上位レベル設計の評価（ADV_HLD.2）

7.6.3.1 目的

1006 このサブアクティビティの目的は、上位レベル設計が主要な構成ユニット（すなわ

ち、サブシステム）の観点から TSF を記述しているかどうか、これらの構成ユ ニットへのインタフェースを記述しているかどうか、機能仕様の正しい具体化であ るかどうかを決定することである。

7.6.3.2 入力

1007 このサブアクティビティ用の評価証拠は、次のとおりである。

a) ST b) 機能仕様 c) 上位レベル設計

7.6.3.3 評価者アクション

1008 このサブアクティビティは、次の2つのCCパート3評価者アクションエレメント

からなる。

a) ADV_HLD.2.1E b) ADV_HLD.2.2E 7.6.3.3.1 アクションADV_HLD.2.1E

ADV_HLD.2.1C

3:ADV_HLD.2-1 評価者は、上位レベル設計がすべての必要な非形式的説明文を含んでいることを決 定するために、その設計を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。

1009 上位レベル設計全体が非形式的である場合、このワークユニットは、適用されない

ため、満たされているものとみなされる。

1010 準形式的または形式的記述だけでは理解が困難な上位レベル設計のこれらの部分に

は、補助的な説明的記述が必要となる（例えば、形式的表記の意味を明確にするた めに）。

ADV_HLD.2.2C

3:ADV_HLD.2-2 評価者は、上位レベル設計の提示が内部的に一貫していることを決定するために、

その提示を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。

1011 一貫性の分析のガイダンスについては、附属書B.3を参照のこと。

1012 評価者は、インタフェース仕様がサブシステムの目的の記述と一貫されていること

を保証することにより、サブシステムインタフェース仕様の正当性を確認する。

EAL3:ADV_HLD.2

ADV_HLD.2.3C

3:ADV_HLD.2-3 評価者は、TSF がサブシステムの観点から記述されていることを決定するために、

上位レベル設計を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。

1013 上位レベル設計に関して、用語「サブシステム」（subsystem）は、大きな関連する ユニット（メモリ管理、ファイル管理、プロセス管理など）を意味する。設計を基 本的な機能領域に分解することは、設計を理解するのに役に立つ。

1014 上位レベル設計を検査する主な目的は、評価者の TOE の理解を助けることである。

開発者によるサブシステム定義と各サブシステム内の TSF のグループ化の選択は、

TOE の意図する動作を理解する上で上位レベル設計を役に立つものにする重要な 局面である。このワークユニットの一部として、評価者は、開発者が提示するサブ システムの数が適切であるかどうか、及びサブシステム内の機能のグループ化の選 択が適切であるかどうかも評定するべきである。評価者は、TSF のサブシステムへ の分解が、TSF の機能がどのように提供されるかを上位レベルで理解するために評 価者にとって十分であることを保証するべきである。

1015 上位レベル設計を記述するために使用されるサブシステムを「サブシステム」と呼

ぶ必要はない。ただし、それは、同様の分解レベルを表しているべきである。例え ば、設計は、「層」または「マネージャ」を使用して分解することもできる。

1016 サブシステム定義の選択と評価者の分析の間にいくつかの相互作用が存在すること

がある。この相互作用については、次のワークユニット 3:ADV_HLD.2-10 で検討 する。

ADV_HLD2.4.C

3:ADV_HLD.2-4 評価者は、上位レベル設計が各サブシステムのセキュリティ機能を記述しているこ とを決定するために、その設計を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。

1017 サブシステムのセキュリティ機能のふるまいは、サブシステムが何を行うかの記述

である。これには、サブシステムがその機能を使用して実行するように指示される アクションと、サブシステムが TOE のセキュリティ状態に与える効果（例えば、

サブジェクト、オブジェクト、セキュリティデータベースの変更など）の記述を含 めるべきである。

ADV_HLD.2.5C

3:ADV_HLD.2-5 評価者は、上位レベル設計が TSF で必要とされるすべてのハードウェア、ファー ムウェア、及びソフトウェアを識別していることを決定するために、その設計を チェックしなければならない。

チェックしなければならない。

チェックしなければならない。

チェックしなければならない。

1018 ST にIT 環境のセキュリティ要件が含まれていない場合、このワークユニットは、

適用されないために、満たされているものとみなされる。

1019 ST にIT 環境に対するセキュリティ要件のオプションステートメントが含まれてい

る場合、評価者は、上位レベル設計に記述される TSF が必要とするハードウェア、

ファームウェア、またはソフトウェアのリストと、IT 環境のセキュリティ要件のス

テートメントを比較して、それらが一致することを決定する。ST の情報は、TOE が実行される下層の抽象マシンの特性を表す。

1020 上位レベル設計にSTに含まれていないIT環境のセキュリティ要件が含まれている

場合、またはそれらが ST に含まれているものと異なる場合、この不一致は、アク ションADV_HLD.2.2Eのもとで評価者によって評定される。

3:ADV_HLD.2-6 評価者は、下層のハードウェア、ファームウェア、またはソフトウェアで実装され ている補助的な保護メカニズムが提供する機能の提示を、上位レベル設計が含んで いることを決定するために、その設計を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。

