1

ISO/IEC 15408（Common Criteria）概要

ISO/IEC 15408セミナー

平成12年3月情報処理振興事業協会(IPA)セキュリティセンター

2

目　次

!　ISO/IEC 15408の意義

!　ISO/IEC 15408の運用

!　欧米の対応と製品評価状況!　ISO/IEC 15408の内容

!　日本の取り組み

3

ISO/IEC 15408の意義

4

エンドユーザエンドユーザエンドユーザエンドユーザ

IC ｶｰﾄﾞｶｰﾄﾞｶｰﾄﾞｶｰﾄﾞ

記憶媒体記憶媒体記憶媒体記憶媒体ネットワークネットワークネットワークネットワーク

情 報 処 理 シ ス テ ム情 報 処 理 シ ス テ ム情 報 処 理 シ ス テ ム情 報 処 理 シ ス テ ム

システム運用者

製品／システム開発者

研究情報研究情報研究情報研究情報経営情報経営情報経営情報経営情報

医療カルテ医療カルテ医療カルテ医療カルテ顧客情報顧客情報顧客情報顧客情報

取引情報取引情報取引情報取引情報契約書契約書契約書契約書

PC

セキュリティ評価の必要性

パスワード管理パスワード管理パスワード管理パスワード管理。。。。。。。。。。。。

運用ガイドライン運用ガイドライン運用ガイドライン運用ガイドライン

大 丈 夫 か な ？大 丈 夫 か な ？大 丈 夫 か な ？大 丈 夫 か な ？

セキュリティ機能セキュリティ機能セキュリティ機能セキュリティ機能

暗号化暗号化暗号化暗号化

認証。。。認証。。。認証。。。認証。。。

5

! 開発／製造／運用に関わった資材を検査して大丈夫と宣言！開発／製造／運用に関わった資材を検査して大丈夫と宣言！

・セキュリティターゲットセキュリティターゲットセキュリティターゲットセキュリティターゲット*（セキュリティ脅威分析、装備すべき機能、品質対策など）

・プログラム設計書・ソースコード・オブジェクトコード・テスト仕様書・脆弱性分析書脆弱性分析書脆弱性分析書脆弱性分析書・マニュアル・運用規則　など

セキュリティターゲット、セキュリティターゲット、セキュリティターゲット、セキュリティターゲット、テストの実施テストの実施テストの実施テストの実施

＋＋＋＋ ソースコードソースコードソースコードソースコード ＋＋＋＋数学的証明数学的証明数学的証明数学的証明

検査の対象物候補検査の対象物候補検査の対象物候補検査の対象物候補 ：：：：

**セキュリティターゲットセキュリティターゲットセキュリティターゲットセキュリティターゲットセキュリティターゲットセキュリティターゲットセキュリティターゲットセキュリティターゲットは、「セキュリティ設計仕様書」という位置付け。は、「セキュリティ設計仕様書」という位置付け。

**大丈夫さの度合いを、この規格では大丈夫さの度合いを、この規格では「「EALEAL：：：：：：：：Evaluation Assurance LevelEvaluation Assurance Level」」と呼ぶ。と呼ぶ。

!大丈夫さの度合い（検査対象物の範囲とその内容）を評価*

ISO/IEC 15408の特徴・適用(1)

6

ISO/IEC 15408の特徴・適用(2)

○○○○ ○システム／製品は大丈夫さの度合い△○システム／製品は大丈夫さの度合い△○システム／製品は大丈夫さの度合い△○システム／製品は大丈夫さの度合い△ △（△（△（△（例：例：例：例：EAL4EAL4EAL4EAL4））））ででででISO/IEC 15408ISO/IEC 15408ISO/IEC 15408ISO/IEC 15408取得取得取得取得

!!　　ISO/IEC 15408ISO/IEC 15408をを適用することによって。。。。適用することによって。。。。

!!　　適用範囲　　ソフトウェア(OS、DBMS、Firewall等)、ハードウェア、　　ファームウェア（ICカード等）：セキュリティ機能を持った　　すべてのIT製品／システム。

7

リスクリスクリスクリスクセキュリティ対策セキュリティ対策セキュリティ対策セキュリティ対策

技術技術技術技術 運用／管理運用／管理運用／管理運用／管理

国

際

標

準

国

際

標

準

国

際

標

準

国

際

標

準

国

際

標

準

国

際

標

準

国

際

標

準

国

際

標

準

「リスク」と「セキュリティ対策」のバランス「リスク」と「セキュリティ対策」のバランス「リスク」と「セキュリティ対策」のバランス「リスク」と「セキュリティ対策」のバランス「リスク」と「セキュリティ対策」のバランス「リスク」と「セキュリティ対策」のバランス「リスク」と「セキュリティ対策」のバランス「リスク」と「セキュリティ対策」のバランス

