43
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
は,使いやすさ及び理解しやすさが主な課題である。この役割においてSTをどのように使用すれば
よいかについてA.11で説明する。
A.3.2 望ましくないSTの使用法
(STの多くの役割の中から)STが果たさない方がよい二つの役割を次に示す。
・ 詳細な仕様 : STは,比較的抽象レベルの高いセキュリティ仕様を記述する。一般に,STには詳細な
プロトコル仕様,アルゴリズム及び/又は機構の詳細な説明,詳細にわたる運用の長い説明などを含
まない方がよい。
・ 完全な仕様 : STは,セキュリティ仕様を記述したものであって,全体の仕様ではない。セキュリティ
に関係する場合を除いて,相互運用性,物理的な寸法及び重さ,定格電圧などの特性は,STの一部分
でない方がよい。これは一般に,STは,それ自体が完全な仕様ではなく,完全な仕様の一部分であっ
ても差し支えないということを意味する。
A.4 ST概説(ASEINT)
ST概説では,次の三つの抽象レベルについて叙述的な方法でTOEを説明する。
a) T参照及びTOE参照。ST及びSTが参照するTOEの識別情報を提供する。
b) OE概要。TOEを簡潔に説明する。
c) OE記述。TOEをより詳細に説明する。
A.4.1 ST参照及びTOE参照
STは,特定のSTを指し示す明確なST参照を含む。典型的なST参照は,名称,バージョン,作成者及
び発行日から構成する。“MauveRAM Database ST,バージョン1.3,MauveCorp Specification Team,2002
年10月11日”は,ST参照の記述例である。
STは,STへの適合を主張するTOEを指し示すTOE参照も含む。典型的なTOE参照は,開発者名,TOE
の名称及びTOEのバージョン番号から構成する。“MauveCorp MauveRAM Database v2.11”は,TOE参照
の記述例である。単一のTOEが,例えば,TOEの様々な利用者によって,何度も評価を受け,その結果,
複数のSTが存在する場合には,ST参照は一意である必要はない。
TOEが一つ以上の既知の製品から構成される場合,その製品名を挙げて,このことをTOE参照に記述
することができる。ただし,利用者に,次のような誤解を与えてはならない,すなわち,主要な部分又は
セキュリティ機能が,その評価において熟慮されていない状況であるにもかかわらず,このことを記述し
ていないTOE参照は,認められない。
ST参照及びTOE参照は,ST及びTOEに索引を付け,これらを参照すること及び評価済みのTOE又は
製品のリストにこれらを掲載することを容易にする。
A.4.2 TOE概要
TOE概要は,自らのセキュリティの必要性を満たし,自らが使用するハードウェア,ソフトウェア及び
ファームウェアで稼動するTOEを見つけるために評価済みのTOE又は製品のリストを調べようとする,
TOEの潜在的な利用者のためのものである。TOE概要の一般的な長さは,数段落である。
このため,TOE概要は,TOEの使用方法及びその主要なセキュリティの特徴について簡潔に説明し,TOE
の種別及びTOEが必要とするTOE以外の主要なハードウェア,ソフトウェア及びファームウェアが何で
あるかを示す。
――――― [JIS X 5070-1 pdf 46] ―――――
44
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
A.4.2.1 TOEの使用方法及び主要なセキュリティの特徴
TOEの使用方法及び主要なセキュリティの特徴に関する記述は,セキュリティの点からTOEが潜在的
にもつ能力及びセキュリティに関連したTOEの用途についての,ごく一般的な知識を与えることを目的と
する。この記述は,(潜在的な)TOEの利用者のために,業務運用の視点から,TOEの使用方法及び主要
なセキュリティの特徴についてTOEの利用者が分かる表現を使用して記述するのがよい。この記述例を次
に示す。
例 MauveCorp MauveRAM Database v2.11は,ネットワーク環境での使用を想定した複数利用者向け
のデータベースである。このデータベースは,1 024人の利用者が同時利用できる。このデータベ
ースは,パスワード又はトークンによる認証及び生体認証が使用でき,偶発的なデータ破損を防
止し,10 000トランザクションをロールバックすることができる。このデータベースの監査の特
