canon imagepress c165/imagepress lite c165 2600 ......st称 : canon imagepress c165 / imagepress...

発行日: 2020/03/18

Copyright CANON INC. 2020

1

Canon

imagePRESS C165 /

imagePRESS Lite C165 2600 model

Security Target

Version 1.04

2020/03/18

キヤノン株式会社

Significant portions of this document were excerpted from IEEE Std 2600.1 and 2600.2,

-2009 - copyright IEEE 2009 and reproduced with permission from IEEE. , All rights

reserved. An use beyond what is permitted, please contact mailto:[email protected].

mailto:[email protected]

発行日: 2020/03/18


2

目次

1 ST introduction ........................................................................................................... 4

1.1 ST reference ....................................................................................................... 4

1.2 TOE reference .................................................................................................... 4

1.3 TOE overview(TOE概要) ..................................................................................... 4

1.3.1 TOE種別 .................................................................................................... 4

1.3.2 TOEの使用方法と主要なセキュリティ機能 ........................................................ 5

1.3.3 TOEの運用環境 .......................................................................................... 5

1.4 TOE description(TOE記述) .................................................................................. 7

1.4.1 TOEの物理的範囲 ....................................................................................... 7

1.4.2 TOEの論理的範囲 ....................................................................................... 9

1.5 略語・用語 ....................................................................................................... 11

2 Conformance claims ................................................................................................... 14

2.1 CC Conformance claim ....................................................................................... 14

2.2 PP claim, Package claim ..................................................................................... 14

2.3 SFR Packages ................................................................................................... 14

2.3.1 SFR Packages reference ............................................................................... 14

2.3.2 SFR Package functions ................................................................................. 15

2.3.3 SFR Package attributes ................................................................................ 16

2.4 PP Conformance rationale ................................................................................... 16 3 Security Problem Definition ......................................................................................... 19

3.1 Notational conventions ....................................................................................... 19

3.2 TOEのユーザー ............................................................................................... 19

3.3 TOEの資産 ..................................................................................................... 20

3.3.1 User Data .................................................................................................. 20

3.3.2 TSF Data ................................................................................................... 20

3.3.3 Functions .................................................................................................. 21

3.4 Threats agents .................................................................................................. 21

3.5 Threats to TOE Assets ...................................................................................... 21

3.6 Organizational Security Policies for the TOE ......................................................... 22

3.7 Assumptions ..................................................................................................... 22 4 Security Objectives .................................................................................................... 23

4.1 Security Objectives for the TOE .......................................................................... 23

4.2 Security Objectives for the IT environment ............................................................ 23

4.3 Security Objectives for the non-IT environment ..................................................... 23

4.4 Security Objectives rationale ............................................................................... 24

5 Extended components definition (APE_ECD) ................................................................... 28

5.1 FPT_FDI_EXP Restricted forwarding of data to external interfaces ............................. 28 6 Security requirements ................................................................................................. 30

6.1 Security functional requirements .......................................................................... 30

6.1.1 ユーザー認証機能 ...................................................................................... 30

6.1.2 ジョブ実行アクセス制御機能 ......................................................................... 33

6.1.3 投入ジョブアクセス制御機能 ......................................................................... 35

6.1.4 受信ジョブ転送機能 .................................................................................... 39

6.1.5 HDDデータ完全消去機能 ........................................................................... 39

6.1.6 HDD 暗号化機能 ....................................................................................... 39

6.1.7 LANデータ保護機能 .................................................................................. 40

発行日: 2020/03/18


3

6.1.8 自己テスト機能 ........................................................................................... 41

6.1.9 監査ログ機能 ............................................................................................. 42

6.1.10 管理機能 ................................................................................................... 44

6.2 Security Assurance Requirements ......................................................................... 48

6.3 Security functional requirements rationale ............................................................. 49

6.3.1 The completeness of security requirements ...................................................... 49

6.3.2 The sufficiency of security requirements .......................................................... 50

6.3.3 The dependencies of security requirements ...................................................... 52

6.4 Security assurance requirements rationale ............................................................. 54 7 TOE Summary specification ......................................................................................... 55

7.1 ユーザー認証機能 ............................................................................................ 55

7.2 ジョブ実行アクセス制御機能 ............................................................................... 55

7.3 投入ジョブアクセス制御機能 ............................................................................... 56

7.3.1 ジョブのキャンセル機能 ............................................................................... 57

7.3.2 ジョブ中の電子文書へのアクセス制御機能 ...................................................... 57

7.3.3 送信ジョブ一時保存機能 ............................................................................. 59

7.4 受信ジョブ転送機能 .......................................................................................... 59

7.5 HDDデータ完全消去機能 ................................................................................. 60

7.6 HDD 暗号化機能 ............................................................................................. 60

7.6.1 暗号化/復号機能 ....................................................................................... 60

7.6.2 暗号鍵管理機能 ......................................................................................... 60

7.7 LANデータ保護機能 ......................................................................................... 61

7.7.1 IPパケット暗号化機能 ................................................................................. 61

7.7.2 暗号鍵管理機能 ......................................................................................... 61

7.8 自己テスト機能 ................................................................................................. 62

7.9 監査ログ機能 ................................................................................................... 62

7.10 管理機能 ...................................................................................................... 63

7.10.1 ユーザー管理機能 ...................................................................................... 63

7.10.2 デバイス管理機能 ....................................................................................... 64

商標などについて

- Canon、Canon ロゴ、imageRUNNER、imageRUNNER ADVANCE、imagePRESS、MEAP、MEAP

ロゴはキヤノン株式会社の登録商標または商標です。

- Microsoft、Internet Explorler、 Active Directory は、米国 Microsoft Corporation の米国およびその

他の国における登録商標または商標です。

- -eDirectoryは,米国 Novell, Inc.の商標です。

- その他、本文中の社名や商品名は、各社の商標または登録商標です。

発行日: 2020/03/18


4

1 ST introduction

1.1 ST reference

本節では Security Target（以下、ST と略す）の識別情報を記述する。

ST 名称: Canon imagePRESS C165 / imagePRESS Lite C165 2600 model Security Target

バージョン: 1.04

発行者: キヤノン株式会社

発行日: 2020/03/18

1.2 TOE reference

本節では TOE の識別情報を記述する。

TOE 名称: Canon imagePRESS C165 / imagePRESS Lite C165 2600 model

バージョン: 1.0

尚、本 TOE は以下に示すソフトウェア、ハードウェアから構成される（[]は TOE識別情報を示す）。

・iPRセキュリティーキット・D1 for IEEE 2600 Ver 1.00（制御ソフトウェア）

[セキュリティーキット for IEEE 2600]

[コントローラーバージョン 1610]

・Canon imagePRESS C165 / imagePRESS Lite C165 ファクス付き [iPR C165] [スーパーG3FAX ボード]

・Canon MFP Security Chip 2.11 [Canon MFP Security Chip 2.11]

※英文名称

・iPR Security Kit-D1 for IEEE 2600 Common Criteria Certification Ver 1.00(system software) [Security Kit for IEEE 2600]

[Controller Version 1610]

・Canon imagePRESS C165 / imagePRESS Lite C165 with Fax [iPR C165] [Super G3 FAX Board]

・Canon MFP Security Chip 2.11 [Canon MFP Security Chip 2.11]

1.3 TOE overview(TOE 概要)

本節では、TOE種別、TOE の使用方法、TOEの主要なセキュリティ機能について記述する。

1.3.1 TOE 種別

TOE は、プリント機能・スキャン機能・コピー機能・ファクス機能・文書の保存と取り出し機能・

HDD 暗号化機能を備えたデジタル複合機である。

発行日: 2020/03/18


5

1.3.2 TOE の使用方法と主要なセキュリティ機能

TOE は、プリント機能、スキャン機能、コピー機能、Iファクス受信機能、ファクス受信機能、ファクス送信

機能、送信（Universal send）機能、ユーザーボックス機能）を持つ MFPであり、内部 LANに接続して利

用する。これらの機能を保護するために、利用者を識別認証する機能、権限に基づく文書データや機能

に対するアクセス制御機能、受信ジョブの転送制限、TOE 内のストレージに保存される設定情報や文書

データの暗号化機能、HDD データ完全消去機能、LAN データ保護機能、自己テスト機能、ユーザー操

作を監査するための監査ログ取得機能、管理者に限定された管理機能を持つ。

1.3.3 TOE の運用環境

TOE は、コピー機能・プリント機能・送信（Universal Send）機能・ファクス機能・I ファクス受信機能・ユーザ

ーボックス機能、などを併せ持つ複合機である。TOE が適合する U.S. Government Approved

Protection Profile - U.S. Government Protection Profile for Hardcopy Devices Version 1.0