最適な投資効果最適な投資効果

セキュリティ対策の策定　セキュリティ対策の策定　((セキュリティターゲットの作成によるセキュリティターゲットの作成による))

ISO/IEC 15408ISO/IEC 15408の意義の意義(1)(1)

8

運用管理運用管理運用管理運用管理技術技術技術技術 国

際

標

準

国

際

標

準

国

際

標

準

国

際

標

準

国

際

標

準

国

際

標

準

国

際

標

準

国

際

標

準

セキュリティセキュリティセキュリティセキュリティ教育教育教育教育

運用ｶﾞｲﾄﾞﾗｲﾝ運用ｶﾞｲﾄﾞﾗｲﾝ運用ｶﾞｲﾄﾞﾗｲﾝ運用ｶﾞｲﾄﾞﾗｲﾝ作成作成作成作成

ﾃﾞｰﾀ暗号化ﾃﾞｰﾀ暗号化ﾃﾞｰﾀ暗号化ﾃﾞｰﾀ暗号化／ＶＰＮ／ＶＰＮ／ＶＰＮ／ＶＰＮ

ﾕｰｻﾞ認証ﾕｰｻﾞ認証ﾕｰｻﾞ認証ﾕｰｻﾞ認証／ｱｸｾｽ制御／ｱｸｾｽ制御／ｱｸｾｽ制御／ｱｸｾｽ制御

必要なセキュリティ要件を明確化必要なセキュリティ要件を明確化必要なセキュリティ要件を明確化必要なセキュリティ要件を明確化

技術と運用のバランス技術と運用のバランス技術と運用のバランス技術と運用のバランス

有効な対策の実施有効な対策の実施

ISO/IEC 15408ISO/IEC 15408の意義の意義(2)(2)

9

ISO/IEC 15408の運用

10

認証（認証（認証（認証（Validation/Certification））））機関機関機関機関・評価結果の認証・評価機関の技術指導、監督・評価・認証ルール、制度の維持

評価（評価（評価（評価（Evaluation））））機関機関機関機関・メーカ、ベンダ、ユーザから依頼された製品やシステムのセキュリティ評価試験実施

・セキュリティ評価に関するコンサル　ティング

メーカ・ベンダメーカ・ベンダメーカ・ベンダメーカ・ベンダ・製品の評価・認証依頼

（製品、製品情報、資料類の提出）

・製品のセキュリティ品質

向上。作り込み

資格申請 審査・認定・管理技術指導 ・監督

評価報告認証

相互承認手続き

認定（認定（認定（認定（Accreditation））））機関機関機関機関・評価機関の審査、認定、管理

民間企業民間企業民間企業民間企業、政府機関政府機関政府機関政府機関など各種可能（外国には軍関係の評価機関もある）

ISO Guide25 ISO Guide25 ISO Guide25 ISO Guide25

認証機関と別の役割政府機関政府機関政府機関政府機関であること（相互承認協定要件） ISO Guide65ISO Guide65ISO Guide65ISO Guide65

ＣＣ、ＣＥＭに基づくこと（相互承認協定要件）

セキュリティ評価・認証制度

認証書

評価認証依頼

コンサルティング

CC　：　：　：　： Common CriteriaCEM：：：： Common Evaluation Methodology　（　（　（　（評価手法）評価手法）評価手法）評価手法）

11

欧米の対応と製品評価状況

12

TCSEC(Orange Book)

CC(Common Criteria)

V1.0：：：：1996V2.0：：：：1998／／／／V2.1：：：：1999(ISO/IEC JTC 1／／／／SC 27／／／／WG 3へ提案へ提案へ提案へ提案)

1983

ITSEC ：：：：Information Technology Security Evaluation CriteriaTCSEC ：：：：Trusted Computer System Evaluation Criteria

ITSEC 1991

欧州各国ごと欧州各国ごと欧州各国ごと欧州各国ごとの評価基準の評価基準の評価基準の評価基準

1999：：：：6月に月に月に月に国際規格国際規格国際規格国際規格(IS)として承認。として承認。として承認。として承認。12月発行。月発行。月発行。月発行。

ISO/IEC 15408

欧米でのセキュリティ評価の歴史

13

カナダ フランス ドイツ 英国 米国

市場市場市場市場 市場市場市場市場 市場市場市場市場市場市場市場市場市場市場市場市場

オーストラリア

市場市場市場市場 市場市場市場市場

ニュージーランド

認証認証認証認証(Validation　／Certification)

