この規格ページの目次
23
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
・ オペレーティングシステムと組み合わせたソフトウェアアプリケーション。
・ オペレーティングシステム及びワークステーションと組み合わせたソフトウェアアプリケーション。
・ ワークステーションと組み合わせたオペレーティングシステム。
・ スマートカード向け集積回路。
・ スマートカード向け集積回路の暗号化コプロセッサ。
・ 端末,サーバ,ネットワーク機器及びソフトウェアの全てを含むローカルエリアネットワーク。
・ データベースアプリケーション。ただし,これと関連付けられるリモートクライアントソフトウェア
は除く。
5.2.1 TOEの様々な形態
この規格類では,TOEは複数の形態を取ることがある。(ソフトウェアTOEの場合の)例を次に示す。
・ 構成管理システムの一連のファイル。
・ コンパイルされたばかりの単一のコピー原本。
・ 顧客に発送する準備の整った箱詰めされたCD-ROM及びマニュアル。
・ インストール済みの運用可能なソフトウェア。
これらの全てがTOEとみなされる。この規格類の他の部分で“TOE”という用語が使用される場合,文
脈によって意図する形態が決定される。
5.2.2 TOEの様々な構成
一般に,IT製品はいろいろな方法で構成される。すなわち,様々な方法でインストールされ,様々なオ
プションを有効又は無効にすることができる。この規格類の評価中にTOEが特定の要件を満たしているか
どうかを決定する場合,構成の柔軟性が,TOEの全ての可能な構成が要件を満たさなければならないとい
う問題をもたらすことがある。このため,TOEのガイダンス部分では,TOEで可能な構成を強く制限する
ことがある。つまり,TOEのガイダンスは,IT製品の一般ガイダンスとは異なることがある。
この一例としては,オペレーティングシステムのIT製品がある。この製品は,多くの使い方(利用者の
種別,利用者の数,許可又は禁止される外部接続の種別,任意機能の有効化又は無効化など)に応じて構
成できる。このIT製品をTOEとし,妥当な機能要件の集合で評価する場合は,多くの任意機能(全ての
種別の外部接続の許可又はシステム管理者の認証の不要など)によって,TOEが要件を満たさなくなるこ
とがあるため,構成をなおさら厳格に制限した方がよい。このため,一般に(多くの構成を許容する)IT
製品のガイダンスと(唯一の構成又はセキュリティ関連の方法に関して異ならない構成だけを許容する)
TOEのガイダンスとの間には相違がある。TOEのガイダンスが複数の構成を許容する場合には,これらの
構成を一括したものを“TOE”と呼び,各構成はTOEに課される要件を満たさなければならないことに注
意する。
5.3 この規格類の対象読者
TOEのセキュリティ特性の評価に一般的に関心をもつのは,利用者,開発者及び評価者の三つのグルー
プである。この規格で示す基準は,これら三つのグループ全ての要求に対応できるように構成されている。
この三つのグループは,全て,この規格類の主な読者とみなされている。この三つのグループは,この後
に示すようにこの基準からの恩恵を受けることができる。
5.3.1 利用者
この規格類は,評価が利用者の要求を満たすことを保証するように記述しているが,それは,これが評
価プロセスの基本的な目的及び意義だからである。
利用者は,TOEが利用者のセキュリティに関する要求を満たしているかどうかを決定する一助として,
――――― [JIS X 5070-1 pdf 26] ―――――
24
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
評価結果を用いることができる。通常,これらのセキュリティに関する要求は,リスク分析及び方針の双
方の結果として,決定されている。利用者はまた,異なるTOEを比較する場合に評価結果を用いることも
できる。
この規格類は,利用者,特に関心をもつ利用者のグループ及びコミュニティに対して,セキュリティ要
件を明確に表現するための,プロテクションプロファイル(PP)と呼ばれる実装に依存しない要件定義の
ひな(雛)形を提供する。
5.3.2 開発者
この規格類は,TOEの評価の準備及び支援並びに各TOEが満たすべきセキュリティ要件の特定におい
て,開発者を支援することを目的としている。これらの要件は,セキュリティターゲット(ST)と呼ばれ
る実装に依存する要件定義書に含まれている。このSTは,一つ以上のPPに基づき,当該PPの規定に従
ってSTが利用者からのセキュリティ要件に適合していることを示してもよい。
この規格類は,これらの要件に対してTOEの評価を裏付けるのに必要な証拠を提供する責任及び行動を
決定するために用いることができる。また,その証拠の内容及び提示も規定している。
5.3.3 評価者
この規格類は,セキュリティ要件に対するTOEの適合について判断を下すときに,評価者が用いる基準
を含んでいる。この規格類は,評価者が実施しなければならない一般的な行動の集合を記述している。こ
の規格類は,それらの行動の実行に当たって従うべき手続を具体的に述べていないことに注意する。これ
