目次! はじめに!ST 序説!TOE 記述!TOEセキュリティ環境! セキュリティオブジェクティブ!ITセキュリティ要件!TOEサマリ仕様!PPクレーム! 根拠! おわりに 2

Transcription

1 ISO/IEC セミナー セキュリティ評価 ~ST 作成 ~ 平成 12 年 3 月情報処理振興事業協会 (IPA) セキュリティセンター 1

2 目次! はじめに!ST 序説!TOE 記述!TOEセキュリティ環境! セキュリティオブジェクティブ!ITセキュリティ要件!TOEサマリ仕様!PPクレーム! 根拠! おわりに 2

3 はじめに 3

4 ST ( セキュリティターゲット ) とは! 開発者が作成するセキュリティ設計仕様書!IT 製品やシステムのセキュリティ評価の前提として必要なもの " ITセキュリティ要件の指定を行う " 指定した要件を満たすセキュリティ設計仕様を提供する 4

5 ST 記述項目 1: ST 序説 -ST 識別 -ST 概要 - CC 適合性クレーム 2: TOE 記述 3: TOE セキュリティ環境 4: セキュリティオブジェクティブ 5: IT セキュリティ要件 6: TOE サマリ仕様 7: PP クレーム 8: 根拠 - 想定 - 脅威 - 組織のセキュリティ方針 - TOE セキュリティオブジェクティブ - 環境セキュリティオブジェクティブ - TOE セキュリティ機能要件 - TOE セキュリティ保証要件 - IT 環境セキュリティ要件 -TOE セキュリティ機能 - 保証手段 - PP 参照 - PP 修整 - PP 追加 - セキュリティオブジェクティブ根拠 - セキュリティ要件根拠 - TOE サマリ仕様根拠 - PP クレーム根拠 5

6 ST 作成フロー TOE 定義 保護資産定義 脅威抽出 セキュリティオブジェクティブの策定 セキュリティ要件の規定 ISO/IEC の Part 2 及び 3 TOE セキュリティ機能の規定 根拠の記述 TOE: Target Of Evaluation ( 評価の対象 ) 6

7 ST 序説 " ST 序説 " TOE 記述 " TOE セキュリティ環境 " セキュリティオブジェクティブ " IT セキュリティ要件 " TOE サマリ仕様 " PP クレーム " 根拠 7

8 ST 序説の目的!ST 全体の序説であり ST や TOE の概要 CC への適合性を 簡潔かつ十分に記述する! 評価 認証済製品リストなどから製品を選択したりするのに まず本章の情報が用いられる 8

9 !ST 識別 ST 序説の記述項目とその内容 " このSTを特定するための識別情報を記述する " 名称, バージョン, 作成日, 作成者など " STを管理 識別するのに十分な情報を記述する!ST 概要 " ST の概要と評価対象 (TOE) の概要 ( 名称, バージョン, 作成者なども含む ) を述べる!CC 適合性クレーム " CCへの適合形態 ( 適合 / 拡張など ) を明らかにする " 適合するISO 15408の版数を記述する " 評価保証レベル EALも記述する 9

10 ST 序説の具体例! ST 識別 " 名称 : ファイアウォール xxx セキュリティターゲット " バージョン : Vn.nn " 作成日 : 2000 年 3 月 1 日 " 作成者 : 株式会社 xxx 10

11 ST 序説の具体例 ( 続き )! ST 概要 " 本 ST は パケットフィルタリング機能 アプリケーションゲートウェイ機能 監査機能から構成されるファイアウォールソフトウェアのセキュリティについて記述する " TOE の概要は次の通りである 製品名 : ファイアウォール xxx バージョン : Vm.mm 製造者 : 株式会社 xxx! CC 適合性クレーム " セキュリティ機能要件は ISO/IEC Ver1.0 (12/1999) に適合する " セキュリティ保証要件は ISO/IEC Ver1.0 (12/1999) の EAL3 に適合する 11

12 TOE 記述 " ST 序説 " TOE 記述 " TOE セキュリティ環境 " セキュリティオブジェクティブ " IT セキュリティ要件 " TOE サマリ仕様 " PP クレーム " 根拠 12

13 TOE 記述の目的!TOE 全体の動作がわかり TOE のセキュリティ要件を理解できるようにするためのものである!TOE の範囲とその境界を 物理的にも論理的にも明らかにする 13

14 TOE 記述の記述項目とその内容! 製品 / システムタイプ " 製品やシステムの種別を指定する! 使用目的 " TOE が どの様な環境 構成 方法で利用され どの様な機能を持つかを 利用者や評価者にもわかるように記述する! 評価の対象の範囲 " 製品 システムの全体の動作環境の中で どの部分が TOE かを明確に定義する 14

15 TOE 記述の具体例! 製品タイプ : ファイアウォール ソフトウェア! 使用目的 " 内部のネットワークを外部のネットワークに接続すると 種々の資源が使えるようになるが 外部ネットワークからの攻撃にさらされる 本 TOE は 内部ネットワークと外部ネットワークを接続する唯一の点でファイアウォールとして動作し 外部からの内部ネットワークへの攻撃の脅威を除去する 15

