目次! はじめに!ST 序説!TOE 記述!TOEセキュリティ環境! セキュリティオブジェクティブ!ITセキュリティ要件!TOEサマリ仕様!PPクレーム! 根拠! おわりに 2

ISO/IEC 15408セミナー

セキュリティ評価

～ST作成～

平成12年3月 情報処理振興事業協会(IPA) セキュリティセンター

目　次

!はじめに

!ST序説

!TOE記述

!TOEセキュリティ環境

!セキュリティオブジェクティブ

!ITセキュリティ要件

!TOEサマリ仕様

!PPクレーム

!根拠

!おわりに

ＳＴ （セキュリティターゲット） とは

!開発者が作成するセキュリティ設計仕様書

!IT製品やシステムのセキュリティ評価の前提とし

て必要なもの

" ITセキュリティ要件の指定を行う。 " 指定した要件を満たすセキュリティ設計仕様を提供 する。

ＳＴ記述項目

１： １：１： １： ＳＴ序説ＳＴ序説ＳＴ序説ＳＴ序説 －－－－ ＳＴ識別ＳＴ識別ＳＴ識別ＳＴ識別 － －－ － ＳＴ概要ＳＴ概要ＳＴ概要ＳＴ概要 － －－ － CC適合性クレーム適合性クレーム適合性クレーム適合性クレーム ２： ２：２： ２： ＴＯＥ記述ＴＯＥ記述ＴＯＥ記述ＴＯＥ記述 ３： ３：３： ３： ＴＯＥセキュリティ環境ＴＯＥセキュリティ環境ＴＯＥセキュリティ環境ＴＯＥセキュリティ環境 －－－－ 想定想定想定想定 － －－ － 脅威脅威脅威脅威 － －－ － 組織のセキュリティ方針組織のセキュリティ方針組織のセキュリティ方針組織のセキュリティ方針 ４： ４：４： ４： セキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブ －－ ＴＯＥセキュリティオブジェクティブ－－ＴＯＥセキュリティオブジェクティブＴＯＥセキュリティオブジェクティブＴＯＥセキュリティオブジェクティブ － －－ － 環境セキュリティオブジェクティブ環境セキュリティオブジェクティブ環境セキュリティオブジェクティブ環境セキュリティオブジェクティブ ５： ５：５： ５： ＩＴセキュリティ要件ＩＴセキュリティ要件ＩＴセキュリティ要件ＩＴセキュリティ要件 －－－－ ＴＯＥセキュリティ機能要件ＴＯＥセキュリティ機能要件ＴＯＥセキュリティ機能要件ＴＯＥセキュリティ機能要件 － －－ － ＴＯＥセキュリティ保証要件ＴＯＥセキュリティ保証要件ＴＯＥセキュリティ保証要件ＴＯＥセキュリティ保証要件 － －－ － ＩＴ環境セキュリティ要件ＩＴ環境セキュリティ要件ＩＴ環境セキュリティ要件ＩＴ環境セキュリティ要件 ６： ６：６： ６： ＴＯＥサマリ仕様ＴＯＥサマリ仕様ＴＯＥサマリ仕様ＴＯＥサマリ仕様 －－－－ ＴＯＥセキュリティ機能ＴＯＥセキュリティ機能ＴＯＥセキュリティ機能ＴＯＥセキュリティ機能 － －－ － 保証手段保証手段保証手段保証手段 ７： ７：７： ７： ＰＰクレームＰＰクレームＰＰクレームＰＰクレーム －－－－ ＰＰ参照ＰＰ参照ＰＰ参照ＰＰ参照 － －－ － ＰＰ修整ＰＰ修整ＰＰ修整ＰＰ修整 － －－ － ＰＰ追加ＰＰ追加ＰＰ追加ＰＰ追加

ST作成フロー

TOE定義 保護資産定義 脅威抽出 セキュリティオブジェクティブの策定 セキュリティ要件の規定 TOEセキュリティ機能の規定 根拠の記述 ISO/IEC 15408の Part 2及び3

TOE： Target Of Evaluation (評価の対象)

ST序説

"　　　　TOETOETOETOE記述記述記述記述

"　　　　TOETOETOETOEセキュリティ環境セキュリティ環境セキュリティ環境セキュリティ環境

"　　　　セキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブ

"　　　　ITITITITセキュリティ要件セキュリティ要件セキュリティ要件セキュリティ要件

"　　　　TOETOETOETOEサマリ仕様サマリ仕様サマリ仕様サマリ仕様

"　ＰＰクレーム　ＰＰクレーム　ＰＰクレーム　ＰＰクレーム

"　　　　根拠根拠根拠根拠

ST序説の目的

!ST全体の序説であり、STやTOEの概要、CCへ

の適合性を、簡潔かつ十分に記述する。

!評価・認証済製品リストなどから製品を選択した

りするのに、まず本章の情報が用いられる。

ST序説の記述項目とその内容

!ＳＴ識別

" このSTを特定するための識別情報を記述する。 " 名称, バージョン, 作成日, 作成者など。 " STを管理、識別するのに十分な情報を記述する。

!ＳＴ概要

" STの概要と評価対象(TOE)の概要(名称, バージョン, 作成者なども含む）を述べる。

!CC 適合性クレーム

" CCへの適合形態（適合／拡張など）を明らかにする。 " 適合するISO 15408の版数を記述する。

ST序説の具体例

! ＳＴ識別

" 名称: ファイアウォール xxx セキュリティターゲット " バージョン: Vn.nn " 作成日: 2000年3月1日 " 作成者: 株式会社xxx

ST序説の具体例

(続き)

!

