この規格ページの目次
28
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
・ 対抗策が集合として十分であること。つまり,それぞれの対抗策が主張する動作を実行すれば,資産
の脅威が対抗されること。
・ それぞれの対抗策が正確であること。つまり,対抗策が主張する動作を確実に実行すること。
資産の所有者の多くは,対抗策の十分性及び正確性を判断するのに必要な知識,技能又は資源を欠いて
いるが,対抗策の開発者の主張だけに頼ることを望まないこともある。したがって,資産の所有者は,こ
れらの対抗策の評価を依頼することによって,対抗策の一部又は全部の十分性及び正確性に対する信頼度
を向上させる選択を行ってもよい。
評価
(Evaluation)
所有者
provides
(Owners)
require
信頼性
(Confidence)
that
対抗策 十分である
(Countermeasures) are (Sufficient)
and therefore
are
minimize
正確である リスク
(Correct) and therefore (Risk)
minimize
to
資産
(Assets)
注記 図2の注記に同じ。
例 Owners require confidence that countermeasures are correct and therefore minimize risk to assets.
所有者は,対抗策が正確であり,したがって資産に対するリスクを最小限にするという信頼性を要求す
る。
図3−評価の概念及び関係
6.2.1 対抗策の十分性
評価において,対抗策が十分であるかどうかは,セキュリティターゲットと呼ばれる要件定義書を通じ
て分析する。箇条6では,この要件定義書の概要を示す。より詳細で完全な記述を,附属書Aに示す。
セキュリティターゲットでは,初めに資産及び資産への脅威について記述する。次に,セキュリティタ
ーゲットは,(セキュリティ対策方針の形式で)対抗策を記述し,その対抗策の集合が脅威に対抗するため
に十分であること,つまりそれぞれの対抗策が主張する動作を実行すれば,脅威が対抗されることを示す。
次に,セキュリティターゲットは,対抗策を次の二つに分ける。
a) OEのセキュリティ対策方針 : 評価の過程で,正確性を判断する対抗策を記述する。
――――― [JIS X 5070-1 pdf 31] ―――――
29
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
b) 運用環境のセキュリティ対策方針 : 評価の過程で,正確性を判断しない対抗策を記述する。
このように分ける理由は,次のとおりである。
・ この規格類は,IT対抗策の正確性の評定に適している。そのため,IT以外の対抗策(警備員,手続な
ど)は,常に運用環境のセキュリティ対策方針とする。
・ 対抗策の正確性の評定には時間及び資金がかかるため,全てのIT対抗策の正確性の評定は不可能なこ
とがある。
・ 一部のIT対抗策の正確性は,別の評価で既に評定されていることがある。そのため,この正確性を再
評定することは,費用効率が悪い。
セキュリティターゲットには,TOEのセキュリティ対策方針(評価の過程で正確性が評定されるTOE
のIT対抗策)を,セキュリティ機能要件(SFR)でより詳細に記述する必要がある。SFRは,正確性を確
保し,比較を容易にするために,(この規格類第2部で記述する)規格化された表現で規定する。
要するに,セキュリティターゲットでは次のことを示す。
・ SFRがTOEのセキュリティ対策方針を満たしている。
・ TOEのセキュリティ対策方針及び運用環境のセキュリティ対策方針が,脅威に対抗する。
・ したがって,SFR及び運用環境のセキュリティ対策方針が脅威に対抗する。
つまり,(SFRを満たす)正しいTOEと(運用環境のセキュリティ対策方針を満たす)正しい運用環境
との組合せによって,脅威に対抗する。次の6.2.2及び6.2.3では,TOEの正確性及び運用環境の正確性に
ついて規定する。
6.2.2 TOEの正確性
TOEは正確に設計及び実装されるとは限らず,ぜい弱性の原因となる誤りが含まれることがある。この
