目次! ISO/IEC の意義! ISO/IEC の運用! 欧米の対応と製品評価状況! ISO/IEC の内容! 日本の取り組み 2

ISO/IEC 15408（Common Criteria）概要

ISO/IEC 15408セミナー

平成12年3月

情報処理振興事業協会(IPA)

セキュリティセンター

2

目　次

!　ISO/IEC 15408の意義

!　ISO/IEC 15408の運用

!　欧米の対応と製品評価状況

!　ISO/IEC 15408の内容

!　日本の取り組み

4

エンドユーザ

エンドユーザ

エンドユーザ

エンドユーザ

IC ｶｰﾄﾞｶｰﾄﾞｶｰﾄﾞｶｰﾄﾞ 記憶媒体 記憶媒体 記憶媒体 記憶媒体 ネットワーク ネットワークネットワーク ネットワーク

情 報 処 理 シ ス テ ム

情 報 処 理 シ ス テ ム

情 報 処 理 シ ス テ ム

情 報 処 理 シ ス テ ム

システム

運用者

製品／システム

開発者

研究情報

研究情報

研究情報

研究情報

経営情報

経営情報

経営情報

経営情報

医療カルテ

医療カルテ

医療カルテ

医療カルテ

顧客情報

顧客情報

顧客情報

顧客情報

取引情報

取引情報

取引情報

取引情報

_契約書

_契約書

_契約書

_契約書

PC

セキュリティ評価の必要性

パスワード管理 パスワード管理パスワード管理 パスワード管理 。。。 。。。。。。 。。。 運用ガイドライン 運用ガイドライン運用ガイドライン 運用ガイドライン

大 丈 夫 か な ？

大 丈 夫 か な ？

大 丈 夫 か な ？

大 丈 夫 か な ？

セキュリティ機能 セキュリティ機能 セキュリティ機能 セキュリティ機能 暗号化 暗号化暗号化 暗号化 認証。。。 認証。。。認証。。。 認証。。。

!

開発／製造／運用に関わった資材を検査して大丈夫と宣言！

開発／製造／運用に関わった資材を検査して大丈夫と宣言！

・

セキュリティターゲット

セキュリティターゲット

セキュリティターゲット

セキュリティターゲット

*

（セキュリティ脅威分析、装備すべき機能、品質対策など）

・プログラム設計書・ソースコード・オブジェクトコード

・テスト仕様書・

脆弱性分析書

脆弱性分析書

脆弱性分析書

脆弱性分析書

・マニュアル・運用規則　など

セキュリティターゲット、 セキュリティターゲット、セキュリティターゲット、 セキュリティターゲット、 テストの実施 テストの実施テストの実施 テストの実施 ＋＋ ソースコード＋＋ ソースコードソースコードソースコード ＋＋＋＋ 数学的証明数学的証明数学的証明数学的証明

検査の対象物候補

検査の対象物候補

検査の対象物候補

検査の対象物候補 ：

：：

：

*

*

セキュリティターゲット

セキュリティターゲット

セキュリティターゲット

セキュリティターゲット

セキュリティターゲット

セキュリティターゲット

セキュリティターゲット

セキュリティターゲット

は、「セキュリティ設計仕様書」という位置付け。

は、「セキュリティ設計仕様書」という位置付け。

*

*

大丈夫さの度合いを、この規格では

大丈夫さの度合いを、この規格では

「

「

EAL

EAL

：

：

：：

：

：：

：

Evaluation Assurance Level

Evaluation Assurance Level

」

」

と呼ぶ。

と呼ぶ。

!大丈夫さの度合い（

検査対象物の範囲とその内容

_{）を評価*}

6

ISO/IEC 15408の特徴・適用(2)

○

○

○

○ ○システム／製品は大丈夫さの度合い△

○システム／製品は大丈夫さの度合い△

○システム／製品は大丈夫さの度合い△

○システム／製品は大丈夫さの度合い△ △（

△（

△（

△（

例：

例：

例：

例：EAL4

EAL4

EAL4

EAL4

）

））

）で

で

で

でISO/IEC 15408

ISO/IEC 15408

ISO/IEC 15408取得

ISO/IEC 15408

取得

取得

取得

!

