• 検索結果がありません。

16 AVA クラス: 脆弱性評定

448 AVA: 脆弱性評定クラスは、TOEの開発または運用で生じる悪用可能な脆弱性の可能性

を扱う。

449 図15は、このクラスのファミリと、各ファミリのコンポーネントの階層を示す。

15 AVA: 脆弱性評定クラスのコンポーネント構成

適用上の注釈

450 一般的に、脆弱性評定アクティビティは、TOE の開発及び運用における様々な脆弱性を カバーする。開発上の脆弱性は、TOEの開発中に入り込むいくつか特性(TSFの改ざん、

直接攻撃または監視により TSF 自己保護が破られる、TSF の監視または直接攻撃により TSFドメイン分離が破られる、あるいはTSFの回避(バイパス)により非バイパス性が破られ るなど)を悪用する。運用上の脆弱性は、TOE SFRを侵害する非技術的な対抗策(誤使用 や不正な構成など)における弱点を悪用する。誤使用は、セキュアでないにもかかわらず TOEの管理者または利用者が合理的にセキュアであると判断した方法で、TOEが構成ま たは使用され得るかどうかを調査する。

451 開発上の脆弱性の評定は、保証ファミリ AVA_VAN によってカバーされる。基本的に、す べての開発上の脆弱性はAVA_VANの範囲で考慮することができる。これは、このファミリ がある種の攻撃シナリオに特定されない幅広い評定方法を適用できるという事実に基づ いている。これらの不特定の評定方法には、隠れチャネルが考慮される TSF(チャネル容 量の見積もりは、実際のテスト測定と同様、非形式的な工学的な測定によってなされる)、

あるいは直接攻撃の形式で十分な資源を利用することで打開することができるTSF(これら の TSFの基になっている技術的な概念は、確率的または順列的メカニズムに基づいてい る。つまり、それらを破るために必要なセキュリティ上のふるまいや労力の評価付けは、定 量的または統計的分析結果を用いて行うことができる)に対応するような評定方法などが 含まれる。

452 TOEの1人の利用者がTOEの別の利用者に関連付けられているアクティビティを観察す

るのを防止する、または情報フローを使用して不正なデータ信号を得ることができないこと を保証するというセキュリティ対策方針が ST で特定されている場合、脆弱性分析の実施 中に隠れチャネル分析を考慮するべきである。これは、観察不能性(FPR_UNO)及びアク セス制御方針(FDP_ACC)及び/または情報フロー方針(アクセス制御方針(FDP_IFC)に よって特定されるマルチレベルアクセス制御方針をST に含めることで反映されることが多 い。

AVAクラス: 脆弱性評定

454 脆弱性分析は、データと機能性に許可されないアクセスを許す、TSF を妨害または変更 できることを許す、または他の利用者の許可された能力を妨害することができる、といった 欠陥を攻撃者が見つけられるような脅威を扱う。

コンポーネントのレベル付け

455 レベル付けは、評価者による脆弱性分析の厳格さ、及び攻撃者が潜在的脆弱性を見つ けて悪用するために必要とする攻撃能力のレベルに基づいている。

AVA_VAN.1 脆弱性調査

依存性: ADV_FSP.1基本機能仕様

AGD_OPE.1 利用者操作ガイダンス

AGD_PRE.1 準備手続き

目的

456 公知の情報の脆弱性調査は、攻撃者が容易に発見する可能性がある潜在的脆弱性を確 認するために評価者が実行する。

457 評価者は、侵入テストを実行して、TOEの運用環境で潜在的脆弱性を悪用できないことを 確認する。侵入テストは、評価者が、基本的な攻撃能力を想定して実行する。

開発者アクションエレメント:

AVA_VAN.1.1D 開発者は、テストのためのTOEを提供しなければならない。

内容・提示エレメント:

AVA_VAN.1.1C TOEは、テストに適していなければならない。

評価者アクションエレメント:

AVA_VAN.1.1E 評価者は、提供された情報が、証拠の内容・提示に対するすべての要件を満たしている

ことを確認しなければならない。

AVA_VAN.1.2E 評価者は、TOE の潜在的脆弱性を識別するために、公知の情報源の探索を実行しなけ

ればならない。

AVA_VAN.1.3E 評価者は、基本的な攻撃能力を持つ攻撃者からの攻撃に TOE が耐えられることを決定

するために、識別された潜在的脆弱性に基づいて侵入テストを実施しなければならない。

AVA_VAN.2 脆弱性分析

依存性: ADV_ARC.1 セキュリティアーキテクチャ記述

ADV_FSP.1 基本機能仕様

ADV_TDS.1 基本設計

AGD_OPE.1 利用者操作ガイダンス

AGD_PRE.1 準備手続き

459 評価者は、侵入テストを実行して、TOEの運用環境で潜在的脆弱性を悪用できないことを 確認する。侵入テストは、評価者が、基本的な攻撃能力を想定して実行する。

開発者アクションエレメント:

AVA_VAN.2.1D 開発者は、テストのためのTOEを提供しなければならない。

内容・提示エレメント:

AVA_VAN.2.1C TOEは、テストに適していなければならない。

評価者アクションエレメント:

