1Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved.
2002年7月12日
情報処理振興事業協会(IPA) セキュリティセンター 評価認証グループ 原田 敬
ISO/IEC 15408とは
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 2
目 次
ISO/IEC 15408とは
ISO/IEC 15408の内容
セキュリティ評価に関する状況
3Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved.
ISO/IEC 15408とは
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 4
エンドユーザ
IC カード
記憶媒体ネットワーク
情 報 処 理 シ ス テ ム
研究情報経営情報
医療カルテ顧客情報
取引情報契約書
PC
大 丈 夫 か な ?
情報セキュリティ確保の必要性
システム運用者
製品/システム開発者
セキュリティ機能
パスワード管理。。。
運用ガイドライン
認証。。。
暗号化
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 5
ISO/IEC 15408の位置づけ
・ISO/IEC 15408(CC)・PKI、暗号等の個別技術
製品・システム
・ISO/IEC 17799・BS 7799・ISO/IEC TR13335(GMITS)
・ISO/IEC 21857(SSE-CMM)・ISMS認証基準
・ISO/IEC 21857(SSE-CMM)・ISO/IEC TR 15504・CMMI
・ISO 9000
プロセス(組織)
運用・管理開発・技術
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 6
開発/製造/運用に関わった資材を検査して大丈夫と宣言!開発/製造/運用に関わった資材を検査して大丈夫と宣言!
・セキュリティターゲット*(セキュリティ脅威分析、装備すべき機能、品質対策など)
・プログラム設計書・ソースコード・オブジェクトコード
・テスト仕様書・脆弱性分析書・マニュアル・運用規則 など
検査の対象物候補 :
**セキュリティターゲットセキュリティターゲットは、「セキュリティ設計仕様書」という位置付けは、「セキュリティ設計仕様書」という位置付け((ISO/IEC 15408ISO/IEC 15408で重要で重要))
ISO/IEC 15408の考え方
セキュリティターゲット、テストの実施
**大丈夫さの度合いを、この規格では大丈夫さの度合いを、この規格では「「EALEAL::Evaluation Assurance LevelEvaluation Assurance Level」」と呼ぶと呼ぶ
(注:セキュリティの強度を示す尺度ではない)。 (注:セキュリティの強度を示す尺度ではない)。
大丈夫さの度合い(検査対象物の範囲とその内容)を評価*
EAL1 EAL4
+ ソースコード
EAL7
+ 数学的証明 (形式的記述言語)
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 7
リスク
ISO/IEC 15408の
評価対象外
国
際
標
準
「リスク」と「セキュリティ対策」のバランス
・ リスクに応じたセキュリティ対策の明確化 → 最適な投資効果・ 必要なセキュリティ要件を明確化
• 「セキュリティ対策の策定」と「有効な対策の実施」
ISO/IEC 15408の意義
セキュリティ対策
技術 運用/管理
・ユーザ認証 etc..
・データ暗号化 ・セキュリティ教育
・運用ガイドラインetc..
セキュリティターゲット
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 8
セキュリティ評価・認証制度
認証(Validation/Certification)機関・評価結果の認証・評価機関の承認、技術指導、監督・評価・認証ルール、制度の維持
評価(Evaluation)機関・メーカ、ベンダ、ユーザから依頼された製品、システム、PPのセ
キュリ ティ評価実施
・セキュリティ評価に関するコンサル ティング
申請者(および開発者)
・製品の評価・認証依頼
(製品、製品情報、資料類の 準備)
認定申請 審査・認定・管理 技術指導 ・監督
評価報告認証 CCRA手続き
認定(Accreditation)機関・評価機関の審査、認定、管理
民間企業、政府機関など各種可能(外国には軍関係の評価機関もある)ISO/IEC 17025
ISO/IEC Guide 58 ISO/IEC Guide 65
CC、CEMに基づくこと(CCRA要件)
認証書
評価依頼
評価結果
CC : Common CriteriaCEM: Common Evaluation Methodology ISO/IEC Guide 58 : Calibration and testing laboratories accreditation systems – General requirements for operation and recognitionISO/IEC Guide 65 : General requirements for bodies operating product certification systemsISO/IEC 17025 : General requirements for the competence of testing and calibration laboratories
認証申請
9Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved.
