IT セキュリティ要件の評価（ASE_REQ.1）

4.4.6.1 目的

386 このサブアクティビティの目的は、TOE セキュリティ要件（TOE セキュリティ機 能要件及びTOEセキュリティ保証要件の両方）及びIT環境のセキュリティ要件が 完全に一貫して記述されており、セキュリティ対策方針を達成する TOE の開発の ための適切な基礎を提供するかどうかを決定することである。

4.4.6.2 入力

387 このサブアクティビティ用の評価証拠は、次のとおりである。

a) ST

4.4.6.3 評価者アクション

388 このサブアクティビティは、次の2つのCCパート3評価者アクションエレメント からなる。

a) ASE_REQ.1.1E b) ASE_REQ.1.2E 4.4.6.3.1 アクションASE_REQ.1.1E

ASE_REQ.1.1C

ASE_REQ.1-1 評価者は、TOE セキュリティ機能要件のステートメントが CC パート 2 機能要件 コンポーネントから抽出された TOE セキュリティ機能要件を識別していることを 決定するために、そのステートメントをチェックしなければならないチェックしなければならないチェックしなければならないチェックしなければならない。

389 評価者は、パート 2 から抽出されたすべての TOE セキュリティ機能要件コンポー ネントが、パート2 の個別のコンポーネントの参照、または ST が適合を主張する PP内の個別のコンポーネントの参照、ST での再現によって識別されていることを 決定する。

ASE_REQ.1-2 評価者は、TOE セキュリティ機能要件コンポーネントへの各参照が正しいことを チェックしなければならない

チェックしなければならない チェックしなければならない チェックしなければならない。

390 評価者は、CC パート 2 の TOE セキュリティ機能要件コンポーネントの各参照に ついて、参照されたコンポーネントがCCパート2 に存在するかどうかを決定する。

391 評価者は、PP内のTOEセキュリティ機能要件コンポーネントの各参照について、

参照されたコンポーネントがそのPPに存在するかどうかを決定する。

ASE_REQ.1-3 評価者は、STで再現されたパート2から抽出された各TOEセキュリティ機能要件 コンポーネントが正しく再現されていることをチェックしなければならないチェックしなければならないチェックしなければならないチェックしなければならない。 392 評価者は、要件が許可された操作を検査せずに、TOE セキュリティ機能要件のス

テートメントで正しく再現されていることを決定する。コンポーネント操作の正確 性の検査は、ASE_REQ.1-11及びASE_REQ.1-12ワークユニットで実行される。

ASE_REQ.1.2C

ASE_REQ.1-4 評価者は、TOE セキュリティ保証要件のステートメントが CC パート 3 保証要件 コンポーネントから抽出された TOE セキュリティ保証要件を識別していることを 決定するために、そのステートメントをチェックしなければならないチェックしなければならないチェックしなければならないチェックしなければならない。

393 評価者は、パート 3 から抽出されたすべての TOE セキュリティ保証要件コンポー ネントが、EALの参照、パート 3 の個別のコンポーネントの参照、STが適合を主 張するPPの参照、またはSTでの再現によって識別されていることを決定する。

ASE_REQ.1-5 評価者は、TOE セキュリティ保証要件コンポーネントの各参照が正しいことを チェックしなければならない

チェックしなければならない チェックしなければならない チェックしなければならない。

394 評価者は、CC パート 3 の TOE セキュリティ保証要件コンポーネントの各参照に ついて、参照されたコンポーネントがCCパート3 に存在するかどうかを決定する。

395 評価者は、PP内のTOEセキュリティ保証要件コンポーネントの各参照について、

参照されたコンポーネントがそのPPに存在するかどうかを決定する。

ASE_REQ.1-6 評価者は、STで再現されたパート3から抽出された各TOEセキュリティ保証要件 コンポーネントが正しく再現されていることをチェックしなければならないチェックしなければならないチェックしなければならないチェックしなければならない。 396 評価者は、要件が許可された操作を検査せずに、TOE セキュリティ保証要件のス

テートメントで正しく再現されていることを決定する。コンポーネント操作の正確 性の検査は、ASE_REQ.1-11及びASE_REQ.1-12ワークユニットで実行される。

ASE_REQ.1.3C

ASE_REQ.1-7 評価者は、TOE セキュリティ保証要件のステートメントが、CCパート3に定義さ れているようにEALを含んでいるか、またはEALを含んでいないことを適切に正 当化しているかを決定するために、そのステートメントを検査しなければならない検査しなければならない検査しなければならない検査しなければならない。

397 EALが含まれていない場合、評価者は、TOE保証要件のステートメントにEALが

含まれていない理由を正当化が取り扱うことを決定する。この正当化は、EALを含 めることが不可能、望ましくない、または不適切であった理由について取り扱うか、

ま た は EAL1 を 構 成 す る フ ァ ミ リ の 特 定 の コ ン ポ ー ネ ン ト （ACM_CAP、 ADO_IGS、ADV_FSP、ADV_RCR、AGD_ADM、AGD_USR、及び ATE_IND）

を含めることが不可能、望ましくない、または不適切であった理由について取り扱 うことができる。

4章  ST評価

ASE_REQ.1.4C

ASE_REQ.1-8 評価者は、TOE セキュリティ保証要件のステートメントが適切であることを、セ キュリティ要件根拠が十分に正当化していることを決定するために、その根拠を検検検検 査しなければならない

