53
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
組織の
脅威 前提条件
セキュリティ方針
TOEの 運用環境の
セキュリティ セキュリティ
対策方針 対策方針
セキュリティ セキュリティ
機能要件 保証要件
(SFR) (SAR)
図A.3−セキュリティ課題定義,セキュリティ対策方針及びセキュリティ要件の間の関係
STのセキュリティ要件の箇条では,TOEのセキュリティ対策方針はSFRに書き換えられ,全てのSFR
が満たされる場合,全てのTOEのセキュリティ対策方針が達成されることを示す,セキュリティ要件の根
拠が提供される。さらに,SARの集まりは,これらのSARを選択した理由とともに,TOEがどのように
評価されるのかを示すために提供される。上記の全ての内容から,次のことがいえる。
全てのSFR及びSARを満足し,運用環境のセキュリティ対策方針全てが達成される場合,ASESPDで
定義されるセキュリティ課題が解決されるという保証が得られる。すなわち,全ての脅威が対抗され,全
てのOSPが実施され,全ての前提条件が確認される。これを図A.3に示す。
得られる保証の程度はSARによって定義され,この保証の程度が十分であるかどうかは,これらのSAR
を選択した理由によって明らかにされる。
A.10 TOE要約仕様(ASETSS)
TOE要約仕様の目的は,TOEがどのように全てのSFRを満たすかに関する記述をTOEの潜在的な利用
者に対して提供することである。この目的のためにTOEが使用する一般的な技術的なメカニズムを,TOE
要約仕様は提供する。潜在的な利用者がTOEの一般的な形態及び実装を理解できる程度に詳細に記述する。
例えば,TOEがインターネットに接続されたPCであり,SFRが認証を指定するセキュリティ機能要件
の一つであるFIAUAU.1を含んでいる場合,TOE要約仕様は,パスワード,トークン,こう(虹)彩走
査など,この認証がどのように行われるかを記述する。SFRを満たすためにTOEが使用する適用可能な標
準のような,詳しい情報を提供してもよいし,より詳細な記述を提供してもよい。
A.11 STを使用して回答できる質問
評価の後,STには“何が評価されたのか”が示される。この役割において,STは,TOEの開発者又は
販売代理業者とTOEの潜在的な利用者との間の合意のために役立つ。したがって,STは次の質問に回答
――――― [JIS X 5070-1 pdf 56] ―――――
54
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
することができる。
a) 多くの既存のST及びTOEの中から,必要なST及びTOEを見つけるにはどうしたらよいか。この質
問は,数段落からなるTOEの簡潔な要約を提供する,TOE概要によって回答できる。
b) このTOEは,当方の既存のIT基盤に適合するか。この質問は,TOEを動作させるために必要とする
主要な,ハードウェア要素・ファームウェア要素・ソフトウェア要素を識別する,TOE概要によって
回答できる。
c) このTOEは,当方の既存の運用環境に適合するか。この質問は,TOEが機能するために運用環境に
配置する全ての制約を識別する,運用環境のセキュリティ対策方針によって回答できる。
d) (関心をもった読者にとって)TOEは何をするものか。この質問は,数段落からなるTOEの簡潔な
要約を提供する,TOE概要によって回答できる。
e) (潜在的な利用者にとって)TOEは何をするものか。この質問は,TOEの要約(数ページ)を提供す
る,TOE記述によって回答できる。
f) (技術的に)TOEは何をするものか。この質問は,TOEが使用するメカニズムの高レベルな(要求仕
様レベルの)記述を提供する,TOE要約仕様によって回答できる。
g) (専門家にとって)TOEは何をするものか。この質問は,抽象的であり高度に技術的な記述を提供す
るSFRと,追加の詳細を提供するTOE要約仕様とによって回答できる。
h) 政府又は組織によって定義された課題をTOEは処理できるか。政府又は組織が,解決策を定義するた
めに,パッケージ及び/又はPPを定義している場合に,STが適合する全てのパッケージ及びPPを
記載するSTの適合主張の箇条において,回答を見つけることができる。
