6.3.1 セキュリティ機能要件による TOE セキュリティ対策方針の充足
セキュリティ機能要件とTOEセキュリティ対策方針の対応関係を必要性および十分性の観 点で示す.
6.3.1.1 セキュリティ機能要件の必要性
表 6-8は, TOE セキュリティ対策方針とセキュリティ機能要件をマッピングしたものであ る. これにより, 各セキュリティ機能要件が少なくとも1つのTOEセキュリティ対策方針 に対抗していることを示している.
表 6-8 セキュリティ機能要件とTOEセキュリティ対策方針の対応
O.VERIFY_IMAGE O.ENC_IMAGE O.I&A O.ACCESS_CONTROL O.ENC_OSC
FCS_COP.1a ×
FCS_CKM.1b ×
FCS_CKM.4b ×
FCS_COP.1b ×
FCS_CKM.1c ×
FCS_CKM.4c ×
FCS_COP.1c ×
FCS_COP.1d ×
FDP_ACC.1 ×
FDP_ACF.1 ×
FDP_ETC.1 × ×
FDP_ITC.1 × ×
FIA_AFL.1 ×
FIA_ATD.1 ×
FIA_SOS.1 ×
FIA_UAU.1 ×
O.VERIFY_IMAGE O.ENC_IMAGE O.I&A O.ACCESS_CONTROL O.ENC_OSC
FIA_UID.1 ×
FIA_USB.1 ×
FMT_MTD.1 × ×
FMT_SMF.1 × ×
FMT_SMR.1 × ×
FPT_ITT.1 ×
6.3.1.2 セキュリティ機能要件の十分性
本章では, セキュリティ機能要件がTOEセキュリティ対策方針を満たすのに十分である根 拠を示す.
O.VERIFY_IMAGEは, FCS_COP.1aによって対抗される.
FCS_COP.1aによって, TSFは検証データである「Keyed-Hash Message Authentication
Code」を生成し, かつ検証データに基づいて画像ファイルのオリジナル性を検証可能とす
る. したがって, FCS_COP.1aはO.VERIFY_IMAGEを満たしている.
O.ENC_IMAGE は , FCS_CKM.1b, FCS_CKM.4b, FCS_COP.1b, FCS_CKM.1c, FCS_CKM.4c, FCS_COP.1c, FMT_MTD.1, FMT_SMF.1, FMT_SMR.1およびFPT_ITT.1 によって対抗される.
FCS_CKM.1b, FCS_CKM.4b, FCS_COP.1bによって, TSFは「PRNG based on SHA-1 for general purpose in FIPS 186-2 (+ change notice 1) Appendix 3.1」に基づいた画像鍵の生 成, 「暗号アルゴリズム AES」による画像ファイルの暗号化/復号, ゼロ化による画像鍵の 破棄を実現している. FCS_CKM.1c, FCS_CKM.4c, FCS_COP.1cによって, TSFは「PRNG
based on ANSI X9.31」に基づいたカード鍵の生成, ゼロ化によるカード鍵の破棄を実現し
ている. FMT_MTD.1, FMT_SMF.1, FMT_SMR.1によって, 管理者によるカード鍵の管理 を実現している. さらに, 機密性を維持した状態で OS カードに保持しているカード鍵を EOSデジタルカメラへ転送するために, TSFはFPT_ITT.1によって, TOE間であるOSカ ードと所定のEOSデジタルカメラ間において, 機密性を維持したカード鍵の転送を実現し ている. なお, 所定の EOS デジタルカメラであることを特定するために, FMT_MTD.1,
FMT_SMF.1, FMT_SMR.1によって, 管理者によるEOSデジタルカメラIDの管理を実現 している.
したがって, FCS_CKM.1b, FCS_CKM.4b, FCS_COP.1b, FCS_CKM.1c, FCS_CKM.4c, FCS_COP.1c, FMT_MTD.1, FMT_SMF.1, FMT_SMR.1 お よ び FPT_ITT.1 は O.ENC_IMAGEを満たしている.
O.I&Aは, FIA_AFL.1, FIA_ATD.1, FIA_SOS.1, FIA_UAU.1, FIA_UID.1, FIA_USB.1, FMT_MTD.1, FMT_SMF.1およびFMT_SMR.1によって対抗される.