ようなぜい弱性に付け込まれ,攻撃者によって資産に損害が与えられたり,悪用されたりする可能性があ
る。このようなぜい弱性は,開発中の不慮の誤り(不十分な設計,悪意あるコードの意図的な追加,不十
分な試験など)から生じることがある。TOEの正確性を判定するために,次のような様々なアクティビテ
ィを実施できる。
・ TOEの試験。
・ TOEの様々な設計資料の検査。
・ TOEの開発環境の物理的セキュリティの検査。
セキュリティターゲットでは,セキュリティ保証要件(SAR)の形式で,正確性を判定するために,こ
れらのアクティビティについて記述する。SARは,正確性を確保し,比較を容易にするために,(この規
格類第3部で記述する)規格化された表現で規定する。SARが満たされている場合は,TOEの正確性が保
証されるため,攻撃者に悪用されるぜい弱性がTOEに含まれる可能性が低くなる。TOEの正確性に関す
る保証の程度は,SARによって決定される。つまり,少数の“弱い”SARでは僅かな保証を,多数の“強
力な”SARでは多くの保証をもたらす。
6.2.3 運用環境の正確性
運用環境も正確に設計及び実装されるとは限らず,ぜい弱性の原因となる誤りが含まれることがある。
このようなぜい弱性に付け込まれ,攻撃者によって資産に損害が与えられたり,悪用されたりする可能性
がある。ただし,この規格類では,運用環境の正確性に関して保証は得られない。言い換えると,運用環
境は評価されない(6.3参照)。
評価に関する限り,運用環境は,運用環境のセキュリティ対策方針が100 %正確に具体化されたものと
みなされる。
――――― [JIS X 5070-1 pdf 32] ―――――
30
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
このことは,この規格類の評価対象外であるが,TOEの利用者は,次のような方法を使用して運用環境
の正確性を実現することを防げない。
・ TOEがOSであり,運用環境のセキュリティ対策方針に“運用環境では,(インターネットなどの)信
頼できないネットワークからのエンティティはftpだけによってTOEにアクセスできるようにしなけ
ればならない。”と記述されている場合,利用者は評価済みのファイアウォールを選択し,TOEへの
ftpアクセスだけを許可するようにそのファイアウォールを設定することができる。
・ 運用環境のセキュリティ対策方針に“運用環境では,全ての管理要員が悪意をもって行動しないよう
にしなければならない。”と記述されている場合,利用者は,悪意ある行動に対する懲罰を含むように
管理要員との契約を見直すことができる。
6.3 評価
この規格類は,次に記述するST評価を含むTOE評価と,この規格類第3部に定義されるPP評価との2
種類の評価を対象とする。多くの場合,この規格類では,単なる“評価”という用語は,ST評価を含む
TOE評価を指す。この規格類は,ST評価を含むTOE評価を次の二つの手順で進める。
a) OE及び運用環境の十分性を判定するST評価。
b) OEの正確性を判定するTOE評価。上記のTOE評価では,運用環境の正確性は判定しない。
ST評価を実施する場合には,(この規格類第3部のASEの箇条で定義される)セキュリティターゲット
評価基準(ASE基準)をセキュリティターゲットに適用する。ASE基準を適用するための詳細な方法は,
使用される評価方法によって決まる。
TOE評価は,より複雑である。TOE評価の入力となる基本的な証拠資料はTOE及びSTであるが,通常,
設計文書,開発者による試験結果などの開発環境からの証拠資料もまた入力となる。TOE評価は,証拠資
料に対して(セキュリティターゲットで記述した)各SARを適用することからなる。各SARを適用する
ための詳細な方法は,使用される評価方法によって決まる。SARを適用した結果の文書化方法,作成が必
要な報告書及びその詳細度は,使用される評価方法と,実施する評価に適用される評価制度との両方によ
って決まる。TOE評価プロセスの結果は,次のいずれかとなる。
・ 満たされていないSARがあるため,STに記述されたSFRをTOEが満たすという保証のレベルに達
していないとする判定結果。
・ 全てのSARが満たされているため,STに記述されたSFRをTOEが満たすという保証のレベルに達
しているとする判定結果。
