958 配付及び運用アクティビティの目的は、開発者が意図したのと同じ方法で TOE が 設置され、生成され、開始され、変更されることなく配付されていることを保証す るために使用される手続きの証拠資料が適切であることを判断することである。こ れには、TOE の輸送中に取られる手続きと、初期化、生成、及び立上げの両方の 手順が含まれる。
959 EAL3 での配付及び運用アクティビティには、次のコンポーネントに関係するサブ
アクティビティが含まれる。
a) ADO_DEL.1 b) ADO_IGS.1
7.5.1 配付の評価(ADO_DEL.1)
7.5.1.1 目的
960 このサブアクティビティの目的は、配付証拠資料が TOE を利用者サイトへ配送す るときの完全性を維持するために使用されるすべての手続きを記述していることを 決定することである。
7.5.1.2 入力
961 このサブアクティビティ用の評価証拠は、次のとおりである。
a) 配付証拠資料
7.5.1.3 評価者アクション
962 このサブアクティビティは、次の2つのCCパート3評価者アクションエレメント からなる。
a) ADO_DEL.1.1E
b) ADO_DEL.1.2Dに基づく暗黙の評価者アクション 7.5.1.3.1 アクションADO_DEL.1.1E
ADO_DEL.1.1C
3:ADO_DEL.1-1 評価者は、配付証拠資料が、TOE の版またはその一部を利用者サイトへ配送する ときのセキュリティを維持するために必要なすべての手続きを記述していることを 決定するために、その証拠資料を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。
963 用語「必要」(necessary)の解釈は、TOEの本質とSTに含まれている情報を考慮 する必要がある。提供される保護レベルは、ST に識別されている前提条件、脅威、
組織のセキュリティ方針、及びセキュリティ対策方針と一致しているべきである。
場合によっては、これらは、配付に対して明示的に表されないことがある。評価者
EAL3:ADO_DEL.1
は、均衡の取れたアプローチが取られ、配付が、その他の点でセキュアな開発プロ セスでの明らかな弱点を表さないことを決定するべきである。
964 配付手続きは、TOE の識別を決定し、TOE またはそのコンポーネント部分の輸送 中の完全性を維持するための適切な手続きを記述する。手続きは、これらの手続き が扱う必要がある TOE の部分を記述する。それには、必要に応じて、物理的また は電子的(例えば、インターネットからダウンロードするための)配送の手続きが 含まれるべきである。配付手続きは、該当するソフトウェア、ハードウェア、
ファームウェア及び証拠資料など、TOE全体に関連する。
965 完全性は、常に TOE の配付で懸念されるために、完全性を重視することは、驚く ことではない。機密性と可用性が懸念される場合、それらも、このワークユニット で考慮されるべきである。
966 配付手続きは、製造環境から設置環境(例えば、パッケージング、保管、及び配 送)までの配付のすべてのフェーズに適用するべきである。
3:ADO_DEL.1-2 評価者は、配付手続きが選択された手続きとそれが扱う TOE の部分がセキュリ ティ対策方針を達成するのに適していることを決定するために、その配付手続きを 検査しなければならない。
検査しなければならない。
検査しなければならない。
検査しなければならない。
967 配付手続きの選択の適合性には、特定の TOE(例えば、ソフトウェアかハード ウェアか)及びセキュリティ対策方針が影響する。
968 パッケージングと配付のための標準的な商習慣を受け入れることができる。これに は、シリンクラップパッケージング、セキュリティテープまたは封印された封筒な どが含まれる。配送には、公共郵便または民間の配送サービスが受け入れられる。
7.5.1.3.2 暗黙の評価者アクション ADO_DEL.1.2D
3:ADO_DEL.1-3 評価者は、配付手続きが使用されることを決定するために、配付プロセスの側面を 検査しなければならない。
検査しなければならない。
検査しなければならない。
検査しなければならない。