査しなければならない 査しなければならない 査しなければならない。

398 保証要件にEALが含まれている場合、正当化は、そのEALのすべての個々のコン ポーネントを取り扱うというよりは、EAL全体として取り扱うことができる。保証 要件にその EAL への追加コンポーネントが含まれている場合、評価者は各追加が 個別に正当化されることを決定する。保証要件に明示された保証要件が含まれてい る場合、評価者は各々の明示された保証要件の使用が個別に正当化されることを決 定する。

399 評価者は、セキュリティ要件根拠が、セキュリティ環境及びセキュリティ対策方針 のステートメントを与えられた場合、保証要件が十分であることを十分に正当化し ていることを決定する。例えば、知識のある攻撃者に対する防御が必要な場合、明 白なセキュリティの弱点以外を検出しない AVA_VLA.1 を特定することは不適切で ある。

400 正当化には、以下のような理由も含まれる。

a) STが適合を主張するPPに示されている保証要件

b) 制度、政府、またはその他の組織によって課される特定要件 c) TOEセキュリティ機能要件からの依存性である保証要件 d) TOEとともに使用されるシステム及び/または製品の保証要件 e) 消費者要件

401 各EALの意図の概要及び目標は、CCパート3の6.2節に記述されている。

402 評価者は、保証要件が適切であるかどうかの決定は主観的であり、したがって正当 化が十分であるかの分析を過度に厳密にしないことに留意するべきである。

403 保証要件に EAL が含まれていない場合、このワークユニットは ASE_REQ.1-7 ワークユニットとともに実行される場合がある。

ASE_REQ.1.5C

ASE_REQ.1-9 評価者は、該当する場合、IT環境に対するセキュリティ要件が識別されていること をチェックしなければならないチェックしなければならないチェックしなければならないチェックしなければならない。

404 ST にIT 環境に対するセキュリティ要件が含まれていない場合、このワークユニッ

トは適用されず、満たされているものとみなされる。

405 評価者は、TOE がそのセキュリティ対策方針を達成するためにセキュリティ機能 を提供するための環境内のその他の IT 上の TOE の依存性が、IT 環境に対するセ キュリティ要件としてSTで明確に識別されていることを決定する。

406 IT 環境に対するセキュリティ要件の例には、ファイアウォールがあり、それは管理 者の認証及び監査データの永久保存を提供するための下層のオペレーティングシス テムに依存する。この場合、IT環境に対するセキュリティ要件にFAU及びFIAク ラスからのコンポーネントが含まれる。

407 IT 環境のセキュリティ要件には機能要件及び保証要件の両方を含めることができる。

408 IT 環境への依存の例には、ソフトウェア暗号モジュールがある。これは定期的に独

自のコードを検証して、コードが改ざんされた場合に自分自身を使用不可能にする。

回復できるようにするために、要件 FPT_RCV.2（自動回復）を持っている。いっ たん使用不可能にすると自分自身で回復できないため、IT 環境ではこれが要件に なっている。FPT_RCV.2の依存性の 1つは AGD_ADM.1（管理者ガイダンス）で ある。したがって、この保証要件は、IT環境の保証要件となる。

409 評価者は、IT 環境のセキュリティ要件が TSF を参照する場合、TOE のセキュリ ティ機能よりも環境のセキュリティ機能を参照することに留意する。

ASE_REQ.1.6C

ASE_REQ.1-10 評価者は、IT セキュリティ要件におけるすべての操作が識別されていることを チェックしなければならない

チェックしなければならない チェックしなければならない チェックしなければならない。

410 CC パート 2 機能コンポーネントに許可されている操作は、割付、繰返し、選択、

及び詳細化である。割付及び選択操作は、コンポーネント内で特に示されている場 合のみ許可される。繰返し及び詳細化は、すべての機能コンポーネントに対して許 可されている。

411 CC パート 3 保証コンポーネントに許可されている操作は、繰返し及び詳細化であ

る。

412 評価者は、すべての操作が、使用される各コンポーネント内で識別されていること を決定する。識別は、活字印刷上の区別、周辺の文章内での明示的な識別、または その他の特徴的な手段で達成できる。

ASE_REQ.1-11 評価者は、すべての割付及び選択操作が実行されることを決定するために、IT セ キュリティ要件のステートメントを検査しなければならない検査しなければならない検査しなければならない検査しなければならない。

413 評価者は、すべてのコンポーネント内でのすべての割付及び選択が完全に実行され るか（コンポーネント内で行う選択が残っていない）、または完全に実行されてい ないことが適切に正当化されていることを決定する。

414 操作が完全に実行されていない例には、FTA_MCS.1（複数同時セションの基本制 限）で同じ利用者に属する同時セションの数に対する割付操作を実行するときに値 の範囲を特定することがある。これに対する適切な正当化は、TOE 設置時に管理 者によって値が特定範囲内の値から選択されることである。

ASE_REQ.1-12 評価者は、すべての操作が正しく実行されていることを決定するために、ST を検検検検 査しなければならない

査しなければならない 査しなければならない 査しなければならない。