!

　

　

ISO/IEC 15408

_{ISO/IEC 15408}

を

を

適用することによって。。。。

適用することによって。。。。

!

!

　適用範囲

　

　　ソフトウェア(OS、DBMS、Firewall等)、ハードウェア、

　　ファームウェア（ICカード等）：セキュリティ機能を持った

　　すべてのIT製品／システム。

リスク

リスク

リスク

リスク

セキュリティ対策

セキュリティ対策

セキュリティ対策

セキュリティ対策

技術 技術 技術 技術 運用／管理運用／管理運用／管理運用／管理

国

際

標

準

国

際

標

準

国

際

標

準

国

際

標

準

国

際

標

準

国

際

標

準

国

際

標

準

国

際

標

準

「リスク」と「セキュリティ対策」のバランス

「リスク」と「セキュリティ対策」のバランス

「リスク」と「セキュリティ対策」のバランス

「リスク」と「セキュリティ対策」のバランス

「リスク」と「セキュリティ対策」のバランス

「リスク」と「セキュリティ対策」のバランス

「リスク」と「セキュリティ対策」のバランス

「リスク」と「セキュリティ対策」のバランス

最適な投資効果

最適な投資効果

セキュリティ対策の策定　

セキュリティ対策の策定　

(

(

セキュリティターゲットの作成による

セキュリティターゲットの作成による

)

)

ISO/IEC 15408

ISO/IEC 15408

の意義

の意義

(1)

(1)

8

運用管理

運用管理

運用管理

運用管理

技術

技術

技術

技術

国

際

標

準

国

際

標

準

国

際

標

準

国

際

標

準

国

際

標

準

国

際

標

準

国

際

標

準

国

際

標

準

セキュリティ セキュリティ セキュリティ セキュリティ 教育 教育 教育 教育 運用ｶﾞｲﾄﾞﾗｲﾝ 運用ｶﾞｲﾄﾞﾗｲﾝ運用ｶﾞｲﾄﾞﾗｲﾝ 運用ｶﾞｲﾄﾞﾗｲﾝ 作成 作成作成 作成 ﾃﾞｰﾀ暗号化 ﾃﾞｰﾀ暗号化ﾃﾞｰﾀ暗号化 ﾃﾞｰﾀ暗号化 ／ＶＰＮ ／ＶＰＮ／ＶＰＮ ／ＶＰＮ ﾕｰｻﾞ認証 ﾕｰｻﾞ認証 ﾕｰｻﾞ認証 ﾕｰｻﾞ認証 ／ｱｸｾｽ制御 ／ｱｸｾｽ制御 ／ｱｸｾｽ制御 ／ｱｸｾｽ制御

必要なセキュリティ要件を明確化

必要なセキュリティ要件を明確化

必要なセキュリティ要件を明確化

必要なセキュリティ要件を明確化

技術と運用のバランス 技術と運用のバランス技術と運用のバランス 技術と運用のバランス

有効な対策の実施

有効な対策の実施

ISO/IEC 15408

ISO/IEC 15408

の意義

の意義

(2)

(2)

10 認証（ 認証（認証（ 認証（Validation/Certification））））機関機関機関機関 ・評価結果の認証 ・評価機関の技術指導、監督 ・評価・認証ルール、制度の維持 評価（ 評価（評価（ 評価（Evaluation））））機関機関機関機関 ・メーカ、ベンダ、ユーザから依頼 された製品やシステムのセキュリ ティ評価試験実施 ・セキュリティ評価に関するコンサル 　ティング メーカ・ベンダ メーカ・ベンダメーカ・ベンダ メーカ・ベンダ ・製品の評価・認証依頼 （製品、製品情報、 資料類の提出） ・製品のセキュリティ品質 向上。作り込み 資格申請 _{審査・認定・管理} 技術指導 ・監督 _評価報告 認証 相互承認手続き 認定（ 認定（認定（ 認定（Accreditation））））機関機関機関機関 ・評価機関の審査、認定、管理 民間企業 民間企業民間企業 民間企業、政府機関政府機関政府機関など各種可能政府機関 （外国には軍関係の評価機関もある） ISO Guide25 ISO Guide25 ISO Guide25 ISO Guide25