(IEEE Std 2600.2™-2009)では以下のような利用環境を想定している。（“IEEE Standard Protection

Profile for Hardcopy Devices in IEEE Std 2600™-2008 Operational Environment B” “1.1 Scope”

からの引用）

Figure 1 は、TOE であるデジタル複合機< Canon imagePRESS C165 / imagePRESS Lite C165 2600 model

>のオプションを含む機能を使用する場合の運用環境であり、使用しない機能がある場合には、運用環

境は異なる場合がある。

Figure 1 デジタル複合機< Canon imagePRESS C165 / imagePRESS Lite C165 ファクス付き>

の運用環境

PC

HDD内部LAN

Firewall

メールサーバー

ユーザー

ボックス

システム

ボックス

Iファクス送信／送信（電子メール）

Iファクス受信

紙文書紙文書

Webブラウザ

Internet

デジタル複合機

ユーザー認証サーバーユーザー認証認証結果

タイムサーバー

PC

ファクス受信

ファクス送信

電話公衆回線

監査ログ用ファイルサーバー（SMBサーバー）

Syslogサーバー

発行日: 2020/03/18


6

Figure 1 に示すような運用環境では、デジタル複合機は内部 LAN によってメールサーバー、ユーザー

認証サーバー、監査ログ用ファイルサーバー（SMBサーバー）1、Syslog サーバー2 、PC、Firewall に接続されており、Firewall によって Internet から内部 LAN への攻撃を防いでいる。デジタル複合機は、自

身で読み込んだ電子文書を Iファクス送信や電子メール送信したり、Iファクスを受信したりするためにメ

ールサーバーに接続する。また、PC を用いて電子文書をプリント、保存することができ、Webブラウザ3を

PC上にインストールすることでデジタル複合機をリモート操作することも可能である。ただし、PC からプリ

ントを行う場合は、適切なプリンタードライバーを PCにインストールして使用する必要がある。USB ケー

ブルで PC を直接接続することで PCから電子文書をプリント、保存することも可能である。ただし、USB

接続でデジタル複合機から PCや USB デバイスにデータを保存することはできないように設置時に設定

する。

更に、TOE はタイムサーバーから正確な日時を取得して時刻同期を行ったり、外部のユーザー認証サー

バーと連携することで利用者の識別認証機能を提供したりすることを可能としている。また、監査ログ用フ

ァイルサーバーへ監査ログを定期的に出力することや、Syslog サーバーに監査ログを送信することもでき

る。なお、TOE は内蔵 HDD に格納されるすべてのデータを暗号化する、HDD 暗号化機能を備えている。

1 CC 評価におけるテスト環境では、監査ログ用ファイルサーバーは Windows Server 2012 R2 Standard Edition を利用し

た。

2 CC 評価におけるテスト環境では、Syslog サーバーは Windows Server 2012 R2 Standard Edition 上で、psyslog v1.04 を

利用した。

3 CC 評価におけるテスト環境では、Web ブラウザは Microsoft Internet Explorer 11 を利用した。

発行日: 2020/03/18


7

1.4 TOE description(TOE 記述)

TOEが適合する U.S. Government Approved Protection Profile - U.S. Government Protection

Profile for Hardcopy Devices Version 1.0 (IEEE Std 2600.2™-2009)の要求仕様を実現するために

以下のような TOE を構成する。

TOEの物理的範囲と論理的範囲は以下の通りである。

1.4.1 TOE の物理的範囲

TOE はハードウェアとソフトウェアから構成されたデジタル複合機である。物理的範囲は以下の Figure 2

に示す部分である。

Figure 2 TOE のハードウェア/ソフトウェア

制御ソフトウェア

（TOE:ソフトウェア）

Canon imagePRESS C165 / imagePRESS Lite C165 ファクス付き

本体ハードウェア

（TOE:ハードウェア）

TOEを構成する本体ハードウェアである< Canon imagePRESS C165 / imagePRESS Lite C165 ファクス付

き >とは、Table 1— 製品ラインアップ一覧に示す Canon imagePRESS C165 / imagePRESS Lite C165

に適切なファクスボードオプションを調達して本体に装着し、ファクスボードを認識させたものである。

本体ハードウェアの販売名称は、米州仕向けのみ Canon imagePRESS Lite C165 となり、その他の地域

は、Canon imagePRESS C165 である。本体ハードウェアの識別名はどちらの場合でも下記のとおり”iPR

C165”となる。

Table 1 — 製品ラインアップ一覧

製品ラインアップ Canon imagePRESS C165 / imagePRESS Lite C165

iPR C165

調達すべきファクスボードは、販売地域により以下のように名称が異なる。

日本：スーパーＧ３ＦＡＸボード・BA1

米州・韓国： Super G3 FAX Board-AS2

上記以外の地域： Super G3 FAX Board-AS1

TOEを構成する制御ソフトウェアは< iPR セキュリティーキット・D1 for IEEE 2600 Ver 1.00 >内に

ディスクメディアにて提供される（コントローラーバージョン V16.10）。

< Canon imagePRESS C165 / imagePRESS Lite C165 ファクス付き>に< iPR セキュリティー

キット・D1 for IEEE 2600 Ver 1.00 >に同梱される制御ソフトウェアをインストールし、ガイダンス記載の

各種設定を行うことで TOE である< Canon imagePRESS C165 / imagePRESS Lite C165 2600 model >が

完成する。

また、TOE に含まれるガイダンスは< iPRセキュリティーキット・D1 for IEEE 2600 Ver 1.00 >に同梱さ

れ消費者へ提供される。識別と提供媒体を下記に記載する。

発行日: 2020/03/18


8

iPR Security Kit-D1 for IEEE 2600 Common Criteria Certification Administrator Guide [FT6-

2602 (000)] （紙）

iPR セキュリティーキット・D1 for IEEE 2600 アドミニストレーターガイド[FT6-2601 (000)] （紙） Before Using the iPR Security Kit-D1 for IEEE 2600 Common Criteria Certification [FT6-

2603(000)] （紙）

（和文名称）iPR セキュリティーキット・D1 for IEEE 2600 をお使いになる前にお読みください

imagePRESS C165 / imagePRESS Lite C165 2600 model User's Guide [FT6-2604 (000)] （CD）

TOE は、販売会社から直接もしくは販売店を経由し、以下に記載の一意識別情報が付与された構

成物が消費者へ配送される。

imagePRESS Lite C165（米州に配送される場合）,

imagePRESS C165（その他の地域に配送される場合）

スーパーＧ３ＦＡＸボード・BA1（日本に配送される場合）,

Super G3 FAX Board-AS2（米州・韓国に配送される場合） ,

Super G3 FAX Board-AS1（その他の地域に配送される場合）

iPR セキュリティーキット・D1 for IEEE 2600 Ver 1.00（日本に配送される場合)

iPR Security Kit-D1 for IEEE 2600 Common Criteria Certification Ver 1.00（その他の地域に配

