地質リスクへの取組み...• 5. OYOのリスクを調べる技術 • 6. まとめ―地質リスクへの対応― ※本発表では、近年の“地質・地盤リスク”に関わる動向
ISO/IEC 15408とは...ISO/IEC 15408 の 評価対象外 国 際 標 準...
Transcript of ISO/IEC 15408とは...ISO/IEC 15408 の 評価対象外 国 際 標 準...
1Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved.
2002年12月6日
情報処理振興事業協会(IPA) セキュリティセンター 評価認証グループ 原田 敬
久田 俊哉
ISO/IEC 15408とは
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 2
目 次
ISO/IEC 15408とは
ISO/IEC 15408の内容
3Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved.
ISO/IEC 15408とは
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 4
エンドユーザ
IC カード
記憶媒体ネットワーク
情 報 処 理 シ ス テ ム
研究情報経営情報
医療カルテ顧客情報
取引情報契約書
PC
大 丈 夫 か な ?
情報セキュリティ確保の必要性
システム運用者
製品/システム開発者
セキュリティ機能
パスワード管理。。。
運用ガイドライン
認証。。。
暗号化
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 5
ISO/IEC 15408の位置づけ
・ISO/IEC 15408(CC)・PKI、暗号等の個別技術
製品・システム
・ISO/IEC 17799・BS 7799・ISO/IEC TR13335(GMITS)
・ISO/IEC 21827(SSE-CMM)・ISMS認証基準
・ISO/IEC 21827(SSE-CMM)・ISO/IEC TR 15504・CMMI
・ISO 9000
プロセス(組織)
運用・管理開発・技術
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 6
相互承認
TCSEC(Orange Book)
1983
ITSEC :Information Technology Security Evaluation CriteriaTCSEC :Trusted Computer System Evaluation Criteria
ITSEC 1991
欧州各国ごとの評価基準
欧米でのセキュリティ評価の歴史
1999:6月に国際規格(IS)として承認。12月発行。
ISO/IEC 15408
CCと呼ぶことが規格
で認められている。
V1.0:1996V2.0:1998/V2.1:1999(ISO/IEC JTC 1/SC 27/WG 3へ提案)
CC(Common Criteria)
国際的な市場↓
評価基準統一の必要性
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 7
* CCRA加盟国の認証機関が公開しているリストより集計(2002年11月現在)。
602634001
53418726186合計
776890評価中
614417002
65313132000
5714412 99
403325 98
361287 97
22184 96
281711 95
442519 94
1275 93
716 92
404 91
211201990以前
合計(年)CCITSECTCSEC
セキュリティ評価・認証済み製品件数
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 8
開発/製造/運用に関わった資材を検査して大丈夫と宣言!開発/製造/運用に関わった資材を検査して大丈夫と宣言!
・セキュリティターゲット*(セキュリティ脅威分析、装備すべき機能、品質対策など)
・プログラム設計書・ソースコード・オブジェクトコード
・テスト仕様書・脆弱性分析書・マニュアル・運用規則 など
検査の対象物候補 :
**セキュリティターゲットセキュリティターゲットは、「セキュリティ設計仕様書」という位置付けは、「セキュリティ設計仕様書」という位置付け((ISO/IEC 15408ISO/IEC 15408で重要で重要))
ISO/IEC 15408の考え方
セキュリティターゲット、マニュアル、テスト
**大丈夫さの度合いを、この規格では大丈夫さの度合いを、この規格では「「EALEAL::Evaluation Assurance LevelEvaluation Assurance Level」」と呼ぶと呼ぶ
(注:セキュリティの強度を示す尺度ではない)。 (注:セキュリティの強度を示す尺度ではない)。
大丈夫さの度合い(検査対象物の範囲とその内容)を評価*
EAL1 EAL4
+ ソースコード
EAL7
+ 数学的証明 (形式的記述言語)
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 9
リスク
ISO/IEC 15408の
評価対象外
国
際
標
準
「リスク」と「セキュリティ対策」のバランス
・ リスクに応じたセキュリティ対策の明確化 → 最適な投資効果・ 必要なセキュリティ要件を明確化
• 「セキュリティ対策の策定」と「有効な対策の実施」
ISO/IEC 15408の意義
セキュリティ対策
技術 運用/管理
・ユーザ認証 etc..
・データ暗号化 ・セキュリティ教育
・運用ガイドラインetc..
セキュリティターゲット
10Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved.