認証機関と別の役割 政府機関政府機関であること_{（相互承認協定要件）}政府機関政府機関 _{ISO Guide65ISO Guide65ISO Guide65ISO Guide65}

ＣＣ、ＣＥＭに基づくこと （相互承認協定要件）

セキュリティ評価・認証制度

認証書 評価認証依頼 コンサルティング CC　：　：　： Common Criteria　：

12

TCSEC

(Orange Book)

CC

(Common Criteria)

V1.0：

：：

：1996

V2.0：

：：

：1998／

／

／

／V2.1：：：：1999

(ISO/IEC JTC 1／／／SC 27／／ ／／／WG 3へ提案へ提案へ提案へ提案)

1983

ITSEC ：：：：Information Technology Security Evaluation Criteria TCSEC ：：：：Trusted Computer System Evaluation Criteria

ITSEC

1991

欧州各国ごと 欧州各国ごと 欧州各国ごと 欧州各国ごと の評価基準 の評価基準 の評価基準 の評価基準

1999：

：：

：6月に

月に

月に

月に国際規格

国際規格

国際規格(IS)として承認。

国際規格

として承認。

として承認。

として承認。

12月発行。

月発行。

月発行。

月発行。

ISO/IEC 15408

欧米でのセキュリティ評価の歴史

カナダ フランス ドイツ 英国 米国 市場 市場 市場 市場 市場市場市場市場 市場市場市場市場 市場 市場市場 市場 市場 市場市場 市場 オーストラリア 市場 市場市場 市場 市場市場市場市場 ニュージーランド 認証 認証 認証 認証 (Validation 　／Certification) 評価 評価 評価 評価 (Evaluation) 認定 認定認定 認定 (Accreditation)

セキュリティ評価における相互承認

（MRA：Mutual　

　

　

　Recognition Arrangement）

! ある国がある国がある国がある国がCCを使って認証したセキュリティレベルは、他の国でもそのまま通用する趣旨の協定を使って認証したセキュリティレベルは、他の国でもそのまま通用する趣旨の協定を使って認証したセキュリティレベルは、他の国でもそのまま通用する趣旨の協定を使って認証したセキュリティレベルは、他の国でもそのまま通用する趣旨の協定 " 1998年年年年10月：カナダ、フランス、ドイツ、英国、米国の月：カナダ、フランス、ドイツ、英国、米国の月：カナダ、フランス、ドイツ、英国、米国の月：カナダ、フランス、ドイツ、英国、米国の5カ国による相互承認の調印カ国による相互承認の調印カ国による相互承認の調印カ国による相互承認の調印 " 1999年年年年10月：オーストラリア、ニュージーランドが新たに調印月：オーストラリア、ニュージーランドが新たに調印月：オーストラリア、ニュージーランドが新たに調印月：オーストラリア、ニュージーランドが新たに調印 MRA 認証書 認証書 認証書 認証書 認証書 認証書 認証書 認証書 認証書 認証書 認証書

14 281 281281 281 28 2828 28 195 195195 195 58 5858 58 合計 合計合計 合計 41 4141 41 6 66 6 35 3535 35 評価中 評価中 評価中 評価中 3 33 3 1 11 1 2 22 2 2000 20002000 2000 40 4040 40 15 1515 15 24 2424 24 1 11 1 　 　 　 　99999999 40 4040 40 5 55 5 29 2929 29 6 66 6 　 　 　 　98989898 36 3636 36 1 11 1 29 2929 29 6 66 6 　 　 　 　97979797 24 2424 24 20 2020 20 4 44 4 　 　 　 　96969696 31 3131 31 20 2020 20 11 1111 11 　 　 　 　95959595 44 4444 44 26 2626 26 18 1818 18 　 　 　 　94949494 10 1010 10 5 55 5 5 55 5 　 　 　 　93939393 5 55 5 2 22 2 3 33 3 　 　 　 　92929292 4 44 4 2 22 2 2 22 2 　 　 　 　91919191 2 22 2 1 11 1 1 11 1 　 　 　 　90909090 1 11 1 1 11 1 1989 19891989 1989 合計 合計 合計 合計((((年年年年)))) CC CCCC CC ITSEC ITSECITSEC ITSEC TCSEC TCSECTCSEC TCSEC

