TOE 要約仕様の評価（ASE_TSS.1）

4.4.8.1 目的

474 このサブアクティビティの目的は、TOE 要約仕様が TOE 及びその環境が取り扱う 対象とするセキュリティ機能及び保証手段の明確で一貫したハイレベルな定義を提 供しているかどうか、及びこれらが特定した TOE セキュリティ要件を満たしてい るかどうかを決定することである。

4.4.8.2 入力

475 このサブアクティビティ用の評価証拠は、次のとおりである。

a) ST

4.4.8.3 評価者アクション

476 このサブアクティビティは、次の2つのCCパート3評価者アクションエレメント からなる。

a) ASE_TSS.1.1E b) ASE_TSS.1.2E 4.4.8.3.1 アクションASE_TSS.1.1E

ASE_TSS.1.1C

ASE_TSS.1-1 評価者は、TOE 要約仕様が TOEの IT セキュリティ機能及び保証手段を記述して いることをチェックしなければならないチェックしなければならないチェックしなければならないチェックしなければならない。

477 評価者は、TOE 要約仕様が、TOE セキュリティ機能要件を満たすことが主張され るセキュリティ機能、及び TOE セキュリティ保証要件を満たすことが主張される 保証手段のハイレベルな定義を提供することを決定する。

478 保証手段は、明示的に述べられるか、またはセキュリティ保証要件を満たす文書の 参照によって定義することができる（例えば、関連する品質計画、ライフサイクル 計画、管理計画）。

ASE_TSS.1.2C

ASE_TSS.1-2 評価者は、各ITセキュリティ機能が少なくとも1つのTOEセキュリティ機能要件 にまでたどれることを決定するために、TOE 要約仕様をチェックしなければならチェックしなければならチェックしなければならチェックしなければなら ない

ない ない ない。

479 たどることに失敗した場合、TOE 要約仕様が不完全であるか、TOE セキュリティ 機能要件が不完全であるか、または IT セキュリティ機能が役立つ目的を持ってい ないことを示す。

ASE_TSS.1.3C

ASE_TSS.1-3 評価者は、各 IT セキュリティ機能が、その意図を理解するために必要な詳細レベ ルで非形式的なスタイルで記述されていることを決定するために、その IT セキュ リティ機能を検査しなければならない検査しなければならない検査しなければならない検査しなければならない。

480 いくつかの場合では、IT セキュリティ機能が提供する詳細は対応する TOE セキュ リティ機能要件（複数可）で提供されている詳細と同じ程度である。その他の場合 は、ST 作成者は、例えば「セキュリティ属性」など一般的な用語の代わりに TOE 特定の用語を使用して、TOE特定の詳細を含めている場合がある。

4章  ST評価

481 IT セキュリティ機能を記述する準形式的または形式的スタイルは、同じ機能の非形

式的なスタイルの記述が併記されていない限り、ここでは許可されていないことに 注意すること。ここでの目標は、機能の完全性または正確性などの特性を決定する ことではなく、機能の意図を理解することである。

ASE_TSS.1.4C

ASE_TSS.1-4 評価者は、STのセキュリティメカニズムへのすべての参照がIT セキュリティ機能 にまでさかのぼれることを決定するために、TOE 要約仕様を検査しなければなら検査しなければなら検査しなければなら検査しなければなら ない

ない ない ない。

482 セキュリティメカニズムの参照は、ST では任意であるが、（例えば、）特定のプロ トコルまたはアルゴリズムを実装する必要がある場合（例えば、特定のパスワード 生成または暗号化アルゴリズム）には適切な場合がある。ST にセキュリティメカ ニズムの参照が含まれていない場合、このワークユニットは適用されず、満たされ ているものとみなされる。

483 評価者は、STが参照する各セキュリティメカニズムが少なくとも1つのITセキュ リティ機能にまでさかのぼれることを決定する。

484 たどることに失敗した場合、TOE 要約仕様が不完全であるか、またはセキュリ ティメカニズムが役立つ目的を持っていないことを示す。

ASE_TSS.1.5C

ASE_TSS.1-5 評価者は、各 TOE セキュリティ機能要件に対して、IT セキュリティ機能がその TOE セキュリティ機能要件を満たすのに適していることを示す適切な正当化を、

