ATEクラス: テスト
ATE_IND.1 独立テスト - 準拠
依存性: ADV_FSP.1基本機能仕様
AGD_OPE.1 利用者操作ガイダンス
AGD_PRE.1 準備手続き
目的
440 このコンポーネントの目的は、TOE がその設計表現とガイダンス文書に従って動作するこ とを実証することである。
適用上の注釈
441 このコンポーネントは、開発者テスト結果の使用について述べていない。そのような結果 が利用できない場合や開発者テストが確認なく承認されている場合に有効である。評価 者は、機能仕様を含んでいるがそれには限定されないTOEの設計表現に従ってTOEが 動作することを確認する目的で、テストを考案し、実施することを要求される。近道は、す べての可能なテストを実施するよりも、代表的なテストを通じて正常動作の自信を得ること である。この目的のために計画されるテスト範囲は方法の成果であり、特定のTOEの背景 と他の評価アクティビティとのバランスを考慮する必要がある。
開発者アクションエレメント:
ATE_IND.1.1D 開発者は、テストのためのTOEを提供しなければならない。
内容・提示エレメント:
ATE_IND.1.1C TOEは、テストに適していなければならない。
評価者アクションエレメント:
ATE_IND.1.1E 評価者は、提供された情報が、証拠の内容・提示に対するすべての要件を満たしている
ことを確認しなければならない。
ATE_IND.1.2E 評価者は、TSF が仕様どおりに動作することを確認するために、TSF インタフェースのサ
ブセットをテストしなければならない。
ATE_IND.2 独立テスト - サンプル
依存性: ADV_FSP.2 セキュリティ実施機能仕様
AGD_OPE.1 利用者操作ガイダンス
AGD_PRE.1 準備手続き
ATE_COV.1 カバレージの証拠
ATE_FUN.1 機能テスト
目的
442 このコンポーネントの目的は、TOE がその設計表現とガイダンス文書に従って動作するこ とを実証することである。評価者テストは、開発者が、機能仕様内の一部のインタフェース について何らかのテストを実行したことを確認する。
適用上の注釈
443 意図するところは、開発者テストの効果的な再現に必要な資料を、開発者が評価者に提 供すべきことである。これには、マシンが読み取ることのできるテスト証拠資料やテストプロ グラムなどが含まれる。
444 このコンポーネントは、テストの計画を補うために、評価者が開発者からの利用可能なテス ト結果を入手する要件を含んでいる。評価者は、得られた結果に対する確信を得るため に、開発者テストのサンプルを繰り返す。確信が得られたら、評価者は開発者テストに基 づいて、別の方法で TOEを使用する追加テストを実施する。正当性が確認された開発者 テスト結果の基盤を使うことにより、評価者は単に開発者自身の労力や与えられた固定レ ベルの資源を使うことで可能となる以上に、より広い範囲の条件で、TOEが正常に動作す ることの確信が得られる。開発者が TOE のテストを完了しているとの確信を得ることで、評 価者は、また証拠資料の調査や専門家の知識で特別に関心がある領域のテストに適切 に集中するより多くの自由が得られる。
開発者アクションエレメント:
ATE_IND.2.1D 開発者は、テストのためのTOEを提供しなければならない。
内容・提示エレメント:
ATE_IND.2.1C TOEは、テストに適していなければならない。
ATE_IND.2.2C 開発者は、TSF の開発者機能テストで使用されたものと同等の一連の資源を提供しなけ
ればならない。
評価者アクションエレメント:
ATE_IND.2.1E 評価者は、提供された情報が、証拠の内容・提示に対するすべての要件を満たしている
ことを確認しなければならない。
ATE_IND.2.2E 評価者は、開発者テスト結果を検証するために、テスト証拠資料内のテストのサンプルを
実行しなければならない。
ATE_IND.2.3E 評価者は、TSFが仕様どおりに動作することを確認するために、TSFのサブセットをテスト しなければならない。
ATE_IND.3 独立テスト - 完全
依存性: ADV_FSP.4完全な機能仕様
AGD_OPE.1 利用者操作ガイダンス
AGD_PRE.1 準備手続き
ATE_COV.1 カバレージの証拠
