Comments
Description
Transcript
IEEE Std 2600™ IEEE Std 2600
IEEE Std 2600™2600™-2008 運用環境 B における ハードコピー装置 ハードコピー 装置の 装置のプロテクションプロファイル に 関する IEEE 標準規格 スポンサー: Information Assurance Committee ◆本書について 2600.2 TM IEEE Computer Society この IEEE 規格書の日本語版は、独立行政法人情報処理推進機構が IEEE からの 許諾を得て、英語版から翻訳したものです。本書のいかなる部分も、IEEE の書面 による事前の同意なしに、いかなる形式においても再製することを禁じます。この 規格書は、オリジナルの IEEE の英語版の理解を助けるために日本語に翻訳され たものです。IEEE は、翻訳作業に本質的に随伴する文法上、または 意味論上の 差異等に起因して生じ得べきいかなる問題に対しても、何らの責任を負わず、ま た、明示または黙示を問わず、いかなる保証も行いません。すべてのケースにお いて、英語で出版されている IEEE バージョンが、正式文書です。IEEE は、Institute of Electrical and Electronics Engineers, Incorporated(IEEE、ニューヨーク)の商標 です。 IEEE 3 Park Avenue New York, NY 10016-5997, USA 2010 年 2 月 26 日 IEEE Std 2600.2™-2009 IEEE Std 2600™2600™-2008 運用環境 B における ハードコピー装置 ハードコピー 装置の 装置のプロテクションプロファイル に 関する IEEE 標準規格 スポンサー: Information Assurance Committee 2600.2 TM IEEE Computer Society IEEE 3 Park Avenue New York, NY 10016-5997, USA 2010 年 2 月 26 日 IEEE Std 2600.2™-2009 IEEE Std 2600.2TM-2009 IEEE Std 2600™ 2600™-2008 運用環境 B における ハードコピー装置 ハードコピー装置の 装置のプロテクションプロファイル に関する IEEE 標準規格 スポンサー: IEEE Computer Society Information Assurance Committee 2009 年 12 月 9 日承認 IEEE-SA Standards Board コモンクライテリアのプロテクションプロファイル情報: PP 識別情報: IEEE Std 2600.2-2009 PP 登録番号: BSI-CC-PP-0058-2009 バージョン: 1.0 日付: March 2009 作成者: Hardcopy Device and System Security Working Group スポンサー: IEEE Computer Society Information Assurance (C/IA) Committee コモンクライテリアスキーム: DE (BSI – Bundesamt für Sicherheit in der Informationstechnik) コモンクライテリア評価機関: atsec information security コモンクライテリア適合: Version 3.1, Revision 2, Part 2 extended and Part 3 conformant 保証レベル: EAL 2 augmented by ALC_FLR.2 © 2009 IEEE. Copyright claimed in Clauses 10, 11, 13-17, and 19, exclusive of text from Common Criteria Part 2, Version 3.1, and in Annexes A and B, exclusive of text from Common Criteria Part 1, Version 3.1. 要約: 要約: 本規格は、中程度の文書セキュリティ、ネットワークセキュリティ、セキュリティ保証が要求される 商用情報処理環境に設置するハードコピー装置のプロテクションプロファイル用に作成されている。こ の環境 B では通常、日々の企業運営で扱う機密/非機密情報が処理される。 この環境を「運用環境 B(Operational Environment B)」と呼ぶ。 キーワード: キーワード: all-in-one(オールインワン)、Common Criteria(コモンクライテリア)、copier(コピー機)、 disk overwrite( ディスクの上書き)、document(文書)、document server( ドキュメントサーバー) 、 document storage and retrieval(文書の保存と取り出し)、facsimile(ファクシミリ)、fax(ファクス)、 hardcopy(ハードコピー)、ISO/IEC 15408、multifunction device(デジタル複合機: MFD)、multifunction product(デジタル複合機: MFP)、network(ネットワーク)、network interface(ネットワークインタフェー ス)、nonvolatile storage(不揮発性記憶装置)、office(オフィス)、paper(用紙)、printer(プリンタ)、 Protection Profile(プロテクションプロファイル)、residual data(残存データ)、scanner(スキャナ)、 security target( セキュリ テ ィ ターゲット ) 、shared communications medium( 共有通信メディ ア) 、 temporary data(一時データ) The Institute of Electrical and Electronics Engineers, Inc. 3 Park Avenue, New York, NY 10016-5997, USA Copyright © 2009 by the Institute of Electrical and Electronics Engineers, Inc. All rights reserved. Published 12 June 2009. Printed in the United States of America. IEEE は米国特許商標庁における Institute of Electrical and Electronics Engineers, Incorporated の登録商標である。 PDF: ISBN 978978-0-73817381-61636163-1 STD96017 Print: ISBN 978978-0-73817381-61646164-8 STDPD96017 IEEE は、差別、嫌がらせ、いじめを禁止している。詳細については、次のサイトをご覧頂きたい。 http://www.ieee.org/web/aboutus/whatis/policies/p9-26.html 出版社の書面の同意を事前に得ることなく、本書の一部を電子的に取り出し可能なシステムを含め、あらゆる形式で複製するこ とは禁じられている。 IEEE 標準規格 標準規格書は、IEEE Societies と IEEE 標準化協会(IEEE-SA)標準化理事会の規格調整委員会が作成した。 IEEE は、米国規格協会(ANSI)が承認したコンセンサス形成プロセスに基づき標準を作成している。ANSI は、最終 製品を実現することを目的として、多様な見解と利害を代表するボランティアにより編成されている。ボランティアは、 必ずしも ANSI のメンバーではなく、活動に無償で参加している。IEEE はコンセンサス形成プロセスの公正さを担保 するプロセスを管理して規則を策定しているが、IEEE は、標準規格に記載された情報の正確さと判断の健全性を 独立して評価、試験、または検証していない。 IEEE 標準規格の使用は、完全に自主的なものである。IEEE は、本書を含む IEEE 標準規格書の出版、使用、また は参照により生じた特殊、間接的、結果的、または代償的、直接的または間接的なものであれ、如何なる種類の人 体及び財産の損傷、その他の損傷に対する責任を放棄する。 IEEE は本書に記載された資料の正確性と内容を表明し、これを保証することはなく、特定目的への商品性と適合 性に関する明示的または暗黙的な如何なる保証及び本書に記載された資料の使用が特許権を侵害しないことの 保証を明示的に放棄する。IEEE 標準規格書は「現状 現状のまま 現状のまま」提供している。 のまま IEEE 標準規格の存在は、その規格の範囲に関連する財とサービスの作成、試験、測定、購入、市場投入、及び他 の財とサービス提供に関して、他に方法がないことを意味するものではない。さらに、標準規格が承認・発表された 時点で表明された見解は、最新の開発及び規格に関する利用者からの意見によりに変更されるものである。IEEE 標準規格は、少なくとも、5 年おきに、改訂と再確認を実施している。発表から 5 年以上が経過しているが、再確認さ れていない文書は、その内容が、たとえ部分的に価値があっても、最先端の現状を反映していないと考えて頂きた い。利用者は最新版の IEEE 標準規格を慎重に調査して頂きたい。 本書を出版して公表するにあたり、IEEE は任意の者やエンティティを対象としたり、それらに代わり、専門的なサー ビスを提案または提供したりしているわけではない。また、IEEE は他の者やエンティティが別のエンティティに対して 負う義務を履行することもない。本書を含む IEEE 標準規格書を利用される方々は、所与の状況に照らして、細心の 注意を払い、独自の判断に立つか、IEEE 規格の妥当性を決定するにあたり、必要に応じて、専門家に助言を求め て頂きたい。 解釈: 本書を特定の用途に使用した場合、内容の一部に疑問が生じることがある。IEEE は、解釈の必要性を認識 すると、適切な回答を準備する活動を開始する。IEEE 標準規格は、利害関係者が同意した内容を表しているため、 利害関係者のバランスが取れた見解を保証することが重要となる。そのため、IEEE、協会会員、規格調整委員会は、 すでに公式な検討を経た事案を除き、解釈に対する要請に素早く回答することはできない。IEEE-SA Standards Board Operations Manual に基づいて処理されていない記述は、それが文書または口頭によるものであれ、IEEE ま たは委員会の公式な見解とは見なされない。そのため、IEEE の公式な解釈とは見なされず、それを信用することは できない。講演、シンポジウム、セミナー、教育コースで提示される IEEE 規格に関する個人的な情報は、IEEE の公 式な立場、説明、または解釈ではなく、あくまでも、その催しに参加した方の個人的な見解であることを銘記して頂 きたい。 IEEE 標準規格の改訂に関するご意見については、たとえ、会員以外の方であっても、ぜひ、お寄せ頂きたい。文 書の変更に関するご提案は、変更案を文章で記し、その理由を書き添えて頂きたい。規格に関するご意見及び解 釈の要請は、次の住所にお送り頂きたい。 Secretary, IEEE-SA Standards Board 445 Hoes Lane Piscataway, NJ 08854 USA 組織内部または個人的に使用する目的で規格書の一部を複製する場合は、既定の料金を Copyright Clearance Center にお支払い頂けば、米国電気電子学会(IEEE)が許可を与える。ライセンス料金の支払いについては、 Copyright Clearance Center(Customer Service、222 Rosewood Drive, Danvers, MA 01923 USA; +1 978 750 8400) にお問い合わせ頂きたい。教育目的で規格書の一部を複製する場合も Copyright Clearance Center にご相談いた だきたい。 概説 この概説は、『IEEE Std 2600™-2008 運用環境 B におけるハードコピー装置のプロテクションプロファイ ルに関する IEEE 規格』の一部を構成するものではない。 本書は、ハードコピー装置のコモンクライテリア(CC)プロテクションプロファイルに関する標準規格であ る。本書は、ハードコピー装置の製造業者が自社のハードコピー装置製品の CC 認証を取得する際、適 合セキュリティターゲットの作成に使用することを目的としている。本書は、ハードコピー装置の適合プロ テクションプロファイルの作成にも使用できる。 この規格は IEEE Std 2600TM-2008 に関連している。IEEE Std 2600-2008 は、ハードコピー装置のセキュ リティに関する汎用的な規格であり、コモンクライテリアプロテクションプロファイルの範囲を超えるか、不 適切な規定が数多く記載されている。2 つの規格は、IEEE Std 2600-2008 のコンプライアンス条項を介 して関連している。適切に定義された例外により、IEEE Std 2600-2008 の 8.1.1 項には、本書のセキュリ ティ対策方針(APE_OBJ) と技術的に一致するセキュリティ対策方針が記載され ている。IEEE Std 2600-2008 と本規格の整合性に関する例外は、IEEE Std 2600-2008 に記載された「shall(~しなければ ならない)」が「should(~すべきである)」に置き換えられており、本規格に記載した対策方針が IEEE Std 2600-2008 には存在しないことである。 関連情報 本 規 格 の ス テ ー タ ス と 更 新 に 関 す る 詳 細 に つ い て は 、 次 の URL を 参 照 し て 頂 き た い 。 http://grouper.ieee.org/groups/2600/ 本規格に関するご意見や質問等については、次のアドレス([email protected])に直接お送り頂きたい。 ご意見をお寄せ頂く際は、文書のタイトル、ページ数、節、パラグラフ番号をご記入の上、詳細なコメントや提 案を記述して頂きたい。 利用者への 利用者への通知 への通知 適用法と 適用法 と規制 本書の利用者は、適用可能な法律と規制を綿密に調べて頂きたい。本規格の条項に準拠しても、適用 対象となる規制要件を必ずしも満たすとは限らないからである。本規格の作成者は、適用可能な規制要 件を遵守及び照会する責任がある。IEEE は、本規格を発行することで準拠法に抵触する行為を要求す る意図はなく、IEEE の出版物は、そのように解釈すべきものでもない。 著作権 本書の著作権は IEEE が所有する。本書は公用と私用の様々な目的に利用できる。法律と規制で本書 に言及すること、私的な自己規制、標準化、技術的手法と方法論の促進などに使用できる。本書は公 的機関による使用と採用、私的な使用に利用できるが、IEEE はその著作権を放棄しない。 IEEE 文書の 文書の更新 IEEE 規格の利用者は、新しい版の発行に伴い、規格書が随時、置き換わること及び修正、正誤表、訂 正表の発表に伴い、規格書が随時、修正されることに注意して頂きたい。公式な IEEE 文書は、その時 点で有効な修正、訂正表、正誤表を加味した最新版の文書である。手元の文書が最新版であるか、修 正、正誤表、訂正表の発表により修正されているか確認される方は、IEEE Standards Association のウェ iv Copyright © 2010 IEEE. All rights reserved. ブサイト(http://ieeexplore.ieee.org/xpl/standards.jsp)、もしくは前述の住所にお問い合わせ頂きた い。 IEEE Standards Association 及び IEEE の標準開発プロセスの詳細については、IEEE-SA の Web サイト (http://standards.ieee.org)を参照して頂きたい。 正誤表 本 規 格 を 含 む 諸 規 格 の 正 誤 表 に つ い て は 、 次 の URL を 参 照 し て 頂 き た い 。 http://standards.ieee.org/reading/ieee/updates/errata/index.html 利用者の皆様はこの正誤表を定 期的に確認なさるようお勧めする。 解釈 現 行 の 解 釈 に つ い て は 、 次 の URL http://standards.ieee.org/reading/ieee/interp/ index.html を 参 照 し て 頂 き た い 。 特許 本標準草案の実施には、特許法の保護対象物の使用が要求されることがあることに注意して頂きたい。 本標準草案を発表することは、それに関連する特許権の存在または妥当性に関して、如何なる立場を 取るものではない。IEEE は、ライセンスが要求される必須特許クレーム(Essential Patent Claims)の特定、 特許クレームの法的妥当性と範囲に関する調査の実施、または、保証の書簡(Letter of Assurance)提 出に関連するライセンス条件の決定、さらに、そのライセンス契約が妥当であるか非差別的であるかを 決定することに対する責任を持たない。本標準草案の利用者は、特許権の妥当性を決定すること及び 当該の著作権侵害に伴うリスクについては、完全な自己責任となることを忠告する。詳細な情報につい ては、IEEE Standards Association にお問い合わせ頂きたい。 参加者 本規格を IEEE-SA 標準化理事会に提出したハードコピー装置及びシステムセキュリティ作業部会 (Hardcopy Device and System Security Working Group)のメンバーは次のとおりである。 Don Wright(議長) Lee Farrell(副議長) Brian Smithson(事務局兼作成委員長) Carmen Aubry、 Aubry、Nancy Chen、 Chen、Ron Nevo、 Nevo、Alan Sukert(作成者) Shah Bhatti Peter Cybuck Nick Del Re Satoshi Fujitani Tom Haapanen Akihiko Iwasaki Harry Lewis Takanori Masui Yusuke Ohta Ken Ota Glen Petrie Amir Shahindoust v Copyright © 2010 IEEE. All rights reserved. Jerry Thrasher Hiroki Uchiyama Shigeru Ueda Brian Volkoff Bill Wagner Sameer Yami 本規格の票決に参加したメンバーは、次のとおりである。投票者は、承認、不承認(または棄権)に投票 した。 Carmen Aubry Matthew Ball Ying Chen Danila Chernestov Keith Chow Paul Croll Geoffrey Darnton Nick Del Re Russell Dietz Lee Farrell Randall Groves Mark Henley Werner Hoelzl Raj Jain Piotr Karocki G. Luri Michael S. Newman Stephen Schwarm Steven Smith Brian Smithson Thomas Starai Jerry Thrasher Thomas Tullia Paul Work Forrest Wright Sameer Yami 謝辞 IEEE Std 2600 シリーズプロテクションプロファイルの一部またはすべてのコモンクライテリア認証に対す る資金拠出に賛同して頂いた企業は次のとおりである。 Canon Fuji-Xerox HP InfoPrint Solutions Konica Minolta Kyocera-Mita Lexmark Océ Oki Data Ricoh Samsung Sharp Toshiba Xerox IEEE-SA 標準化理事会が 2009 年 12 月 9 日に本規格を承認した際のメンバーは、次のとおりである。 Robert M. Grow(議長) Tom A. Prevost(副議長) Steve M. Mills(前議長) Judith Gorman(事務局) John Barr Karen Bartelson Victor Berman Ted Burse Richard DeBlasio Andrew Drozd Mark Epstein Alexander Gelman James Hughes Richard H. Hulett Young Kyun Kim Joseph L. Koepfinger* John Kulick David J. Law Ted Olsen Glenn Parsons Ronald C. Petersen Narayanan Ramachandran Jon Walter Rosdahl Sam Sciacca Howard L. Wolfman *名誉会員 IEEE-SA 標準化理事会における投票権のないオブザーバーは、次のとおりである。 Satish K. Aggarwal(NRC 代表) Michael Janezic(NIST 代表) Don Messina (IEEE Standards Program マネージャ、文書開発担当) Michael D. Kipness (IEEE Standards Program マネージャ、技術計画開発担当) vi Copyright © 2010 IEEE. All rights reserved. 目次 1. 概要.................................................................................................................................. 1 1.1 1.2 1.3 1.4 適用範囲 .................................................................................................................... 1 目的 ........................................................................................................................... 1 アプリケーションノート................................................................................................... 1 表記規則 .................................................................................................................... 2 2. 基本的な参考文献 ............................................................................................................. 2 3. プロテクションプロファイル概説(APE_INT)............................................................................ 3 3.1 3.2 4. プロテクションプロファイルの使用方法 ........................................................................... 3 プロテクションプロファイル参照 ..................................................................................... 3 ハードコピー装置概説(APE_INT) ........................................................................................ 3 4.1 4.2 5. 代表的な製品 ............................................................................................................. 3 一般的な使用法.......................................................................................................... 4 TOE 概要(APE_INT).......................................................................................................... 4 5.1 5.2 5.3 5.4 6. TOE 機能 ................................................................................................................... 4 TOE モデル................................................................................................................ 5 エンティティ定義.......................................................................................................... 6 TOE 操作モデル......................................................................................................... 8 適合主張(APE_CCL) ......................................................................................................... 9 6.1 6.2 6.3 6.4 7. コモンクライテリア適合 ................................................................................................. 9 他のプロテクションプロファイル適合 .............................................................................. 9 パッケージ適合 ........................................................................................................... 9 本プロテクションプロファイルへの適合 ........................................................................... 9 セキュリティ課題定義(APE_SPD) ....................................................................................... 10 7.1 7.2 7.3 7.4 8. 脅威エージェント ....................................................................................................... 10 TOE 資産に対する脅威 ............................................................................................. 