脆弱性分析の評価（AVA_VLA.1）

EAL2:AVA_VLA.1

a) ST b) 機能仕様 c) 上位レベル設計 d) 利用者ガイダンス e) 管理者ガイダンス

f) セキュアな設置、生成、及び立上げの手順 g) 脆弱性分析

h) 機能強度の主張分析 i) テストに適したTOE

897 このサブアクティビティのその他の入力は、次のとおりである。

a) 明らかな脆弱性に関する現在の情報（監督者からの）

6.9.2.4 評価者アクション

898 このサブアクティビティは、次の2つのCCパート3評価者アクションエレメント からなる。

a) AVA_VLA.1.1E b) AVA_VLA.1.2E 6.9.2.4.1 アクションAVA_VLA.1.1E

AVA_VLA.1.1C

2:AVA_VLA.1-1 評価者は、明らかな脆弱性に対する探索がすべての該当する情報を考慮したことを 決定するために、開発者の脆弱性分析を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。

899 開発者の脆弱性分析は、少なくともすべての評価用提供物件と公知になっている情 報源において、明らかな脆弱性に対する開発者の探索を扱うべきである。評価者は、

評価用提供物件を独立脆弱性分析（AVA_VLA.1 で必要ない）のためではなく、開 発者の明らかな脆弱性の探索を評価するための基礎として使用するべきである。

2:AVA_VLA.1-2 評価者は、明らかな各脆弱性が記述されていること及び TOE の意図する環境でそ れが悪用されることがない理由に対する根拠が示されていることを決定するために、

開発者の脆弱性分析を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。

900 開発者は、TOE 及び公知になっている情報源の知識に基づいて明らかな脆弱性を 探索することが期待される。明らかな脆弱性だけを識別する必要がある場合、詳細 な分析は、期待されない。開発者は、上記の定義に基づいてこの情報を選別し、明 らかな脆弱性が意図する環境で悪用される可能性がないことを示す。

EAL2:AVA_VLA.1

901 評価者は、開発者の次の3つの局面に関心を持つ必要がある。

a) 開発者の分析がすべての評価用提供物件を考慮したかどうか

b) 意図する環境で明らかな脆弱性が悪用されないようにするための適切な手段が 取られているかどうか

c) 明らかな脆弱性がいくつか識別されずに残っているかどうか

902 評価者は、悪用される可能性がないことを決定するための基礎として開発者によっ て使用されない限り、識別された脆弱性が明らかであるかどうかに関心を持たされ るべきでない。そのような場合、評価者は、識別された脆弱性に対する攻撃能力の 低い攻撃者に対する抵抗力を決定することによってこの主張の正当性を確認する。

903 明らかな脆弱性の概念は、攻撃能力の概念に関係していない。後者は、独立脆弱性 分析中に評価者によって決定される。このアクティビティは、AVA_VLA.1 に対し て行われないために、通常、攻撃能力に基づく評価者による探索と選別は存在しな い。ただし、それでも評価者は、評価の途中で潜在的な脆弱性を発見することがあ る。これらに対処する方法の決定は、明らかな脆弱性と低い攻撃能力の概念の定義 を参照して行われる。

904 明らかな脆弱性のいくつかが識別されずに残っているかどうかの決定は、開発者の 分析の正当性の評価、使用可能な公知になっている脆弱性情報との比較、その他の 評価アクティビティの途中に評価者が識別したそれ以外の脆弱性との比較に制限さ れる。

905 脆弱性は、次の 1 つまたはいくつかの条件が存在する場合、悪用される可能性がな いと呼ばれる。

a) （IT または IT 以外の）環境のセキュリティ機能または手段が意図する環境の 脆弱性の悪用を阻止する。例えば、TOEへの物理的アクセスを許可利用者だけ に制限することにより、効果的に TOE の脆弱性が改ざんに悪用されないよう にすることができる。

b) 脆弱性は、悪用可能であるが、攻撃能力が中程度または高い攻撃者のみが悪用 可能。例えば、セションハイジャック攻撃への分散 TOE の脆弱性は、明らか な脆弱性を悪用するために必要となる、より以上の攻撃能力を必要とする。た だし、そのような脆弱性は、残存脆弱性としてETRに報告される。

c) 脅威に対抗すると主張されていないか、または違反可能な組織のセキュリティ 方針がSTにより達成されると主張されていない。例えば、STが利用可能方針 の主張を行わず、TCP SYN 攻撃（ホストが接続要求サービスを行えないよう にする共通のインターネットプロトコルへの攻撃）を受けやすいファイア ウォールは、この脆弱性だけでこの評価者のアクションに不合格とするべきで ない。

906 脆弱性を悪用するために必要な攻撃能力の決定のガイダンスについては、附属書 B.8を参照のこと。

2:AVA_VLA.1-3 評価者は、開発者の脆弱性分析が ST 及びガイダンスに一貫していることを決定す るために、その分析を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。

907 開発者の脆弱性分析は、TOE 機能に対する特定の構成または設定を示して、脆弱 性に対処することができる。そのような運用上の制約が効果的であり、ST と一貫 していると思われる場合、消費者がそれらを採用できるように、すべてのそのよう な構成と設定がガイダンスに満たされるように記述されるべきである。