徴は,一部の利用者及びトランザクションに対する詳細な監査が,それ以外の利用者及びトラン
ザクションのプライバシを保護しつつ,実施できるように,高度に設定ができることである。
A.4.2.2 TOE種別
TOE概要には,ファイアウォール,VPNファイアウォール,スマートカード,暗号化モデム,イントラ
ネット,ウェブサーバ,データベース,ウェブサーバ及びデータベース,LAN,ウェブサーバ及びデータ
ベースを伴うLANなどの,TOEの一般的な種別を示す。
TOEが上記のように容易に種別が記載できない場合には,“なし(none)”を使用することができる。
TOE種別は,幾つかの場合において,利用者に誤解を与えることがある。例を次に示す。
a) OE種別から,TOEに特定のセキュリティ機能が備わっているものと期待しているにもかかわらず,
TOEがこのセキュリティ機能を備えていないことがある。例を次に示す。
・ ATMカード種別のTOEにおいて,識別機能・認証機能がない。
・ ファイアウォール種別のTOEにおいて,ほとんど一般的に使用されているプロトコルに対応して
いない。
・ PKI種別のTOEにおいて,証明書失効機能がない。
b) OE種別から,TOEが特定の運用環境で動作するものと期待しているにもかかわらず,TOEがその
運用環境で動作できないことがある。例を次に示す。
・ PCオペレーティングシステム種別のTOEにおいて,ネットワーク接続,フロッピードライブの
使用及びCD/DVDプレーヤの使用を行うと,PCがセキュアに動作しない。
・ ファイアウォール種別のTOEにおいて,そのファイアウォールを通じて接続可能な全ての使用者
が善良でない限り,セキュアに動作しない。
A.4.2.3 必要とするTOE以外のハードウェア,ソフトウェア及び/又はファームウェア
他のITに依存しないTOEもあるが,多くのTOE(特にソフトウェアTOE)は,TOE以外の追加のハー
ドウェア,ソフトウェア及び/又はファームウェアに依存する。後者の場合,TOE概要は,そのような
TOE以外のハードウェア,ソフトウェア及び/又はファームウェアを識別する必要がある。追加のハード
ウェア,ソフトウェア及び/又はファームウェアに関する,全てについての,十分に詳細な識別は必要で
はないが,この識別は,潜在的な利用者に対して,TOEを使用するために必要とする,主要なハードウェ
ア,ソフトウェア及び/又はファームウェアを判断するために十分な程度,それらの全てについて詳細で
ある方がよい。ハードウェア,ソフトウェア及び/又はファームウェアの識別例を,次に示す。
・ Yaizaオペレーティングシステム(バージョン3.0 アップデート6b,6c 若しくは7,又はバージョン
4.0)上で実行し,1 GHzより高速のプロセッサ及び512 MB以上のRAMを搭載した標準PC。
――――― [JIS X 5070-1 pdf 47] ―――――
45
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
・ Yaizaオペレーティングシステム(バージョン3.0 アップデート6d)上で実行し,1.0 WMドライバセ
ットを備えたWonderMagic 1.0グラフィックスカード,1 GHzより高速のプロセッサ及び512 MB以上
のRAMを搭載した標準PC。
・ Yaiza OS(バージョン3.0以上)を搭載した標準PC。
・ CleverCard SB2067集積回路。
・ Quick OSスマートカードオペレーティングシステム(バージョン2.0)上で実行するCleverCard SB2067
集積回路。
・ 20xx年xx月に設置された省庁のLAN。
A.4.3 TOE記述
TOE記述は,TOEについての叙述的記述であり,数ページにわたることがある。TOE記述は,TOE概
要よりも詳細に,TOEがもつセキュリティの能力についての一般的な見解を,評価者及び潜在的な利用者
に与えた方がよい。TOE記述は,そのTOEの想定用途よりも幅広い用途を記述するために使用してもよ
い。
TOE記述には,TOEの物理的範囲(TOEを構成する全てのハードウェア,ファームウェア,ソフトウ
ェア及びガイダンスのリスト)を記述する。このリストは,TOEの物理的範囲についての一般的な見解を
読者に与えるのに十分な詳細レベルで記述した方がよい。
TOE記述には,TOEの論理的範囲(一般的な見解を読者に与えるのに十分な詳細レベルで,TOEによ