評価評価評価評価(Evaluation)

認定認定認定認定(Accreditation)

セキュリティ評価における相互承認（MRA：Mutual　　　　Recognition Arrangement）

! ある国がある国がある国がある国がCCを使って認証したセキュリティレベルは、他の国でもそのまま通用する趣旨の協定を使って認証したセキュリティレベルは、他の国でもそのまま通用する趣旨の協定を使って認証したセキュリティレベルは、他の国でもそのまま通用する趣旨の協定を使って認証したセキュリティレベルは、他の国でもそのまま通用する趣旨の協定

" 1998年年年年10月：カナダ、フランス、ドイツ、英国、米国の月：カナダ、フランス、ドイツ、英国、米国の月：カナダ、フランス、ドイツ、英国、米国の月：カナダ、フランス、ドイツ、英国、米国の5カ国による相互承認の調印カ国による相互承認の調印カ国による相互承認の調印カ国による相互承認の調印

" 1999年年年年10月：オーストラリア、ニュージーランドが新たに調印月：オーストラリア、ニュージーランドが新たに調印月：オーストラリア、ニュージーランドが新たに調印月：オーストラリア、ニュージーランドが新たに調印

MRA

認証書認証書認証書 認証書認証書認証書 認証書

認証書認証書認証書認証書

14

2812812812812828282819519519519558585858合計合計合計合計

41414141666635353535評価中評価中評価中評価中

3333111122222000200020002000

4040404015151515242424241111　　　　99999999

404040405555292929296666　　　　98989898

363636361111292929296666　　　　97979797

24242424202020204444　　　　96969696

313131312020202011111111　　　　95959595

444444442626262618181818　　　　94949494

1010101055555555　　　　93939393

555522223333　　　　92929292

444422222222　　　　91919191

222211111111　　　　90909090

111111111989198919891989

合計合計合計合計((((年年年年))))CCCCCCCCITSECITSECITSECITSECTCSECTCSECTCSECTCSEC

欧米でのセキュリティ評価件数

2000.2現在現在現在現在

15

EAL2－－－

－E3E3E2

－－－C2

Cisco SystemsCheck Point SoftwareNetwork AssociatesNovell

Cisco PIX Firewall 520, v4.3Check Point Firewall-1 v4Gauntlet Firewall v3.01Novell Trusted Netware 4.11

Net-work

－－－

－B1B1B1

－C2－－－B1C2

TCSECTCSECTCSECTCSEC

－－

EAL1

E6E3－

Mondex InternationalEDSMIS Europe

MONDEX Purse R2 on MULTOS v3

Trusted EDISenTry 2020

他

EAL4－－－

E3E3E3－

OracleOracleInformix SoftwareSybase

Oracle7 Release 7.2.2.4.13Trusted Oracle7, 7.0.12.6INFORMIX-OnLine/Secure5.0Secure SQL Server v11.0.6

DBMS

－－－－－－－

E3－E3E2E3－－

MicrosoftMicrosoftHewlett PackardSun MicrosystemsSun MicrosystemsUnisysIBM

Windows NT4.0 SP3Windows NT4.0 SP6aHP-UX 10.20Solaris 2.51SETrusted Solaris 1.2OS 1100/2200 Release SB4R7AS/400 with OS/400 V2R3M0

OS

CCCCCCCCITSECITSECITSECITSECサプライヤサプライヤサプライヤサプライヤ製品名製品名製品名製品名区分区分区分区分

2000.2 現在現在現在現在

セキュリティ評価・認証済み製品例

16

CCのEALと欧米の既存セキュリティ基準との対応表

! CCで定義されている７階層の評価保証レベル（EAL）と、米国TCSEC、欧州ITSECでそれぞれ定義されているセキュリティ保証レベル（クラス）との対応関係を下表に示す。

CommonCriteria

EAL1EAL2EAL3EAL4EAL5EAL6EAL7

米国TCSEC

D

C1C2B1B2B3A1

欧州ITSEC

E0

E1E2E3E4E5E6

17

ISO/IEC 15408の内容

18

!　Part 1 （（（（概説と一般モデル）概説と一般モデル）概説と一般モデル）概説と一般モデル）"　セキュリティ評価の背景、評価のアプローチ"　セキュリティターゲットセキュリティターゲットセキュリティターゲットセキュリティターゲット（ST： Security Target ）の仕様　　　　"　プロテクションプロファイル（PP： Protection Profile ）の仕様

