1. はじめに
「ISO/IEC 15408」
・ 欧米5カ国のコモンクライテリア(Common Criteria 以下、CC)2.1版をベースの99年6月規格化
・ 情報技術を使用した製品
・システムのセキュリティ機能の評価基準
・3部構成
パート1:概要と一般モデル編
パート2:機能要件編
パート3:保証要件編
「プロテクションプロファイル」(Protection Profile ――PP)
・ 情報処理製品や情報処理システムの種類別に、対象となる業務や製品をモデル化し、要求者/利用者の
立場から、必要なセキュリティ要件を規定したもの・・要求仕様書
・ 一般に分野ごとの業界団体や標準化機関が作成する。
・ 抽象的な記述や、具体的操作を留保(割当てまたは選択)した記述を行うことができる。
「セキュリティターゲット」(Security Target ――ST)
・個々の情報処理製品や情報処理システムの、セキュリティ対策の基本方針を定めるもの・・基本設計書
・ 製品、システムの開発者が作成する。
・ 同一、類似分野のPPを直接、参照することができる。(PPの内容を変更・削除してはならない)信頼できるPPを参照することで、STの設計品質も高まる。STに「xx社インターネットバンキングシステムはaaインターネットバンキングシステム要求仕様書に準拠している」と表明すれば、利用者からみても理解しやすい。
・ PPを参考にしてSTを作成することもできる。(この場合、参照とはいわない)
2. ST/PPの構成
(1) 概要
・ ST概説(ST序説)
・ TOE記述
TOE:Target Of Evaluation (評価対象)
・TOEセキュリティ環境
・ セキュリティオブジェクティブ(セキュリティ対策)
・ ITセキュリティ要件
・ TOEサマリ仕様 ・ PPクレーム(PP適合性)
・ 根拠
|