独立テストの評価（ATE_IND.1）

EAL1:ATE_IND.1

5.8.2.3 評価者アクション

615 このサブアクティビティは、次の2つのCCパート3評価者アクションエレメント からなる。

a) ATE_IND.1.1E b) ATE_IND.1.2E 5.8.2.3.1 アクションATE_IND.1.1E

ATE_IND.1.1C

1:ATE_IND.1-1 評価者は、テスト構成が ST に特定されたとおりに評価における構成と一貫してい ることを決定するために、TOEを検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。

616 テストに使用する TOE は、ACM_CAP.1 サブアクティビティで確証されるのと同 じ一意のリファレンスを持つべきである。

617 ST は、評価のための複数の構成を特定することができる。TOE は、ST に従って

テストする必要がある多数の個別のハードウェアとソフトウェア実装で構成するこ とができる。評価者は、ST に記述されている各評価済みの構成に一貫するテスト 構成が存在することを検証する。

618 評価者は、テスト環境に適用できるSTに記述されているTOE環境のセキュリティ の側面についての前提条件を考慮するべきである。ST にはテスト環境に適用され ない前提条件がいくつか存在することがある。例えば、利用者の取扱許可について の前提条件は適用しないことがあるが、ネットワークへの 1 つのポイントでの接続 についての前提条件は適用するだろう。

619 いずれかのテスト資源（例えば、メータ、アナライザ）が使用される場合、これら の資源が正しく調整されるようにするのは、評価者の責任である。

1:ATE_IND.1-2 評価者は、TOEが適切に設置され、定義された状態にあることを決定するために、

そのTOEを検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。

620 評 価 者 は 、 各 種 の 方 法 で TOE の 状 態 を 決 定 す る こ と が で き る 。 例 え ば 、 ADO_IGS.1 サブアクティビティがこれまでに成功裏に完了していることは、評価 者がテストに使用されている TOE が適切に設置され、定義された状態にあること を今もなお確信している場合、このワークユニットの条件を満たすことになる。そ うでない場合には、評価者は、提供されたガイダンスだけを使用して、TOEを設置、

生成し、立上げする開発者の手順に従うべきである。

621 TOEが未定義の状態であるために、評価者が設置手順を実行しなければならない場

合 、 こ の ワ ー ク ユ ニ ッ ト は 、 成 功 裏 に 完 了 し た と き 、 ワ ー ク ユ ニ ッ ト 1:ADO_IGS.1-2の条件を満たすことができる。

5.8.2.3.2 アクションATE_IND.1.2E

1:ATE_IND.1-3 評価者は、テストサブセットを考え出さなければならない。考え出さなければならない。考え出さなければならない。考え出さなければならない。

EAL1:ATE_IND.1

622 評価者は、TOE に適したテストサブセットとテスト方策を選択する。1 つの極端な テスト方策は、テストサブセットに厳密にではなくテストでき得る多くのセキュリ ティ機能を含めることである。別のテスト方策は、気が付いた問題との関連に基づ いたいくつかのセキュリティ機能を含んだテストサブセットを持ち、これらの機能 を厳密にテストすることである。

623 一般的に、評価者のテスト手法は、これら2つの極端な方法の間に収まるべきである。

評価者は、1 つ以上のテストを使用して、ST に識別されているほとんどのセキュリ ティ機能要件を実行するべきであるが、テストは、徹底的な仕様テストを実証する必 要はない。

624 評価者は、テストするTSFのサブセットを選択するとき、次の要因を考慮するべき である。

a) テストサブセットに加えるセキュリティ機能の数。TOEに含まれているセキュ リティ機能の数が少ない場合には、すべてのセキュリティ機能を厳密にテスト することが現実的にできる。多数のセキュリティ機能を持つ TOE では、これ は費用効果が悪く、サンプリングが必要になる。

b) 評価アクティビティのバランスの維持。テストは通常、評価中の評価者労力の 20〜30%を占める。

625 評価者は、サブセットを構成するセキュリティ機能を選択する。この選択は、数多 くの要因に依存し、これらの要因の考慮は、テストサブセットサイズの選択にも影 響を与える。

a) TOE の種別に一般的に関係する知られている公知の弱点（例えば、オペレー

ティングシステム、ファイアウォール）。TOE の種別に関係する知られている 公知の弱点は、テストサブセットの選択プロセスに影響する。評価者は、その 種別の TOE に対して知られている公知の弱点に対処するそれらのセキュリ ティ機能をサブセットに含めるべきである（ここでの知られている公知の弱点 は、そのような脆弱性を意味せず、この個々の種別の TOE で経験された不十 分性または問題領域を意味する）。そのような弱点が知られていない場合には、