10 TOE に関する組織のセキュリティ方針 ......................................................................... 10 前提条件 .................................................................................................................. 11 セキュリティ対策方針(APE_OBJ) ....................................................................................... 11 8.1 8.2 8.3 8.4 9. TOE のセキュリティ対策方針 ...................................................................................... 11 IT 環境のセキュリティ対策方針 ................................................................................... 12 非 IT 環境のセキュリティ対策方針............................................................................... 12 セキュリティ対策方針根拠 .......................................................................................... 13 拡張コンポーネント定義(APE_ECD) .................................................................................. 16 9.1 9.2 FPT_CIP_EXP 保存データの機密性と完全性 .............................................................. 16 FPT_FDI_EXP 外部インタフェースへの制限された情報転送 ......................................... 18 vii Copyright © 2010 IEEE. All rights reserved. 10. 共通セキュリティ機能要件(APE_REQ) ............................................................................... 19 10.1 10.2 10.3 10.4 10.5 10.6 10.7 10.8 10.9 10.10 10.11 10.12 クラス FAU: セキュリティ監査...................................................................................... 19 クラス FCO: 通信 ...................................................................................................... 21 クラス FCS: 暗号化サポート ....................................................................................... 21 クラス FDP: 利用者データ保護................................................................................... 21 クラス FIA: 識別と認証 .............................................................................................. 24 クラス FMT: セキュリティ管理 ..................................................................................... 26 クラス FPR: プライバシー ........................................................................................... 29 クラス FPT: TSF の保護 ............................................................................................. 30 クラス FRU: 資源利用................................................................................................ 30 クラス FTA: TOE アクセス........................................................................................... 31 クラス FTP: 高信頼パス/チャネル............................................................................... 31 共通セキュリティ要件根拠 .......................................................................................... 31 11. セキュリティ保証要件(APE_REQ) ...................................................................................... 34 12. SFR パッケージ概説 ......................................................................................................... 35 12.1 12.2 12.3 12.4 13. 13.1 13.2 13.3 14. 14.1 14.2 14.3 15. 15.1 15.2 15.3 16. 16.1 16.2 16.3 17. 17.1 17.2 17.3 SFR パッケージの使用方法 ........................................................................................ 35 SFR パッケージ参照 .................................................................................................. 35 SFR パッケージ機能 .................................................................................................. 37 SFR パッケージ属性 .................................................................................................. 37 ハードコピー装置(運用環境 B)の印刷機能用 2600.2-PRT SFR パッケージ .......................... 38 PRT SFR パッケージ概説 ........................................................................................... 38 クラス FDP: 利用者データ保護................................................................................... 38 PRT セキュリティ要件根拠 .......................................................................................... 39 ハードコピー装置(運用環境 B)のスキャン機能用 2600.2-SCN SFR パッケージ ..................... 40 SCN SFR パッケージ概説 ........................................................................................... 40 クラス FDP: 利用者データ保護................................................................................... 40 SCN セキュリティ要件根拠 .......................................................................................... 41 ハードコピー装置(運用環境 B)のコピー機能用 2600.2-CPY SFR パッケージ........................ 42 CPY SFR パッケージ概説........................................................................................... 42 クラス FDP: 利用者データ保護................................................................................... 42 CPY セキュリティ要件根拠.......................................................................................... 43 ハードコピー装置(運用環境 B)のファクス機能用 2600.2-FAX SFR パッケージ...................... 44 FAX SFR パッケージ概説........................................................................................... 44 クラス FDP: 利用者データ保護................................................................................... 44 FAX セキュリティ要件根拠.......................................................................................... 46 ハードコピー装置(運用環境 B)の保存・取り出し用 2600.2-DSR SFR パッケージ ................... 46 DSR SFR パッケージ概説 ........................................................................................... 46 クラス FDP: 利用者データ保護................................................................................... 46 DSR セキュリティ要件根拠 .......................................................................................... 48 viii Copyright © 2010 IEEE. All rights reserved. 18. 18.1 18.2 18.3 ハードコピー装置(運用環境 B)の不揮発性記憶装置機能用 2600.2-NVS SFR パッケージ ..... 48 NVS SFR パッケージ概説 ........................................................................................... 48 クラス FPT: TSF の保護 ............................................................................................. 49 NVS セキュリティ要件根拠 .......................................................................................... 49 19. ハードコピー装置(運用環境 B)の共有メディアインターフェイス用 2600.2-SMI SFR パッ ケージ 50 19.1 19.2 19.3 19.4 19.5 SMI SFR パッケージ概説............................................................................................ 50 クラス FAU: セキュリティ監査...................................................................................... 50 クラス FPT: TSF の保護 ............................................................................................. 51 クラス FTP: 高信頼パス/チャネル............................................................................... 52 SMI セキュリティ要件根拠........................................................................................... 52 付録 A(規範)用語集 .................................................................................................................. 54 付録 B(規範)略語...................................................................................................................... 57 付録 C(参考情報)参考文献........................................................................................................ 58 ix Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600™ 2600™-2008 運用環境 B における ハードコピー装置 ハードコピー装置の 装置のプロテクションプロファイル に関する IEEE 標準規格 重要な 通知:: 本規格 本規格は あらゆる状況 状況における における安全性 安全性、 セキュリティ、 健全性、 または環境保護 環境保護を 重要 な通知 は、あらゆる 状況 における 安全性 、セキュリティ 、健全性 、または 環境保護 を保証 することを意図 意図していない していない。 本規格の 作成者は 安全性、 セキュリティ、 環境、 健康に する適切 適切な 慣行、 することを 意図 していない 。本規格 の作成者 は、安全性 、セキュリティ 、環境 、健康 に関する 適切 な慣行 、 または規制要件 規制要件を 決定する する責任 責任がある がある。 または 規制要件 を決定 する 責任 がある 。 文書は 、「重要 重要な 通知」」と「免責事項 免責事項」」を前提 前提として として使用 使用が められている。 重要な 通知と この IEEE 文書 は、「 重要 な通知 として 使用 が認められている 。重要 な通知 と免責 事項は 本規格を たすべての出版物 出版物に Notice((重要 重要な 通知)」、「 )」、「Important 事項 は、本規格 を含めたすべての 出版物 に「Important Notice な通知 )」、「 Important Notices and Concerning Documents((IEEE 文書 文書に する重要 重要な 通知と 免責事項)」 )」として として表記 表記され Disclaimers Concer ning IEEE Documents に関する 重要 な通知 と免責事項 )」 として 表記 され て い る 。 IEEE 関 連 の 出 版 物 は 、 IEEE に 問 い 合 わ せ て 入 手 す る か 、 http://standards.ieee.org/IPR/disclaimers.html で閲覧 閲覧できる できる。 できる。 1. 概要 1.1 適用範囲 本規格は、中程度の文書セキュリティ、ネットワークセキュリティ、セキュリティ保証が要求される商用情 報処理環境に設置するハードコピー装置のプロテクションプロファイルである。この環境では通常、日々 の企業運営で扱う機密/非機密情報が処理される。運用環境 B は、生命に危険が及ぶか、国家安全保 障上の問題に対応することを意図していない。これが「運用環境 B(Operational Environment B)」であ る。 1.2 目的 本規格の目的は、IEEE Std 2600TM-20081で定義された運用環境 B におけるハードコピー装置のセキュ リティプロテクションプロファイル(PP)を作成することである。 1.3 アプリケーションノート アプリケーションノートは、読者の理解を深めるために記載されている。これらの注は、本プロテクション プロファイルの一部を構成するものではないが、本文書の多様な使用方法を確認し、利用者に指針を 提供する。 1 この参考文献に関する情報は、「2 基本的な参考文献」に記載してある。 1 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 1.4 表記規則 本規格書の表記規則は、次のとおりである。 a) 完全な形式で定義された用語はタイトルで表記される。(例えば、「文書の保存と取り出し」) b) 省略形で定義された用語は、すべて大文字で表記される。(例えば、 「DSR」) c) セキュリティ対策方針根拠の表では、行と列の交点にあるチェックマーク(✓)は、その行に記 載した脅威が、その列に記載した対策方針によって完全にまたは部分的に対抗していること を示している。 d) セキュリティ要件の完全さを示す表では、行と列の交点にある太字 太字の英字“P P”は、その行が識 太字 別する要件が、その列に記載した対策方針の主要な達成を実行することを意味している。英 字“S”は、その達成を支援することを意味する。 e) セキュリティ要件の十分性を示す表では、太字 太字で記載した要件名と目的は、同じ行に記載し 太字 た対策方針の主要な実施を実行することを意味する。標準書体で記載された要件名と目的は、 その実施を支援することを意味する。 f) セキュリティ機能要件(SFR)に関する表記規則は、次のとおりである。 1) 太字は、コモンクライテリア パート 2 におけるオリジナルの SFR 定義または拡張コン 太字 ポーネント定義に対して、本プロテクションプロファイルで完成または詳細化した SFR の一部であることを示す。 2) 斜体 は、適合セキュリティターゲットにおいて ST 作成者が完成しなければならない SFR の一部を示す。 3) g) 太字の 太字 の斜体 は、コモンクライテリア パート 2 におけるオリジナルの SFR 定義または拡張 コンポーネント定義に対して、本プロテクションプロファイルで部分的に完成または詳 細化した SFR の一部を示すが、ST 作成者が適合セキュリティターゲットで完成しなけ ればならないことを示す。 エンティティの種別を表すプレフィックスの一覧を表 1 に示す。 表 1 表記規則 - プレフィックス プレフィックス U. D. F. T. P. A. O. OE. + エンティティ種別 エンティティ種別 利用者 データ 機能 脅威 方針 前提条件 対策方針 環境の対策方針 セキュリティ属性 2. 規定の 規定の参考文献 次に示す参考文献は本書の適用に不可欠な文書である。(すなわち、参考文献は、本書に参考文書を 引用し、本書との関係を明記できるように、その内容を理解して使用しなければならない。)日付が記載 された文献は、その版だけを適用する。日付が記載されていない文献は、(修正と正誤表を含む)最新 版の参考文献を適用する。 2 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B Common Criteria for Information Technology Security Evaluation Version 3.1 Revision 2―Part 2: Security Functional Components2 Common Criteria for Information Technology Security Evaluation Version 3.1 Revision 2―Part 3: Security Assurance Components3 IEEE Std 2600TM-2008, IEEE Standard for Information Technology: Hardcopy Device and System Security4、5 3. プロテクションプロファイル概説 プロテクションプロファイル概説( 概説(APE_INT) APE_INT) 3.1 プロテクションプロファイルの プロテクションプロファイルの使用方法 ハードコピー装置(HCD)製品のクラスには、ネットワークに接続しない小規模なプリンタから、ネットワー クに接続された大規模な複合機まで多様な機能と構成が存在する。こうした多様な製品に対応するた めに、プロテクションプロファイルに関する本規格は、あらゆる HCD に適用する共通のプロテクションプ ロファイルと一部の HCD 構成に適用可能な名前付きセキュリティ機能要件(SFR)パッケージとして構成 されている。 プロテクションプロファイルに関する本規格を使用するには、3.2 節で識別されたプロテクションプロファ イルに適合するセキュリティターゲット(ST)または PP を作成する。それは 12.2 節で識別する 1 本以上の SFR パッケージに適合する必要があるかもしれない。正式な適合要件は 6.4 節に記述されている。 3.2 プロテクションプロファイル参照 プロテクションプロファイル参照 タイトル:: 2600.2-PP, Protection Profile for Hardcopy Devices, Operational Environment B タイトル バージョン: バージョン: 1.0, dated March 2009 コモンクライテリアバージョン: コモンクライテリアバージョン: Version 3.1 Revision 2 コモンクライテリア適合 コモンクライテリア適合 適合:: Part 2 extended, and Part 3 conformant パッケージ適合 適合:: EAL2 augmented by ALC_FLR.2 パッケージ 適合 スポンサー: スポンサー: IEEE Computer Society Information Assurance (C/IA) Committee 作成者: 作成者: IEEE Hardcopy Device and System Security Working Group キーワード:: Hardcopy, Paper, Document, Printer, Multifunction Device (MFD), Multifunction Product キーワード (MFP), All-In-One, Network, Office PP アプリケーションノート 1: 本プロテクションプロファイルには、SFRパッケージで使用する 2 つ の拡張コンポーネントが定義されている。TOE がそれらの SFR パッケージに適合する必要がな れば、ST はパート 2 適合となる。それ以外の場合、適合 ST はパート 2 拡張となる。 4. ハードコピー装置概説 ハードコピー装置概説( 装置概説(APE_INT) APE_INT) 4.1 代表的な 代表的な製品 本プロテクションプロファイルで考慮されるハードコピー装置(HCD)は、ハードコピー文書をデジタル フォームに変換するか(スキャン)、デジタル文書をハードコピーフォームに変換するか(印刷)、電話回 線を介してハードコピー文書を送信するか(ファクス)、ハードコピー文書の複製を作成する(コピー)す 2 http://www.commoncriteriaportal.org/files/ccfiles/CCPART2V3.1R2.pdf よりダウンロードできる。 http://www.commoncriteriaportal.org/files/ccfiles/CCPART3V3.1R2.pdf.よりダウンロードできる。 4 IEEE 関連の出版物は、Institute of Electrical and Electronics Engineers, 445 Hoes Lane, Piscataway, NJ 08854, USA (http://standards.ieee.org)より入手できる。 5 本節に記載した IEEE 標準規格と製品は、Institute of Electrical and Electronics Engineers, Inc の商標である。 3 3 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B るために使用する。ハードコピー文書は、基本的にペーパーフォームであるが、ポジフィルムまたはネガ フィルムの透過原稿やフィルムなどのフォームの場合もある。 HCD は、主たる目的、または複数の目的に応じて、多数の異なる構成で実装される。プリンタ、スキャナ、 コピー機、ファクス機などの単純な装置は、単一機能で実装された単一目的を持つ。コピー機としても 使用できるファクス機、またはプリンタとして使用できるコピー機などの装置は、主たる単一の目的に二 次的な機能が追加されている。複雑な複合機は、複数の単一機能装置の操作を実行できるように、複 数の機能を組み合わせて、複数の目的を達成する。 一部の HCD は、機能を拡張するために、ハードディスクドライブや他の不揮発性記憶システム、ドキュメ ントサーバー機能、HCD の運用ソフトウェアを手動または自動で更新するメカニズムなどの機能を追加 している。本PP で考慮されるすべての HCD は、HCDのセキュリティ機能を管理する権限が適切に付与 された利用者に対して機能を提供することを前提としている。 4.2 代表的 代表的な使用法 HCD は、次のような多様な環境で使用できる。 ― 消費者によるホームユース ― 小企業によるホームユースまたはオフィスユース ― 大中企業によるオフィスユース ― コピーサービスを提供する小売店、図書館、ビジネスセンター、または教育機関におけるセル フサービスユース ― 商業サービスプロバイダによるプロダクションユース HCD は、不正な開示及び改変から保護する必要のある利用価値が高く、機密扱いの資産を持ってい たり、または処理するかもしれない。装置自体のユーティリティは、保護すべき価値のある資産であると 考えられるかもしれない。HCD は、ネットワーク接続を共有する装置に害を及ぼすような誤用を未然に 防ぐことも保証する必要がある。 ただし、個々の環境は、こうした資産に異なる価値を与えることがあり、物理的なセキュリティ、管理者の スキル、異なるアプローチや高度化に伴う脅威の発生など、セキュリティ関連の要因についての前提条 件も異なっており、外部の法的、規制、ポリシー要件に依存している。