ISO/IEC 15408の内容
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 11
Part 1 (概説と一般モデル) セキュリティ評価の背景、評価のアプローチ
セキュリティターゲット(ST: Security Target )の仕様
プロテクションプロファイル(PP: Protection Profile )の仕様
Part 2 (セキュリティ機能要件) セキュリティ機能要件集 (11分類)
・セキュリティに関する機能のふるまいの要件
~ 監査、データ保護、識別・認証、等
Part 3 (セキュリティ保証要件)
セキュリティ保証要件集 (10分類) ・ セキュリティ機能が正確に実装されていることを確認する要件
~ 設計、テスト、管理、ドキュメント、等 ・ 脅威への脆弱性に関する要件
評価保証レベルの規定 (EAL1~EAL7)
ISO/IEC 15408の構成
← どのような機能を備えるか。
← 検査の内容。
← 検査の厳密性、深さ。
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 12
TOEの定義
TOEセキュリティ環境
セキュリティ対策方針
セキュリティ要件
セキュリティ要約仕様
PP主張(*)
根拠
セキュリティターゲット(ST)
評価を受ける評価を受けるTOETOEに対してに対してSTSTを作成する(を作成する(TOETOEに固有)。に固有)。
ISO/IEC 15408のPart 1に基づき、次のような内容で記述。
TOE : Target Of Evaluation (評価の対象)
* STがPPを参照する場合に記述
Part 2:機能要件Part 3:保証要件
Security Target
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 13
TOEの定義
TOEセキュリティ環境
セキュリティ対策方針
セキュリティ要件
根拠
基本的に調達側の立場で作成。セキュリティ要求仕様書。基本的に調達側の立場で作成。セキュリティ要求仕様書。
ISO/IEC 15408のPart 1に基づき、次のような内容で記述。
Part 2:機能要件Part 3:保証要件
TOEの定義
TOEセキュリティ環境
セキュリティ対策方針
セキュリティ要件
セキュリティ仕様
PP宣言(*)
根拠
Protection ProfileSecurity Target
例:政府向けDBMS用PPICカード用PPPKI用PPBanking用PP
ベンダー
業界、ユーザ, etc
プロテクションプロファイル(PP)
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 14
セキュリティ評価基準ISO/IEC15408
評価手法
評価の枠組み評価
開発
開発者と評価者から見たSTの位置付け
評価結果
セキュリティターゲット(ST)
プロテクションプロファイル(PP)
TOE とドキュメント類
フィードバック
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 15
1. セキュリティ監査 (Security audit:FAU)
2. 通信 (Communication:FCO)
3. 暗号サポート (Cryptographic support:FCS)
4. 利用者データ保護 (User data protection:FDP)
5. 識別と認証 (Identification and authentication:FIA)
6. セキュリティ管理 (Security management:FMT)
7. プライバシー (Privacy:FPR)
8. TOEセキュリティ機能(TSF)の保護 (Protection of the TSF:FPT)
9. 資源利用 (Resource utilisation:FRU)
10. TOEアクセス (TOE access:FTA)
11. 高信頼パス/チャネル (Trusted path/channels:FTP)
ISO/IEC 15408のPart 2にて、以下の11クラスに分類されている。
セキュリティ機能要件(Security functional requirements)
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 16
* 2から9の保証要件に基づきTOEを評価する。
1. PP評価 (PP evaluation: APE)
2. ST評価 (ST evaluation: ASE)
3. 構成管理 (Configuration management: ACM)
4. 配付と運用 (Delivery and operation: ADO)
5. 開発 (Development: ADV)
6. ガイダンス文書 (Guidance documents: AGD)
7. ライフサイクルサポート (Life cycle support: ALC)
8. テスト (Tests: ATE)
9. 脆弱性評定 (Vulnerability assessment: AVA)
10. 保証維持 (Maintenance of assurance: AMA)
*****
***
ISO/IEC 15408のPart 3にて、以下の10クラスに分類されている。
セキュリティ保証要件(Security assurance requirements)
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 17
モジュールレベルまで確認、実装表現レベル(最も具体レベルの設計: 例えばソースコードレベル)の部分的確認、普通程度の攻撃に対抗
実装表現レベルのセキュリティ機能を全て確認、サブシステムレベルまでの設計が半形式的表現、隠れチャネル分析、高度の攻撃に対抗
サブシステムレベルまでの設計が形式的表現、開発者による分析・テストのすべてを評価者が再確認
EAL7
モジュールレベルまでの設計が半形式的表現、非常に高度の攻撃に対抗EAL6
EAL5
EAL4
サブシステムレベルまで開発者テスト結果の確認、構成管理システム使用の確認、開発環境の確認、開発者による誤使用分析
EAL3
サブシステムレベルまでセキュリティ機能設計の確認、構成管理の確認、開発者による機能強度・脆弱性分析、評価者による侵入テスト
EAL2
セキュリティ機能仕様、マニュアルの確認、評価者によるテストEAL1
評価の概要レベル
評価保証レベル(EAL:Evaluation Assurance Level)
EALは評価の厳格さのレベルを示す。EALの上位(番号の大きい方)レベルは、 下位レベルの要件を含む。(注:セキュリティの強度を表すものではない。)
低
高
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 18
TSF内部構造ADV_INT
欠陥修正ALC_FLR
21誤使用AVA_MSU
脆弱性分析
TOEセキュリティ機能強度
隠れチャネル分析
独立テスト
機能テスト
深さ
カバレージ
ツールと技法
