この規格ページの目次
3
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
合の主題を規定しており,評価結果についても規定している。この規格はセキュリティターゲット(ST)
の書き方について規定し,モデルを通してコンポーネントの組立て方について規定している。評価方法に
関する一般的な情報及び評価方法の適用範囲は,別の規格であるISO/IEC 18045で規定している。
注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。
ISO/IEC 15408-1:2009,Information technology−Security techniques−Evaluation criteria for IT
security−Part 1: Introduction and general model(IDT)
なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ
とを示す。
2 引用規格
次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの
引用規格は,記載の年の版を適用し,その後の改正版(追補を含む。)は適用しない。
ISO/IEC 15408-2:2008,Information technology−Security techniques−Evaluation criteria for IT security−
Part 2: Security functional components
ISO/IEC 15408-3:2008,Information technology−Security techniques−Evaluation criteria for IT security−
Part 3: Security assurance components
ISO/IEC 18045:2008,Information technology−Security techniques−Methodology for IT security evaluation
3 用語及び定義
この規格類で用いる主な用語及び定義は,次による。
注記 箇条3では,この規格類において特別な意味で用いられる用語だけを示す。この規格類に用い
られる用語の組合せのうち,箇条3に含まれていない用語は,誤解が生じないように出現する
文脈において説明する。
3.1 この規格類で共通の用語及び定義
3.1.1
敵対的な動作(adverse actions)
脅威エージェントが資産に行う動作。
3.1.2
資産(assets)
TOEの所有者が一般に価値を認めるもの。
3.1.3
割付け(assignment)
この規格におけるコンポーネント内又は要件内の識別されたパラメタを規定すること。
3.1.4
保証(assurance)
TOEがSFRを満たしていることへの信頼の基盤。
3.1.5
攻撃能力(attack potential)
TOEへの攻撃に攻撃者が費やすことができる労力の尺度であって,攻撃者の技能,資源及び動機の観点
から表現されるもの。
――――― [JIS X 5070-1 pdf 6] ―――――
4
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
3.1.6
要件追加(augmentation)
パッケージへの一つ以上の要件の追加。
3.1.7
認証データ(authentication data)
利用者の認証に用いられる情報。
3.1.8
正当な利用者(authorised user)
SFRに従って,操作を実行することができるTOE利用者。
3.1.9
クラス(class)
共通の目的をもつファミリの集合。
3.1.10
理路整然とした(coherent)
論理的順序で並べられ,識別できる意味をもつ(連体修飾)。
注記 証拠資料の場合は,文書内容及び文書構造の両方が,対象読者にとって理解できるものである
ことを意味する。
3.1.11
完全な(complete)
エンティティの全ての必要な部分が提供されている(連体修飾)。
注記 証拠資料の場合は,抽象化のレベルにおいてこれ以上の説明が必要ない詳細レベルで,全ての
関連する情報が証拠資料において扱われていることを意味する。
3.1.12
コンポーネント(component)
要件を構成する最小の選択可能なエレメントのセット。
3.1.13
統合保証パッケージ(composed assurance package)
この規格類第3部(主にACOクラス)から抽出された要件からなる,定義済み統合保証尺度での程度
を表す保証パッケージ。
3.1.14
確認する(confirm)
詳細にレビューし,充足性を第三者として示す。
注記 必要とされる厳格性のレベルは,内容によって異なる。この用語は,評価者アクションだけに
適用される。
3.1.15
接続性(connectivity)
TOEと外部のITエンティティとの対話を可能にするTOEの特性。
注記 接続性には,任意の環境又は構成において任意の距離を介して,有線手段又は無線手段によっ
て行われるデータ交換が含まれる。
――――― [JIS X 5070-1 pdf 7] ―――――
5
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
3.1.16
一貫した(consistent)
複数のエンティティ間に明らかな矛盾が存在しない(連体修飾)。
3.1.17
対抗する(counter)
特定の脅威の影響を緩和する。脅威の影響を完全になくす必要はない。
3.1.18
例証適合(demonstrable conformance)
PPにおける一般的なセキュリティ課題の解決方法をSTが提供するというSTとPPとの関係。
注記 PP及びSTは,異なるエンティティについて全く異なる記述を含み,異なる概念などを使用す
ることができる。例証適合は,複数の同様のPPが既に存在するTOEの種別にも適している。
これによって,ST作成者はこれらのPPに対する適合を同時に主張し,作業量を減らすことが
できる。
3.1.19
例証する(demonstrate)
分析によって得られる結果を提供する。この結果は“証明(proof)”ほど厳格ではない。
