2002年12月6日
情報処理振興事業協会(IPA) セキュリティセンター
評価認証グループ 原田 敬
久田 俊哉
目 次
ISO/IEC 15408とは
エンドユーザ
IC カード
記憶媒体
ネットワーク
情 報 処 理 シ ス テ ム
研究情報
経営情報
医療カルテ
顧客情報
取引情報
契約書
PC
大 丈 夫 か な ?
情報セキュリティ確保の必要性
システム
運用者
製品/システム
開発者
セキュリティ機能
パスワード管理
。。。
運用ガイドライン
認証。。。
暗号化
ISO/IEC 15408の位置づけ
・ISO/IEC 15408(CC)
・PKI、暗号等の個別技術
製品・
システム
・ISO/IEC 17799
・BS 7799
・ISO/IEC TR13335(GMITS)
・ISO/IEC 21827(SSE-CMM)
・ISMS認証基準
・ISO/IEC 21827(SSE-CMM)
・ISO/IEC TR 15504
・CMMI
・ISO 9000
プロセス
(組織)
運用・管理
開発・技術
相互承認
TCSEC
(Orange Book)
1983
ITSEC :Information Technology Security Evaluation Criteria
TCSEC :Trusted Computer System Evaluation Criteria
ITSEC
1991
欧州各国ごと
の評価基準
欧米でのセキュリティ評価の歴史
1999:6月に国際規格(IS)として承認。
12月発行。
ISO/IEC 15408
CCと呼ぶことが規格
で認められている。
V1.0:1996
V2.0:1998/V2.1:1999
(ISO/IEC JTC 1/SC 27/WG 3へ提案)
CC
(Common Criteria)
国際的な市場
↓
評価基準統一の
必要性
* CCRA加盟国の認証機関が公開しているリストより集計(2002年11月現在)。
60
26
34
0
01
534
187
261
86
合計
77
68
9
0
評価中
61
44
17
0
02
65
31
31
3
2000
57
14
41
2
99
40
3
32
5
98
36
1
28
7
97
22
18
4
96
28
17
11
95
44
25
19
94
12
7
5
93
7
1
6
92
4
0
4
91
21
1
20
1990以前
合計(年)
CC
ITSEC
TCSEC
セキュリティ評価・認証済み製品件数
開発/製造/運用に関わった資材を検査して大丈夫と宣言!
開発/製造/運用に関わった資材を検査して大丈夫と宣言!
・
セキュリティターゲット
*
(セキュリティ脅威分析、装備すべき機能、品質対策など)
・プログラム設計書・ソースコード・オブジェクトコード
・テスト仕様書・
脆弱性分析書
・マニュアル・運用規則 など
検査の対象物候補 :
*
*
セキュリティターゲット
セキュリティターゲット
は、「セキュリティ設計仕様書」という位置付け
は、「セキュリティ設計仕様書」という位置付け
(
(
ISO/IEC 15408
ISO/IEC 15408
で重要
で重要
)
)
ISO/IEC 15408の考え方
セキュリティターゲット、
マニュアル、テスト
*
*
大丈夫さの度合いを、この規格では
大丈夫さの度合いを、この規格では
「
「
EAL
EAL
:
:
Evaluation Assurance Level
Evaluation Assurance Level
」
」
と呼ぶ
と呼ぶ
(注:セキュリティの強度を示す尺度ではない)。
(注:セキュリティの強度を示す尺度ではない)。
大丈夫さの度合い(
検査対象物の範囲とその内容
)を評価*
EAL1
EAL4
+ ソースコード
EAL7
+ 数学的証明
(形式的記述言語)
リスク
ISO/IEC 15408の
評価対象外
国
際
標
準
「リスク」と「セキュリティ対策」のバランス
・ リスクに応じたセキュリティ対策の明確化 → 最適な投資効果
・ 必要なセキュリティ要件を明確化
• 「セキュリティ対策の策定」と「有効な対策の実施」
ISO/IEC 15408の意義
セキュリティ対策
技術
運用/管理
・ユーザ認証
etc..
・データ暗号化
・セキュリティ教育
・運用ガイドライン
etc..