送される場合）

発行日: 2020/03/18


9

1.4.2 TOE の論理的範囲

TOEの論理的範囲を以下の Figure 3で図示する（ユーザー、ユーザー認証サーバー、メールサーバー、

監査ログ用ファイルサーバー、Syslog サーバー、PC、タイムサーバーを除く）。TOE のセキュリティ機能は

色つきで示す部分である。

Figure 3 TOE の機能構成

LANデータ保護機能

HDDUI機能

ユーザー

ユーザー認証サーバー


ユーザー認証機能

メールサーバー


電子メール機能

PC


Webブラウザ

電子文書電子文書認証情報

紙文書

タイムサーバー

時刻機能

時刻情報

出力機能読み込み機能

プリント機能

スキャン機能送信機能

コピー機能ボックス機能

ジョブ実行アクセス制御機能

投入ジョブアクセス制御機能

ユーザー認証機能 HDDデータ完全消去機能

HDD暗号化機能

管理機能

自己テスト機能監査ログ機能


データの流れ

操作/表示紙文書

受信ジョブ転送機能

受信機能

TOE

PC電子文書

USB接続

FAX電子文書

電話回線

監査ログ用ﾌｧｲﾙｻｰﾊﾞｰSyslogサーバー

ファイル管理機能


監査ログ情報

TOE は以下の一般機能を有する。

– コピー機能

紙文書をスキャナで読み込み、プリントすることにより、紙文書を複写する機能である。

– プリント機能

デジタル複合機内の電子文書や PC から送信される電子文書を紙文書にプリントする機能である。

– Iファクス受信機能

インターネットを介して、Iファクスとして電子文書を受信する機能である。Iファクス受信されたファイル

は、受信時にプリントされずにシステムボックスに保存される。保存されたファイルは、必要な

ときにプリント、送信、削除ができる。

– ファクス受信機能

ファクス回線を介して、電子文書を受信する機能である。ファクス受信されたファイルは、受

信時にプリントされずにシステムボックスに保存される。保存されたファイルは、必要なとき

にプリント、送信、削除ができる。

発行日: 2020/03/18


10

– ファクス送信機能

紙文書をスキャンして生成された電子文書やユーザーボックス/システムボックスに保存されている電

子文書をファクス送信する機能である。

– 送信（Universal Send）機能

紙文書をスキャンして生成された電子文書やユーザーボックス/システムボックスに保存されている電

子文書を TIFF や PDF ファイル形式で電子メールアドレスや PC の共有フォルダー、I ファクスなどに

送信する機能である。

– ユーザーボックス機能

この機能は、ユーザーボックスへイメージファイルを保存する機能とユーザーボックスの保存文書を利

用する機能に大別できる。

- ユーザーボックスへイメージファイルを保存する機能

スキャナから読み込んだ電子文書や、PCにてボックス保存を指定した電子文書をユーザー

ボックスに保存する機能である。

- ユーザーボックスの保存文書を利用する機能

ユーザーボックスに保存された電子文書に対して以下の操作ができる。

– 電子文書（プリント設定）の編集

– 電子文書のプリント

– 電子文書の送信

– 電子文書の削除

– UI 機能

ユーザーが操作パネルを用いて TOEを操作したり、TOEが操作パネルに表示したりする。

TOE は、以下のセキュリティ機能を有する。

– ユーザー認証機能

登録外の人によって勝手に TOEが利用されないように、正当なユーザーを認証する。

ユーザー認証は、TOE 内で認証する内部認証と外部のユーザー認証サーバーを用いて認証する外

部認証をサポートする。外部認証における認証方式はKerberos認証4もしくはLDAP認証5を用いる。

– ジョブ実行アクセス制御機能

認証されたユーザーが権限外のデジタル複合機の機能を実行できないように、ユーザーのロールに

応じて各種機能の実行を許可する。

– 投入ジョブアクセス制御機能

投入したジョブに対して、プリントやジョブキャンセル等の操作をジョブ投入したユーザーに制限する。

– 受信ジョブ転送機能

受信したジョブの LANへの転送を制御する。ファクスラインを悪用した攻撃に対抗するために、ファク

ス受信ジョブの転送を制限する。

– HDD データ完全消去機能

4 CC 評価におけるテスト環境では、Kerberos 認証として Active Directory Domain Services を利用した。 5 CC 評価におけるテスト環境では、LDAP 認証として eDirectory 8.8 SP8 を利用した。

発行日: 2020/03/18


11

ジョブ実行時に作成されたイメージデータが再利用されることを防ぐために、HDD の残存イメージデ

ータ領域を上書きして完全消去する。

– HDD 暗号化機能

HDD を持ち去り HDD データへのアクセスする脅威に対抗するために、デジタル複合機本体に内蔵

された暗号化チップにより HDD に格納されるすべてのデータを暗号化する。

– LAN データ保護機能

LAN データの IP パケットへのスニッファリング対策として、IP パケットを IPSecにて暗号化する。

– 自己テスト機能

主要のセキュリティ機能が正常であることを、スタートアップ時に検証する。

– 監査ログ機能

ユーザーの操作を監査できるようにログを生成し、HDD 内に保存する機能であり、更に保存された

監査記録を保護、閲覧できるようにする。また、監査記録を監査ログ用ファイルサーバーや Syslog サ

ーバーへ保存することができる。

ログに記録される日時情報は、TOE から提供される。TOE の日時情報は、管理機能の利用、もしくは

タイムサーバーから正確な日時を取得して時刻同期することで設定される。

– 管理機能

ユーザーやロールを登録・削除するためのユーザー管理機能と各種セキュリティ機能が適切に動作

するためのデバイス管理機能であり、ともに管理者のみに操作が限定されている

1.5 略語・用語

本 ST では以下の略語・用語を使用する。

Table 2 —略語・用語

略語・用語説明

デジタル複合機コピー機能、ファクス機能、プリント機能、送信（Universal Send）機能などを併せ

持つ複合機のこと。これらの機能を使用するため、大容量の HDD を持つ。

制御ソフトウェア本体ハードウェア上動作しセキュリティ機能の制御を司るソフトウェアである。

操作パネルデジタル複合機を構成するハードウェアのひとつであり、操作キーとタッチパネ

ルから構成され、デジタル複合機を操作するときに使用されるインターフェース

である。

リモート UI Web ブラウザから LAN を経由してデジタル複合機にアクセスし、デジタル複合

機の動作状況の確認やジョブの操作、ボックスに対する操作、各種設定などが

できるインターフェースである。

HDD デジタル複合機に搭載されるハードディスクのこと。制御ソフトウェアおよび、保

護資産が保存される。

Iファクスファクス文書の送受信を行うためのインフラとして、電話回線ではなく、インター

ネットを使用するインターネットファクスのこと。

イメージファイル読み込み、プリント、受信などによってデジタル複合機内に生成された画像デ

ータ。

http://e-words.jp/w/E38391E382B1E38383E38388E382B9E3838BE38383E38395E382A1E383AAE383B3E382B0.html