ＳＴ概要 " 本STは、パケットフィルタリング機能、アプリケーションゲートウェ イ機能、監査機能から構成されるファイアウォールソフトウェア のセキュリティについて記述する。 " TOEの概要は次の通りである。 • 製品名: ファイアウォール xxx • バージョン: Vm.mm • 製造者： 株式会社xxx ! CC 適合性クレーム " セキュリティ機能要件は、ISO/IEC 15408-2 Ver1.0 (12/1999)に 適合する " セキュリティ保証要件は、ISO/IEC 15408-3 Ver1.0 (12/1999)の EAL3に適合する

TOE記述

"　　　ST　STST序説ST序説序説序説

"　　　TOE　TOETOEセキュリティ環境TOEセキュリティ環境セキュリティ環境セキュリティ環境

"　　　セキュリティオブジェクティブ　セキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブ

"　　　IT　ITITセキュリティ要件ITセキュリティ要件セキュリティ要件セキュリティ要件

"　　　TOE　TOETOEサマリ仕様TOEサマリ仕様サマリ仕様サマリ仕様

"　ＰＰクレーム　ＰＰクレーム　ＰＰクレーム　ＰＰクレーム

"　　　根拠　根拠根拠根拠

TOE記述の目的

!TOE全体の動作がわかり、TOEのセキュリティ要

件を理解できるようにするためのものである。

!TOEの範囲とその境界を、物理的にも論理的に

も明らかにする。

TOE記述の記述項目とその内容

!製品／システム タイプ

" 製品やシステムの種別を指定する。

!使用目的

" TOEが、どの様な環境、構成、方法で利用され、どの 様な機能を持つかを、利用者や評価者にもわかるよう に記述する。

!評価の対象の範囲

" 製品、システムの全体の動作環境の中で、どの部分 がTOEかを明確に定義する。

TOE記述の具体例

!製品タイプ： ファイアウォール・ソフトウェア

!使用目的

" 内部のネットワークを外部のネットワークに接続すると、 種々の資源が使えるようになるが、外部ネットワーク からの攻撃にさらされる。本TOEは、内部ネットワーク と外部ネットワークを接続する唯一の点でファイアウォー ルとして動作し、外部からの内部ネットワークへの攻 撃の脅威を除去する。

TOE記述の具体例

(続き1)

! 実行環境

" TOEは、ハードウェアxx、OS xxのバージョンm.n上で動 作し、TCP/UDP/IPネットワーク環境を持つものとする。

! 機能概要

" IPパケットフィルタリング機能の説明 " アプリケーションゲートウェイ機能の説明 " 監査機能の説明

TOE記述の具体例

(続き2)

! TOE構造

" ハードウェア／ネットワーク環境図 クライアント サーバ ルータ ファイア ウォール （Unix サーバ） 外部ネットーク TOEが保護する対象

TOE記述の具体例

(続き3)

!TOE構造(続き)

" ファイアウォールのソフトウェア構造図 アプリケーションゲートウェイ TCP/UDP/IP IP パケットフィルタリング ロギング・デーモン 環境定義ファイル ログファイル TOEに属する アプリケーション層 カーネル層

TOEセキュリティ環境

"　　　　STSTSTST序説序説序説序説

"　　　　TOETOETOETOE記述記述記述記述

"　　　　セキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブ

"　　　　ITITITITセキュリティ要件セキュリティ要件セキュリティ要件セキュリティ要件

"　　　　TOETOETOETOEサマリ仕様サマリ仕様サマリ仕様サマリ仕様

"　ＰＰクレーム　ＰＰクレーム　ＰＰクレーム　ＰＰクレーム

"　　　　根拠根拠根拠根拠

TOEセキュリティ環境の目的

!セキュリティ環境における想定、保護資産に対する

脅威、組織のセキュリティ方針を記述することによ

り、セキュリティに対する要求の範囲と性質を定義

する。

TOEセキュリティ環境の記述項目

!想定 （Assumption）

" セキュリティに対する要求の範囲を定義するために、セ キュリティ環境に対する全ての想定を記述

!脅威 （Threats）

" 保護が必要な資産とそれに対する全ての脅威を記述

!組織のセキュリティ方針 （

OSP: Organisational Security Policies

）

TOEセキュリティ環境の位置付け

想定 TOEセキュリティ オブジェクティブ TOEセキュリティ環境 OSP IT環境 Non-IT環境 TOEで対応 環境で対応 脅威 環境セキュリティオブジェクティブ セキュリティオブジェクティブ 保護資産

!物理的想定

" TOEの物理的保護

!人的想定

" ユーザの役割、ユーザの責任、信頼の度合い

!接続上の想定

" 運用時の接続条件、ハード／ソフト構成

!TOEの使用法の想定

" アプリケーション、資産の価値、 使用上の制限

想定の記述内容

想定の記述内容

（続き）

!想定の記述例

" A.LOCATE （物理的想定の例） • TOEの処理資源はコントロールエリア内にある " A.ADMIN （人的想定の例） • TOEとその情報のセキュリティ管理を割当てられた1人以上の 人がいて、その人は役割の特権を乱用しないと信用できる " A.FIREWALL （接続上の想定の例） • ファイアウォールは、内部ネットワークと外部ネットワーク間の 唯一のネットワーク結合を形成する

脅威の記述内容

!保護資産

" 保護すべき資産の一覧

!ＴＯＥで対応する脅威

" 細かくなりすぎないようできるだけ一般的に記述

!環境で対応する脅威

" ＴＯＥがOSなどのセキュリティ機能を利用している場合

!ＴＯＥと環境で対応する脅威

!保護資源の記述例

TOEの保護すべき資源は以下の通りである。 " 内部ネットワークシステム • TOEは内部ネットワークを外部ネットワークと接続し、外部からの脅威に 対して内部ネットワークを保護する。 • TOEが保護する内部ネットワーク上の資産は、ネットワーク上の情報とサー ビスである。 " ファイアウォールシステム • TOEは、内部ネットワーク上の資産を保護するため、TOE自身の以下の 情報と資源を保護する。 – ファイアウォールソフトウェアの実行コード – 環境定義ファイル – フィルタリングルールファイル – ログファイル

