PR

2.2 CCの概要

 ITセキュリティ評価の国際規格であるCCは開発者が主張するセキュリティ保証の信頼性に関する評価の枠組みを規定したものである.

 CCは,3分冊になっており,パート1には評価対象(TOE: Target of Evaluation)製品・システムのコンセプト(概念)および一般モデル,セキュリティ目標(ST: Security Target)やプロテクションプロファイル(PP: Protection Profile)に記載すべき内容が規定されている(図2).

図2●CC構成とSTの記載内容
図2●CC構成とSTの記載内容
[画像のクリックで拡大表示]

 ST(セキュリティターゲット)は,ITセキュリティ評価を行う評価対象に関するセキュリティ仕様と,どの程度の評価を行うかについて,CCに基づいて記述したIT製品に関するセキュリティ仕様書である.STでは,保護資産とそれに対する脅威等のセキュリティ課題を洗い出し,セキュリティ課題への対策方針を決定し,対策方針を満たすセキュリティ機能要件を記述する(図3).STにより,利用者・開発者は,対象製品・システムが適切性すなわち「情報資産を守るために必要十分な機能をもっているか」を確認できる.

図3●STのセキュリティ機能への論理展開
図3●STのセキュリティ機能への論理展開
[画像のクリックで拡大表示]

 STは個別の対象製品・システムに対する文書であるが,それに対してPP(プロテクションプロファイル)とは,主に対象製品分野ごと,または技術分野ごとに,必要なセキュリティ要件を記述したもので,STのひな型としての位置付けにある.ITセキュリティ評価を受ける製品は,STにおいて関連するPPへの適合主張を行い,必要なセキュリティ要件が満たされていることを第三者によって確認される.

 なお,CCのセキュリティ要求仕様を決定していく手順は認証取得を必要としない各種情報システムにおいてもセキュリティ要求分析に利用可能な規定になっている.

 CCのパート2ではTOEのセキュリティ機能要件(SFR: Security Functional Requirement)が規定されている.IT製品のセキュリティ機能を細かいコンポーネント(セキュリティ機能の部品)としてSTに記述するための文法(SYNTAX)についてのリファレンスブックとして,機能要件がカタログ的に列挙されている.このカタログ化されたセキュリティ機能要件こそが,セキュリティ機能の必要十分性を評価するために欠かせないものである.実際のセキュリティ機能要件の利用方法としてはパラメタやリストを特定することにより,準形式的な記載ができる.

 CCのパート3にはセキュリティ保証要件(SAR: Security Assurance Requirement)が規定されている.定義された機能要件の正確性を「どの範囲まで評価して保証するのか」,「どこまで詳細に評価するのか」を規定する評価保証パッケージとして評価保証レベル(EAL: Evaluation Assurance Level)が図4のように規定されている.評価保証レベルはセキュリティ機能の保証の度合いを示す.

図4●評価保証レベル(EAL)
図4●評価保証レベル(EAL)
[画像のクリックで拡大表示]

 どの範囲まで評価して保証するのかという点では,図5に示すようにライフサイクル全体として評価に必要な証拠資料や開発者への要求事項,評価者のアクション等が保証クラスごとに規定されており,脆弱性を生み出さない仕組みがライフサイクル全般にわたって作られているかが確認される.

図5●ライフサイクル全体としての保証
図5●ライフサイクル全体としての保証
[画像のクリックで拡大表示]