発行日: 2020/03/18


12


テンポラリイメージフ

ァイル

コピー・プリント等のジョブの途中に生成され、ジョブが完了すると不要になるイ

メージファイル。

ロールアクセス制御機能で利用するユーザーの権限であり、各ユーザーにはひとつ

のロールが関連付けられる。

あらかじめ定義されているデフォルトロールに加え、カスタムロールとしてデフォ

ルトロールで決められたアクセス制限値を変更した新規のロールを作成するこ

とが可能である。デフォルトロールには以下のロールがある

Administrator/Power User/General User/Limited User

Administrator ロールとは管理機能を利用する権限(管理権限)を示す。

管理者 Administrator ロールが割り当てられた管理権限を有するユーザー。

PP で定義されている U.ADMINISTRATOR。

ジョブユーザーが TOE の機能を利用して文書を操作する際のユーザーの作業指

示と対象となる文書のデータ（電子文書）を組み合わせたもの。

文書の操作には、読み込み、プリント、コピー、ファクス送信、保存、削除があ

り、ユーザーの操作によりジョブの生成、実行、完了までの一連の処理が行わ

れる。

電子文書デジタル複合機内で取り扱われるユーザーデータであり、イメージファイルとプ

リント設定から構成される。

メモリー受信受信したファクス/I ファクスを、プリントしないでシステムボックスに保存しておく

機能のこと。

ボックスデジタル複合機において読み込みやプリント、ファクス受信した電子文書を保

存する領域。ユーザーボックス、ファクスボックス、システムボックスの 3 種類が

存在する。

※本 TOE では、ファクスボックスを利用しない。

ユーザーボックスデジタル複合機で一般ユーザーが読み込んだ電子文書や、PC からプリント指

示した電子文書などが保存されるボックスであり、電子文書のプリントが可能で

ある。

システムボックスファクスメモリー受信/I ファクスメモリー受信した電子文書が保存されるボックス

であり、電子文書のプリントや送信などが可能である。

メールサーバーデジタル複合機で読み込んだ電子文書を I ファクス送信や電子メール送信す

る場合に必要なサーバー。

ユーザー認証サー

バー

ユーザーID やパスワード等のユーザー情報を保持し、ネットワークを介してユ

ーザー認証を行うサーバー。

Firewall Internet から内部 LAN への攻撃を防ぐための装置やシステム。

タイムサーバー時刻を正確に合わせており、Internet を介して、Network Time Protocol を使っ

た時刻の問い合わせに答えることができるサーバー。

「プリント」留め置きプリントを操作する機能を起動する操作パネル上のボタン。

「コピー」コピー機能を起動する操作パネル上のボタン。

発行日: 2020/03/18


13


「ファクス」ファクス機能を起動する操作パネル上のボタン。

「スキャン」紙文書を読み込んでボックスへ保存する機能や読み込んだ電子文書を電子メ

ールアドレスや PC の共有フォルダー等へ送信する機能を起動する操作パネ

ル上のボタンである「スキャンして送信」「スキャンして保存」ボタン。

「受信トレイ」「受信トレイ」とは受信トレイへの操作パネル上のボタン。

受信トレイとは、ファクス／I ファクス受信されたファイルを一時的に保存するトレ

イであり、システムボックスとファクスボックスの 2 種類があります。

「保存ファイルの利

用」

ボックスへ保存された電子文書を操作する機能を起動する操作パネル上のボ

タン。

リモート UI 上の「受

信/保存ファイルの利

用」

ボックスへ保存された電子文書を操作する機能を起動するリモート UI上のボタ

ン。

発行日: 2020/03/18


14

2 Conformance claims

2.1 CC Conformance claim

この ST は、以下の Common Criteria （以下、CC と略す）に適合する。

– Common Criteria version: Version 3.1 Release 5

– Common Criteria conformance: Part 2 extended and Part 3 conformant

– Assurance level: EAL2 augmented by ALC_FLR.2

2.2 PP claim, Package claim

この ST は、以下の PP に適合する。

- Title: U.S. Government Approved Protection Profile - U.S. Government Protection Profile for

Hardcopy Devices Version 1.0 (IEEE Std 2600.2™-2009)

– Version:1.0

この ST は、以下の SFR Packages 適合、追加である。

– 2600.2-PRT 適合

– 2600.2-SCN 適合

– 2600.2-CPY 適合

– 2600.2-FAX 適合

– 2600.2-DSR 適合

– 2600.2-SMI 追加

2.3 SFR Packages

2.3.1 SFR Packages reference

Title: 2600.2-PRT, SFR Package for Hardcopy Device Print Functions, Operational Environment B

Package version: 1.0, dated March 2009

Common Criteria version: Version 3.1 Revision 2

Common Criteria conformance: Part 2 and Part 3 conformant

Package conformance: EAL2 augmented by ALC_FLR.2

Usage: This SFR Package shall be used for HCD products (such as printers, paper-based fax machines, and

MFPs) that perform a printing function in which electronic document input is converted to physical

document output.

Title: 2600.2-SCN, SFR Package for Hardcopy Device Scan Functions, Operational Environment B





Usage: This SFR Package shall be used for HCD products (such as scanners, paper-based fax machines,

and MFPs) that perform a scanning function in which physical document input is converted to electronic

document output.

発行日: 2020/03/18


15

Title: 2600.2-CPY, SFR Package for Hardcopy Device Copy Functions, Operational Environment B





Usage: This Protection Profile shall be used for HCD products (such as copiers and MFPs) that perform a

copy function in which physical document input is duplicated to physical document output.

Title: 2600.2-FAX, SFR Package for Hardcopy Device Fax Functions, Operational Environment B





Usage: This SFR Package shall be used for HCD products (such as fax machines and MFPs) that perform a

scanning function in which physical document input is converted to a telephone-based document facsimile

(fax) transmission, and a printing function in which a telephone-based document facsimile (fax) reception

is converted to physical document output.

Title: 2600.2-DSR, SFR Package for Hardcopy Device Document Storage and Retrieval (DSR)

Functions, Operational Environment B





Usage: This SFR Package shall be used for HCD products (such as MFPs) that perform a document storage

and retrieval feature in which a document is stored during one job and retrieved during one or more

subsequent jobs.

Title: 2600.2-SMI, SFR Package for Hardcopy Device Shared-medium Interface Functions,

Operational Environment B



Common Criteria conformance: Part 2 extended and Part 3 conformant


Usage: This SFR Package shall be used for HCD products that transmit or receive User Data or TSF Data over a

communications medium which, in conventional practice, is or can be simultaneously accessed by multiple

users, such as wired network media and most radio frequency wireless media. This package applies for TOEs

that provide a trusted channel function allowing for secure and authenticated communication with other IT

systems. If such protection is supplied only by the TOE environment, then this package cannot be claimed.

2.3.2 SFR Package functions

Functions perform processing, storage, and transmission of data that may be present in HCD products. The

functions that are allowed, but not required in any particular conforming Security Target or Protection Profile,

are listed in Table 3.

Table 3 — SFR Package functions

Designation Definition

F.PRT Printing: a function in which electronic document input is converted to physical document output

F.SCN Scanning: a function in which physical document input is converted to electronic document output

F.CPY Copying: a function in which physical document input is duplicated to physical document output

F.FAX Faxing: a function in which physical document input is converted to a telephone-based document facsimile (fax) transmission, and a function in which a telephone-based document facsimile (fax)

reception is converted to physical document output

F.DSR Document storage and retrieval: a function in which a document is stored during one job and retrieved during one or more subsequent jobs

発行日: 2020/03/18


16


F.SMI Shared-medium interface: a function that transmits or receives User Data or TSF Data over a communications medium which, in conventional practice, is or can be simultaneously accessed

by multiple users, such as wired network media and most radio-frequency wireless media

2.3.3 SFR Package attributes

When a function is performing processing, storage, or transmission of data, the identity of the function is

associated with that particular data as a security attribute. This attribute in the TOE model makes it possible

to distinguish differences in Security Functional Requirements that depend on the function being

performed. The attributes that are allowed, but not required in any particular conforming Security Target or

Protection Profile, are listed in Table 4.

Table 4 —SFR Package attributes


+PRT Indicates data that are associated with a print job.

+SCN Indicates data that are associated with a scan job.

+CPY Indicates data that are associated with a copy job.

+FAXIN Indicates data that are associated with an inbound (received) fax job.

+FAXOUT Indicates data that are associated with an outbound (sent) fax job.

+DSR Indicates data that are associated with a document storage and retrieval job.

+SMI Indicates data that are transmitted or received over a Shared-medium interface.

2.4 PP Conformance rationale

TOE は、デジタル複合機の主要な機能であるコピー、プリント、スキャナ、ファクスの機能に加え、文書保

存機能、LAN データの暗号化機能を装備することから、2.2章の PP claim, Package claimにおける PP

に定義されているすべての SFR Package に適合することは適切である。

なお、本 ST が適合主張する PP は、IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std

2600™-2008, Operational Environment B に適合し、かつ CCEVS Policy Letter #20 に定義される内容も含

んだものである。

以下に、6個の SFR Packages を包含した PP とこの ST を比較していく。

まず、Security Problem Definition に関して、PP と ST を比較すると、以下の OSP をひとつ追加して

いる以外は同じである。

P.STORAGE.CRYPT

これは、運用環境を制約しているのではなく、TOE を制約している OSP である。

従って、以下が成立する。

‐ STのセキュリティ課題定義を満たすすべてのTOEは、PPのセキュリティ課題定義も満たしている

‐ PPのセキュリティ課題定義を満たすすべての運用環境は、STのセキュリティ課題定義も満たしている

次に、Objective に関して、PP と ST を比較すると、以下の Objective をひとつ追加しているほかは同

じである。

O.STORAGE.CRYPTED

本 Objective を実現するため、FCS_COP.1(h)及び FCS_CKM.1(h)が追加されている。これらは、PP よりも

TOEのふるまいを制限するものである。よって本 Objective は、TOE を制約している Objective である。


発行日: 2020/03/18


17

‐ STのTOEのセキュリティ対策方針を満たすすべてのTOEは、PPのTOEのセキュリティ対策方針も満たし

ている

‐ PP の運用環境のセキュリティ対策方針を満たすすべての運用環境は、ST の運用環境のセキュリティ

対策方針も満たしている

さらに、機能要件に関して、PP と ST を比較すると、Table 5 のように 6 個の SFR Packages 含めす

べての機能要件に対応して、さらに STでは機能要件が追加されている。

なお、PP Package欄、PP の機能要件欄に「-」が記載されている箇所は、該当するものがないことを示す。

Table 5 —PP、ST での機能要件対応表

PP_Package PP の機能要件 ST の機能要件

Common FAU_GEN.1 FAU_GEN.1

Common FAU_GEN.2 FAU_GEN.2

Common FAU_SAR.1 FAU_SAR.1

Common FAU_SAR.2 FAU_SAR.2

Common FAU_STG.1 FAU_STG.1

Common FAU_STG.4 FAU_STG.4

Common FDP_ACC.1(a) FDP_ACC.1(delete-job)