欧米でのセキュリティ評価件数

2000.2現在現在現在現在

EAL2 － － － － E3 E3 E2 － － － C2 Cisco Systems

Check Point Software Network Associates Novell

Cisco PIX Firewall 520, v4.3 Check Point Firewall-1 v4 Gauntlet Firewall v3.01

Novell Trusted Netware 4.11 Net-work － － － B1 B1 B1 － C2 － － － B1 C2 TCSEC TCSECTCSEC TCSEC － － E6 E3 Mondex International EDS

MONDEX Purse R2 on MULTOS v3

Trusted EDI SenTry 2020 他 EAL4 － － － E3 E3 E3 － Oracle Oracle Informix Software Sybase Oracle7 Release 7.2.2.4.13 Trusted Oracle7, 7.0.12.6 INFORMIX-OnLine/Secure5.0 Secure SQL Server v11.0.6 DBM S － － － － － － － E3 － E3 E2 E3 － － Microsoft Microsoft Hewlett Packard Sun Microsystems Sun Microsystems Unisys IBM Windows NT4.0 SP3 Windows NT4.0 SP6a HP-UX 10.20 Solaris 2.51SE Trusted Solaris 1.2 OS 1100/2200 Release SB4R7 AS/400 with OS/400 V2R3M0 OS CC CC CC CC ITSEC ITSECITSEC ITSEC サプライヤ サプライヤサプライヤ サプライヤ 製品名 製品名 製品名 製品名 区分 区分区分 区分 2000.2 現在現在現在現在

セキュリティ評価・認証済み製品例

16

CCのEALと欧米の既存セキュリティ基準との対応表

! CCで定義されている７階層の評価保証レベル（EAL）と、米国TCSEC、欧州ITSECで

それぞれ定義されているセキュリティ保証レベル（クラス）との対応関係を下表に示す。

Common

Criteria

EAL1

EAL2

EAL3

EAL4

EAL5

EAL6

EAL7

米国

TCSEC

D

C1

C2

B1

B2

B3

A1

欧州

ITSEC

E0

E1

E2

E3

E4

E5

E6

18

!　Part 1 （（（（概説と一般モデル）

概説と一般モデル）

概説と一般モデル）

概説と一般モデル）

"　セキュリティ評価の背景、評価のアプローチ

"　セキュリティターゲット

セキュリティターゲット

セキュリティターゲット（ST： Security Target ）の仕様　　　　

セキュリティターゲット

"　プロテクションプロファイル（PP： Protection Profile ）の仕様

!　Part 2 （（（（セキュリティ機能要件）

セキュリティ機能要件）

セキュリティ機能要件）

セキュリティ機能要件）

"　セキュリティ

セキュリティ

セキュリティ機能要件集

セキュリティ

機能要件集

機能要件集

機能要件集 （１１分類）

　　　　・セキュリティに関する機能のふるまいの要件

　　　　　　～　監査、データ保護、識別・認証、等

!　Part 3 （（（（セキュリティ保証要件）

セキュリティ保証要件）

セキュリティ保証要件）

セキュリティ保証要件）

"　

セキュリティ保証要件集

セキュリティ保証要件集

セキュリティ保証要件集

セキュリティ保証要件集 （１０分類）

　　　　　　　・ セキュリティ機能が正確に実装されていることを確認する要件

　　　　　　～　設計、テスト、管理、ドキュメント、等

　　　　　・ 脅威への脆弱性に関する要件

"　評価保証レベル

評価保証レベル

評価保証レベルの規定 （EAL1～EAL7）

評価保証レベル

ISO/IEC 15408の構成

"　TOEの定義

"　脅威／前提条件

"　セキュリティ対策

"　セキュリティ要件

"　セキュリティ仕様

"　ＰＰ宣言(*)

"　根拠

セキュリティターゲット(ST)

!