らの手順の詳細については,5.5に示されている。
5.3.4 その他の対象読者
この規格類は,TOEのITセキュリティ特性の仕様及び評価を指向していると同時に,ITセキュリティ
に興味又は責任のある全ての関係者のための参考資料としても役に立つものである。この規格類に含まれ
ている情報から恩恵を受けることができる,その他の関心のあるグループの幾つかを次に示す。
a) 組織のITセキュリティ方針及び要件を決定し実現する責任のある,システム管理者及びシステムセキ
ュリティ担当役員。
b) (TOEから構成された又はTOEを含む)ITソリューションのセキュリティの妥当性評定に責任のあ
る,内部及び外部の監査員。
c) T製品のセキュリティ特性の仕様に責任のあるセキュリティの設計者。
d) 特定の環境内におけるITソリューション使用の受入れに責任のある調達者。
e) 評価の依頼及び支援に責任のある評価のスポンサー。
f) ITセキュリティ評価プログラムの管理及び監督に責任のある認証機関。
5.4 この規格類の各部
この規格類は,次に示すように,関連する三つの部として提供している。各部の記述に用いられている
用語については,箇条6で説明する。
a) この規格は,この規格類の序説である。ITセキュリティ評価の一般的な概念及び原則を定義し,評価
の一般モデルを提示する。
b) 第2部の“セキュリティ機能コンポーネント”は,TOEの機能要件の基となる標準ひな(雛)形とし
て,機能コンポーネントの集合を規定している。この規格類第2部は,機能コンポーネントの集合を
カタログ化し,ファミリ及びクラスを編成している。
c) 第3部の“セキュリティ保証コンポーネント”は,TOEの保証要件の基となる標準ひな(雛)形とし
て,保証コンポーネントの集合を規定している。この規格類第3部は,保証コンポーネントの集合を
――――― [JIS X 5070-1 pdf 27] ―――――
25
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
カタログ化し,ファミリ及びクラスを編成している。また,この規格類第3部はPP及びSTの評価基
準も定義し,更に評価保証レベル(EAL)と呼ばれる七つの定義済み保証パッケージも示している。
この規格類の三つの部を支援するために,その他の文書が発行されている。例えば,ISO/IEC 18045は
この規格類に基づくITセキュリティ評価の方法を示す文書である。技術的根拠に関する資料及びガイダン
ス文書を含め,その他の文書も発行されることが予想される。
表1に,三つの主な対象読者グループがこの規格類の各部をどのように利用すべきかを示す。
表1−“ITセキュリティの評価基準”の役割別用途
利用者 開発者 評価者
予備知識として使用する。
予備知識及び参考資料として使用 PP及びSTを評価するときの
する。そして,TOEのセキュリティ
そして,参考資料として使 予備知識及び参考資料として
第1部
用する義務がある。PPの構
仕様を開発するために使用する義 使用する義務がある。
造の手引である。 務がある。
TOEの要件に関する記述 TOEの機能要件に関する記述を解 機能要件に関する記述を解釈
を定式化するときの手引 釈するとき及びTOEの機能仕様を するときの参考資料として使
第2部
及び参考資料として使用 定式化するときの参考資料として 用する義務がある。
する。 使用する義務がある。
必要な保証レベルを決定 TOEの保証要件に関する記述を解 保証要件に関する記述を解釈
するときの手引として使 釈するとき及びTOEの保証アプロ するときの参考資料として使
第3部
用する。 ーチを決定するときの参考資料と 用する。
して使用する。
5.5 評価の枠組み
評価結果間の比較可能性を高めるために,標準を定め,評価の品質を監視し,評価設備及び評価者が遵
守しなければならない規則を管理する信頼すべき評価制度の枠組みの中で評価を実施することが望ましい。
この規格類は,規制上の枠組みに関する要件を記述していない。しかしながら,こうした評価結果に対
する相互承認の目標を達成するには,様々な認証機関の規制上の枠組み間の一貫性が必要になろう。
評価結果間で比較可能性を高める第二の方法は,評価結果を生成するために共通の方法を使用すること
である。この規格類については,この方法がISO/IEC 18045で説明されている。
共通評価方法を用いることは,結果の再現性及び客観性に寄与するが,それだけでは十分とはいえない。
一貫性を達成するのがより困難であるために,評価基準の多くには,専門家の判断及び予備知識の適用が
必要である。評価結果の一貫性を高めるために,最終評価結果を認証プロセスにかけてもよい。
認証プロセスは,通常公開される最終的な認証書の発行に至る独立した評価結果の検査である。認証プ
ロセスは,ITセキュリティ基準の適用における一貫性を高める手段である。
評価制度及び認証プロセスは,この制度及びプロセスを実行する認証機関の責任であり,この規格類の
適用範囲外である。
6 一般モデル
6.1 序説及び一般モデル
箇条6では,この規格類全体にわたって用いられる一般的概念を示す。これには,この規格類の概念が