AVA_VAN.2.1E 評価者は、提供された情報が、証拠の内容・提示に対するすべての要件を満たしている

ことを確認しなければならない。

AVA_VAN.2.2E 評価者は、TOE の潜在的脆弱性を識別するために、公知の情報源の探索を実行しなけ

ればならない。

AVA_VAN.2.3E 評価者は、TOE の潜在的脆弱性を識別するために、ガイダンス証拠資料、機能仕様、

TOE 設計、及びセキュリティアーキテクチャ記述を使用して、TOE の独立脆弱性分析を 実行しなければならない。

AVA_VAN.2.4E 評価者は、基本的な攻撃能力を持つ攻撃者からの攻撃に TOE が耐えられることを決定

するために、識別された潜在的脆弱性に基づいて侵入テストを実施しなければならない。

AVA_VAN.3 焦点を置いた脆弱性分析

依存性: ADV_ARC.1 セキュリティアーキテクチャ記述

ADV_FSP.2 セキュリティ実施機能仕様

ADV_TDS.3 基本モジュール設計

ADV_IMP.1 TSFの実装表現

AGD_OPE.1 利用者操作ガイダンス

AGD_PRE.1 準備手続き

目的

460 脆弱性分析は、評価者が潜在的脆弱性の存在を確認するために実行する。

461 評価者は、侵入テストを実行して、TOEの運用環境で潜在的脆弱性を悪用できないことを 確認する。侵入テストは、評価者が、強化基本的な攻撃能力を想定して実行する。

開発者アクションエレメント:

AVA_VAN.3.1D 開発者は、テストのためのTOEを提供しなければならない。

内容・提示エレメント:

AVA_VAN.3.1C TOEは、テストに適していなければならない。

評価者アクションエレメント:

AVAクラス: 脆弱性評定

AVA_VAN.3.2E 評価者は、TOE の潜在的脆弱性を識別するために、公知の情報源の探索を実行しなけ

ればならない。

AVA_VAN.3.3E 評価者は、TOE の潜在的脆弱性を識別するために、ガイダンス証拠資料、機能仕様、

TOE設計、セキュリティアーキテクチャ記述、及び実装表現を使用して、TOEの独立脆弱 性分析を実行しなければならない。

AVA_VAN.3.4E 評価者は、強化基本的な攻撃能力を持つ攻撃者からの攻撃に TOE が耐えられることを

決定するために、識別された潜在的脆弱性に基づいて侵入テストを実施しなければなら ない。

AVA_VAN.4 系統的脆弱性分析

依存性: ADV_ARC.1 セキュリティアーキテクチャ記述

ADV_FSP.2 セキュリティ実施機能仕様

ADV_TDS.3 基本モジュール設計

ADV_IMP.1 TSFの実装表現

AGD_OPE.1 利用者操作ガイダンス

AGD_PRE.1 準備手続き

目的

462 系統的脆弱性分析は、評価者が潜在的脆弱性の存在を確認するために実行する。

463 評価者は、侵入テストを実行して、TOEの運用環境で潜在的脆弱性を悪用できないことを 確認する。侵入テストは、評価者が、中程度の攻撃能力を想定して実行する。

開発者アクションエレメント:

AVA_VAN.4.1D 開発者は、テストのためのTOEを提供しなければならない。

内容・提示エレメント:

AVA_VAN.4.1C TOEは、テストに適していなければならない。

評価者アクションエレメント:

AVA_VAN.4.1E 評価者は、提供された情報が、証拠の内容・提示に対するすべての要件を満たしている

ことを確認しなければならない。

AVA_VAN.4.2E 評価者は、TOE の潜在的脆弱性を識別するために、公知の情報源の探索を実行しなけ

ればならない。

AVA_VAN.4.3E 評価者は、TOE の潜在的脆弱性を識別するために、ガイダンス証拠資料、機能仕様、

TOE 設計、セキュリティアーキテクチャ記述、及び実装表現を使用して、TOE の独立した、

系統的脆弱性分析を実行しなければならない。

AVA_VAN.4.4E 評価者は、中程度の攻撃能力を持つ攻撃者からの攻撃に TOE が耐えられることを決定

するために、識別された潜在的脆弱性に基づいて侵入テストを実施しなければならない。

AVA_VAN.5 高度な系統的脆弱性分析

依存性: ADV_ARC.1 セキュリティアーキテクチャ記述

ADV_FSP.2 セキュリティ実施機能仕様

ADV_TDS.3 基本モジュール設計

ADV_IMP.1 TSFの実装表現

AGD_OPE.1 利用者操作ガイダンス

AGD_PRE.1 準備手続き

目的

464 系統的脆弱性分析は、評価者が潜在的脆弱性の存在を確認するために実行する。

465 評価者は、侵入テストを実行して、TOEの運用環境で潜在的脆弱性を悪用できないことを 確認する。侵入テストは、評価者が、高い攻撃能力を想定して実行する。

開発者アクションエレメント:

AVA_VAN.5.1D 開発者は、テストのためのTOEを提供しなければならない。

内容・提示エレメント:

AVA_VAN.5.1C TOEは、テストに適していなければならない。

評価者アクションエレメント:

AVA_VAN.5.1E 評価者は、提供された情報が、証拠の内容・提示に対するすべての要件を満たしている

ことを確認しなければならない。

AVA_VAN.5.2E 評価者は、TOE の潜在的脆弱性を識別するために、公知の情報源の探索を実行しなけ

ればならない。

AVA_VAN.5.3E 評価者は、TOE の潜在的脆弱性を識別するために、ガイダンス証拠資料、機能仕様、

TOE 設計、セキュリティアーキテクチャ記述、及び実装表現を使用して、TOE の独立した、

系統的脆弱性分析を実行しなければならない。

AVA_VAN.5.4E 評価者は、高い攻撃能力を持つ攻撃者からの攻撃にTOEが耐えられることを決定するた

めに、識別された潜在的脆弱性に基づいて侵入テストを実施しなければならない。