ISO/IEC 15408とは...ISO/IEC 15408 の評価対象外国際標準...

1Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved.

2002年12月6日

情報処理振興事業協会(IPA)　セキュリティセンター　評価認証グループ　　　原田　敬

　　　　　　　　　　　　　　　　久田　俊哉

ISO/IEC　１５４０８とは

Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 2

目　次

　ISO/IEC 15408とは

　ISO/IEC 15408の内容


ISO/IEC 15408とは


エンドユーザ

IC ｶｰﾄﾞ

記憶媒体ネットワーク

情報処理システム

研究情報経営情報

医療カルテ顧客情報

取引情報契約書

PC

大丈夫かな？

情報セキュリティ確保の必要性

システム運用者

製品／システム開発者

セキュリティ機能

パスワード管理。。。

運用ガイドライン

認証。。。

暗号化


ISO/IEC 15408の位置づけ

・ISO/IEC 15408(CC)・PKI、暗号等の個別技術

製品・システム

・ISO/IEC 17799・BS 7799・ISO/IEC TR13335(GMITS)

・ISO/IEC 21827(SSE-CMM)・ISMS認証基準

・ISO/IEC 21827(SSE-CMM)・ISO/IEC TR 15504・CMMI

・ISO 9000

プロセス(組織)

運用・管理開発・技術


相互承認

TCSEC(Orange Book)

1983

ITSEC ：Information Technology Security Evaluation CriteriaTCSEC ：Trusted Computer System Evaluation Criteria

ITSEC 1991

欧州各国ごとの評価基準

欧米でのセキュリティ評価の歴史

1999：6月に国際規格(IS)として承認。12月発行。

ISO/IEC 15408

CCと呼ぶことが規格

で認められている。

V1.0：1996V2.0：1998／V2.1：1999(ISO/IEC JTC 1／SC 27／WG 3へ提案)

CC(Common Criteria)

国際的な市場↓

評価基準統一の必要性


* CCRA加盟国の認証機関が公開しているリストより集計（2002年11月現在）。

602634001

53418726186合計

776890評価中

614417002

65313132000

5714412　99

403325　98

361287　97

22184　96

281711　95

442519　94

1275　93

716　92

404　91

211201990以前

合計(年)CCITSECTCSEC

セキュリティ評価・認証済み製品件数


開発／製造／運用に関わった資材を検査して大丈夫と宣言！開発／製造／運用に関わった資材を検査して大丈夫と宣言！

・セキュリティターゲット*（セキュリティ脅威分析、装備すべき機能、品質対策など）

・プログラム設計書・ソースコード・オブジェクトコード

・テスト仕様書・脆弱性分析書・マニュアル・運用規則　など

検査の対象物候補：

**セキュリティターゲットセキュリティターゲットは、「セキュリティ設計仕様書」という位置付けは、「セキュリティ設計仕様書」という位置付け((ISO/IEC 15408ISO/IEC 15408で重要で重要))

ISO/IEC 15408の考え方

セキュリティターゲット、マニュアル、テスト

**大丈夫さの度合いを、この規格では大丈夫さの度合いを、この規格では「「EALEAL：：Evaluation Assurance LevelEvaluation Assurance Level」」と呼ぶと呼ぶ

　（注：セキュリティの強度を示す尺度ではない）。　（注：セキュリティの強度を示す尺度ではない）。

大丈夫さの度合い（検査対象物の範囲とその内容）を評価*

EAL1 EAL4

＋ソースコード

EAL7

＋数学的証明　(形式的記述言語)


リスク

ISO/IEC 15408の

評価対象外

国

際

標

準

「リスク」と「セキュリティ対策」のバランス

・リスクに応じたセキュリティ対策の明確化 → 最適な投資効果・必要なセキュリティ要件を明確化

•　「セキュリティ対策の策定」と「有効な対策の実施」

ISO/IEC 15408の意義

セキュリティ対策

技術運用／管理

・ﾕｰｻﾞ認証　etc..

・ﾃﾞｰﾀ暗号化・セキュリティ教育

・運用ｶﾞｲﾄﾞﾗｲﾝetc..

セキュリティターゲット


ISO/IEC 15408の内容


　Part 1 （概説と一般モデル）　セキュリティ評価の背景、評価のアプローチ

　セキュリティターゲット（ST： Security Target ）の仕様　　　　

　プロテクションプロファイル（PP： Protection Profile ）の仕様

　Part 2 （セキュリティ機能要件）　セキュリティ機能要件集（１１分類）

　　　　・セキュリティに関する機能のふるまいの要件

　　　　　　～　監査、データ保護、識別・認証、等

　Part 3 （セキュリティ保証要件）

　セキュリティ保証要件集（１０分類）　　　　　　　・セキュリティ機能が正確に実装されていることを確認する要件

　　　　　　～　設計、テスト、管理、ドキュメント、等　　　　　・脅威への脆弱性に関する要件

　評価保証レベルの規定（EAL1～EAL7）

ISO/IEC 15408の構成

←　どのような機能を備えるか。

　←　検査の内容。

　←　検査の厳密性、深さ。


　TOEの定義

　TOEセキュリティ環境

　セキュリティ対策方針

　セキュリティ要件

　セキュリティ要約仕様

　ＰＰ主張(*)

