TOE TOETOETOE

TOE TOE

ＩＴ環境（

OS OS OS OS等） 等） 等） 等）

TOEサマリ仕様

"　　　　STSTSTST序説序説序説序説

"　　　　TOETOETOETOE記述記述記述記述

"　　　　TOETOETOETOEセキュリティ環境セキュリティ環境セキュリティ環境セキュリティ環境

"　　　　セキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブ

"　　　　ITITITITセキュリティ要件セキュリティ要件セキュリティ要件セキュリティ要件

"　ＰＰクレーム　ＰＰクレーム　ＰＰクレーム　ＰＰクレーム

"　　　　根拠根拠根拠根拠

"　　　　

TOE TOE TOE TOEサマリ仕様 サマリ仕様 サマリ仕様 サマリ仕様

TOEサマリ仕様の目的

! TOEセキュリティ要件で記述された内容の具体 的な実現方法を定義する。

! TOEセキュリティ機能要件とTOEセキュリティ保

証要件のそれぞれに対応して記述する。

TOEサマリ仕様の記述項目

! TOEセキュリティ機能

"TOEのセキュリティ機能(TSF)を定義。

"ここで定義したTSFが各設計資料に順次ブレークダウ

ンされる。

! 保証手段

"評価保証レベル(EAL)の保証要件が満たされているこ

とを示す。

"保証要件を満たすために用いる手段を記述する。

TOEセキュリティ機能の記述内容

! 各セキュリティ機能(SF)の実現方法を、自然言語 を使って分かりやすく記述する。

"セキュリティ機能の実現方法

"TOEセキュリティ機能要件(SFR)との関係

• SFとSFRは双方向にマッピングされねばならない。

"セキュリティメカニズムに対応するSF

• AVA_SOF.1がセキュリティ保証要件に含まれる場合、関連す

るSFを識別する。

TOEセキュリティ機能の具体例

! セキュリティ機能を分かりやすく分類し、さらに小 項目に分けて仕様を記述する。

"分類の例:

• ファイアウォールを対象としたSTの例:

– IPパケットフィルタリング機能

– アプリケーションゲートウエイ機能

– 監査機能

TOEセキュリティ機能の具体例

^(続き1)

! TOEセキュリティ機能

"IPパケットフィルタリング機能

IPF.1:

IPパケットフィルタリング機能は、ネットワークドライバと IPの間で××OSのカーネル空間において動作する。

この機能は、外部ネットワーク(敵対的攻撃が予想され る)と内部ネットワークとの間におかれたファイアウォー ルにおいて、あらかじめ設定した条件に従ってIPパケッ トの通過を制御する。

IPF.2:

・・・

TOEセキュリティ機能の具体例

^(続き2)

! セキュリティ機能要件との対応関係の説明

"対応関係は、以下のような表にまとめると分かりやすい^*。

X X

アプリケーション X ゲートウエイ

X X

IPパケットフィルタ X リング機能

・・・

セキュリティ機能要件コンポーネント セキュリティ

機能

FDP_IFC.1 FDP_IFF.1 FAU_ARP.1 FAU_GEN.1 FAU_SAA.1 FAU_SAR.1 FMT_MSA.1 FMT_MTD.1

保証手段の記述内容

! セキュリティ保証要件をすべて満たす手段を説 明する。

"EAL4以下では、このセクションの記述は比較的簡単

なものになる。

"セキュリティ保証要件に対応し、具体的な保証手段を

記述する。

• ISO 15408 Part3に、EALの各レベルごとに評価対象となる保 証コンポーネントが書かれている。そのコンポーネントが要求 する手段(具体的には、評価のために提出すべき資料)を記 述する。

保証手段の具体例

! 初めの部分

" 以下の例のように、保証要件が満たされることを明

記する。このあとに証拠となる具体的な資料を列記 する。

「××(TOEの名称)は、評価保証レベル(EAL)nnnn^* に対応する保 証要件を満たす。保証要件を満たす手段を以下に示す。」

* nnnn は評価保証レベルの数値(1～7)

保証手段の具体例

^(続き1)

! 評価保証レベル(EAL)に対応する要件に従い、

以下の例のように要件を満たす手段を記述する

。

"構成管理:

• TOEの構成管理は以下の文書に基づいて行われる。始めの

文書はTOEの構成を定義する。2番目の文書は、××会社に おける構成管理に関する規定である。

– ××システム機能仕様書 – 構成管理手順書(第××版)

・・・

"開発:

• TOEの開発は以下の文書に基づいて行われる。

– ××システム機能仕様書 – ××システム構造設計書

保証手段の具体例

^(続き2)

! 保証要件と保証手段との対応を説明する。

"表を使ってマッピングを示すと分かりやすい。

• 前のスライドに示した説明で要件と手段の対応が明確ならば、

特に説明を追加しなくてもよい。

• 以下のような表による説明は、根拠の章でおこなってもよい。

ここで表を使用した場合、根拠ではそれを引用すればよい。

保証手段

セキュリティ保証要件コンポーネント

・・・

ACM_AUT.1 ACM_CAP.4 ACM_SCP.2 ADO_DEL.2 ADO_IGS.1 ADV_FSP.2 ADV_HLD.2 AVD_VLA.2

PPクレーム

"　　　　STSTSTST序説序説序説序説

"　　　　TOETOETOETOE記述記述記述記述

"　　　　TOETOETOETOEセキュリティ環境セキュリティ環境セキュリティ環境セキュリティ環境

"　　　　セキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブ

"　　　　ITITITITセキュリティ要件セキュリティ要件セキュリティ要件セキュリティ要件

"　　　　TOETOETOETOEサマリ仕様サマリ仕様サマリ仕様サマリ仕様

"　根拠　根拠　根拠　根拠

"　　　　