16 ! 実行環境 TOE 記述の具体例 ( 続き 1) " TOE は ハードウェア xx OS xx のバージョン m.n 上で動作し TCP/UDP/IP ネットワーク環境を持つものとする! 機能概要 " IPパケットフィルタリング機能の説明 " アプリケーションゲートウェイ機能の説明 " 監査機能の説明 16

17 ! TOE 構造 TOE 記述の具体例 ( 続き 2) " ハードウェア / ネットワーク環境図 TOE が保護する対象 クライアント ファイアウォール ルータ 外部ネットーク サーバ (Unix サーバ ) 内部ネットワーク LAN アタック 17

18 TOE 記述の具体例 ( 続き 3)!TOE 構造 ( 続き ) " ファイアウォールのソフトウェア構造図 ログファイル 環境定義ファイル ロギング デーモン アプリケーションゲートウェイ TCP/UDP/IP アプリケーション層 カーネル層 IP パケットフィルタリング TOE に属する 18

19 TOE セキュリティ環境 " ST 序説 " TOE 記述 " TOE セキュリティ環境 " セキュリティオブジェクティブ " IT セキュリティ要件 " TOE サマリ仕様 " PP クレーム " 根拠 19

20 TOE セキュリティ環境の目的! セキュリティ環境における想定 保護資産に対する脅威 組織のセキュリティ方針を記述することにより セキュリティに対する要求の範囲と性質を定義する 20

21 TOE セキュリティ環境の記述項目! 想定 (Assumption) " セキュリティに対する要求の範囲を定義するために セキュリティ環境に対する全ての想定を記述! 脅威 (Threats) " 保護が必要な資産とそれに対する全ての脅威を記述! 組織のセキュリティ方針 (OSP: Organisational Security Policies) " TOEまたはIT 環境を管理する組織のセキュリティ方針を記述 21

22 TOE セキュリティ環境の位置付け 保護資産 TOE セキュリティ環境 TOE で対応 脅威 環境で対応 OSP 想定 TOE セキュリティオブジェクティブ 環境セキュリティオブジェクティブ IT 環境 Non-IT 環境 セキュリティオブジェクティブ 22

23 想定の記述内容! 物理的想定 " TOE の物理的保護! 人的想定 " ユーザの役割 ユーザの責任 信頼の度合い! 接続上の想定 " 運用時の接続条件 ハード / ソフト構成!TOE の使用法の想定 " アプリケーション 資産の価値 使用上の制限 23

24 想定の記述内容 ( 続き )! 想定の記述例 " A.LOCATE ( 物理的想定の例 ) TOE の処理資源はコントロールエリア内にある " A.ADMIN ( 人的想定の例 ) TOE とその情報のセキュリティ管理を割当てられた 1 人以上の人がいて その人は役割の特権を乱用しないと信用できる " A.FIREWALL ( 接続上の想定の例 ) ファイアウォールは 内部ネットワークと外部ネットワーク間の唯一のネットワーク結合を形成する 24

25 脅威の記述内容! 保護資産 " 保護すべき資産の一覧!TOE で対応する脅威 " 細かくなりすぎないようできるだけ一般的に記述! 環境で対応する脅威 " TOE が OS などのセキュリティ機能を利用している場合!TOE と環境で対応する脅威 25

26 ! 保護資源の記述例 脅威の記述内容 ( 続き 1) TOEの保護すべき資源は以下の通りである " 内部ネットワークシステム TOEは内部ネットワークを外部ネットワークと接続し 外部からの脅威に対して内部ネットワークを保護する TOEが保護する内部ネットワーク上の資産は ネットワーク上の情報とサービスである " ファイアウォールシステム TOE は 内部ネットワーク上の資産を保護するため TOE 自身の以下の情報と資源を保護する ファイアウォールソフトウェアの実行コード 環境定義ファイル フィルタリングルールファイル ログファイル 26

27 脅威の記述内容 ( 続き 2)! 脅威は 以下の組み合わせで規定する " 脅威エージェント 誰が 攻撃するのか? 技能 利用可能資源 動機などで区別 " 資産 攻撃の対象となる資産はなにか? " 攻撃 どのように攻撃するのか? 攻撃の方法 機会 利用された脆弱性など その結果どうなるのか? 27

28 脅威の記述内容 ( 続き 3)! 脅威の記述例 " T.ACCESS 内部ネットワークのユーザが アクセス権が与えられていない TOE の情報やサービスにアクセスすることがある TOEの情報やサービス 28

29 脅威の記述内容 ( 続き 4)! 脅威の記述例 ( 続き ) " T.INTRUDE (TOE で対応する脅威の例 ) 外部ネットワーク上の攻撃者が内部ネットワーク上の情報を改ざん 破壊 暴露することがある " TE.MODCONFIG ( 環境で対応する脅威の例 ) 攻撃者は 承認されていないパケットを通過させるためにフィルタリングルールファイルを変更することがある 29

