388 セキュリティ対策方針は、セキュリティ課題定義によって定義される課題に対して意図して いる解決策の簡潔かつ抽象的なステートメントである。セキュリティ対策方針には、次の 3 つの役割がある:
‐ 課題に対して、自然言語で記述された上位レベルの解決策を提供する;
‐ この解決策を 2つの部分的な解決策に分割する。これらの部分的な解決策には、
異なるエンティティのそれぞれが課題の一部に対処しなければならないことが反映 されている;
‐ これらの部分的な解決策が課題に対する完全な解決策を形成することを実証する。
A.7.1 上位レベル解決策
389 セキュリティ対策方針は、過剰な詳細のない簡潔かつ明確なステートメントのセットから構 成される。これらの組み合わせによって、セキュリティ課題に対する上位レベルの解決策 が形成される。セキュリティ対策方針の抽象化のレベルは、TOEについて知識のある潜在 的消費者にとって明確で、理解可能にすることを目的としている。セキュリティ対策方針は 自然言語で記述する。
A.7.2 部分的な解決策
390 ST では、上位レベルセキュリティ解決策は、セキュリティ対策方針によって記述されるよう に、2つの部分的解決策に分割される。このような2つの部分的解決策は、TOEのセキュ リティ対策方針及び運用環境のセキュリティ対策方針と呼ばれる。これは、部分的解決策 が、TOE及び運用環境という2種類の異なるエンティティによって提供されることを反映し ている。
A.7.2.1 TOEのセキュリティ対策方針
391 TOE は、セキュリティ課題定義によって定義される課題の特定の部分を解決するために、
セキュリティ機能性を提供する。この部分的解決策はTOE のセキュリティ対策方針と呼ば れ、課題の特定の部分を解決するために TOE が達成すべき目標のセットから構成され る。
392 TOEのセキュリティ対策方針の例を次に示す:
‐ TOE は、TOE とサーバ間で送信されるすべてのファイルの内容の秘密を保持しな ければならない;
‐ TOEは、TOEが提供する送信サービスへのアクセスを許可する前に、すべての利 用者を識別し、認証しなければならない;
‐ TOEは、STの附属書3に記述されるデータアクセス方針に従って、データに対す る利用者のアクセスを制限しなければならない。
393 TOEが物理的に分散している場合は、これを反映するために、TOEのセキュリティ対策方 針を含むSTの節を複数の項に分割することが望ましい場合がある。
A.7.2.2 運用環境のセキュリティ対策方針
394 TOE の運用環境は、TOE が(TOE のセキュリティ対策方針によって定義される)セキュリ ティ機能性を正しく提供できるように TOE を支援する技術及び手続きに関する手段を実 装する。この部分的解決策は運用環境のセキュリティ対策方針と呼ばれ、運用環境で達 成すべき目標を記述するステートメントのセットから構成される。
395 運用環境のセキュリティ対策方針の例を次に示す:
‐ 運用環境では、TOEを実行するためにOS Inuxバージョン3.01bが動作している ワークステーションを提供しなければならない;
‐ 運用環境では、TOEの操作を許可する前に、すべての人間のTOE利用者が適切 な訓練を受けるようにしなければならない;
‐ TOE の運用環境では、管理者及び管理者に随行された保守員にTOE への物理 的アクセスを制限しなければならない;
‐ 運用環境では、中央監査サーバに送信する前に、TOE によって生成される監査ロ グの機密性を確保しなければならない。
396 TOE の運用環境が特性の異なる複数のサイトから構成されている場合は、これを反映す るために、運用環境のセキュリティ対策方針を含む ST の節を複数の項に分割することが 望ましい場合がある。
A.7.3 セキュリティ対策方針とセキュリティ課題定義の関係
397 STには、次の2つの節からなるセキュリティ対策方針根拠も含まれる:
‐ どのセキュリティ対策方針が、どの脅威、OSP、及び前提条件に対処するかを示す 追跡;