すべての環境に対応したセキュリ ティ対策方針のセットを満たすことは現実的でないので、IEEE Std 2600-2008 は複数の環境を定義して おり、IEEE Std 2600 シリーズにおける複数のプロテクションプロファイル規格の根拠としている。こうした 環境に関する詳細な記述は、IEEE Std 2600-2008 に記載されている。 本プロテクションプロファイル及び関連する SFR パッケージは、運用環境 B の要件に対応している。運 用環境 B は、基本的に中程度の文書セキュリティ、ネットワークセキュリティ、情報保証が要求される商 用情報処理環境とみなされている。この環境では通常、日常の企業運営で扱う機密/非機密情報が処 理される。 5. TOE 概要( 概要(APE_INT) APE_INT) 5.1 TOE 機能 ハードコピー装置の多様な種別と構成を記述するセキュリティターゲットとプロテクションプロファイルを 簡単に作成できるように、本規格はあらゆる HCD において一般的なセキュリティ課題、対策方針、セ 4 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B キュリティ機能要件、及び特定の適合評価対象が実行する機能に依存するアプリケーションの名前付き SFR パッケージのセットについて記述したプロテクションプロファイルとして構成されている。それらの機 能の例を次に示す。 ― 印刷 - 電子フォームから紙文書を生成する。 ― スキャン - ハードコピーフォームから電子文書を生成する。 ― コピー – ハードコピー文書を複製する。 ― ファクス - ハードコピーフォームの文書をスキャンし、電話回線を介して電子フォームで送信 する。また、電話回線を介して電子フォームの文書を受信し、ハードコピーフォームで印刷す る。 ― 文書の保存と取り出し - 1 件の文書処理ジョブの間に電子文書を保存し、1 つまたは複数の 後続する文書処理ジョブでアクセスする。そして、前回の文書処理ジョブで保存された電子文 書を取り出す。 ― 不揮発性記憶装置 -不揮発性記憶装置に利用者データまたは TSF データの恒久的または 一時的な記憶を行う。これは評価された TOE の一部だが、権限を付与された者が着脱できる ように設計されている。 ― 共有メディアインタフェース - 通常は複数の利用者が同時にアクセスするまたはアクセスでき るような通信メディアを介して HCD と外部デバイス間で利用者データまたは TSF データを送 受信する。 これらの機能を組み合わせて、多彩なハードコピー装置を表現することができる。 5.2 TOE モデル 評価対象(TOE)は、コモンクライテリア(CC)の標準的な用語(利用者、サブジェクト、オブジェクト、操 作、インタフェース)を用いて記述される。次の 2 つの用語が追加導入された。「チャネル(Channel)」は データインタフェースと紙文書の入出力メカニズムを記述し、「TOE 所有者(TOE Owner)」は、TOE 資 産の保護と、関連するセキュリティ方針の確立に責任を持つ個人または組織を指す。 従来のコモンクライテリアモデルでは、利用者はオブジェクトに対する操作を実行するためのインタ フェースを介してサブジェクトと結合する。本プロテクションプロファイルでは、利用者とサブジェクトの区 別は必要でない、なぜならこのクラスの IT 製品における利用者のセキュリティ属性とサブジェクトのセ キュリティ属性を区別する必要性が基本的にないからである。従って、適合するセキュリティターゲットま たはプロテクションプロファイルが TOE モデル記述において利用者とサブジェクトを区別していない限り、 アクセス制御の決定で使用されるサブジェクトのセキュリティ属性は、アクセスを要求した利用者のセ キュリティ属性と同一と見なされる。 従来のコモンクライテリアモデルでは、TOE セキュリティ機能(TSF)は TOE のサブセットである。しかし、 本プロテクションプロファイルでは TOE と TSF を区別する必要はない。従って、適合セキュリティターゲッ トまたはプロテクションファイルが TOE モデルにおける TSF と TOE を区別しない限り、TSF は TOE と同 等と見なされる。 本 PP のオブジェクトとは、作成、読み取り、変更、削除可能なデータ、及び実行可能な機能である。これ らのオブジェクトとオブジェクト間の通信は、抽象的に定義されており、特定のアーキテクチャや実装を 意味することも、それらを要求することもない。セキュリティターゲットとプロテクションプロファイルの作成 者は、この TOE モデルを使用して、最も一般的な HCD のアーキテクチャと実装を記述して頂きたい。 一般的な TOE モデルを図 1 に示す。 5 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 利用者 サブジェクト TOE TSF 共通 HCD 機能 プロテクション プロファイルで 対応 入力 チャネル 利用者 文書 データ SFR パッケージで 対応 印刷 機能 スキャン 機能 TSF 保護 データ 利用者 機能 データ コピー 機能 出力 チャネル TSF データ 利用者データ ファクス 機能 文書保存 と 取り出し 機能 TSF 機密 データ 不揮発性 記憶装置 機能 共有メディア インタフェー ス機能 図 1 - TOE モデル PP アプリケーションノート 2: TOE 外部で生成された利用者データと TSF データが TOE に転 送されるケース及び TOE が利用者データと TSF データを生成して、TOE からエクスポートされる ケースが想定される。こうしたケースでは、不正な開示と改変から各データを保護する充分なセ キュリティ対策が TOE 環境に存在することが期待される。TOE は、オプションとして、この保護を 支援する機能を提供できる。 5.3 5.3.1 エンティティ定義 エンティティ定義 利用者 利用者(User)とは、TOE の外部にあり、TOE と対話するエンティティである。利用者には、一般利用者 (Normal User)と管理者(Administrator)の 2 種類がある。 表 2 - 利用者 名称 U.USER U.NORMAL U.ADMINISTRATOR 定義 権限を付与されたすべての利用者。 TOE の利用者文書データ処理機能の実行を許可された利用者。 TOE 全体またはその一部を管理することを特別に許可され、そのアクションが TOE セキュリティ方針(TSP)に影響を与える利用者。 管理者は、TSP の一部を上書きする特別な権限を持つことができる。 6 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 5.3.2 オブジェクト( オブジェクト(資産) 資産) オブジェクト(Object)とは、情報を保存する、もしくは受け取り、サブジェクトによる操作の実行対象とな る TOE 内の受動的なエンティティである。本プロテクションプロファイルでは、オブジェクトは TOE 資産と 同じである。オブジェクトには、利用者データ、TSF データ、機能の 3 種類がある。 5.3.2.1 利用者データ 利用者データ 利用者データ(User Data)とは、利用者が作成するか、利用者のために作成され、TOE セキュリティ機 能(TOE Security Functionality: TSF)の操作に影響を与えないデータである。利用者データは、利用 者文書データ(User Document Data)と利用者機能データ(User Function Data)の 2 つのオブジェクト から成る。 表 3 - 利用者データ 利用者データ 名称 D.DOC D.FUNC 5.3.2.2 定義 利用者文書データは、利用者の文書に記載された情報から成る。これには、ハードコピーまたは 電子フォームの原稿自体、画像データ、またはハードコピー装置が原稿を処理し、ハードコピー 出力を生成する間に一時的に保存したデータが含まれる。 利用者機能データは、TOE が処理する利用者文書またはジョブに関する情報である。 TSF データ TSF データとは、TOE が作成するか、TOE 用に作成されたデータであり、TOE の操作に影響を与える データを指す。TSF データは、TSF 保護データ( TSF Protected Data) と TSF 機密データ( TSF Confidential Data)の 2 つのオブジェクトから成る。 表 4 - TSF データ 名称 D.PROT D.CONF 定義 TSF 保護データとは、管理者とデータ所有者以外の利用者による改変が TOE 操作セキュリティに 影響を与える可能性があるが、その開示が許容される資産である。 TSF 機密データとは、管理者とデータ所有者以外の利用者による改変または開示が TOE 操作セ キュリティに影響を与える可能性がある資産である。 PP アプリケーションノート 3: ST 作成者は TOE の TSF データ資産を定義し、不正な改変から の保護、または不正な開示と改変の両方の保護を必須条件とするかにより、資産を適切に分類 することが求められる。資産の分類例を表 5 に示す。次の分類は参考例であり、適合製品の分 類要件、そのアーキテクチャ、機能、または実装に関する要件を意味するものではない。 表 5 - TSF データの データの分類例 TSF 保護データ 保護データの データの例 利用者と管理者の識別子(ID) スキャン/ファクス/電子メールの送信先リストまたは アドレスブック ジョブステータスログ 未処理または保存されたジョブと文書のステータス 装置とネットワークのステータス情報と構成設定 装置のセキュリティステータス TSF 機密データ 機密データの データの例 利用者と管理者の認証データ メールサーバーやファイルサーバーなどの外部装 置にアクセスするためのアカウント情報 ジョブの詳細ログと監査ログ アクセス制御リスト 簡易ネットワーク管理プロトコル(SNMP)など、装置・ ネットワーク管理の認証データ 暗号鍵 7 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 5.3.2.3 機能 機能(Function)は、ハードコピー製品に存在するデータの処理、保存、転送を実行する。これらの機能 は SFR パッケージが使用する。機能は 12.3 節で識別して定義する。 5.3.3 操作 操作(Operations)とは、サブジェクトがオブジェクトに対して実行する特定のアクションである。本プロテ クションプロファイルでは、次の 5 種類の操作を検討する。情報を開示する操作(読み取り)、情報を改 変する操作(作成、変更、削除)、機能を起動する操作(実行)が対象となる。 5.3.4 チャネル チャネル(Channel)とは、データを TOE に入力及び出力するメカニズムである。本プロテクションプロ ファイルでは、次の 4 種類のチャネルが許容されるが、それらは特定の適合セキュリティターゲットやプロ テクションプロファイルでは必須でない。 プライベートメディアインタフェース プライベートメディアインタフェース( インタフェース(Private Privateivate-medium Interface) Interface): (1)通常は複数の利用者が同時にア クセスできない通信媒体上で有線/無線の電子的方法を使用するか、(2)TOE を構成する操作パネル とディスプレイを使用して情報を交換するメカニズムである。これは入出力チャネルである。 共有メディア 共有メディアインタフェース メディアインタフェース( インタフェース(Shared -medium Interface) Interface): 通常は複数の利用者が同時にアクセスできる 通信媒体上で有線/無線ネットワークまたはネットワークを使用しない電子的方法を使用して情報を交 換するメカニズムである。これは入出力チャネルである。 原稿ハンドラ 原稿ハンドラ( ハンドラ(Original Document Handler) Handler): ハードコピーフォームの利用者文書データを TOE に転送 するメカニズムである。これは入力チャネルである。 ハードコピー出力 ハードコピー出力ハンドラ 出力ハンドラ( ハンドラ(Hardcopy Output Handler) Handler): ハードコピーフォームの利用者文書データを TOE から転送するメカニズムである。これは出力チャネルである。 実際の HCD 構成は、少なくとも、入力チャネルと出力チャネル各 1 個を備えており、その少なくとも 1 個 は、原稿ハンドラまたはハードコピー出力ハンドラである。 5.4 TOE 操作モデル 操作モデル TOE は、利用者文書データに対して、次の文書処理操作を実行する必須要素である入力、出力、保存 領域、処理で構成される。 ― 電子フォームの文書ソースからハードコピー文書を印刷する。 ― ハードコピーフォームの文書ソースから電子文書を生成する。 ― ハードコピー文書を複製する。 ― 電話回線上でハードコピー文書のファクシミリを送受信する。 ― 電子文書を保存し取り出す。 前記のプロセスを実行する際、利用者機能データ(例: ジョブステータス)と TSF データ(例: ジョブ/監 査ログ)は、作成または変更できる。 TOE は、TOE の操作を構成する必須要素を提供するとともに、TOE 利用者を管理する必須要素も提供 できる。 8 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B TOE の主要なセキュリティ機能は、次のとおりである。 a) すべての利用者を識別・認証して権限を与えた後、TOE 機能を実行するアクセス権を付与す る。 b) 管理者は TOE 機能を使用する権限を利用者に付与する。 c) TOE に保存されて残存する利用者文書データを不正な開示や改変から保護する。 d) TOE に保存されて残存する利用者機能データを不正な改変から保護する。 e) 不正な開示により、運用上のセキュリティが脅かされる場合、不正な開示から TSF データを保 護する。 f) 不正な改変が運用上のセキュリティを脅かす場合、不正な改変から TSF データを保護する。 g) 文書処理とセキュリティ関連システム事象を記録し、許可された者以外による開示または改変 から当該の記録を保護する。 6. 適合主張( 適合主張(APE_CCL) APE_CCL) 6.1 コモンクライテリア適合 コモンクライテリア適合 本プロテクションプロファイルは、Common Criteria version 3.1 Revision 2 Part 2 extended と Part 3 conformant に適合する。 6.2 他のプロテクションプロファイル適合 プロテクションプロファイル適合 本プロテクションプロファイルは、他のプロテクションプロファイルに基づいていない。 6.3 パッケージ適合 パッケージ適合 本プロテクションプロファイルは、コモンクライテリア評価保証レベル(EAL) 2 + ALC_FLR.2 に適合する。 6.4 本プロテクションプロファイルへの プロテクションプロファイルへの適合 への適合 本プロテクションプロファイルへの適合を主張するには、適合するセキュリティターゲットまたはプロテク ションプロファイルが、次の 3 つの規則を完全に満たしていなければならない。(shall) a) セキュリティ課題定義(APE_SPD)、セキュリティ対策方針(APE_OBJ)、拡張コンポーネント定 義(APE_ECD)、本プロテクションプロファイルの共通セキュリティ機能要件(APE_REQ)への論 証適合を主張しなければならない。(shall) b) 評価対象が 12.3 節で定義されたいずれかの機能を実行する場合、セキュリティターゲットまた はプロテクションプロファイルは、本プロテクションプロファイルの共通セキュリティ機能要件 (APE_REQ)に加えて、その機能に対応した 12.2 節で特定する SFR パッケージへの論証適合 を主張しなければならない。(shall) c) TOE は、12.3 節で定義する機能(F.PRT、F.SCN、F.CPY、F.FAX)の少なくとも1 つを実行し、 実行する機能に関連付けられた SFR パッケージに適合することを主張しなければならない。 (shall) PP アプリケーションノート 4: T/PP の作成者は、本プロテクションプロファイルと SFR パッケージ 9 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B を 3.2 節と 12.2 節で定義された名称で記述すべきである。たとえば、ST が本プロテクションプロ ファイル及び PRT(印刷)と SMI(共有メディアインタフェース)機能の SFR パッケージに適合する 場 合 、 ST 作 成 者 は、 『2600.2-PP, Protection Profile for Hardcopy Devices, Operational Environment B』、『2600.2-PRT, SFR Package for Hardcopy Device Print Functions, Operational Environment B 』 、 及 び 『 2600.2-SMI, SFR Package for Hardcopy Device Shared-medium Interface Functions, Operational Environment B』への適合を主張する。 7. セキュリティ課題 セキュリティ課題定義 課題定義( 定義(APE_SPD) APE_SPD) 7.1 脅威エージェント 脅威エージェント 本セキュリティ課題定義は、次の 4 種類の脅威エージェントに対応する。 a) TOE の使用を許可されていないが、その使用を試行できる者。 b) TOE の使用は許可されているが、許可されない TOE 機能を使用しようとする者。 c) TOE の使用は許可されているが、許可されない方法でデータへのアクセスを試行する者。 d) TOE に予期せぬ脅威を与える可能性があるソフトウェアの誤動作を無意識に発生させる者。 本プロテクションプロファイルで定義する脅威と方針は、以上の脅威エージェントによる脅威に対応す る。 7.2 TOE 資産に 資産に対する脅威 する脅威 本節では、5.3.2 項で記述した資産に対する脅威を記述する。 表 6 - TOE の利用者データ 利用者データに データに対する脅威 する脅威 脅威 T.DOC_REST.DIS 影響を 影響 を受ける資産 ける資産 D.DOC T.DOC_REST.ALT D.DOC T.FUNC_REST.ALT D.FUNC 説明 TOE に保存されて残存する利用者文書データが権限のない者に 開示されるかもしれない。 TOE に保存されて残存する利用者文書データが権限のない者に より改変されるかもしれない。 TOE に保存されて残存する利用者機能データが権限のない者に よって改変されるかもしれない。 表 7 - TOE の TSF データに データに対する脅威 する脅威 脅威 T.PROT.ALT T.CONF.DIS T.CONF.ALT 7.3 影響を 影響 を受ける資産 ける資産 D.PROT D.CONF D.CONF 説明 TSF 保護データが権限のない者により改変されるかもしれない。 TSF 機密データが権限のない者に開示されるかもしれない。 TSF 機密データが権限のない者により改変されるかもしれない。 TOE に関する組織 する組織の 組織のセキュリティ方針 セキュリティ方針 本節では、TOE に適用する組織のセキュリティ方針(Organizational Security Policies: OSP)を記述する。 組織のセキュリティ方針は、運用環境 B において、TOE 所有者が共通して希望するセキュリティ対策方 針であるが、当該の資産に対する保護または脅威を一律に定義することが実践的でないセキュリティ対 策方針に関する基本を提供する際に使用する。 10 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 表 8 - TOE に関する組織 する組織の 組織のセキュリティ方針 セキュリティ方針 名称 P.USER.AUTHORIZATION 定義 運用上の説明責任とセキュリティを維持するために、利用者 には、TOE 所有者が許可した場合だけ TOE を使用する権限 を付与する。 TSF の実行コードの破損を検出するために、それを自己テス トする手続きを実装する。 運用上の説明責任とセキュリティを維持するために、TOE 使 用とセキュリティ関連事象の監査証跡を提供する記録を作成 して維持し、不正な開示や改変から保護するとともに、権限を 付与された者だけが閲覧できるようにする。 TOE の外部インタフェースが不正使用されないように、その 操作を TOE と IT 環境で制御する。 P.SOFTWARE.VERIFICATION P.AUDIT.LOGGING P.INTERFACE.MANAGEMENT 7.4 前提条件 前提条件 本プロテクションプロファイルの次節以降で定義するセキュリティ対策方針とセキュリティ機能要件は、本 節で記述する条件を完全に満たしていることが前提となる。 表 9 - TOE の前提条件 前提 A.ACCESS.MANAGED A.USER.TRAINING A.ADMIN.TRAINING A.ADMIN.TRUST 定義 TOE を監視下に置くか、TOE の物理的なコンポーネントとデータインタフェースへの許 可されないアクセスに対する保護を提供する制限された環境に設置する。 TOE 利用者は、組織のセキュリティ方針と手続きを認識し、当該の方針と手続きに従う よう教育を受け、その能力を習得する。 管理者は、組織のセキュリティ方針と手続きを認識し、製造業者のガイダンスと文書に 従うよう教育を受けて、その能力を習得し、当該の方針と手続きに従って、TOE を適切 に構成・操作できる。 管理者は付与されたアクセス権を悪用しない。 8. セキュリティ対策方針 セキュリティ対策方針( 対策方針(APE_OBJ) APE_OBJ) 8.1 TOE のセキュリティ対策方針 セキュリティ対策方針 本節では、TOE が達成しなければならない(shall)セキュリティ対策方針を記述する。 11 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 表 10 - TOE のセキュリティ対策方針 セキュリティ対策方針 方針 O.DOC_REST.NO_DIS O.DOC_REST.NO_ALT O.FUNC_REST.NO_ALT O.PROT.NO_ALT O.CONF.NO_DIS O.CONF.NO_ALT O.USER.AUTHORIZED O.INTERFACE.MANAGED O.SOFTWARE.VERIFIED O.AUDIT.LOGGED 8.2 定義 TOE は、TOE に保存されて残存する利用者文書データを不正な開示から保 護しなければならない(shall)。 TOE は、TOE に保存されて残存する利用者文書データを不正な改変から保 護しなければならない(shall)。 TOE は、TOE に保存されて残存する利用者機能データを不正な改変から保 護しなければならない(shall)。 TOE は不正な改変から TSF 保護データを保護しなければならない(shall)。 TOE は不正な開示から TSF 機密データを保護しなければならない(shall)。 TOE は不正な改変から TSF 機密データを保護しなければならない(shall)。 TOE は、利用者の識別と認証を要求し、セキュリティ方針に従って利用者にア クセス権を付与した後、TOE 使用を許可することを保証しなければならない (shall)。 TOE はセキュリティ方針に従い、外部インタフェースの操作を管理しなければ ならない(shall)。 TOE は TSF の実行コード自己検証する手続を提供しなければならない (shall)。 TOE は TOE の使用とセキュリティに関連する事象を記録して管理し、不正な 開示や改変を阻止しなければならない(shall)。 IT 環境の 環境のセキュリティ対策方針 セキュリティ対策方針 本節では、TOE の IT 環境において、IT ベースの手法で達成しなければならない(must)セキュリティ対策 方針を記述する。 表 11 - IT 環境の 環境のセキュリティ対策方針 セキュリティ対策方針 対策方針 OE.AUDIT_STORAGE.PROTECTED OE.AUDIT_ACCESS.AUTHORIZED OE.INTERFACE.MANAGED 定義 監査記録を TOE から別の高信頼 IT 製品にエクスポートする場合、 TOE 所有者は不正なアクセス、削除、改変から監査記録が保護さ れることを保証しなければならない(shall)。 TOE が生成した監査記録を TOE から別の高信頼 IT 製品にエクス ポートする場合、TOE 所有者は潜在的なセキュリティ違反を検出し て、権限のある者だけが監査記録にアクセスすることを保証しなけ ればならない(shall)。 IT 環境は TOE 外部インタフェースへの不正アクセスに対する保護 を提供しなければならない(shall)。 PP アプリケーションノート 5: TOE が監査記録を保存し、それへのアクセスを提供する内部機 能を提供する場合、ST 作成者は、適切な対策方針(例: O.AUDIT_STORAGE.PROTECTED と O.AUDIT_ACCESS.AUTHORIZED)及 び SFR( 例: FAU_SAR.1 、 FAU_SAR.2 、 FAU_STG.1、 FAU_STG.4)を ST に追加して、その機能を記述すべきである。監査記録を保存して、それへの ア ク セ ス を 提 供 す る 任 意 の 内 部 機 能 は 、 OE.AUDIT_STORAGE.PROTECTED と OE.AUDIT_ACCESS.AUTHORIZED で要求されるのと同等であるか、制限をより厳しくした解決 策を実行しなければならない。 PP アプリケーションノート 6: 内部と外部の監査保管機能を提供する場合、ST 作成者は、内部 機能と外部機能を個別に評価できるように、両者を異なる操作モードとして表現すべきである。 8.3 非 IT 環境の 環境のセキュリティ対策方針 セキュリティ対策方針 本節では、TOE の非 IT 環境において、IT 以外の方法で達成しなければならない(must)セキュリティ対 策方針を記述する。 12 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 表 12 - 非 IT 環境の 環境のセキュリティ対策方針 セキュリティ対策方針 対策方針 OE.PHYSICAL.MANAGED OE.USER.AUTHORIZED OE.USER.TRAINED OE.ADMIN.TRAINED OE.ADMIN.TRUSTED OE.AUDIT.REVIEWED 8.4 定義 TOE を監視下の安全な場所に設置し、TOE への許可されない物理的アクセス に対する保護を提供しなければならない(shall)。 TOE 所有者は組織のセキュリティ方針と手続きに従って TOE を使用する権限 を利用者に付与しなければならない(shall)。 TOE 所有者は利用者が組織のセキュリティ方針と手続きを認識し、当該の方 針と手続きに従うよう教育を与え、利用者がその能力を修得することを保証しな ければならない(shall)。 TOE 所有者は、TOE管理者が組織のセキュリティ方針と手続きを認識し、製造 業者のガイダンスと文書に従うよう教育して、その能力を習得する時間を確保 することで、TOE 管理者が当該の方針と手続きに従って、TOE を適切に構成・ 操作できることを保証しなければならない(shall)。 TOE 所有者は、TOE 管理者が付与されたアクセス特権を悪用しないことの信 頼を確立しなければならない(shall)。 TOE 所有者は、セキュリティ違反や異常な活動パターンを検出するために、監 査ログが適切な間隔で閲覧されることを保証しなければならない(shall)。 セキュリティ対策方針根拠 セキュリティ対策方針根拠 本節では、個々の脅威、組織のセキュリティ方針、前提条件が、TOE の少なくとも 1 つのセキュリティ対 策方針で緩和されること、及びそれらのセキュリティ対策方針が脅威に対抗し、セキュリティ方針を実施 し、前提条件を支持することを例証する。 