脅威の記述内容

（続き１）

脅威の記述内容

（続き２）

!脅威は、以下の組み合わせで規定する

" 脅威エージェント • 誰が、攻撃するのか？ – 技能、利用可能資源、動機などで区別 " 資産 • 攻撃の対象となる資産はなにか？ " 攻撃 • どのように攻撃するのか？ – 攻撃の方法、機会、利用された脆弱性など • その結果どうなるのか？

脅威の記述内容

（続き３）

!脅威の記述例

" T.ACCESS • 内部ネットワークのユーザが、アクセス権が与えられていない TOEの情報やサービスにアクセスすることがある。 ここで • 脅威エージェント脅威エージェント ：内部ネットワークのユーザ脅威エージェント脅威エージェント • 資産資産資産資産 ：TOEの情報やサービス • 攻撃の形式攻撃の形式攻撃の形式攻撃の形式 ：情報へのアクセスやサービスの利用

脅威の記述内容

（続き４）

!脅威の記述例(続き)

" Ｔ.INTRUDE　　　　　（TOEで対応する脅威の例) • 外部ネットワーク上の攻撃者が内部ネットワーク上の情報 を改ざん、破壊、暴露することがある。 " ＴE.MODCONFIG　　 （環境で対応する脅威の例) • 攻撃者は、承認されていないパケットを通過させるために フィルタリングルールファイルを変更することがある。

組織のセキュリティ方針の記述内容

!TOEまたはＩＴ環境を管理する組織によって規定

された規則を記述

!注意事項

" セキュリティオブジェクティブが、想定および脅威から のみ派生するものである場合は不要

組織のセキュリティ方針の記述内容

（続き）

!組織のセキュリティ方針の記述例

"P.KNOWN

• TOEアクセスを与える前に、TOEの正当なユーザ が識別されなければならない。

記述上の注意事項

! 相反する規定事項がないこと。 " 悪い例１： 攻撃方法が脅威エージェントの能力範囲を超えた脅威 " 悪い例２： 「ＴＯＥをインターネットに接続してはならない｣という組織のセキュ リティ方針と、脅威エージェントがインターネットからの侵入者であ るような脅威 ! 規定内容に未定義個所や曖昧さがないこと。 ! 想定で記述した項目は脅威では記述しない。 ! セキュリティ機能自体の動作を迂回、破壊、非稼動にする 脅威は記述不要（共通の脅威であり、機能要件抽出時に 無条件に考慮する） ! ＴＯＥが物理的に分散している場合は、ＴＯＥセキュリティ 環境を個別に検討する必要がある。

セキュリティオブジェクティブ

"　　　　STSTSTST序説序説序説序説

"　　　　TOETOETOETOE記述記述記述記述

"　　　　TOETOETOETOEセキュリティ環境セキュリティ環境セキュリティ環境セキュリティ環境

"　　　　ITITITITセキュリティ要件セキュリティ要件セキュリティ要件セキュリティ要件

"　　　　TOETOETOETOEサマリ仕様サマリ仕様サマリ仕様サマリ仕様

"　ＰＰクレーム　ＰＰクレーム　ＰＰクレーム　ＰＰクレーム

"　　　　根拠根拠根拠根拠

セキュリティオブジェクティブの目的

!TOEセキュリティ環境で記述された脅威、 組織

のセキュリティ方針(OSP)、想定に対する対応方

針を書く。

!２つの側面：

" TOEで対応可能か？ 環境で対応可能か？ " 技術的対策(TOE、IT環境)、非技術的対策

セキュリティオブジェクティブの記述項目

!TOEセキュリティオブジェクティブ

" TOEにより対応し得る脅威に対する対応方針 " OSPを実現するためのTOEの対応方針

!環境セキュリティオブジェクティブ

" TOEだけでは対応できない脅威に対する対応方針 " TOEでは実現できないOSPから導出される対応方針 " TOE環境における想定から導出される対応方針 " 構成 • IT環境による対応方針(OS等で脅威に対応) • Non-IT環境による対応方針(人的／運用的側面)

セキュリティオブジェクティブの位置付け

想定 セキュリティオブジェクティブ セキュリティオブジェクティブセキュリティオブジェクティブ セキュリティオブジェクティブ TOE TOE TOE TOEセキュリティセキュリティセキュリティセキュリティ オブジェクティブ オブジェクティブ オブジェクティブ オブジェクティブ TOEセキュリティ要件 IT環境セキュリティ要件 TOE TOETOE TOEセキュリティ環境セキュリティ環境セキュリティ環境セキュリティ環境 OSP IT IT IT

IT環境環境環境環境 NonNonNonNon----ITITIT環境IT環境環境環境 TOEで対抗 環境で対抗 脅威 環境 環境 環境 環境セキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブ

セキュリティオブジェクティブの記述内容

!脅威、OSP 、想定に対して必要な対応方針を

抽出

" 各「TOEセキュリティオブジェクティブ」は、 「TOEによ り対応し得る脅威」あるいは「OSP」の少なくとも一つ に対応付けられなければならない。 " 各「環境セキュリティオブジェクティブ」は、「TOEだけ では対応できない脅威」、「TOEでは実現できない OSP」、あるいは「想定」の少なくとも一つに対応付け られなければならない。

セキュリティオブジェクティブの記述内容

(続き1)