30 組織のセキュリティ方針の記述内容!TOE または IT 環境を管理する組織によって規定された規則を記述! 注意事項 " セキュリティオブジェクティブが 想定および脅威からのみ派生するものである場合は不要 30

31 組織のセキュリティ方針の記述内容 ( 続き )! 組織のセキュリティ方針の記述例 "P.KNOWN TOE アクセスを与える前に TOE の正当なユーザが識別されなければならない 31

32 記述上の注意事項! 相反する規定事項がないこと " 悪い例 1: 攻撃方法が脅威エージェントの能力範囲を超えた脅威 " 悪い例 2: TOEをインターネットに接続してはならない という組織のセキュリティ方針と 脅威エージェントがインターネットからの侵入者であるような脅威! 規定内容に未定義個所や曖昧さがないこと! 想定で記述した項目は脅威では記述しない! セキュリティ機能自体の動作を迂回 破壊 非稼動にする脅威は記述不要 ( 共通の脅威であり 機能要件抽出時に無条件に考慮する )! TOEが物理的に分散している場合は TOEセキュリティ環境を個別に検討する必要がある 32

33 セキュリティオブジェクティブ " ST 序説 " TOE 記述 " TOE セキュリティ環境 " セキュリティオブジェクティブ " IT セキュリティ要件 " TOE サマリ仕様 " PP クレーム " 根拠 33

34 セキュリティオブジェクティブの目的!TOEセキュリティ環境で記述された脅威 組織のセキュリティ方針 (OSP) 想定に対する対応方針を書く!2つの側面: " TOEで対応可能か? 環境で対応可能か? " 技術的対策 (TOE IT 環境 ) 非技術的対策 34

35 セキュリティオブジェクティブの記述項目!TOE セキュリティオブジェクティブ " TOE により対応し得る脅威に対する対応方針 " OSP を実現するための TOE の対応方針! 環境セキュリティオブジェクティブ " TOE だけでは対応できない脅威に対する対応方針 " TOE では実現できない OSP から導出される対応方針 " TOE 環境における想定から導出される対応方針 " 構成 IT 環境による対応方針 (OS 等で脅威に対応 ) Non-IT 環境による対応方針 ( 人的 / 運用的側面 ) 35

36 セキュリティオブジェクティブの位置付け 脅威 TOE セキュリティ環境 TOE で対抗 環境で対抗 OSP 想定 TOE セキュリティオブジェクティブ 環境セキュリティオブジェクティブ IT 環境 Non-IT 環境 セキュリティオブジェクティブ TOE セキュリティ要件 IT 環境セキュリティ要件 IT セキュリティ要件 36

37 セキュリティオブジェクティブの記述内容! 脅威 OSP 想定に対して必要な対応方針を抽出 " 各 TOE セキュリティオブジェクティブ は TOE により対応し得る脅威 あるいは OSP の少なくとも一つに対応付けられなければならない " 各 環境セキュリティオブジェクティブ は TOE だけでは対応できない脅威 TOE では実現できない OSP あるいは 想定 の少なくとも一つに対応付けられなければならない 37

38 セキュリティオブジェクティブの記述内容 ( 続き 1)! 脅威 OSP 想定に対して 抽出された対応方針で十分であるかどうか検討 " 各脅威への対応が十分であること 脅威の一掃 脅威の軽減 脅威の影響度の緩和 " 各 OSPの実現に貢献していること " TOEの想定される使用方法をサポートしていること ( 環境セキュリティオブジェクティブ ) " TOEの使用環境と矛盾しないこと ( 環境セキュリティオブジェクティブ ) 38

39 セキュリティオブジェクティブの記述内容 ( 続き 2)!TOE あるいは IT 環境によるセキュリティオブジェクティブ : " 簡潔であること 実現方法の詳細は不要 " 脅威あるいは OSP を踏まえてそのオブジェクティブが 何を 解決するかを書く (how より what を中心に ) " 脅威や OSP に書かれた内容の言い直しでは意味がない " セキュリティ機能要件への関連付けを明確化 : セキュリティ機能要件の各大分類毎に一つのセキュリティオブジェクティブを定義! 環境セキュリティオブジェクティブ : " 想定の全体あるいは一部を再記述 39

40 セキュリティオブジェクティブの記述例! 記述形式例 : " TOEセキュリティオブジェクティブ : O.xxx " IT 環境セキュリティオブジェクティブ : OE.yyy " Non-IT 環境 : OE-NonIT.zzz, OE.zzz-NonIT 40

