セキュリティターゲット(ST)とプロテクションプロファイル(PP)について
2000.6.17
福田 啓二
――― ISO/IEC 15408 「情報技術セキュリティ評価基準」―――
IPA「セキュリティターゲットとプロテクションプロファイル作成ガイド」より

1. はじめに
「ISO/IEC 15408」
・ 欧米5カ国のコモンクライテリア(Common Criteria 以下、CC)2.1版をベースの99年6月規格化
・ 情報技術を使用した製品
・システムのセキュリティ機能の評価基準
・3部構成
パート1:概要と一般モデル編
パート2:機能要件編
パート3:保証要件編

「プロテクションプロファイル」(Protection Profile ――PP)
・ 情報処理製品や情報処理システムの種類別に、対象となる業務や製品をモデル化し、要求者/利用者の  立場から、必要なセキュリティ要件を規定したもの・・要求仕様書
・ 一般に分野ごとの業界団体や標準化機関が作成する。
・ 抽象的な記述や、具体的操作を留保(割当てまたは選択)した記述を行うことができる。

「セキュリティターゲット」(Security Target ――ST)  
・個々の情報処理製品や情報処理システムの、セキュリティ対策の基本方針を定めるもの・・基本設計書
・ 製品、システムの開発者が作成する。
・ 同一、類似分野のPPを直接、参照することができる。(PPの内容を変更・削除してはならない)信頼できるPPを参照することで、STの設計品質も高まる。STに「xx社インターネットバンキングシステムはaaインターネットバンキングシステム要求仕様書に準拠している」と表明すれば、利用者からみても理解しやすい。
・ PPを参考にしてSTを作成することもできる。(この場合、参照とはいわない)

2. ST/PPの構成
(1) 概要
・ ST概説(ST序説)
・ TOE記述
TOE:Target Of Evaluation (評価対象)
・TOEセキュリティ環境
・ セキュリティオブジェクティブ(セキュリティ対策)
・ ITセキュリティ要件
・ TOEサマリ仕様 ・ PPクレーム(PP適合性)
・ 根拠
ST PP(STとの差異)
1. ST概説
1.1 識別
・ STの名称、バージョン、作成日、作成者
1.2 概要
・ TOE(Target Of Evaluation−評価対象)の 識別 (名称、バージョン)
・TOEの機能概要、 ・ 保証レベル
・ 準拠PP、関連ST
1.3 CCクレーム
(適合するCCの名称、バージョンを明記する)		 PP概説
2. TOE記述
・ 製品/システムのタイプ
・ TOEの使用目的
・ 評価対象の範囲 (製品の一部をTOEとすることも可)
・ 実行環境
・ 機能説明		 2.TOE記述
3. TOEセキュリティ環境
3.1 想定
・ 前提となる環境、条件 (物理的保護、人的条件、使用条件)
3.2 脅威
・ 保護すべき資産とそれに対する脅威 (誰が、どの資産を、どのように攻撃するか)
(・TOE即ちITで対抗するものと、 ・運用管理で対抗するもの、 ・両方で対抗するもの以上3区分に明確に分離する)
3.3 組織のセキュリティ方針(OSP)
・ 製品/システムを管理する組織のセキュリティ方針
(アクセス制限やパスワードの運用方針、就業者規則など)		 3.TOEセキュリティ環境
4. セキュリティオブジェクティブ(対策)
(前段で記述された脅威、OSP、想定に対する対応方針を記述する――するためには――しなければならない)
・ 技術的(TOE)セキュリティ対策
・ 運用/管理(環境)セキュリティ対策 (抽出された対応方針で十分であるかどうかを検討し、根拠を記述する)		 4.セキュリティ対策
5. ITセキュリティ要件
(前段で列挙されたセキュリティ対策を実現するために必要なセキュリティ要件をISO/IEC15408のパート2(機能要件)、パート3(保証要件)で定義されている要件から選択する)
(新規の要件を定義することも可能)
5.1 TOE機能要件
5.2 TOE保証要件
5.3TOEの動作/運用環境が提供する 機能要件、保証要件
5.4TOEと動作/運用環境が共同で提供する機能要件、保証要件
(機能要件はひとつづつ個別に選択する)
保証要件は保証レベルを指定する
保証レベルが指定されると対応する保証要件はパート3の中で決められている)
(機能要件、保証要件の指定の検証も記述する)		 5.ITセキュリティ要件
6. TOEサマリ仕様
6.1 TOEセキュリティ機能(TSF)を定義する
(TSFの実現方法とTSFと機能要件の関係を記述する)
6.2 保証手段
(保証要件をすべて満たす手段を説明する保証手段と保証要件の対応を説明する)		 ※ 実装製品についての仕様でないので、TOEサマリ仕様はPPには含まれない
7. PPクレーム
(PPへの適合を宣言する)
・ PP参照
・ PP修整(PPで留保された項目の明確化)
・ PP追加		 6.アプリケーションノート
※ PPのみ
TOEの構築、評価、利用に有用な補足
8. 根拠
・ セキュリティオブジェクティブ根拠
・ セキュリティ要件根拠
・ TOEサマリ仕様根拠
・ PPクレーム根拠		 7.根拠
・ セキュリティオブジェクティブ根拠
・ セキュリティ要件根拠

3.参考資料
(IPAセキュリティセンターのISO/IEC15408関連資料)
・ISO/IEC15408 情報技術セキュリティ評価基準の紹介
・ Common Criteria2.1  
パート1(概説と一般モデル)  
パート2(機能要件)  
パート3(保証要件)
・ ISO/IEC15408セミナー資料(2000.3.17福岡開催)
・ セキュリティターゲットとプロテクションプロファイル作成ガイド
http://www.ipa.go.jp/security/ccj/dnldhome.htm

(プロテクションプロファイルの日本語版実例)
・ ICカード取引システム研究開発事業組合
ICCサブシステムPP 1.1版 (2000.1.7)
http://www.iccs.gr.jp/ppver01.htm