ISO/IEC 15408 セミナー ISO/IEC 15408(Common Criteria) 概要 平成 12 年 3 月情報処理振興事業協会 (IPA) セキュリティセンター 1
目次! ISO/IEC 15408 の意義! ISO/IEC 15408 の運用! 欧米の対応と製品評価状況! ISO/IEC 15408 の内容! 日本の取り組み 2
ISO/IEC 15408 の意義 3
セキュリティ評価の必要性 大丈夫かな? 情報処理システム エンドユーザ 研究情報経営情報 医療カルテ顧客情報 取引情報契約書 PC IC カート セキュリティ機能 ネットワーク 記憶媒体 運用ガイドライン 暗号化認証 パスワード管理 製品 / システム開発者 システム運用者 4
! 開発 / 製造 / 運用に関わった資材を検査して大丈夫と宣言! 検査の対象物候補 : ISO/IEC 15408 の特徴 適用 (1) セキュリティターゲット *( セキュリティ脅威分析 装備すべき機能 品質対策など ) セキュリティターゲット プログラム設計書 ソースコード オブジェクトコード テスト仕様書 脆弱性分析書 マニュアル 運用規則など 脆弱性分析書 * セキュリティターゲットは セキュリティ設計仕様書 という位置付け! 大丈夫さの度合い ( 検査対象物の範囲とその内容 ) を評価 * セキュリティターゲット テストの実施 + ソースコード + 数学的証明 * 大丈夫さの度合いを この規格では EAL:Evaluation Evaluation Assurance Level と呼ぶ 5
ISO/IEC 15408 の特徴 適用 (2)! ISO/IEC 15408 を適用することによって システム / 製品は大丈夫さの度合い ( ( 例 :EAL4 EAL4) で ISO/IEC 15408 取得! 適用範囲ソフトウェア (OS DBMS Firewall 等 ) ハードウェア ファームウェア (IC カード等 ) セキュリティ機能を持ったすべての IT 製品 / システム 6
ISO/IEC 15408 の意義 (1) セキュリティ対策の策定 ( セキュリティターゲットの作成による ) リスク と セキュリティ対策 のバランス 最適な投資効果 7
8 有効な対策の実施有効な対策の実施 ISO/IEC 15408 ISO/IEC 15408 の意義の意義 (2) (2)
ISO/IEC 15408 の運用 9
セキュリティ評価 認証制度 認証機関と別の役割 政府機関であること ( 相互承認協定要件 ) ISO Guide65 認定 (Accreditation) 機関 評価機関の審査 認定 管理 認証 (Validation/Certification) 機関 評価結果の認証 評価機関の技術指導 監督 評価 認証ルール 制度の維持 資格申請 審査 認定 管理 評価 (Evaluation) 機関 技術指導 監督 メーカ ベンダ ユーザから依頼された製品やシステムのセキュリティ評価試験実施 CC CEM に基づくこと ( 相互承認協定要件 ) セキュリティ評価に関するコンサルティング 評価報告 コンサルティング 評価認証依頼 認証書 メーカ ベンダ 認証 製品の評価 認証依頼 ( 製品 製品情報 資料類の提出 ) 製品のセキュリティ品質向上 作り込み 相互承認手続き ISO Guide25 民間企業 政府機関政府機関など各種可能 ( 外国には軍関係の評価機関もある ) CC : Common Criteria CEM: Common Evaluation Methodology ( 評価手法 ) 10
欧米の対応と製品評価状況 11
欧米でのセキュリティ評価の歴史 1983 TCSEC (Orange Book) 欧州各国ごとの評価基準 ITSEC 1991 CC (Common Criteria) V1.0:1996 V2.0:1998/V2.1:1999 (ISO/IEC JTC 1/SC 27/WG 3 へ提案 ) ISO/IEC 15408 1999:6 月に国際規格 (IS) として承認 12 月発行 ITSEC :Information Technology Security Evaluation Criteria TCSEC :Trusted Computer System Evaluation Criteria 12
セキュリティ評価における相互承認 (MRA:Mutual Recognition Arrangement)! ある国が CCを使って認証したセキュリティレベルは 他の国でもそのまま通用する趣旨の協定 " 1998 年 10 月 : カナダ フランス ドイツ 英国 米国の 5カ国による相互承認の調印 " 1999 年 10 月 : オーストラリア ニュージーランドが新たに調印 認証書 認証書 認証書 認証書 認証書 認証書 認証書 (Validation /Certification) (Evaluation) MRA (Accreditation) 認証書 認証書 認証書 認証書 13