FIA_UAU.1およびFIA_UID.1によって, TSFは管理者, および閲覧者の識別認証を実現し ている. また, 識別認証のサポートとして, TSFは, FIA_AFL.1によって識別認証失敗時の 動作を規定し, FIA_ATD.1およびFIA_USB.1によって識別認証成功時の利用者のサブジェ クトへのバインドおよび利用者属性を定義し, FIA_SOS.1 によって認証情報の品質を規定 している. さらにFMT_MTD.1, FMT_SMF.1およびFMT_SMR.1によって, TSFは管理者 による認証情報の管理を実現している. したがって, FIA_AFL.1, FIA_ATD.1, FIA_SOS.1, FIA_UAU.1, FIA_UID.1, FIA_USB.1, FMT_SMF.1およびFMT_SMR.1はO.I&Aを満た している.
O.ACCESS_CONTROLは, FDP_ACC.1, FDP_ACF.1, FDP_ETC.1, および FDP_ITC.1 によって対抗される.
FDP_ACC.1, FDP_ACF.1によって, TSFは, 画像ファイル, OSカードデータおよびOSカ ードデータの暗号化鍵のシードに関するアクセス制御を実現している. FDP_ETC.1, FDP_ITC.1によって, TSFは, OSカードデータのエクスポート, およびインポートに関す るアクセス制御を実現している. さらにFDP_ITC.1によって, TSFは, OSカードデータの 暗号化鍵のシードのインポートに関するアクセス制御を実現している.
したがって, FDP_ACC.1, FDP_ACF.1, FDP_ETC.1, FDP_ITC.1, およびFDP_ITT.1 は O.ACCESS_CONTROLを満たしている.
O.ENC_OSCは, FCS_COP.1d, FDP_ETC.1, およびFDP_ITC.1によって対抗される.
FCS_COP.1dおよびFDP_ETC.1によって, TSFは, 「暗号アルゴリズムTriple DES」に より OS カードデータを暗号化し, バックアップデータとしてエクスポートする. 逆に, TSFは暗号化OSカードデータをインポートし, 「暗号アルゴリズムTriple DES」により 復号する. さらに, FDP_ITC.1によって, 当該暗号化鍵のシードを入力する.
したがって, FCS_COP.1d, FDP_ETC.1およびFDP_ITC.1はO.ENC_OSCを満たしてい る.
6.3.2 依存性の根拠
TOEのセキュリティ機能要件の依存性を表 6-9に示す. 列「SFR」に本ST で選択してい るTOEセキュリティ機能要件の識別子を示し, 列「CC規定の依存性」に CCで規定して いる依存性を示し, 列「STの依存性」にSTで満たしている依存性を示す. なお, 表中の「-」
はCCパート2に依存コンポーネントが示されていないこと, またはSTで依存コンポーネ ントが選択していないことを示す.
表 6-9 TOEセキュリティ機能要件の依存性
SFR CC規定の依存性 STの依存性 FCS_COP.1a [FDP_ITC.1, FDP_ITC.2, FCS_CKM.1],
FCS_CKM.4, FMT_MSA.2
-
FCS_CKM.1b [FCS_CKM.2, FCS_COP.1],
FCS_CKM.4, FMT_MSA.2
FCS_COP.1b, FCS_CKM.4b FCS_CKM.4b [FDP_ITC.1, FDP_ITC.2, FCS_CKM.1],
FMT_MSA.2
FCS_CKM.1b
FCS_COP.1b [FDP_ITC.1, FDP_ITC.2, FCS_CKM.1], FCS_CKM.4, FMT_MSA.2
FCS_CKM.1b, FCS_CKM.4b
FCS_CKM.1c [FCS_CKM.2, FCS_COP.1],
FCS_CKM.4, FMT_MSA.2
FCS_COP.1c, FCS_CKM.4c FCS_CKM.4c [FDP_ITC.1, FDP_ITC.2, FCS_CKM.1],
FMT_MSA.2
FCS_CKM.1c
FCS_COP.1c [FDP_ITC.1, FDP_ITC.2, FCS_CKM.1], FCS_CKM.4, FMT_MSA.2