13 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B T.DOC_REST.DIS T.DOC_REST.ALT T.FUNC_REST.ALT T.PROT.ALT T.CONF.DIS T.CONF.ALT P.USER.AUTHORIZATION P.SOFTWARE.VERIFICATION P.AUDIT.LOGGING ✓ OE.USER.TRAINED OE.ADMIN.TRUSTED OE.ADMIN.TRAINED OE.INTERFACE.MANAGED OE.PHYISCAL.MANAGED O.INTERFACE.MANAGED OE.AUDIT.REVIEWED OE.AUDIT_ACCESS.AUTHORIZED OE.AUDIT_STORAGE.PROTECTED O.AUDIT.LOGGED O.SOFTWARE.VERIFIED OE.USER.AUTHORIZED O.USER.AUTHORIZED O.CONF.NO_ALT O.CONF.NO_DIS O.PROT.NO_ALT O.FUNC_REST.NO_ALT O.DOC_REST.NO_ALT 脅威、 脅威、セキュリティ方針 セキュリティ方針、 方針、前提条件 O.DOC_REST.NO_DIS 表 13 - セキュリティ対策方針 セキュリティ対策方針の 対策方針の完全性 ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ P.INTERFACE.MANAGEMENT ✓ A.ACCESS.MANAGED ✓ ✓ A.ADMIN.TRAINING ✓ A.ADMIN.TRUST ✓ A.USER.TRAINING ✓ 14 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 表 14 - セキュリティ対策方針 セキュリティ対策方針の 対策方針の十分性 脅威、 脅威、セキュリティ方針 セキュリティ方針、 方針、前提条件 要約 T.DOC_REST.DIS TOE に残存する利用者文 書データが権限のない者 に開示されるかもしれな い。 T.DOC_REST.ALT TOE に残存する利用者文 書データが権限のない者 によって改変されるかもし れない。 T.FUNC_REST.ALT TOE に残存する利用者機 能データが権限のない者 によって改変されるかもし れない。 T.PROT.ALT TSF 保護データが権限の ない者に改変されるかもし れない。 T.CONF.DIS TSF 機密データが権限の ない者に開示されるかもし れない。 T.CONF.ALT TSF 機密データが権限の ない者に改変されるかもし れない。 P.USER.AUTHORIZATION TOE を使用する権限を利 用者に付与する。 P.SOFTWARE.VERIFICATION TSF の実行コードを自己 検証する手続を実装す る。 オブジェクトと オブジェクトと根拠 O.DOC_REST.NO_DIS は、TOE に残存する D.DOC を不正な開示から保護する。 O.USER.AUTHORIZED は、権限付与の基本 として、利用者の識別と認証を確立する。 OE.USER.AUTHORIZED は権限を適切に付 与することを TOE 所有者の責任として確立す る。 O.DOC_REST.NO_ALT は、TOE に残存する D.DOC を不正な改変から保護する。 O.USER.AUTHORIZED は、権限付与の基本 として、利用者の識別と認証を確立する。 OE.USER.AUTHORIZED は権限を適切に付 与することを TOE 所有者の責任として確立す る。 O.FUNC_REST.NO_ALT は、TOE に残存する D.FUNC を不正な改変から保護する。 O.USER.AUTHORIZED は、権限付与の基本 として、利用者の識別と認証を確立する。 OE.USER.AUTHORIZED は権限を適切に付 与することを TOE 所有者の責任として確立す る。 O.PROT.NO_ALT は不正な改変から D.PROT を保護する。 O.USER.AUTHORIZED は、権限付与の基本 として、利用者の識別と認証を確立する。 OE.USER.AUTHORIZED は権限を適切に付 与することを TOE 所有者の責任として確立す る。 O.CONF.NO_DIS は不正な開示から D.CONF を保護する。 O.USER.AUTHORIZED は、権限付与の基本 として、利用者の識別と認証を確立する。 OE.USER.AUTHORIZED は権限を適切に付 与することを TOE 所有者の責任として確立す る。 O.CONF.NO_ALT は不正な改変から D.CONF を保護する。 O.USER.AUTHORIZED は、権限付与の基本 として、利用者の識別と認証を確立する。 OE.USER.AUTHORIZED は権限を適切に付 与することを TOE 所有者の責任として確立す る。 O.USER.AUTHORIZED は TOE を使用する権 限付与の基本として利用者の識別と認証を確 立する。 OE.USER.AUTHORIZED は権限を適切に付 与することを TOE 所有者の責任として確立す る。 O.SOFTWARE.VERIFIED は TSF の実行コー ド自己検証する手続を提供する。 15 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B O.AUDIT.LOGGED は、TOE の使用とセキュリ ティに関連する事象を記録して管理し、不正 な開示や改変を阻止する。 P.AUDIT.LOGGING TOE の使用とセキュリティ に関連する事象の監査証 跡を作成し、それを管理、 保護、閲覧する。 OE.AUDIT_STORAGE.PROTECTED は、エク スポートした監査記録を不正なアクセス、削 除、改変から保護する。 OE.AUDIT_ACCESS.AUTHORIZED は、エク スポートした監査記録に適切なアクセスを提供 することをTOE 所有者の責任として確立する。 OE.AUDIT.REVIEWED は、監査記録を適切 に閲覧できるようにすることをTOE 所有者の責 任として確立する。 P.INTERFACE.MANAGEMENT 外部インタフェースの操作 をTOE とその IT 環境で制 御する。 O.INTERFACE.MANAGED はセキュリティ方 針に従い、外部インタフェースの操作を管理 する。 OE.INTERFACE.MANAGED は TOE 外部イン タフェースの保護された環境を確立する。 A.ACCESS.MANAGED TOE 環境は TOE の物理 的コンポーネントとデータ インタフェースへの不正ア クセスに対する保護を提 供する。 OE.PHYSICAL.MANAGED は TOE の保護さ れた物理環境を確立する。 A.ADMIN.TRAINING TOE 利用者は、セキュリ ティ方針と手続を認識し、 それに従う教育を受ける。 OE.ADMIN.TRAINED は管理者に適切な教育 を与えることを TOE 所有者の責任として確立 する。 A.ADMIN.TRUST 管理者は付与されたアク セス権を悪用しない。 OE.ADMIN.TRUST は管理者と信頼関係を築 くことを TOE 所有者の責任として確立する。 A.USER.TRAINING 管理者は、セキュリティ方 針と手続に従うことを認識 して教育を受ける。 OE.USER.TRAINED は、利用者に適切な教育 を与えることを TOE 所有者の責任として確立 する。 9. 拡張コンポーネント 拡張コンポーネント定義 コンポーネント定義( 定義(APE_ECD) APE_ECD) 本プロテクションプロファイルは、Common Criteria 3.1 Revision 2, Part 2 を拡張するコンポーネントを定 義する。拡張コンポーネントは、プロテクションプロファイルで定義するが、SFR パッケージで使用するた め、ST がそれらの SFR パッケージに適合する TOE だけに採用する。 9.1 FPT_CIP_EXP 保存データ 保存データの データの機密性と 機密性と完全性 ファミリのふるまい ファミリのふるまい: のふるまい: 本ファミリは、TSF データと利用者データの機密性と完全性を保護する TSF の要件を定義する。 保存コンテナが必ずしも保護されていない環境では、保存データの機密性と完全性は重要なセキュリ ティ機能である。保存データの機密性と完全性は通常、TSF が TSF データと利用者データを同じ方法 で使用する機能により提供される。たとえば、フルディスク暗号化機能では、TSF は自身のデータと利用 者データを同じディスクに保存する。特に、ディスクが着脱可能であり、セキュリティが保護されていない 環境に転送されることが想定される場合、フルディスク暗号化は、不正アクセスから情報を保護するセ 16 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B キュリティ対策方針を達成する極めて重要な機能である。 コンポーネントの コンポーネントのレベル付 レベル付け : FPT_CIP_EXP.1 保存データの機密性と完全性 1 FPT_CIP_EXP.1 保存データの機密性と完全性は、TOE 環境による保護が想定されないストレージコン テナに保存された利用者データと TSF データに対する保護を提供する。 管理: 管理: FPT_CIP_EXP.1 FMT の管理機能と見なされるアクションは、次のとおりである。 a) 保護機能を起動または使用する条件の管理。 b) 本機能の使用を許可する潜在的な制限の管理。 監査: 監査: FPT_CIP_EXP.1 FAU_GEN セキュリティ監査データ生成を PP/ST に含めた場合、次のアクションが監査対象となる。 a) 基本: 機能が正常に動作することを禁止する失敗条件及び本機能をバイパスする試行の検 出(例: 改変の検出) FPT_CIP_EXP.1 保存データ 保存データの データの機密性と 機密性と完全性 下位階層: 下位階層: なし 依存性: 依存性: なし TSF は、利用者データまたは TSF データが [割付: データ保存に使用するメディ ア] に書き込まれる際、各データの機密性と完全性を保証する機能を提供しなければ FPT_CIP_EXP.1.1 ならない(shall)。 TSF は、利用者データまたは TSF データを [割付: データ保存に使用するメディ ア] に書き出すときにデータ改変を検出した場合、それを検出して、[割付: アクション のリスト] を実行する機能を提供しなければならない(shall)。 FPT_CIP_EXP.1.2 FPT_CIP_EXP.1.2 根拠: 根拠: コモンクライテリアは FDP クラスの利用者データと FPT クラスの TSF データの保護を定義している。2 つ のクラスには機密性と完全性の保護を定義するコンポーネントが存在するが、それらのコンポーネントは、 利用者データと TSF データで定義が異なるため、TOE が 2 種類のデータに対して、機密性と完全性機 能を同じ方法で提供するケースでは、使用が難しくなる。 本プロテクションプロファイルは、2 種類のデータの機密性保護と完全性保護を単一のコンポーネントに 結合する拡張コンポーネントを定義する。本プロテクションプロファイルの作成者は、この定義により、セ キュリティ機能要件に関する記述を大幅に簡素化でき、本プロテクションプロファイルの可読性と適応性 が増すと判断する。従って、作成者はこの機能を扱う拡張コンポーネントを定義することにした。 17 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B この拡張コンポーネントは、利用者データと TSF データを保護する。そのため、FDP クラスまたは FPT ク ラスに含めることができる。拡張コンポーネントは、ストレージメディアにエクスポートされるデータの保護 を目的としており、特に、TOE から取り外し可能なストレージメディアを想定しているため、FPT クラスに 入れることが適切であると作成者は判断した。拡張コンポーネントは、いずれのクラスの既存のファミリに も適切に適合しないため、作成者はメンバー1 個だけを持つファミリを新たに定義した。 9.2 FPT_FDI_EXP 外部インタフェース 外部インタフェースへの インタフェースへの制限 への制限された 制限された情報転送 された情報転送 ファミリのふるまい ファミリのふるまい: のふるまい: 本ファミリは、外部インタフェース間における情報の直接転送を TSF が制限する要件を定義する。 多くの製品は固有の外部インタフェースで情報を受け取り、この情報を変換及び処理してから、別の外 部インタフェースに送信することを目的としている。しかし、一部の製品は、攻撃者に対して、外部インタ フェースを悪用して、TOE 自体または TOE の外部インタフェースに接続された装置のセキュリティを侵 害する能力を提供することがある。そのため、未処理データを異なる外部インタフェース間で直接転送 することは、許可された管理者役割が明示的に許可した場合を除いて禁止する。FPT_FDI_EXP ファミリ は、この種の機能性を特定するために定義した。 コンポーネントの コンポーネントのレベル付 レベル付け : FPT_FDI_EXP.1: 外部インタフェースへの制限された情報転送 1 FPT_FDI_EXP.1 外部インタフェースへの制限された情報転送は、定義済み外部インタフェース上で受 信したデータの処理を TSF が制御した後に、別の外部インタフェースに送信する機能を提供する。外部 インタフェース間におけるデータの直接転送は、権限を付与された管理者役割が明示的に許可する必 要がある。 管理: 管理: FPT_FDI_EXP.1 次のアクションは FMT の管理機能と見なされる。 a) 管理アクティビティの実行を許可する役割の定義。 b) 管理者役割が直接転送を許可する条件の管理。 c) 許可の取消し。 監査: 監査: FPT_FDI_EXP.1 FAU_GEN セキュリティ監査データ生成を PP/ST に含めた場合、次のアクションは監査対象となる。 予見される監査対象事象はない。 根拠: 根拠: TOE は通常、ある外部インタフェースで受信したデータを他のインタフェースから送信することを許可す る場合、所定の検査と処理を事前に実行することが想定される。例えば、ファイアウォールなどのシステ ムは、着信データに対して所定のワークフローを要求した後にデータを転送する。このように、最初に処 理されていないデータを異なる外部インタフェース間で直接転送することは、それが許可されるならば、 18 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 権限を付与された役割だけに認められる機能である。 直接転送を禁じ、権限を付与された役割だけが直接転送を許可することを要求する特性を指定すること を単一のコンポーネントとして機能化することは有用と考えられる。この機能は多くの製品に共通するた め、拡張コンポーネントを定義することは、有用と考えられる。 コモンクライテリアは、FDP クラスの利用者データフローを属性で制御するよう定義している。しかし、本 プロテクションプロファイルでは、作成者は、利用者データと TSF データを共に属性による制御ではなく、 運用管理による制御として表現する必要がある。この目的を達成するために、FDP_IFF と FDP_IFC を使 用すると、SFR がプロテクションプロファイルの処理系に強く依存することになり、セキュリティターゲットの 詳細化が煩雑になる。そこで、作成者はこの機能を扱う拡張コンポーネントを定義することにした。 本拡張コンポーネントは、利用者データと TSF データを保護することから、FDP クラスと FPT クラスのい ずれに入れてもよい。その目的は、TOE を悪用から保護することであるため、FPT クラスに含めるのが最 適である、と作成者は判断した。拡張コンポーネントは、いずれのクラスの既存のファミリにも適切に適合 しないため、作成者はメンバー1 個だけを持つ新たなファミリを定義した。 FPT_FDI_EXP.1 外部インタフェース 外部インタフェースへの インタフェースへの制限 への制限さ 制限された情報転送 れた情報転送 下位階層: 下位階層: なし 依存性: 依存性: FMT_SMF.1 管理機能 管理機能の の特定 FMT_SMR.1 セキュリティの セキュリティの役割 FPT_FDI_EXP.1.1 TSF は、[割付: 外部インタフェースのリスト] から受け取った情報を、TSF による 追加の処理無しに [割付: 外部インタフェースのリスト] に転送することを制限する能 力を提供しなければならない(shall)。 10. 共通セキュリティ 共通セキュリティ機能要件 セキュリティ機能要件( 機能要件(APE_REQ) APE_REQ) 本節では、TOE の共通セキュリティ機能要件を定義する。 10.1 クラス FAU: セキュリティ監査 セキュリティ監査 PP アプリケーションノート 7: TOE が監査記録を保存して、それへのアクセスを提供する場合、 ST 作成者は、任意に追加した対策方針を達成するために(8.2 節の「PP アプリケーションノート 5」参照)、適切なSFR(例: FAU_SAR.1、FAU_SAR.2、FAU_STG.1、FAU_STG.4)をST に追加し て、その機能を記述すべきである。監査記録を保存して、それへのアクセスを提供する任意の内 部機能は、OE.AUDIT_STORAGE.PROTECTED と OE.AUDIT_ACCESS.AUTHORIZED と同等 であるか、制限をより厳しくした解決策を実行しなければならない。 PP アプリケーションノート 8: 内部と外部のストレージ監査機能を提供する場合、ST 作成者は、 内部機能と外部機能を個別に評価できるように、両者を異なる操作モードとして表現すべきであ る。 PP アプリケーションノート 9: セキュリティターゲットが適合する SFR パッケージには、追加の監 査要件と勧告が存在してもよい。追加した要件と勧告は、本節の要件と勧告に取って代わるもの ではない。 19 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B FAU_GEN.1 監査デー 監査データ データ生成 FAU_GEN.1.1 下位階層: 下位階層: なし 依存性: 依存性: FPT_STM.1 高信頼タイムスタンプ 高信頼タイムスタンプ TSF は以下の監査対象事象の監査記録を生成できなければならない(shall)。 ― 監査機能の起動と終了。及び、 ― 監査の [選択、以下の1つを選ぶ:最小(minimum)、基本(basic)、詳細(detailed)、 指定なし(not specified)] レベルのすべての監査対象事象。及び、 ― 表 15 の「関連 SFR」 SFR」に示した監査 した監査レベル 監査レベル( レベル(1 つを選択 つを選択した 選択した場合 した場合) 場合)に定義されている 定義されている すべての監査対象 すべての監査対象事象 監査対象事象; 事象; [割付: 特別に定義した他の監査対象事象]。 PP アプリケーションノート 10: ST 作成者がコモンクライテリアで定義された監査レベル(最小、基 本、または詳細)を特定した場合、監査レベルの要件と表 15 の要件に不一致が生じる場合があ る。ST では、表 15 の要件よりも広範な要件を特定しなければならない(shall)。 PP アプリケーションノート 11: 表 16 は、表 15 で要求された監査対象事象と FAU_GEN.1.1 で特 定した監査レベルに加えて、FAU_GEN.1.1 を検討する際に推奨する追加の監査対象事象を示 している。 FAU_GEN.1.2 TSF は個々の監査記録において少なくとも以下の情報を記録しなければならない (shall)。 ― 事象の日付・時刻、事象の種別、サブジェクト識別情報(該当する場合)、事象の 結果(成功または失敗);及び ― 各監査対象種別に対して、PP/ST の機能コンポーネントの監査対象事象の定義 に基づく、表 表 15 に示した個 した個々の関連 SFR に関する (1) 監査レベル 監査レベルが レベルが定義する 定義する 情報( 情報(1 項目を 項目を特定した 特定した場合 した場合)、 場合)、及 )、及び (2) すべての追加情報 すべての追加情報( 追加情報(情報が 情報が必須である 必須である 場合) 場合); [割付: 他の監査関連情報]。 表 15 - 監査データ 監査データ要件 データ要件 監査対象事象 認証メカニズムの使用に失敗 識別メカニズムの使用に失敗 関連 SFR FIA_UAU.1 FIA_UID.1 監査レベル 監査レベル 最小 最小 管理機能の使用 役割の一部をなす利用者グループの改変 時間の変更 FMT_SMF.1 FMT_SMR.1 FPT_STM.1 最小 最小 最小 追加情報 任意 利用者識別の試行 (該当する場合) 任意 任意 任意 PP アプリケーションノート 12: 表 16 には、表 15 で要求した監査情報と FAU_GEN.1.1 で特定し た監査レベルに加えて、FAU_GEN.1.2 を検討する際に推奨する追加の監査情報を示してある。 表 16 - 推奨する 推奨する監査 する監査データ 監査データ 監査対象事象 認証メカニズムの使用に成功 識別メカニズムの使用に成功 関連 SFR FIA_UAU.1 FIA_UID.1 監査レベル 監査レベル 基本 基本 20 Copyright © 2010 IEEE. All rights reserved. 追加情報 任意 任意 IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B PP アプリケーションノート 13: FAU_GEN.1 は O.AUDIT.LOGGED を達成する主要な SFR であり、 FAU_GEN.2 に依存する。 PP アプリケーションノート 14: FAU_GEN.1 は 、 FIA_UAU.1 、 FIA_UID.1 、 FMT_SMF.1 、 FMT_SMR.1、FPT_STM.1 に推奨する監査機能を実行する。 FAU_GEN.2 利用者識別情報の 利用者識別情報の関連付け 関連付け FAU_GEN.2.1 下位階層: 下位階層: なし 依存性: 依存性: FAU_GEN.1 監査データ 監査データ生成 データ生成 FIA_UID.1 識別の 識別のタイミング 識別された利用者のアクションがもたらした監査事象に対し、TSF は、各監査対象事象 を、その原因となった利用者の識別情報に関連付けられなければならない(shall)。 PP アプリケーションノート 15: る。 FAU_GEN.2 は O.AUDIT.LOGGED を達成する主要な SFR であ PP アプリケーションノート 16: FAU_GEN.2 は FIA_UAU.1 、 FIA_UID.1 、 FMT_SMF.1 、 FMT_SMR.1、FPT_STM.1 に推奨される監査機能を実行する。 10.2 クラス FCO: 通信 本プロテクションプロファイルには、クラス FCO セキュリティ機能要件はない。 10.3 クラス FCS: 暗号化サポート 暗号化サポート 本プロテクションプロファイルには、クラス FCS セキュリティ機能要件はない。 10.4 クラス FDP: 利用者データ 利用者データ保護 データ保護 表 17 に示すセキュリティ機能方針(SFP)は、本節のクラス FDP SFR が参照する。 表 17 - 共通アクセス 共通アクセス制御 アクセス制御 SFP オブジェクト D.DOC D.FUNC 属性 表 23 に示した属性。「PP アプリ ケーションノート 17」参照 表 23 に示した属性。「PP アプリ ケーションノート 17」参照 操作 削除 サブジェクト U.NORMAL 改変、削除 U.NORMAL アクセス制御規則 アクセス制御規則 利用者自身の文書以外は 拒否する。 利用者自身の機能データ 以外は拒否する。 PP アプリケーションノート 17: これらのアクセス制御規則は、特定のオブジェクトが文書処理ジョ ブに関連付けられた表 23 のいずれかの属性を持つ場合に、そのオブジェクトに適用する。潜在 的に適用可能な属性のセットは、セキュリティターゲットが適合する 12.2 節に示した SFR パッ ケージに依存する。 PP アプリケーションノート 18: 本規格の名前付き SFR パッケージのいずれかに特段の記述がな い限り、文書は、それを作成あるいは TOE に送信した利用者が「保有する」。 PP アプリケーションノート 19: 権限を付与された一般利用者(U.NORMAL)は、自身の文書を作 成できるが、別の利用者が保有する文書は作成できないため、「作成」操作に関するアクセス制 御規則は指定しない。ST 作成者は、適合 TOE に追加する適切な規則を考慮すべきである。 21 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B PP アプリケーションノート 20: 本規格の 1 本以上の名前付き SFR パッケージへの適合は、追加 のオブジェクト、セキュリティ属性、役割に関するアクセス制御を追加して、規則を拡張できる。適 合セキュリティターゲットまたは適合プロテクションプロテクションの利用者データアクセス制御 SFP は、表 17 で定義した規則に加えて、SFR パッケージ適合に含めたアクセス制御 SFP に定義 した規則で構成する。 PP アプリケーションノート 21: 詳細化が表 17 に定義した規則で構成するアクセス制御方針及び SFR パッケージ適合に含めたすべての SFP に定義したアクセス制御方針に違反しない限り、ST 作成者は、追加のセキュリティ属性または役割を追加して、前記の規則を詳細化できる。 PP アプリケーションノート 22: 表 17 に定義した規則で構成されるアクセス制御方針及び SFR パッケージ適合に含めたすべての SFP に定義された規則に違反しない限り、ST 作成者は、これ らのオブジェクトに追加のオブジェクトとアクセス制御規則を定義できる。 FDP_ACC.1(a) FDP_ACC.1.1(a) サブセットアクセス制御 サブセットアクセス制御 下位階層: 下位階層: なし 依存性: 依存性: FDP_ACF.1 セキュリティ属性 セキュリティ属性による 属性によるアクセス によるアクセス制御 アクセス制御 TSF は、表 表 17「 17「共通アクセス 共通アクセス制御 アクセス制御 SFP」 SFP」に示したサブジェクト したサブジェクト( サブジェクト(利用者)、 利用者)、オブジェク )、オブジェク ト、及びサブジェクトと サブジェクトとオブジェクト間 オブジェクト間の操作の 操作のリストに リストに対して、 して、表 17 の共通アクセス 共通アクセス制 アクセス制 御 SFP を実施しなければならない(shall)。 PP アプリケーションノート 23: FDP_ACC.1(a) は O.DOC_REST.NO_DIS 、 O.DOC_REST.NO_ ALT、O.FUNC_REST.NO_ALT を達成する主要な SFR であり、FDP_ACF.1(a) と FMT_MSA.1(a) に依存する。 FDP_ACC.1(b) サブセットアクセス制御 サブセットアクセス制御 下位階層: 下位階層: なし 依存性: 依存性: FDP_ACF.1 セキュリティ属性 セキュリティ属性による 属性によるアクセス によるアクセス制御 アクセス制御 FDP_ACC.1.1(b) TSF は、利用者 利用者( 利用者(サブジェクト)、 サブジェクト)、TOE )、TOE 機能( 機能(オブジェクト)、 オブジェクト)、機能 )、機能を 機能を使用する 使用する権限 する権限 (操作) 操作)に対して TOE 機能アクセス 機能アクセス制御 アクセス制御 SFP を実施しなければならない(shall)。 PP アプリケーションノート 24: TOE 機能アクセス制御 SFP は、FDP_ACC.1(b)、FDP_ACF.1(b)、 FMT_MSA.1(b)、FMT_MSA.3(b) の各 SFR から成る。 PP アプリケーションノート 25: TOE 機能アクセス制御 SFP は、TOE が提供する機能の使用を一 般利用者に許可することを決定するアクセス制御方針である。許可する機能は、本規格の 12.3 節に定義してある。ST 作成者は、適合 TOE が提供する機能を完全に網羅すべきである。アクセ ス を決 定 す る 規 則 は、全 機 能 に共 通 で も、機 能 単 位 ごとに 異なってもよ い。 この 規 則 は FDP_ACF.1(b)で定義している。 PP アプリケーションノート 26: 利用者とサブジェクトの結合時に、TOE アーキテクチャが仲介サ ブジェクトとサブジェクトのセキュリティ属性を決める特定の規則を定義するかどうかに応じて、 TOE 機能アクセス制御 SFP は、利用者とオブジェクト間、またはサブジェクトとオブジェクト間の 方針として定義できる。 