TOE評価は,TOE開発が完了した後に,又はTOE開発と並行に実施してもよい。
ST評価の結果及びTOE評価の結果を記述する方法については,箇条9に規定する。この評価の結果で
は,TOEが適合を主張するPP及びパッケージも特定する。PP及びパッケージの構成については,箇条8
に規定する。
7 セキュリティ要件の調整(tailoring)
7.1 操作(Operations)
機能及び保証コンポーネントは,この規格類の第2部及び第3部で定義されたとおりに使用してよいが,
使用する前に許可された操作を行って修正してもよい。操作を行う場合,PP又はSTの作成者は,この要
件に依存する他の要件への依存性の必要性が満たされていることにも注意する。許可された操作は,次の
ものに限られる。
・ 繰返し : 異なる操作を行って2回以上同一コンポーネントを使用する。
――――― [JIS X 5070-1 pdf 33] ―――――
31
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
・ 割付け : パラメタを指定する。
・ 選択 : リストから,一つ以上の項目を指定する。
・ 詳細化 : 詳細を追加する。
割付け及び選択操作は,コンポーネントで明示された場所だけに許可される。繰返し及び詳細化は,全
てのコンポーネントに許可される。各操作について次に詳述する。
この規格類第2部の附属書に有効な選択及び割付けに関する手引を記述する。この手引は,規定となる
操作の仕方を規定する。定められた規定から外れる場合,PP又はSTの作成者は,その正当性を示さなけ
ればならない。
a) 明示的な選択肢として与えている場合を除き,“なし”以外を書いてはならない。選択肢のリストは,
空欄であってはならない。“なし”を選択した場合,他の選択肢を追記してはならない。“なし”が選
択肢の中になく,“から一つだけ選択”の指定もない場合,選択肢の複数項目を“及び”,“又は”によ
って組み合わせてもよい。選択操作は,必要に応じて繰返し操作と組み合わせてよい。この場合,個
別の繰返しで選んだ選択肢を別の繰返しの選択肢と一致させてはならない。選択肢はそもそも排他的
使用を意図しているからである。
b) 割付け操作については,“なし”と記述できるかについては,この規格類第2部の附属書を参照して判
断する。
7.1.1 繰返し操作(The iteration operation)
全てのコンポーネントに対して繰返し操作を行える。PP又はSTの作成者は,同じコンポーネントを使
って,複数の要件を含めることで,繰返し操作を行う。コンポーネントのそれぞれの繰返しは,同一コン
ポーネントの他のどの繰返しとも異なっていなければならない。これは,異なる方法で割付け及び選択を
完了するか,異なる方法で詳細化を適用することで実現できる。異なる繰返しは,明確な根拠と,これら
の要件との間の追跡のために,一意に識別するのが望ましい。
繰返し操作は,繰返しと同時にある範囲の値のリストを割付け操作できる要件コンポーネントとともに
用いられることもあることに留意することが大切である。その場合,PP又はSTの作成者は,それらの範
囲の値に対して一括した根拠を示すことが必要なのか,又はそれらの値のそれぞれに個別の根拠を示すこ
とが必要なのかを熟慮して,最もふさわしい選択をすることができる。PP又はSTの作成者は,それらの
値に対する個々の根拠が必要かどうかについて念頭に置いておくことが望ましい。
7.1.2 割付け操作(The assignment operation)
割付け操作は,特定のコンポーネントにPP又はSTの作成者によって設定されるパラメタ付きのエレメ
ントが含まれる場合に行う。パラメタは,制限のない変数又は変数を特定の範囲の値に狭める規則にする
ことがある。
PPのエレメントに割付けが含まれる場合には常に,PP作成者は次の四つのいずれかを行わなければな
らない。
a) 割付けを未完了のままにする。PP作成者は,FIAAFL.1.2[不成功の認証試行が定義した回数に達す
るか上回ったとき,TSFは,(割付け : アクションのリスト)を実行しなければならない。]をPPに
加えることができる。
b) 割付けを完了する。例えば,PP作成者は,FIAAFL.1.2(不成功の認証試行が定義した回数に達する