!

　ISO/IEC 15408のPart 1に基づき、次のような内容で記述。

　

TOE

TOE

TOE

TOE：

：：

：Target Of Evaluation

Target Of Evaluation

Target Of Evaluation

Target Of Evaluation （

（（

（評価の対象）

評価の対象）

評価の対象）

評価の対象）

* * *

20

セキュリティ評価基準

セキュリティ評価基準

セキュリティ評価基準

セキュリティ評価基準

ＩＳＯ／ＩＥＣ１５４０８

ＩＳＯ／ＩＥＣ１５４０８

ＩＳＯ／ＩＥＣ１５４０８

ＩＳＯ／ＩＥＣ１５４０８

評価手法

評価手法

評価手法

評価手法

評価の枠組み

評価の枠組み

評価の枠組み

評価の枠組み

運用

運用

運用

運用

評価

評価

評価

評価

開発

開発

開発

開発

製品／システム

製品／システム

製品／システム

製品／システム

とドキュメント

とドキュメント

とドキュメント

とドキュメント

評価結果

評価結果

評価結果

評価結果

フィードバック

フィードバック

フィードバック

フィードバック

プロテクション

プロテクション

プロテクション

プロテクション

プロファイル（

プロファイル（

プロファイル（

プロファイル（PP））））

セキュリティ セキュリティセキュリティ セキュリティ ターゲット ターゲットターゲット ターゲット(ST)

セキュリティ評価におけるSTの位置付け

セキュリティ機能要件

（Security functional requirements）

１．

セキュリティ監査　　(

Security audit：

FAU

)

２．

通信　　(

Communication：

FCO

)

３．

暗号サポート　　(

Cryptographic support：

FCS

)

４．

ユーザデータ保護　　(

User data protection：

FDP

)

５．

識別と認証　　

(Identification and authentication：

FIA

)

６．

セキュリティ管理　　(

Security management：

FMT

)

７．

プライバシー　　(

Privacy：

FPR

)

８．

TOEセキュリティ機能保護　　(

Protection of the TSF：

FPT

)

９．

資源利用　　

(Resource utilisation：

FRU

)

１０． TOEアクセス　　(

TOE access：

FTA

)

１１． 高信頼パス／チャネル　　(

Trusted path/channels：

FTP

)

!

22

セキュリティ保証要件

(Security assurance requirements)

＊

＊

＊

＊ ２から９の保証要件に基づき

２から９の保証要件に基づき

２から９の保証要件に基づき

２から９の保証要件に基づきTOE

TOE

TOE

TOEを評価する

を評価する

を評価する

を評価する

１．

PP評価　　(

PP evaluation：

APE

)

２．

ST評価　　(

ST evaluation：

ASE

)

３．

構成管理　(

Configuration management：

ACM

)

４．

配付と運用　　(

Delivery and operation：

ADO

)

５．

開発　　　　　　(

Development：

ADV

)

６．

ガイダンス文書　　(

Guidance documents：

AGD

)

７．

ライフサイクルサポート　(

Life cycle support：

ALC

)

８．

テスト　　　　　　(

Tests：

ATE

)

９．

脆弱性評定　　(

Vulnerability assessment：

AVA

)

１０．　保証の維持　　(

Maintenance of assurance：

AMA

)

＊

＊

＊

＊

＊

＊

＊

＊

!

!　