!脅威、OSP 、想定に対して、抽出された対応方

針で十分であるかどうか検討

" 各脅威への対応が十分であること • 脅威の一掃 • 脅威の軽減 • 脅威の影響度の緩和 " 各OSPの実現に貢献していること " TOEの想定される使用方法をサポートしていること (環境セキュリティオブジェクティブ) " TOEの使用環境と矛盾しないこと (環境セキュリティオ ブジェクティブ)

セキュリティオブジェクティブの記述内容

(続き2)

!TOEあるいはIT環境によるセキュリティオブジェク

ティブ：

" 簡潔であること。実現方法の詳細は不要。 " 脅威あるいはOSPを踏まえてそのオブジェクティブが 「何を」解決するかを書く(howよりwhatを中心に) " 脅威やOSPに書かれた内容の言い直しでは意味がな い。 " セキュリティ機能要件への関連付けを明確化： • セキュリティ機能要件の各大分類毎に一つのセキュリティオ ブジェクティブを定義

!環境セキュリティオブジェクティブ：

セキュリティオブジェクティブの記述例

!記述形式例：

" TOEセキュリティオブジェクティブ： O.xxx

" IT環境セキュリティオブジェクティブ： OE.yyy " Non-IT環境： OE-NonIT.zzz, OE.zzz-NonIT

セキュリティオブジェクティブの記述例

(続き1)

!TOEあるいはＩＴ環境によるセキュリティオブジェク

ティブ

" O(E).RBAC ← T(E).ACCESS(アクセス権のないオブジェ クトへのアクセス)： • TOE(IT環境)はユーザがアクセス権限を持たない資源にアクセ スしたり、その上で操作を行うことを妨げなければならない。 " O(E).I&A ← T(E).ENTRY(システムへの不正侵入)： • TOE(IT環境)はTOEへのユーザのアクセスを許可する前に、ユー ザを一意に識別し、本人であることを確認(認証)しなければなら ない。 " O.IPADR_RANGE ← T.INTRUDE(外部からの不正アク セス)：

セキュリティオブジェクティブの記述例

(続き2)

!Non-IT環境によるセキュリティオブジェクティブ

" OE-NonIT.AUDITLOG ← TE.UNDETECTED(攻撃未検 知)： • TOE管理者は監査機能が確実に使用および管理されることを 保証しなければならない。 " OE-NonIT.PHYSICAL ← A.PHYSICAL(ハード/ソフト の物理的保護)： • TOE責任者はTOEがITセキュリティを損なう恐れのある物理的 攻撃から保護されることを保証しなければならない。

ITセキュリティ要件

"　　　　STSTSTST序説序説序説序説

"　　　　TOETOETOETOE記述記述記述記述

"　　　　TOETOETOETOEセキュリティ環境セキュリティ環境セキュリティ環境セキュリティ環境

"　　　　セキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブ

"　　　　TOETOETOETOEサマリ仕様サマリ仕様サマリ仕様サマリ仕様

"　ＰＰクレーム　ＰＰクレーム　ＰＰクレーム　ＰＰクレーム

"　　　　根拠根拠根拠根拠

ITセキュリティ要件の目的

!TOEセキュリティ要件（TOEセキュリティ機

能要件およびTOEセキュリティ保証要件）

およびIT環境セキュリティ要件を定義する。

ITセキュリティ要件の記述項目

!TOEセキュリティ要件

" TOEセキュリティ機能要件 • TOEで実現する機能要件を記述する。 • TOEの機能強度を記述する。 " TOEセキュリティ保証要件 • TOEの評価保証レベル（EAL）を記述する。

!IT環境セキュリティ要件

• ＩＴ環境で実現する機能要件を記述する。

ITセキュリティ要件の位置付け

TOE TOETOE TOEサマリ仕様サマリ仕様サマリ仕様サマリ仕様 TOE TOETOE TOEセキュリティセキュリティセキュリティセキュリティ 機能 機能 機能 機能要件要件要件要件 IT ITIT IT環境環境環境環境 セキュリティ要件 セキュリティ要件 セキュリティ要件 セキュリティ要件 IT IT IT ITセキュリティ要件セキュリティ要件セキュリティ要件セキュリティ要件 TOEセキュリティ オブジェクティブ IT環境 Non-IT環境 環境セキュリティオブジェクティブ セキュリティオブジェクティブ セキュリティオブジェクティブ セキュリティオブジェクティブ セキュリティオブジェクティブ TOE TOETOE TOEセキュリティセキュリティセキュリティセキュリティ 保証 保証 保証 保証要件要件要件要件 TOEセキュリティ機能 TOE保証手段

セキュリティ機能要件の構成

FAU ・ ・ ・ ・ ・ ・ 機能クラス 機能ファミリ 機能コンポーネント FAU_ARP.1.1 FAU_ARP.1.1 FAU_ARP.1.1 FAU_ARP.1.1 FAU_GEN.1.1 FAU_GEN.1.1 FAU_GEN.1.1 FAU_GEN.1.1 FAU_GEN.1.2 FAU_GEN.1.2 FAU_GEN.1.2 FAU_GEN.1.2 FAU_GEN.1.3 FAU_GEN.1.3 FAU_GEN.1.3 FAU_GEN.1.3 FAU_GEN.2.1 FAU_GEN.2.1 FAU_GEN.2.1 FAU_GEN.2.1 FAU_ARP FAU_GEN FAU_ARP.1 FAU_GEN.1 FAU_GEN.2

要件の階層構造

クラス クラス クラス クラス ファミリ ファミリファミリ ファミリ1111 1111 2222 3333 ファミリ ファミリファミリ ファミリ2222 1 11 1 2 22 2 3333 ファミリ ファミリファミリ ファミリ3333 1111 2 22 2 4 44 4 3 33 3 コンポーネント コンポーネント コンポーネント コンポーネント

