6.6 開発アクティビティ
6.6.3 上位レベル設計の評価(ADV_HLD.1)
6.6.3.1 目的
710 このサブアクティビティの目的は、上位レベル設計が主要な構成ユニット(すなわ ち、サブシステム)の観点から TSF を記述しているかどうか、及び機能仕様の正 しい具体化であるかどうかを決定することである。
6.6.3.2 入力
711 このサブアクティビティ用の評価証拠は、次のとおりである。
a) ST b) 機能仕様 c) 上位レベル設計
6.6.3.3 評価者アクション
712 このサブアクティビティは、次の2つのCCパート3評価者アクションエレメント からなる。
a) ADV_HLD.1.1E b) ADV_HLD.1.2E 6.6.3.3.1 アクションADV_HLD.1.1E
ADV_HLD.1.1C
2:ADV_HLD.1-1 評価者は、上位レベル設計がすべての必要な非形式的説明文を含んでいることを決 定するために、その設計を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。
713 上位レベル設計全体が非形式的である場合、このワークユニットは、適用されない ため、満たされているものとみなされる。
714 準形式的または形式的記述だけでは理解が困難な上位レベル設計のこれらの部分に は、補助的な説明的記述が必要となる(例えば、形式的表記の意味を明確にするた めに)。
ADV_HLD.1.2C
2:ADV_HLD.1-2 評価者は、上位レベル設計の提示が内部的に一貫していることを決定するために、
その提示を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。
715 一貫性の分析のガイダンスについては、附属書B.3を参照のこと。
EAL2:ADV_HLD.1
716 評価者は、インタフェース仕様がサブシステムの目的の記述と一貫していることを 保証することにより、サブシステムインタフェース仕様の正当性を確認する。
ADV_HLD.1.3C
2:ADV_HLD.1-3 評価者は、TSF がサブシステムの観点から記述されていることを決定するために、
上位レベル設計を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。
717 上位レベル設計に関して、用語「サブシステム」(subsystem)は、大きな関連する ユニット(メモリ管理、ファイル管理、プロセス管理など)を意味する。設計を基 本的な機能領域に分解することは、設計を理解するのに役に立つ。
718 上位レベル設計を調べる主な目的は、評価者の TOE の理解を助けることである。
開発者によるサブシステム定義と各サブシステム内の TSF のグループ化の選択は、
TOE の意図する動作を理解する上で上位レベル設計を役に立つものにする重要な 局面である。このワークユニットの一部として、評価者は、開発者が提示するサブ システムの数が適切であるかどうか、及びサブシステム内の機能のグループ化の選 択が適切であるかどうかも評定するべきである。評価者は、TSF のサブシステムへ の分解が、TSF の機能がどのように提供されるかを上位レベルで理解するために評 価者にとって十分であることを保証するべきである。
719 上位レベル設計を記述するために使用されるサブシステムを「サブシステム」と呼 ぶ必要はない。ただし、それは、同様の分解レベルを表しているべきである。例え ば、設計は、「層」または「マネージャ」を使用して分解することもできる。
ADV_HLD.1.4C
2:ADV_HLD.1-4 評価者は、上位レベル設計が各サブシステムのセキュリティ機能を記述しているこ とを決定するために、その設計を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。
720 サブシステムのセキュリティ機能のふるまいは、サブシステムが何を行うかの記述 である。これには、サブシステムがその機能を使用して実行するように指示される アクションと、サブシステムが TOE のセキュリティ状態に与える影響(例えば、
サブジェクト、オブジェクト、セキュリティデータベースの変更など)の記述を含 めるべきである。
ADV_HLD.1.5C
2:ADV_HLD.1-5 評価者は、上位レベル設計が TSF で必要とされるすべてのハードウェア、ファー ムウェア、及びソフトウェアを識別していることを決定するために、その設計を チェックしなければならない。
チェックしなければならない。
チェックしなければならない。
チェックしなければならない。
721 ST にIT 環境のセキュリティ要件が含まれていない場合、このワークユニットは、
