Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 1

2002年12月6日

情報処理振興事業協会(IPA) セキュリティセンター 

評価認証グループ   原田 敬

      久田 俊哉

目 次

 ISO/IEC 15408とは

エンドユーザ

IC ｶｰﾄﾞ

記憶媒体

ネットワーク

情 報 処 理 シ ス テ ム

研究情報

経営情報

医療カルテ

顧客情報

取引情報

_契約書

PC

大 丈 夫 か な ？

情報セキュリティ確保の必要性

システム

運用者

製品／システム

開発者

セキュリティ機能

パスワード管理

。。。

運用ガイドライン

認証。。。

暗号化

ISO/IEC 15408の位置づけ

・ISO/IEC 15408(CC)

・PKI、暗号等の個別技術

製品・

システム

・ISO/IEC 17799

・BS 7799

・ISO/IEC TR13335(GMITS)

・ISO/IEC 21827(SSE-CMM)

・ISMS認証基準

・ISO/IEC 21827(SSE-CMM)

・ISO/IEC TR 15504

・CMMI

・ISO 9000

プロセス

(組織)

運用・管理

開発・技術

相互承認

TCSEC

(Orange Book)

1983

ITSEC ：Information Technology Security Evaluation Criteria

TCSEC ：Trusted Computer System Evaluation Criteria

ITSEC

1991

欧州各国ごと

の評価基準

欧米でのセキュリティ評価の歴史

1999：6月に国際規格(IS)として承認。

12月発行。

ISO/IEC 15408

CCと呼ぶことが規格

で認められている。

V1.0：1996

V2.0：1998／V2.1：1999

(ISO/IEC JTC 1／SC 27／WG 3へ提案)

CC

(Common Criteria)

国際的な市場

↓

評価基準統一の

必要性

* CCRA加盟国の認証機関が公開しているリストより集計（2002年11月現在）。

60

26

34

0

01

534

187

261

86

合計

77

68

9

0

評価中

61

44

17

0

02

65

31

31

3

2000

57

14

41

2

 99

40

3

32

5

 98

36

1

28

7

 97

22

18

4

 96

28

17

11

 95

44

25

19

 94

12

7

5

 93

7

1

6

 92

4

0

4

 91

21

1

20

1990以前

合計(年)

CC

ITSEC

TCSEC

セキュリティ評価・認証済み製品件数

‹

開発／製造／運用に関わった資材を検査して大丈夫と宣言！

開発／製造／運用に関わった資材を検査して大丈夫と宣言！

・

セキュリティターゲット

*

（セキュリティ脅威分析、装備すべき機能、品質対策など）

・プログラム設計書・ソースコード・オブジェクトコード

・テスト仕様書・

脆弱性分析書

・マニュアル・運用規則 など

検査の対象物候補 ：

*

*

セキュリティターゲット

セキュリティターゲット

は、「セキュリティ設計仕様書」という位置付け

は、「セキュリティ設計仕様書」という位置付け

(

(

ISO/IEC 15408

ISO/IEC 15408

で重要

で重要

)

)

ISO/IEC 15408の考え方

セキュリティターゲット、

マニュアル、テスト

*

*

大丈夫さの度合いを、この規格では

大丈夫さの度合いを、この規格では

「

「

EAL

EAL

：

：

Evaluation Assurance Level

Evaluation Assurance Level

」

」

と呼ぶ

と呼ぶ

 （注：セキュリティの強度を示す尺度ではない）。

 （注：セキュリティの強度を示す尺度ではない）。

‹大丈夫さの度合い（

検査対象物の範囲とその内容

_{）を評価*}

EAL1

_EAL4

＋ ソースコード

EAL7

＋ 数学的証明

 (形式的記述言語)

リスク

ISO/IEC 15408の

評価対象外

国

際

標

準

「リスク」と「セキュリティ対策」のバランス

・ リスクに応じたセキュリティ対策の明確化 → 最適な投資効果

・ 必要なセキュリティ要件を明確化

• 「セキュリティ対策の策定」と「有効な対策の実施」

ISO/IEC 15408の意義

セキュリティ対策

技術

_{運用／管理}

・ﾕｰｻﾞ認証

 etc..

