ISO/IEC 15408(Common Criteria)概要
ISO/IEC 15408セミナー
平成12年3月
情報処理振興事業協会(IPA)
セキュリティセンター
2
目 次
! ISO/IEC 15408の意義
! ISO/IEC 15408の運用
! 欧米の対応と製品評価状況
! ISO/IEC 15408の内容
! 日本の取り組み
4
エンドユーザ
エンドユーザ
エンドユーザ
エンドユーザ
IC カードカードカードカード 記憶媒体 記憶媒体 記憶媒体 記憶媒体 ネットワーク ネットワークネットワーク ネットワーク情 報 処 理 シ ス テ ム
情 報 処 理 シ ス テ ム
情 報 処 理 シ ス テ ム
情 報 処 理 シ ス テ ム
システム
運用者
製品/システム
開発者
研究情報
研究情報
研究情報
研究情報
経営情報
経営情報
経営情報
経営情報
医療カルテ
医療カルテ
医療カルテ
医療カルテ
顧客情報
顧客情報
顧客情報
顧客情報
取引情報
取引情報
取引情報
取引情報
契約書
契約書
契約書
契約書
PCセキュリティ評価の必要性
パスワード管理 パスワード管理パスワード管理 パスワード管理 。。。 。。。。。。 。。。 運用ガイドライン 運用ガイドライン運用ガイドライン 運用ガイドライン大 丈 夫 か な ?
大 丈 夫 か な ?
大 丈 夫 か な ?
大 丈 夫 か な ?
セキュリティ機能 セキュリティ機能 セキュリティ機能 セキュリティ機能 暗号化 暗号化暗号化 暗号化 認証。。。 認証。。。認証。。。 認証。。。!
開発/製造/運用に関わった資材を検査して大丈夫と宣言!
開発/製造/運用に関わった資材を検査して大丈夫と宣言!
・
セキュリティターゲット
セキュリティターゲット
セキュリティターゲット
セキュリティターゲット
*
(セキュリティ脅威分析、装備すべき機能、品質対策など)・プログラム設計書・ソースコード・オブジェクトコード
・テスト仕様書・
脆弱性分析書
脆弱性分析書
脆弱性分析書
脆弱性分析書
・マニュアル・運用規則 など
セキュリティターゲット、 セキュリティターゲット、セキュリティターゲット、 セキュリティターゲット、 テストの実施 テストの実施テストの実施 テストの実施 ++ ソースコード++ ソースコードソースコードソースコード ++++ 数学的証明数学的証明数学的証明数学的証明検査の対象物候補
検査の対象物候補
検査の対象物候補
検査の対象物候補 :
::
:
*
*
セキュリティターゲット
セキュリティターゲット
セキュリティターゲット
セキュリティターゲット
セキュリティターゲット
セキュリティターゲット
セキュリティターゲット
セキュリティターゲット
は、「セキュリティ設計仕様書」という位置付け。
は、「セキュリティ設計仕様書」という位置付け。
*
*
大丈夫さの度合いを、この規格では
大丈夫さの度合いを、この規格では
「
「
EAL
EAL
:
:
::
:
::
:
Evaluation Assurance Level
Evaluation Assurance Level
」
」
と呼ぶ。
と呼ぶ。
!大丈夫さの度合い(
検査対象物の範囲とその内容
)を評価*
6
ISO/IEC 15408の特徴・適用(2)
○
○
○
○ ○システム/製品は大丈夫さの度合い△
○システム/製品は大丈夫さの度合い△
○システム/製品は大丈夫さの度合い△
○システム/製品は大丈夫さの度合い△ △(
△(
△(
△(
例:
例:
例:
例:EAL4
EAL4
EAL4
EAL4
)
))
)で
で
で
でISO/IEC 15408
ISO/IEC 15408
ISO/IEC 15408取得
ISO/IEC 15408
取得
取得
取得
!
!
ISO/IEC 15408
ISO/IEC 15408
を
を
適用することによって。。。。
適用することによって。。。。
!
!