適用されないために、満たされているものとみなされる。
722 ST にIT 環境に対するセキュリティ要件のオプションステートメントが含まれてい
る場合、評価者は、上位レベル設計に記述される TSF が必要とするハードウェア、
ファームウェア、またはソフトウェアのリストと、IT 環境のセキュリティ要件のス テートメントを比較して、それらが一致することを決定する。ST の情報は、TOE が実行される下層の抽象マシンの特性を表す。
723 上位レベル設計にSTに含まれていないIT環境のセキュリティ要件が含まれている 場合、またはそれらが ST に含まれているものと異なる場合、この不一致は、アク ションADV_HLD.1.2Eのもとで評価者によって評定される。
2:ADV_HLD.1-6 評価者は、下層のハードウェア、ファームウェア、またはソフトウェアで実装され ている補助的な保護メカニズムが提供する機能の提示を、上位レベル設計が含んで いることを決定するために、その設計を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。
724 ST にIT 環境のセキュリティ要件が含まれていない場合、このワークユニットは、
適用されないために、満たされているものとみなされる。
725 TOE が実行される下層抽象マシンが提供する機能の提示は、TSF の一部である機
能の提示と同じ詳細レベルである必要はない。提示は、TOE セキュリティ対策方 針をサポートするために TOE が依存する IT 環境のセキュリティ要件を実装する ハードウェア、ファームウェア、またはソフトウェアに提供されている機能を TOEが使用する方法を説明するべきである。
726 IT 環境のセキュリティ要件のステートメントは、ハードウェア、ファームウェア、
またはソフトウェアの各種の異なる組み合わせにより満足することができる場合に は特に、抽象的でもよい。テストアクティビティの一部として、評価者に IT 環境 のセキュリティ要件を満たしていると主張されている下層マシンの少なくとも 1 つ 以上の実例が提供される場合、評価者は、これが TOE の必要なセキュリティ機能 を提供するかどうかを決定することができる。この評価者による決定には、下層マ シンのテストまたは分析は必要ない。それによって提供されることが期待される機 能が実際に存在することを決定するだけである。
ADV_HLD.1.6C
2:ADV_HLD.1-7 評価者は、上位レベル設計が TSF サブシステムへのインタフェースを識別してい ることをチェックしなければならないチェックしなければならないチェックしなければならないチェックしなければならない。
727 上位レベル設計には、各サブシステムに対する、各入口点の名前が含まれている。
ADV_HLD.1.7C
2:ADV_HLD.1-8 評価者は、上位レベル設計が、外部から見える TSF のサブシステムに対するイン タフェースを識別していることをチェックしなければならないチェックしなければならないチェックしなければならないチェックしなければならない。
6.6.3.3.2 アクションADV_HLD.1.2E
2:ADV_HLD.1-9 評価者は、上位レベル設計が TOE セキュリティ機能要件の正確な具体化であるこ とを決定するために、その設計を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。
728 評価者は、各 TOE セキュリティ機能の上位レベル設計を分析し、機能が正確に記 述されていることを保証する。評価者は、機能が上位レベル設計に含まれていない 依存性を持っていないことも保証する。
729 評価者は、STと上位レベル設計の両方でIT 環境のセキュリティ要件も分析し、そ れらが一致することを保証する。例えば、STに監査証跡を格納するためのTOEセ キュリティ機能要件が含まれていて、さらに上位レベル設計では監査証跡の格納は、
EAL2:ADV_HLD.1
IT 環境によって行われると述べられている場合、上位レベル設計は、TOE セキュ リティ機能要件の正確な具体化ではない。
2:ADV_HLD.1-10 評価者は、上位レベル設計がTOEセキュリティ機能要件の完全な具体化であるこ とを決定するために、その設計を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。
730 すべての ST セキュリティ機能要件が上位レベル設計で扱われていることを保証す るために、評価者は、TOE セキュリティ機能要件と上位レベル設計の間のマッピ ングを作成することができる。