PP アプリケーションノート 27: FDP_ACC.1(b) はO.USER.AUTHORIZED を達成する主要な SFR であり、FDP_ACF.1(b) と FMT_MSA.1(b) に依存する。 22 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B FDP_ACF.1(a) セキュリティ属性 セキュリティ属性による 属性によるアクセス によるアクセス制御 アクセス制御 下位階層: 下位階層: なし 依存性: 依存性: FDP_ACC.1 サブセットアクセス制御 サブセットアクセス制御 FMT_MSA.3 静的属性の 静的属性の初期化 FDP_ACF.1.1(a) TSF は以下に基づきオブジェクトに対して、表 表 17 の共通アクセス 共通アクセス制御 アクセス制御 SFP を実施 しなければならない(shall): 表 17 の共通アクセス 共通アクセス制御 アクセス制御 SFP の下で制御される 制御されるサブジェ されるサブジェ クトと クトとオブジェクトの オブジェクトのリスト、 リスト、及び個々のサブジェクトと サブジェクトとオブジェクトに オブジェクトに関して、 して、表 17 に示 したセキュリティ したセキュリティ属性 セキュリティ属性。 属性。 FDP_ACF.1.2(a) TSF は、制御対象のサブジェクトとオブジェクト間に許可する操作を決定するため に、以下の規則を実施しなければならない(shall): 制御された 制御されたオブジェクト されたオブジェクトに オブジェクトに対 して制 して制 御された操作 された操作を 操作 を使用する 使用する利用者 する利用者( 利用者(作成者) 作成者)と制御された 制御されたオブジェクト されたオブジェクト間 オブジェクト間のアクセスを アクセス を管 理する表 する表 17 の共通アクセス 共通アクセス制御 アクセス制御 SFP に示された規則 された規則。 規則。 FDP_ACF.1.3(a) TSF は以下の追加規則に従い、サブジェクトのオブジェクトに対するアクセスを明 示的に許可しなければならない(shall): [割付: セキュリティ属性に基づき、サブジェク トによるオブジェクトへのアクセス権を明示的に許可する規則]。 FDP_ACF.1.4(a) TSF は、[割付: セキュリティ属性に基づき、サブジェクトのオブジェクトに対するア クセスを明示的に拒否する規則] に従って、サブジェクトによるオブジェクトへのアクセ スを明示的に拒否しなければならない(shall)。 PP アプリケーションノート 28: FDP_ACF.1(b) FDP_ACF.1.1(b) FDP_ACF.1(a)は FDP_ACC.1(a)に依存する。 セキュリティ属性 セキュリティ属性による 属性によるアクセス によるアクセス制御 アクセス制御 下位階層: 下位階層: なし 依存性: 依存性: FDP_ACC.1 サブセットアクセス制御 サブセットアクセス制御 FMT_MSA.3 静的属性の 静的属性の初期化 TSF は以下に基づきオブジェクトに対して TOE 機能アクセス 機能アクセス制御 アクセス制御 SFP を実施しな ければならない(shall): 利用者及 機能アクセス アクセス制御 決定するた 利用者及び [割付: 割付: TOE 機能 アクセス 制御 SFP を決定 するた めに使用 使用する 機能と 属性の めに 使用 する TOE 機能 とセキュリティ属性 セキュリティ属性 のリスト]。 PP アプリケーションノート 29: TOE 機能アクセス制御 SFP は、FDP_ACC.1(b)、FDP_ACF.1(b)、 FMT_MSA.1(b)、FMT_MSA.3(b) の各 SFR から成る。 PP アプリケーションノート 30: 機能リストには、パッケージにおける TOE が提供する全機能を含 めるべきである。セキュリティ属性は、利用者に使用を許可する機能を利用者ごとに指定するご く単純なアクセスリストでも、個々の機能を使用できる利用者を機能単位で指定するアクセスリス トでもよい。 FDP_ACF.1.2(b) TSF は、制御対象のサブジェクトとオブジェクト間に許可する操作を決定するため に、以下の規則を実施しなければならない(shall) : [選択: 選択 : U.ADMINISTRATOR により 機能の 使用を 明示的に 認可されている されている利用者 利用者、 機能リスト 使用する 機能 の 使用 を明示的 に 認可 されている 利用者 、 機能 [割付: 割付 : 機能 リスト] を 使用 する ことが自動的 自動的に 認可される されるような 使用を 認可されている されている利用者 ことが 自動的に認可 されるような TOE 使用 を認可 されている利用者、 利用者、[割付: 割付: 他の条 件] ] 。 PP アプリケーションノート 31: この要素では、利用者に特定の機能の使用を許可することを決定 する規則を定義できる。どの組み合わせを選択するかに応じて、ST 作成者は、権限を付与した 利用者に全機能の使用を自動的に許可するか、一部の機能に明示的な権限付与を要求する か、すべての機能に明示的な権限付与を要求するか、その他の条件によりアクセス権を付与す 23 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B るか指定できる。 FDP_ACF.1.3(b) TSF は以下の追加規則に従い、サブジェクトのオブジェクトに対するアクセスを明 示的に許可しなければならない(shall): 役割 U.ADMINISTRATOR: U.ADMINISTRATOR: [割付: セキュリ ティ属性に基づき、サブジェクトによるオブジェクトへのアクセスを明示的に許可する他 他 の 規則] における利用者 おける利用者の 利用者の行為。 行為 FDP_ACF.1.4(b) TSF は、[割付: セキュリティ属性に基づき、サブジェクトのオブジェクトに対するア クセスを明示的に拒否する規則] に従って、サブジェクトによるオブジェクトへのアクセ スを明示的に拒否しなければならない(shall)。 PP アプリケーションノート 32: FDP_ACF.1(b)は、TOE が提供する特定の機能の使用を利用者に 許可する規則を記述するために使用する。本 PP は、機能を使用する利用者の権利を決定する 規則を規定しない。本 PP に適合する ST の作成者は、すべての機能に共通するアクセス制御規 則を定義できる。最も単純な規則は、TOE 使用を許可する利用者に全機能の使用を許可する か、利用者に使用を許可する機能を定義する権限を持つ管理者が利用者セキュリティ属性を設 定することである。ただし、機能固有のより複雑な規則を定義することもできる。 PP アプリケーションノート 33: FDP_RIP.1 FDP_ACF.1(b)は FDP_ACC.1(b)に依存する。 サブセット残存情報保護 サブセット残存情報保護 下位階層: 下位階層: なし 依存性: 依存性: なし TSF は、以下のオブジェクト: D.DOC [割付: オブジェクトリスト] [選択: への資源の 割り当て、からの資源の解放] において、資源の以前の情報内容を利用不能にするこ FDP_RIP.1.1 とを保証しなければならない(shall)。 PP アプリケーションノート 34: る。 FDP_RIP.1 は O.DOC_RES.NO_DIS を達成する主要な SFR であ 10.5 クラス FIA: 識別と 識別と認証 FIA_ATD.1 利用者属性定義 FIA_ATD.1.1 下位階層: 下位階層: なし 依存性: 依存性: なし TSF は個々の利用者に属する以下のセキュリティ属性のリストを維持しなければならな い: [割付: セキュリティ属性リスト] PP アプリケーションノート 35: FIA_UAU.1 FIA_UAU.1.1 FIA_ATD.1 は FIA_USB.1 に依存する。 認証の 認証のタイミング 下位階層: 下位階層: なし 依存性: 依存性: FIA_UID.1 識別の 識別のタイミング アクセス制御 TSF は、利用者が認証される前に利用者を代行して実行される [割付: アクセス 制御 機能と 競合しない された TOE の機能 と競合 しない TSF 仲介アクションのリスト] を許可しなければならな い(shall)。 24 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B PP アプリケーションノート 36: ログインプロセスの開始時にユーザー名の一覧を表示するなど、 ST の評価対象において、利用者の識別と認証を要求しない機能を希望する場合、ST 作成者は、 FIA_UAU.1.1 と FIA_UID.1.1 において、必要な TSF 仲介アクションを許可することを考慮 FIA_UID.1.1 すべきである。ただし、この許可は、意図する TOE 機能アクセス制御 SFP をバイ パスするために使用すべきでない。 FIA_UAU.1.2 TSF は、その利用者を代行する他のすべての TSF 仲介アクションを許可する前に、各 利用者に認証が成功することを要求しなければならない(shall)。 PP アプリケーションノート 37: 利用者認証は、TOE が内部で実行することも、IT 環境における信 頼できる IT 製品が外部で実行することも認められている。 PP アプリケーションノート 38: 利用者認証を内部で実行する場合、ST 作成者は、適切な SFR を 認証処理に追加すべきである(例: FIA_AFL.1 と FIA_UAU.7)。 PP アプリケーションノート 39: 利用者認証を内部または外部で実行できる場合、ST 作成者は、 内部と外部の認証を個別に評価できるように、それらを異なる操作モードとして表現すべきであ る。 PP アプリケーションノート 40: FIA_UAU.1 は O.USER.AUTHORIZED MANAGED を達成する主要な SFR である。 FIA_UID.1 FIA_UID.1.1 と O.INTERFACE. 識別の 識別のタイミング 下位階層: 下位階層: なし 依存性: 依存性: なし TSF は、利用者が識別される前に利用者を代行して実行される [割付: TOE のアクセ ス 制御機能と 制御機能 と 競合 しない TSF 仲介アクションのリスト] を許可しなければならない (shall)。 PP アプリケーションノート 41: ログインプロセスの開始時にユーザー名の一覧を表示するなど、 ST の評価対象において、利用者の識別と認証を要求しない機能を希望する場合、ST 作成者は、 FIA_UAU.1.1 と FIA_UID.1.1 において、必要な TSF 仲介アクションを許可することを考慮すべき である。ただし、この許可は、意図する TOE 機能アクセス制御 SFP をバイパスするために使用す べきでない。 FIA_UID.1.2 TSF は、その利用者を代行する他の TSF 仲介アクションを許可する前に、利用者に識 別が成功することを要求しなければならない(shall)。 PP アプリケーションノート 42: 利用者識別は、TOE が内部で実行することも、IT 環境における信 頼できる IT 製品が外部で実行することも認められている。 PP アプリケーションノート 43: 利用者識別を内部または外部で実行できる場合、ST 作成者は、 内部と外部の識別を個別に評価できるように、それらを異なる操作モードとして表現すべきであ る。 PP アプリケーションノート 44: FIA_UID.1 は O.USER.AUTHORIZED と O.INTERFACE. MANAGED を達成する主要な SFR であり、FIA_UAU.1、FAU_GEN.2、FMT_SMR.1 に依存する。 25 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B FIA_USB.1 利用者 - サブジェクト結合 サブジェクト結合 下位階層: 下位階層: なし 依存性: 依存性: FIA_ATD.1 利用者属性定義 FIA_USB.1.1 TSF は、以下の利用者セキュリティ属性を、その利用者を代行して動作するサブジェク トに関連付けなければならない(shall):[割付: 利用者セキュリティ属性リスト]。 FIA_USB.1.2 TSF は、以下の利用者セキュリティ属性の最初の関連付け規則を、その利用者を代行 して動作するサブジェクトと共に実施しなければならない(shall): :[割付: 属性の最初の 関連付けに関する規則]。 FIA_USB.1.3 TSF は、以下の利用者セキュリティ属性への改変を管理する規則を、その利用者を代 行して動作するサブジェクトと共に実施しなければならない(shall):[割付: 属性変更に 関する規則]。 PP アプリケーションノート 45: 本プロテクションプロファイルは、デフォルトで利用者とサブジェク トを区別しないことを前提としている。 詳細については、5.2 節を参照のこと。 PP アプリケーションノート 46: ある。 FIA_USB.1 は O.USER.AUTHORIZED を達成する主要な SFR で 10.6 クラス FMT: セキュリティ管理 セキュリティ管理 PP アプリケーションノート 47: 本プロテクションプロファイルの TSF データは、特定のアーキテク チャ、設計や実装を要求しないように汎用的に定義されている。ST 作成者は、評価対象におけ る D.CONF と D.PROT を構成する特定のデータを TOE で識別し(5.3.2.2 条の「PP アプリケー ションノート 3」参照)、FMT_MSA.1(a)、FMT_MSA.3(a)、FMT_MTD.1(a)、FMT_MTD.1(b)を繰り返 して調整し、当該のデータを初期化して管理する方法を定義すべきである。 FMT_MSA.1(a) セキュリティ属性 セキュリティ属性の 属性の管理 下位階層: 下位階層: なし 依存性: 依存性: [FDP_ACC.1 サブセットアクセス制御 サブセットアクセス制御、 制御、 または FDP_IFC.1 サブセット情報 サブセット情報フロー 情報フロー制御 フロー制御] 制御] FMT_SMR.1 セキュリティの セキュリティの役割 FMT_SMF.1 管理機能の 管理機能の特定 TSF は、セキュリティ属性 [割付: セキュリティ属性リスト] に対し [選択: デフォ ルト変更、問い合わせ、改変、削除、[割付: 他の操作]] をする能力を [割付:認可さ れ識別された役割] に制限する表 表 17 の共通アクセス 共通アクセス制御 アクセス制御 SFP [割付: アクセス制御 SFP、情報フロー制御 SFP] を実施しなければならない(shall)。 FMT_MSA.1.1(a) PP アプリケーションノート 48: 本プロテクションプロファイルは、必須のセキュリティ属性を定義し ていないが、一部の属性は SFR パッケージまたは ST 作成者が定義できる。ST 作成者はセキュ リティ属性を管理する方法を定義すべきである。本プロテクションプロファイルは、権限を付与さ れ識別された役割として「Nobody」をインスタンス化できることに注意して頂きたい。この役割を使 用すると、セキュリティ属性の削除など、すべての利用者に実行を許可しない管理アクションを記 述できる。 PP アプリケーションノート 49: FMT_MSA.1(a)は FMT_MSA.3(a)に依存する。 26 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B PP アプリケーションノート 50: FMT_MSA.1(b) FMT_MSA.1(b) FMT_MSA.1(a) は FDP_ACF.1(a)に推奨される管理機能を実行する。 セキュリティ属性管理 セキュリティ属性管理 下位階層: 下位階層: なし 依存性: 依存性: [FDP_ACC.1 サブセットアクセス制御 サブセットアクセス制御、 制御、 または FDP_IFC.1 サブセット情報 サブセット情報フロー 情報フロー制御 フロー制御] 制御] FMT_SMR.1 セキュリティの セキュリティの役割 FMT_SMF.1 管理機能の 管理機能の特定 TSF は、セキュリティ属性 [割付: セキュリティ属性リスト] に対し [選択: デフォ ルト変更、問い合わせ、改変、削除、[割付: 他の操作]] をする能力を [割付:認可さ れ識別された役割] に制限する TOE 機能アクセス 機能アクセス制御 アクセス制御 SFP [割付: アクセス制御 SFP、 情報フロー制御 SFP] を実施しなければならない(shall)。 FMT_MSA.1.1(b) PP アプリケーションノート 51: 本プロテクションプロファイルは、必須のセキュリティ属性を定義し ていないが、一部の属性は ST 作成者が定義できる。この SFR で初期化すべきセキュリティ属性 は、FDP_ACF.1(b) で定義したアクセス制御規則に使用する属性である。この属性は、利用者 に使用を許可する機能を利用者単位で定義した単純なリスト、または当該の機能の使用を許可 する利用者を機能単位で定義したリストであってもよい。複数の属性を評価する複雑な規則に ついては、ST 作成者は、各セキュリティ属性が同一の役割で管理されているか確認すべきであ る。同一の役割で管理されていない場合は、セキュリティ属性ごとに、FMT_MSA.1(b)の初期化を 追加する必要がある。 PP アプリケーションノート 52: TOE 機能アクセス制御方針が機能を実行する利用者の能力の変 更を一切許可しない場合、「権限を付与され識別された役割(the authorized identified roles)」 に「Nobody」をインスタンス化する必要がある。 PP アプリケーションノート 53: TOE 機能アクセス制御 SFP は、FDP_ACC.1(b)、FDP_ACF.1(b)、 FMT_MSA.1(b)、FMT_MSA.3(b) の各 SFR から成る。 PP アプリケーションノート 54: FMT_MSA.1(b)は FMT_MSA.3(b)に依存する。 PP アプリケーションノート 55: る。 FMT_MSA.1(b) は FDP_ACF.1(b)に推奨される管理機能を実行す FMT_MSA.3(a) 静的属性の 静的属性の初期化 下位階層: 下位階層: なし 依存性: 依存性: FMT_MSA.1 セキュリティ属性管理 セキュリティ属性管理 FMT_SMR.1 セキュリティの セキュリティの役割 FMT_MSA.3.1(a) TSF は、当該の SFP 実施に使用するセキュリティ属性に対して、[選択、次の 1 つ を選ぶ: 制限的、許可的 [割付: 他のプロパティ]] のデフォルト値を与える表 表 17 の共 通アクセス制御 アクセス制御 SFP [割付: アクセス制御 SFP、情報フロー制御 SFP] を実施しなけれ ばならない(shall)。 TSF は、オブジェクトまたは情報が生成される際、[割付: 認可され識別された役 割] に対して、デフォルト値を上書きする代替の初期値を特定することを許可しなけれ ばならない。 FMT_MSA.3.2(a) PP アプリケーションノート 56: 利用者とオブジェクトのセキュリティ属性は通常、利用者またはオブ ジェクトの作成時に初期化する。本プロテクションプロファイルは、セキュリティ属性を初期化する 方法を制限しないため、ST 作成者は、セキュリティ属性を初期化する方針を記述すべきである。 27 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B PP アプリケーションノート 57: FMT_MSA.3(b) FMT_MSA.3(a)は FDP_ACF.1(a)に依存する。 静的属性 静的属性の初期化 下位階層: 下位階層: なし 依存性: 依存性: FMT_MSA.1 セキュリティ属性管理 セキュリティ属性管理 FMT_SMR.1 セキュリティの セキュリティの役割 FMT_MSA.3.1(b) TSF は、当該の SFP 実施に使用するセキュリティ属性に対して、[選択、以下の 1 つ を選ぶ: 制限的、許可的、[割付: 他のプロパティ]] のデフォルト値を与える TOE 機能 アクセス制御方針 アクセス制御方針 [割付:アクセス制御 SFP、情報フロー制御 SFP] を実施しなければ ならない(shall)。 FMT_MSA.3.2(b) TSF は、オブジェクトまたは情報が生成される際、[割付:認可され識別された役割] に対して、デフォルト値を上書きする代替の初期値を特定することを許可しなければな らない(shall)。 PP アプリケーションノート 58: TOE 機能アクセス制御 SFP は、FDP_ACC.1(b)、FDP_ACF.1(b)、 FMT_MSA.1(b)、FMT_MSA.3(b) の各 SFR PP アプリケーションノート 59: この SFR は、利用者を定義する際、利用者に割り当てる TOE 機能 へのアクセスの既定値を定義する。管理者役割がこれらの既定値を変更できる場合、その変更 の実行を許可する役割は、FMT_MSA.3.2(b)で定義すべきである。既定値が変更できない場合 は、「Nobody」を FMT_MSA.3.2(b)でインスタンス化して、既定値を固定することを指示すべきで ある。アクセス制御方針に基づき、機能ごとに既定値が異なる場合は、ST 作成者が各機能の既 定値を個別に定義できる FMT_MSA.3.1(b)の割付に記述できる。 PP アプリケーションノート 60: FMT_MTD.1 FMT_MSA.3(b)は FDP_ACF.1(b)に依存する。 TSF データ管理 データ管理 下位階層: 位階層: なし 依存性: 依存性: FMT_SMR.1 セキュリティの セキュリティの役割 FMT_SMF.1 管理機能の 管理機能の特定 PP アプリケーションノート 61: 繰り返し使用する下記の FMT_MTD.1.1 において、(a)は 一般利 用者に関連付けられていない TSF データを権限を付与された管理者役割または Nobody が管 理するか指定する際に使用できる。及び(b)は 一般利用者に関連付けられた TSF データ、また は一般利用者が所有する文書やジョブに関連付けられた TSF データを管理者役割、当該の一 般利用者、または Nobody が管理するか指定する際に使用できる。 FMT_MTD.1.1(a) TSF は、[割付: TSF データのリスト] を [選択: デフォルト変更、問い合わせ、改 Nobody、 変、削除、クリア、[割付: 他の操作]] する能力を [選択、 選択、以下の 以下の 1 つを選 つを選ぶ: Nobody 、 [選択: U.ADMINISTRATOR、 選択: U.ADMINISTRATOR 、[割付: U.NORMAL を除き、認可され識別された役割]]] に制限しなければならない。 TSF は 、[ 割付 : U.NORMAL に 関連 付 け た TSF デー タ のリ ス ト 、 ま た は 所有する する文書 文書または またはジョブ ジョブに 関連付けた U.NORMAL が所有 する 文書 または ジョブ に関連付 けた TSF データ] を [選択: デ フォルト変更、問い合わせ、改変、削除、クリア、[割付: 他の操作]] する能力を [ 選択、 選択、 以下の 以下の 1 つを選 つを選ぶ : Nobody、 Nobody、[選択: U.ADMINISTRATOR、TSF データを データを関連付けた 関連付けた 選択: U.ADMINISTRATOR、 FMT_MTD.1.1(b) 28 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B U.NORMAL]] に制限しなければならない(shall)。 PP アプリケーションノート 62: FMT_MTD.1(a) と FMT_MTD.1(b) は 、 O.PROT.NO_ALT 、 O.CONF.NO_DIS、O.CONF.NO_ALT を実現する主要な SFR である。 FMT_SMF.1 管理機能の 管理機能の特定 FMT_SMF.1.1 下位階層: 下位階層: なし 依存性: 依存性: なし TSF は、以下の管理機能を実行することができなければならない(shall): [割付: TSF に よって提供される管理機能のリスト]。 PP アプリケーションノート 63: 表 18 に示した管理機能は、FMT_SMF.1 を検討するにあたり推奨 される。ST 作成者は、ST 評価対象の管理機能をサポートする他の管理機能を指定すべきか考 慮すべきである。 表 18 - 管理機能の 管理機能の推奨 管理機能 利用者識別管理 システム時刻管理 関連 SFR FIA_UID.1 FPT_STM.1 PP アプリケーションノート 64: FMT_SMF.1 は FMT_MSA.1 と FMT_MTD.1 に依存する。 PP アプリケーションノート 65: 実行できる。 FMT_SMF.1 は FIA_UID.1 と FPT_STM.1 に推奨された管理機能を FMT_SMR.1 セキュリティの セキュリティの役割 FMT_SMR.1.1 下位階層: 下位階層: なし 依存性: 依存性: FIA_UID.1 識別の 識別のタイミング TSF は、役割 U.ADMINISTRATOR、 U.ADMINISTRATOR、U.NORMAL [選択: Nobody、 Nobody、[割付:認可され識 別された役割]] を維持しなければならない(shall)。 PP アプリケーションノート 66: 役 割 「 Nobody 」 は 、 す べ て の 利 用 者 に 割 り 当 て ら れ な い 。 「Nobody」は他の SFR の役割であるため、FMT_SMR.1.1 だけに含まれる。 FMT_SMR.1.2 TSF は、すべての すべての利用者 すべての利用者に 利用者に関連付 関連付けることができない「Nobody けることができない Nobody」を Nobody を除き 、利用者に役割 を関連付けなければならない(shall)。 PP アプリケーションノート 67: する。 FMT_SMR.1 は、FMT_MSA.1、FMT_MSA.3、FMT_MTD.1 に依存 10.7 クラス FPR: プライバシー 本プロテクションプロファイルには、クラス FPR セキュリティ機能要件はない。 29 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 10.8 クラス FPT: TSF の保護 FPT_STM.1 高信頼タイムスタンプ 高信頼タイムスタンプ FPT_STM.1.1 下位階層: 下位階層: なし 依存性: 依存性: なし TSF は高信頼タイムスタンプを提供できなければならない(shall)。 PP アプリケーションノート 68: 高信頼タイムスタンプが TOE 内部、TOE 外部、または両者で生成 された場合、本プロテクションプロファイルは FPT_STM.1 を満足できると解釈する。 PP アプリケーションノート 69: 高信頼タイムスタンプをTOE 外部で生成する場合、ST 作成者は、 信頼性を保証するために、追加 SFR を含めるか考慮すべきである(例: タイムスタンプソースの 認証、タイムスタンプ配信の完全性保護、またはタイムスタンプサービスの可用性検査)。 PP アプリケーションノート 70: 製品が内部または外部のタイムスタンプソースを使用できる場合、 ST 作成者は、各ソースを個別に評価できるように、それらを異なる操作モードとして表現すべき である。 PP アプリケーションノート 71: FPT_TST.1 FPT_STM.1 は FAU_GEN.1 に依存する。 TSF テスト FPT_TST.1.1 下位階層: 下位階層: なし 依存性: 依存性: なし TSF は、[選択:[割付: TSF の一部]、TSF] の正常動作を実証するために、[選択: 初 期立上げ中、平常操作時に定期的に、認可された利用者の要求に応じて、[割付: 自 己テストを起動すべき条件] が発生した場合]、一連の自己テストを実行しなければな らない(shall)。 FPT_TST.1.2 TSF は、 認可された利用者に、[選択: [割付: TSF の一部]、TSF データ] の完全性を 検証する能力を提供しなければならない。 FPT_TST.1.3 TSF は、認可された利用者に、保存されている TSF 実行コードの完全性を検証する能 力を提供しなければならない。 PP アプリケーションノート 72: FPT_TST.1.3 は、誤動作により TSF 実行コードが改変されていな いことを検証することを目的としている。 