969 配付手続きの適用をチェックするために評価者が取る手法は、TOE の本質、配付 プロセスそれ自体によって決まる。手続きそれ自体の検査に加えて、評価者は、そ れらが実際に適用されることのいくつかの保証を探すべきである。いくつかの可能 な手法は、次のとおりである。
a) 手続きが実際に適用されていることを観察できる配送場所の訪問
b) 配付のいくつかの段階、または利用者サイトでの TOE の検査(例えば、改ざ ん防止シール(tamper proof seals)のチェック)
c) 評価者が正規のチャネルを通して TOE を入手するときにプロセスが実際に適 用されていることの観察
d) TOEが配付された方法についてのエンド利用者への質問 970 サイト訪問のガイダンスについては、附属書B.5を参照のこと。
971 TOE が新たに開発され、配付手続きをこれから調べなければならない場合がある。
これらの場合、将来の配付で使用される適切な手続きと施設及びすべての関係者が 責任を理解していることに、評価者は満足する必要がある。評価者は、実際に可能 な場合、配付の「試行(dry run)」を要求することができる。開発者が他の同様の 製品を作成している場合、それらが使用されている手続きを検査することは、保証 を提供する上で役に立つことがある。
EAL3:ADO_IGS.1
7.5.2 設置、生成及び立上げの評価(ADO_IGS.1)
7.5.2.1 目的
972 このサブアクティビティの目的は、TOE のセキュアな設置、生成、及び立上げの ための手順とステップが証拠資料として提出され、その結果、セキュアな構成とな るかどうかを決定することである。
7.5.2.2 入力
973 このサブアクティビティ用の評価証拠は、次のとおりである。
a) 管理者ガイダンス
b) セキュアな設置、生成、及び立上げの手順 c) テストに適したTOE
7.5.2.3 適用上の注釈
974 設置、生成及び立上げ手順は、それらが利用者サイトで行われるか、または ST の 記述に従って TOE をセキュアな構成にするために必要となる開発サイトで行われ るかに関係なく、すべての設置、生成、及び立上げの手順に関係している。
7.5.2.4 評価者アクション
975 このサブアクティビティは、次の2つのCCパート3評価者アクションエレメント からなる。
a) ADO_IGS.1.1E b) ADO_IGS.1.2E 7.5.2.4.1 アクションADO_IGS.1.1E
ADO_IGS.1.1C
3:ADO_IGS.1-1 評価者は、TOE のセキュアな設置、生成及び立上げに必要な手順が提供されてい ることをチェックしなければならないチェックしなければならないチェックしなければならないチェックしなければならない。
976 設置、生成及び立上げの手順が再度適用されるかまたは再度適用できることが予想 されない場合(例えば、TOE が運用状態ですでに配付されているため)、このワー クユニット(または影響を受ける部分)は、適用されないために、満たされている ものとみなされる。
7.5.2.4.2 アクションADO_IGS.1.2E
3:ADO_IGS.1-2 評価者は、TOE のセキュアな設置、生成及び立上げに必要なステップを記述して いることを決定するために、提供された設置、生成、及び立上げの手順を検査しな検査しな検査しな検査しな ければならない。
ければならない。
ければならない。
ければならない。
977 設置、生成及び立上げの手順が再度適用されるかまたは再度適用できることが予想 されない場合(例えば、TOE が運用状態ですでに配付されているため)、このワー クユニット(または影響を受ける部分)は、適用されないために、満たされている ものとみなされる。
978 設置、生成及び立上げの手順は、次のものに対する詳細な情報を提供することがで きる。
a) TSFの制御のもとでのエンティティの設置の特定セキュリティ特性の変更 b) 例外及び問題の取扱い
c) 適切に、セキュアな設置のための最小限のシステム要件
979 設置、生成及び立上げの手順の結果、セキュアな構成となることを確認するために、
評価者は、開発者の手順に従って、提供されたガイダンス証拠資料だけを使用して、
顧客が(TOE に適用される場合)TOE を設置、生成、及び立上げするために通常 行うことが予想されるアクティビティを実行することができる。このワークユニッ トは、3:ATE_IND.2-2ワークユニットとともに実行することができる。
EAL3:ADV_FSP.1