用いられる背景及びこの概念を適用するアプローチを含む。
この規格の利用者が参考とすべき,この規格類の第2部及び第3部では,これらの概念の使用について
――――― [JIS X 5070-1 pdf 28] ―――――
26
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
詳述しており,ここに示すアプローチを用いることを前提としている。さらに,評価のためにこの規格を
使用する者にとっては,ISO/IEC 18045が適用可能である。箇条6は,ITセキュリティについて相応の知
識があることを前提としており,この分野に関する手引の役割を果たすことを意図していない。
この規格類は,セキュリティの概念及び用語を用いてセキュリティについて論じる。これらの概念及び
用語を理解することが,この規格類を効果的に用いるための必要条件である。ただし,概念自体は極めて
一般的なものであり,この規格類が適用されるITセキュリティの課題の種類を限定することを意図してい
ない。
6.2 資産及び対抗策
セキュリティは,資産の保護に関係する。資産とは,何者かが価値があると認めるものである。資産の
例を次に示す。
・ ファイル又はサーバの内容。
・ 投票で投じられた票の真正性。
・ 電子商取引の処理の可用性。
・ 高価なプリンタの使用権。
・ 制限区画への立入り。
ただし,価値とは非常に主観的であるため,ほとんど全てのものが資産になり得る。このような資産が
ある環境は,運用環境と呼ばれる。運用環境の(側面の)例を次に示す。
・ 銀行のコンピュータルーム
・ インターネットに接続するコンピュータネットワーク
・ LAN
・ 一般的なオフィス環境
資産の多くは,情報の所有者が規定した要件を満たすIT製品によって保存されたり,処理されたり,伝
送されたりする情報の形をとる。情報の所有者は,このような情報の可用性,流出及び改変を厳格に管理
し,対抗策によって資産を脅威から保護する。図2に,上位レベルの概念及び関係を示す。
――――― [JIS X 5070-1 pdf 29] ―――――
27
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
value
所有者
(Owners)
wish to minimize
impose
対抗策
(Countermeasures)
to reduce
リスク
(Risk)
脅威エージェント
(Threat agents)
that increase to
give rise to
脅威 資産
(Threats) (Assets)
to
wish to abuse and/or may damage
注記 対応国際規格の図2は,矢印のとおりに単語を続けて読むと,次の例のように意味のある英語の文となる。こ
れを,日本語に訳すと,図の意図を必ずしも反映することはできないので,矢印部分は対応国際規格のとおり
とした。
例 左上の“所有者”から右下の“資産”に対して,矢印のとおりに単語を並べる。
Owners impose countermeasures to reduce risk to assets.
所有者は,資産に対するリスクを減少させる対抗策を講じる。
図2−セキュリティの概念及び関係
対象となる資産を保護することは,それらの資産の価値を認めている所有者の責任である。実在する又
は想定の脅威エージェントもまたその資産の価値を認め,所有者の利益に反する形で資産を悪用しようと
する可能性がある。脅威エージェントの例には,ハッカー,悪意のある利用者,悪意はないが誤りを犯す
ことがある利用者,コンピュータ処理及び事故がある。
資産の所有者は,そうした脅威を,所有者にとっての資産の価値が減少することになるような資産の侵
害の可能性ととらえる。一般に,セキュリティ固有の侵害には,資産の機密性の損失,資産の完全性の損
失,資産の可用性の損失などがあるが,これらだけではない。そのため,このような脅威が実現する可能
性と,その場合の資産への影響とに基づいて,脅威から資産に対するリスクが生じる。したがって,資産
へのリスクを減らすために,対抗策が講じられる。対抗策は,IT対抗策(ファイアウォール,スマートカ
ードなど)及びIT以外の対抗策(警備員,手続など)から構成されることがある。セキュリティ対抗策(管
理),その実装方法及び管理方法に関する,より一般的な議論については,JIS Q 27001及びJIS Q 27002
も参照する。
資産の所有者は,それらの資産に対する責任を負う(負わされる)ことがあるため,資産を脅威にさら
すリスクを受け入れる判断の正しさを立証できることが望ましい。この判断の正しさを立証するために重
要な点は,次のことを示すことである(図3参照)。
――――― [JIS X 5070-1 pdf 30] ―――――
次のページ PDF 31
JIS X 5070-1:2011の引用国際規格 ISO 一覧
- ISO/IEC 15408-1:2009(IDT)
JIS X 5070-1:2011の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.040 : 文字セット及び符号化