技術要素 - 11.セキュリティ - 3.セキュリティ技術評価 - 1.セキュリティ評価基準

Last Update : April 15 2021 15:15:38

     

a. セキュリティ評価基準

ISO/IEC 15408
ISO/IEC 15408とは 情報資産を保有するIT関連製品や情報システムのセキュリティを確保する観点から、 セキュリティに関する評価・認証を受けた製品等の利用を進めるために、 ITセキュリティ評価のための国際的な共通基準を定めたもの。
IT製品やシステムのセキュリティ機能が適切に設計され、正しく実装されていることを、仕様書などを対象に客観的に検査する為の評価基準

<目的>

  • セキュアな製品の出現と流通の促進
  • セキュリティ設計仕様書による、開発者と利用者の認識の共通化
  • 調達製品が、セキュリティ設計仕様書通りに実装されていることを、第三者が確認

<メリット>

  • システム利用者が安全性の評価を統一された基準で評価できる。
  • ハードウェア・ソフトウェアベンダは、国際化された基準のもとに機器を開発できる。
    国際的に通用する製品の開発ができる。
  • セキュリティシステム導入に伴う費用とセキュリティ強度を、投資に関する費用対効果として判断できる。

◆検査対象:セキュリティ設計仕様書(ST:Security Target)、ソースコード、テスト仕様書、マニュアル、運用規則 など
◆評価保証レベル:セキュリティ設計仕様通り、セキュリティ機能を反映していることを、検査により確認するレベル(検査の深さ)

ISO/IEC 15408 に基づくセキュリティ評価・認証制度は、IT 製品・システムの実装を評価するものです。 それに対し、ISO/IEC 27001に基づく情報セキュリティマネジメントシステム(ISMS)適合性評価制度は、 情報セキュリティに関する運用管理を評価するものです。

プロテクションプロファイル (PP, Protection Profile) 】(セキュリティ要求仕様書)
セキュリティ要件(要求仕様)を特定する文書。通常、利用者(または利用者の団体)が、自分の要求仕様を文書化したもの。実質的に、セキュリティデバイスの分類を規定している(例えば、デジタル署名用のスマートカード)。
同一分野の製品で共通して使用可能な汎用化された共通仕様書
ST を作成しやすくするために、製品の種類別に用意されたテンプレートのようなもの。

セキュリティターゲット (ST, Security Target) 】(セキュリティ基本設計書)
ある特定の製品のセキュリティ性能を特定する文書であり、製品を評価・認証するための基礎になる。通常、製品の開発者が作成する。ST は(一つ以上の) PP に適合していることを主張してもよく、評価の際は PP 適合主張が満たされているかどうかも検査される。
IT関連製品やシステムにおけるセキュリティポリシーのようなもの。

STに包含される内容

  1. 評価対象の定義・構成
  2. 想定される脅威
  3. セキュリティ対策方針
  4. セキュリティ機能要件
  5. セキュリティ保証要件及び評価保証レベル
  6. セキュリティ要求仕様書の準拠
  7. セキュリティ要件の目的適合性・相互依存性・相互補完性

評価対象 (TOE, Target Of Evaluation)
簡単に言えば、ST にセキュリティ主張が記述された製品のことである。

セキュリティ機能要件 (SFR, Security Functional Requirements)
製品が提供する個々のセキュリティ機能を規定する条文。セキュリティ機能の標準カタログとして CC は SFR のリストを規定しており、利用者が PP を書くときや、開発者が ST を書くときに、必要なものを選んで PP や ST に記載する。例として、特別な役割をもつ利用者(管理者など)を認証する方法を規定する SFR がある。 CC は ST に含まれるべき SFR を規定しないが、ある機能(例えば、役割に従ってアクセス制限する)が正常に動作するために不可欠な他の機能(例えば、各個人の役割を識別する)を、依存性として規定している。

セキュリティ保証要件 (SAR, Security Assurance Requirements)
セキュリティ機能性の主張に製品が準拠していることを保証するために、製品開発の間にとられる施策を規定する条文。例えば、全ソースコードが変更管理システムで保持されていることを要求する、十分な機能テストが行われる (perform) ことを要求する、など。上の SFR 同様、CC は SAR のカタログを規定し、必要なものを選んで PP や ST に記載する。
セキュリティ機能要件が正しく実装されていることを保証するための要件のこと

評価保証レベル (EAL, Evaluation Assurance Level)
製品の開発過程全般をカバーする保証要件のパッケージであり、7段階の厳格さに対応する。
EAL1 は最も基本的(したがって実施するのも評価を受けるのも安あがり)であり、EAL7 は最も厳しい(最も高価)。通常、ST や PP の著者は保証要件を一つ一つ選ぶことはせず、 EAL を一つ選び、必要であればより高レベルの保証要件をいくつか追加する。より高い EAL が必ずしも「より良いセキュリティ」を含意するとは限らず、主張している TOE セキュリティ保証がより広範に検証されたことを意味するに過ぎない。

  • EAL1~EAL3・・・一般民生用
  • EAL4・・・政府機関向け
  • EAL5~EAL7・・・軍用レベル・政府最高機密機関レベル

 EALは評価の厳格さのレベルを示す。EALの上位(番号の大きい方)レベルは、  下位レベルの要件を含む。

JISEC 】(JISEC:Japan Information Technology Security Evaluation and Certification Scheme)
ITセキュリティ評価及び認証制度のこと
IT関連製品のセキュリティ機能の適切性・確実性を、セキュリティ評価基準の国際標準であるISO/IEC 15408に基づいて第三者(評価機関)が評価し、その評価結果を認証機関が認証する、わが国の制度です。本制度は主に政府調達において活用されています。
現在IPAが本制度の認証機関として、JISECを運営しています。