って提供される論理的なセキュリティの特徴)も記述した方がよい。この記述は,TOE概要に記述する主
要なセキュリティの特徴よりも詳細であることが求められる。
物理的範囲及び論理的範囲において重要なことは,特定の部品又は特徴がTOEの範囲内であるかどうか
についての,また,この部品又は特徴がTOEの範囲外であるかどうかについての疑いを残さない方法で,
TOEを記述することである。これは,TOEがTOE以外のエンティティと相互に関連し,簡単に分離でき
ない場合に,特に重要である。TOEがTOE以外のエンティティと相互に関連している例を次に示す。
・ TOEが,スマートカードIC全体ではなく,スマートカードICの暗号化コプロセッサである場合。
・ TOEが,暗号化プロセッサを除くスマートカードICである場合。
・ TOEが,MinuteGap Firewall v18.5のネットワークアドレスの変換部分である場合。
A.5 適合主張(ASECCL)
STのこの細別箇条には,STが次に挙げるものとどのように適合するかを記述する。
・ この規格類の第2部及び第3部。
・ プロテクションプロファイル(ただし,存在する場合に限る。)。
・ パッケージ(ただし,存在する場合に限る。)。
STがこの規格類とどのように適合するかの記述は,使用するこの規格類の版及びSTに拡張セキュリテ
ィ要件が含まれるかどうか(A.8参照)の二つの項目から成り立つ。
プロテクションプロファイルに対するSTの適合性の記述は,適合性を主張するプロテクションプロフ
ァイルを,STにおいて列挙することをいう。この詳細を9.4に示す。
パッケージに対するSTの適合性の記述は,適合性を主張するパッケージを,STにおいて列挙すること
をいう。この詳細を9.4に示す。
――――― [JIS X 5070-1 pdf 48] ―――――
46
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
A.6 セキュリティ課題定義(ASESPD)
A.6.1 概要
セキュリティ課題定義では,対処する必要があるセキュリティ課題を定義する。この規格類に関する限
り,セキュリティ課題定義は自明のこととして扱われる。すなわち,セキュリティ課題定義を導くプロセ
スは,この規格類の適用範囲外である。しかし,評価結果の有用性はSTに大きく依存し,STの有用性は
セキュリティ課題定義の質に大きく依存することに注意する方がよい。したがって,良好なセキュリティ
課題定義を導くために,多くの資源を費やし,明確に定義されたプロセス及び分析を使用することは多く
の場合価値がある。
この規格類第3部によれば,全ての箇条に内容を記述する必要がないことに注意する。例えば,STに脅
威を記述すれば,OSPを記述しなくてもよい,また,逆にOSPを記述すれば脅威について記述しなくても
よい。同様に,いかなるSTも前提条件を省略することができる。
TOEが物理的に分散している場合は,TOE運用環境の個別領域ごとに関連する脅威,OSP及び前提条件
を記述することが望ましいことにも注意する。
A.6.2 脅威
セキュリティ課題定義のA.6.2では,TOE,その運用環境又はこれら二つの組合せによって対抗する必
要がある脅威を示す。
脅威は,資産に対する脅威エージェントの敵対的な動作から構成される。敵対的な動作は,資産価値を
生じる資産の一つ以上の特性に影響を与える。脅威エージェントは個々のエンティティとして記述するこ
とができるが,場合によってはエンティティの種別,エンティティのグループなどとして記述する方が適
切である。脅威エージェントの例には,ハッカー,利用者,コンピュータのプロセス,事故などがある。
脅威エージェントは,専門知識,資源,機会,動機などの側面によって,更に詳細に記述することができ
る。
注記 資源とは,人,もの,金,時間などを指す。
敵対的な動作とは,脅威エージェントが資産に対して行う動作である。これらの動作は,資産価値を生
じる資産の一つ以上の特性に影響を与える。脅威の例を次に示す。
・ 企業のネットワークから機密ファイルを遠隔操作で複製するハッカー(優れた専門知識,標準的な機
器を所有し,この行為に対して報酬を受け取る)。
・ 広域ネットワーク(WAN)の性能を大幅に低下させるワーム。
・ 利用者のプライバシを侵害するシステム管理者。
・ 機密通信を傍受しているインターネット上の第三者。
A.6.3 組織のセキュリティ方針(OSP)
