この規格ページの目次
JIS X 5070-1:2011 規格概要
この規格 X5070-1は、ITセキュリティ評価の一般的な概念及び原理を定め,IT製品のセキュリティ特性を評価する基盤として用いることを意図した規格の様々な部分によって与えられる評価の一般モデルについて規定。
JISX5070-1 規格全文情報
- 規格番号
- JIS X5070-1
- 規格名称
- セキュリティ技術―情報技術セキュリティの評価基準―第1部 : 総則及び一般モデル
- 規格名称英語訳
- Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 1:Introduction and general model
- 制定年月日
- 2000年7月20日
- 最新改正日
- 2015年10月20日
- JIS 閲覧
- ‐
- 対応国際規格
ISO
- ISO/IEC 15408-1:2009(IDT)
- 国際規格分類
ICS
- 35.040
- 主務大臣
- 経済産業
- JISハンドブック
- 情報セキュリティ・LAN・バーコード・RFID 2019
- 改訂:履歴
- 2000-07-20 制定日, 2004-11-20 確認日, 2011-01-20 改正日, 2015-10-20 確認
- ページ
- JIS X 5070-1:2011 PDF [74]
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
pdf 目 次
ページ
- 序文・・・・[1]
- 1 適用範囲・・・・[2]
- 2 引用規格・・・・[3]
- 3 用語及び定義・・・・[3]
- 3.1 この規格類で共通の用語及び定義・・・・[3]
- 3.2 ADVクラスに関連する用語及び定義・・・・[11]
- 3.3 AGDクラスに関連する用語及び定義・・・・[16]
- 3.4 ALCクラスに関連する用語及び定義・・・・[16]
- 3.5 AVAクラスに関連する用語及び定義・・・・[20]
- 3.6 ACOクラスに関連する用語及び定義・・・・[21]
- 4 略語・・・・[21]
- 5 概要・・・・[22]
- 5.1 一般・・・・[22]
- 5.2 TOE・・・・[22]
- 5.3 この規格類の対象読者・・・・[23]
- 5.4 この規格類の各部・・・・[24]
- 5.5 評価の枠組み・・・・[25]
- 6 一般モデル・・・・[25]
- 6.1 序説及び一般モデル・・・・[25]
- 6.2 資産及び対抗策・・・・[26]
- 6.3 評価・・・・[30]
- 7 セキュリティ要件の調整(tailoring)・・・・[30]
- 7.1 操作(Operations)・・・・[30]
- 7.2 コンポーネント間の依存性・・・・[33]
- 7.3 拡張コンポーネント・・・・[33]
- 8 プロテクションプロファイル及びパッケージ・・・・[34]
- 8.1 序説・・・・[34]
- 8.2 パッケージ・・・・[34]
- 8.3 プロテクションプロファイル・・・・[34]
- 8.4 PP及びパッケージの使用・・・・[37]
- 8.5 複数のプロテクションプロファイルの使用・・・・[37]
- 9 評価結果・・・・[37]
- 9.1 序説・・・・[37]
- 9.2 PP評価の結果・・・・[38]
- 9.3 ST評価を含むTOE評価の結果・・・・[38]
(pdf 一覧ページ番号 1)
――――― [JIS X 5070-1 pdf 1] ―――――
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
pdf 目次
ページ
- 9.4 適合主張・・・・[38]
- 9.5 ST評価を含むTOE評価の結果の利用・・・・[39]
- 附属書A(参考)セキュリティターゲットの仕様・・・・[41]
- 附属書B(参考)プロテクションプロファイルの仕様・・・・[57]
- 附属書C(参考)操作の指針・・・・[62]
- 附属書D(参考)PP適合・・・・[65]
附属書JA(参考)ISO/IEC 15408-2 Part 2: Security functional components第2部 : セキュリティ機能コ
ンポーネント 66
附属書JB(参考)ISO/IEC 15408-3 Part 3: Security assurance components第3部 : セキュリティ保証コ
ンポーネント 69
- 参考文献・・・・[71]
(pdf 一覧ページ番号 2)
――――― [JIS X 5070-1 pdf 2] ―――――
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
まえがき
この規格は,工業標準化法に基づき,日本工業標準調査会の審議を経て,経済産業大臣が改正した日本
工業規格である。
これによって,JIS X 5070-1:2000は改正され,この規格に置き換えられ,JIS X 5070-2:2000及びJIS X
5070-3:2000は廃止された。
この規格は,著作権法で保護対象となっている著作物である。
この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意
を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実
用新案権に関わる確認について,責任はもたない。
(pdf 一覧ページ番号 3)
――――― [JIS X 5070-1 pdf 3] ―――――
日本工業規格(日本産業規格) JIS
X 5070-1 : 2011
(ISO/IEC 15408-1 : 2009)
セキュリティ技術−情報技術セキュリティの評価基準−第1部 : 総則及び一般モデル
Information technology-Security techniques-Evaluation criteria for IT security-Part 1: Introduction and general model
序文
この規格は,2009年に第3版として発行されたISO/IEC 15408-1を基に,技術的内容を変更することな
く作成した日本工業規格(日本産業規格)である。ただし,附属書JA及び附属書JBは,対応国際規格にはない参考事項で
ある。
なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。