JCMVP 】(Japan Cryptographic Module Validation Program)
暗号モジュール試験及び認証制度のこと
暗号化や署名などのセキュリティ機能を有する暗号モジュールが適正に実装され、鍵やパスワード等の重要情報が攻撃者から保護されるとともに、許可された者がいつでもその機能を確実に利用できることを第三者機関により試験および認証をする制度であり、独立行政法人 情報処理推進機構により運営されています。
JCMVPを取得した製品は、暗号アルゴリズムが適切に実装されており、また、鍵等の重要情報のセキュリティが確保された暗号モジュールであることが第三者機関により確認されているため、安心してz使うことができる。

PCI DSS 】(Payment Card Industry Data Security Standard)
PCI DSSとは、加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。
PCI DSSは、具体的、明確にセキュリティ対策が記載されているため、より即効性が高く、かつ効果の高いセキュリティ基準であるので、個人情報を適切に管理しなければならない企業でも有効な基準である。

  1.  安全なネットワークの構築・維持
    要件1: カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること
    要件2: システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと
  2.  カード会員データの保護
    要件3: 保存されたカード会員データを安全に保護すること
    要件4: 公衆ネットワーク上でカード会員データを送信する場合、暗号化すること
  3.  脆弱性を管理するプログラムの整備
    要件5: アンチウィルス・ソフトウェアを利用し、定期的に更新すること
    要件6: 安全性の高いシステムとアプリケーションを開発し、保守すること
  4.  強固なアクセス制御手法の導入
    要件7: カード会員データへのアクセスを業務上の必要範囲内に制限すること
    要件8: コンピュータにアクセスする利用者毎に個別のID を割り当てること
    要件9: カード会員データへの物理的アクセスを制限すること
  5.  定期的なネットワークの監視およびテスト
    要件10: ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること
    要件11: セキュリティ・システムおよび管理手順を定期的にテストすること
  6.  情報セキュリティ・ポリシーの整備
    要件12: 情報セキュリティに関するポリシーを整備すること

CVSS 】(Common Vulnerahility Scoring System:共通脆弱性評価システム)
CVSSは、情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供しています。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の言葉で議論できるようになります。
 CVSSでは次の3つの基準で脆弱性を評価します。
(1)基本評価基準(Base Metrics)
 脆弱性そのものの特性を評価する基準です。情報システムに求められる3つのセキュリティ特性、『機密性(Confidentiality Impact)」、『完全性(Integrity Impact)」、『可用性(Availability Impact)」に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価し、CVSS基本値(Base Score)を算出します。この基準による評価結果は固定していて、時間の経過や利用環境の異なりによって変化しません。ベンダーや脆弱性を公表する組織などが、脆弱性の固有の深刻度を表すために評価する基準です。

(2)現状評価基準(Temporal Metrics)
 脆弱性の現在の深刻度を評価する基準です。攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値(Temporal Score)を算出します。この基準による評価結果は、脆弱性への対応状況に応じ、時間が経過すると変化します。ベンダーや脆弱性を公表する組織などが、脆弱性の現状を表すために評価する基準です。

(3)環境評価基準(Environmental Metrics)
 ユーザの利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。脆弱性の対処状況を評価し、CVSS環境値(Environmental Score)を算出します。この基準による評価結果は、脆弱性に対して想定される脅威に応じ、ユーザ毎に変化します。ユーザが脆弱性への対応を決めるために評価する基準です。

CVE 】(共通脆弱性識別子)
個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社(*2)が採番している識別子です。
個別製品中の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与することにより、組織Aの発行する脆弱性対策情報と、組織Xの発行する脆弱性対策情報とが同じ脆弱性に関する対策情報であることを判断したり、対策情報同士の相互参照や関連付けに利用したりできます。

耐タンパ性
物理的あるいは論理的に内部の情報を読み取られることに対する耐性のこと。
機密情報を処理したり保存したりするソフトウェア・ハードウェアは、容易に外部から解析できないよう、様々な防護策を講じる必要がある。非正規な手段による機密データの読み取りを防ぐ能力を耐タンパー性という。
耐タンパー性を高めるには、外部から読み取りにくいよう機密性を高める方法と、外部から読み取ろうとするとプログラムやデータが破壊されてしまう機構を設ける方法の二通りの方法がある。
論理的な手段と物理的な手段の2種類がある。例えば,ソフトウエアであれば,逆アセンブラなどで簡単に解析できないようにする難読化技術などである。ハードウエアであれば,LSIを解析するために保護層をはがすと,内部の回路まで破壊されるようにする技術などがある。

ペネトレーションテスト
コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つで、システムを実際に攻撃して侵入を試みる手法。
特に、ネットワーク接続された情報システムが外部からの攻撃に対して安全かどうか、実際に攻撃手法を試しながら安全性の検証を行う。不正に侵入できるかどうかだけでなく、DoS(サービス拒否)攻撃にどれくらい耐えられるかを調べたり、侵入された際にそこを踏み台にして他のネットワークを攻撃できるかどうかなどを調べる場合もある。



     

www.it-shikaku.jp