Common FDP_ACC.1(b) FDP_ACC.1(exec-job)

Common FDP_ACF.1(a) FDP_ACF.1(delete-job)

Common FDP_ACF.1(b) FDP_ACF.1(exec-job)

Common FDP_RIP.1 FDP_RIP.1

Common FIA_ATD.1 FIA_ATD.1

Common FIA_UAU.1 FIA_UAU.1

Common FIA_UID.1 FIA_UID.1

Common FIA_USB.1 FIA_USB.1

Common FMT_MSA.1(a) FMT_MSA.1(delete-job)

Common FMT_MSA.3(a) FMT_MSA.3(delete-job)

Common FMT_MSA.1(b) FMT_MSA.1(exec-job)

Common FMT_MSA.3(b) FMT_MSA.3(exec-job)

Common FMT_MTD.1(FMT_MTD.1.1(a)) FMT_MTD.1(device-mgt)

Common FMT_MTD.1(FMT_MTD.1.1(b)) FMT_MTD.1(user-mgt)

Common FMT_SMF.1 FMT_SMF.1

Common FMT_SMR.1 FMT_SMR.1

Common FPT_STM.1 FPT_STM.1

Common FPT_TST.1 FPT_TST.1

Common FTA_SSL.3 FTA_SSL.3(lui), FTA_SSL.3(rui)

PRT FDP_ACC.1 FDP_ACC.1(in-job)

PRT FDP_ACF.1 FDP_ACF.1(in-job)

SCN FDP_ACC.1 FDP_ACC.1(in-job)

SCN FDP_ACF.1 FDP_ACF.1(in-job)

CPY FDP_ACC.1 FDP_ACC.1(in-job)

CPY FDP_ACF.1 FDP_ACF.1(in-job)

FAX FDP_ACC.1 FDP_ACC.1(in-job)

FAX FDP_ACF.1 FDP_ACF.1(in-job)

DSR FDP_ACC.1 FDP_ACC.1(in-job)

DSR FDP_ACF.1 FDP_ACF.1(in-job)

SMI FAU_GEN.1 FAU_GEN.1

SMI FPT_FDI_EXP.1 FPT_FDI_EXP.1

SMI FTP_ITC.1 FTP_ITC.1

Common - FIA_AFL.1

Common - FIA_SOS.1

Common - FIA_UAU.7

- - FCS_COP.1(h)

発行日: 2020/03/18


18

PP_Package PP の機能要件 ST の機能要件

- - FCS_CKM.1(h)

SMI - FCS_CKM.1(n)

SMI - FCS_COP.1(n)

SMI - FCS_CKM.2

PP では、FDP_ACF.1(a)において、+FAXIN の D.DOC の Delete、+FAXIN の D.FUNC の Delete に

対する Subject を U.NORMAL としているが、ST では FDP_ACF.1(delete-job)において、Subject を

U.ADMINISTRATOR とし、U.NORMAL の Access Control rule を「Denied」としている。また、PP

では、FDP_ACC.1 において、+FAXIN の D.DOC の Read に対する Subject を U.NORMAL としてい

るが、ST では FDP_ACC.1(in-job)において、Read に対する Subject を U.ADMINISTRATOR とし、

U.NORMAL の Access Control rule を「Denied」としている。

上述した ST の機能要件の割り付けは Delete や Read 可能な Subject の範囲を狭め、U.NORMAL の

アクセス可能な Object をなくす割り付けであり、PP の機能要件よりも制限的なアクセス制御を行

っていると言える。

PP では、FDP_ACF.1(a)において、+FAXIN の D.FUNC の Modify に対する Subject を U.NORMAL

としているが、ST では FDP_ACF.1(delete-job)において、Subject を U.User とし、Access Control rule

を「Denied」としている。

STの機能要件の割り付けは、機能の利用をどのSubjectにも許さないようにする割り付けであり、

PP の機能要件よりも制限的なアクセス制御を行っていると言える。

以上の説明より、ST で記述されている SFR は、PP で記述されている SFR より「同等またはより

制限的」であるといえる。


‐ STのSFRを満たすすべてのTOEは、PPのSFRも満たしている

また、STの保証要件は PPの保証要件と同じである。

以上により、この ST は PP に比較して、TOE に同等以上の制限を課し、TOE の運用環境に同等以下の

制限を課している。

従って、この ST は PP を論証適合している。

発行日: 2020/03/18


19

3 Security Problem Definition

3.1 Notational conventions

a) Defined terms in full form are set in title case (for example, “Document Storage and Retrieval”).

b) Defined terms in abbreviated form are set in all caps (for example, “DSR”).

c) In tables that describe Security Objectives rationale, a checkmark (“”) place at the intersection of a row and column indicates that the threat identified in that row is wholly or partially mitigated by

the objective in that column.

d) In tables that describe completeness of security requirements, a bold typeface letter “P” placed at the intersection of a row and column indicates that the requirement identified in that row performs

a principal fulfillment of the objective indicated in that column. A letter “S” in such an intersection

indicates that it performs a supporting fulfillment.

e) In tables that describe the sufficiency of security requirements, a bold typeface requirement name and purpose indicates that the requirement performs a principal fulfillment of the objective in the

same row. Requirement names and purposes set in normal typeface indicate that those

requirements perform supporting fulfillments.

f) In specifications of Security Functional Requirements (SFRs):

1) Bold typeface indicates the portion of an SFR that has been completed or refined in this Protection Profile, relative to the original SFR definition in Common Criteria Part 2 or an

Extended Component Definition.

2) Italic typeface indicates the portion of an SFR that must be completed by the ST Author in a conforming Security Target.

3) Bold italic typeface indicates the portion of an SFR that has been partially completed or refined in this Protection Profile, relative to the original SFR definition in Common Criteria

Part 2 or an Extended Component Definition, but which also must be completed by the ST

Author in a conforming Security Target.

g) The following prefixes in Table 6 are used to indicate different entity types:

Table 6 — Notational prefix conventions

Prefix Type of entity

U. User

D. Data

F. Function

T. Threat

P. Policy

A. Assumption

O. Objective

OE. Environmental objective

+ Security attribute

3.2 TOE のユーザー

TOE のユーザー（U.USER）は、以下の 2 種類のユーザーに分類できる。

Table 7 — Users

Designation Definition U.USER Any authorized User.

– U.NORMAL A User who is authorized to perform User Document Data processing functions of the TOE.

発行日: 2020/03/18


20

Designation Definition U.ADMINISTRATOR A User who has been specifically granted the authority to manage some portion

or all of the TOE and whose actions may affect the TOE security policy (TSP).

Administrators may possess special privileges that provide capabilities to

override portions of the TSP.

3.3 TOE の資産

資産は、User Data, TSF Data, Functions の 3 種類である。

3.3.1 User Data

User Data は、ユーザーによって作成される TOE のセキュリティ機能には影響を与えないデータ

であり、以下の 2 種類に分類できる。

Table 8 — User Data


D.DOC User Document Data consists of the information contained in a user’s document. This

includes the original document itself in either hardcopy or electronic form, image data, or

residually-stored data created by the hardcopy device while processing an original

document and printed hardcopy output.

D.FUNC User Function Data are the information about a user’s document or job to be processed by

the TOE.

3.3.2 TSF Data

TSF Data は、TOE のセキュリティ機能に影響を与えるデータであり、以下の 2 種類に分類できる。

Table 9 —TSF Data

Designation Definition D.PROT TSF Protected Data are assets for which alteration by a User who is neither an

Administrator nor the owner of the data would have an effect on the operational security of

the TOE, but for which disclosure is acceptable.

D.CONF TSF Confidential Data are assets for which either disclosure or alteration by a User who is

neither an Administrator nor the owner of the data would have an effect on the operational

security of the TOE.

