2.4 評価サブアクティビティ
3.4.6 明示された IT セキュリティ要件の評価(APE_SRE.1)
3.4.6.1 目的
272 このサブアクティビティの目的は、CC の参照なしに述べられたセキュリティ機能 要件またはセキュリティ保証要件が適切で妥当であるかどうかを決定することであ る。
3.4.6.2 適用上の注釈
273 この節は、PP がCCパート 2またはパート 3のいずれかの参照なしに明示された ITセキュリティ要件を含んでいる場合にのみ適用する。そうでない場合は、この節 内のすべてのワークユニットは適用されず、満たされているものとみなされる。
274 APE_SRE要件はAPE_REQ要件に置き換わるのではなく、追加されるものである。
これは、CCパート2またはパート3のいずれかの参照なしに明示されたITセキュ リティ要件がAPE_SRE 基準、またその他すべてのセキュリティ要件と組み合わせ て、APE_REQ基準によって評価される必要があることを意味する。
3.4.6.3 入力
275 このサブアクティビティ用の評価証拠は、次のとおりである。
a) PP
3.4.6.4 評価者アクション
276 このサブアクティビティは、次の2つのCCパート3評価者アクションエレメント からなる。
a) APE_SRE.1.1E b) APE_SRE.1.2E
3章 PP評価
3.4.6.4.1 アクションAPE_SRE.1.1E APE_SRE.1.1C
APE_SRE.1-1 評価者は、IT セキュリティ要件のステートメントが、CC の参照なしに明示された すべての TOE セキュリティ要件を識別していることをチェックしなければならなチェックしなければならなチェックしなければならなチェックしなければならな い
い い い。
277 CC パート 2 機能コンポーネントを使用して特定されていない TOE セキュリティ
機能要件は、それ自体として明確に識別される必要がある。同様に、CC パート 3 保証コンポーネントを使用して特定されていない TOE セキュリティ保証要件も、
それ自体として明確に識別される必要がある。
APE_SRE.1.2C
APE_SRE.1-2 評価者は、IT セキュリティ要件のステートメントが、CC の参照なしに明示された IT環境に対するすべてのセキュリティ要件を識別していることをチェックしなけれチェックしなけれチェックしなけれチェックしなけれ ばならない
ばならない ばならない ばならない。
278 CC パート 2 機能コンポーネントを使用して特定されていない IT 環境に対するセ
キュリティ機能要件は、それ自体として明確に識別される必要がある。同様に、
CC パート 3 保証コンポーネントを使用して特定されていない IT 環境に対するセ キュリティ保証要件も、それ自体として明確に識別される必要がある。
APE_SRE.1.3C
APE_SRE.1-3 評価者は、各々の明示された IT セキュリティ要件が明示的に述べられなければな らない理由を、セキュリティ要件根拠が適切に正当化していることを決定するため に、その根拠を検査しなければならない検査しなければならない検査しなければならない検査しなければならない。
279 評価者は、各々の明示された IT セキュリティ要件に対して、既存の機能コンポー ネントまたは保証コンポーネント(それぞれCCパート2及びCCパート3から)
を該当する明示されたセキュリティ要件を表すために使用できない理由を正当化が 説明することを決定する。評価者は、この決定においてこれらの既存のコンポーネ ントに対する操作(すなわち、割付、繰返し、選択、または詳細化)の実行可能性 を考慮に入れる。
APE_SRE.1.4C
APE_SRE.1-4 評価者は、要件が CC 要件コンポーネント、ファミリ、及びクラスを提示のための モデルとして使用することを決定するために、各々の明示された IT セキュリティ 要件を検査しなければならない検査しなければならない検査しなければならない検査しなければならない。
280 評価者は、明示された IT セキュリティ要件が CC パート 2 またはパート 3 コン ポーネントと同じスタイル、同等の詳細レベルで提示されていることを決定する。
評価者は、機能要件が個別の機能エレメントに分割されること、及び保証要件が開 発者アクション、証拠の内容・提示、及び評価者アクションエレメントを特定する ことも決定する。
APE_SRE.1.5C