‐ すべての脅威、OSP、及び前提条件がセキュリティ対策方針によって効果的に対 処されることを示す正当化のセット。
A.7.3.1 セキュリティ対策方針とセキュリティ課題定義の間の追跡
398 追跡は、セキュリティ対策方針が、セキュリティ課題定義で記述される脅威、OSP、及び前 提条件までどのようにさかのぼるかを示す。
a) 関係のない対策方針の禁止: 各セキュリティ対策方針は、少なくとも 1 つの脅威、
OSP、または前提条件までたどる。
b) セキュリティ課題定義に関する完全性: 各脅威、OSP、及び前提条件には、各々ま でたどる少なくとも1つのセキュリティ対策方針がある。
c) 正確な追跡: 前提条件は常に運用環境についてTOEにより設定されるため、TOE のセキュリティ対策方針は前提条件までさかのぼらない。CCパート 3により許可さ れる追跡を図6に示す。
脅威
TOE の セキュリティ対策方針
組織の
セキュリティ方針 前提条件
運用環境の セキュリティ対策方針
図6 セキュリティ対策方針とセキュリティ課題定義の間の追跡
399 複数のセキュリティ対策方針がたどった先が同じ脅威になることがあるが、その場合、これ らのセキュリティ対策方針の組み合わせがその脅威に対抗することを示す。OSP 及び前 提条件にも同じことが当てはまる。
A.7.3.2 追跡の正当化の提供
400 セキュリティ対策方針根拠では、追跡が有効であることも実証する: 特定の脅威、OSP ま たは前提条件までたどるすべてのセキュリティ対策方針が達成された場合、すべての与え られた脅威、OSP 及び前提条件は対処される(すなわち、それぞれは、対抗、実施、及び 充足される)。
401 この実証では、関連セキュリティ対策方針を達成することによる、脅威への対抗、OSP の 実施、及び前提条件の充足への効果を分析し、実際に対抗、実施、及び充足されるとい う結論を導く。
402 セキュリティ課題定義の一部がいくつかのセキュリティ対策方針と非常に似ているような一 部の状況では、実証は非常に簡単になることがある。例えば: 脅威が「T17: 脅威エー ジェント X は AB 間の転送時に秘密情報を読み取る」、TOE のセキュリティ対策方針が
「OT12: TOEはAB間で送信されるすべての情報の秘密が確実に保持されるようにしなけ
ればならない」の場合、「T17はOT12によって直接対抗される」と実証される。
A.7.3.3 脅威への対抗について
403 脅威への対抗とは、必ずしもその脅威を除去することを意味せず、脅威を十分に減らすこ と、または脅威を十分に緩和することを意味する場合もある。
404 脅威の除去の例は、次のとおりである:
‐ 脅威エージェントから有害なアクションを実行する能力を除去する;
‐ 有害なアクションを資産に対して行うことができなくなるように、資産を移動、変更、
または保護する;
‐ 脅威エージェントを除去する(例えば、頻繁にネットワークをクラッシュさせるマシン をネットワークから取り外す)。
405 脅威の軽減の例は、次のとおりである:
‐ 有害なアクションを実行する脅威エージェントの能力を制限する;
‐ 脅威エージェントが有害なアクションを実行する機会を制限する;
‐ 実行された有害なアクションが成功する可能性を減少させる;
‐ 抑止によって脅威エージェントが有害なアクションを実行する動機を減少させる;
‐ 脅威エージェントにより多くの専門知識または資源を要求する。
406 脅威の影響の緩和の例は、次のとおりである:
‐ 資産のバックアップを頻繁に行う;
‐ 資産のスペアコピーを取る;
‐ 資産に保険をかける;
‐ 適切なアクションをとることができるように、成功したすべての有害なアクションが適 切な時機に必ず検出されるようにする。
A.7.4 セキュリティ対策方針: 結論
407 セキュリティ対策方針及びセキュリティ対策方針根拠に基づいて、すべてのセキュリティ対 策方針が達成された場合セキュリティ課題定義(ASE_SPD)で定義されるセキュリティ課 題は解決される、という結論を下すことができる。つまり、すべての脅威が対抗され、すべ てのOSPが実施され、すべての前提条件が充足される。