i) (専門家にとって)TOEは当方のセキュリティ課題を処理できるか。TOEが対抗する脅威は何である
か。どの組織のセキュリティ方針がそれを実施するのか。運用環境に関してどのような前提条件があ
るのか。これらの質問は,セキュリティ課題定義によって回答できる。
j) TOEはどの程度,信頼できるか。この質問は,TOEを評価するのに使用された保証レベル,つまり
TOEの正確性について評価が提供する信頼を記述した,セキュリティ要件の箇条にあるSARによっ
て回答できる。
A.12 低保証のセキュリティターゲット
STを書くことはさ(些)細な仕事ではなく,特に低保証評価では,評価全体で開発者と評価者とによっ
て費やされた総努力の大半かもしれない。このため,低保証のSTを書いてもよい。
この規格類は,EAL 1評価のための低保証のSTの使用を許すが,EAL 2以上では許さない。低保証の
STは,低保証のPP(附属書B参照)にだけ適合主張できる。全項目を含む通常の非低保証STが,低保
証のPPへの適合を主張してもよい。低保証のSTは,通常の非低保証STと比較して,次に示すように,
かなり内容が少ない。
・ セキュリティ課題定義を記述する必要はない。
・ TOEのセキュリティ対策方針を記述する必要はないが,運用環境のためのセキュリティ対策方針は記
述しなければならない。
・ STにセキュリティ課題定義がないので,セキュリティ対策方針の根拠を記述する必要はない。
・ TOEのセキュリティ対策方針がSTにないので,セキュリティ要件の根拠は,満たしていない依存関
係を正当化するだけでよい。
したがって,低保証STで書かなければならないものは次のとおりである。
――――― [JIS X 5070-1 pdf 57] ―――――
55
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
a) OE及びSTへの参照。
b) 適合主張。
c) 次の叙述的記述。
1) OE概要
2) OE記述
3) OE要約仕様
d) 運用環境のセキュリティ対策方針。
e) FR,SAR(拡張したコンポーネント定義を含む。)及びセキュリティ要件根拠(満たされない依存性
がある場合だけ。)。
低保証のSTにおける,簡略化された内容を図A.4に示す。
セキュリティターゲット
(低保証)
ST参照
TOE参照
ST概説
TOE概要
TOE記述
CC適合主張
適合主張 PP主張,パッケージ主張
適合根拠
セキュリティ対策方針 運用環境のセキュリティ方針
拡張コンポーネント定義 拡張コンポーネント定義
セキュリティ機能要件
セキュリティ要件 セキュリティ保証要件
セキュリティ要件根拠
TOE要約仕様 TOE要約仕様
図A.4−低保証セキュリティターゲットの内容
A.13 ST内での他の規格の参照
幾つかの場合,ST作成者は,特定の暗号規格又はプロトコルのような外部規格の参照を迫られるときが
ある。この規格類はこれを行う三つの方法を提供している。
a) 組織のセキュリティ方針(又はその一部)として行う方法。
例えば,政府規格にパスワードをどのように選択するかについての規定が存在する場合,これをST
の組織のセキュリティ方針に指定してもよい。
例えば,TOEの各利用者が各々のパスワードを選ぶ必要がある場合には,環境の対策方針に通じ,
TOEがパスワードを生成する場合には,TOEのセキュリティ対策方針,及び適切なSFR(FIAクラス)
に通じる。いずれの場合も,TOEのセキュリティ対策方針及びSFRが(又は環境の対策方針が)OSP
――――― [JIS X 5070-1 pdf 58] ―――――
56
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
を満たすのに適切であることを,開発者の根拠が示す必要がある。OSPがSFRによって実装されてい
る場合,評価者は,次に示すように妥当性を検査しなければならない(そしてこのために規格を調査
する場合がある。)。
b) FRの詳細化に使用される技術的規格(例えば,暗号の規格)として行う方法。
この場合,規格への適合はTOEによるSFRの実現の一部であり,規格の全文がSFRの一部である
かのように扱われる。したがって,この適合はSFRへの他の適合と同様に決定される。すなわち,ADV