TOEセキュリティ機能要件の選び方

!セキュリティオブジェクティブに対応する機能クラ

スから必要な要件を選ぶ。

!選んだ要件と依存関係にある要件も加えて選択

する。但し、TOEの特性に応じて、依存関係にある

全ての要件を選ぶ必要はない。

" 要件間の依存性はISO 15408で規定されているので、 それを参照のこと。

!選ばれた要件群がセキュリティオブジェクティブを

十分に満足するかどうかを検討する。

機能要件の記述内容

!TOEおよびIT環境で実現する機能要件を具体的

に記述する。ISO 15408の記述をそのまま使用す

るケースと、修整して使用するケースがある。

" 修整するケース

• AssignmentAssignmentAssignmentAssignment（（（（割付）割付）割付）割付）：指定された項目を具体化 • SelectionSelectionSelectionSelection（（（（選択）選択）選択）選択）：指定された項目の中から選択 • RefinementRefinementRefinementRefinement（（（（詳細化）詳細化）詳細化）詳細化）：必要に応じて具体化

割付の例

!ISO 15408 の記述

" FAU_STG.3.1 TSFは、監査証跡が［割付：事前に定義 された限界値］を超えた場合、［割付：監査記録失敗 の恐れ発生時のアクション］を取らねばならない。

!記述例

" FAU_STG.3.1 TSFは、監査証跡が容量の９０％を超え た場合、それを警告するアクションを取らねばならな い。

選択の例

!ISO 15408 の記述

" FAU_STG.1.2 TSFは、監査記録に対する改変を［選択： 防御、検出］しなければならない。

!記述例

" FAU_STG.1.2 TSFは、監査記録に対する改変を検出 しなければならない。

詳細化の例

!ISO 15408 の記述

" FIA_UAU.1.2 TSFは、ユーザのためにTSFによって行 われる他のアクションが実行される前に、各ユーザが 認証に成功する事を要求しなければならない。

!記述例

" FIA_UAU.1.2 TSFは、ユーザのためにTSFによって行 われる他のアクションが実行される前に、各ユーザが バイオメトリックシステムを使用した認証に成功する事 を要求しなければならない。

繰り返しの例

!ISO 15408 の記述

" FAU_SAR.3.1 TSFは、[割付：論理的相関を持った尺度] に基づいた監査データの［選択：検索、ソート、整列］を 実行する能力を提供しなければならない。

!記述例

" FAU_SAR.3.1(1) TSFは、タイムスタンプだけ、ユーザだ け、ユーザとタイムスタンプ、ユーザまたはタイムスタン プに基づいた監査データの検索を実行する能力を提供 しなければならない。 " FAU_SAR.3.1(2) TSFは、最初から最後までのタイムスタ ンプに基づいた監査データの整列を実行する能力を提 供しなければならない。

機能要件の記述内容(監査)

!機能要件として、監査レベルと監査対象を記述す

る。

" 監査レベル • Minimal（最小） • Basic（基本） • Detailed（詳細） " 監査対象は、各機能要件毎に規定されている事象を一 覧表で示す。 " 監査データを記録しない場合、この記述は不要。

TOEセキュリティ機能強度の記述

!TOEが持つべき最小限の強度を規定する。個々

の要件に対して、それを上回る強度を指定するこ

とができる。

" 確率メカニズムあるいは順列/組み合わせメカニズム によって実装されるセキュリティメカニズムを有する場 合に必要となる。 " 機能強度レベル • SOF-basic ：低位の攻撃者に対抗可能 • SOF-medium ：中位の攻撃者に対抗可能 • SOF-high ：高位の攻撃者に対抗可能

!具体例

" 本TOEの機能強度はSOF-basicである。

TOEセキュリティ保証要件の記述内容

!TOEへの保証要件を記述する。ISO 15408 Part3

の保証パッケージ(EAL1～7)の中から選ぶことも

できる。商用製品ではEAL2～4で十分である。

!具体例

" 本TOEは評価保証レベルとして、EAL3を満たすものと する。

!TOEが依存するセキュリティ要件を記述する。

" ISO 15408 Part2に記載されている機能要件を用いて記述 する。

!具体例

" FAU_SAR.2 OSOSOSOSは、明示的な読み込み権限のある利用者 以外には監査記録の読み出しを禁止しなければならない。

IT環境でのセキュリティ要件の記述内容

TOE

TOE

TOE

TOE

ＩＴ環境（

OS

OS

OS

OS等）

等）

等）

等）

TOEサマリ仕様

"　　　　STSTSTST序説序説序説序説

"　　　　TOETOETOETOE記述記述記述記述

"　　　　TOETOETOETOEセキュリティ環境セキュリティ環境セキュリティ環境セキュリティ環境

"　　　　セキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブ

"　　　　ITITITITセキュリティ要件セキュリティ要件セキュリティ要件セキュリティ要件

"　ＰＰクレーム　ＰＰクレーム　ＰＰクレーム　ＰＰクレーム

"　　　　根拠根拠根拠根拠

TOEサマリ仕様の目的

!TOEセキュリティ要件で記述された内容の具体

的な実現方法を定義する。

!TOEセキュリティ機能要件とTOEセキュリティ保

証要件のそれぞれに対応して記述する。

TOEサマリ仕様の記述項目

!TOEセキュリティ機能

" TOEのセキュリティ機能(TSF)を定義。 " ここで定義したTSFが各設計資料に順次ブレークダウ ンされる。

!保証手段

" 評価保証レベル(EAL)の保証要件が満たされているこ とを示す。 " 保証要件を満たすために用いる手段を記述する。

TOEセキュリティ機能の記述内容

!各セキュリティ機能(SF)の実現方法を、自然言語

を使って分かりやすく記述する。

" セキュリティ機能の実現方法 " TOEセキュリティ機能要件(SFR)との関係 • SFとSFRは双方向にマッピングされねばならない。 " セキュリティメカニズムに対応するSF • AVA_SOF.1がセキュリティ保証要件に含まれる場合、関連す るSFを識別する。