APE_SRE.1-5 評価者は、各々の明示されたIT セキュリティ要件が、TOE の適合または非適合が 決定可能で系統立てて実証できるように、測定可能でかつ客観的な評価要件を述べ ていることを決定するために、その要件を検査しなければならない検査しなければならない検査しなければならない検査しなければならない。
281 評価者は、機能要件がテスト可能であり、適切な TSF 表現を通じて追跡可能であ る方法で述べられていることを決定する。評価者は、保証要件が主観的な評価者判 定の必要を避けることも決定する。
APE_SRE.1.6C
APE_SRE.1-6 評価者は、各々の明示された IT セキュリティ要件が、明確に、曖昧さなく表現さ れていることを決定するために、その要件を検査しなければならない検査しなければならない検査しなければならない検査しなければならない。
APE_SRE.1.7C
APE_SRE.1-7 評価者は、保証要件があらゆる明示された TOE セキュリティ機能要件をサポート するのに適切で妥当であることを、セキュリティ要件根拠が実証していることを決 定するために、その根拠を検査しなければならない検査しなければならない検査しなければならない検査しなければならない。
282 評価者は、特定された保証要件の適用が各々の明示されたセキュリティ機能要件に 対して意味のある評価結果をもたらすかどうか、またはほかの保証要件が特定され るべきかどうかを決定する。例えば、明示されたセキュリティ機能要件が特有の文 書による証拠(TSP モデルなど)、テストの深さ、または分析(TOE セキュリティ 機能の強度分析または隠れチャネル分析など)の必要性を暗示する場合がある。
3.4.6.4.2 アクションAPE_SRE.1.2E
APE_SRE.1-8 評価者は、あらゆる明示された IT セキュリティ要件の依存性のすべてが識別され ていることを決定するために、ITセキュリティ要件のステートメントを検査しなけ検査しなけ検査しなけ検査しなけ ればならない
ればならない ればならない ればならない。
283 評価者は、いかなる適用可能な依存性も PP 作成者が見過ごすことがないように保 証する。
284 依存性の例は次のとおりである。明示された機能要件が監査に言及する場合は、
FAUクラスのコンポーネント。明示された保証要件がTOE のソースコードまたは 実装表現に言及する場合は、ADV_IMP。
4章 ST評価
4 章 ST 評価
4.1 序説
285 この章では、ST 評価を記述する。ST は、TOE 評価サブアクティビティを実行す るための基礎と状況を提供するので、ST 評価はこれらのサブアクティビティの前 に開始される。TOE 評価のサブアクティビティ検出によりSTへの変更が行われる 可能性があるため、STの最終判定は、TOE評価が完了するまでできない。
286 ST 評価の要件及び方法論は、ST で主張されている EAL(またはその他の保証基
準セット)に関係なく各 ST評価で同一である。CEM の以降の章では特定の EAL での評価の実行について記述しているが、この章は評価されるあらゆる ST に適用 される。
287 この章の評価方法論は、CCパート1の特に附属書C、及びCCパート3のASEク ラスに指定されているSTの要件に基づいている。
4.2 目的
288 ST は製品またはシステムの説明である。それ自体セキュリティ機能及び定義され
た組織のセキュリティ方針を強化するセキュリティメカニズムを識別し、定義され た前提条件に基づき、定義された脅威に対抗することを期待されている。また、製 品またはシステムが正しく脅威に対抗し、組織のセキュリティ方針を強化するとい う保証を提供する手段を定義することも期待されている。
289 ST評価の目的は、STが以下の点を満たしているかどうかを決定することである。
a) 完全である。セキュリティ機能によって、それぞれの脅威に対抗し、それぞれ の組織のセキュリティ方針が強化されている。
b) 必要十分である。セキュリティ機能が脅威及び組織のセキュリティ方針に適し ており、保証手段がセキュリティ機能が正しく実装されるという十分な保証を 提供する。
c) 適切である。STは、内部的に一貫していなければならない。
d) 正確に具体化されている。ST が 1 つまたは複数の PP を満たすことを求めた 場合、STはそれぞれ参照されたPPの完全で正確な具体化である必要がある。
この場合、PP評価結果の多くがST評価で再使用されることがある。
4.3 ST 評価関係
290 完全なST評価を実施するアクティビティは、次のことを扱う。
a) 評価入力タスク(2章)