58
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
プロテクションプロファイル
PP参照
PP概説
TOE概要
CC 適合主張
PP主張,パッケージ主張
適合主張
適合根拠
適合記述
脅威
セキュリティ課題定義 組織のセキュリティ方針
前提条件
TOEのセキュリティ対策方針
セキュリティ対策方針 運用環境のセキュリティ対策方針
セキュリティ対策方針根拠
拡張コンポーネント定義 拡張コンポーネント定義
セキュリティ機能要件
セキュリティ要件 セキュリティ保証要件
セキュリティ要件根拠
図B.1−プロテクションプロファイルの内容
B.3 PPの使用
B.3.1 望ましいPPの使用法
一般に,PPは利用者コミュニティ,行政機関,又は開発者グループによって必要とされるセキュリティ
の共通セットを定義する文書である。PPは,このセットを参照する手段を利用者に提供し,このような必
要性を背景とする将来の評価を容易にする。したがって,PPは一般に次のものとして使用される。
a) 特定の利用者又は利用者グループに対する要件仕様の一部。この利用者又は利用者グループは,PPを
満たしている場合にだけ特定の種別のIT製品の購入を検討する。
b) 特定の行政機関による規制の一部。この行政機関は,PPを満たしている場合にだけ特定の種別のIT
製品の使用を許可する。
c) T製品開発者のグループによって定義される基準レベル。この開発者グループは,生産するこの種別
の全てのIT製品がこの基準レベルを満たすことに合意する。
上記の例はその他の用途を排除するものではない。
B.3.2 望ましくないPPの使用法
(PPの多くの役割の中から)PPが果たさない方がよい三つの役割を次に示す。
a) 詳細な仕様 : PPは,比較的抽象レベルの高いセキュリティ仕様を記述する。一般に,PPには詳細な
プロトコル仕様,詳細なアルゴリズム及び/又は機構の詳細な説明,詳細にわたる運用についての長
い説明などを含まないほうがよい。
――――― [JIS X 5070-1 pdf 61] ―――――
59
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
b) 完全な仕様 : PPは,セキュリティ仕様を記述したものであって,全体の仕様ではない。セキュリティ
に関係する場合を除いて,相互運用性,物理的な寸法及び重さ,定格電圧などの特性は,PPの一部分
でない方がよい。これは一般に,PPはそれ自体が完全な仕様ではなく,完全な仕様の一部分であって
も差し支えないということを意味する。
c) 単一製品の仕様 : STとは異なり,PPは単一の製品ではなく,IT製品の特定の種別について記述する
ことを目的とする。単一の製品だけが目的の場合は,STを使用することが望ましい。
B.4 PP概説(APEINT)
PP概説では,次の二つの抽象レベルについて叙述的な方法でTOEを説明する。
a) P参照。PPの識別情報を提供する。
b) OE概要。TOEを簡潔に説明する。
B.4.1 PP参照
PPは,特定のPPを指し示す明確なPP参照を含む。典型的なPP参照は,名称,バージョン,作成者及
び発行日から構成される。“Atlantean Navy CablePhone Encryptor PP,バージョン2b,アトラス海軍調達局,
2003年4月7日”は,PP参照の記述例である。参照は,異なるPP間及び同じPPの異なるバージョン間
で区別できるように,一意にしなければならない。
PP参照は,PPに索引を付け,これらを参照すること及びPPのリストにこれらを組み込むことを容易に
する。
B.4.2 TOE概要
TOE概要は,セキュリティの必要性を満たし,自らが使用するハードウェア,ソフトウェア及びファー
ムウェアで稼動するTOEを見つけるために,評価済み製品のリストを調べようとする,TOEの潜在的な
利用者のためのものである。
TOE概要は,TOEの設計又は既存製品の改造でPPを使用することがある開発者も対象としている。
TOE概要の一般的な長さは,数段落である。このため,TOE概要では,TOEの使用方法及びその主要
なセキュリティ機能の特徴について簡潔に説明し,TOEの種別及びTOEが必要とするTOE以外の主要な
ハードウェア,ソフトウェア及びファームウェアが何であるかを示す。
B.4.2.1 TOEの使用方法及び主要なセキュリティの特徴
TOEの使用方法及び主要なセキュリティの特徴に関する記述は,TOEが備えるべき機能及びTOEの用