TOEセキュリティ機能の具体例

!セキュリティ機能を分かりやすく分類し、さらに小

項目に分けて仕様を記述する。

" 分類の例: • ファイアウォールを対象としたSTの例: – IPパケットフィルタリング機能 – アプリケーションゲートウエイ機能 – 監査機能

TOEセキュリティ機能の具体例

(続き1)

!TOEセキュリティ機能

" IPパケットフィルタリング機能 IPF.1: IPパケットフィルタリング機能は、ネットワークドライバと IPの間で××OSのカーネル空間において動作する。 この機能は、外部ネットワーク(敵対的攻撃が予想され る)と内部ネットワークとの間におかれたファイアウォー ルにおいて、あらかじめ設定した条件に従ってIPパケッ トの通過を制御する。 IPF.2: ・・・

TOEセキュリティ機能の具体例

(続き2)

!セキュリティ機能要件との対応関係の説明

" 対応関係は、以下のような表にまとめると分かりやすい*_。 X X X アプリケーション ゲートウエイ X X X IPパケットフィルタ リング機能 ・・・ セキュリティ機能要件コンポーネント セキュリティ 機能 FD P_ IF C.1 FD P_ IF F.1 FA U_ ARP.1 FA U_ GE N .1 FA U_SAA.1 FA U_ SAR.1 FMT _MSA.1 FMT _MT D.1

保証手段の記述内容

!セキュリティ保証要件をすべて満たす手段を説

明する。

" EAL4以下では、このセクションの記述は比較的簡単 なものになる。 " セキュリティ保証要件に対応し、具体的な保証手段を 記述する。 • ISO 15408 Part3に、EALの各レベルごとに評価対象となる保 証コンポーネントが書かれている。そのコンポーネントが要求 する手段(具体的には、評価のために提出すべき資料)を記 述する。

保証手段の具体例

!初めの部分

" 以下の例のように、保証要件が満たされることを明 記する。このあとに証拠となる具体的な資料を列記 する。 「××(TOEの名称)は、評価保証レベル(EAL)nnnn* _{に対応する保} 証要件を満たす。保証要件を満たす手段を以下に示す。」 * nnnn は評価保証レベルの数値(1～7)

保証手段の具体例

(続き1)

!評価保証レベル(EAL)に対応する要件に従い、

以下の例のように要件を満たす手段を記述する

。 " 構成管理: • TOEの構成管理は以下の文書に基づいて行われる。始めの 文書はTOEの構成を定義する。2番目の文書は、××会社に おける構成管理に関する規定である。 – ××システム機能仕様書 – 構成管理手順書(第××版) ・・・ " 開発: • TOEの開発は以下の文書に基づいて行われる。 – ××システム機能仕様書 – ××システム構造設計書

保証手段の具体例

(続き2)

!保証要件と保証手段との対応を説明する。

" 表を使ってマッピングを示すと分かりやすい。 • 前のスライドに示した説明で要件と手段の対応が明確ならば、 特に説明を追加しなくてもよい。 • 以下のような表による説明は、根拠の章でおこなってもよい。 ここで表を使用した場合、根拠ではそれを引用すればよい。 保証手段 セキュリティ保証要件コンポーネント ・・・

PPクレーム

"　　　　STSTSTST序説序説序説序説

"　　　　TOETOETOETOE記述記述記述記述

"　　　　TOETOETOETOEセキュリティ環境セキュリティ環境セキュリティ環境セキュリティ環境

"　　　　セキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブ

"　　　　ITITITITセキュリティ要件セキュリティ要件セキュリティ要件セキュリティ要件

"　　　　TOETOETOETOEサマリ仕様サマリ仕様サマリ仕様サマリ仕様

"　根拠　根拠　根拠　根拠

PPクレームの目的

!PP(プロテクションプロファイル)への適合を宣言

" 評価済みで公開されているPPへの適合を宣言 • PPへの部分的適合の宣言は不可 • PPへの適合の宣言がない場合、適合するPPがない旨を記述 »PPは、製品のカテゴリーについて共通のセキュリティ要件を記載 した要求仕様書 »TOEサマリ仕様の記述がないことを除いて、ほぼセキュリティター ゲットと同様なもの PPとは