41 セキュリティオブジェクティブの記述例 ( 続き 1)!TOE あるいは IT 環境によるセキュリティオブジェクティブ " O(E).RBAC T(E).ACCESS( アクセス権のないオブジェクトへのアクセス ): TOE(IT 環境 ) はユーザがアクセス権限を持たない資源にアクセスしたり その上で操作を行うことを妨げなければならない " O(E).I&A T(E).ENTRY( システムへの不正侵入 ): TOE(IT 環境 ) はTOEへのユーザのアクセスを許可する前に ユーザを一意に識別し 本人であることを確認 ( 認証 ) しなければならない " O.IPADR_RANGE T.INTRUDE( 外部からの不正アクセス ): TOEは内部ネットワーク上ホストの有効なIPアドレスレンジを限定しなければならない 41

42 セキュリティオブジェクティブの記述例 ( 続き 2)!Non-IT 環境によるセキュリティオブジェクティブ " OE-NonIT.AUDITLOG TE.UNDETECTED( 攻撃未検知 ): TOE 管理者は監査機能が確実に使用および管理されることを保証しなければならない " OE-NonIT.PHYSICAL A.PHYSICAL( ハード / ソフトの物理的保護 ): TOE 責任者は TOE が IT セキュリティを損なう恐れのある物理的攻撃から保護されることを保証しなければならない 42

43 IT セキュリティ要件 " ST 序説 " TOE 記述 " TOE セキュリティ環境 " セキュリティオブジェクティブ " IT セキュリティ要件 " TOE サマリ仕様 " PP クレーム " 根拠 43

44 IT セキュリティ要件の目的!TOE セキュリティ要件 (TOE セキュリティ機能要件および TOE セキュリティ保証要件 ) および IT 環境セキュリティ要件を定義する 44

45 IT セキュリティ要件の記述項目!TOE セキュリティ要件 " TOE セキュリティ機能要件 TOEで実現する機能要件を記述する TOEの機能強度を記述する " TOE セキュリティ保証要件 TOE の評価保証レベル (EAL) を記述する!IT 環境セキュリティ要件 IT 環境で実現する機能要件を記述する 45

46 IT セキュリティ要件の位置付け セキュリティオブジェクティブ 環境セキュリティオブジェクティブ TOEセキュリティオブジェクティブ IT 環境 Non-IT 環境 IT セキュリティ要件 TOE セキュリティ機能要件 TOE セキュリティ保証要件 IT 環境セキュリティ要件 TOE セキュリティ機能 TOE 保証手段 TOE サマリ仕様 46

47 セキュリティ機能要件の構成 機能クラス機能ファミリ機能コンポーネント FAU FAU_ARP FAU_ARP.1 FAU_GEN FAU_GEN.1 FAU_ARP.1.1 FAU_GEN.1.1 FAU_GEN.1.2 FAU_GEN.1.3 FAU_GEN.2 FAU_GEN

48 要件の階層構造 クラス コンポーネント ファミリ ファミリ ファミリ

49 TOE セキュリティ機能要件の選び方! セキュリティオブジェクティブに対応する機能クラスから必要な要件を選ぶ! 選んだ要件と依存関係にある要件も加えて選択する 但し TOEの特性に応じて 依存関係にある全ての要件を選ぶ必要はない " 要件間の依存性は ISO で規定されているので それを参照のこと! 選ばれた要件群がセキュリティオブジェクティブを十分に満足するかどうかを検討する 49

50 機能要件の記述内容!TOE および IT 環境で実現する機能要件を具体的に記述する ISO の記述をそのまま使用するケースと 修整して使用するケースがある " 修整するケース Assignment( 割付 ): 指定された項目を具体化 Selection( 選択 ): 指定された項目の中から選択 Refinement( 詳細化 ): ) 必要に応じて具体化 Iteration( 繰り返し ): 同じ条件の繰り返し ( 複数の組合せ ) 50

51 !ISO の記述 割付の例 " FAU_STG.3.1 TSF は 監査証跡が [ 割付 : 事前に定義された限界値 ] を超えた場合 [ 割付 : 監査記録失敗の恐れ発生時のアクション ] を取らねばならない! 記述例 " FAU_STG.3.1 TSF は 監査証跡が容量の 90% を超えた場合 それを警告するアクションを取らねばならない 51

52 !ISO の記述 選択の例 " FAU_STG.1.2 TSF は 監査記録に対する改変を [ 選択 : 防御 検出 ] しなければならない! 記述例 " FAU_STG.1.2 TSF は 監査記録に対する改変を検出しなければならない 52

53 !ISO の記述 詳細化の例 " FIA_UAU.1.2 TSF は ユーザのために TSF によって行われる他のアクションが実行される前に 各ユーザが認証に成功する事を要求しなければならない! 記述例 " FIA_UAU.1.2 TSF は ユーザのために TSF によって行われる他のアクションが実行される前に 各ユーザがバイオメトリックシステムを使用した認証に成功する事を要求しなければならない 53

