6.9 脆弱性評定アクティビィティ
6.9.1 TOE セキュリティ機能強度の評価(AVA_SOF.1)
6.9.1.1 目的
869 このサブアクティビティの目的は、SOF 主張がすべての確率的または順列的メカニ ズムに対してSTでなされているかどうか、及び STでなされている開発者のSOF 主張が正しい分析によって裏付けられているかどうかを決定することである。
6.9.1.2 適用上の注釈
870 SOF分析は、パスワードメカニズムまたは生物的尺度(バイオメトリックス)など、
本来確率的または順列的メカニズムに対して行われる。暗号化メカニズムも本来確 率的であり、強度の観点から多く記述されているが、AVA_SOF.1 は、暗号化メカ ニズムには適用されない。そのようなメカニズムには、評価者は、制度ガイダンス を探すべきである。
871 SOF 分析は、個々のメカニズムに基づいて行われるが、SOF の全体的な決定は、
機能に基づいて行われる。セキュリティ機能を提供するために複数の確率的または 順列的メカニズムが採用される場合には、それぞれ個別のメカニズムを分析する必 要がある。セキュリティ機能を提供するためにこれらのメカニズムを組み合わせる 方法は、その機能の全体的な SOF レベルを決定する。評価者は、メカニズムが機 能を提供するために一体となって動作する方法、及びADV_HLD.1の依存性によっ て与えられるそのような情報の最小レベルを理解するために設計情報を必要とする。
評価者に提供される実際の設計情報は、EALによって決定される。提供される情報 は、必要なときに、評価者の分析を裏付けるために使用されるべきである。
872 複数のTOEドメインに関するSOFの説明については、4.4.6節を参照のこと。
6.9.1.3 入力
873 このサブアクティビティ用の評価証拠は、次のとおりである。
a) ST b) 機能仕様 c) 上位レベル設計
d) 利用者ガイダンス e) 管理者ガイダンス
f) TOEセキュリティ機能強度の分析
6.9.1.4 評価者アクション
874 このサブアクティビティは、次の2つのCCパート3評価者アクションエレメント からなる。
a) AVA_SOF.1.1E b) AVA_SOF.1.2E 6.9.1.4.1 アクションAVA_SOF.1.1E
AVA_SOF.1.1C
2:AVA_SOF.1-1 評価者は、ST に SOF レート付けで表されている SOF 主張に対応する各セキュリ ティメカニズムに対して開発者が SOF 分析を提供していることをチェックしなけチェックしなけチェックしなけチェックしなけ ればならない
ればならない ればならない ればならない。
875 SOF 主張が SOF 数値尺度だけで表されている場合、このワークユニットは、適用
されず、条件は満たされているものとみなされる。
876 SOF レート付けは、攻撃能力として表される 1 つの SOF-基本、SOF-中位、SOF-高位として表される。CC パート 1 用語集を参照のこと。レート付けとして表され た最小の全体的 SOF 要件は、すべての非暗号、確率的または順列的セキュリティ メカニズムに適用される。ただし、個々のメカニズムは、全体的 SOF 要件を越え るレート付けとして表されたSOF主張を持つことができる。
877 攻撃するために必要となる攻撃能力を決定するガイダンス、及びレート付けとして SOFを決定するガイダンスについては、附属書B.8を参照のこと。
878 SOF分析は、STでなされたSOF主張を正当化する根拠からなる。
AVA_SOF.1.2C
2:AVA_SOF.1-2 評価者は、STに数値尺度で表されているSOF主張に対応する各セキュリティメカ ニズムに対して開発者が SOF 分析を提供していることをチェックしなければならチェックしなければならチェックしなければならチェックしなければなら ない
ない ない ない。
879 SOF 主張が SOF レート付けだけで表されている場合、このワークユニットは、適
用されず、条件は満たされているものとみなされる。
880 レート付けとして表された最小の全体的 SOF 要件は、すべての非暗号、確率的ま たは順列的メカニズムに適用される。ただし、個々のメカニズムは、全体的 SOF 要件を満たすまたは要件を越える数値尺度として表された SOF 主張を持つことが できる。
EAL2:AVA_SOF.1
881 SOF分析は、STでなされたSOF主張を正当化する根拠からなる。
AVA_SOF.1.1C及びAVA_SOF.1.2C