発行日: 2020/03/18


21

本 TOEで扱う TSF Data を以下に示す。

Table 10 — TSF Data の具体化

タイプ TSF Data 内容保存先 D.PROT ユーザー名ユーザー識別認証機能で利用するユーザーの識別

情報

HDD

ロールアクセス制御機能で利用するユーザーの権限情報 HDD

ロックアウトポリシ

ー設定

ロックアウト機能の設定情報であり、ロックアウト

の許容回数とロックアウト時間の設定情報

HDD

パスワードポリシー

設定

ユーザー認証機能で利用するパスワードの設定情

報であり、最小パスワード長、使用可能文字、組み

合わせに関する制約の設定情報

HDD

オートクリア設定操作パネルのセッションタイムアウトの時間設定

情報

HDD

日付/時刻設定日付と時刻の設定情報 RTC

HDD 完全消去設定 HDD データ完全消去機能設定情報であり、機能の

有効/無効化に関する設定情報

HDD

IPSec 設定 LAN データ保護機能に関する設定情報であり、機

能の有効/無効化に関する設定情報

HDD

D.CONF パスワードユーザー識別認証機能で利用するユーザーの認証

情報

HDD

監査ログ監査ログ機能で生成されるログ HDD

ボックス暗証番号投入ジョブアクセス制御機能で利用する、ユーザーボ

ックス、システムボックスへのアクセス制御で利用

するボックス毎の暗証番号

HDD

3.3.3 Functions

Table 3 に示す機能である。

3.4 Threats agents

This security problem definition addresses threats posed by four categories of threat agents:

a) Persons who are not permitted to use the TOE who may attempt to use the TOE. b) Persons who are authorized to use the TOE who may attempt to use TOE functions for which they are

not authorized.

c) Persons who are authorized to use the TOE who may attempt to access data in ways for which they not authorized.

d) Persons who unintentionally cause a software malfunction that may expose the TOE to unanticipated threats.

The threats and policies defined in this Protection Profile address the threats posed by these threat agents.

3.5 Threats to TOE Assets

This section describes threats to assets described in clause 3.3.

発行日: 2020/03/18


22

Table 11 — Threats to User Data for the TOE

Threat Affected asset Description T.DOC.DIS D.DOC User Document Data may be disclosed to unauthorized persons T.DOC.ALT D.DOC User Document Data may be altered by unauthorized persons T.FUNC.ALT D.FUNC User Function Data may be altered by unauthorized persons

Table 12 — Threats to TSF Data for the TOE

Threat Affected asset Description T.PROT.ALT D.PROT TSF Protected Data may be altered by unauthorized persons

T.CONF.DIS D.CONF TSF Confidential Data may be disclosed to unauthorized persons

T.CONF.ALT D.CONF TSF Confidential Data may be altered by unauthorized persons

3.6 Organizational Security Policies for the TOE

This section describes the Organizational Security Policies (OSPs) that apply to the TOE. OSPs are used to provide

a basis for Security Objectives that are commonly desired by TOE Owners in this operational environment but for

which it is not practical to universally define the assets being protected or the threats to those assets.

Table 13 — Organizational Security Policies for the TOE

Name Definition P.USER.AUTHORIZATION To preserve operational accountability and security, Users will be

authorized to use the TOE only as permitted by the TOE Owner.

P.SOFTWARE.VERIFICATION To detect corruption of the executable code in the TSF, procedures

will exist to self-verify executable code in the TSF.

P.AUDIT.LOGGING To preserve operational accountability and security, records that

provide an audit trail of TOE use and security-relevant events will

be created, maintained, and protected from unauthorized

disclosure or alteration, and will be reviewed by authorized

personnel.

P.INTERFACE.MANAGEMENT To prevent unauthorized use of the external interfaces of the TOE,

operation of those interfaces will be controlled by the TOE and its

IT environment.

P.STORAGE.CRYPT*) TOEのHDDに記録するデータは、暗号化されていなければ

ならない。

*) MFP に HDD 暗号化機能を持つことをポリシーに持つ顧客を想定した

3.7 Assumptions

The Security Objectives and Security Functional Requirements defined in subsequent sections of this Protection

Profile are based on the condition that all of the assumptions described in this section are satisfied.

Table 14 — Assumptions

Assumption Definition A.ACCESS.MANAGED The TOE is located in a restricted or monitored environment that provides

protection from unmanaged access to the physical components and data

interfaces of the TOE.

A.USER.TRAINING TOE Users are aware of the security policies and procedures of their

organization, and are trained and competent to follow those policies and

procedures.

A.ADMIN.TRAINING Administrators are aware of the security policies and procedures of their

organization, are trained and competent to follow the manufacturer’s

guidance and documentation, and correctly configure and operate the TOE

in accordance with those policies and procedures.

A.ADMIN.TRUST Administrators do not use their privileged access rights for malicious purposes.

発行日: 2020/03/18


23

4 Security Objectives

4.1 Security Objectives for the TOE

本節では、TOE が達成しなければならないセキュリティ対策方針を記述する。

Table 15 — Security Objectives for the TOE

Objective Definition O.DOC.NO_DIS The TOE shall protect User Document Data from unauthorized

disclosure.

O.DOC.NO_ALT The TOE shall protect User Document Data from unauthorized

alteration.

O.FUNC.NO_ALT The TOE shall protect User Function Data from unauthorized

alteration.

O.PROT.NO_ALT The TOE shall protect TSF Protected Data from unauthorized

alteration.

O.CONF.NO_DIS The TOE shall protect TSF Confidential Data from unauthorized

disclosure.

O.CONF.NO_ALT The TOE shall protect TSF Confidential Data from unauthorized

alteration.

O.USER.AUTHORIZED The TOE shall require identification and authentication of Users,

and shall ensure that Users are authorized in accordance with

security policies before allowing them to use the TOE

O.INTERFACE.MANAGED The TOE shall manage the operation of external interfaces in

accordance with security policies.

O.SOFTWARE.VERIFIED The TOE shall provide procedures to self-verify executable code

in the TSF.

O.AUDIT.LOGGED The TOE shall create and maintain a log of TOE use and

security-relevant events and prevent its unauthorized disclosure

or alteration.

O.STORAGE.CRYPTED TOEは、HDDにデータを書き込む際に暗号化しなければな

らない。

4.2 Security Objectives for the IT environment

この章では、IT 環境のセキュリティ対策方針に関して記述する。

Table 16 — Security Objectives for the IT environment

Objective Definition OE.AUDIT_STORAGE.PROTECTED If audit records are exported from the TOE to another trusted IT

product, the TOE Owner shall ensure that those records are

protected from unauthorized access, deletion and modifications.

OE.AUDIT_ACCESS.AUTHORIZED If audit records generated by the TOE are exported

from the TOE to another trusted IT product, the TOE Owner shall ensure that those records can be accessed in order to detect

potential security violations, and only by authorized persons.

OE.INTERFACE.MANAGED The IT environment shall provide protection from unmanaged

access to TOE external interfaces.

4.3 Security Objectives for the non-IT environment

この章では、非 IT 環境のセキュリティ対策方針に関して記述する。

Table 17 — Security Objectives for the non-IT environment

発行日: 2020/03/18


24

Objective Definition OE.PHYSICAL.MANAGED The TOE shall be placed in a secure or monitored area that

provides protection from unmanaged physical access to the TOE.

OE.USER.AUTHORIZED The TOE Owner shall grant permission to Users to be authorized

to use the TOE according to the security policies and procedures

of their organization.

OE.USER.TRAINED The TOE Owner shall ensure that Users are aware of the security

policies and procedures of their organization and have the

training and competence to follow those policies and procedures.

OE.ADMIN.TRAINED The TOE Owner shall ensure that TOE Administrators are aware

of the security policies and procedures of their organization; have

the training, competence, and time to follow the manufacturer’s

guidance and documentation; and correctly configure and operate

the TOE in accordance with those policies and procedures.

OE.ADMIN.TRUSTED The TOE Owner shall establish trust that TOE Administrators

will not use their privileged access rights for malicious purposes.

OE.AUDIT.REVIEWED The TOE Owner shall ensure that audit logs are reviewed at

appropriate intervals for security violations or unusual patterns of

activity.