PP アプリケーションノート 73: である。 FPT_TST.1 は O.SOFTWARE.VERIFIED を達成する主要な SFR 10.9 クラス FRU: 資源利用 本プロテクションプロファイルには、クラス FRU セキュリティ機能要件はない。 30 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 10.10 クラス FTA: TOE アクセス FTA_SSL.3 FTA_SSL.3.1 TSF 起動による 起動による終了 による終了 下位階層: 下位階層: なし 依存性: 依存性: なし TSF は、[割付: 利用者の最終操作から所定の間隔が経過した] 後に対話セションを 終了しなければならない(shall)。 PP アプリケーションノート 74: FTA_SSL.3 は MANAGED を達成する主要な SFR である。 O.USER.AUTHORIZED と O.INTERFACE. 10.11 クラス FTP: 高信頼パス 高信頼パス/ パス/チャネル 本プロテクションプロファイルには、クラス FTP セキュリティ機能要件はない。 10.12 共通セキュリティ 共通セキュリティ要件根拠 セキュリティ要件根拠 TOE の対策方針を実現する SFR の完全性と十分性を表 19 と表 20 に示す。太字 太字で記載した項目は対 太字 策方針の主要(P)な実現を提供し、標準書体で記載した項目は、その実現を支援(S)する。 表 19 - セキュリティ要件 セキュリティ要件の 要件の完全性 O.AUDIT.LOGGED O.SOFTWARE.VERIFIED O.INTERFACE.MANAGED O.USER.AUTHORIZED O.CONF.NO_ALT O.CONF.NO_DIS O.PROT.NO_ALT O.FUNC_REST.NO_ALT O.DOC_REST.NO_ALT SFR O.DOC_REST.NO_DIS 対策方針 FAU_GEN.1 P FAU_GEN.2 P FDP_ACC.1(a) P P P FDP_ACC.1(b) FDP_ACF.1(a) P S S S FDP_ACF.1(b) FDP_RIP.1 S P FIA_ATD.1 S FIA_UAU.1 P P FIA_UID.1 S S S FIA_USB.1 FMT_MSA.1(a) FMT_MSA.1(b) S S S P P P S S S S 31 Copyright © 2010 IEEE. All rights reserved. S IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B FMT_MSA.3(b) S FMT_MTD.1 P P P FMT_SMF.1 S S S S S S FMT_SMR.1 S S S S S S S FPT_STM.1 S FPT_TST.1 FTA_SSL.3 O.AUDIT.LOGGED O.SOFTWARE.VERIFIED O.INTERFACE.MANAGED O.USER.AUTHORIZED S O.CONF.NO_ALT S O.CONF.NO_DIS S O.PROT.NO_ALT O.FUNC_REST.NO_ALT FMT_MSA.3(a) O.DOC_REST.NO_ALT SFR O.DOC_REST.NO_DIS 対策方針 P P P 32 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 表 20 - セキュリティ要件 セキュリティ要件の 要件の十分性 対策方針 O.DOC_REST.NO_DIS, O.DOC_REST.NO_ALT, O.FUNC_REST.NO_ALT 説明 TOE に残存する利 用者データを不正 な開示や改変から 保護する SFR FDP_ACC.1(a) FDP_ACF.1(a) FIA_UID.1 FMT_MSA.1(a) FMT_MSA.3(a) FMT_SMF.1 FMT_SMR.1 O.DOC_REST.NO_DIS O.CONF.NO_DIS, O.PROT.NO_ALT, O.CONF.NO_ALT TOE に残存する利 用者文書データを 不正な開示から保 護する 不正な開示や改変 からの TSF データ の保護 FDP_RIP.1 FIA_UID.1 FMT_MTD.1 FMT_SMF.1 FMT_SMR.1 O.USER.AUTHORIZED 一般利用者と管理 者が TOE を使用す る権限の付与 FDP_ACC.1(b) FDP_ACF.1(b) FIA_ATD.1 FIA_UAU.1 FIA_UID.1 FIA_USB.1 FMT_MSA.1(b) FMT_MSA.3(b) 33 Copyright © 2010 IEEE. All rights reserved. 目的 アクセス制御方針 制御方針を アクセス 制御方針を確立して 確立して、 して、保 護 を実施する 実施する。 する。 アクセス制御機能を提供してアク セス制御方針を支援する。 利用者識別を要求してアクセス 制御とセキュリティの役割を支援 する。 セキュリティ属性管理を実施し て、アクセス制御機能を支援す る。 デフォルトのセキュリティ属性管 理を実施して、アクセス制御機能 を支援する。 属性を管理する機能を要求し て、セキュリティ属性管理を支援 する。 セキュリティの役割を要求して、 セキュリティ属性管理を支援す る。 残存データ 残存データを データを利用不能にして 利用不能にして保 にして保 護 を実施する 実施する。 する。 利用者識別を要求して、アクセス 制御とセキュリティの役割を支援 する。 アクセスを アクセスを制限して 制限して保護 して保護を 保護を実施 する。 する。 属性を管理する機能を要求し て、セキュリティ属性管理を支援 する。 セキュリティの役割を要求して、 セキュリティ属性管理を支援す る。 アクセス制御方針 アクセス制御方針を 制御方針を確立して 確立して権 して権 限付与を 限付与 を実施する 実施する。 する。 アクセス制御機能を提供して、ア クセス制御方針を支援する。 セキュリティ属性を利用者に関連 付けて権限付与を支援する。 利用者認証を 利用者認証を要求して 要求して権限付与 して権限付与 を実施する 実施する。 する。 利用者識別を 利用者識別を要求して 要求して権限付与 して権限付与 を実施する 実施する。 する。 利用者の 利用者の役割に 役割に関連付けられた 関連付けられた サブジェクトの サブジェクトのセキュリティ属性 セキュリティ属性を 属性を 区別して 区別して権限付与 して権限付与を 権限付与を実施する 実施する。 する。 セキュリティ属性管理を実施し て、アクセス制御機能を支援す る。 デフォルトのセキュリティ属性管 理を実施して、アクセス制御機能 を支援する。 IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 対策方針 説明 SFR FMT_SMR 1 FTA_SSL.3 O.INTERFACE.MAN AGED 外部インタフェース の管理 FIA_UAU.1 FIA_UID.1 FTA_SSL.3 FTA_SSL.3 O.SOFTWARE.VERIFIED O.AUDIT.LOGGED ソフトウェア完全性 の検証 監査対象事象への 許可されたアクセス とロギング FPT_TST.1 FAU_GEN.1 FAU_GEN.2 FIA_UID.1 FPT_STM.1 目的 セキュリティの役割を要求して権 限付与を支援する。 休止中の 休止中のセッションを セッションを終了して 終了して権 して権 限付与を 限付与 を実施する 実施する。 する。 利用者認証を 利用者認証を要求して 要求して外部 して外部イン 外部イン タフェース管理 タフェース管理を 管理を実施する 実施する。 する。 利用者識別を 利用者識別を要求して 要求して外部 して外部イン 外部イン タフェース管理 タフェース管理を 管理を実施する 実施する。 する。 休止中の 休止中のセッションを セッションを終了して 終了して外 して外 部インタフェースの インタフェースの管理を 管理 を実施 する。 する。 自己テスト 自己テストを テストを要求して 要求してソフトウェア してソフトウェア 検証を 検証 を実施する 実施する。 する。 関連事象の 関連事象のロギングを ロギングを要求して 要求して 監査方針を 監査方針を実施する 実施する。 する。 監査対象事象に 監査対象事象に関連付けられた 関連付けられた 情報の 情報のロギングを ロギングを要求して 要求して、 して、監査 方針を 方針 を実施する 実施する。 する。 利用者識別を事象に関連付けて 監査方針を支援する。 事象に関連付けられたタイムスタ ンプを要求して監査方針を支援 する。 11. セキュリティ保証要件 セキュリティ保証要件( 保証要件(APE_REQ) APE_REQ) 『2600.2-PP, Protection Profile for Hardcopy Devices, Operational Environment B』、関連 SFR パッケー ジ、EAL 2 + ALC_FLR.2 のセキュリティ保証要件を表 21 に示す。 表 21 - IEEE 2600.2 2600.2 セキュリティ保証要件 セキュリティ保証要件 保証クラス 保証クラス ADV: 開発 AGD: ガイダンス文書 ALC: ライフサイクルサポート ASE: セキュリティターゲット評価 ATE: テスト AVA: 脆弱性評価 保証コンポーネン 保証コンポーネント コンポーネント ADV_ARC.1 セキュリティアーキテクチャ記述 ADV_FSP.2 セキュリティ実施機能の仕様 ADV_TSD: 基本設計 AGD_OPE.1 利用者操作ガイダンス AGD_PRE.1 準備手続き ALC_CMC.2 CM システムの使用 ALC_CMS.2 TOE CM 適用範囲の一部 ALC_DEL.1 配付手続き ALC_FLR.2 欠陥報告手続き(EAL2 に追加) ASE_CCL.1 適合主張 ASE_ECD.1 拡張コンポーネント定義 ASE_INT.1 ST 概説 ASE_OBJ.2 セキュリティ対策方針 ASE_REQ.2 導き出されたセキュリティ要件 ASE_SPD.1 セキュリティ課題定義 ASE_TSS.1 TOE 要約仕様 ATE_COV.1 適用範囲の証拠 ATE_FUN.1 機能テスト ATE_IND.2 独立テスト - サンプル AVA_VAN.2 脆弱性分析 34 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 根拠: 根拠: 本プロテクションプロファイルは、中程度の文書セキュリティ、ネットワークセキュリティ、情報保証が要求 される商用情報処理環境で使用するハードコピー装置用に作成されている。TOE は、TOE とデータイ ンターフェースに対する管理対象外の不正なアクセスからほぼ完全に保護され、アクセスが制限された 監視が行き届いた環境に設置されるため、TOE は低レベルのリスクだけに晒される。脅威エージェント は、TOE を分解しなければ、すべての不揮発性記憶媒体へ物理的にアクセスできず、不揮発性記憶媒 体が着脱可能であっても、TOE 環境から取り外される際、利用者データと TSF データに対する保護が 提供されている。脅威エージェントは、データを改変するコードを使用しても、TOE に侵入する方法が皆 無であるか、限定されており、TOE は意図しない悪意のあるプログラムを検出する実行コードで自己検 証する。従って、ここでは評価保証レベル 2 が妥当である。 EAL 2 には ALC_FLR.2(欠陥報告手続き)が追加される。ALC_FLR.2 は、特定されたセキュリティ上の 欠陥を報告して修復する命令と手続きを保証する。ALC_FLR.2 を追加することは、本 TOE の消費者が 期待するものである。 12. SFR パッケージ概説 パッケージ概説 12.1 SFR パッケージの パッケージの使用方法 ハードコピー装置(HCD)製品クラスには、ネットワークに接続しない小規模なプリンタから、ネットワーク に接続された大規模な複合機まで多様な機能と構成が存在する。こうした多様な製品に対応するため に、プロテクションプロファイルに関する本規格は、あらゆる HCD に適用する共通の PP と一部の HCD 構成に適用可能な名前付きセキュリティ機能要件(SFR)パッケージで構造化されている。 本規格を使用するために、作成者は、3.2 節で特定したプロテクションプロファイルと共通 SFR に適合し、 かつ、評価対象が備える機能に適用される 12.2 節に特定されたすべての SFR パッケージに適合するよ うに、セキュリティターゲットまたはプロテクションプロファイルを作成しなければならない(shall)。正式な 適合要件は 6.4 節に記述してある。 PP アプリケーションノート 75: 適合 ST は、本規格の 10.4 節及び、ST が適合を主張する各 SFR パッケージのアクセス制御 SFR が特定する、アクセス制御対象のサブジェクト、オブジェクト、セ キュリティ属性、規則に適合しなければならない。ST 作成者は、追加のサブジェクト、オブジェク ト、セキュリティ属性、または規則を定義できるが、それらの 10.4 節の定義や、適合を主張する SFR パッケージと矛盾してはならない。 12.2 SFR パッケージ参照 パッケージ参照 タイトル:: 2600.2-PRT, SFR Package for Hardcopy Device Print Functions, Operational Environment B タイトル パッケージバージョン:: 1.0, dated March 2009 パッケージバージョン コモンクライテリアバージョン コモンクライテリアバージョン: テリアバージョン: Version 3.1 Revision 2 コモンクライテリア適合 適合:: Part 2 and Part 3 conformant コモンクライテリア適合 パッケージ適合 適合:: EAL2 augmented by ALC_FLR.2 パッケージ 適合 使用方法:: この SFR パッケージは、電子文書(入力)を紙文書(出力)に変換する印刷機能を実行する 使用方法 HCD 製品(プリンタ、紙文書ベースのファクシミリ、MFP)に使用しなければならない(shall)。 タイトル:: 2600.2-SCN, SFR Package for Hardcopy Device Scan Functions, Operational Environment B タイトル パッケージバージョン:: 1.0, dated March 2009 パッケージバージョン コモンクライテリアバージョン: コモンクライテリアバージョン: Version 3.1 Revision 2 コモンクライテリア適合 コモンクライテリア適合 適合:: Part 2 and Part 3 conformant パッケージ適合 適合:: EAL2 augmented by ALC_FLR.2 パッケージ 適合 35 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 使用方法: 使用方法: この SFR パッケージは、紙文書(入力)を電子文書(出力)に変換するスキャン機能を実行す る HCD 製品(プリンタ、紙文書ベースのファクシミリ、MFP)に使用しなければならない(shall)。 タイトル:: 2600.2-CPY, SFR Package for Hardcopy Device Copy Functions, Operational Environment B タイトル パッケージバージョン:: 1.0, dated March 2009 パッケージバージョン コモンクライテリアバージョン: コモンクライテリアバージョン: Version 3.1 Revision 2 コモンクライテリア適合 適合:: Part 2 and Part 3 conformant コモンクライテリア適合 パッケージ適合 パッケージ適合 適合:: EAL2 augmented by ALC_FLR.2 使用方法:: このプロテクションプロファイルは、紙文書(入力)を紙文書(出力)に複製するコピー機能を 使用方法 実行する HCD 製品(コピー機、MFP など)に使用しなければならない(shall)。 タイトル: タイトル: 2600.2-FAX, SFR Package for Hardcopy Device Fax Functions, Operational Environment B パッケージバージョン: パッケージバージョン: 1.0, dated March 2009 コモンクライテリアバージョン:: Version 3.1 Revision 2 コモンクライテリアバージョン コモンクライテリア適合 適合:: Part 2 and Part 3 conformant コモンクライテリア 適合 パッケージ適合 適合:: EAL2 augmented by ALC_FLR.2 パッケージ 適合 使用方法: 使用方法: この SFR パッケージは、電話回線を介して紙文書(入力)をファクス転送(fax)に変換するス キャン機能と電話回線を介して受信した文書(fax)を紙文書(出力)に変換する印刷機能を実行する HCD 製品(ファクシミリ、MFP など)に使用しなければならない(shall)。 タイトル:: 2600.2-DSR, SFR Package for Hardcopy Device Document Storage and Retrieval (DSR) タイトル Functions, Operational Environment B パッケージバージョン:: 1.0, dated March 2009 パッケージバージョン コモンクライテリアバージョン:: Version 3.1 Revision 2 コモンクライテリアバージョン コモンクライテリア適合 適合:: Part 2 and Part 3 conformant コモンクライテリア適合 パッケージ適合 適合:: EAL3 augmented by ALC_FLR.2 パッケージ適合 使用方法:: この SFR パッケージは、ジョブの実行時に文書を保存し、他の後続する 1 件以上のジョブで 使用方法 文書を取り出す機能を実行する HCD 製品(MFP など)に使用しなければならない(shall)。 タイトル:: 2600.2-NVS, SFR Package for Hardcopy Device Nonvolatile Storage Functions, Operational タイトル Environment B パッケージバージョン:: 1.0, dated March 2009 パッケージバージョン コモンクライテリアバージョン: コモンクライテリアバージョン: Version 3.1 Revision 2 コモンクライテリア適合 適合:: Part 2 extended and Part 3 conformant コモンクライテリア適合 パッケージ適合 適合:: EAL2 augmented by ALC_FLR.2 パッケージ 適合 使用方法:: この SFR パッケージは、TOE の一部を構成するが、権限を付与された者が TOE から取り外 使用方法 せるように設計された不揮発性記憶装置(NVS)に利用者データまたは TSF データを保存する機能を提 供する製品に使用しなければならない(shall)。このパッケージは、着脱可能な不揮発性記憶装置に保 存したデータを不正な開示や改変から保護する機能を提供する TOE に適用する。当該保護が TOE 環 境だけで提供される場合、このパッケージは主張できない。 タ イ ト ル : 2600.2-SMI, SFR Package for Hardcopy Device Shared-medium Interface Functions, Operational Environment B パッケージバージョン:: 1.0, dated March 2009 パッケージバージョン コモンクライテリアバージョン ージョン:: Version 3.1 Revision 2 コモンクライテリアバ ージョン コモンクライテリア適合 適合:: Part 2 extended and Part 3 conformant コモンクライテリア適合 パッケージ適合 適合:: EAL2 augmented by ALC_FLR.2 パッケージ適合 使用方法:: この SFR パッケージは、利用者データまたは TSF データを通信媒体上で送受信する機能を 使用方法 実行する HCD 製品に使用しなければならない(shall)。通信媒体は通常、複数の利用者が同時にアクセ スできる有線ネットワークメディア及び無線周波数を使用する大半の無線ネットワークである。このパッ ケージは、他の IT システムと認証されたセキュアで通信を許可する高信頼チャネルを提供する TOE に 適用する。当該の保護が TOE 環境だけで提供される場合、このパッケージは主張できない。 36 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 12.3 SFR パッケージ機能 パッケージ機能 機能は、HCD 製品に存在可能なデータの処理、保存、転送を実行する。実行は許可されるが、特定の 適合セキュリティターゲットまたはプロテクションプロファイルでは必須となっていない機能を表 22 に示 す。 表 22 - SFR パッケージ機能 パッケージ機能 名称 F.PRT F.SCN F.CPY F.FAX F.DSR F.NVS F.SMI 定義 印刷: 電子文書(入力)を紙文書(出力)に変換する機能。 スキャン: 紙文書(入力)を電子文書(出力)に変換する機能。 コピー: 紙文書(入力)を電子文書(出力)に複製する機能。 ファクス: 電話回線を介して紙文書(入力)をファクス送信する機能(fax)、紙文書(入力)を電話回 線経由のファクス送信(fax)に変換する機能、及び電話回線を介した文書のファクス(fax)受信者 を紙文書(出力)に変換する機能。 文書の保存と取り出し: ジョブの実行中に文書を保存し、後続の 1 つ以上のジョブでそれを取り出 す機能。 不揮発性記憶装置: 評価された TOE の一部を構成する不揮発性記憶装置に利用者データまた は TSF データを保存する機能であり、不揮発性記憶装置は許可された者が TOE から取り外せる ように設計されている。 共有メディアインタフェース(Shared-medium interface): 利用者データまたは TSF データを通信 媒体上で送受信する機能。通信媒体は通常、複数の利用者が同時にアクセスできる有線ネット ワークメディア、及び無線周波数を使用する大半の無線ネットワークである。 12.4 SFR パッケージ属性 パッケージ属性 データの処理、保存、または転送を実行する際、機能に関する識別情報は、セキュリティ属性として特 定のデータに関連付けられる。TOE モデルのセキュリティ属性は、実行中の機能に依存するセキュリ ティ機能要件の差異を区別することを可能にする。属性として許されているが、特定の適合セキュリティ ターゲットまたはプロテクションプロファイルで必須ではない属性を、表 23 に示す。 表 23 - SFR パッケージ属性 パッケージ属性 名称 +PRT +SCN +CPY +FAXIN +FAXOUT +DSR +NVS +SMI 定義 印刷ジョブに関連付けられたデータを指す。 スキャンジョブに関連付けられたデータを指す。 コピージョブに関連付けられたデータを指す。 インバウンド(受信)ファクスジョブに関連付けられたデータを指す。 アウトバウンド(送信)ファクスジョブに関連付けられたデータを指す。 文書保存・取り出しジョブに関連付けられたデータを指す。 不揮発性記憶装置に保存されたデータを指す。 共有メディアインタフェース上で送受信するデータを指す。 37 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 13. ハードコピー装置 ハードコピー装置( 装置(運用環境 B)の印刷機能用 2600.2 2600.2-PRT SFR パッケージ 13.1 PRT SFR パッケージ概説 パッケージ概説 評価対象が 12.3 で定義した F.PRT 機能を実行する場合、本 SFR パッケージは、適合セキュリティター ゲットまたはプロテクションプロファイルに適用しなければならない(must)。本パッケージは、少なくとも、 未処理のハードコピー出力をハードコピー出力ハンドラに送出する際、アクセス制御を提供する。本 パッケージは、印刷前に文書を閲覧または改変することに関する追加規則を特定する際にも使用でき る。 13.2 クラス FDP: 利用者データ 利用者データ保護 データ保護 表 24 に示したセキュリティ機能方針(SFP)は、後続のクラス FDP SFR が参照する。 表 24 - PRT アクセス制御 アクセス制御 SFP オブジェクト D.DOC 属性 +PRT 操作 読み取り サブジェクト U.NORMAL アクセス制御規則 アクセス制御規則 利用者自身の文書以外は拒否する。 PP アプリケーションノート 76: この場合、「読み取り(Read)」とは、少なくとも、未処理のハードコ ピー出力をハードコピー出力ハンドラに送ることを指す。適合 TOE が文書を表示装置でプレ ビューする機能を備えている場合は、そのプレビューにも使用される。 PP アプリケーションノート 77: 利用者は「読み取り」操作を実行する際、TOE の操作パネルを使 用して認証する必要がある。もし、利用者が印刷ジョブを依頼した時点で操作パネルを使用して 認証され、そのセッションが引き続きアクティブならば、再認証は不要である。しかし、そのセッ ションがすでにアクティブでないか、利用者が別のインタフェースで認証されて印刷ジョブを依頼 した場合は、利用者は「読み取り」操作の実行を許可される前に、新しいセッションを確立するた めに、操作パネルを使用して認証される必要がある。 PP アプリケーションノート 78: 適合 TOE が印刷依頼された文書を印刷前に変更する機能を提 供する場合、ST 作成者は、D.DOC(+PRT)に対して変更操作を使用する追加規則を加えるべき である。 FDP_ACC.1 サブセットアクセス制御 サブセットアクセス制御 FDP_ACC.1.1 下位階層: 下位階層: なし 依存性: 依存性: FDP_ACF.1 セキュリティ属性 セキュリティ属性による 属性によるアクセス によるアクセス制御 アクセス制御 TSF は、表 表 24「 24「PRT アクセス制御 アクセス制御 SFP」 SFP」に示したサブジェクト したサブジェクト、 サブジェクト、オブジェクト、 オブジェクト、及びサブ ジェクトと とオブジェクト間 ジェクト オブジェクト間の操作の 操作のリストに リストに対して、 して、表 24 の PRT アクセス制御 アクセス制御 SFP を実 施しなければならない。 PP アプリケーションノート 79: FDP_ACC.1 は O.DOC_REST.NO_DIS を達成する主要なSFR であ り、FDP_ACF.1 に依存する。 FDP_ACF.1 セキュリティ属性 セキュリティ属性による 属性によるアクセス によるアクセス制御 アクセス制御 下位階層: 下位階層: なし 依存性: 依存性: FDP_ACC.1 サブセットアクセス制御 サブセットアクセス制御 FMT_MSA.3 静的属性の 静的属性の初期化 38 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B FDP_ACF.1.1 TSF は以下の事項に基づき、オブジェクトに対して、表 表 24 の PRT アクセス制御 アクセス制御 SFP を 実施しなければならない(shall): 表 24「 24「PRT アクセス制御 アクセス制御 SFP」 SFP」に示したサブジェクト したサブジェクトと サブジェクトと オブジェクトの オブジェクトのリスト及 リスト及び表 24 に示した各 した各オブジェクトの オブジェクトのセキュリティ属性 セキュリティ属性。 属性。 FDP_ACF.1.2 TSF は、制御対象のサブジェクトとオブジェクト間に許可する操作を決定するために、 以下の規則を実施しなければならない(shall): 制御された 制御されたオブジェクト して制御さ されたオブジェクトに オブジェクトに対して制御 制御さ れた操作 れた操作を 操作 を使用する 使用する利用者 する 利用者と 利用者と 制御された 制御 されたオブジェクト されたオブジェクト間 オブジェクト間 のアクセスを アクセス を管理する 管理する表 する 表 24 「PRT アクセス制御 アクセス制御 SFP」 SFP」に示した規則 した規則。 