途についてごく一般的な知識を与えることを目的とする。この箇条は,(潜在的な)TOE利用者のために,
業務運用の点から,TOEの使用方法及び主要なセキュリティの特徴について,TOE利用者が分かる表現を
使用して記述するのが望ましい。この記述例を次に示す。
“Atlantean Navy CablePhone Encryptor”は,Atlantean Navy CablePhoneシステムを通じて船舶間で秘密情
報の通信を実現すべき暗号化デバイスである。このため,最低32人の利用者及び最低100 Mb/sの暗号化
速度をサポートするのが望ましい。これは,船舶間の相互通信及びネットワーク全体のブロードキャスト
の両方を実現するのが望ましい。
B.4.2.2 TOE種別
TOE概要では,ファイアウォール,VPNファイアウォール,スマートカード,暗号化モデム,イントラ
ネット,ウェブサーバ,データベース,ウェブサーバ及びデータベース,LAN,ウェブサーバ及びデータ
ベースを伴うLANなどの,TOEの一般的な種別を示す。
――――― [JIS X 5070-1 pdf 62] ―――――
60
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
B.4.2.3 必要とするTOE以外のハードウェア,ソフトウェア及び/又はファームウェア
他のITに依存しないTOEもあるが,多くのTOE(特にソフトウェアTOE)は,TOE以外の追加のハー
ドウェア,ソフトウェア及び/又はファームウェアに依存する。後者の場合,TOE概要は,TOE以外のハ
ードウェア,ソフトウェア及び/又はファームウェアを識別する必要がある。
プロテクションプロファイルは特定の製品について記述されるものではないため,多くの場合,必要と
するハードウェア,ソフトウェア及び/又はファームウェアについて一般的な考え方だけを示すことがで
きる。一部の場合,例えば,プラットフォームが既に確認されている特定の顧客向けの要件仕様などの場
合,(はるかに)多くの具体的な情報が提供されることがある。
ハードウェア,ソフトウェア及び/又はファームウェア識別の例を次に示す。
・ なし(完全なスタンドアロンTOE)。
・ 汎用PCで動作しているYaiza 3.0オペレーティングシステム。
・ CleverCard SB2067集積回路。
・ QuickOSスマートカードオペレーティングシステムのバージョン2.0を実行するCleverCard SB2067回
路。
・ 20xx年xx月に設置予定の省庁LAN。
B.5 適合主張(APECCL)
B.5では,PPが他のPP及びパッケージとどのように適合するかを記述する。これは,適合記述だけを
除いて,STの適合主張のA.5と同じである。
PPの適合記述では,ST及び/又はその他のPPがそのPPにどのように適合しなければならないかを示
す。PP作成者は,“正確”適合又は“例証”適合のいずれを要求するかを選択する。これに関するより詳
細については,附属書Dを参照。
B.6 セキュリティ課題定義(APESPD)
B.6は,STのセキュリティ課題定義のA.6と同じである。
B.7 セキュリティ対策方針(APEOBJ)
B.7は,STのセキュリティ対策方針のA.7と同じである。
B.8 拡張コンポーネント定義(APEECD)
B.8は,STの拡張コンポーネントのA.8と同じである。
B.9 セキュリティ要件(APEREQ)
B.9は, STのセキュリティ要件のA.9と同じである。ただし,PPにおいて操作を完了する際の規則は,
STにおいて操作を完了する際の規則とはやや異なっている点に注意する。これについては,7.1でより詳
細に説明する。
B.10 TOE要約仕様
PPには,TOE要約仕様は含まれない。
――――― [JIS X 5070-1 pdf 63] ―――――
61
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
B.11 低保証プロテクションプロファイル
通常のPP(すなわち,全ての内容を含むPP)に対する低保証PPの関係は,通常のSTに対する低保証
STの関係と同じである。つまり,低保証PPは,次の内容から構成される。
a) P概説。PP参照及びTOE概要から構成される。
b) 適合主張。
c) 運用環境のセキュリティ対策方針。
d) FR及びSAR(拡張コンポーネント定義を含む。)及びセキュリティ要件根拠(依存性が満たされて
いない場合だけ。)。