クラス及びATEクラスによる評価中に,SFRがTOEにおいて完全かつ十分に実装されているかどう
かが,設計分析とテストとで分析される。規格の一部分だけを参照する場合,SFRの詳細化によって,
誤解が生じないようにその部分を示す。
c) OE要約仕様で言及する技術的規格(例えば,暗号の規格)として行う方法。
TOE要約仕様はSFRがどのように実現されているかの説明として考えられるだけであって,SFR又
はADV証拠資料のようには厳密な実装要件としては使用されない。したがって,TSSが技術的規格
を参照しており,ADV証拠資料に反映されていない場合,評価者は矛盾を検出することがあるが,規
格を満たしていることを試験するための評価アクティビティはない。
――――― [JIS X 5070-1 pdf 59] ―――――
57
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
附属書B
(参考)
プロテクションプロファイルの仕様
B.1 この附属書の目的及び構造
この附属書の目的は,プロテクションプロファイル(PP)の概念を説明することである。この附属書で
は,APE基準の定義は行わない。APE基準の定義は,この規格類第3部にある。詳述はISO/IEC 15408-3
のE.1[3]の中に見つけることができる。
PPとSTとは非常に重複しているため,この附属書ではPPとSTとの相違点に重点を置く。STとPPと
の間で同一の事項については,附属書Aで説明する。この附属書は,次の四つの主要な部分から構成され
ている。
a) Pに記載しなければならない内容。これについては,B.2で概要を述べ,B.4からB.9まででより詳
細に説明する。これらの箇条では,PP必須の記載内容及び各内容間の相互関係について説明し,例を
示す。
b) Pの望ましい使用法。これについては,B.3で概要を示す。
c) 低保証PP。低保証PPは,PPの記載内容を減らしたPPである。これについては,B.11で詳細に説明
する。
d) 標準への適合の主張。B.12では,TOEが特定の標準を満たしていることを,PP作成者が主張する方
法について説明する。
B.2 PPの必須の内容
図B.1は,この規格類第3部に規定するPP必須記載内容を示す。図B.1はPPの構成に関する概略図と
して使用してもよいが,別の構成であってもよい。例えば,セキュリティ要件根拠が特に長くなる場合は,
セキュリティ要件の箇条の代わりに,PPの附属書にそれを記述することができる。PPの各箇条及びそれ
らの箇条における記載内容について,次に手短に述べ,B.4からB.9まででより詳細に説明する。PPには
次の事項を記述する。
a) P概説 TOE種別の叙述的記述を含む。
b) 適合主張 PPが,いずれかのPP及び/又はパッケージへの適合を主張するかどうかを示し,適合す
る場合には,どのPP及び/又はパッケージに適合しているかを示す。
c) セキュリティ課題定義 脅威,組織のセキュリティ方針(OSP)及び前提条件を示す。
d) セキュリティ対策方針 セキュリティ課題を,TOEのセキュリティ対策方針及びTOEの運用環境に
分割した解決方法を示す。
e) 拡張コンポーネント定義 (この規格類の第2部又は第3部に含まれていない)新しいコンポーネン
トを定義することができる。これらの新しいコンポーネントは,拡張機能要件及び拡張保証要件を定
義するために必要とされる。
f) セキュリティ要件 TOEのセキュリティ対策方針から規格化された表現への書き換えたものを示す。
この規格化された表現は,SFRの形式をとる。また,B.2ではSARを定義する。
PPの記載内容を減らした低保証PPも存在する。これについては,B.11で詳細に説明する。この例外を
除いて,B.1からB.12までは,上記の全項目を含むPPを想定している。
――――― [JIS X 5070-1 pdf 60] ―――――
次のページ PDF 61
JIS X 5070-1:2011の引用国際規格 ISO 一覧
- ISO/IEC 15408-1:2009(IDT)
JIS X 5070-1:2011の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.040 : 文字セット及び符号化