・ﾃﾞｰﾀ暗号化

・セキュリティ教育

・運用ｶﾞｲﾄﾞﾗｲﾝ

etc..

セキュリティターゲット

‹ 

Part 1 （概説と一般モデル）

¾ セキュリティ評価の背景、評価のアプローチ

¾ 

セキュリティターゲット

（ST： Security Target ）の仕様    

¾ 

プロテクションプロファイル

（PP： Protection Profile ）の仕様

‹ 

Part 2 （セキュリティ機能要件）

¾ 

セキュリティ機能要件集

（１１分類）

    ・セキュリティに関する機能のふるまいの要件

      ∼ 監査、データ保護、識別・認証、等

‹ 

Part 3 （セキュリティ保証要件）

¾ 

セキュリティ保証要件集

（１０分類）

       ・ セキュリティ機能が正確に実装されていることを確認する要件

      ∼ 設計、テスト、管理、ドキュメント、等

     ・ 脅威への脆弱性に関する要件

¾ 

評価保証レベル

の規定 （EAL1∼EAL7）

ISO/IEC 15408の構成

← どのような機能を備えるか。

 ← 検査の内容。

 ← 検査の厳密性、深さ。

¾ TOEの定義

¾ TOEセキュリティ環境

¾ セキュリティ対策方針

¾ セキュリティ要件

¾ セキュリティ要約仕様

¾ 

ＰＰ主張

_(*)

¾ 根拠

セキュリティターゲット(ST)

‹

‹

 

 

評価を受ける

評価を受ける

TOE

TOE

に対して

に対して

ST

ST

を作成する（

を作成する（

TOE

TOE

に固有）。

に固有）。

‹ ISO/IEC 15408のPart 1に基づき、次のような内容で記述。

TOE ： Target Of Evaluation （評価の対象）

* STがPPを参照する場合に記述

Part 2：機能要件

Part 3：保証要件

¾ TOEの定義

¾ TOEセキュリティ環境

¾ セキュリティ対策方針

¾ セキュリティ要件

¾ 根拠

‹

‹

 

 

基本的に調達側の立場で作成。セキュリティ要求仕様書。

基本的に調達側の立場で作成。セキュリティ要求仕様書。

‹ ISO/IEC 15408のPart 1に基づき、次のような内容で記述。

Part 2：機能要件

Part 3：保証要件

¾ TOEの定義

¾ TOEセキュリティ環境

¾ セキュリティ対策方針

¾ セキュリティ要件

¾ セキュリティ仕様

¾ 

ＰＰ宣言

(*)

¾ 

根拠

Protection Profile

Security

Target

例：

政府向けDBMS用PP

ICカード用PP

PKI用PP

Banking用PP

ベンダー

業界、ユーザ, etc

プロテクションプロファイル(PP)

セキュリティ評価基準

ＩＳＯ／ＩＥＣ１５４０８

評価手法

評価の枠組み

評価

開発

開発者と評価者から見たSTの位置付け

評価結果

セキュリティ

ターゲット(ST)

プロテクション

プロファイル（PP）

TOE と

ドキュメント類

フィードバック

１．

セキュリティ監査  

(Security audit

：

FAU

)

２．

通信  

(Communication

：

FCO

)

３．

暗号サポート  

(Cryptographic support

：

FCS

)

４．

利用者データ保護  

(User data protection

：

FDP

)

５．

識別と認証  

(Identification and authentication

：

FIA

)

６．

セキュリティ管理  

(Security management

：

FMT

)

７．

プライバシー  

(Privacy

：

FPR

)

８．

_{TOEセキュリティ機能(TSF)の保護}

(Protection of the TSF

：

FPT

)

９．

資源利用  

(Resource utilisation

：

FRU

)

１０． TOEアクセス  

(TOE access

：

FTA

)

１１． 高信頼パス／チャネル  

(Trusted path/channels

：

FTP

)

‹

‹

  ISO/IEC 15408のPart 2にて、以下の１１クラスに分類されている。

 

セキュリティ機能要件

＊ ２から９の保証要件に基づきTOEを評価する。

１．

_PP評価

(PP evaluation

：

APE

)