低保証PPは,低保証PPへの適合だけを主張することができる(B.5を参照)。非低保証PPは,低保証
PPへの適合を主張することができる。低保証PPの簡略化された内容を図B.2に示す。
プロテクションプロファイル
(低保証)
PP参照
PP概説
TOE概要
CC 適合主張
PP主張,パッケージ主張
適合主張
適合根拠
適合記述
セキュリティ対策方針 運用環境のセキュリティ対策方針
拡張コンポーネント定義 拡張コンポーネント定義
セキュリティ機能要件
セキュリティ要件 セキュリティ保証要件
セキュリティ要件根拠
図B.2−低保証プロテクションプロファイルの内容
B.12 PPでの他の標準の参照
B.12は,STの標準に関するA.13と同じである。ただし,PPにはTOE要約仕様がないので,A.13 c) は
除く。
SFRの中で規格を参照することが,(その規格の規模及び複雑さと,要求される保証レベルによっては)
PPを満たすTOEを開発している開発者に大きな負担をかける可能性があり,規格への適合を評価するた
めの代替的な(この規格類に関連しない)方法を採用することが適切な場合があることに,PP作成者は留
意する。
――――― [JIS X 5070-1 pdf 64] ―――――
62
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
附属書C
(参考)
操作の指針
C.1 はじめに
この規格で示すようにプロテクションプロファイル及びセキュリティターゲットは定義済みセキュリテ
ィ要件を含むとともに,PP作成者及びST作成者にある状況でコンポーネントを拡張する能力を与える。
C.2 操作の例
7.1では4種類の操作について示した。これら操作の例を次に示す。
C.2.1 繰返し操作
7.1.1で示したように,繰返し操作は全てのコンポーネントに対して行える。PP作成者及びST作成者は,
同じコンポーネントに複数の要件を含めることで繰返し操作を実行できる。繰返しを行った各々のコンポ
ーネントは,繰返しを行った他のどのコンポーネントとも異なる。これは,異なる方法で割付けと選択と
を行ったり,異なる方法で詳細化を行っているからである。異なる繰返しは,これらのセキュリティ要件
への/からの理由付け及び遡りが容易になるように,一意に特定できるのが望ましい。この典型例として,
二つの異なる暗号アルゴリズムを実装するために2回繰返しを行ったFCSCOP.1 の例を挙げることがで
きる。各々の繰返しを一意に特定できる例として,次のものがある。
・ 暗号操作(RSA及びDSA 署名)[FCSCOP.1(1) ]
・ 暗号操作[TLS/SSL : 対称鍵操作][FCSCOP.1(2) ]
C.2.2 割付け操作
7.1.2で示したように,割付け操作は当該コンポーネントのパラメタ付きエレメントをPP作成者及びST
作成者がパラメタを決定する場合に行われる。そのパラメタは,制限のない変数であるか,又はその変数
を特定範囲の値に狭めたものであってもよい。
エレメントへの割付け操作例として,次のものがある。
FIAAFL.1.2“不成功の認証回数が既定値に達するかそれを超えた場合,TSFは[割付け : アクションの
リスト]をしなければならない。”
C.2.3 選択操作
7.1.3で示したように,選択操作は,当該コンポーネントが複数の選択肢を含み,PP作成者及びST作成
者によって選択される場合に行われる。
選択の例として,次のものがある。
FPTTST.1.1“TSFは,正常動作を実証するために,[選択 : 初期立上げ中,通常運用中に定期的に,権
限をもった利用者の要求時に,及び条件(割付け : 自己テストが作動すべき条件)のときに]自己テスト
一式を実行しなければならない。”
C.2.4 詳細化操作
7.1.4で示したように,詳細化操作は,全ての要件で行われる。PP作成者及びST作成者は当該要件を書
き換えることで詳細化を行う。
詳細化の例として,次のような書換えがある。
FIAUAU.2.1“TSFは,その利用者を代行する他のTSF仲介アクションを許可する前に,各利用者に認
――――― [JIS X 5070-1 pdf 65] ―――――
次のページ PDF 66
JIS X 5070-1:2011の引用国際規格 ISO 一覧
- ISO/IEC 15408-1:2009(IDT)
JIS X 5070-1:2011の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.040 : 文字セット及び符号化