適用範囲
ソフトウェア(OS、DBMS、Firewall等)、ハードウェア、
ファームウェア(ICカード等):セキュリティ機能を持った
すべてのIT製品/システム。
リスク
リスク
リスク
リスク
セキュリティ対策
セキュリティ対策
セキュリティ対策
セキュリティ対策
技術 技術 技術 技術 運用/管理運用/管理運用/管理運用/管理国
際
標
準
国
際
標
準
国
際
標
準
国
際
標
準
国
際
標
準
国
際
標
準
国
際
標
準
国
際
標
準
「リスク」と「セキュリティ対策」のバランス
「リスク」と「セキュリティ対策」のバランス
「リスク」と「セキュリティ対策」のバランス
「リスク」と「セキュリティ対策」のバランス
「リスク」と「セキュリティ対策」のバランス
「リスク」と「セキュリティ対策」のバランス
「リスク」と「セキュリティ対策」のバランス
「リスク」と「セキュリティ対策」のバランス
最適な投資効果
最適な投資効果
セキュリティ対策の策定
セキュリティ対策の策定
(
(
セキュリティターゲットの作成による
セキュリティターゲットの作成による
)
)
ISO/IEC 15408
ISO/IEC 15408
の意義
の意義
(1)
(1)
8
運用管理
運用管理
運用管理
運用管理
技術
技術
技術
技術
国
際
標
準
国
際
標
準
国
際
標
準
国
際
標
準
国
際
標
準
国
際
標
準
国
際
標
準
国
際
標
準
セキュリティ セキュリティ セキュリティ セキュリティ 教育 教育 教育 教育 運用ガイドライン 運用ガイドライン運用ガイドライン 運用ガイドライン 作成 作成作成 作成 データ暗号化 データ暗号化データ暗号化 データ暗号化 /VPN /VPN/VPN /VPN ユーザ認証 ユーザ認証 ユーザ認証 ユーザ認証 /アクセス制御 /アクセス制御 /アクセス制御 /アクセス制御必要なセキュリティ要件を明確化
必要なセキュリティ要件を明確化
必要なセキュリティ要件を明確化
必要なセキュリティ要件を明確化
技術と運用のバランス 技術と運用のバランス技術と運用のバランス 技術と運用のバランス有効な対策の実施
有効な対策の実施
ISO/IEC 15408
ISO/IEC 15408
の意義
の意義
(2)
(2)
10 認証( 認証(認証( 認証(Validation/Certification))))機関機関機関機関 ・評価結果の認証 ・評価機関の技術指導、監督 ・評価・認証ルール、制度の維持 評価( 評価(評価( 評価(Evaluation))))機関機関機関機関 ・メーカ、ベンダ、ユーザから依頼 された製品やシステムのセキュリ ティ評価試験実施 ・セキュリティ評価に関するコンサル ティング メーカ・ベンダ メーカ・ベンダメーカ・ベンダ メーカ・ベンダ ・製品の評価・認証依頼 (製品、製品情報、 資料類の提出) ・製品のセキュリティ品質 向上。作り込み 資格申請 審査・認定・管理 技術指導 ・監督 評価報告 認証 相互承認手続き 認定( 認定(認定( 認定(Accreditation))))機関機関機関機関 ・評価機関の審査、認定、管理 民間企業 民間企業民間企業 民間企業、政府機関政府機関政府機関など各種可能政府機関 (外国には軍関係の評価機関もある) ISO Guide25 ISO Guide25 ISO Guide25 ISO Guide25
認証機関と別の役割 政府機関政府機関であること(相互承認協定要件)政府機関政府機関 ISO Guide65ISO Guide65ISO Guide65ISO Guide65
CC、CEMに基づくこと (相互承認協定要件)
セキュリティ評価・認証制度
認証書 評価認証依頼 コンサルティング CC : : : Common Criteria :12
TCSEC
(Orange Book)
CC
(Common Criteria)
V1.0:
::
:1996
V2.0:
::
:1998/
/
/
/V2.1::::1999
(ISO/IEC JTC 1///SC 27// ///WG 3へ提案へ提案へ提案へ提案)1983
ITSEC ::::Information Technology Security Evaluation Criteria TCSEC ::::Trusted Computer System Evaluation Criteria
ITSEC
1991
欧州各国ごと 欧州各国ごと 欧州各国ごと 欧州各国ごと の評価基準 の評価基準 の評価基準 の評価基準1999:
::
:6月に
月に
月に
月に国際規格
国際規格
国際規格(IS)として承認。
国際規格
として承認。
として承認。
として承認。
12月発行。
月発行。
月発行。
月発行。
ISO/IEC 15408
欧米でのセキュリティ評価の歴史
カナダ フランス ドイツ 英国 米国 市場 市場 市場 市場 市場市場市場市場 市場市場市場市場 市場 市場市場 市場 市場 市場市場 市場 オーストラリア 市場 市場市場 市場 市場市場市場市場 ニュージーランド 認証 認証 認証 認証 (Validation /Certification) 評価 評価 評価 評価 (Evaluation) 認定 認定認定 認定 (Accreditation)