54 繰り返しの例!ISO の記述 " FAU_SAR.3.1 TSF は [ 割付 : 論理的相関を持った尺度 ] に基づいた監査データの [ 選択 : 検索 ソート 整列 ] を実行する能力を提供しなければならない! 記述例 " FAU_SAR.3.1(1) TSF は タイムスタンプだけ ユーザだけ ユーザとタイムスタンプ ユーザまたはタイムスタンプに基づいた監査データの検索を実行する能力を提供しなければならない " FAU_SAR.3.1(2) TSF は 最初から最後までのタイムスタンプに基づいた監査データの整列を実行する能力を提供しなければならない 54

55 機能要件の記述内容 ( 監査 )! 機能要件として 監査レベルと監査対象を記述する " 監査レベル Minimal( 最小 ) Basic( 基本 ) Detailed( 詳細 ) " 監査対象は 各機能要件毎に規定されている事象を一覧表で示す " 監査データを記録しない場合 この記述は不要 55

56 TOE セキュリティ機能強度の記述!TOE が持つべき最小限の強度を規定する 個々の要件に対して それを上回る強度を指定することができる " 確率メカニズムあるいは順列 / 組み合わせメカニズムによって実装されるセキュリティメカニズムを有する場合に必要となる " 機能強度レベル! 具体例 SOF-basic SOF-medium SOF-high : 低位の攻撃者に対抗可能 : 中位の攻撃者に対抗可能 : 高位の攻撃者に対抗可能 " 本 TOE の機能強度は SOF-basic である 56

57 TOE セキュリティ保証要件の記述内容!TOEへの保証要件を記述する ISO Part3 の保証パッケージ (EAL1~7) の中から選ぶこともできる 商用製品ではEAL2~4で十分である! 具体例 " 本 TOE は評価保証レベルとして EAL3 を満たすものとする 57

58 IT 環境でのセキュリティ要件の記述内容!TOE が依存するセキュリティ要件を記述する " ISO Part2 に記載されている機能要件を用いて記述する TOE IT 環境 (OS OS 等 )! 具体例 " FAU_SAR.2 OS は 明示的な読み込み権限のある利用者以外には監査記録の読み出しを禁止しなければならない 58

59 TOE サマリ仕様 " ST 序説 " TOE 記述 " TOE セキュリティ環境 " セキュリティオブジェクティブ " IT セキュリティ要件 " TOE サマリ仕様 " PP クレーム " 根拠 59

60 TOE サマリ仕様の目的!TOE セキュリティ要件で記述された内容の具体的な実現方法を定義する!TOE セキュリティ機能要件と TOE セキュリティ保証要件のそれぞれに対応して記述する 60

61 TOE サマリ仕様の記述項目!TOE セキュリティ機能 " TOE のセキュリティ機能 (TSF) を定義 " ここで定義した TSF が各設計資料に順次ブレークダウンされる! 保証手段 " 評価保証レベル (EAL) の保証要件が満たされていることを示す " 保証要件を満たすために用いる手段を記述する 61

62 TOE セキュリティ機能の記述内容! 各セキュリティ機能 (SF) の実現方法を 自然言語を使って分かりやすく記述する " セキュリティ機能の実現方法 " TOE セキュリティ機能要件 (SFR) との関係 SF と SFR は双方向にマッピングされねばならない " セキュリティメカニズムに対応する SF AVA_SOF.1 がセキュリティ保証要件に含まれる場合 関連する SF を識別する 62

63 TOE セキュリティ機能の具体例! セキュリティ機能を分かりやすく分類し さらに小項目に分けて仕様を記述する " 分類の例 : ファイアウォールを対象とした ST の例 : IPパケットフィルタリング機能 アプリケーションゲートウエイ機能 監査機能 63

64 TOE セキュリティ機能の具体例 ( 続き 1)!TOE セキュリティ機能 " IP パケットフィルタリング機能 IPF.1: IPF.2: IPパケットフィルタリング機能は ネットワークドライバと IPの間で OSのカーネル空間において動作する この機能は 外部ネットワーク ( 敵対的攻撃が予想される ) と内部ネットワークとの間におかれたファイアウォールにおいて あらかじめ設定した条件に従ってIPパケットの通過を制御する 64

65 TOE セキュリティ機能の具体例 ( 続き 2)! セキュリティ機能要件との対応関係の説明 " 対応関係は 以下のような表にまとめると分かりやすい * セキュリティ機能要件コンポーネント セキュリティ機能 FDP_IFC.1 FDP_IFF.1 FAU_ARP.1 FAU_GEN.1 FAU_SAA.1 FAU_SAR.1 FMT_MSA.1 FMT_MTD.1 IP パケットフィルタリング機能 X X X アプリケーションゲートウエイ X X X * マトリクス形式の表を使えば SF と SFR の双方向の対応関係を明示できる これは 根拠 の章に記述してもよい ここで記述した場合 根拠 ではそれを引用すればよい 65