6.9.2.4.2 アクションAVA_VLA.1.2E

2:AVA_VLA.1-4 評価者は、開発者の脆弱性分析に基づいて、侵入テストを考え出さなければならな考え出さなければならな考え出さなければならな考え出さなければならな い。

い。

い。

い。

908 評価者が侵入テストを準備するのは、次の場合である。

a) 脆弱性が悪用されることがないとの理由に対する開発者の根拠が評価者の考え では疑わしい場合、開発者の分析に対して反証することを試みる必要がある。

b) TOEが、意図する環境で、開発者が考慮していない明らかな脆弱性を持つこと

を決定する必要がある。評価者は、開発者が考慮していない明らかな公知に なっている脆弱性に関する、（例えば、監督者からの）現在の情報にアクセス を持つべきであり、また、その他の評価アクティビティの結果として識別され た潜在的な脆弱性を持つことができる。

909 評価者が明らかになっていない脆弱性（公知になっている脆弱性を含む）をテスト することは期待されない。ただし、場合によっては、悪用される可能性を決定する まえに、テストを行う必要がある。評価の専門知識の結果として、評価者が明らか になっていない脆弱性を発見したとき、これは、残存脆弱性として ETR に報告さ れる。

910 疑わしい明らかな脆弱性を理解し、評価者は、TOE の脆弱性をテストするための 最も可能性の高い方法を決定する。特に、評価者は、次のことを考慮する。

a) TSF を刺激し、反応を観察するために使用されるセキュリティ機能インタ

フェース

b) テストに存在する必要がある初期条件（すなわち、存在する必要がある特定の オブジェクトまたはサブジェクト及びそれらが持つ必要があるセキュリティ属 性）

c) セキュリティ機能を刺激するか、またはセキュリティ機能を観察するために必 要となる特別のテスト装置（おそらく、明らかな脆弱性をテストするために特 別の装置が必要になることはない）

911 評価者は、おそらく、一連のテストケースを使用して侵入テストを行うのが有用で あることを見つけ出し、この場合、各テストケースは、特定の明らかな脆弱性をテ ストすることになる。

EAL2:AVA_VLA.1

2:AVA_VLA.1-5 評価者は、開発者の脆弱性分析に基づき、テストを再現可能にするに十分な詳細さ で侵入テスト証拠資料を作成しなければならない。作成しなければならない。作成しなければならない。作成しなければならない。テスト証拠資料には、次のもの を含めなければならない。

a) テストするTOEの明らかな脆弱性の識別

b) 侵入テストを実施するために必要となるすべての必要なテスト装置を接続し、

セットアップするための説明

c) すべての侵入テスト前提初期条件を確立するための説明 d) TSFを刺激するための説明

e) TSFのふるまいを観察するための説明

f) すべての期待される結果と、期待される結果に対応する観察されたふるまいに ついて実行されるべき必要な分析の記述

g) TOEのテストを終了し、終了後の必要な状態を確立するための説明

912 テスト証拠資料にこのレベルの詳細を特定する意図は、他の評価者がテストを繰り 返し、同等の結果を得ることができるようにすることである。

2:AVA_VLA.1-6評価者は、開発者の脆弱性分析に基づいて、侵入テストを実施しな実施しな実施しな実施しなければならない。ければならない。ければならない。ければならない。

913 評 価 者 は 、TOE の 侵 入 テ ス ト を 行 う た め の 基 礎 と し て 、 ワ ー ク ユ ニ ッ ト 2:AVA_VLA.1-4の結果の侵入テスト証拠資料を使用するが、これは、評価者が追加 の特別の侵入テストを行うことを排除しない。必要に応じて、評価者は、評価者が 行った場合に侵入テスト証拠資料に記録される、侵入テスト中に得られた情報の結 果として特別のテストを考え出すことができる。そのようなテストは、期待されな い結果または観察をどこまでも追求するか、または事前に計画されたテスト中に評 価者に示された潜在的な脆弱性を調査する必要がある。

2:AVA_VLA.1-7 評価者は、侵入テストの実際の結果を記録しなければならない記録しなければならない記録しなければならない記録しなければならない。

914 実際のテスト結果の特定の詳細のいくつか（例えば、監査レコードの時刻と日付 フィールド）が期待されたものと異なるかもしれないが、全体的な結果は、同一で あるべきである。相違には、いずれも正当性が示されるべきである。

2:AVA_VLA.1-8 評価者は、TOE が、意図する環境において、悪用される可能性のある明らかな脆 弱性を持っていないことを決定するために、すべての侵入テストの結果とすべての 脆弱性分析の結論を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。

915 結果が、意図する環境で悪用される可能性のある明らかな脆弱性を TOE が持って いることを示す場合、評価者アクションの結果は、不合格判定となる。

2:AVA_VLA.1-9 評価者は、ETRに、テスト手法、構成、深さ及び結果を示しながら評価者の侵入テ ストの成果を報告しなければならない。報告しなければならない。報告しなければならない。報告しなければならない。

916 ETR に報告される侵入テスト情報は、全体的な侵入テスト手法及びこのサブアク

ティビティから得られた成果を伝えることを評価者に許す。この情報を提供する意