　根拠

セキュリティターゲット(ST)

　　評価を受ける評価を受けるTOETOEに対してに対してSTSTを作成する（を作成する（TOETOEに固有）。に固有）。

　ISO/IEC 15408のPart 1に基づき、次のような内容で記述。

TOE ： Target Of Evaluation （評価の対象）

* STがPPを参照する場合に記述

Part 2：機能要件Part 3：保証要件

Security Target


　TOEの定義




　根拠

　　基本的に調達側の立場で作成。セキュリティ要求仕様書。基本的に調達側の立場で作成。セキュリティ要求仕様書。

　ISO/IEC 15408のPart 1に基づき、次のような内容で記述。

Part 2：機能要件Part 3：保証要件

　TOEの定義




　セキュリティ仕様

　ＰＰ宣言(*)

　根拠

Protection ProfileSecurity Target

例：政府向けDBMS用PPICカード用PPPKI用PPBanking用PP

ベンダー

業界、ユーザ, etc

プロテクションプロファイル(PP)


セキュリティ評価基準ＩＳＯ／ＩＥＣ１５４０８

評価手法

評価の枠組み評価

開発

開発者と評価者から見たSTの位置付け

評価結果


プロテクションプロファイル（PP）

TOE とドキュメント類

フィードバック


１．セキュリティ監査　　(Security audit：FAU)

２．通信　　(Communication：FCO)

３．暗号サポート　　(Cryptographic support：FCS)

４．利用者データ保護　　(User data protection：FDP)

５．識別と認証　　(Identification and authentication：FIA)

６．セキュリティ管理　　(Security management：FMT)

７．プライバシー　　(Privacy：FPR)

８． TOEセキュリティ機能(TSF)の保護 (Protection of the TSF：FPT)

９．資源利用　　(Resource utilisation：FRU)

１０． TOEアクセス　　(TOE access：FTA)

１１．高信頼パス／チャネル　　(Trusted path/channels：FTP)

　　 ISO/IEC 15408のPart 2にて、以下の１１クラスに分類されている。

セキュリティ機能要件（Security functional requirements）


＊２から９の保証要件に基づきTOEを評価する。

１． PP評価　　(PP evaluation： APE)

２． ST評価　　(ST evaluation： ASE)

３．構成管理　(Configuration management： ACM)

４．配付と運用　　(Delivery and operation： ADO)

５．開発　　　　　　(Development： ADV)

６．ガイダンス文書　　(Guidance documents： AGD)

７．ライフサイクルサポート　(Life cycle support： ALC)

８．テスト　　　　　　(Tests： ATE)

９．脆弱性評定　　(Vulnerability assessment： AVA)

１０．　保証維持　　　(Maintenance of assurance： AMA)

＊＊＊＊＊

＊＊＊

　　 ISO/IEC 15408のPart 3にて、以下の１０クラスに分類されている。

セキュリティ保証要件(Security assurance requirements)


モジュールレベルまで確認、実装表現レベル(最も具体レベルの設計: 例えばソースコードレベル)の部分的確認、普通程度の攻撃に対抗

実装表現レベルのセキュリティ機能を全て確認、サブシステムレベルまでの設計が半形式的表現、隠れチャネル分析、高度の攻撃に対抗

サブシステムレベルまでの設計が形式的表現、開発者による分析・テストのすべてを評価者が再確認

EAL7

モジュールレベルまでの設計が半形式的表現、非常に高度の攻撃に対抗EAL6

EAL5

EAL4

サブシステムレベルまで開発者テスト結果の確認、構成管理システム使用の確認、開発環境の確認、開発者による誤使用分析

EAL3

サブシステムレベルまでセキュリティ機能設計の確認、構成管理の確認、開発者による機能強度・脆弱性分析、評価者による侵入テスト

EAL2

セキュリティ機能仕様、マニュアルの確認、評価者によるテストEAL1

評価の概要レベル

評価保証レベル(EAL：Evaluation Assurance Level)