PPクレームの記述項目

!適合を宣言するPPごとに、以下の項目に対する

説明を行う。

" PP参照 " PP修整 " PP追加

PP参照の記述内容

!適合を宣言するPPへの参照情報を記述する。

!適合宣言に関して必要な説明を加える。

PP修整の記述内容

!PPに対して認められているセキュリティ要件への

操作（選択あるいは割付）がある場合、それを完

了（修整）していることを明確に記述する。

!PPのセキュリティ要件の条件をさらに限定するこ

とが必要な場合、それを明確に記述する。

PP追加の記述内容

!PPのセキュリティオブジェクティブおよびセキュリ

ティ要件に追加するTOEのセキュリティオブジェ

クティブおよびセキュリティ要件があれば、それを

明確に記述する。

根拠

"　　　　STSTSTST序説序説序説序説

"　　　　TOETOETOETOE記述記述記述記述

"　　　　TOETOETOETOEセキュリティ環境セキュリティ環境セキュリティ環境セキュリティ環境

"　　　　セキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブセキュリティオブジェクティブ

"　　　　ITITITITセキュリティ要件セキュリティ要件セキュリティ要件セキュリティ要件

"　　　　TOETOETOETOEサマリ仕様サマリ仕様サマリ仕様サマリ仕様

"　ＰＰクレーム　ＰＰクレーム　ＰＰクレーム　ＰＰクレーム

根拠の目的

!セキュリティターゲットが完全で一貫したもので

あるという根拠を提示する。

根拠の記述項目

!セキュリティオブジェクティブ根拠

" TOEセキュリティ環境に対応するセキュリティオブジェ クティブのセットが効果的で必要かつ十分なものであ ることを示す。

!セキュリティ要件根拠

" セキュリティ要件のセットがセキュリティオブジェクティ ブを満たす必要かつ十分なものであることを示す。

!ＴＯＥサマリ仕様根拠

" TOEのセキュリティ機能がすべてのセキュリティ要件 を満たす完全で一貫したセットであることを示す。

!PPクレーム根拠

" PPクレームの正当性を示す。

セキュリティオブジェクティブ根拠の記述内容

!セキュリティオブジェクティブが、脅威に対応し、

想定と組織のセキュリティ方針に対応する、効果

的で必要かつ十分なものであることを示す。

" 脅威への対応 " 想定への対応 " 組織のセキュリティ方針 への対応

!対応表を使ったマッピング

• 個々の対応策が、脅威、想定、組織のセキュリティ方針と双 方向に対応し、互いの対応に漏れがないことを示す。

!記述による説明

脅威 想定 組織のセキュリティ方針 セキュリティオブジェクティブ

セキュリティオブジェクティブ根拠の記述内容

(続き)

!脅威への対応の具体例

O.IDAUTH X O.SINUSE X X O.MEDIAT X O.SECSTA X O.SECFUN X X

T.NOAUTH T.REPEAT T.REPLAY T.M

E DIAT 対応表： 説明文： T.NOAUTH: O.IDAUTHによって正当なユーザだけ にTOEのアクセスを許可し、O.SECFUN によってセキュリティ機能へのアクセス を 管 理 者 だ け に 限 定 す る 。 ま た 、 O.SECSTAによって、TOE立上げ時の セキュリティを確保する。この3つを実 施することで、正規のユーザでないも のがTOEをアクセスする脅威に対抗で きる。

セキュリティ要件根拠の記述内容

!TOEとその環境のセキュリティ要件が、一体として

セキュリティオブジェクティブを満たし、適切で必要

かつ十分なものであることを以下の内容で説明す

る。

" セキュリティ機能要件とセキュリティオブジェクティブの対応 " セキュリティ保証要件の適切性 " セキュリティ機能強度の一貫性 " セキュリティ要件の依存性 " セキュリティ要件の相互補完性 セキュリティオブジェクティブ セキュリティ機能要件 セキュリティ保証要件

セキュリティ要件根拠の記述内容

（続き1）

!セキュリティ機能要件とセキュリティオブジェクティ

ブの対応

" 対応表を使ったマッピング（対応に漏れがないこと） " セキュリティ機能要件の十分性の説明を記述 セキュリティオブジェクティブ セキュリティ機能要件

セキュリティ要件根拠の記述内容

（続き2）

!セキュリティ機能要件とセキュリティオブジェクティ

ブの対応の具体例

FMT_SMR.1 X FIA_ATD.1 X X FIA_UID.2 X X

O.IDAUTH O.SINUSE O.ACCOUNT O.SECFUN

対応表： 説明文： O.IDAUTH: FIA_ATD.1によって個々のユーザ の セ キ ュ リ テ ィ 属 性 を 維 持 し 、 FIA_UID.2 と FIA_UAU.1 に よっ て ユーザがTOEの各機能を使用する 前にユーザ識別と認証(本人の確 認)を行う。この3つの機能要件に よ っ て 、 正 当 な ユ ー ザ だ け へ の

セキュリティ要件根拠の記述内容

（続き3）

!セキュリティ保証要件の適切性

" 保証要件の適切性については次の点を考慮する。

• 脅威や攻撃レベルに対して十分なものであるかどうか？

セキュリティ要件根拠の記述内容

（続き4）

!セキュリティ保証要件の適切性の具体例

「本TOEは、正当な使用者のみが入室できる、制限された管理エリア 内で使用することを想定する。想定する攻撃力は低レベルである。 また、開発中に、設計書やソースコード等の機密性や保全性が維持 される必要がある。 以上より、本STが評価保証レベルEAL3を満足することは、適切であ る。」

セキュリティ要件根拠の記述内容

（続き5）

!セキュリティ機能強度の一貫性

" 確率メカニズムあるいは順列/組み合わせメカニズムに よって実装されるセキュリティメカニズムを持つTOEにお いては、セキュリティ機能強度の宣言が必要である。 " セキュリティ機能強度の宣言がある場合、ＩＴセキュリティ 要件として宣言する最小機能強度について、以下の一 貫性を示す。 • 個別の機能要件で宣言する機能強度と一貫していること • セキュリティオブジェクティブと一貫していること

セキュリティ要件根拠の記述内容

（続き6）

!セキュリティ要件の依存性

" セキュリティ機能要件、セキュリティ保証要件間の依存 性が満たされていることを示す。 " ISO 15408 パート2、パート3で定義されているセキュリ ティ要件については、要件間の依存性が規定されてい る。選択した要件がこの規定された依存性を満たして いることを、表を用いて説明する。 " 依存関係にある要件で選ばれなかったものがある場合、 その正当性を説明する。