２．

_ST評価

(ST evaluation

：

ASE

)

３．

構成管理 

(Configuration management

：

ACM

)

４．

配付と運用  

(Delivery and operation

：

ADO

)

５．

開発      

(Development

：

ADV

)

６．

ガイダンス文書  

(Guidance documents

：

AGD

)

７．

ライフサイクルサポート 

(Life cycle support

：

ALC

)

８．

テスト      

(Tests

：

ATE

)

９．

脆弱性評定  

(Vulnerability assessment

：

AVA

)

１０． 保証維持   

(Maintenance of assurance

：

AMA

)

＊

＊

＊

＊

＊

＊

＊

＊

‹

‹

  ISO/IEC 15408のPart 3にて、以下の１０クラスに分類されている。

 

セキュリティ保証要件

モジュールレベルまで確認、実装表現レベル(最も具体レベルの設計: 例え

ばソースコードレベル)の部分的確認、普通程度の攻撃に対抗

実装表現レベルのセキュリティ機能を全て確認、サブシステムレベルまでの

設計が半形式的表現、隠れチャネル分析、高度の攻撃に対抗

サブシステムレベルまでの設計が形式的表現、開発者による分析・テスト

のすべてを評価者が再確認

EAL7

モジュールレベルまでの設計が半形式的表現、非常に高度の攻撃に対抗

EAL6

EAL5

EAL4

サブシステムレベルまで開発者テスト結果の確認、構成管理システム使用

の確認、開発環境の確認、開発者による誤使用分析

EAL3

サブシステムレベルまでセキュリティ機能設計の確認、構成管理の確認、

開発者による機能強度・脆弱性分析、評価者による侵入テスト

EAL2

セキュリティ機能仕様、マニュアルの確認、評価者によるテスト

EAL1

評価の概要

レベル

評価保証レベル

(EAL：Evaluation Assurance Level)

‹

‹

 

 

ＥＡＬは評価の厳格さのレベルを示す。EALの上位（番号の大きい方）レベルは、

  下位レベルの要件を含む。（

注：セキュリティの強度を表すものではない。

）

低

TSF内部構造 ADV_INT 欠陥修正 ALC_FLR ２ １ 誤使用 AVA_MSU 脆弱性分析 TOEセキュリティ機能強 度 隠れチャネル分析 独立テスト 機能テスト 深さ カバレージ ツールと技法 ライフサイクル定義 開発セキュリティ 利用者ガイダンス 管理者ガイダンス セキュリティ方針モデル 化 表現対応 下位レベル設計 実装表現 上位レベル設計 機能仕様 設置、生成、及び立上げ 配付 CM範囲 CM能力 CM自動化 １ １ ２ １ １ ２ １ １ １ １ ２ １ １ １ １ ３ EAL3 保証コンポーネント ２ １ AVA_VLA １ １ AVA_SOF AVA_CCA

脆弱性評定

２ ２ １ ATE_IND １ １ ATE_FUN １ ATE_DPT ２ １ ATE_COV

テスト

１ ALC_TAT １ ALC_LCD １ ALC_DVS

ライスサイクル

サポート

１ １ １ AGD_USR １ １ １ AGD_ADM

ガイダンス文書

１ ADV_SPM １ １ １ ADV_RCR １ ADV_LLD １ ADV_IMP ２ １ ADV_HLD ２ １ １ ADV_FSP

開発

１ １ １ ADO_IGS ２ １ ADO_DEL

配付と運用

２ ACM_SCP ４ ２ 1 ACM_CAP 1 ACM_AUT

構成管理

EAL4 EAL2 EAL1

保証ファミリ

保証クラス

評価保証レベルの内容

CCとPP、STの関係図

CCパート2（機能要件集）

CCパート3（保証要件集）

ファミリ

コンポーネント コンポーネント コンポーネント

機能クラス

ファミリ

コンポーネント コンポーネント コンポーネント

機能クラス

ファミリ

コンポーネント コンポーネント コンポーネント

機能クラス

ファミリ

コンポーネント コンポーネント コンポーネント

保証クラス

ファミリ

コンポーネント コンポーネント コンポーネント

保証クラス

ファミリ

コンポーネント コンポーネント コンポーネント

保証クラス

プロテクション

プロファイル

(PP)