FCS_CKM.1c, FCS_CKM.4c FCS_COP.1d [FDP_ITC.1, FDP_ITC.2, FCS_CKM.1],
FCS_CKM.4, FMT_MSA.2
FDP_ITC.1
FDP_ACC.1 FDP_ACF.1 FDP_ACF.1
FDP_ACF.1 FDP_ACC.1, FMT_MSA.3 FDP_ACC.1
FDP_ETC.1 [FDP_ACC.1, FDP_IFC.1] FDP_ACC.1
FDP_ITC.1 [FDP_ACC.1, FDP_IFC.1], FMT_MSA.3 FDP_ACC.1
FIA_AFL.1 FIA_UAU.1 FIA_UAU.1
FIA_ATD.1 - -
FIA_SOS.1 - -
FIA_UAU.1 FIA_UID.1 FIA_UID.1
FIA_UID.1 - -
FIA_USB.1 FIA_ATD.1 FIA_ATD.1
SFR CC規定の依存性 STの依存性
FMT_MTD.1 FMT_SMR.1, FMT_SMF.1 FMT_SMR.1, FMT_SMF.1
FMT_SMF.1 - -
FMT_SMR.1 FIA_UID.1 FIA_UID.1
FPT_ITT.1 - -
なお, TOE セキュリティ保証要件の依存性は, 保証パッケージ EAL2 を過不足なく選択し ているため, 満たされている.
したがって, TOEセキュリティ要件は, 後述する例外を除き, 必要な依存性を満たしている.
依存性を満たしていない根拠を以下に記述する.
FCS_COP.1aは, いかなる依存性も満たしていない. 本 TOEでは, 耐タンパな特性を有す るOSカードおよびEOSデジタルカメラにあらかじめ保持している鍵を用いるため鍵の生 成/入力に関する要件 (FDP_ITC.1/FDP_ITC.2/FCS_CKM.1) は不要である. OS カードお よびEOSデジタルカメラは耐タンパな特性を有するため暗号鍵を不正に読み出すという脅 威は想定しない. そのため鍵の破棄に関する要件 (FCS_CKM.4) は不要である. さらに, 本 TOE では, 鍵に関するセキュリティ属性を持たない. よって, セキュリティ属性に関す る要件 (FMT_MSA.2) は不要である.
したがって, 本STにおいて, FCS_COP.1aの依存性は必要ない.
FCS_CKM.1b, FCS_CKM.4b, FCS_COP.1b, FCS_CKM.1c, FCS_CKM.4c お よ び は FCS_COP.1cは, FMT_MSA.2への依存性を満たしていない. 本TOEでは, 鍵に関するセ キュリティ属性を持たない.
したがって, 本STにおいて, FMT_MSA.2への依存性は必要ない.
FCS_COP.1dは, FCS_CKM.4およびFMT_MSA.2への依存性を満たしていない. OSカー ドおよびEOSデジタルカメラは耐タンパな特性を有するため暗号鍵を不正に読み出すとい う脅威は想定しない. そのため鍵の破棄に関する要件 (FCS_CKM.4) は不要である. さら に, 本 TOE では, 鍵に関するセキュリティ属性を持たない. よって, セキュリティ属性に 関する要件 (FMT_MSA.2) は不要である.
したがって, 本STにおいて, FCS_CKM.4およびFMT_MSA.2への依存性は必要ない.
FDP_ACF.1およびFDP_ITC.1は, FMT_MSA.3への依存性を満たしていない.
本TOE は, アクセス制御におけるオブジェクトに関するセキュリティ属性を持たない. よ って, オブジェクトのセキュリティ属性に関する要件 (FMT_MSA.3) は不要である.
したがって, 本STにおいて, FMT_MSA.3への依存性は必要ない.
6.3.3 TOE 保証要件の妥当性
本TOEは, 商用または個人で利用されることを想定している. また, 本TOEは, 画像ファ イルのオリジナル性または機密性を対象としており, 経済的価値のある情報を直接取り扱 わない.上記の背景から, 本TOEは, 3章に示したように, 高度な専門知識を持たない低レベ ルな攻撃者を想定している.
当該低レベルな攻撃者の想定と, コスト的または時間的な投資の観点から EAL2 が妥当で ある.