規則。 FDP_ACF.1.3 TSF は以下の追加規則に従い、サブジェクトのオブジェクトに対するアクセスを明示的 に許可しなければならない(shall): [割付: セキュリティ属性に基づき、サブジェクトによ るオブジェクトへのアクセス権を明示的に許可する規則]。 FDP_ACF.1.4 TSF は、[割付: セキュリティ属性に基づき、サブジェクトのオブジェクトに対するアクセ スを明示的に拒否する規則] に従って、サブジェクトによるオブジェクトへのアクセスを 明示的に拒否しなければならない(shall)。 PP アプリケーションノート 80: FMT_MSA.3 は FDP_ACF.1 に依存する。この依存性は IEEE Std 2600.2 for the Common Access Control SFP の 10.6 節により解決されているが、それは PRT ア クセス制御 SFP を特定していない。従って、ST 作成者は、適合セキュリティターゲットで PRT アク セス制御 SFP を FMT_MSA.3 に追加し、PRT アクセス制御 SFP を支援するために必要な属性と 役割の管理を考慮すべきである。 PP アプリケーションノート 81: FDP_ACF.1 は FDP_ACC.1 に依存する。 13.3 PRT セキュリティ要件根拠 セキュリティ要件根拠 TOE の対策方針を実現する SFR の完全性と十分性を表 25 と表 26 に示す。太字 太字で記載した項目は対 太字 策方針の主要(P)な実現を提供し、標準書体で記載した項目は、その実現を支援(S)する。 表 25 - PRT セキュリティ要件 セキュリティ要件の 要件の完全性 SFR FDP_ACC.1 FDP_ACF.1 O.DOC_REST.NO_DIS 対策方針 P S 39 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 表 26 - PRT セキュリティ要件 セキュリティ要件の 要件の十分性 対策方針 O.DOC_REST.NO_DIS 説明 TOE に残存する利 用者文書データを 不正な開示から保 護する。 SFR FDP_ACC.1 FDP_ACF.1 目的 アクセス制御方針 制御方針を アクセス 制御方針を確立して 確立して、 して、保 護 を実施する 実施する。 する。 アクセス制御機能を提供してアク セス制御方針を支援する。 14. ハードコピー装置 ハードコピー装置( 装置(運用環境 B)のスキャン機能用 スキャン機能用 2600.2 2600.2-SCN SFR パッケージ 14.1 SCN SFR パッケージ概説 パッケージ概説 評価対象が 12.3 節で定義した F.SCN 機能を実行する場合、本 SFR パッケージは、適合セキュリティ ターゲットまたはプロテクションプロファイルに適用しなければならない(must)。本パッケージは、少なくと も、スキャンした文書を別の IT 装置に転送する際にアクセス制御を提供する。本パッケージは、スキャン した文書を別の IT 装置に転送する前に閲覧または変更する追加規則を特定する際にも使用できる。 14.2 クラス FDP: 利用者データ 利用者データ保護 データ保護 表 27 に示したセキュリティ機能方針(SFP)は、後続のクラス FDP SFR で参照する。 表 27 - SCN アクセス制御 アクセス制御 SFP オブジェクト D.DOC 属性 +SCN 操作 読み取り サブジェクト U.NORMAL アクセス制御規則 アクセス制御規則 利用者自身の文書以外は拒否する。 PP アプリケーションノート 82: この場合、「読み取り(Read)」とは、少なくとも、インタフェースを介 して利用者文書データを利用者が選択した送信先に転送することを指す。適合 TOE が文書を 表示装置でプレビューする機能を備えている場合は、そのプレビューにも使用される。 PP アプリケーションノート 83: 適合 TOE が転送前にスキャンした文書を変更する機能を提供す る場合、ST 作成者は、D.DOC(+SCN)に対して変更操作を使用する追加規則を加えるべきであ る。 FDP_ACC.1 サブセットアクセス制御 サブセットアクセス制御 FDP_ACC.1.1 下位階層: 下位階層: なし 依存性: 依存性: FDP_ACF.1 セキュリティ属性 セキュリティ属性による 属性によるアクセス によるアクセス制御 アクセス制御 TSF は、表 表 27「 27「SCN アクセス制御 アクセス制御 SFP」 SFP」に示したサブジェクト したサブジェクト、 サブジェクト、オブジェクト、 オブジェクト、及びサブ ジェクトと とオブジェクト間 ジェクト オブジェクト間の操作の 操作のリストに リストに対して、 して、表 27 の SCN アクセス制御 アクセス制御 SFP を実 施しなければならない(shall)。 PP アプリケーションノート 84: FDP_ACC.1 は O.DOC_REST.NO_DIS を達成する主要なSFR であ り、FDP_ACF.1 に依存する。 40 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B FDP_ACF.1 FDP_ACF.1 セキュリティ属性 セキュリティ属性による 属性によるアクセス によるアクセス制御 アクセス制御 下位階層: 下位階層: なし 依存性: 依存性: FDP_ACC.1 サブセットアクセス制御 サブセットアクセス制御 FMT_MSA.3 静的属性の 静的属性の初期化 FDP_ACF.1.1 TSF は以下の事項に基づき、オブジェクトに対して、表 表 27 の SCN アクセス制御 アクセス制御 SFP を 実施しなければならない(shall): 表 27「 27「SCN アクセス制御 アクセス制御 SFP」 SFP」に示したサブジェクト したサブジェクトと サブジェクトと オブジェクトの オブジェクトのリスト及 リスト及び表 27 に示した各 した各オブジェクトの オブジェクトのセキュリティ属性 セキュリティ属性。 属性。 FDP_ACF.1.2 TSF は、制御対象のサブジェクトとオブジェクト間に許可する操作を決定するために、 以下の規則を実施しなければならない(shall): 制御対象の 制御対象のオブジェクトに オブジェクトに 対して制御 して制御 対象の 対象の操作を 操作 を使用する 使用 する利用者 する利用者と 利用者と制御対象オブジェクト 制御対象オブジェクト間 オブジェクト間のアクセスを アクセス を管理する 管理 する表 する表 27 「SCN アクセス制御 アクセス制御 SFP」 SFP」に示した規則 した規則。 規則。 FDP_ACF.1.3 TSF は以下の追加規則に従い、サブジェクトのオブジェクトに対するアクセスを明示的 に許可しなければならない(shall): [割付: セキュリティ属性に基づき、サブジェクトによ るオブジェクトへのアクセス権を明示的に許可する規則]。 FDP_ACF.1.4 FDP_ACF.1.4 TSF は、[割付: セキュリティ属性に基づき、サブジェクトのオブジェクトに対するアクセ スを明示的に拒否する規則] に従って、サブジェクトによるオブジェクトへのアクセスを 明示的に拒否しなければならない(shall)。 PP アプリケーションノート 85: FMT_MSA.3 は FDP_ACF.1 に依存する。この依存性は共通アクセ ス制御 SFP に対して IEEE Std 2600.2 の 10.6 節で解決されているが、それは SCN アクセス制御 SFP を特定していない。従って、ST 作成者は、適合セキュリティターゲットにおいて、SCN アクセ ス制御 SFP をFMT_MSA.3 に追加し、SCN アクセス制御 SFP の支援に必要な属性と役割の管理 を考慮すべきである。 PP アプリケーションノート 86: FDP_ACF.1 は FDP_ACC.1 に依存する。 14.3 SCN セキュリティ要件根拠 セキュリティ要件根拠 TOE の対策方針を達成する SFR の完全性と十分性を表 28 と表 29 に示す。太字 太字で記載した項目は対 太字 策方針の主要(P)な実現を提供し、標準書体で記載した項目は、その実現を支援(S)する。 表 28 - SCN セキュリティ要件 セキュリティ要件の 要件の完全性 SFR O.DOC_REST.NO_DIS 対策方針 対策方針 FDP_ACC.1 P FDP_ACF.1 S 41 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 表 29 - SCN セキュリティ要件 セキュリティ要件の 要件の十分性 対策方針 O.DOC_REST.NO_DIS 説明 TOE に残存する利 用者文書データを不 正な開示から保護す る。 SFR FDP_ACC.1 FDP_ACF.1 目的 アクセス制御方針 アクセス制御方針を 制御方針を確立して 確立して、 して、保護を 保護を実施 する。 する。 アクセス制御機能を提供してアクセス制御 方針を支援する。 15. ハードコピー装置 ハードコピー装置( 装置(運用環境 B)のコピー機能用 コピー機能用 2600.2 2600.2-CPY SFR SFR パッケージ 15.1 CPY SFR パッケージ概説 パッケージ概説 評価対象が 12.3 節で定義した F.CPY 機能を実行する場合、本 SFR パッケージは、適合セキュリティ ターゲットまたは適合プロテクションプロファイルに適用しなければならない。本パッケージは、少なくとも、 未処理の文書コピーをハードコピー出力ハンドラに送出する際にアクセス制御を提供する。本パッケー ジは、ハードコピー出力を生成する前に、文書を閲覧または変更する際の追加規則を特定する際にも 使用できる。 15.2 クラス FDP: 利用者データ 利用者データ保護 データ保護 表 30 に示したセキュリティ機能方針(SFP)は、後続のクラス FDP SFR が参照する。 表 30 - CPY アクセス制御 アクセス制御 SFP オブジェクト D.DOC 属性 +CPY 操作 読み取り サブジェクト アクセス制御規則 アクセス制御規則 本パッケージは一切のアクセス制御制限を特定しない。 PP アプリケーションノート 87: この場合、「読み取り(Read)」とは、未処理のハードコピー出力を ハードコピー出力ハンドラに送ることを指す。適合 TOE が文書を表示装置でプレビューする機 能を備えている場合は、そのプレビューにも使用される。 PP アプリケーションノート 88: F.CPY には、利用者文書データをハードコピー出力ハンドラに送 る際のアクセス制御要件は存在しない。ジョブを依頼する一般利用者は、利用者文書データを 原稿ハンドラに提供するときに物理的に存在するからである。ST 作成者は制限をより厳しくした アクセス制御規則を作成してもよい。 PP アプリケーションノート 89: 適合 TOE がハードコピー出力を生成する前に、スキャンした文書 を変更する機能を提供する場合、ST 作成者は、D.DOC(+CPY)に対して変更操作を使用する 追加規則を加えるべきである。 FDP_ACC.1 サブセットアクセス制御 サブセットアクセス制御 FDP_ACC.1.1 下位階層: 下位階層: なし 依存性: 依存性: FDP_ACF.1 セキュリティ属性 セキュリティ属性による 属性によるアクセス によるアクセス制御 アクセス制御 TSF は、表 表 30「 30「CPY アクセス制御 アクセス制御 SFP」 SFP」に示したサブジェクト したサブジェクト、 サブジェクト、オブジェクト、 オブジェクト、及びサブ ジェクトと とオブジェクト間 ジェクト オブジェクト間の操作の 操作のリストに リストに対して、 して、表 30 の CPY アクセス制御 アクセス制御 SFP を実 施しなければならない(shall)。 PP アプリケーションノート 90: FDP_ACC.1 は O.DOC_REST.NO_DIS を達成する主要なSFR であ り、FDP_ACF.1 に依存する。 42 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B FDP_ACF.1 セキュリティ属性 セキュリティ属性による 属性によるアクセス によるアクセス制御 アクセス制御 下位階層: 下位階層: なし 依存性: 依存性: FDP_ACC.1 サブセットアクセス制御 サブセットアクセス制御 FMT_MSA.3 静的属性の 静的属性の初期化 FDP_ACF.1.1 TSF は以下の事項に基づき、オブジェクトに対して、表 表 30 の CPY アクセス制御 アクセス制御 SFP を 実施しなければならない(shall): 表 30「 30「CPY アクセス制御 アクセス制御 SFP」 SFP」に示したサブジェクト したサブジェクトと サブジェクトと オブジェクトの オブジェクトのリスト及 リスト及び表 30 に示した各 した各オブジェクトの オブジェクトのセキュリティ属性 セキュリティ属性。 属性。 FDP_ACF.1.2 TSF は、制御対象のサブジェクトとオブジェクト間の操作を許可するかどうかを決定す るために、以下の規則を実施しなければならない(shall): 制御された 制御されたオブジェクト されたオブジェクトに オブジェクトに対 して制御 して 制御された 制御された操作 された 操作を 操作 を使用する 使用 する利用者 する利用者と 利用者 と制御された 制御 されたオブジェクト された オブジェクト間 オブジェクト間 のアクセスを アクセス を管理 する表 する表 30「 30「CPY アクセス制御 アクセス制御 SFP」 SFP」に示した規則 した規則。 規則。 FDP_ACF.1.3 TSF は以下の追加規則に従い、サブジェクトのオブジェクトに対するアクセスを明示的 に許可しなければならない(shall): [割付: セキュリティ属性に基づき、サブジェクトの オブジェクトに対するアクセス権を明示的に許可する規則]。 FDP_ACF.1.4 TSF は、[割付: セキュリティ属性に基づき、サブジェクトのオブジェクトに対するアクセ スを明示的に拒否する規則] に従って、サブジェクトのオブジェクトに対するアクセスを 明示的に拒否しなければならない(shall)。 PP アプリケーションノート 91: FMT_MSA.3 は FDP_ACF.1 に依存する。この依存性は共通アクセ ス制御 SFP に対して IEEE Std 2600.2 の 10.6 節で解決されているが、それは CPY アクセス制御 SFP を特定していない。従って、ST 作成者は、適合セキュリティターゲットで CPY アクセス制御 SFP を FMT_MSA.3 に追加し、CPY アクセス制御 SFP を支援するために必要な属性と役割の管 理を考慮すべきである。 PP アプリケーションノート 92: FDP_ACF.1 は FDP_ACC.1 に依存する。 15.3 CPY セキュリティ要件根拠 セキュリティ要件根拠 TOE の対策方針を達成する SFR の完全性と十分性を表 31 と表 32 に示す。太字 太字で記載した項目は対 太字 策方針の主要(P)な実現を提供し、標準書体で記載した項目は、その実現を支援(S)する。 表 31 - CPY セキュリティ要件 セキュリティ要件の 要件の完全性 SFR O.DOC_REST.NO_DIS 対策方針 FDP_ACC.1 P FDP_ACF.1 S 43 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 表 32 - CPY セキュリティ要件 セキュリティ要件の 要件の十分性 対策方針 O.DOC_REST.NO_DIS 説明 TOE に残存する利 用者文書データを不 正な開示から保護す る。 SFR FDP_ACC.1 FDP_ACF.1 目的 アクセス制御方針 アクセス制御方針を 制御方針を確立して 確立して、 して、保護を 保護を実施 する。 する。 アクセス制御機能を提供してアクセス制御 方針を支援する。 16. ハードコピー装置 ハードコピー装置( 装置(運用環境 B)のファクス機能用 ファクス機能用 2600.2 2600.2-FAX SFR パッケージ 16.1 FAX SFR パッケージ概説 パッケージ概説 評価対象が 12.3 節で定義した F.FAX 機能を実行する場合、本 SFR パッケージは、適合セキュリティ ターゲットまたは適合プロテクションプロファイルに適用しなければならない(must)。本パッケージは、少 なくとも、受信した文書を取り出す際、受信した文書を別の IT 装置に転送する際、さらに送信文書を別 のファクス装置に転送する際にアクセス制御を提供する。本パッケージは、受信した文書の所有権を 1 人以上の所定の受信者に移行する追加の規則、役割、メカニズムを特定する際にも使用できる。 16.2 クラス FDP: 利用者データ 利用者データ保護 データ保護 表 33 に示したセキュリティ機能方針(SFP)は、後続のクラス FDP SFR で参照する。 表 33 - FAX アクセス制御 アクセス制御 SFP オブジェクト D.DOC 属性 +FAXIN +FAXOUT 操作 読み取り 読み取り サブジェクト U.NORMAL U.NORMAL アクセス制御規則 アクセス制御規則 利用者自身の文書以外は拒否する。 利用者自身の文書以外は拒否する。 PP アプリケーションノート 93: この場合、「読み取り(Read)」とは、少なくとも、ファクスを受信する ために(+FAXIN)、未処理のハードコピー出力をハードコピー出力ハンドラに送ること及びファク スを送受信するために(+FAXOUT または+FAXIN)、インタフェースを介して利用者文書データ を転送することを指す。適合 TOE が文書を表示装置でプレビューする機能を備えている場合は、 そのプレビューにも使用される。 PP アプリケーションノート 94: ファクス文書の受信(+FAXIN)に関しては、受信したファクスジョブ の「所有者(owner)」は、U.ADMINISTRATOR であると見なされる。適合 TOE がファクス管理に 特定の役割を提供している場合、ST 作成者は、この役割を詳細化できる。 PP アプリケーションノート 95: 適合 TOE が管理者に対して、受信したファクスジョブの所有権の 管理を許可する機能を提供する場合、代表的には、ファクス文書の一人または複数の意図され た受信者に所有権を移転する場合、ST 作成者は FAX アクセス制御 SFP に「D.DOC +FAXIN Read U.NORMAL ‘利用者が U.ADMINISTRATOR から権限を付与されていれば許可する’」な どの規則を追加することを考慮すべきである。これに代わり、ST 作成者は、各属性の初期化と管 理をFMT_MSA.1 と FMT_MSA.3 で特定した場合、その目的に叶う属性をFAX アクセス制御 SFP に定義して使用できる。いずれにしても、ST 作成者は当該の文書に関連付けた利用者文書と利 用者機能データ両方の所有権に関する規則を正確に定義すべきである。 PP アプリケーションノート 96: 適合 TOE が送信ファクス文書の転送管理を管理者に許可する機 能を提供する場合、ST 作成者は、FAX アクセス制御 SFP に D.DOC(+FAXOUT)に対して管理 者の読み取りを許可する追加規則を加え、D.FUNC に対して管理者の変更を許可する追加規 則を加えることを考慮すべきである。 PP アプリケーションノート 97: 適合 TOE が送信ファクス文書を削除することを管理者に許可する 機能を提供する場合、ST 作成者は、FAX アクセス制御 SFP に、D.DOC(+FAXOUT)及び 44 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B D.FUNC に対して、管理者の削除を許可する追加規則を加えることを考慮すべきである。 PP アプリケーションノート 98: 適合 TOE がハードコピー出力を作成するか、ファクス送信文書を 転送する前に、文書を変更する機能を提供する場合、ST 作成者は、D.DOC(+FAXIN)または D.DOC(+FAXOUT)のそれぞれに対して、変更操作を使用する追加規則を加えるべきである。 FDP_ACC.1 サブセットアクセス制御 サブセットアクセス制御 FDP_ACC.1.1 下位階層: 下位階層: なし 依存性: 依存性: FDP_ACF.1 セキュリティ属性 セキュリティ属性による 属性によるアクセス によるアクセス制御 アクセス制御 TSF は、表 表 33「 33「FAX アクセス制御 アクセス制御 SFP」 SFP」に示したサブジェクト したサブジェクト、 サブジェクト、オブジェクト、 オブジェクト、及びサブ ジェクトと とオブジェクト間 ジェクト オブジェクト間の操作の 操作のリストに リストに対して、 して、表 33 の FAX アクセス制御 アクセス制御 SFP を実 施しなければならない(shall)。 PP アプリケーションノート 99: FDP_ACC.1 は O.DOC_REST.NO_DIS を達成する主要なSFR であ り、FDP_ACF.1 に依存する。 FDP_ACF.1 セキュリティ属性 セキュリティ属性による 属性によるアクセス によるアクセス制御 アクセス制御 下位階層: 下位階層: なし 依存性: 依存性: FDP_ACC.1 サブセットアクセス制御 サブセットアクセス制御 FMT_MSA.3 静的属性の 静的属性の初期化 FDP_ACF.1.1 TSF は以下の事項に基づき、オブジェクトに対して、表 表 33 の FAX アクセス制御 アクセス制御 SFP を 実施しなければならない: 表 33「 33「FAX アクセス制御 アクセス制御 SFP」 SFP」に示したサブジェクト したサブジェクトと サブジェクトとオブ ジェクトの ジェクトのリスト及 リスト及び表 33 に示した各 した各オブジェクトの オブジェクトのセキュリティ属性 セキュリティ属性。 属性。 FDP_ACF.1.2 TSF は、制御対象のサブジェクトとオブジェクト間の操作を許可するかどうかを決定す るために、以下の規則を実施しなければならない(shall): 制御された 制御されたオブジェクト されたオブジェクトに オブジェクトに対 して制御 して 制御された 制御された操作 された 操作を 操作 を使用する 使用 する利用者 する利用者と 利用者 と制御された 制御 されたオブジェクト された オブジェクト間 オブジェクト間 のアクセスを アクセス を管理 する表 する表 33「 33「FAX アクセス制御 アクセス制御 SFP」 SFP」に示した規則 した規則。 規則。 FDP_ACF.1.3 TSF は以下の追加規則に従い、サブジェクトのオブジェクトに対するアクセスを明示的 に許可しなければならない(shall): [割付: セキュリティ属性に基づき、サブジェクトによ るオブジェクトへのアクセス権を明示的に許可する規則]。 FDP_ACF.1.4 TSF は、[割付: セキュリティ属性に基づき、サブジェクトのオブジェクトに対するアクセ スを明示的に拒否する規則] に従って、サブジェクトのオブジェクトに対するアクセスを 明示的に拒否しなければならない(shall)。 PP アプリケーションノート 100: FMT_MSA.3 は FDP_ACF.1 に依存する。この依存性は共通アクセ ス制御 SFP に対して IEEE Std 2600.2 の 10.6 節で解決されているが、それは FAX アクセス制御 SFP を特定していない。従って、ST 作成者は、適合セキュリティターゲットで FAX アクセス制御 SFP を FMT_MSA.3 に追加し、FAX アクセス制御 SFP を支援するために必要な属性と役割の管 理を考慮すべきである。 PP アプリケーションノート 101: FDP_ACF.1 は FDP_ACC.1 に依存する。 45 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 16.3 FAX セキュリティ セキュリティ要件根拠 リティ要件根拠 TOE の対策方針を達成する SFR の完全性と十分性を表 34 と表 35 に示す。太字 太字で記載した項目は対 太字 策方針の主要(P)な実現を提供し、標準書体で記載した項目は、その実現を支援(S)する。 表 34 - FAX セキュリティ要件 セキュリティ要件の 要件の完全性 SFR O.DOC_REST.NO_DIS 対策方針 FDP_ACC.1 P FDP_ACF.1 S 表 35 - FAX セキュリティ要件 セキュリティ要件の 要件の十分性 対策方針 O.DOC_REST.NO_DIS 説明 TOE に残存する利 用者文書データを不 正な開示から保護す る。 SFR FDP_ACC.1 FDP_ACF.1 目的 アクセス制御方針 アクセス制御方針を 制御方針を確立して 確立して、 して、保護を 保護を実施す 実施す る。 アクセス制御機能を提供してアクセス制御方 針を支援する。 17. ハードコピー装置 ハードコピー装置( 装置(運用環境 B)の保存・ 保存・取り出し用 2600.2 2600.2-DSR SFR パッケージ 17.1 DSR SFR パッケージ概説 パッケージ概説 評価対象が 12.3 節で定義した F.DSR 機能を実行する場合、本 SFR パッケージは、適合セキュリティ ターゲットまたは適合プロテクションプロファイルに適用しなければならない(must)。本パッケージは、少 なくとも、文書を保存及び取り出す際にアクセス制御を提供する。本パッケージは、保存した文書、役割、 メカニズムを変更する追加規則を特定する際や、別の利用者が保存した文書へのアクセスを利用者に 許可する規則を追加する際にも使用できる。 17.2 クラス FDP: 利用者データ 利用者データ保護 データ保護 表 36 に示したセキュリティ機能方針(SFP)は、後続のクラス FDP SFR で参照する。 表 36 - DSR アクセス制御 アクセス制御 SFP オブジェクト D.DOC 属性 +DSR 操作 読み取り サブジェクト U.NORMAL アクセス制御規則 アクセス制御規則 拒否する。ただし、(1) 利用者自身の文書であ る場合、あるいは、(2) 適合 TOE が当該の機 能を提供する場合で、別の役割またはメカニ ズムによって許可されている場合を除く。 46 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B PP アプリケーションノート 102: この場合、「読み取り(Read)」とは、少なくとも、インタフェースを介 して利用者文書データを利用者が選択した宛先に転送することを指す。適合 TOE が文書を表 示装置でプレビューする機能を備えている場合は、そのプレビューにも使用される。 PP アプリケーションノート 103: 適合 TOE が TOE 内に保存した文書を変更する機能を提供する 場合、ST 作成者は、D.DOC(+DSR)に対して変更操作を使用する追加規則を加えるべきであ る。 PP アプリケーションノート 104: DSR 機能の使用を許可された利用者は、文書作成を自動的に許 可されるため、文書作成に関するアクセス制御規則は特定しない。適合 TOE がそれらの規則を 実施する場合、ST 作成者は、文書作成に関して、制限をより厳しくした規則を導入できる。 PP アプリケーションノート 105: 適合 TOE が権限のある利用者に別の利用者の文書を読み取る か変更する機能を提供する場合、ST 作成者はそのための適切な役割またはメカニズムを特定 すべきである。 FDP_ACC.1 サブセットアクセス制御 サブセットアクセス制御 FDP_ACC.1.1 下位階層: 下位階層: なし 依存性: 依存性: FDP_ACF.1 セキュリティ属性 セキュリティ属性による 属性によるアクセス によるアクセス制御 アクセス制御 TSF は、表 表 36「 36「DSR アクセス制御 アクセス制御 SFP」 SFP」に示したサブジェクト したサブジェクト、 サブジェクト、オブジェクト、 オブジェクト、及びサブ ジェクトと とオブジェクト間 ジェクト オブジェクト間の操作の 操作のリストに リストに対して、 して、表 36 の DSR アクセス制御 アクセス制御 SFP を実 施しなければならない(shall)。 PP アプリケーションノート 106: FDP_ACC.1 は O.DOC_REST.NO_DIS を達成する主要なSFR であ り、FDP_ACF.1 に依存する。 