evaluators applying ISO/IEC 15408 and certifiers confirming evaluator actions, developers, PP/ST authors (to include Technical Communities), evaluator sponsors and other parties interested in IT security.
This Technical Report recognizes that not all questions concerning IT security evaluation will be answered herein and that further interpretations will be needed. Individual schemes will determine how to handle such interpretations and other guidance, although these can be subject to mutual recognition agreements.