　　ＥＡＬは評価の厳格さのレベルを示す。EALの上位（番号の大きい方）レベルは、　　下位レベルの要件を含む。（注：セキュリティの強度を表すものではない。）

低

高


TSF内部構造ADV_INT

欠陥修正ALC_FLR

２１誤使用AVA_MSU

脆弱性分析

TOEセキュリティ機能強度

隠れチャネル分析

独立テスト

機能テスト

深さ

カバレージ

ツールと技法

ライフサイクル定義

開発セキュリティ

利用者ガイダンス

管理者ガイダンス

セキュリティ方針モデル化

表現対応

下位レベル設計

実装表現

上位レベル設計

機能仕様

設置、生成、及び立上げ

配付

CM範囲

CM能力

CM自動化

１

１

２

１

１

２

１

１

１

１

２

１

１

１

１

３

EAL3

保証コンポーネント

２１AVA_VLA

１１AVA_SOF

AVA_CCA

脆弱性評定

２２１ATE_IND

１１ATE_FUN

１ATE_DPT

２１ATE_COV

テスト

１ALC_TAT

１ALC_LCD

１ALC_DVS

ライスサイクルサポート

１１１AGD_USR

１１１AGD_ADMガイダンス文書

１ADV_SPM

１１１ADV_RCR

１ADV_LLD

１ADV_IMP

２１ADV_HLD

２１１ADV_FSP

開発

１１１ADO_IGS

２１ADO_DEL配付と運用

２ACM_SCP

４２1ACM_CAP

1ACM_AUT

構成管理

EAL4EAL2EAL1保証ファミリ保証クラス

評価保証レベルの内容


CCとPP、STの関係図

CCパート2（機能要件集）

CCパート3（保証要件集）

ファミリコンポーネント

コンポーネント


機能クラス




機能クラス




機能クラス




保証クラス




保証クラス




保証クラス

プロテクションプロファイル(PP)

再利用可能なセキュリティ要件のセット

EAL1

EAL2

EAL3

EALn

依存関係


拡張セキュリティ要件

評価対象単位


セキュリティ機能要件の記述内容

TOE及びIT環境で実現する機能要件を具体的に記述す

る

機能要件の記述をそのまま使用するケースと、修整して使用するケースがある

修整するケース

割付（Assignment）：指定された項目を具体化

選択（Selection）：指定された項目の中から選択

詳細化（Refinement）：必要に応じて具体化

繰返し（Iteration）：同じ条件の繰返し（複数の組合せ）

注：機能要件を修整する場合は、修整個所を［　］や斜体文字などで明示する

機能要件をそのまま使用する例FAU_STG.1.1 TSFは、格納された監査記録を不正な削除から保護しなければならない。

TSF：TOEセキュリティ機能


割付の例

セキュリティ機能要件の記述

FAU_STG.3.1 TSFは、監査証跡が［割付：事前に定義された限界］を超えた場合、［割付：監査格納失敗の恐れ発生時のアクション］をとらなければならない。

記述例

FAU_STG.3.1 TSFは、監査証跡が［割付：容量の９０％］

を超えた場合、［割付：それを管理者に警告するアクション］をとらなければならない。


選択の例

セキュリティ機能要件の記述FAU_STG.1.2 TSFは、監査記録の改変を［選択：防止、検出］できなければならない。

記述例

FAU_STG.1.2 TSFは、監査記録の改変を［選択：検出］で

きなければならない。


詳細化の例

セキュリティ機能要件の記述FIA_UAU.1.2 TSFは、その利用者を代行する他のTSF調停

アクションを許可する前に、各利用者に認証が成功することを要求しなければならない。

記述例

FIA_UAU.1.2 TSFは、その利用者を代行する他のTSF調停

アクションを許可する前に、各利用者にバイオメトリックシステムを使用した認証が成功することを要求しなければならない。


繰返しの例

機能要件の記述FAU_SAR.3.1 TSFは、［割付：論理的な関連の基準］に基

づいて、監査データを［選択：検索、分類、並び替え］する能力を提供しなければならない。

記述例FAU_SAR.3.1(1) TSFは、［割付：タイムスタンプだけ、利用者だけ、利用者とタイムスタンプ］に基づいて、監査データを［選択：検索］する能力を提供しなければならない。

FAU_SAR.3.1(2) TSFは、［割付：最初から最後までのタイムスタンプ］に基づいて、監査データを［選択：並び替え］する能力を提供しなければならない。


共通評価方法論（CEM）

評価基準であるCCに従って、評価対象物件をどのように評価するかの方法を定めたもの

PP、ST、その他EAL1～EAL4までの保証要件の評価用ガイダンスCCプロジェクトにて1999年8月発行

我が国では標準情報(TR) として、2001年11月公表TR X 0049:2001 情報技術セキュリティ評価のための共通方法

ISO/IEC SC27 WG3にて、CEMのTR化を審議中


Future Versions of the CC & CEM

No new versions until April 2003 (at the earliest)

Modifications to the CC & CEMInterpretations (implicit modification)

Revised Assurance Components (APE/ASE, AVA-VLA)

Unbuckling of Assurance Components

Additions/replacements to the CC & CEMAssurance Maintenance (AMA)

Flaw Remediation (FLR)

Definition of EAL 5

From “Future Direction of CC & CEM”, Dr. Stuart Karzke, NIST、2002-03-29


◆　情報処理振興事業協会セキュリティセンター

　　http://www.ipa.go.jp/security/　

［ご参考］

　－　Common Criteria Project　http://www.commoncriteria.org/

参考情報

ISO/IEC 15408とは...ISO/IEC 15408 の評価対象外国際標準...

Documents

Transcript of ISO/IEC 15408とは...ISO/IEC 15408 の評価対象外国際標準...

ISO/IEC 15408とは...ISO/IEC 15408 の 評価対象外 国 際 標 準...

Documents

Transcript of ISO/IEC 15408とは...ISO/IEC 15408 の 評価対象外 国 際 標 準...

ISO/IEC 15408とは...ISO/IEC 15408 の評価対象外国際標準...

Transcript of ISO/IEC 15408とは...ISO/IEC 15408 の評価対象外国際標準...