ＰＰクレーム ＰＰクレーム ＰＰクレーム ＰＰクレーム

PPクレームの目的

! PP(プロテクションプロファイル)への適合を宣言

"評価済みで公開されているPPへの適合を宣言

• PPへの部分的適合の宣言は不可

• PPへの適合の宣言がない場合、適合するPPがない旨を記述

»PPは、製品のカテゴリーについて共通のセキュリティ要件を記載 した要求仕様書

»TOEサマリ仕様の記述がないことを除いて、ほぼセキュリティター ゲットと同様なもの

業界団体などが作成

PPとは

PPクレームの記述項目

! 適合を宣言するPPごとに、以下の項目に対する 説明を行う。

"PP参照

"PP修整

"PP追加

PP参照の記述内容

! 適合を宣言するPPへの参照情報を記述する。

! 適合宣言に関して必要な説明を加える。

PP修整の記述内容

! PPに対して認められているセキュリティ要件への 操作（選択あるいは割付）がある場合、それを完 了（修整）していることを明確に記述する。

! PPのセキュリティ要件の条件をさらに限定するこ

とが必要な場合、それを明確に記述する。

PP追加の記述内容

! PPのセキュリティオブジェクティブおよびセキュリ

ティ要件に追加するTOEのセキュリティオブジェ

クティブおよびセキュリティ要件があれば、それを

明確に記述する。

根拠

"　　　　STSTSTST序説序説序説序説

"　　　　TOETOETOETOE記述記述記述記述

"　　　　TOETOETOETOEセキュリティ環境セキュリティ環境セキュリティ環境セキュリティ環境

"　　　　セキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブ

"　　　　ITITITITセキュリティ要件セキュリティ要件セキュリティ要件セキュリティ要件

"　　　　TOETOETOETOEサマリ仕様サマリ仕様サマリ仕様サマリ仕様

"　ＰＰクレーム　ＰＰクレーム　ＰＰクレーム　ＰＰクレーム

"　　　　

根拠 根拠 根拠 根拠

根拠の目的

! セキュリティターゲットが完全で一貫したもので

あるという根拠を提示する。

根拠の記述項目

! セキュリティオブジェクティブ根拠

"TOEセキュリティ環境に対応するセキュリティオブジェ

クティブのセットが効果的で必要かつ十分なものであ ることを示す。

! セキュリティ要件根拠

"セキュリティ要件のセットがセキュリティオブジェクティ

ブを満たす必要かつ十分なものであることを示す。

! ＴＯＥサマリ仕様根拠

"TOEのセキュリティ機能がすべてのセキュリティ要件

を満たす完全で一貫したセットであることを示す。

! PPクレーム根拠

"PPクレームの正当性を示す。

セキュリティオブジェクティブ根拠の記述内容

! セキュリティオブジェクティブが、脅威に対応し、

想定と組織のセキュリティ方針に対応する、効果 的で必要かつ十分なものであることを示す。

" 脅威への対応

" 想定への対応

" 組織のセキュリティ方針

への対応

! 対応表を使ったマッピング

• 個々の対応策が、脅威、想定、組織のセキュリティ方針と双 方向に対応し、互いの対応に漏れがないことを示す。

! 記述による説明

脅威 想定 組織のセキュリティ方針

セキュリティオブジェクティブ

セキュリティオブジェクティブ根拠の記述内容

^(続き)

! 脅威への対応の具体例

O.IDAUTH X

O.SINUSE X X

O.MEDIAT X O.SECSTA X

O.SECFUN X X

T.NOAUTH T.REPEAT T.REPLAY T.MEDIAT

対応表：

説明文：

T.NOAUTH:

O.IDAUTHによって正当なユーザだけ にTOEのアクセスを許可し、O.SECFUN によってセキュリティ機能へのアクセス を 管 理 者だ けに限 定 す る 。 ま た 、 O.SECSTAによって、TOE立上げ時の セキュリティを確保する。この3つを実 施することで、正規のユーザでないも のがTOEをアクセスする脅威に対抗で きる。

セキュリティ要件根拠の記述内容

! TOEとその環境のセキュリティ要件が、一体として セキュリティオブジェクティブを満たし、適切で必要 かつ十分なものであることを以下の内容で説明す る。

" セキュリティ機能要件とセキュリティオブジェクティブの対応

" セキュリティ保証要件の適切性

" セキュリティ機能強度の一貫性

" セキュリティ要件の依存性

" セキュリティ要件の相互補完性

セキュリティオブジェクティブ

セキュリティ機能要件 セキュリティ保証要件

ドキュメント内 目次! はじめに!ST 序説!TOE 記述!TOEセキュリティ環境! セキュリティオブジェクティブ!ITセキュリティ要件!TOEサマリ仕様!PPクレーム! 根拠! おわりに 2 (ページ 58-100)