14 281 281 281 281 28 28 28 28 195 195 195 195 58 58 58 58 合計合計合計合計 41 41 41 41 6 35 35 35 35 評価中評価中評価中評価中 3 1 2 2000 2000 2000 2000 40 40 40 40 15 15 15 15 24 24 24 24 1 99 99 99 99 40 40 40 40 5 29 29 29 29 6 98 98 98 98 36 36 36 36 1 29 29 29 29 6 97 97 97 97 24 24 24 24 20 20 20 20 4 96 96 96 96 31 31 31 31 20 20 20 20 11 11 11 11 95 95 95 95 44 44 44 44 26 26 26 26 18 18 18 18 94 94 94 94 10 10 10 10 5 5 93 93 93 93 5 2 3 92 92 92 92 4 2 2 91 91 91 91 2 1 1 90 90 90 90 1 1 1989 1989 1989 1989 合計合計合計合計 ( 年 ) CC CC CC CC ITSEC ITSEC ITSEC ITSEC TCSEC TCSEC TCSEC TCSEC 欧米でのセキュリティ評価件数 2000.2 現在現在現在現在
区分 セキュリティ評価 認証済み製品例 2000.2 現在製品名サプライヤ TCSEC ITSEC CC OS Windows NT4.0 SP3 Windows NT4.0 SP6a HPUX 10.20 Solaris 2.51SE Trusted Solaris 1.2 OS 1100/2200 Release SB4R7 AS/400 with OS/400 V2R3M0 Microsoft Microsoft Hewlett Packard Sun Microsystems Sun Microsystems Unisys IBM C2 B1 C2 E3 E3 E2 E3 DBM S Oracle7 Release 7.2.2.4.13 Trusted Oracle7, 7.0.12.6 INFORMIXOnLine/Secure5.0 Secure SQL Server v11.0.6 Oracle Oracle Informix Software Sybase B1 B1 B1 E3 E3 E3 EAL4 Network Cisco PIX Firewall 520, v4.3 Check Point Firewall1 v4 Gauntlet Firewall v3.01 Novell Trusted Netware 4.11 Cisco Systems Check Point Software Network Associates Novell C2 E3 E3 E2 EAL2 他 MONDEX Purse R2 on MULTOS v3 Trusted EDI SenTry 2020 Mondex International EDS MIS Europe E6 E3 EAL1 15
CC の EAL と欧米の既存セキュリティ基準との対応表! CC で定義されている 7 階層の評価保証レベル (EAL) と 米国 TCSEC 欧州 ITSEC でそれぞれ定義されているセキュリティ保証レベル ( クラス ) との対応関係を下表に示す 米国 TCSEC D C1 C2 B1 B2 B3 A1 欧州 ITSEC E0 E1 E2 E3 E4 E5 E6 Common Criteria EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 16
ISO/IEC 15408 の内容 17
ISO/IEC 15408 の構成! Part 1 ( 概説と一般モデル ) " セキュリティ評価の背景 評価のアプローチ " セキュリティターゲット (ST: Security Target ) の仕様 " プロテクションプロファイル (PP: Protection Profile ) の仕様! Part 2 ( セキュリティ機能要件 ) " セキュリティ機能要件集 (11 分類 ) セキュリティに関する機能のふるまいの要件 ~ 監査 データ保護 識別 認証 等! Part 3 ( セキュリティ保証要件 ) " セキュリティ保証要件集 (10 分類 ) セキュリティ機能が正確に実装されていることを確認する要件 ~ 設計 テスト 管理 ドキュメント 等 脅威への脆弱性に関する要件 " 評価保証レベルの規定 (EAL1~EAL7) 18
セキュリティターゲット (ST)! ISO/IEC 15408 の Part 1 に基づき 次のような内容で記述 " TOEの定義 " 脅威 / 前提条件 " セキュリティ対策 " セキュリティ要件 " セキュリティ仕様 " PP 宣言 (*) " 根拠 * ST が PP を参照する場合に記述 TOE:Target Target Of Evaluation ( 評価の対象 ) 19
セキュリティ評価における ST の位置付け プロテクションプロファイル (PP) セキュリティ評価基準 ISO/IEC15408 セキュリティターゲット (ST) 開発 評価手法 製品 / システムとドキュメント 評価 評価の枠組み 評価結果 運用 フィードバック 20
セキュリティ機能要件 (Security functional requirements)! ISO/IEC 15408 の Part 2 にて 以下の 11 クラスに分類されている 1. セキュリティ監査 (Security audit:fau) 2. 通信 (Communication:FCO) 3. 暗号サポート (Cryptographic support:fcs) 4. ユーザデータ保護 (User data protection:fdp) 5. 識別と認証 (Identification and authentication:fia) 6. セキュリティ管理 (Security management:fmt) 7. プライバシー (Privacy:FPR) 8. TOEセキュリティ機能保護 (Protection of the TSF:FPT) 9. 資源利用 (Resource utilisation:fru) 10. TOEアクセス (TOE access:fta) 11. 高信頼パス / チャネル (Trusted path/channels:ftp) 21