セキュリティ評価における相互承認
(MRA:Mutual
Recognition Arrangement)
! ある国がある国がある国がある国がCCを使って認証したセキュリティレベルは、他の国でもそのまま通用する趣旨の協定を使って認証したセキュリティレベルは、他の国でもそのまま通用する趣旨の協定を使って認証したセキュリティレベルは、他の国でもそのまま通用する趣旨の協定を使って認証したセキュリティレベルは、他の国でもそのまま通用する趣旨の協定 " 1998年年年年10月:カナダ、フランス、ドイツ、英国、米国の月:カナダ、フランス、ドイツ、英国、米国の月:カナダ、フランス、ドイツ、英国、米国の月:カナダ、フランス、ドイツ、英国、米国の5カ国による相互承認の調印カ国による相互承認の調印カ国による相互承認の調印カ国による相互承認の調印 " 1999年年年年10月:オーストラリア、ニュージーランドが新たに調印月:オーストラリア、ニュージーランドが新たに調印月:オーストラリア、ニュージーランドが新たに調印月:オーストラリア、ニュージーランドが新たに調印 MRA 認証書 認証書 認証書 認証書 認証書 認証書 認証書 認証書 認証書 認証書 認証書
14 281 281281 281 28 2828 28 195 195195 195 58 5858 58 合計 合計合計 合計 41 4141 41 6 66 6 35 3535 35 評価中 評価中 評価中 評価中 3 33 3 1 11 1 2 22 2 2000 20002000 2000 40 4040 40 15 1515 15 24 2424 24 1 11 1 99999999 40 4040 40 5 55 5 29 2929 29 6 66 6 98989898 36 3636 36 1 11 1 29 2929 29 6 66 6 97979797 24 2424 24 20 2020 20 4 44 4 96969696 31 3131 31 20 2020 20 11 1111 11 95959595 44 4444 44 26 2626 26 18 1818 18 94949494 10 1010 10 5 55 5 5 55 5 93939393 5 55 5 2 22 2 3 33 3 92929292 4 44 4 2 22 2 2 22 2 91919191 2 22 2 1 11 1 1 11 1 90909090 1 11 1 1 11 1 1989 19891989 1989 合計 合計 合計 合計((((年年年年)))) CC CCCC CC ITSEC ITSECITSEC ITSEC TCSEC TCSECTCSEC TCSEC
欧米でのセキュリティ評価件数
2000.2現在現在現在現在EAL2 - - - - E3 E3 E2 - - - C2 Cisco Systems
Check Point Software Network Associates Novell
Cisco PIX Firewall 520, v4.3 Check Point Firewall-1 v4 Gauntlet Firewall v3.01
Novell Trusted Netware 4.11 Net-work - - - B1 B1 B1 - C2 - - - B1 C2 TCSEC TCSECTCSEC TCSEC - - E6 E3 Mondex International EDS
MONDEX Purse R2 on MULTOS v3
Trusted EDI SenTry 2020 他 EAL4 - - - E3 E3 E3 - Oracle Oracle Informix Software Sybase Oracle7 Release 7.2.2.4.13 Trusted Oracle7, 7.0.12.6 INFORMIX-OnLine/Secure5.0 Secure SQL Server v11.0.6 DBM S - - - - - - - E3 - E3 E2 E3 - - Microsoft Microsoft Hewlett Packard Sun Microsystems Sun Microsystems Unisys IBM Windows NT4.0 SP3 Windows NT4.0 SP6a HP-UX 10.20 Solaris 2.51SE Trusted Solaris 1.2 OS 1100/2200 Release SB4R7 AS/400 with OS/400 V2R3M0 OS CC CC CC CC ITSEC ITSECITSEC ITSEC サプライヤ サプライヤサプライヤ サプライヤ 製品名 製品名 製品名 製品名 区分 区分区分 区分 2000.2 現在現在現在現在
セキュリティ評価・認証済み製品例
16
CCのEALと欧米の既存セキュリティ基準との対応表
! CCで定義されている7階層の評価保証レベル(EAL)と、米国TCSEC、欧州ITSECで
それぞれ定義されているセキュリティ保証レベル(クラス)との対応関係を下表に示す。
Common
Criteria
EAL1
EAL2
EAL3
EAL4
EAL5
EAL6