再利用可能な

セキュリティ要件のセット

EAL1

EAL2

EAL3

EALn

依存関係

セキュリティ

ターゲット(ST)

拡張セキュリティ

要件

評価対象単位

セキュリティ機能要件の記述内容

TOE及びIT環境で実現する機能要件を具体的に記述す

る

機能要件の記述をそのまま使用するケースと、

修整して使用するケースがある

„

修整するケース

Š

割付（Assignment） ：指定された項目を具体化

Š

選択（Selection）

：指定された項目の中から選択

Š

詳細化（Refinement）：必要に応じて具体化

Š

繰返し（Iteration）

：同じ条件の繰返し（複数の組合せ）

注：機能要件を修整する場合は、修整個所を［ ］や

斜体文字

などで明示する

‹ 機能要件をそのまま使用する例

¾ FAU_STG.1.1

TSFは、格納された監査記録を不正な削

除から保護しなければならない。

TSF：TOEセキュリティ機能

割付の例

セキュリティ機能要件の記述

„

FAU_STG.3.1 TSFは、監査証跡が［割付：

事前に定義され

た限界

］を超えた場合、［割付：

監査格納失敗の恐れ発生

時のアクション

］をとらなければならない。

‹

記述例

¾ FAU_STG.3.1 TSFは、監査証跡が［割付：

容量の９０％

］

を超えた場合、［割付：

それを管理者に警告するアクショ

ン

］をとらなければならない。

選択の例

セキュリティ機能要件の記述

„

FAU_STG.1.2 TSFは、監査記録の改変を［選択：

防止、

検出

］できなければならない。

‹

記述例

¾ FAU_STG.1.2 TSFは、監査記録の改変を［選択：

検出

］で

きなければならない。

詳細化の例

セキュリティ機能要件の記述

„

FIA_UAU.1.2 TSFは、その利用者を代行する他のTSF調停

アクションを許可する前に、各利用者に

認証

が成功するこ

とを要求しなければならない。

‹

記述例

¾ FIA_UAU.1.2 TSFは、その利用者を代行する他のTSF調停

アクションを許可する前に、各利用者に

バイオメトリック

システムを使用した認証

が成功することを要求しなければ

ならない。

繰返しの例

機能要件の記述

„

FAU_SAR.3.1 TSFは、［割付：

論理的な関連の基準

］

に基

づいて、監査データを［選択：

検索、分類、並び替え

］す

る能力を提供しなければならない。

‹ 記述例

¾ FAU_SAR.3.1

(1)

TSFは、 ［割付：

タイムスタンプだけ、

利用者だけ、利用者とタイムスタンプ

］に基づいて、監査デー

タを［選択：

検索

］する能力を提供しなければならない。

¾ FAU_SAR.3.1

(2)

TSFは、［割付：

最初から最後までのタイ

ムスタンプ

］に基づいて、監査データを［選択：

並び替え

］

する能力を提供しなければならない。

共通評価方法論（CEM）

評価基準であるCCに従って、評価対象物

件をどのように評価するかの方法を定め

たもの

PP、ST、その他EAL1∼EAL4までの保証

要件の評価用ガイダンス

‹ CCプロジェクトにて1999年8月発行

‹ 我が国では標準情報(TR) として、2001年11月公表

¾ TR X 0049:2001 情報技術セキュリティ評価のための共通方法

‹ ISO/IEC SC27 WG3にて、CEMのTR化を審議中

Future Versions of the CC & CEM

No new versions until April 2003 (at the earliest)

Modifications to the CC & CEM

„

Interpretations (implicit modification)

„

Revised Assurance Components (APE/ASE,

AVA-VLA)

„

Unbuckling of Assurance Components

Additions/replacements to the CC & CEM

„

Assurance Maintenance (AMA)

„

Flaw Remediation (FLR)

„

Definition of EAL 5

◆ 情報処理振興事業協会 セキュリティセンター

  http://www.ipa.go.jp/security/ 

［ご参考］

 − Common Criteria Project

 http://www.commoncriteria.org/