1021 ST にIT 環境のセキュリティ要件が含まれていない場合、このワークユニットは、

適用されないために、満たされているものとみなされる。

1022 TOE が実行される下層抽象マシンが提供する機能の提示は、TSF の一部である機

能の提示と同じ詳細レベルである必要はない。提示は、TOE セキュリティ対策方 針をサポートするために TOE が依存する IT 環境のセキュリティ要件を実装する ハードウェア、ファームウェア、またはソフトウェアに提供されている機能を TOEが使用する方法を説明するべきである。

1023 IT 環境のセキュリティ要件のステートメントは、ハードウェア、ファームウェア、

またはソフトウェアの各種の異なる組み合わせにより満足することができる場合に は特に、抽象的でもよい。テストアクティビティの一部として、評価者に IT 環境 のセキュリティ要件を満たしていると主張されている下層マシンの少なくとも 1 つ 以上の実例が提供される場合、評価者は、これが TOE の必要なセキュリティ機能 を提供するかどうかを決定することができる。この評価者による決定には、下層マ シンのテストまたは分析は必要ない。それによって提供されることが期待される機 能が実際に存在することを決定するだけである。

ADV_HLD.2.6C

3:ADV_HLD.2-7 評価者は、上位レベル設計が TSF サブシステムへのインタフェースを識別してい ることをチェックしなければならないチェックしなければならないチェックしなければならないチェックしなければならない。

1024 上位レベル設計には、各サブシステムに対する、各入口点の名前が含まれている。

ADV_HLD.2.7C

3:ADV_HLD.2-8 評価者は、上位レベル設計が、外部から見える TSF のサブシステムに対するイン タフェースを識別していることをチェックしなければならないチェックしなければならないチェックしなければならないチェックしなければならない。

1025 ワークユニット 3:ADV_FSP.1-3 で述べたように、外部インタフェース（すなわち、

利用者に見えるインタフェース）は、直接または間接的に TSF にアクセスするこ とができる。TSF に直接または間接的にアクセスする外部インタフェースはいずれ も、このワークユニットの識別に含まれる。TSF にアクセスしない外部インタ フェースを含める必要はない。

ADV_HLD.2.8C

EAL3:ADV_HLD.2

3:ADV_HLD.2-9 評価者は、上位レベル設計が、各サブシステムへのインタフェースを、それらの目 的と使用方法の観点から記述し、そして効果、例外及び誤りメッセージの詳細を適 切に提供していることを決定するために、その設計を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。

1026 上位レベル設計には、各サブシステムのすべてのインタフェースの目的と使用方法

の記述を含めるべきである。そのような記述は、あるインタフェースには概括的に、

また他のインタフェースにはさらに詳細に提供することができる。提供されるべき 効果、例外及び誤りメッセージの詳細のレベルを決定するとき、評価者は、この分 析の目的と TOE によるインタフェースの使用を考慮するべきである。例えば、評 価者は、TOE の設計が適切である確信を確証するために、サブシステムの間の相 互作用の本質を理解する必要がある。この理解は、サブシステムの間のいくつかの インタフェースの概括的な記述を理解するだけで得られる。特に、他のサブシステ ムによってコールされない内部サブシステム入力点は、通常、詳細な記述を必要と しない。

1027 詳細のレベルは、ATE_DPT 要件を満たすために採用されたテスト手法にも依存す

る場合がある。例えば、必要となる詳細の量は、外部インタフェースだけを介して テストするテスト手法と、外部と内部の両方のサブシステムインタフェースを介し てテストする手法では異なる。

1028 詳細な記述には、入力と出力のパラメタ、インタフェースの効果、生成される例外

または誤りメッセージの詳細が含まれる。外部インタフェースの場合、必要な記述 は、おそらく、機能仕様に含まれており、上位レベル設計では繰り返すことなく参 照することができる。

ADV_HLD.2.9C

3:ADV_HLD.2-10 評価者は、上位レベル設計が TSP 実施サブシステムとそれ以外のサブシステムに 分けてTOEを記述していることをチェックしなければならないチェックしなければならないチェックしなければならないチェックしなければならない。

1029 TSFは、TSP の実施に依存される必要があるTOEの部分のすべてからなる。TSF

には、TSP を直接実施する機能と、TSP を直接実施しないが、間接的な方法で TSP の実施に貢献する機能の両方が含まれているために、すべての TSP 実施サブ システムは TSF に含まれている。TSP の実施に何の役割も果たさないサブシステ ムは、TSF の一部ではない。サブシステム全体は、その一部が TSF の一部である 場合、TSFの一部となる。

1030 ワークユニット 3:ADV_HLD.2-3 で説明したように、開発者によるサブシステム定 義及び各サブシステム内での TSF のグループ化の選択は、TOE の意図する運用を 理解する上で上位レベル設計を役に立つものにする重要な局面である。ただし、

TSP を直接的または間接的に実施するいずれかの機能を備えたサブシステムは、

TSFの一部であるために、サブシステム内のTSFのグループ化の選択はTSFの範 囲にも影響する。理解が容易であることを目標とすることも重要であるが、必要な 分析の量を減らすために TSF の範囲を制限することも役に立つ。理解が容易であ ることと範囲を減らすことの 2 つの目標は、ときには相反することがある。評価者 は、サブシステム定義の選択を評定するとき、このことを忘れないようにするべき である。