66 保証手段の記述内容! セキュリティ保証要件をすべて満たす手段を説明する " EAL4 以下では このセクションの記述は比較的簡単なものになる " セキュリティ保証要件に対応し 具体的な保証手段を記述する ISO Part3 に EAL の各レベルごとに評価対象となる保証コンポーネントが書かれている そのコンポーネントが要求する手段 ( 具体的には 評価のために提出すべき資料 ) を記述する 66

67 ! 初めの部分 保証手段の具体例 " 以下の例のように 保証要件が満たされることを明記する このあとに証拠となる具体的な資料を列記する (TOEの名称 ) は 評価保証レベル (EAL)n * に対応する保証要件を満たす 保証要件を満たす手段を以下に示す * n は評価保証レベルの数値 (1~7) 67

68 保証手段の具体例 ( 続き 1)! 評価保証レベル (EAL) に対応する要件に従い 以下の例のように要件を満たす手段を記述する " 構成管理 : TOE の構成管理は以下の文書に基づいて行われる 始めの文書は TOE の構成を定義する 2 番目の文書は 会社における構成管理に関する規定である システム機能仕様書 構成管理手順書 ( 第 版 ) " 開発 : TOE の開発は以下の文書に基づいて行われる システム機能仕様書 システム構造設計書 68

69 保証手段の具体例 ( 続き 2)! 保証要件と保証手段との対応を説明する " 表を使ってマッピングを示すと分かりやすい 前のスライドに示した説明で要件と手段の対応が明確ならば 特に説明を追加しなくてもよい 以下のような表による説明は 根拠の章でおこなってもよい ここで表を使用した場合 根拠ではそれを引用すればよい セキュリティ保証要件コンポーネント 保証手段 ACM_AUT.1 ACM_CAP.4 ACM_SCP.2 ADO_DEL.2 ADO_IGS.1 ADV_FSP.2 ADV_HLD.2 AVD_VLA.2 構成管理手順書 ( 第 版 ) X X X システム機能仕様書 X X 69

70 PP クレーム " ST 序説 " TOE 記述 " TOE セキュリティ環境 " セキュリティオブジェクティブ " IT セキュリティ要件 " TOE サマリ仕様 " PP クレーム " 根拠 70

71 PP クレームの目的!PP( プロテクションプロファイル ) への適合を宣言 " 評価済みで公開されている PP への適合を宣言 PPへの部分的適合の宣言は不可 PPへの適合の宣言がない場合 適合するPPがない旨を記述 PP とは»PP は 製品のカテゴリーについて共通のセキュリティ要件を記載した要求仕様書»TOE サマリ仕様の記述がないことを除いて ほぼセキュリティターゲットと同様なもの» 業界団体などが作成 71

72 PP クレームの記述項目! 適合を宣言する PP ごとに 以下の項目に対する説明を行う " PP 参照 " PP 修整 " PP 追加 72

73 PP 参照の記述内容! 適合を宣言するPPへの参照情報を記述する! 適合宣言に関して必要な説明を加える 73

74 PP 修整の記述内容!PP に対して認められているセキュリティ要件への操作 ( 選択あるいは割付 ) がある場合 それを完了 ( 修整 ) していることを明確に記述する!PP のセキュリティ要件の条件をさらに限定することが必要な場合 それを明確に記述する 74

75 PP 追加の記述内容!PP のセキュリティオブジェクティブおよびセキュリティ要件に追加する TOE のセキュリティオブジェクティブおよびセキュリティ要件があれば それを明確に記述する 75

76 根拠 " ST 序説 " TOE 記述 " TOE セキュリティ環境 " セキュリティオブジェクティブ " IT セキュリティ要件 " TOE サマリ仕様 " PP クレーム " 根拠 76

77 根拠の目的! セキュリティターゲットが完全で一貫したものであるという根拠を提示する 77

78 根拠の記述項目! セキュリティオブジェクティブ根拠 " TOE セキュリティ環境に対応するセキュリティオブジェクティブのセットが効果的で必要かつ十分なものであることを示す! セキュリティ要件根拠 " セキュリティ要件のセットがセキュリティオブジェクティブを満たす必要かつ十分なものであることを示す!TOE サマリ仕様根拠 " TOE のセキュリティ機能がすべてのセキュリティ要件を満たす完全で一貫したセットであることを示す!PP クレーム根拠 " PP クレームの正当性を示す 78

79 セキュリティオブジェクティブ根拠の記述内容! セキュリティオブジェクティブが 脅威に対応し 想定と組織のセキュリティ方針に対応する 効果的で必要かつ十分なものであることを示す " 脅威への対応 " 想定への対応 " 組織のセキュリティ方針への対応! 対応表を使ったマッピング 個々の対応策が 脅威 想定 組織のセキュリティ方針と双方向に対応し 互いの対応に漏れがないことを示す! 記述による説明 脅威想定組織のセキュリティ方針 セキュリティオブジェクティブ 個々の対応策が 対応する脅威 想定 組織のセキュリティ方針に対し効果的で十分なものであることを示す 79