セキュリティ要件根拠の記述内容

（続き7）

!セキュリティ要件の依存性の具体例

説明文： 上記対応表により、セキュリティ要件（コンポーネント）の依存性が 全て満たされていることが示される。 １ FAU_GEN.1 監査データ生成 FPT_STM.1 ２６ Y ２ FAU_SAR.1 監査レビュー FAU_GEN.1 １ Y ３ FAU_STG.1 監査データ記憶域の保護 FAU_GEN.1 １ Y ４ FAU_STG.4 監査データ消失の防止 FAU_STG.1 ３ Y ５ FIA_UID.2 ユーザ識別の優先 なし － N/A No コンポーネント コンポーネント名 依存_{コンポーネント} 対応_No 依存性を_満足 対応表：

セキュリティ要件根拠の記述内容

（続き8）

!セキュリティ要件の相互補完性

" 要件間の依存性が満たされていることを示す。 " 要件間に一貫性があることを示す。 " 以下の攻撃に対抗する要件を備えていればそれを示 す。 • バイパス攻撃 ．．．．セキュリティ機能を迂回する。 • タンパリング攻撃 ．．．セキュリティ機能を改ざんする。

セキュリティ要件根拠の記述内容

（続き9）

!セキュリティ要件の相互補完性の具体例

要件 バイパス攻撃 タンパリング攻撃 不活性攻撃 攻撃を防御する要件 FDP_IFC.1 FDP_IFF.1 FPT_RVM.1 FPT_SEP.1 FAU_GEN.1 FPT_RVM.1 FPT_RVM.1 FPT_RVM.1 FPT_SEP.1 FPT_SEP.1 FAU_GEN.1 FAU_GEN.1 FPT_RVM.1 バイパス防御 FPT_SEP.1 ドメインの分離 FAU_GEN.1 監査生成 N/A N/A N/A N/A N/A N/A N/A N/A

ＴＯＥサマリ仕様根拠の記述内容

!TOEのセキュリティ機能と保証手段のセットが、一

体としてTOEのセキュリティ要件を満たしているこ

とを以下の内容で説明する。

" セキュリティ機能のセキュリティ機能要件への対応 " 保証手段のセキュリティ保証要件への対応 " 機能強度の正当性 セキュリティ機能要件 セキュリティ保証要件 セキュリティ機能強度 ITセキュリティ要件

92

ＴＯＥサマリ仕様根拠の記述内容

(続き1)

!セキュリティ機能のセキュリティ機能要件への対応の

具体例

セキュリティ機能 セキュリティ機能要件 説明文： FAU_GEN.1: AUD.1はTOE全体のログ収集機能を定義し、AUD.2はアラーム生成時のログ収 集機能を含み、AUD.3は管理者がTOEの状態をモニタするときのログ関連の機能 定義を含む。この3つのセキュリティ機能によって、FAU_GEN.1の要件がすべて満 たされる。 ☆セキュリティ機能とセキュリティ機能要件の対応が自明 FAU_ GEN.1 FAU_ SAR.1 FAU_ STG.1 FAU_ STG.4 FMT_MOF.1 FMT_MSA.1 FDP_IFC.1 FDP_IFF. 1 IPパケットフィルタリング機能 監査／管理機能 IPF.1 AUD.1 AUD.2 AUD.3 AUD.7 X X X X X X X X X X 対応表：

ＴＯＥサマリ仕様根拠の記述内容

（続き2）

!保証手段のセキュリティ保証要件への対応の具体例

ACM_CAP.3 ACM_SCP.1 ADO_

DEL.1 ADO_ IGS.1 ADV_ FSP.1 ADV_ HLD.2 ADV_ RCR.1 AGD_ ADM .1 AGD_ USR.1 ALC_ DVS.1 ATE_ COV.2 ATE_ DPT.1 ATE_ FUN.1 ATE_ IND.2 AVA_ MSU.1 AVA_ SOF.1 AVA_ VLA.1 X 保証要件 保証手段 構成管理手順書 （第ＸＸ版） XXシステム 機能仕様書 X X 説明文： XXシステム リファレンス X 対応表：

ＴＯＥサマリ仕様根拠の記述内容

（続き3）

!機能強度の正当性

" セキュリティ機能強度の宣言がある場合、その仕様が 適切であり、宣言した強度が実現できるものであるこ とを説明する。 " セキュリティ機能強度の宣言がない場合、機能強度 の宣言は不要であることの説明をする。

PPクレーム根拠の記述内容

!適合を宣言するPPのセキュリティオブジェクティ

ブおよびセキュリティ要件と、本STのそれらとの

相違を説明する。

" 相違がある場合、その正当性が説明されなければな らない。 " PPクレームがない場合、あるいは上記の相違がない 場合、この項は不要である。

参考情報

!セキュリティ評価基準

" ISO/IEC 15408（Common Criteria for Information Technology Security Evaluation）

• http://csrc.nist.gov/cc/ccv20/ccv2list.htm

" CCセキュリティ要件解説書

参考情報

(続き1)

!ST作成のためのガイドライン

" Guide for the production of PPs and STs (ISO/IEC PDTR 15446)

• http://csrc.nist.gov/cc/pp/pplist.htm

" CS2 - Protection Profile Guidance for Near-Term COTS (Version 1.0)

参考情報

(続き2)

!認証済みST（例）

" Cisco PIX Firewall 520 " Check Point Firewall-1

• http://www.radium.ncsc.mil/tpep/library/fers/cc_fers.html

!認証済みPP（例）

" Controlled Access Protection Profile " Labeled Security Protection Profile

" Traffic Filter Firewall Protection Profile

参考情報

（続き3）

!関連機関、組織

" Common Criteria project

• http://csrc.nist.gov/cc/

" ISO/IEC JTC1 ( SC27 – IT Security Techniques )

• http://www.jtc1.org/

" 情報処理振興事業協会(IPA)セキュリティセンター