!　Part 2 （（（（セキュリティ機能要件）セキュリティ機能要件）セキュリティ機能要件）セキュリティ機能要件）"　セキュリティセキュリティセキュリティセキュリティ機能要件集機能要件集機能要件集機能要件集 （１１分類）

　　　　・セキュリティに関する機能のふるまいの要件

　　　　　　～　監査、データ保護、識別・認証、等

!　Part 3 （（（（セキュリティ保証要件）セキュリティ保証要件）セキュリティ保証要件）セキュリティ保証要件）

"　セキュリティ保証要件集セキュリティ保証要件集セキュリティ保証要件集セキュリティ保証要件集 （１０分類）　　　　　　　・ セキュリティ機能が正確に実装されていることを確認する要件

　　　　　　～　設計、テスト、管理、ドキュメント、等　　　　　・ 脅威への脆弱性に関する要件

"　評価保証レベル評価保証レベル評価保証レベル評価保証レベルの規定 （EAL1～EAL7）

ISO/IEC 15408の構成

19

"　TOEの定義

"　脅威／前提条件

"　セキュリティ対策

"　セキュリティ要件

"　セキュリティ仕様"　ＰＰ宣言(*)"　根拠

セキュリティターゲット(ST)

!!　　ISO/IEC 15408のPart 1に基づき、次のような内容で記述。

TOETOETOETOE：：：：Target Of Evaluation Target Of Evaluation Target Of Evaluation Target Of Evaluation （（（（評価の対象）評価の対象）評価の対象）評価の対象）

* * * * STSTSTSTががががPPPPPPPPを参照する場合に記述を参照する場合に記述を参照する場合に記述を参照する場合に記述

20

セキュリティ評価基準セキュリティ評価基準セキュリティ評価基準セキュリティ評価基準ＩＳＯ／ＩＥＣ１５４０８ＩＳＯ／ＩＥＣ１５４０８ＩＳＯ／ＩＥＣ１５４０８ＩＳＯ／ＩＥＣ１５４０８

評価手法評価手法評価手法評価手法

評価の枠組み評価の枠組み評価の枠組み評価の枠組み

運用運用運用運用

評価評価評価評価

開発開発開発開発

製品／システム製品／システム製品／システム製品／システムとドキュメントとドキュメントとドキュメントとドキュメント

評価結果評価結果評価結果評価結果

フィードバックフィードバックフィードバックフィードバック

プロテクションプロテクションプロテクションプロテクションプロファイル（プロファイル（プロファイル（プロファイル（PP））））

セキュリティセキュリティセキュリティセキュリティターゲットターゲットターゲットターゲット(ST)

セキュリティ評価におけるSTの位置付け

21

セキュリティ機能要件（Security functional requirements）

１． セキュリティ監査　　(Security audit：FAU)

２． 通信　　(Communication：FCO)

３． 暗号サポート　　(Cryptographic support：FCS)

４． ユーザデータ保護　　(User data protection：FDP)

５． 識別と認証　　(Identification and authentication：FIA)

６． セキュリティ管理　　(Security management：FMT)

７． プライバシー　　(Privacy：FPR)

８． TOEセキュリティ機能保護　　(Protection of the TSF：FPT)

９． 資源利用　　(Resource utilisation：FRU)

１０． TOEアクセス　　(TOE access：FTA)

１１． 高信頼パス／チャネル　　(Trusted path/channels：FTP)

!!　　 ISO/IEC 15408のPart 2にて、以下の１１クラスに分類されている。

22

セキュリティ保証要件(Security assurance requirements)

＊＊＊＊ ２から９の保証要件に基づき２から９の保証要件に基づき２から９の保証要件に基づき２から９の保証要件に基づきTOETOETOETOEを評価するを評価するを評価するを評価する

１． PP評価　　(PP evaluation： APE)

２． ST評価　　(ST evaluation： ASE)

３． 構成管理　(Configuration management： ACM)

４． 配付と運用　　(Delivery and operation： ADO)

５． 開発　　　　　　(Development： ADV)

６． ガイダンス文書　　(Guidance documents： AGD)

７． ライフサイクルサポート　(Life cycle support： ALC)

８． テスト　　　　　　(Tests： ATE)

９． 脆弱性評定　　(Vulnerability assessment： AVA)