4.4 Security Objectives rationale

本節では、個々の脅威、組織のセキュリティ方針、前提条件が、TOE の少なくとも 1 つのセキュリテ

ィ対策方針で緩和されること、及びそれらのセキュリティ対策方針が脅威に対抗し、セキュリティ方

針を実施し、前提条件を支持することを例証する。

Table 18 — Completeness of Security Objectives

Threats. Policies, and Assumptions

Objectives

O.D

OC

.NO

_D

IS

O.D

OC

.NO

_A

LT

O.F

UN

C.N

O_

AL

T

O.P

RO

T.N

O_

AL

T

O.C

ON

F.N

O_

DIS

O.C

ON

F.N

O_

AL

T

O.U

SE

R.A

UT

HO

RIZ

ED

OE

.US

ER

.AU

TH

OR

IZE

D

O.S

OF

TW

AR

E.V

ER

IFIE

D

O.A

UD

IT.L

OG

GE

D

OE

.AU

DIT

_S

TO

RA

GE

.PR

OT

EC

TE

D

OE

.AU

DIT

_A

CC

ES

S.A

UT

HO

RIZ

ED

OE

.AU

DIT

.RE

VIE

WE

D

O.I

NT

ER

FA

CE

.MA

NA

GE

D

O.S

TO

RA

GE

.CR

YP

TE

D

OE

.PH

YIS

CA

L.M

AN

AG

ED

OE

.IN

TE

RF

AC

E.M

AN

AG

ED

OE

.AD

MIN

.TR

AIN

ED

OE

.AD

MIN

.TR

US

TE

D

OE

.US

ER

.TR

AIN

ED

T.DOC.DIS

T.DOC.ALT

T.FUNC.ALT

T.PROT.ALT

T.CONF.DIS

T.CONF.ALT

P.USER.AUTHORIZATION

P.SOFTWARE.VERIFICATION

P.AUDIT.LOGGING

P.INTERFACE.MANAGEMENT

P.STORAGE.CRYPT

A.ACCESS.MANAGED

A.ADMIN.TRAINING

発行日: 2020/03/18


25

A.ADMIN.TRUST A.USER.TRAINING

Table 19 — Sufficiency of Security Objectives

発行日: 2020/03/18


26

Threats. Policies, and

Assumptions

Summary Objectives and rationale

T.DOC.DIS User Document Data may be disclosed to unauthorized

persons.

O.DOC.NO_DIS protects D.DOC from

unauthorized disclosure. O.USER.AUTHORIZED establishes user

identification and authentication as the basis for

authorization. OE.USER.AUTHORIZED establishes

responsibility of the TOE Owner to appropriately

grant authorization. T.DOC.ALT User Document Data may be

altered by unauthorized

persons.

O.DOC.NO_ALT protects D.DOC from

unauthorized alteration. O.USER.AUTHORIZED establishes user




grant authorization. T.FUNC.ALT User Function Data may be

altered by unauthorized

persons.

O.FUNC_ NO_ALT protects D.FUNC from

unauthorized alteration. O.USER.AUTHORIZED establishes user




grant authorization. T.PROT.ALT TSF Protected Data may

be altered by

unauthorized persons.

O.PROT.NO_ALT protects D.PROT from

unauthorized alteration.

O.USER.AUTHORIZED establishes user


authorization.

OE.USER.AUTHORIZED establishes


grant authorization.

T.CONF.DIS TSF Confidential Data

may be disclosed to


O.CONF.NO_DIS protects D.CONF from

unauthorized disclosure.



authorization.




T.CONF.ALT TSF Confidential Data

may be altered by


O.CONF.NO_ALT protects D.CONF from

unauthorized alteration.



authorization.




P.USER.AUTHORIZAT

ION Users will be authorized to use

the TOE.



authorization to use the TOE.




発行日: 2020/03/18


27

P.SOFTWARE.VERIFI

CATION

Procedures will exist to self-

verify executable code in the

TSF.

O.SOFTWARE.VERIFIED provides procedures

to self-verify executable code in the TSF.

P.AUDIT.LOGGING An audit trail of TOE use

and security-relevant

events will be created,

maintained, protected,

and reviewed.

O.AUDIT.LOGGED creates and maintains a log

of TOE use and security-relevant events, and

prevents unauthorized disclosure or alteration.

OE.AUDIT_STORAGE.PROTECTED protects

exported audit records from unauthorized access,

deletion and modifications.

OE.AUDIT_ACCESS.AUTHORIZED

establishes responsibility of, the TOE Owner to

provide appropriate access to exported audit

records.

OE.AUDIT.REVIEWED establishes

responsibility of the TOE Owner to ensure that

audit logs are appropriately reviewed.

P.INTERFACE.MANA

GEMENT

Operation of external

interfaces will be

controlled by the TOE

and its IT environment.

O.INTERFACE.MANAGED manages the

operation of external interfaces in accordance

with security policies.

OE.INTERFACE.MANAGED establishes a

protected environment for TOE external

interfaces.

P.STORAGE.CRYPT HDDに記録するデータを暗

号化する。

O.STORAGE.CRYPTED は、HDDにデータ

を書き込む際に暗号化する。

A.ACCESS.MANAGED The TOE environment

provides protection from

unmanaged access to the

physical components and

data interfaces of the

TOE.

OE.PHYSICAL.MANAGED establishes a

protected physical environment for the TOE.

A.ADMIN.TRAINING TOE Users are aware of

and trained to follow

security policies and

procedures.

OE.ADMIN.TRAINED establishes

responsibility of the TOE Owner to provide

appropriate Administrator training.

A.ADMIN.TRUST Administrators do not

use their privileged

access rights for

malicious purposes.

OE.ADMIN.TRUSTED establishes

responsibility of the TOE Owner to have a

trusted relationship with Administrators.

A.USER.TRAINING Administrators are aware

of and trained to follow

security policies and

procedures.

OE.USER.TRAINED establishes responsibility

of the TOE Owner to provide appropriate User

training.

発行日: 2020/03/18


28

5 Extended components definition (APE_ECD)

Protection Profile defines components that are extensions to Common Criteria 3.1 Revision 2, Part 2. These

extended components are defined in the Protection Profile but are used in SFR Packages, and therefore, are

employed only in TOEs whose STs conform to those SFR Packages.

5.1 FPT_FDI_EXP Restricted forwarding of data to external interfaces

Family behaviour:

This family defines requirements for the TSF to restrict direct forwarding of information from one external

interface to another external interface.

Many products receive information on specific external interfaces and are intended to transform and

process this information before it is transmitted on another external interface. However, some products may

provide the capability for attackers to misuse external interfaces to violate the security of the TOE or

devices that are connected to the TOE’s external interfaces. Therefore, direct forwarding of unprocessed

data between different external interfaces is forbidden unless explicitly allowed by an authorized

administrative role. The family FPT_FDI_EXP has been defined to specify this kind of functionality.

Component leveling:

FPT_FDI_EXP.1 Restricted forwarding of data to external interfaces provides for the functionality to require TSF controlled processing of data received over defined external interfaces before these data are

sent out on another external interface. Direct forwarding of data from one external interface to another one

requires explicit allowance by an authorized administrative role.

Management: FPT_FDI_EXP.1

The following actions could be considered for the management functions in FMT:

a) Definition of the role(s) that are allowed to perform the management activities

b) Management of the conditions under which direct forwarding can be allowed by an administrative role

c) Revocation of such an allowance

Audit: FPT_FDI_EXP.1

The following actions should be auditable if FAU_GEN Security Audit Data Generation is included in the

PP/ST:

There are no auditable events foreseen.

Rationale:

Quite often, a TOE is supposed to perform specific checks and process data received on one external interface

before such (processed) data are allowed to be transferred to another external interface. Examples are firewall

systems but also other systems that require a specific work flow for the incoming data before it can be

transferred. Direct forwarding of such data (i.e., without processing the data first) between different external interfaces is therefore a function that—if allowed at all—can only be allowed by an authorized role.

It has been viewed as useful to have this functionality as a single component that allows specifying the property

to disallow direct forwarding and require that only an authorized role can allow this. Since this is a function that

is quite common for a number of products, it has been viewed as useful to define an extended component.

The Common Criteria defines attribute-based control of User Data flow in its FDP class. However, in this

FPT_FDI_EXP.1 Restricted forwarding of data to external interfaces 1

発行日: 2020/03/18


29

Protection Profile, the authors needed to express the control of both User Data and TSF Data flow using

administrative control instead of attribute-based control. It was found that using FDP_IFF and FDP_IFC for this

purpose resulted in SFRs that were either too implementation-specific for a Protection Profile or too unwieldy

for refinement in a Security Target. Therefore, the authors decided to define an extended component to address

this functionality.

This extended component protects both User Data and TSF Data, and it could therefore be placed in either the

FDP or FPT class. Since its purpose is to protect the TOE from misuse, the authors believed that it was most

appropriate to place it in the FPT class. It did not fit well in any of the existing families in either class, and this

lead the authors to define a new family with just one member.

FPT_FDI_EXP.1 Restricted forwarding of data to external interfaces

Hierarchical to: No other components

Dependencies: FMT_SMF.1 Specification of Management Functions FMT_SMR.1 Security roles

FPT_FDI_EXP.1.1 The TSF shall provide the capability to restrict data received on [assignment: list of、 external interfaces] from being forwarded without further processing by the TSF to [assignment:

list of external interfaces].