セキュリティターゲット
Part 1 (概説と一般モデル)
¾ セキュリティ評価の背景、評価のアプローチ
¾
セキュリティターゲット
(ST: Security Target )の仕様
¾
プロテクションプロファイル
(PP: Protection Profile )の仕様
Part 2 (セキュリティ機能要件)
¾
セキュリティ機能要件集
(11分類)
・セキュリティに関する機能のふるまいの要件
∼ 監査、データ保護、識別・認証、等
Part 3 (セキュリティ保証要件)
¾
セキュリティ保証要件集
(10分類)
・ セキュリティ機能が正確に実装されていることを確認する要件
∼ 設計、テスト、管理、ドキュメント、等
・ 脅威への脆弱性に関する要件
¾
評価保証レベル
の規定 (EAL1∼EAL7)
ISO/IEC 15408の構成
← どのような機能を備えるか。
← 検査の内容。
← 検査の厳密性、深さ。
¾ TOEの定義
¾ TOEセキュリティ環境
¾ セキュリティ対策方針
¾ セキュリティ要件
¾ セキュリティ要約仕様
¾
PP主張
(*)
¾ 根拠
セキュリティターゲット(ST)
評価を受ける
評価を受ける
TOE
TOE
に対して
に対して
ST
ST
を作成する(
を作成する(
TOE
TOE
に固有)。
に固有)。
ISO/IEC 15408のPart 1に基づき、次のような内容で記述。
TOE : Target Of Evaluation (評価の対象)
* STがPPを参照する場合に記述
Part 2:機能要件
Part 3:保証要件
¾ TOEの定義
¾ TOEセキュリティ環境
¾ セキュリティ対策方針
¾ セキュリティ要件
¾ 根拠
基本的に調達側の立場で作成。セキュリティ要求仕様書。
基本的に調達側の立場で作成。セキュリティ要求仕様書。
ISO/IEC 15408のPart 1に基づき、次のような内容で記述。
Part 2:機能要件
Part 3:保証要件
¾ TOEの定義
¾ TOEセキュリティ環境
¾ セキュリティ対策方針
¾ セキュリティ要件
¾ セキュリティ仕様
¾
PP宣言
(*)
¾
根拠
Protection Profile
Security
Target
例:
政府向けDBMS用PP
ICカード用PP
PKI用PP
Banking用PP
ベンダー
業界、ユーザ, etc
プロテクションプロファイル(PP)
セキュリティ評価基準
ISO/IEC15408
評価手法
評価の枠組み
評価
開発
開発者と評価者から見たSTの位置付け
評価結果
セキュリティ
ターゲット(ST)
プロテクション
プロファイル(PP)
TOE と
ドキュメント類
フィードバック
1.
セキュリティ監査
(Security audit
:
FAU
)
2.
通信
(Communication
:
FCO
)
3.
暗号サポート
(Cryptographic support
:
FCS
)
4.
利用者データ保護
(User data protection
:
FDP
)
5.
識別と認証
(Identification and authentication
:
FIA
)
6.
セキュリティ管理
(Security management
:
FMT
)
7.
プライバシー
(Privacy
:
FPR
)
8.
TOEセキュリティ機能(TSF)の保護
(Protection of the TSF
:
FPT
)
9.
資源利用
(Resource utilisation
:
FRU
)
10. TOEアクセス
(TOE access
:
FTA
)
11. 高信頼パス/チャネル
(Trusted path/channels
:
FTP
)
ISO/IEC 15408のPart 2にて、以下の11クラスに分類されている。
セキュリティ機能要件
* 2から9の保証要件に基づきTOEを評価する。
1.
PP評価
(PP evaluation
:
APE
)
2.
ST評価
(ST evaluation
:
ASE
)
3.
構成管理
(Configuration management
:
ACM
)
4.
配付と運用
(Delivery and operation
:
ADO
)
5.
開発
(Development
:
ADV
)
6.
ガイダンス文書
(Guidance documents
:
AGD
)
7.
ライフサイクルサポート
(Life cycle support
:
ALC
)
8.
テスト
(Tests
:
ATE
)
9.
脆弱性評定
(Vulnerability assessment
:
AVA
)
10. 保証維持
(Maintenance of assurance
:
AMA
)
*
*
*
*
*
*
*
*
ISO/IEC 15408のPart 3にて、以下の10クラスに分類されている。
セキュリティ保証要件
モジュールレベルまで確認、実装表現レベル(最も具体レベルの設計: 例え
ばソースコードレベル)の部分的確認、普通程度の攻撃に対抗
実装表現レベルのセキュリティ機能を全て確認、サブシステムレベルまでの
設計が半形式的表現、隠れチャネル分析、高度の攻撃に対抗
サブシステムレベルまでの設計が形式的表現、開発者による分析・テスト
のすべてを評価者が再確認
EAL7
モジュールレベルまでの設計が半形式的表現、非常に高度の攻撃に対抗
EAL6
EAL5
EAL4
サブシステムレベルまで開発者テスト結果の確認、構成管理システム使用
の確認、開発環境の確認、開発者による誤使用分析
EAL3
サブシステムレベルまでセキュリティ機能設計の確認、構成管理の確認、
開発者による機能強度・脆弱性分析、評価者による侵入テスト
EAL2
セキュリティ機能仕様、マニュアルの確認、評価者によるテスト
EAL1
評価の概要
レベル
評価保証レベル
(EAL:Evaluation Assurance Level)
EALは評価の厳格さのレベルを示す。EALの上位(番号の大きい方)レベルは、
下位レベルの要件を含む。(
注:セキュリティの強度を表すものではない。
)
低
TSF内部構造 ADV_INT 欠陥修正 ALC_FLR 2 1 誤使用 AVA_MSU 脆弱性分析 TOEセキュリティ機能強 度 隠れチャネル分析 独立テスト 機能テスト 深さ カバレージ ツールと技法 ライフサイクル定義 開発セキュリティ 利用者ガイダンス 管理者ガイダンス セキュリティ方針モデル 化 表現対応 下位レベル設計 実装表現 上位レベル設計 機能仕様 設置、生成、及び立上げ 配付 CM範囲 CM能力 CM自動化 1 1 2 1 1 2 1 1 1 1 2 1 1 1 1 3 EAL3 保証コンポーネント 2 1 AVA_VLA 1 1 AVA_SOF AVA_CCA