TOE 要約仕様根拠が含んでいることを決定するために、その根拠を検査しなけれ検査しなけれ検査しなけれ検査しなけれ ばならない

ばならない ばならない ばならない。

485 IT セキュリティ機能が TOE セキュリティ機能要件にまでさかのぼれない場合、こ

のワークユニットは不合格になる。

486 評価者は、TOE セキュリティ機能要件のための正当化が、要件にまでさかのぼる すべてのIT セキュリティ機能が実装された場合、TOE セキュリティ機能要件が満 たされることを実証していることを決定する。

487 評価者は、TOE セキュリティ機能要件にまでさかのぼる各IT セキュリティ機能が 実装されると、実際にその要件を満たすことに寄与することも決定する。

488 TOE 要約仕様において提供される TOEセキュリティ機能要件に対する IT セキュ

リティ機能からの追跡は、正当化の一部である場合があるが、それ自体の正当化を 構成しないことに注意すること。

ASE_TSS.1-6 評価者は、IT セキュリティ機能に対する機能強度主張が、TOE セキュリティ機能 要件に対する機能強度と一貫していることを決定するために、TOE 要約仕様根拠 を検査しなければならない検査しなければならない検査しなければならない検査しなければならない。

489 このワークユニットは、ASE_TSS.1-10ワークユニットの結果から引き出される。

490 評価者は、機能強度主張が適切である各 IT セキュリティ機能に対して、この主張 がさかのぼるすべてのTOEセキュリティ機能要件に適していることを決定する。

491 通常、適切性は IT セキュリティ機能の機能強度主張が、たどるすべての TOE セ キュリティ機能要件の機能強度と等しいか、または高いことを意味するが、例外も ある。そのような例外には、認証（例えば、バイオメトリ及び PIN）用の中程度の 強度認証要件を実装するために、複数の低強度機能が連続して使用される場合があ る。

ASE_TSS.1.6C

ASE_TSS.1-7 評価者は、特定したIT セキュリティ機能の組み合わせが、TOE セキュリティ機能 要件を満たすために一緒に機能することを、TOE 要約仕様根拠が実証しているこ とを決定するために、その根拠を検査しなければならない検査しなければならない検査しなければならない検査しなければならない。

492 このワークユニットは、ワークユニット ASE_REQ.1-23 において TOE セキュリ ティ機能要件上で実行される相互サポートの決定に基づく。評価者のここでの分析 は、IT セキュリティ機能に含まれる追加情報の影響を評定し、そのような情報を含 めることによってほかの IT セキュリティ機能をバイパス、改ざん、または非活性 化するなどの潜在的なセキュリティの弱点を取り込まないことを決定するべきであ る。

ASE_TSS.1.7C

ASE_TSS.1-8 評価者は、各保証手段が少なくとも 1 つの TOE セキュリティ保証要件にまでたど れることを決定するために、TOE要約仕様をチェックしなければならないチェックしなければならないチェックしなければならないチェックしなければならない。 493 たどることに失敗した場合、TOE 要約仕様または TOEセキュリティ保証要件のス

テートメントが不完全であるか、または保証手段が役立つ目的を持っていないこと を示す。

ASE_TSS.1.8C

ASE_TSS.1-9 評価者は、各TOEセキュリティ保証要件に対して、保証手段がそのTOEセキュリ ティ保証要件を満たすことの適切な正当化を、TOE 要約仕様根拠が含んでいるこ とを決定するために、その根拠を検査しなければならない検査しなければならない検査しなければならない検査しなければならない。

494 保証手段が TOE セキュリティ保証要件にまでさかのぼれない場合、このワークユ ニットは不合格になる。

495 評価者は、TOE セキュリティ保証要件のための正当化が、要件にまでさかのぼる すべての保証手段が実装された場合、TOE セキュリティ保証要件が満たされるこ とを実証していることを決定する。

496 評価者は、TOE セキュリティ保証要件にまでさかのぼる各保証手段が実装される と、実際にその要件を満たすことに寄与することも決定する。

497 保証手段は、開発者が保証要件を取り扱う方法を記述する。このワークユニットの 目的は、特定された保証手段が保証要件を満たすのに適切であることを決定するこ とである。