　 ISO/IEC 15408のPart 3にて、以下の１０クラスに分類されている。

形式的記述言語を用いた検証方法に基づく設計と テストの確認。

EAL7

半形式的記述言語を用いた下位レベル設計。

EAL6

全ソースコードの分析、隠れた情報漏洩ルートの分析。半形式的記述言語

を用いた上位レベル設計。

EAL5

下位レベル設計書を使用し処理内容の検証。重要な部分はソースコードも

検証。

EAL4

系統だったテストの実施と分析、開発環境や開発生産物の管理状況の評価。

EAL3

上位レベル設計書を用いたプログラムの構造の検証、サンプリングテストの

実施。評価者による侵入テストと脆弱性分析。

EAL2

評価者がマニュアルなどに従い機能的な分析を実施。評価者による独立テ

ストの実施。

EAL1

概　要

レベル

評価保証レベル(EAL：Evaluation Assurance Level)

!

!　ＥＡＬは評価の厳格さのレベルを示す。EALの上位（番号の大きい方）レベルは、　

24

セキュリティ評価への近年の取り組み

IPAにコモン・クライテ

にコモン・クライテ

にコモン・クライテ

にコモン・クライテ

リア・タスク・フォース

リア・タスク・フォース

リア・タスク・フォース

リア・タスク・フォース

（

（（

（CCTF））））を設置

を設置

を設置

を設置

(1998年

年

年

年5月

月

月

月)

セキュリティ機能要件の検討 (JEIDA)

ISO/IEC JTC1 SC 27 WG3 における検討への対応(情報処理学会)

セキュリティ評価技術の開発

・セキュリティ要件解説書 ・ ST作成／脆弱性分析／評価用各ガイド ・ 支援ツール

セキュリティ評価技術の研究 (JEIDA)

セキュリティ評価・認証制度に関する調査（IPA）

ISO/IEC 15408のJIS化（2000年夏予定）

2000 1999 1996 1998 1991

26

関連PP 参照／準拠 製品開発 製品開発製品開発 製品開発 基本設計 ST作成作成作成作成 上位/下位レベル設計 テスト分析、実施 脆弱性分析 マニュアル作成など PP開発開発開発開発 セキュリティ要求仕様 の策定 要求仕様と製品仕様 との比較検討 ST評価 仕様書評価 テスト評価 脆弱性評価 マニュアル評価など 製品選定 製品選定製品選定 製品選定 PP評価評価評価評価 製品評価 製品評価製品評価 製品評価 製品 ST仕様書類 など提供 提供 製品認証 製品認証 製品認証 製品認証 登録＆公開 ST 評価結果の検証 認証報告書の作成 認証書発行 認証製品リスト発行 評価結果報告 認証製品リスト参照 関連製品 ST参照 公開 STが準拠する PP参照 PP ISO/IEC 15408

付録： ISO/IEC 15408の使われ方(例)

ベンダ

ベンダ

ベンダ

ベンダ

業界団体

業界団体

業界団体

業界団体

エンドユーザ

エンドユーザ

エンドユーザ

エンドユーザ

認証機関

認証機関

認証機関

認証機関

評価機関

評価機関

評価機関

評価機関

28

付録：海外でのセキュリティ評価の歴史

(暦年) ～１９９６ １９９７ １９９８ １９９９ ２０００～ 評 価 認 証 制 度 評 価 基 準 アメリカ カナダ イギリス ドイツ フランス 相互承認（ＭＲＡ） 相互承認（ＭＲＡ）相互承認（ＭＲＡ） 相互承認（ＭＲＡ） 1998 アメリカ カナダ 【ＣＣＣＣＣＣ】ＣＣ イギリス ドイツ フランス ＩＳＯ標準 ＩＳＯ標準 ＩＳＯ標準 ＩＳＯ標準 1986TPEP 1995 TTAP CCTP/NIAP 1991～（各国）ITSECベースに移行 1983 TCSEC／OrangeBook (1992 FederalCriteria) 1991 CTCPEC CommonCriteria v1 CommonCriteria v2 MEMO3, GreenBook 1991 ITSEC B/W/R Book ＣＣのＩＳ化検討 IS化化化化

TTAP:Trust Technology Assessment Program NIAP:National Information Assurance Partnership CCTP:Common Criteria Testing Program TCSEC:Trusted Computer System Evaluation Criteria ITSEC:Information Technology Security Evaluation Criteria

1998 ～（各国）CCベースに移行

ZSEIC, B/W Book