ISO/IEC 15408の内容
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 10
Part 1 (概説と一般モデル) セキュリティ評価の背景、評価のアプローチ
セキュリティターゲット(ST: Security Target )の仕様
プロテクションプロファイル(PP: Protection Profile )の仕様
Part 2 (セキュリティ機能要件) セキュリティ機能要件集 (11分類)
・セキュリティに関する機能のふるまいの要件
~ 監査、データ保護、識別・認証、等
Part 3 (セキュリティ保証要件)
セキュリティ保証要件集 (10分類) ・ セキュリティ機能が正確に実装されていることを確認する要件
~ 設計、テスト、管理、ドキュメント、等 ・ 脅威への脆弱性に関する要件
評価保証レベルの規定 (EAL1~EAL7)
ISO/IEC 15408の構成
← どのような機能を備えるか。
← 検査の内容。
← 検査の厳密性、深さ。
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 11
TOEの定義
TOEセキュリティ環境
セキュリティ対策方針
セキュリティ要件
セキュリティ要約仕様
PP主張(*)
根拠
セキュリティターゲット(ST)
評価を受ける評価を受けるTOETOEに対してに対してSTSTを作成する(を作成する(TOETOEに固有)。に固有)。
ISO/IEC 15408のPart 1に基づき、次のような内容で記述。
TOE : Target Of Evaluation (評価の対象)
* STがPPを参照する場合に記述
Part 2:機能要件Part 3:保証要件
Security Target
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 12
TOEの定義
TOEセキュリティ環境
セキュリティ対策方針
セキュリティ要件
根拠
基本的に調達側の立場で作成。セキュリティ要求仕様書。基本的に調達側の立場で作成。セキュリティ要求仕様書。
ISO/IEC 15408のPart 1に基づき、次のような内容で記述。
Part 2:機能要件Part 3:保証要件
TOEの定義
TOEセキュリティ環境
セキュリティ対策方針
セキュリティ要件
セキュリティ仕様
PP宣言(*)
根拠
Protection ProfileSecurity Target
例:政府向けDBMS用PPICカード用PPPKI用PPBanking用PP
ベンダー
業界、ユーザ, etc
プロテクションプロファイル(PP)
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 13
セキュリティ評価基準ISO/IEC15408
評価手法
評価の枠組み評価
開発
開発者と評価者から見たSTの位置付け
評価結果
セキュリティターゲット(ST)
プロテクションプロファイル(PP)
TOE とドキュメント類
フィードバック
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 14
1. セキュリティ監査 (Security audit:FAU)
2. 通信 (Communication:FCO)
3. 暗号サポート (Cryptographic support:FCS)
4. 利用者データ保護 (User data protection:FDP)
5. 識別と認証 (Identification and authentication:FIA)
6. セキュリティ管理 (Security management:FMT)
7. プライバシー (Privacy:FPR)
8. TOEセキュリティ機能(TSF)の保護 (Protection of the TSF:FPT)
9. 資源利用 (Resource utilisation:FRU)
10. TOEアクセス (TOE access:FTA)
11. 高信頼パス/チャネル (Trusted path/channels:FTP)
ISO/IEC 15408のPart 2にて、以下の11クラスに分類されている。
セキュリティ機能要件(Security functional requirements)
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 15
* 2から9の保証要件に基づきTOEを評価する。
1. PP評価 (PP evaluation: APE)
2. ST評価 (ST evaluation: ASE)
3. 構成管理 (Configuration management: ACM)
4. 配付と運用 (Delivery and operation: ADO)
5. 開発 (Development: ADV)
6. ガイダンス文書 (Guidance documents: AGD)
7. ライフサイクルサポート (Life cycle support: ALC)
8. テスト (Tests: ATE)
9. 脆弱性評定 (Vulnerability assessment: AVA)
10. 保証維持 (Maintenance of assurance: AMA)
*****
***
ISO/IEC 15408のPart 3にて、以下の10クラスに分類されている。
セキュリティ保証要件(Security assurance requirements)
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 16
モジュールレベルまで確認、実装表現レベル(最も具体レベルの設計: 例えばソースコードレベル)の部分的確認、普通程度の攻撃に対抗
実装表現レベルのセキュリティ機能を全て確認、サブシステムレベルまでの設計が半形式的表現、隠れチャネル分析、高度の攻撃に対抗
サブシステムレベルまでの設計が形式的表現、開発者による分析・テストのすべてを評価者が再確認
EAL7
モジュールレベルまでの設計が半形式的表現、非常に高度の攻撃に対抗EAL6
EAL5
EAL4
サブシステムレベルまで開発者テスト結果の確認、構成管理システム使用の確認、開発環境の確認、開発者による誤使用分析
EAL3
サブシステムレベルまでセキュリティ機能設計の確認、構成管理の確認、開発者による機能強度・脆弱性分析、評価者による侵入テスト
EAL2
セキュリティ機能仕様、マニュアルの確認、評価者によるテストEAL1
評価の概要レベル
評価保証レベル(EAL:Evaluation Assurance Level)
EALは評価の厳格さのレベルを示す。EALの上位(番号の大きい方)レベルは、 下位レベルの要件を含む。(注:セキュリティの強度を表すものではない。)
低
高
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 17
TSF内部構造ADV_INT
欠陥修正ALC_FLR
21誤使用AVA_MSU
脆弱性分析
TOEセキュリティ機能強度
隠れチャネル分析
独立テスト
機能テスト
深さ
カバレージ
ツールと技法