セキュリティ保証要件 (Security assurance requirements)! ISO/IEC 15408 の Part 3 にて 以下の 10 クラスに分類されている * * * * * * * * 1. PP 評価 (PP evaluation: APE) 2. ST 評価 (ST evaluation: ASE) 3. 構成管理 (Configuration management: ACM) 4. 配付と運用 (Delivery and operation: ADO) 5. 開発 (Development: ADV) 6. ガイダンス文書 (Guidance documents: AGD) 7. ライフサイクルサポート (Life cycle support: ALC) 8. テスト (Tests: ATE) 9. 脆弱性評定 (Vulnerability assessment: AVA) 10. 保証の維持 (Maintenance of assurance: AMA) *2 から 9 の保証要件に基づき TOE を評価する 22
評価保証レベル (EAL:Evaluation Assurance Level)! EAL は評価の厳格さのレベルを示す EAL の上位 ( 番号の大きい方 ) レベルは 下位レベルの要件を含む レベル EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 概要 評価者がマニュアルなどに従い機能的な分析を実施 評価者による独立テストの実施 上位レベル設計書を用いたプログラムの構造の検証 サンプリングテストの実施 評価者による侵入テストと脆弱性分析 系統だったテストの実施と分析 開発環境や開発生産物の管理状況の評価 下位レベル設計書を使用し処理内容の検証 重要な部分はソースコードも検証 全ソースコードの分析 隠れた情報漏洩ルートの分析 半形式的記述言語を用いた上位レベル設計 半形式的記述言語を用いた下位レベル設計 形式的記述言語を用いた検証方法に基づく設計とテストの確認 23
日本の取り組み 24
セキュリティ評価への近年の取り組み 1991 1996 1998 1999 2000 ISO/IEC JTC1 SC 27 WG3 における検討への対応 ( 情報処理学会 ) セキュリティ機能要件の検討 (JEIDA) セキュリティ評価技術の研究 (JEIDA) IPA にコモン クライテリア タスク フォース (CCTF) を設置 (1998 年 5 月 ) セキュリティ評価技術の開発 ST 作成 / 脆弱性分析 / 評価用各ガイド 支援ツール ISO/IEC 15408 の JIS 化 (2000 年夏予定 ) セキュリティ評価 認証制度に関する調査 (IPA) 25
付録 26
付録 : ISO/IEC 15408 の使われ方 ( 例 ) ベンダ 製品開発 ST 仕様書類など提供 評価機関 基本設計 ST 上位 / 下位レベル設計テスト分析 実施脆弱性分析マニュアル作成など 製品評価 製品 提供 ST 評価仕様書評価テスト評価脆弱性評価マニュアル評価など 公開 PP 評価 関連 PP 参照 / 準拠 評価結果報告 PP ISO/IEC 15408 ST が準拠する PP 参照 ST 認証機関 製品認証 関連製品 ST 参照 評価結果の検証認証報告書の作成認証書発行認証製品リスト発行 登録 & 公開 PP 認証製品リスト参照 業界団体 製品選定 セキュリティ要求仕様の策定 要求仕様と製品仕様との比較検討 エンドユーザ 27
付録 : 海外でのセキュリティ評価の歴史 ( 暦年 ) ~1996 1997 1998 1999 2000~ 評価認証制度 評価基準 アメリカ カナダ イギリスドイツフランス 相互承認 (MRA) 1998 1983 TCSEC/OrangeBook (1992 FederalCriteria) アメリカ 1991 CTCPEC カナダ CommonCriteria v1 CC MEMO3, GreenBook イギリス CommonCriteria v2 ドイツフランス ZSEIC, B/W Book B/W/R Book 1991 ITSEC ISO 標準 1986TPEP 1995 TTAP 1991~( 各国 )ITSEC ベースに移行 JTC1 SC27 WG3 にて CCTP/NIAP CC の IS 化検討 1998 ~( 各国 )CC ベースに移行 IS 化 TTAP:Trust Technology Assessment Program NIAP:National Information Assurance Partnership CCTP:Common Criteria Testing Program TCSEC:Trusted Computer System Evaluation Criteria ITSEC:Information Technology Security Evaluation Criteria 28