ライフサイクル定義
開発セキュリティ
利用者ガイダンス
管理者ガイダンス
セキュリティ方針モデル化
表現対応
下位レベル設計
実装表現
上位レベル設計
機能仕様
設置、生成、及び立上げ
配付
CM範囲
CM能力
CM自動化
1
1
2
1
1
2
1
1
1
1
2
1
1
1
1
3
EAL3
保証コンポーネント
21AVA_VLA
11AVA_SOF
AVA_CCA
脆弱性評定
221ATE_IND
11ATE_FUN
1ATE_DPT
21ATE_COV
テスト
1ALC_TAT
1ALC_LCD
1ALC_DVS
ライスサイクルサポート
111AGD_USR
111AGD_ADMガイダンス文書
1ADV_SPM
111ADV_RCR
1ADV_LLD
1ADV_IMP
21ADV_HLD
211ADV_FSP
開発
111ADO_IGS
21ADO_DEL配付と運用
2ACM_SCP
421ACM_CAP
1ACM_AUT
構成管理
EAL4EAL2EAL1保証ファミリ保証クラス
評価保証レベルの内容
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 19
CCとPP、STの関係図
CCパート2(機能要件集)
CCパート3(保証要件集)
ファミリ コンポーネント
コンポーネント
コンポーネント
機能クラス
ファミリ コンポーネント
コンポーネント
コンポーネント
機能クラス
ファミリ コンポーネント
コンポーネント
コンポーネント
機能クラス
ファミリ コンポーネント
コンポーネント
コンポーネント
保証クラス
ファミリ コンポーネント
コンポーネント
コンポーネント
保証クラス
ファミリ コンポーネント
コンポーネント
コンポーネント
保証クラス
プロテクションプロファイル(PP)
再利用可能なセキュリティ要件のセット
EAL1
EAL2
EAL3
EALn
依存関係
セキュリティターゲット(ST)
拡張セキュリティ要件
評価対象単位
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 20
セキュリティ機能要件の記述内容
TOE及びIT環境で実現する機能要件を具体的に記述す
る
機能要件の記述をそのまま使用するケースと、修整して使用するケースがある
修整するケース
割付(Assignment) :指定された項目を具体化
選択(Selection) :指定された項目の中から選択
詳細化(Refinement):必要に応じて具体化
繰返し(Iteration) :同じ条件の繰返し(複数の組合せ)
注:機能要件を修整する場合は、修整個所を[ ]や斜体文字などで明示する
機能要件をそのまま使用する例FAU_STG.1.1 TSFは、格納された監査記録を不正な削除から保護しなければならない。
TSF:TOEセキュリティ機能
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 21
割付の例
セキュリティ機能要件の記述
FAU_STG.3.1 TSFは、監査証跡が[割付:事前に定義された限界]を超えた場合、[割付:監査格納失敗の恐れ発生時のアクション]をとらなければならない。
記述例
FAU_STG.3.1 TSFは、監査証跡が[割付:容量の90%]
を超えた場合、[割付:それを管理者に警告するアクション]をとらなければならない。
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 22
選択の例
セキュリティ機能要件の記述FAU_STG.1.2 TSFは、監査記録の改変を[選択:防止、検出]できなければならない。
記述例
FAU_STG.1.2 TSFは、監査記録の改変を[選択:検出]で
きなければならない。
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 23
詳細化の例
セキュリティ機能要件の記述FIA_UAU.1.2 TSFは、その利用者を代行する他のTSF調停
アクションを許可する前に、各利用者に認証が成功することを要求しなければならない。
記述例
FIA_UAU.1.2 TSFは、その利用者を代行する他のTSF調停
アクションを許可する前に、各利用者にバイオメトリックシステムを使用した認証が成功することを要求しなければならない。
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 24
繰返しの例
機能要件の記述FAU_SAR.3.1 TSFは、[割付:論理的な関連の基準]に基
づいて、監査データを[選択:検索、分類、並び替え]する能力を提供しなければならない。
記述例FAU_SAR.3.1(1) TSFは、 [割付:タイムスタンプだけ、利用者だけ、利用者とタイムスタンプ]に基づいて、監査データを[選択:検索]する能力を提供しなければならない。
FAU_SAR.3.1(2) TSFは、[割付:最初から最後までのタイムスタンプ]に基づいて、監査データを[選択:並び替え]する能力を提供しなければならない。
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 25
共通評価方法論(CEM)
評価基準であるCCに従って、評価対象物件をどのように評価するかの方法を定めたもの
PP、ST、その他EAL1~EAL4までの保証要件の評価用ガイダンスCCプロジェクトにて1999年8月発行
我が国では標準情報(TR) として、2001年11月公表TR X 0049:2001 情報技術セキュリティ評価のための共通方法
ISO/IEC SC27 WG3にて、CEMのTR化を審議中
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 26
Future Versions of the CC & CEM
No new versions until April 2003 (at the earliest)
Modifications to the CC & CEMInterpretations (implicit modification)
Revised Assurance Components (APE/ASE, AVA-VLA)
Unbuckling of Assurance Components
Additions/replacements to the CC & CEMAssurance Maintenance (AMA)
Flaw Remediation (FLR)
Definition of EAL 5
From “Future Direction of CC & CEM”, Dr. Stuart Karzke, NIST、2002-03-29
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 27
◆ 情報処理振興事業協会 セキュリティセンター
http://www.ipa.go.jp/security/
[ご参考]
- Common Criteria Project http://www.commoncriteria.org/
参考情報