発行日: 2020/03/18


30

6 Security requirements

6.1 Security functional requirements

この章では、TOE のセキュリティ機能要件（Security functional requirements）に関して記述する。

尚、コンポーネント識別情報や機能エレメント名の後ろの（）書きは、繰り返しの操作を示す識別子を

示している。

6.1.1 ユーザー認証機能

FIA_AFL.1 Authentication failure handling

Hierarchical to: No other components.

Dependencies: FIA_UAU.1 Timing of authentication

FIA_AFL.1.1 The TSF shall detect when [selection: [assignment: positive integer number], an administrator configurable positive integer within[assignment: range of acceptable values]] unsuccessful authentication attempts occur related to [assignment: list of authentication events].

[selection: [assignment: positive integer number], an administrator configurable positive integer within[assignment: range of acceptable values]] an administrator configurable positive integer within 1 to 10

[assignment: list of authentication events]

操作パネルもしくはリモート UI を使ったログイン試行

FIA_AFL.1.2 When the defined number of unsuccessful authentication attempts has been [selection: met, surpassed], the TSF shall [assignment: list of actions].

[selection: met, surpassed] met

[assignment: list of actions] ロックアウト

FIA_ATD.1 User attribute definition


Dependencies: No dependencies

FIA_ATD.1.1 The TSF shall maintain the following list of security attributes belonging to individual users: [assignment: list of security attributes].

[assignment: list of security attributes]. ユーザー名、ロール

発行日: 2020/03/18


31

FIA_UAU.1 Timing of authentication


Dependencies: FIA_UID.1 Timing of identification

FIA_UAU.1.1 The TSF shall allow [assignment: list of TSF-mediated actions that do not conflict with access-controlled Functions of the TOE] on behalf of the user to be performed before the user is authenticated.

[assignment: list of TSF-mediated actions that do not conflict with access-controlled Functions of the TOE] プリントジョブ、ファクスジョブ、Iファクスジョブの投入

FIA_UAU.1.2 The TSF shall require each user to be successfully authenticated before allowing any other TSF-mediated actions on behalf of that user.

FIA_UAU.7 Protected authentication feedback

Hierarchical to: No other components.

Dependencies: FIA_UAU.1 Timing of authentication

FIA_UAU .7.1 The TSF shall provide only [assignment: list of feedback] to the user while the authentication is in progress.

[assignment: list of feedback] *, ●

FIA_UID.1 Timing of identification



FIA_UID.1.1 The TSF shall allow [assignment: list of TSF-mediated actions that do not conflict with access-controlled Functions of the TOE] on behalf of the user to be performed before the user is identified.

[assignment: list of TSF-mediated actions that do not conflict with access-controlled Functions of the TOE] プリントジョブ、ファクスジョブ、Iファクスジョブの投入

FIA_UID.1.2 The TSF shall require each user to be successfully identified before allowing any other TSF-mediated actions on behalf of that user.

発行日: 2020/03/18


32

FIA_USB.1 User-subject binding


Dependencies: FIA_ATD.1 User attribute definition

FIA_USB.1.1 The TSF shall associate the following user security attributes with subjects acting on the behalf of that user: [assignment: list of user security attributes].

[assignment: list of user security attributes].

ユーザー名、ロール

FIA_USB.1.2 The TSF shall enforce the following rules on the initial association of user security attributes with the subjects acting on behalf of users: [assignment: rules for the initial association of attributes].

[assignment: rules for the initial association of attributes]. なし

FIA_USB.1.3 The TSF shall enforce the following rules governing changes to the user security attributes with the subjects acting on behalf of users: [assignment: rules for the changing of attributes].

[assignment: rules for the changing of attributes] なし

FTA_SSL.3(lui) TSF-initiated termination



FTA_SSL.3.1(lui) The TSF shall terminate an interactive session after a [assignment: time interval of userinactivity].

[assignment: time interval of userinactivity]. 操作パネルを操作しない状態が、設定時間経過

FTA_SSL.3(rui) TSF-initiated termination



FTA_SSL.3.1(rui) The TSF shall terminate an interactive session after a [assignment: time interval of userinactivity].

[assignment: time interval of userinactivity]. リモート UI を操作しない状態が、15 分間経過

発行日: 2020/03/18


33

6.1.2 ジョブ実行アクセス制御機能

FMT_MSA.1(exec-job) Management of security attributes


Dependencies: [FDP_ACC.1 Subset access control, or

FDP_IFC.1 Subset information flow control]

FMT_SMR.1 Security roles

FMT_SMF.1 Specification of Management Functions

FMT_MSA.1.1(exec-job) The TSF shall enforce the TOE Function Access Control SFP, [assignment: access control SFP(s), information flow control SFP(s)] to restrict the ability to [selection: change_default, query, modify, delete, [assignment: other operations]] the security attributes [assignment: list of security attributes] to [assignment: the authorised identified roles].

[assignment: access control SFP(s), information flow control SFP(s)] なし

[selection: change_default, query, modify, delete, [assignment: other operations]] query, modify, delete, create

[assignment: list of security attributes] ロール

[assignment: the authorised identified roles]. U.ADMINISTRATOR

FMT_MSA.3(exec-job) Static attribute initialisation


Dependencies: FMT_MSA.1 Management of security attributes

FMT_SMR.1 Security roles

FMT_MSA.3.1(exec-job) The TSF shall enforce the TOE Function Access Control Policy, [assignment: access control SFP, information flow control SFP] to provide [selection, choose one of: restrictive, permissive, [assignment: other property]] default values for security attributes that are used to enforce the SFP.

[assignment: access control SFP, information flow control SFP] なし

[selection, choose one of: restrictive, permissive, [assignment: other property]] Restrictive

[refinement]

TOE Function Access Control Policy → TOE Function Access Control SFP

FMT_MSA.3.2(exec-job) The TSF shall allow the [assignment: the authorized identified roles] to specify alternative initial values to override the default values when an object or information is created.

[assignment: the authorized identified roles] Nobody

発行日: 2020/03/18


34

FDP_ACC.1(exec-job) Subset access control


Dependencies: FDP_ACF.1 Security attribute based access control

FDP_ACC.1.1(exec-job) The TSF shall enforce the TOE Function Access Control SFP on users as subjects, TOE functions as objects, and the right to use the functions as

operations.

FDP_ACF.1(exec-job) Security attribute based access control


Dependencies: FDP_ACC.1 Subset access control

FMT_MSA.3 Static attribute initialisation

FDP_ACF.1.1(exec-job) The TSF shall enforce the TOE Function Access Control SFP to objects

based on the following: users and [assignment: list of TOE functions and the security attribute(s) used to determine the TOE Function Access Control SFP].

[assignment: list of TOE functions and the security attribute(s) used to determine the TOE Function Access Control SFP] objects controlled under the TOE Function Access Control SFP in Table 20,

and for each, the indicated security attributes in Table 20

FDP_ACF.1.2(exec-job) The TSF shall enforce the following rules to determine if an operation among controlled subjects and controlled objects is allowed: [selection: the user is explicitly authorized by U.ADMINISTATOR to use a function, a user that is authorized to use the TOE is automatically authorized to use the functions [assignment: list of functions], [assignment: other conditions]].

[selection: the user is explicitly authorized by U.ADMINISTATOR to use a function, a user that is authorized to use the TOE is automatically authorized to use the functions [assignment: list of functions], [assignment: other conditions]] [assignment: other conditions]

[assignment: other conditions] rules specified in the TOE Function Access Control SFP in Table 20 governing access

among controlled users as subjects and controlled objects using controlled operations

on controlled objects.

FDP_ACF.1.3(exec-job) The TSF shall explicitly authorise access of subjects to objects based on the following additional rules: the user acts in the role U.ADMINISTRATOR,

[assignment: other rules, based on security attributes, that explicitly authorise access of subjects to objects].

[assignment: other rules, based on security attributes, that explicitly authorise access of subjects to objects] なし

FDP_ACF.1.4(exec-job) The TSF shall explicitly deny access of subjects to objects based on the [assignment: rules, based on security attributes, that explicitly deny access of subjects to objects].

発行日: 2020/03/18


35

[assignment: rules, based on security attributes, that explicitly deny access of subjects to objects] なし

Table 20 —

canon imagepress c165/imagepress lite c165 2600 ......st称 : canon imagepress c165 / imagepress...

Documents