この規格を含むJIS X 5070規格類(JIS X 5070-1:2011,ISO/IEC 15408-2:2008及びISO/IEC 15408-3:2008)
は,評価機関の行った,異なるセキュリティ評価の結果を比較可能にする。この規格類は,セキュリティ
評価のときにIT製品のセキュリティ機能及びそのIT製品に適応される保証手段に対する共通の要件群を
提供することによって,この比較を可能にする。IT製品はハードウェア,ファームウェア,又はソフトウ
ェアのいずれで実装されてもよい。
注記1 日本工業規格(日本産業規格)では部で構成する規格がある場合,この部編成の規格全体を総称して,“規格
群”という。この規格では,日本工業規格(日本産業規格)になっていない国際規格を含めて,規格群をいう
場合は,“規格類”と呼ぶ。また,この規格では,日本工業規格(日本産業規格)になっていない国際規格を,
ISO/IEC 15408-2:2008を第2部及びISO/IEC 15408-3:2008を第3部という。
注記2 附属書JAに,第2部の目次を示し,附属書JBに,第3部の目次を示している。
評価過程は,IT製品のセキュリティ機能とIT製品に適用される保証手段とがこれらの要件を満たすと
いうレベルの信頼を確立する。評価結果は,そのIT製品が利用者のセキュリティ要求を満たすか否かを利
用者が判断する際の手助けになるであろう。
この規格類は,セキュリティ機能をもつIT製品の開発,評価,及び/又は購入のための指針として役立
つものである。
この規格類は,多種多様なIT製品の様々なセキュリティ特性に対して,多様な評価方法を適用できるよ
うに,意図的に柔軟性をもたせてある。したがって,この柔軟性が誤用されないように,注意を払うのが
望ましい。例えば,この規格類を使用する場合,不適切な評価方法,不適切なセキュリティ特性,又は不
適切なIT製品に対しては,無意味な評価結果を生じるかもしれない。
このため,IT製品が評価を受けたという事実は,評価対象のセキュリティ特性と使用された評価方法と
の枠組みにおいてだけ意味をもつ。認証機関は,製品,特性及び方法を慎重に点検して,評価によって有
――――― [JIS X 5070-1 pdf 4] ―――――
2
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
意な結果が提供されることを確認するのが望ましい。また,評価対象の製品の購入者は,評価対象の製品
が購入者の固有な状況及び要求にとって有用であり,適用可能であるかどうかを判断するために,この枠
組みを慎重に検討するのが望ましい。
この規格類は,漏えい(洩),改ざん,又はサービス停止から資産を守る方法に関するものである。この
3種類のセキュリティ確保の失敗に関する保護の分類は,一般にそれぞれ,機密性,完全性及び可用性と
呼ばれている。この規格類はこの3種類以外のITセキュリティの観点にも適用してもよい。この規格類は,
(悪意のある,又は悪意はない)人間の活動から生じるリスク及び人間以外の活動から生じるリスクに適
用可能である。ITセキュリティから離れて,この規格類はITの他の領域に適用してもよいが,この領域
への適用性については何も主張していない。
幾つかの項目には,専門的な技法が必要であったり,ITセキュリティにとってあまり重要でなかったり
することから,この規格類の範囲外とみなされるものがある。これらの項目の一部を次に示す。
a) この規格類は,ITセキュリティ機能に直接関係しない管理上のセキュリティ手段に関するセキュリテ
ィ評価基準を含まない。しかし,多くの場合,セキュリティのかなりの部分が組織管理,人事管理,
物理管理,手順管理などの管理手段によって実現可能なこと又は支援可能なことがある。
b) 電磁波放射制御など,ITセキュリティの技術的な物理的側面の評価は特に対象としていないが,この
規格類で扱われる概念の多くはその領域に適用することができる。
c) この規格類は,基準を適用するときに使用すべき評価方法については扱わない。この方法は,ISO/IEC
18045による。
d) この規格類は,機関が基準を適用する上での管理上及び法律上の枠組みについては扱わない。しかし,
こうした枠組みの状況の下で評価を行う場合にこの規格類を用いることができる。
e) 認定(accreditation)に評価結果を用いるための手続は,この規格類で扱わない。認定は,非IT部分
全てを含む,運用環境全体におけるIT製品(又はその集合体)の運用を,機関が承諾するための管理
行為をいう。評価プロセスの結果は,認定プロセスへの入力となる。しかし,非IT関連の特性の評定,
及びITセキュリティ部分と非IT関連との関係の評定のためには,他の手法の方がより適しているた
め,認定機関(accreditor)はこれらの側面に対して別の手法を利用するのがよい。
f) 暗号化アルゴリズム固有の品質評定のための基準は,この規格類の適用対象外とする。暗号の数学的
特性に対して別途評定が必要な場合,この規格類が適用される評価制度は,そのような評定について
規定しなければならない。
1 適用範囲
この規格は,ITセキュリティ評価の一般的な概念及び原理を定め,IT製品のセキュリティ特性を評価す
る基盤として用いることを意図した規格の様々な部分によって与えられる評価の一般モデルについて規定
する。
この規格は,この規格類の全ての規格の概観を示す。この規格はこの規格類の様々な規格を記述し,こ
の規格類の全ての規格で使用される用語及び略語を定義し,評価対象(TOE)の基本的な概念を定め,評
価の枠組みを定め,評価基準が対象とする利用者を規定する。この規格はIT製品の評価に必要な基本的な
セキュリティの概念を紹介する。
この規格は,様々な操作を定義する。それらの操作によって,この規格類の第2部及び第3部に記述さ
れている機能コンポーネント及び保証コンポーネントを調整できる。
この規格は,プロテクションプロファイル(PP)の主要な概念,セキュリティ要件のパッケージ及び適
――――― [JIS X 5070-1 pdf 5] ―――――
次のページ PDF 6
JIS X 5070-1:2011の引用国際規格 ISO 一覧
- ISO/IEC 15408-1:2009(IDT)
JIS X 5070-1:2011の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.040 : 文字セット及び符号化