3.1.20
依存性(dependency)
依存するコンポーネントに基づく要件がPP,ST又はパッケージに含まれる場合,一般に,依存される
コンポーネントに基づく要件もそのPP,ST又はパッケージに含まれなければならない,というコンポー
ネント間の関係。
3.1.21
記述する(describe)
エンティティの一定の詳細を提供する。
3.1.22
決定する(determine)
独立に分析し,一定の結論に到達する。
注記 この用語は,通常,これまでの分析を考慮しない,真に独立した分析を意味する。レビューす
る必要のある分析が既に行われていることを意味する用語である“確認する(confirm)”又は
“検証する(verify)”と対比される。
3.1.23
開発環境(development environment)
TOEが開発される環境。
3.1.24
エレメント(element)
セキュリティ上必要な事項の,最小単位の記述。
3.1.25
確実にする(ensure)
アクション(開発者アクション及び評価者アクション)が結果をもたらすことを保証する。
注記 この用語が“助ける(help)”などとともに用いられる場合は,結果が,そのアクションだけで
――――― [JIS X 5070-1 pdf 8] ―――――
6
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
は完全には確実でないことを示す。
3.1.26
評価(evaluation)
定義された基準に基づき,PP,ST又はTOEを評定すること。
3.1.27
評価保証レベル(evaluation assurance level)
この規格類第3部から抽出された保証要件の集合で,定義済み保証尺度での程度を表し,保証パッケー
ジを構成するもの。
3.1.28
評価機関(evaluation authority)
特定のコミュニティにおいて,評価制度に基づきこの規格類を適用し,標準を定め,評価の品質を監視
する機関。
3.1.29
評価制度(evaluation scheme)
評価機関が特定のコミュニティにおいて,この規格類を適用するときの管理及び規制の枠組み。
注記 我が国における評価制度の名称は,“ITセキュリティ評価及び認証制度”である。
3.1.30
徹底的な(exhaustive)
曖昧さを排除した計画に従って分析又は他の活動を行う,方法論的に整備されたアプローチ(連体修飾)。
注記 この用語は,分析などの活動を実施するときに用い,“系統的な”よりもかなり強い意味で用い
る。明快な計画に従って分析又は他の活動を行うときに系統的なアプローチを選択したことだ
けでなく,活動に使われる計画そのものが全ての可能性を尽くすことを保証するのに十分であ
る。
3.1.31
説明する(explain)
行った活動の理由を示す。
注記 問われた場合,“行った活動が必然的に最適であった”という議論を試みることをせずに,“な
ぜ?”という問いへの答えを意図している。この用語は,“記述する(describe)”及び“例証す
る(demonstrate)”とは異なる。
3.1.32
拡張(extension)
この規格類第2部に含まれていない機能要件及び/又はこの規格類第3部に含まれていない保証要件を
ST又はPPに追加すること。
3.1.33
外部エンティティ(external entity)
TOE境界の外からTOEと交信する可能性がある人エンティティ又はITエンティティ。
3.1.34
ファミリ(family)
類似する目標をもつが,着眼点又は厳密さが異なるコンポーネントの集合。
――――― [JIS X 5070-1 pdf 9] ―――――
7
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
3.1.35
形式的(な)(formal)
確立した数学上の概念に基づいて,意味が定義された制限付き構文言語で表現されている(連体修飾)。
3.1.36
ガイダンス文書(guidance documentation)
TOEの配付,立上げ,操作,管理及び/又は使用法について記述した文書。
3.1.37
識別情報(identity)
TOEの文脈内のエンティティ(利用者,プロセス,ディスクなど)を一意に識別する表現。
注記 このような表現の例は文字列である。利用者が人間の場合,表現は利用者の氏名若しくは略称,
又は(一意に識別化の可能な)擬似名であってもよい。
3.1.38
非形式的(な)(informal)
自然言語で表現されている(連体修飾)。
3.1.39
TSF間転送(inter TSF transfers)
TOEと他の信頼できるIT製品のセキュリティ機能との間でデータを通信すること。
3.1.40
内部通信チャネル(internal communication channel)
TOE内部の別々の部分間のチャネル。
3.1.41
TOE内転送(internal TOE transfer)
TOE内部の別々の部分間でデータを通信すること。
3.1.42
内部的に一貫した(internally consistent)
エンティティのどの側面の間にも明らかな矛盾がない(連体修飾)。
注記 証拠資料のどの2か所をつき合わせても矛盾していると解釈できる部分がないことを意味す
る。
3.1.43
繰返し(iteration)
二つ以上の異なる要件を表現するのに同一コンポーネントを使用すること。
3.1.44
正当化(justification)
決定を導く分析。
注記 正当な例証より厳密である。この語は注意深く徹底的に論理的に一つ一つ確認していくという
意味で格段の厳密性を要する。
3.1.45
オブジェクト(object)
情報を保持したり受け取ったりするTOE内の受動的なもので,サブジェクトが行う操作の対象となるエ
ンティティ。
――――― [JIS X 5070-1 pdf 10] ―――――
次のページ PDF 11
JIS X 5070-1:2011の引用国際規格 ISO 一覧
- ISO/IEC 15408-1:2009(IDT)
JIS X 5070-1:2011の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.040 : 文字セット及び符号化