2:AVA_SOF.1-3 評価者は、分析を裏付ける主張または前提条件のいずれもが正当であることを決定 するために、SOF分析を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。
882 例えば、擬似乱数ジェネレータの特定の実装が、SOF 分析が関係するセキュリティ メカニズムにシードする必要がある要求されるエントロピーを持っているというの は無効な前提条件である。
883 ワーストケースがSTにより無効にされない限り、SOF 分析を裏付ける前提条件に は、このワーストケースを反映するべきである。多数の異なる可能なシナリオが存 在し、これらが人間利用者または攻撃者に依存する場合、すでに述べたように、こ のケースが無効にされない限り、最小の強度を表すケースが想定されるべきである。
884 例えば、最大の論理的パスワードスペースに基づく強度の主張(すなわち、すべて の印刷可能なASCII文字)は、自然言語パスワードを使用してパスワードスペース 及び関係する強度を効果的に減らすのが人間のふるまいであるために、ワースト ケースとはならない。ただし、自然言語パスワードの使用を最小にするパスワード フィルタなど、ST に識別されているIT 手段をTOE が使用する場合、そのような 前提条件は、適切となる。
2:AVA_SOF.1-4 評価者は、分析を裏付けるアルゴリズム、原理、特性及び計算が正しいことを決定 するために、SOF分析を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。
885 このワークユニットの本質は、考慮されているメカニズムのタイプに大きく依存す る。附属書 B.8 は、パスワードメカニズムを使用して実装される識別と認証の機能 の SOF 分析の例を示している。分析は、最大のパスワードスペースが最後に SOF レート付けに到達すると考える。生物的尺度に対して、分析は、メカニズムのス プーフィング(偽造)されやすさに影響を与える解決策とその他の要因を考慮する べきである。
886 レート付けとして表される SOF は、セキュリティメカニズムを打ち負かすために 必要となる最小の攻撃能力に基づく。SOF レート付けは、CCパート1 用語集の攻 撃能力に関して定義されている。
887 攻撃能力のガイダンスについては、附属書B.8を参照のこと。
2:AVA_SOF.1-5 評価者は、各 SOF 主張が満たされているかまたは越えていることを決定するため に、SOF分析を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。
888 SOF主張のレート付けのガイダンスについては、附属書B.8を参照のこと。
2:AVA_SOF.1-6 評価者は、SOF 主張を持つすべての機能がST に定義されている最小強度レベルを 持つことを決定するために、SOF分析を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。
6.9.1.4.2 アクションAVA_SOF.1.2E
2:AVA_SOF.1-7 評価者は、すべての確率的または順列的メカニズムが SOF 主張を持つことを決定 するために、機能仕様、上位レベル設計、利用者ガイダンス及び管理者ガイダンス を検査しなければならない。検査しなければならない。検査しなければならない。検査しなければならない。
889 確率的または順列的メカニズムによって実現されるセキュリティ機能の開発者によ る識別は、ST 評価中に検証される。ただし、TOE 要約仕様がその活動を行うため に使用可能な唯一の証拠である場合、そのようなメカニズムの識別は不完全なこと がある。このサブアクティビティへの入力として必要な追加の評価証拠は、ST に まだ識別されていない追加の確率的または順列的メカニズムを識別することができ る。その場合、ST は、追加のSOF 主張を反映するために適切に更新する必要があ る。また、開発者は、評価者アクションAVA_SOF.1.1Eへの入力としての主張を正 当化する追加の分析を提供する必要がある。
2:AVA_SOF.1-8 評価者は、SOF主張が正しいことを決定するために、その主張を検査しなければな検査しなければな検査しなければな検査しなければな らない。
らない。
らない。
らない。
890 SOF 分析に主張または前提条件(例えば、毎分可能な認証の試みの数)が含まれて
いる場合、評価者は、これらが正しいことを独立に確認するべきである。これは、
テストまたは独立分析によって達成することができる。
EAL2:AVA_VLA.1