セキュリティ課題定義のA.6.3では,TOE,その運用環境又はこれら二つの組合せによって実施する必
要があるOSPを示す。
OSPとは,実際又は仮想上の組織によって,その運用環境において現在及び/又は将来に課される(若
しくは課されると推定される)セキュリティの規則,手続又はガイドラインである。OSPはTOEの運用
環境を管理する組織によって規定される場合もあれば,立法機関又は規制機関によって規定される場合も
ある。OSPは,TOE及び/又はTOEの運用環境に適用できる。OSPの例を次に示す。
・ 政府によって使用される全ての製品は,パスワード生成及び暗号化に関して国の基準に適合しなけれ
ばならない。
――――― [JIS X 5070-1 pdf 49] ―――――
47
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
・ システム管理者の権限と部門機密に対するアクセス許可とをもつ利用者だけが,部門ファイルサーバ
を管理できるようにしなければならない。
A.6.4 前提条件
セキュリティ課題定義のA.6.4では,セキュリティ機能を提供できるようにするために,その運用環境
に対して設定する前提条件を示す。TOEがこれらの前提条件を満たさない運用環境に置かれる場合,その
TOEはそのセキュリティ機能の全てを提供することができなくなる可能性がある。前提条件には,運用環
境の物理的条件,人的条件及び接続に関する条件がある。前提条件の例を次に示す。
a) 運用環境の物理的側面に関する前提条件。
・ TOEは電磁波の放射を最小限にするように設計された部屋に設置されることを前提とする。
・ TOEの管理者コンソールはアクセス制限された領域に設置されることを前提とする。
b) 運用環境の人的側面に関する前提条件。
・ TOEの利用者はTOEを運用するために十分に訓練を受けることを前提とする。
・ 国家機密として分類される情報に対して,TOEの利用者は情報の取扱いについて承認を受けるこ
とを前提とする。
・ TOEの利用者はパスワードを書き留めないことを前提とする。
c) 運用環境の接続性の側面に関する前提条件。
・ TOEを実行するために,ディスク領域が最低10 GBのPCワークステーションを利用できること
を前提とする。
・ TOEは,このワークステーションで実行されているOS以外の唯一のアプリケーションであるこ
とを前提とする。
・ TOEは,信頼できないネットワークに接続されないことを前提とする。
評価中に,これらの前提条件は満たされているとみなされることに注意する。つまり,前提条件は決し
て試験されることはない。このため,前提条件は運用環境だけに対して設定できる。評価は,TOEに関す
る主張を評価することからなり,TOEに関する主張が正しいことを前提条件とすることではないので,
TOEの動作に関して前提条件を設定することはできない。
A.7 セキュリティ対策方針(ASEOBJ)
セキュリティ対策方針は,セキュリティ課題定義によって定義される課題に対して意図している解決策
の簡潔かつ抽象的な宣言文である。セキュリティ対策方針には,次の三つの役割がある。
・ 課題に対して,自然言語で記述された上位レベルの解決策を提供する。
・ 異なるエンティティ(TOE及び運用環境)のそれぞれが課題の一部に対処しなければならないことを
反映するように,この解決策を二つの分割式解決策に分ける。
・ これらの分割式解決策が課題に対する完全な解決策を形成することを示す。
A.7.1 上位レベル解決策
セキュリティ対策方針は,あまり詳細過ぎない簡潔かつ明確な宣言文の集まりから構成される。これら
の組合せによって,セキュリティ課題に対する上位レベルの解決策が形成される。セキュリティ対策方針
の抽象化のレベルは,TOEについて知識のある潜在的な利用者にとって,明確かつ理解可能にすることを
目的としている。セキュリティ対策方針は,自然言語で記述する。
A.7.2 分割式解決策
STでは,セキュリティ対策方針に示される上位レベルセキュリティ解決策は,二つの分割式解決策に分
――――― [JIS X 5070-1 pdf 50] ―――――
次のページ PDF 51
JIS X 5070-1:2011の引用国際規格 ISO 一覧
- ISO/IEC 15408-1:2009(IDT)
JIS X 5070-1:2011の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.040 : 文字セット及び符号化