80 セキュリティオブジェクティブ根拠の記述内容 ( 続き )! 脅威への対応の具体例 対応表 : T.NOAUTH T.REPEAT T.REPLAY T.MEDIAT O.IDAUTH X O.SINUSE X X O.MEDIAT X O.SECSTA X O.SECFUN X X 説明文 : T.NOAUTH: O.IDAUTH によって正当なユーザだけに TOE のアクセスを許可し O.SECFUN によってセキュリティ機能へのアクセスを管理者だけに限定する また O.SECSTA によって TOE 立上げ時のセキュリティを確保する この 3 つを実施することで 正規のユーザでないものが TOE をアクセスする脅威に対抗できる 80

81 セキュリティ要件根拠の記述内容!TOE とその環境のセキュリティ要件が 一体としてセキュリティオブジェクティブを満たし 適切で必要かつ十分なものであることを以下の内容で説明する " セキュリティ機能要件とセキュリティオブジェクティブの対応 " セキュリティ保証要件の適切性 " セキュリティ機能強度の一貫性セキュリティオブジェクティブ " セキュリティ要件の依存性 " セキュリティ要件の相互補完性 セキュリティ機能要件セキュリティ機能強度 セキュリティ保証要件 81

82 セキュリティ要件根拠の記述内容 ( 続き 1)! セキュリティ機能要件とセキュリティオブジェクティブの対応 " 対応表を使ったマッピング ( 対応に漏れがないこと ) " セキュリティ機能要件の十分性の説明を記述 セキュリティオブジェクティブ セキュリティ機能要件 82

83 セキュリティ要件根拠の記述内容 ( 続き 2)! セキュリティ機能要件とセキュリティオブジェクティブの対応の具体例 対応表 : O.IDAUTH O.SINUSE O.ACCOUNT FMT_SMR.1 FIA_ATD.1 X X FIA_UID.2 X X FIA_UAU.1 X X O.SECFUN X 説明文 : O.IDAUTH: FIA_ATD.1 によって個々のユーザのセキュリティ属性を維持し FIA_UID.2 と FIA_UAU.1 によってユーザが TOE の各機能を使用する前にユーザ識別と認証 ( 本人の確認 ) を行う この 3 つの機能要件によって 正当なユーザだけへの TOE アクセスが許可が保証される 83

84 セキュリティ要件根拠の記述内容 ( 続き 3)! セキュリティ保証要件の適切性 " 保証要件の適切性については次の点を考慮する 脅威や攻撃レベルに対して十分なものであるかどうか? 開発コスト 開発時間 技術的実現可能性 84

85 セキュリティ要件根拠の記述内容 ( 続き 4)! セキュリティ保証要件の適切性の具体例 本 TOE は 正当な使用者のみが入室できる 制限された管理エリア内で使用することを想定する 想定する攻撃力は低レベルである また 開発中に 設計書やソースコード等の機密性や保全性が維持される必要がある 以上より 本 ST が評価保証レベル EAL3 を満足することは 適切である 85

86 セキュリティ要件根拠の記述内容 ( 続き 5)! セキュリティ機能強度の一貫性 " 確率メカニズムあるいは順列 / 組み合わせメカニズムによって実装されるセキュリティメカニズムを持つ TOE においては セキュリティ機能強度の宣言が必要である " セキュリティ機能強度の宣言がある場合 IT セキュリティ要件として宣言する最小機能強度について 以下の一貫性を示す 個別の機能要件で宣言する機能強度と一貫していること セキュリティオブジェクティブと一貫していること 86

87 セキュリティ要件根拠の記述内容 ( 続き 6)! セキュリティ要件の依存性 " セキュリティ機能要件 セキュリティ保証要件間の依存性が満たされていることを示す " ISO パート 2 パート 3 で定義されているセキュリティ要件については 要件間の依存性が規定されている 選択した要件がこの規定された依存性を満たしていることを 表を用いて説明する " 依存関係にある要件で選ばれなかったものがある場合 その正当性を説明する 87

88 セキュリティ要件根拠の記述内容 ( 続き 7)! セキュリティ要件の依存性の具体例 対応表 : No コンポーネントコンポーネント名 依存コンポーネント 対応 No 依存性を満足 1 FAU_GEN.1 監査データ生成 FPT_STM.1 26 Y 2 FAU_SAR.1 監査レビュー FAU_GEN.1 1 Y 3 FAU_STG.1 監査データ記憶域の保護 FAU_GEN.1 1 Y 4 FAU_STG.4 監査データ消失の防止 FAU_STG.1 3 Y 5 FIA_UID.2 ユーザ識別の優先 なし - N/A 説明文 : 上記対応表により セキュリティ要件 ( コンポーネント ) の依存性が全て満たされていることが示される 88

89 セキュリティ要件根拠の記述内容 ( 続き 8)! セキュリティ要件の相互補完性 " 要件間の依存性が満たされていることを示す " 要件間に一貫性があることを示す " 以下の攻撃に対抗する要件を備えていればそれを示す バイパス攻撃... セキュリティ機能を迂回する タンパリング攻撃... セキュリティ機能を改ざんする 不活性攻撃... セキュリティ機能を非稼動にする 89