か上回ったとき,TSFは,今後サブジェクトに結合することを外部エンティティに禁じることを実行
しなければならない。)をPPに加えることができる。
――――― [JIS X 5070-1 pdf 34] ―――――
32
X 5070-1 : 2011 (ISO/IEC 15408-1 : 2009)
c) 許可する値の範囲を更に制限するために割付けの範囲を狭める。例えば,PP作成者は,FIAAFL.1.1
[TSFは,(割付け : 4から9までの正の整数)回の不成功の認証試行が生じた時を検出しなければな
らない。]をPPに加えることができる。
d) 割付けを選択に変えることによって,割付けの範囲を狭める。例えば,PP作成者は,FIAAFL.1.2[不
成功の認証試行が定義した回数に達するか上回ったとき,TSFは,(選択 : サブジェクトに結合するこ
とを利用者に禁止,管理者に通知)しなければならない。]をPPに加えることができる。
ST作成者は使用する機能要件のエレメントに割付けが含まれる場合には常に,上記のb)に示すように
割付けを完了しなければならない。任意項目a),c)及びd)はSTでは認められない。任意項目b),c)及び
d)で選定する値は,割付けで要求される指定された型に適合しなければならない。割付けが(サブジェク
トなどの)集合として完結される場合は,集合の要素を列挙してもよいし,集合の要素を導出できる次の
規則を記述してもよい。
・ 全てのサブジェクト。
・ 種別Xの全てのサブジェクト。
・ サブジェクトa)を除く全てのサブジェクト。
ただし,どのサブジェクトを指しているかが明確であることを条件とする。
7.1.3 選択操作
選択操作は,特定のコンポーネントにPP又はSTの作成者が複数の項目から選択しなければならないエ
レメントが含まれる場合に行う。PPのエレメントに選択が含まれる場合には常に,PP作成者は次の三つ
のいずれかを行うことができる。
a) 選択を未完了のままにする。
b) 一つ以上の項目を選んで,選択を完了する。
c) 幾つかの選択肢を削除し,二つ以上を残すことによって,選択を制限する。
ST作成者は使用する機能要件のエレメントに選択が含まれる場合には常に,上記のb)に示すように選
択を完了しなければならない。任意項目a)及びc)はSTでは認められない。b)及びc)で選定する一つ以上
の項目は,選択で提供される項目から取得しなければならない。
7.1.4 詳細化操作
詳細化操作は,全ての要件で行うことができる。PP又はSTの作成者は,要件を変更することによって
詳細化を行う。詳細化の最初の規則は,そのPP又はSTの文脈において,詳細化された要件を満たすTOE
が詳細化されていない要件も満たすということである(つまり,詳細化された要件は,元の要件に比べ“よ
り厳格”でなければならない。)。詳細化がこの規則を満たさない場合,その詳細化によって生じる要件は
拡張要件とみなされ,拡張要件として扱わなければならない。
この規則に対する唯一の例外として,PP又はSTの作成者は,全部ではなく一部の,サブジェクト,オ
ブジェクト,操作,セキュリティ属性及び/又は外部エンティティに適用するためにSFRを詳細化するこ
とができる。ただし,この例外は,適合を主張するPPから取得されたSFRの詳細化には適用されない。
このようなSFRは,PP内のSFRよりも少ない,サブジェクト,オブジェクト,操作,セキュリティ属性
及び/又は外部エンティティに適用するように詳細化することはできない。
詳細化の2番目の規則は,詳細化は元のコンポーネントに関連付けなければならないことである。
詳細化の特殊なケースには編集上の詳細化がある。この場合,文法に合わせるために,又は読者にとっ
てより理解しやすくするために,文を書き換えるなど,要件に小さな変更が行われる。この変更によって
要件の意味を変更することはできない。
――――― [JIS X 5070-1 pdf 35] ―――――
次のページ PDF 36
JIS X 5070-1:2011の引用国際規格 ISO 一覧
- ISO/IEC 15408-1:2009(IDT)
JIS X 5070-1:2011の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.040 : 文字セット及び符号化