EAL7
米国
TCSEC
D
C1
C2
B1
B2
B3
A1
欧州
ITSEC
E0
E1
E2
E3
E4
E5
E6
18
! Part 1 ((((概説と一般モデル)
概説と一般モデル)
概説と一般モデル)
概説と一般モデル)
" セキュリティ評価の背景、評価のアプローチ
" セキュリティターゲット
セキュリティターゲット
セキュリティターゲット(ST: Security Target )の仕様
セキュリティターゲット
" プロテクションプロファイル(PP: Protection Profile )の仕様
! Part 2 ((((セキュリティ機能要件)
セキュリティ機能要件)
セキュリティ機能要件)
セキュリティ機能要件)
" セキュリティ
セキュリティ
セキュリティ機能要件集
セキュリティ
機能要件集
機能要件集
機能要件集 (11分類)
・セキュリティに関する機能のふるまいの要件
~ 監査、データ保護、識別・認証、等
! Part 3 ((((セキュリティ保証要件)
セキュリティ保証要件)
セキュリティ保証要件)
セキュリティ保証要件)
"
セキュリティ保証要件集
セキュリティ保証要件集
セキュリティ保証要件集
セキュリティ保証要件集 (10分類)
・ セキュリティ機能が正確に実装されていることを確認する要件
~ 設計、テスト、管理、ドキュメント、等
・ 脅威への脆弱性に関する要件
" 評価保証レベル
評価保証レベル
評価保証レベルの規定 (EAL1~EAL7)
評価保証レベル
ISO/IEC 15408の構成
" TOEの定義
" 脅威/前提条件
" セキュリティ対策
" セキュリティ要件
" セキュリティ仕様
" PP宣言(*)
" 根拠
セキュリティターゲット(ST)
!
!
ISO/IEC 15408のPart 1に基づき、次のような内容で記述。
TOE
TOE
TOE
TOE:
::
:Target Of Evaluation
Target Of Evaluation
Target Of Evaluation
Target Of Evaluation (
((
(評価の対象)
評価の対象)
評価の対象)
評価の対象)
* * *
20
セキュリティ評価基準
セキュリティ評価基準
セキュリティ評価基準
セキュリティ評価基準
ISO/IEC15408
ISO/IEC15408
ISO/IEC15408
ISO/IEC15408
評価手法
評価手法
評価手法
評価手法
評価の枠組み
評価の枠組み
評価の枠組み
評価の枠組み
運用
運用
運用
運用
評価
評価
評価
評価
開発
開発
開発
開発
製品/システム
製品/システム
製品/システム
製品/システム
とドキュメント
とドキュメント
とドキュメント
とドキュメント
評価結果
評価結果
評価結果
評価結果
フィードバック
フィードバック
フィードバック
フィードバック
プロテクション
プロテクション
プロテクション
プロテクション
プロファイル(
プロファイル(
プロファイル(
プロファイル(PP))))
セキュリティ セキュリティセキュリティ セキュリティ ターゲット ターゲットターゲット ターゲット(ST)セキュリティ評価におけるSTの位置付け
セキュリティ機能要件
(Security functional requirements)
1.
セキュリティ監査 (
Security audit:
FAU
)
2.
通信 (
Communication:
FCO
)
3.
暗号サポート (
Cryptographic support:
FCS
)
4.
ユーザデータ保護 (
User data protection:
FDP
)
5.
識別と認証
(Identification and authentication:
FIA
)
6.
セキュリティ管理 (
Security management:
FMT
)
7.
プライバシー (
Privacy:
FPR
)
8.
TOEセキュリティ機能保護 (
Protection of the TSF:
FPT
)
9.
資源利用
(Resource utilisation:
FRU
)
10. TOEアクセス (
TOE access:
FTA
)
11. 高信頼パス/チャネル (
Trusted path/channels:
FTP
)
!
22
セキュリティ保証要件
(Security assurance requirements)
*
*
*
* 2から9の保証要件に基づき
2から9の保証要件に基づき
2から9の保証要件に基づき
2から9の保証要件に基づきTOE
TOE
TOE
TOEを評価する
を評価する
を評価する
を評価する
1.
PP評価 (
PP evaluation:
APE
)
2.
ST評価 (
ST evaluation:
ASE
)
3.
構成管理 (
Configuration management:
ACM
)
4.
配付と運用 (
Delivery and operation:
ADO
)
5.
開発 (
Development:
ADV
)
6.
ガイダンス文書 (
Guidance documents:
AGD
)
7.
ライフサイクルサポート (
Life cycle support:
ALC
)
8.