ATE_FUN.1 機能テスト
目的
445 このコンポーネントの目的は、TOE がその設計表現とガイダンス文書に従って動作するこ とを実証することである。評価者テストは、開発者テストをすべて繰り返すことを含む。
ATEクラス: テスト
適用上の注釈
446 意図するところは、開発者テストの効果的な再現に必要な資料を、開発者が評価者に提 供すべきことである。これには、マシンが読み取ることのできるテスト証拠資料やテストプロ グラムなどが含まれる。
447 このコンポーネントでは、評価者はテスト計画の一部として、開発者テストのすべてを繰り 返さなければならない。前のコンポーネントと同様に、評価者はまた、開発者が行ったのと は異なる方法で、TSF を実行させることを目的とするテストを実施する。開発者テストが徹 底的に行われている場合には、これを行う余地は殆ど残っていないであろう。
開発者アクションエレメント:
ATE_IND.3.1D 開発者は、テストのためのTOEを提供しなければならない。
内容・提示エレメント:
ATE_IND.3.1C TOEは、テストに適していなければならない。
ATE_IND.3.2C 開発者は、TSF の開発者機能テストで使用されたものと同等の一連の資源を提供しなけ
ればならない。
評価者アクションエレメント:
ATE_IND.3.1E 評価者は、提供された情報が、証拠の内容・提示に対するすべての要件を満たしている
ことを確認しなければならない。
ATE_IND.3.2E 評価者は、開発者テスト結果を検証するために、テスト証拠資料内のすべてのテストを実
行しなければならない。
ATE_IND.3.3E 評価者は、TSF全体が仕様どおりに動作することを確認するために、TSFをテストしなけれ ばならない。
16 AVA クラス: 脆弱性評定
448 AVA: 脆弱性評定クラスは、TOEの開発または運用で生じる悪用可能な脆弱性の可能性
を扱う。
449 図15は、このクラスのファミリと、各ファミリのコンポーネントの階層を示す。
図15 AVA: 脆弱性評定クラスのコンポーネント構成
適用上の注釈
450 一般的に、脆弱性評定アクティビティは、TOE の開発及び運用における様々な脆弱性を カバーする。開発上の脆弱性は、TOEの開発中に入り込むいくつか特性(TSFの改ざん、
直接攻撃または監視により TSF 自己保護が破られる、TSF の監視または直接攻撃により TSFドメイン分離が破られる、あるいはTSFの回避(バイパス)により非バイパス性が破られ るなど)を悪用する。運用上の脆弱性は、TOE SFRを侵害する非技術的な対抗策(誤使用 や不正な構成など)における弱点を悪用する。誤使用は、セキュアでないにもかかわらず TOEの管理者または利用者が合理的にセキュアであると判断した方法で、TOEが構成ま たは使用され得るかどうかを調査する。
451 開発上の脆弱性の評定は、保証ファミリ AVA_VAN によってカバーされる。基本的に、す べての開発上の脆弱性はAVA_VANの範囲で考慮することができる。これは、このファミリ がある種の攻撃シナリオに特定されない幅広い評定方法を適用できるという事実に基づ いている。これらの不特定の評定方法には、隠れチャネルが考慮される TSF(チャネル容 量の見積もりは、実際のテスト測定と同様、非形式的な工学的な測定によってなされる)、
あるいは直接攻撃の形式で十分な資源を利用することで打開することができるTSF(これら の TSFの基になっている技術的な概念は、確率的または順列的メカニズムに基づいてい る。つまり、それらを破るために必要なセキュリティ上のふるまいや労力の評価付けは、定 量的または統計的分析結果を用いて行うことができる)に対応するような評定方法などが 含まれる。
452 TOEの1人の利用者がTOEの別の利用者に関連付けられているアクティビティを観察す
るのを防止する、または情報フローを使用して不正なデータ信号を得ることができないこと を保証するというセキュリティ対策方針が ST で特定されている場合、脆弱性分析の実施 中に隠れチャネル分析を考慮するべきである。これは、観察不能性(FPR_UNO)及びアク セス制御方針(FDP_ACC)及び/または情報フロー方針(アクセス制御方針(FDP_IFC)に よって特定されるマルチレベルアクセス制御方針をST に含めることで反映されることが多 い。