ライフサイクル定義
開発セキュリティ
利用者ガイダンス
管理者ガイダンス
セキュリティ方針モデル化
表現対応
下位レベル設計
実装表現
上位レベル設計
機能仕様
設置、生成、及び立上げ
配付
CM範囲
CM能力
CM自動化
1
1
2
1
1
2
1
1
1
1
2
1
1
1
1
3
EAL3
保証コンポーネント
21AVA_VLA
11AVA_SOF
AVA_CCA
脆弱性評定
221ATE_IND
11ATE_FUN
1ATE_DPT
21ATE_COV
テスト
1ALC_TAT
1ALC_LCD
1ALC_DVS
ライスサイクルサポート
111AGD_USR
111AGD_ADMガイダンス文書
1ADV_SPM
111ADV_RCR
1ADV_LLD
1ADV_IMP
21ADV_HLD
211ADV_FSP
開発
111ADO_IGS
21ADO_DEL配付と運用
2ACM_SCP
421ACM_CAP
1ACM_AUT
構成管理
EAL4EAL2EAL1保証ファミリ保証クラス
評価保証レベルの内容
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 18
共通評価方法論(CEM)
評価基準であるCCに従って、評価対象物件をどのように評価するかの方法を定めたもの
PP、ST、その他EAL1~EAL4までの保証要件の評価用ガイダンスCCプロジェクトにて1999年8月発行
我が国では標準情報(TR) として、2001年11月公表TR X 0049:2001 情報技術セキュリティ評価のための共通方法
ISO/IEC SC27 WG3にて、CEMのTR化を審議中
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 19
Future Versions of the CC & CEM
No new versions until April 2003 (at the earliest)
Modifications to the CC & CEMInterpretations (implicit modification)
Revised Assurance Components (APE/ASE, AVA-VLA)
Unbuckling of Assurance Components
Additions/replacements to the CC & CEMAssurance Maintenance (AMA)
Flaw Remediation (FLR)
Definition of EAL 5
From “Future Direction of CC & CEM”, Dr. Stuart Karzke, NIST、2002-03-29
20Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved.
セキュリティ評価に関する状況
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 21
相互承認
TCSEC(Orange Book)
1983
ITSEC :Information Technology Security Evaluation CriteriaTCSEC :Trusted Computer System Evaluation Criteria
ITSEC 1991
欧州各国ごとの評価基準
欧米でのセキュリティ評価の歴史
1999:6月に国際規格(IS)として承認。12月発行。
ISO/IEC 15408
CCと呼ぶことが規格
で認められている。
V1.0:1996V2.0:1998/V2.1:1999(ISO/IEC JTC 1/SC 27/WG 3へ提案)
CC(Common Criteria)
国際的な市場↓
評価基準統一の必要性
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 22
ある国がCCを使って認証したセキュリティレベルは、他の国でもそのまま通用する趣旨
の協定
1998年10月:Canada、France、Germany、UK、USAの5カ国による相互承認(MRA)の調印
1999年10月:オーストラリア、ニュージーランドが新たに調印
セキュリティ評価における国際承認(CCRA:Common Criteria Recognition Arrangement)
2000年5月、第1回ICCC(International Common Criteria Conference/米国、 Baltimore )
- 相互承認協定の改定。主な改正点は以下の2つ:
① 認証機関として政府機関以外も認める。 (ただし、従来通り政府機関のauthorizeが必要。協定は政府機関がサイン)
② Certificate Authorizing Participant(従来からの相互承認を行う)に追加して、
他国の認証書を受け入れるだけで、国内にスキームは必要としない Certificate Consuming Participantとしての参加が可能
従来の7ヶ国に加えて、新たに6ヶ国(Finland, Greece, Italy, Netherlands, Norway, Spain)がCertificate Consuming Participantとして加わった。
2000年11月:イスラエルがCertificate Consuming Participantとして参加
2002年2月: スウェーデンがCertificate Consuming Participantとして参加
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 23
CCRA(Common Criteria Recognition Arrangement )
カナダ フランス ドイツ イギリス 米国
市場 市場 市場市場市場
オーストラリア
市場 市場
ニュージーランド
認証(Validation /Certification)
評価
(Evaluation)
認定
(Accreditation)CCRA
認証書認証書認証書認証書
ギリシャ
フィンランド
イタリア
オランダ
ノルウェー
スペイン
認証書
認証書認証書認証書 認証書認証書認証書 認証書
CCRA加盟国(2002年2月現在)
イスラエル
スウェーデン
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 24
* CCRA加盟国の認証機関が公開しているリストより集計(2001年10月現在)。
43810724586合計
5833250評価中
452520001
65313132000
5714412 99
403325 98
361287 97
22184 96
281711 95
442519 94
1275 93
716 92
404 91
211201990以前
合計(年)CCITSECTCSEC
セキュリティ評価・認証済み製品件数
Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 25
日本のセキュリティ評価認証体制(2001年4月運用開始)