90 セキュリティ要件根拠の記述内容 ( 続き 9)! セキュリティ要件の相互補完性の具体例 要件 攻撃を防御する要件 バイパス攻撃タンパリング攻撃不活性攻撃 FDP_IFC.1 FPT_RVM.1 FPT_SEP.1 N/A FDP_IFF.1 FPT_RVM.1 FPT_SEP.1 FAU_GEN.1 FPT_RVM.1 N/A N/A N/A FPT_SEP.1 N/A N/A N/A FAU_GEN.1 FPT_RVM.1 N/A FAU_GEN.1 FPT_RVM.1 バイパス防御 FPT_SEP.1 ドメインの分離 FAU_GEN.1 監査生成 90

91 TOE サマリ仕様根拠の記述内容!TOE のセキュリティ機能と保証手段のセットが 一体として TOE のセキュリティ要件を満たしていることを以下の内容で説明する " セキュリティ機能のセキュリティ機能要件への対応 " 保証手段のセキュリティ保証要件への対応 " 機能強度の正当性 IT セキュリティ要件 セキュリティ機能要件セキュリティ機能強度 セキュリティ保証要件 TOE サマリ仕様 セキュリティ機能 保証要件手段 91

92 TOE サマリ仕様根拠の記述内容 ( 続き 1)! セキュリティ機能のセキュリティ機能要件への対応の具体例 対応表 : セキュリティ機能セキュリティ機能要件 FDP_IFC.1 FDP_IFF.1 FAU_GEN.1 FAU_SAR.1 FAU_STG.1 FAU_STG.4 FMT_MOF.1 FMT_MSA.1 IPパケットフィルタリング機能 IPF.1 X X AUD.1 X 監査 / 管理機能 AUD.2 X X 説明文 : AUD.3 X X X FAU_GEN.1: AUD.7 X AUD.1はTOE 全体のログ収集機能を定義し AUD.2はアラーム生成時のログ収 集機能を含み AUD.3は管理者がTOEの状態をモニタするときのログ関連の機能 定義を含む この3つのセキュリティ機能によって FAU_GEN.1の要件がすべて満 たされる セキュリティ機能とセキュリティ機能要件の対応が自明 な場合は 説明を省略することができる X 92

93 TOE サマリ仕様根拠の記述内容 ( 続き 2)! 保証手段のセキュリティ保証要件への対応の具体例 対応表 : ACM_CAP.3 ACM_SCP.1 ADO_DEL.1 ADO_IGS.1 ADV_FSP.1 ADV_HLD.2 ADV_RCR.1 AGD_ADM.1 AGD_USR.1 ALC_DVS.1 ATE_COV.2 ATE_DPT.1 ATE_FUN.1 ATE_IND.2 AVA_MSU.1 AVA_SOF.1 AVA_VLA.1 保証要件保証手段 構成管理手順書 ( 第 XX 版 ) XX システム機能仕様書 X XX システムリファレンス X X X 説明文 : ACM_CAP.3: XX システムリファレンスは TOE の識別情報とラベルを提供する 構成管理手順書に基づき TOE への許可された変更が管理される よって ACM_CAP.3( 許可されたコントロール ) が満たされる 93

94 TOE サマリ仕様根拠の記述内容 ( 続き 3)! 機能強度の正当性 " セキュリティ機能強度の宣言がある場合 その仕様が適切であり 宣言した強度が実現できるものであることを説明する " セキュリティ機能強度の宣言がない場合 機能強度の宣言は不要であることの説明をする 94

95 PP クレーム根拠の記述内容! 適合を宣言する PP のセキュリティオブジェクティブおよびセキュリティ要件と 本 ST のそれらとの相違を説明する " 相違がある場合 その正当性が説明されなければならない " PP クレームがない場合 あるいは上記の相違がない場合 この項は不要である 95

96 おわりに 96

97 ! セキュリティ評価基準 参考情報 " ISO/IEC 15408(Common Criteria for Information Technology Security Evaluation) " CC セキュリティ要件解説書 97

98 参考情報 ( 続き 1)!ST 作成のためのガイドライン " Guide for the production of PPs and STs (ISO/IEC PDTR 15446) " CS2 - Protection Profile Guidance for Near-Term COTS (Version 1.0) 98

99 ! 認証済み ST( 例 ) " Cisco PIX Firewall 520 " Check Point Firewall-1 参考情報 ( 続き 2) 認証済み PP( 例 ) " Controlled Access Protection Profile " Labeled Security Protection Profile " Traffic Filter Firewall Protection Profile /index.html 99

100 ! 関連機関 組織 参考情報 ( 続き 3) " Common Criteria project " ISO/IEC JTC1 ( SC27 IT Security Techniques ) " 情報処理振興事業協会 (IPA) セキュリティセンター 100