セキュリティ機能の広い範囲を選択する比較一般的な手法がさらに適している。

b) セキュリティ機能の重要性。TOEに対するセキュリティ対策方針の観点から他 のセキュリティ機能よりも重要なセキュリティ機能を、テストサブセットに含 められるべきである。

c) セキュリティ機能の複雑性。複雑なセキュリティ機能は、開発者または評価者 に、費用効果の高い評価とはならないめんどうな要求を課す複雑なテストを必 要とするかもしれない。逆に複雑なセキュリティ機能は、誤りが見つかりがち な領域であり、サブセットの有力な候補である。評価者は、これらの考慮事項 の間でバランスを計る必要がある。

d) 暗黙のテスト。あるセキュリティ機能のテストは、しばしば暗黙に他のセキュ リティ機能をテストすることがある。それらをサブセットに含めると、（暗黙 にではあるが）テストされるセキュリティ機能の数を最大限に増やすことがで きる。ある種のインタフェースは、一般的に各種のセキュリティ機能を提供す るために使用され、効率的なテスト手法の標的となる。

e) TOEへのインタフェースタイプ（例えば、プログラムに基づく、コマンド行、

プロトコル）。評価者は、TOE がサポートするすべての異なるタイプのインタ フェースのテストを含めることを考慮するべきである。

f) 革新的または一般的でない機能。販売広告用の印刷物で強調しているような革 新的または一般的でないセキュリティ機能が TOE に含まれている場合、これ らは、テストの有力な候補となるべきである。

626 このガイダンスは、適切なテストサブセットの選択プロセスで考慮する要因を明記 するが、これらは決してすべてではない。

627 サンプリングのガイダンスについては、附属書B.2を参照のこと。

1:ATE_IND.1-4 評価者は、テストを再現可能にできるように十分詳細に記述されたテストサブセッ トに対するテスト証拠資料を作成しなければならない作成しなければならない作成しなければならない作成しなければならない。

628 評価者は、ST 及び機能仕様からセキュリティ機能の期待されるふるまいを理解し て、機能をテストする最も適切な方法を決定する必要がある。特に、評価者は、次 のことを考慮する。

a) 使用する手法、例えば、セキュリティ機能を外部インタフェースでテストする か、テストハーネス(test harness)を使用して内部インタフェースでテストする か、または別のテスト手法（例えば、例外状況、コード検査）を採用するべき か。

b) セキュリティ機能を刺激し、応答を観察するために使用されるセキュリティ機 能インタフェース。

c) テストに存在する必要がある初期条件（すなわち、存在する必要がある特定の オブジェクトまたはサブジェクト及びそれらが持つ必要があるセキュリティ属 性）。

d) セキュリティ機能を刺激する（例えば、パケットジェネレータ）またはセキュ リティ機能を観察する（例えば、ネットワークアナライザ）ために必要となる 特別のテスト装置。

629 評価者は、一連のテストケースを使用して各セキュリティ機能をテストするのが実 際的であることを発見することがある。その場合、各テストケースは、期待される ふるまいの大変特定な局面をテストする。

630 評価者のテスト証拠資料は、必要に応じて、該当する設計仕様、及び ST までさか のぼって各テストの起源を特定するべきである。

1:ATE_IND.1-5 評価者はテストを実施しなければならない。実施しなければならない。実施しなければならない。実施しなければならない。

631 評価者は、TOEのテストを実行するための基礎として開発されたテスト証拠資料を 使用する。テスト証拠資料は、テストの基礎として使用されるが、これは、評価者 が追加の特別のテストを実行することを排除しない。評価者は、テスト中に発見さ れた TOE のふるまいに基づいて新しいテストを考え出すことができる。これらの 新しいテストは、テスト証拠資料に記録される。