１０．　保証の維持　　(Maintenance of assurance： AMA)

＊＊＊＊＊

＊＊＊

!!　　 ISO/IEC 15408のPart 3にて、以下の１０クラスに分類されている。

23

形式的記述言語を用いた検証方法に基づく設計とテストの確認。EAL7

半形式的記述言語を用いた下位レベル設計。EAL6

全ソースコードの分析、隠れた情報漏洩ルートの分析。半形式的記述言語を用いた上位レベル設計。

EAL5

下位レベル設計書を使用し処理内容の検証。重要な部分はソースコードも検証。

EAL4

系統だったテストの実施と分析、開発環境や開発生産物の管理状況の評価。EAL3

上位レベル設計書を用いたプログラムの構造の検証、サンプリングテストの実施。評価者による侵入テストと脆弱性分析。

EAL2

評価者がマニュアルなどに従い機能的な分析を実施。評価者による独立テストの実施。

EAL1概　要レベル

評価保証レベル(EAL：Evaluation Assurance Level)

!!　　ＥＡＬは評価の厳格さのレベルを示す。EALの上位（番号の大きい方）レベルは、　　下位レベルの要件を含む。

24

日本の取り組み

25

セキュリティ評価への近年の取り組み

IPAにコモン・クライテにコモン・クライテにコモン・クライテにコモン・クライテ

リア・タスク・フォースリア・タスク・フォースリア・タスク・フォースリア・タスク・フォース（（（（CCTF））））を設置を設置を設置を設置(1998年年年年5月月月月)

セキュリティ機能要件の検討 (JEIDA)

ISO/IEC JTC1 SC 27 WG3 における検討への対応(情報処理学会)

セキュリティ評価技術の開発・セキュリティ要件解説書・ ST作成／脆弱性分析／評価用各ガイド

・ 支援ツール

セキュリティ評価技術の研究 (JEIDA)

セキュリティ評価・認証制度に関する調査（IPA）

ISO/IEC 15408のJIS化（2000年夏予定）

200019991996 19981991

26

付　録

27

関連PP参照／準拠

製品開発製品開発製品開発製品開発

基本設計

ST作成作成作成作成

上位/下位レベル設計テスト分析、実施脆弱性分析マニュアル作成など

PP開発開発開発開発

セキュリティ要求仕様の策定

要求仕様と製品仕様との比較検討

ST評価仕様書評価テスト評価脆弱性評価マニュアル評価など

製品選定製品選定製品選定製品選定

PP評価評価評価評価

製品評価製品評価製品評価製品評価

製品

ST仕様書類など提供

提供

製品認証製品認証製品認証製品認証

登録＆公開

ST

評価結果の検証認証報告書の作成認証書発行認証製品リスト発行評価結果報告

認証製品リスト参照

関連製品ST参照

公開

STが準拠するPP参照

PP

ISO/IEC15408

付録： ISO/IEC 15408の使われ方(例)

ベンダベンダベンダベンダ

業界団体業界団体業界団体業界団体

エンドユーザエンドユーザエンドユーザエンドユーザ

認証機関認証機関認証機関認証機関

評価機関評価機関評価機関評価機関

28

付録：海外でのセキュリティ評価の歴史

(暦年) ～１９９６ １９９７ １９９８ １９９９ ２０００～

評価認証制度

評価基準

アメリカ

カナダ

イギリス

ドイツ

フランス

相互承認（ＭＲＡ）相互承認（ＭＲＡ）相互承認（ＭＲＡ）相互承認（ＭＲＡ） 1998

アメリカ

カナダ【ＣＣＣＣＣＣＣＣ】

イギリス

ドイツ

フランス

ＩＳＯ標準ＩＳＯ標準ＩＳＯ標準ＩＳＯ標準

1986TPEP 1995 TTAP

CCTP/NIAP

1991～（各国）ITSECベースに移行

1983 TCSEC／OrangeBook (1992 FederalCriteria)1991 CTCPEC

CommonCriteria v1 CommonCriteria v2MEMO3, GreenBook

1991 ITSEC

B/W/R Book

ＣＣのＩＳ化検討 IS化化化化

TTAP:Trust Technology Assessment Program NIAP:National Information Assurance PartnershipCCTP:Common Criteria Testing Program TCSEC:Trusted Computer System Evaluation CriteriaITSEC:Information Technology Security Evaluation Criteria

1998 ～（各国）CCベースに移行

ZSEIC, B/W Book

ＪＴＣ１ ＳＣ２７ ＷＧ３にて