テスト (
Tests:
ATE
)
9.
脆弱性評定 (
Vulnerability assessment:
AVA
)
10. 保証の維持 (
Maintenance of assurance:
AMA
)
*
*
*
*
*
*
*
*
!
!
ISO/IEC 15408のPart 3にて、以下の10クラスに分類されている。
形式的記述言語を用いた検証方法に基づく設計と テストの確認。
EAL7
半形式的記述言語を用いた下位レベル設計。
EAL6
全ソースコードの分析、隠れた情報漏洩ルートの分析。半形式的記述言語
を用いた上位レベル設計。
EAL5
下位レベル設計書を使用し処理内容の検証。重要な部分はソースコードも
検証。
EAL4
系統だったテストの実施と分析、開発環境や開発生産物の管理状況の評価。
EAL3
上位レベル設計書を用いたプログラムの構造の検証、サンプリングテストの
実施。評価者による侵入テストと脆弱性分析。
EAL2
評価者がマニュアルなどに従い機能的な分析を実施。評価者による独立テ
ストの実施。
EAL1
概 要
レベル
評価保証レベル(EAL:Evaluation Assurance Level)
!
! EALは評価の厳格さのレベルを示す。EALの上位(番号の大きい方)レベルは、
24
セキュリティ評価への近年の取り組み
IPAにコモン・クライテ
にコモン・クライテ
にコモン・クライテ
にコモン・クライテ
リア・タスク・フォース
リア・タスク・フォース
リア・タスク・フォース
リア・タスク・フォース
(
((
(CCTF))))を設置
を設置
を設置
を設置
(1998年
年
年
年5月
月
月
月)
セキュリティ機能要件の検討 (JEIDA)
ISO/IEC JTC1 SC 27 WG3 における検討への対応(情報処理学会)
セキュリティ評価技術の開発
・セキュリティ要件解説書 ・ ST作成/脆弱性分析/評価用各ガイド ・ 支援ツールセキュリティ評価技術の研究 (JEIDA)
セキュリティ評価・認証制度に関する調査(IPA)
ISO/IEC 15408のJIS化(2000年夏予定)
2000 1999 1996 1998 199126
関連PP 参照/準拠 製品開発 製品開発製品開発 製品開発 基本設計 ST作成作成作成作成 上位/下位レベル設計 テスト分析、実施 脆弱性分析 マニュアル作成など PP開発開発開発開発 セキュリティ要求仕様 の策定 要求仕様と製品仕様 との比較検討 ST評価 仕様書評価 テスト評価 脆弱性評価 マニュアル評価など 製品選定 製品選定製品選定 製品選定 PP評価評価評価評価 製品評価 製品評価製品評価 製品評価 製品 ST仕様書類 など提供 提供 製品認証 製品認証 製品認証 製品認証 登録&公開 ST 評価結果の検証 認証報告書の作成 認証書発行 認証製品リスト発行 評価結果報告 認証製品リスト参照 関連製品 ST参照 公開 STが準拠する PP参照 PP ISO/IEC 15408
付録: ISO/IEC 15408の使われ方(例)
ベンダ
ベンダ
ベンダ
ベンダ
業界団体
業界団体
業界団体
業界団体
エンドユーザ
エンドユーザ
エンドユーザ
エンドユーザ
認証機関
認証機関
認証機関
認証機関
評価機関
評価機関
評価機関
評価機関
28
付録:海外でのセキュリティ評価の歴史
(暦年) ~1996 1997 1998 1999 2000~ 評 価 認 証 制 度 評 価 基 準 アメリカ カナダ イギリス ドイツ フランス 相互承認(MRA) 相互承認(MRA)相互承認(MRA) 相互承認(MRA) 1998 アメリカ カナダ 【CCCCCC】CC イギリス ドイツ フランス ISO標準 ISO標準 ISO標準 ISO標準 1986TPEP 1995 TTAP CCTP/NIAP 1991~(各国)ITSECベースに移行 1983 TCSEC/OrangeBook (1992 FederalCriteria) 1991 CTCPEC CommonCriteria v1 CommonCriteria v2 MEMO3, GreenBook 1991 ITSEC B/W/R Book CCのIS化検討 IS化化化化TTAP:Trust Technology Assessment Program NIAP:National Information Assurance Partnership CCTP:Common Criteria Testing Program TCSEC:Trusted Computer System Evaluation Criteria ITSEC:Information Technology Security Evaluation Criteria
1998 ~(各国)CCベースに移行
ZSEIC, B/W Book