FDP_ACF.1 セキュリティ属性 セキュリティ属性による 属性によるアクセス によるアクセス制御 アクセス制御 下位階層: 下位階層: なし 依存性: 依存性: FDP_ACC.1 サブセットアクセス制御 サブセットアクセス制御 FMT_MSA.3 静的属性の 静的属性の初期化 FDP_ACF.1.1 TSF は以下の事項に基づき、オブジェクトに対して、表 表 36 の DSR アクセス制御 アクセス制御 SFP を 実施しなければならない(shall): 表 36「 36「DSR アクセス制御 アクセス制御 SFP」 SFP」に示したサブジェクト したサブジェクトと サブジェクトと オブジェクトの オブジェクトのリスト及 リスト及び表 36 に示した各 した各オブジェクトの オブジェクトのセキュリティ属性 セキュリティ属性 FDP_ACF.1.2 TSF は、制御対象のサブジェクトとオブジェクト間の操作を許可するかどうかを決定す るために、以下の規則を実施しなければならない(shall): 制御された 制御されたオブジェクト されたオブジェクトに オブジェクトに対 して制御 して 制御された 制御された操作 された 操作を 操作 を使用する 使用 する利用者 する利用者と 利用者 と制御された 制御 されたオブジェクト された オブジェクト間 オブジェクト間 のアクセスを アクセス を管理 する表 する表 36「 36「DSR アクセス制御 アクセス制御 SFP」 SFP」に示した規則 した規則 FDP_ACF.1.3 TSF は以下の追加規則に従い、サブジェクトのオブジェクトに対するアクセスを明示的 に許可しなければならない(shall): [割付: セキュリティ属性に基づき、サブジェクトによ るオブジェクトへのアクセス権を明示的に許可する規則]。 FDP_ACF.1.4 TSF は、[割付: セキュリティ属性に基づき、サブジェクトのオブジェクトに対するアクセ スを明示的に拒否する規則] に従って、サブジェクトによるオブジェクトへのアクセスを 明示的に拒否しなければならない(shall)。 PP アプリケーションノート 107: FMT_MSA.3 は FDP_ACF.1 に依存する。この依存性は共通アクセ ス制御 SFP に対して IEEE Std 2600.2 の 10.6 節で解決されているが、それは DSR アクセス制御 SFP を特定していない。従って、ST 作成者は、適合セキュリティターゲットで DSR アクセス制御 47 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B SFP を FMT_MSA.3 に追加し、DSR アクセス制御 SFP を支援するために必要な属性と役割の管 理を考慮すべきである。 PP アプリケーションノート 108: FDP_ACF.1 は FDP_ACC.1 に依存する。 17.3 DSR セキュリティ要件根拠 セキュリティ要件根拠 TOE の対策方針を実現する SFR の完全性と十分性を表 37 と表 38 に示す。太字 太字で記載した項目は対 太字 策方針の主要(P)な実現を提供し、標準書体で記載した項目は、その実現を支援(S)する。 表 37 - DSR セキュリティ要件 セキュリティ要件の 要件の完全性 SFR O.DOC_REST.NO_DIS 対策方針 FDP_ACC.1 P FDP_ACF.1 S 表 38 - DSR セキュリティ要件 セキュリティ要件の 要件の十分性 対策方針 O.DOC_REST.NO_DIS 説明 TOE に残存する利 用者文書データを不 正な開示や改変から 保護する。 SFR FDP_ACC.1 FDP_ACF.1 目的 アクセス制御方針 アクセス制御方針を 制御方針を確立して 確立して、 して、保護を 保護を実施す 実施す る。 アクセス制御機能を提供してアクセス制御方 針を支援する。 18. ハードコピー ハードコピー装置 装置( 装置(運用環境 B)の不揮発性記憶装置機能用 2600.2 2600.2-NVS SFR パッケージ 18.1 NVS SFR パッケージ概説 パッケージ概説 評価対象が 12.3 節で定義した F.NVS 機能を実行する場合、本 SFR パッケージは、適合セキュリティ ターゲットまたは適合プロテクションプロファイルに適用しなければならない(must)。本パッケージは、少 なくとも、着脱可能な不揮発性記憶装置が保護下にある TOE 環境から取り外される際、当該の装置に 保存された利用者データと TSF データの保護を提供する。 着脱可能な不揮発性記憶装置は、評価対象となった TOE の一部を構成する不揮発性記憶装置である が、許可された者が TOE から取り外して再挿入できるように設計されている。何らかの不揮発性記憶装 置が適合 TOE に存在する場合、ST 作成者は、それが着脱可能であるか特定すべきである。 当該の装置を保護下にある TOE 環境から取り外して転送する際、攻撃者はその内容をオフラインで分 析できる。また、当該の装置を保護下にある TOE 環境外から再挿入する際、攻撃者は悪意あるコンテン ツを TOE に混入できる。 48 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B TOE が当該装置に利用者データまたは TSF データを保存する能力を有する場合、このデータを保護 するセキュリティ上の目的は、攻撃者が着脱可能な不揮発性記憶装置の内容を読み取る能力を備えた システムを使用して、当該装置の内容を解析しても、データの機密性と完全性を維持する場合だけ達 成できる。 18.2 クラス FPT: TSF の保護 FPT_CIP_EXP.1 保存データ 保存データの データの機密性と 機密性と完全性 下位階層: 下位階層: なし 依存性: 依存性: なし TSF は、利用者データまたは TSF データが [割付: 着脱可能 着脱可能な な不揮発性記憶装 置 ] に書き込まれる際、各データの機密性と完全性を保証する機能を提供しなければ FPT_CIP_EXP.1.1 ならない(shall)。 PP アプリケーションノート 109: ST 作成者は、ST においてデータの機密性と完全性を保護する方 法を定義すべきである。暗号化を使用する場合、ST 作成者は FCS クラスの適切な SFR を含め、 TOE を認証するスキーム固有の暗号化機能の使用に関するガイダンスを確認すべきである。 FPT_CIP_EXP.1.2 TSF は、利用者データと TSF データを [割付: 着脱可能 着脱可能な 不揮発性記憶装置 な不揮 発性記憶装置] に書き出す際にデータの改変を検出した場合、[割付: アクションのリスト] を検出して 実行する機能を提供しなければならない(shall)。 PP アプリケーションノート 110: ST 作成者は、機密性と完全性が保護された保存データを読み取 る際、TOE が完全性エラーを検出したときに実行するアクションを定義すべきである。 PP アプリケーションノート 111: FPT_CIP_EXP.1 は O.PROT.NO_ALT 、 O.CONF.NO_DIS 、 O.CONF.NO_ALT を達成する主要な SFR である。 18.3 NVS セキュリティ要件根拠 セキュリティ要件根拠 TOE の対策方針を実現する SFR の完全性と十分性を表 39 と表 40 に示す。太字 太字で記載した項目は対 太字 策方針の主要(P)な実現を提供し、標準書体で記載した項目は、その実現を支援(S)する。 49 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 表 39 - NVS セキュリティ要件 セキュリティ要件の 要件の完全性 FPT_CIP_EXP.1 O.CONF.NO_ALT O.CONF.NO_DIS O.PROT.NO_ALT O.FUN_REST C.NO_ALT SFR O.DOC_REST.NO_ALT O.DOC_REST.NO_DIS 対策方針 P P P P P P 表 40 - NVS セキュリティ要件 セキュリティ要件の 要件の十分性 対策方針 O.DOC_REST.NO_DIS, O.DOC_REST.NO_ALT, O.FUNC_REST.NO_ALT, O.PROT.NO_ALT, O.CONF.NO_DIS, O.CONF.NO_ALT 説明 TOE に残存する利用者 データと TSF データを不 正な開示や改変から保 護する。 SFR FPT_CIP_EXP.1 目的 ストレージ保護方法 保護方法を ストレージ 保護方法 を要求して 要求して 保護を 保護 を実施する 実施する。 する。 19. ハードコピー ハードコピー装置 装置( 装置(運用環境 B)の共有メディア 共有メディアインタフェース メディアインタフェース用 インタフェース用 2600.2 2600.2-SMI SFR パッケージ 19.1 SMI SFR パッケージ概説 パッケージ概説 評価対象が 12.3 節で定義した F.SMI 機能を実行する場合、本SFR パッケージは、適合セキュリティター ゲットまたは適合プロテクションプロファイルに適用しなければならない(must)。本パッケージは、少なくと も、内部メディアインタフェース上で送受信する利用者データまたは TSF データの保護、さらに必要に 応じて、内部メディアインタフェースを含むデータ転送の管理制御を提供する 19.2 クラス FAU: セキュリティ監査 セキュリティ監査 FAU_GEN.1 FAU_GEN.1.1 監査データ 監査データ生成 データ生成 下位階層: 下位階層: なし 依存性: 依存性: FPT_STM.1 高信頼タイムスタンプ 高信頼タイムスタンプ TSF は以下の監査対象事象の監査記録を生成できなければならない(shall)。 ― 監査機能の起動と終了。及び ― 監査の [選択 、以下の 1 つを選ぶ : 最小( minimum ) 、基本( basic ) 、詳細 (detailed)、指定なし(not specified)] レベルのすべての監査対象事象。及び、 50 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B ― 表 41 の「関連 SFR」 SFR」に示した監査 した監査レベル 監査レベル( レベル(1 つを選択 つを選択した 選択した場合 した場合) 場合)に定義されたすべ 定義されたすべ て監査対象事象; 監査対象事象; [割付: 特別に定義した他の監査対象事象]。 PP アプリケーションノート 112: ST 作成者がコモンクライテリアで定義された監査レベル(最小、基 本、または詳細)を特定した場合、監査レベルの要件と表 41 の要件の不一致があるかもしれな い。ST では、より広範な要件を特定しなければならない(shall)。 FAU_GEN.1.2 TSF は、各監査記録において少なくとも以下の情報を記録しなければならない(shall)。 ― 事象の日付・時刻、事象の種別、サブジェクト識別情報(該当する場合)、事象の 結果(成功または失敗);及び ― 各監査対象種別に対して、PP/ST の機能コンポーネントの監査対象事象の定義 に基づく、表 表 41 に示した各 した各「関連 SFR」 SFR」に関する (1) 監査レベル 監査レベルが レベルが定義する 定義する情報 する情報 (1 項目を 項目を特定した 特定した場合 した場合) 場合)及び (2) すべての追加情報 すべての追加情報( 追加情報(情報が 情報が必須である 必須である場合 である場合) 場合); [割付: 他の監査関連情報]。 表 41 - SMI 監査データ 監査データ要件 データ要件 監査対象事象 高信頼チャネル機能の失敗 関連 SFR FTP_ITC.1 監査レベル 監査レベル 最小 追加情報 任意 PP アプリケーションノート 113: FPT_STM.1 は FAU_GEN.1 に依存するが、この依存性は IEEE Std 2600.2 の 10.8 節により解決されている。 PP アプリケーションノート 114: FAU_GEN.1 は O.AUDIT.LOGGED を達成する主要な SFR であり、 FAU_GEN.2 に依存する。 PP アプリケーションノート 115: 実行する。 FAU_GEN.1 は FTP_ITC.1 と FPT_STM.1 に推奨される監査機能を 19.3 クラス FPT: TSF の保護 FPT_FDI_EXP.1 外部インタフ 外部インタフェース インタフェースへの ェースへの制限 への制限された 制限された情報転送 された情報転送 下位階層: 下位階層: なし 依存性: 依存性: FMT_SMF.1 管理機能 管理機能の の特定 FMT_SMR.1 セキュリティの セキュリティの役割 FPT_FDI_EXP.1.1 TSF は、任意 任意の による追加の処理 任意の外部インタフェース 外部インタフェースで受け取った情報を、TSF インタフェース 無しに任意 任意の 任意の共有メディア 共有メディアインタフェース メディアインタフェースに転送することを制限する能力を提供しなけ インタフェース ればならない(shall)。 PP アプリケーションノート 116: ST 作成者は、本 SFR を使用して、インタフェース間の自動的な転 送を許可する役割を定義できる。無条件の転送を許可しない場合、「許可され識別された役割 (authorized identified roles)」として「Nobody」をインスタンス化すべきである。 PP アプリケーションノート 117: FMT_SMF.1 は FPT_FDI_EXP.1 に依存するが、この依存性は IEEE Std 2600.2 の 10.6 節により解決されている。 PP アプリケーションノート 118: FMT_SMR.1 は FPT_FDI_EXP.1 に依存するが、その依存性は IEEE Std 2600.2 の 10.6 節により解決されている。 51 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B PP アプリケーションノート 119: SFR である。 FPT_FDI_EXP.1 は O.INTERFACE.MANAGED を達成する主要な 19.4 クラス FTP: 高信頼パス 高信頼パス/ パス/チャネル FTP_ITC.1 TSF 間高信頼チャネル 間高信頼チャネル 下位階層: 下位階層: なし 依存性: 依存性: なし FTP_ITC.1.1 TSF は、それ自身と他の高信頼 IT 製品間に、他の通信チャネルと論理的に区別され、 その端点の保証された識別及び改変や暴露からのチャネルデータの保護を提供する 通信チャネルを提供しなければならない(shall)。 FTP_ITC.1.2 TSF は、TSF TSF と他の高信頼 IT 製品が、高信頼チャネルを介して通信を開始することを 製品 許可しなければならない(shall)。 FTP_ITC.1.3 TSF は、共有 共有メディア 共有メディアインタフェース メディアインタフェース上 インタフェース上で D.PROT と D.CONF と通信する 通信する際 する際、高信頼 チャネルを介して通信を開始しなければならない(shall)。 PP アプリケーションノート 120: FTP_ITC.1 は O.PROT.NO_ALT 、 O.CONF.NO_DIS 、 O.CONF.NO_ALT を達成する主要な SFR である。 19.5 SMI セキュリティ要件根拠 キュリティ要件根拠 TOE の対策方針を実現する SFR の完全性と十分性を表 42 と表 43 に示す。太字 太字で記載した項目は対 太字 策方針の主要(P)な実現を提供し、標準書体で記載した項目は、その実現を支援(S)する。 表 42 - SMI セキュリティ要件 セキュリティ要件の 要件の完全性 FAU_GEN.1 P FPT_FDI_EXP.1 FTP_ITC.1 O.AUDIT.LOGGED O.INTERFACE.MANAGED O.CONF.NO_ALT O.CONF.NO_DIS SFR O.PROT.NO_ALT 対策方針 P P P P 52 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 表 43 - SMI SMI セキュリティ要件 セキュリティ要件の 要件の十分性 対策方針 O.PROT.NO_ALT, O.CONF.NO_DIS, O.CONF.NO_ALT O.INTERFACE.MANAGED O.AUDIT.LOGGED 説明 不正な開示や改変 からの利用者データ と TSF データの保 護。 外部インタフェース の管理。 SFR FTP_ITC.1 監査対象事象への 許可されたアクセス とロギング。 FAU_GEN.1 FPT_FDI_EXP.1 53 Copyright © 2010 IEEE. All rights reserved. 目的 共有メディア 共有メディアインタフェース メディアインタフェース上 インタフェース上で 通信する 通信する際 する際、高信頼チャネル 高信頼チャネルの チャネルの 使用を 使用 を要求して 要求して、 して、保護を 保護を実施す 実施す る。 (必要に 必要に応じて、 じて、)外部インタ 外部インタ フェースから フェースから共有 から共有メデ 共有メディア メディアインタ ィアインタ フェースへの フェースへのデータ へのデータ転送 データ転送を 転送を管理 者が管理することを 管理することを要求 することを要求して 要求して、 して、外 部インタフェースの インタフェースの管理を 管理を実施 する。 する。 関連事象の 関連事象のロギングを ロギングを要求して 要求して、 して、 監査方針を 監査方針を実施する 実施する。 する。 IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 付録 A (規範) 用語集 本規格では、以下の用語と定義を使用する。この付録に定義されていない用語については、 『IEEE Standards Dictionary: Glossary of Terms & Definitions』6を参照して頂きたい。 アクセス( アクセス(Access) Access): データフローまたはその変更を伴うエンティティとオブジェクト間の相互作用。 アクセス制御 アクセス 制御( 制御( Access Control) Control) : ハードウェアとソフトウェア資源の使用及び保存データまたは通信 データの開示と改変を制御するセキュリティサービス。 説明責任 説明責任( 責任(Accountability) Accountability): IT システム内の活動に責任を持つエンティティに当該の活動を追跡するこ とを許可するプロパティ。 管理者( 管理者(Administrator) Administrator): TOE の一部またはすべてを管理する権限が特別に付与され、そのアクション が TSP に影響を与える可能性がある利用者。管理者は TSP の一部を上書きする機能を提供する特別 な権限を持つことができる。 資産( 資産(Asset) Asset): TOE 所有者、利用者、または TOE マネージャが価値を認めるエンティティ。 認証( 認証(Authentication) Authentication): 要求された識別条件を検証するセキュリティ手法。 認証データ 認証データ( データ(Authentication data) data): 要求された識別情報を検証する際に用いられる情報。 権限付与( 権限付与(Authorization) Authorization): 機能の実行とデータへのアクセスに関して、権限を持つ者が付与するアク セス権。 権限のある 権限のある利用者 のある利用者( 利用者(Authorized User) User): TSP に従って、操作の実行を認可された利用者。一部操作の実 行を許可されているが、そのアクセス権を超える操作を実行または試行する利用者も含む。 可用性( 可用性(Availability) Availability) : (A) 要求に応じて、認可された利用者が、情報、機能、関連資産にアクセスでき る条件。(B) 定義済みメトリックに基づき、IT 資源にタイミング良く、信頼性の高いアクセスを実行するこ と。 チャネル( チャネル(Channel) Channel) : データを TOE に入力したり、TOE から出力したりするメカニズム。 機密性( 機密性(Confidentiality) Confidentiality) : (A) アクセス権を持つ者だけに情報へのアクセスを許可する条件。(B) デー タ開示に関するセキュリティ方針。 エンタープライズ、 エンタープライズ、企業( 企業(Enterprise) Enterprise): IT 製品のネットワークを一元管理して、インターネットへの直接ア クセスをファイアウォールで保護する一般的な運用環境。エンタープライズ環境には、中大企業、特定 の政府機関、通信システム管理を要求する組織、支店/営業所が含まれる。 評価保証レベル 評価保証レベル( レベル(Evaluation Assurance Level Level) : CC パート 3 から抽出された保証要件から成り、CC の 定義済み保証尺度の程度を表す保証パッケージ。 外部インタフェース 外部インタフェース( インタフェース(External Interface) Interface): TOE 外部から入力データを受け取る、または、TOE 外部の宛 先に出力を配信する非ハードコピーのインタフェース。 機能( 機能(Function) Function): TOE 内に存在するデータの処理、保存、転送を実行する TOE 内のエンティティ。 ハードコピー装置 ハードコピー装置( 装置(Hardcopy Device: HCD) HCD) : 具体的で物理的な電子文書または電子画像を生成また は利用するシステム。プリンタ、スキャナ、ファクシミリ、デジタルコピー機、デジタル複合機(MFP)、デジ 6 The IEEE Standards Dictionary: Glossary of Terms & Definitions は http://shop.ieee.org/ で参照できる。 54 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B タル複合機(MFD)、「オールインワン」型の装置、他の同種の製品が含まれる。「 「 デジタル複合機 デジタル複合機 (Multifunction Device)」 Device)」参照。 ハードコピー出力 ハードコピー出力ハンドラ 出力ハンドラ( ハンドラ(Hardcopy Output Handler) Handler): ハードコピーフォームの利用者文書データを TOE から転送するメカニズム。 識別情報( 識別情報(Identity) Identity) : 許可された利用者を一意に識別する文字列などの表現。利用者のフルネーム、 略称、または仮名を使用できる。 情報保証 情報保証( 保証(Information assurance) assurance): 情報と情報システムの可用性、完全性、認証、機密性、非否認性を 保証して、それらを保護及び防御する情報操作。保護、検出、対応機能を組み込んだ情報システムの 復元も含まれる。 情報技術( 情報技術(Information Technology: IT) IT) : データまたは情報を収集、作成、通信、計算、配付、処理、保 存、または制御する際、システムの一部として使用されるハードウェア、ファームウェア、ソフトウェア。 完全性( 完全性(Integrity) Integrity): (A) データが不正な方法で改変または破壊されないこと。(B) データ破壊とセキュリ ティ機能メカニズムに関するセキュリティ方針。 ジョブ( ジョブ(Job) Job) : ハードコピー装置に送出される文書処理タスク。単一の処理タスクは 1 本以上の文書を処 理できる。 デジタル複合機 デジタル複合機( 複合機(Multifunction Device: MFD) MFD)とデジタル複合機 デジタル複合機( 複合機(Multifunction Product: MFP) MFP): 複数 機能または単一機能の装置に代わり、複数の機能で複合的な目的を達成するハードコピー装置。 Nobody: Nobody 利用者に割り当てられない擬似的な役割。 不揮発性記憶装置 不揮発性記憶装置( 記憶装置(nonvolatile storage) storage) : 電源を切っても内部のデータが消失しないコンピュータの記 憶媒体。 一般利用者( 一般利用者(Normal User) User) : TOE の利用者文書データ処理機能の実行を許可された利用者。 オブジェクト( オブジェクト(Object) Object): 情報を保存または受信し、サブジェクトによる操作の実行対象となる TOE 内の 受動的なエンティティ。 操作( 操作(Operation) Operation): サブジェクトがオブジェクトに実行する特定のタイプのアクション。 運用環境( 運用環境(Operational Environment) Environment): TOE が運用される総合的な環境。資産価値及び運用上の説明 責任、物理的なセキュリティ、要員に関する検討も含まれる。 操作パネル 操作パネル( Panel): HCD を操作するローカルのヒューマンインタフェース。通常は、キーパッ パネル(Operator Panel) ド、キーボード、他の制御装置、ディスプレイ装置で構成される。 組織の 組織のセキュリティ方針 セキュリティ方針( 方針(Organizational Security Policy: OSP) OSP) : 実際の組織または仮想の組織が、現 在または将来的に、運用環境に導入する、または導入を計画する一連のセキュリティ規則、手続き、ま たはガイドライン。 原稿ハンドラ 原稿ハンドラ( ハンドラ(Original Document Handler) Handler): ハードコピーフォームの利用者文書データを TOE に転送 するメカニズム。 所有( 所有(Own) Own)と所有権( 所有権(Ownership) Ownership): 利用者文書の処理に関連する利用者文書または利用者機能デー タを指す。適合 TOE の実装に応じて、利用者文書に関連付けられた利用者機能データの所有者は異 なり、異なるアクセス制御規則を持つ。それらは適合セキュリティターゲットで特定すべきである。 プライベートメディアインタフェース プライベートメディア インタフェース( インタフェース(PrivatePrivate-medium Interface Interface) rface): (1)基本的に複数の利用者が同時に アクセスしない通信媒体上で有線/無線の電子的方法を使用するデータ交換メカニズム。または、(2) TOE を構成する操作パネルとディスプレイを使用したデータ交換メカニズム。 保護された 保護された( された(Protected) Protected) : データが不正な方法で改変または破壊されていない状態のこと。 着脱可能な 着脱可能な不揮発性記憶装置( 不揮発性記憶装置(Removable nonvolatile storage) storage) : 評価された TOE の一部を構成する が、許可された者が TOE から取り外せるように設計された不揮発性記憶装置。「不揮発性記憶装置 (Nonvolatile storage)」参照。 55 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B セキュリティ属性 セキュリティ属性( 属性(Security attribute) attribute): SFR 定義に使用されて、その価値が SFR で使用されるサブジェク ト、利用者(外部の IT 製品を含む)、オブジェクト、情報、セッション、資源。 セキュリティ機能方針 セキュリティ機能方針( 機能方針(Security Function Policy: Policy: SFP) SFP): TSF によって実施され、SFR のセットとして表現 できる特定のセキュリティのふるまいを記述する一連の規則。 セキュリティ機能要件 セキュリティ機能要件( 機能要件(Security Functional Functional Requirement: SFR) SFR) : コモンクライテリア パート 2 から採用し、 セキュリティ方針を実施するメカニズムを提供する機能要件。 セキュリティターゲット( セキュリティターゲット(Security Target: ST) ST) : 識別した特定の TOE に関して、実装に依存するセキュリ ティニーズのステートメント。 SFR パッケージ( パッケージ(SFR Package) Package): セキュリティ機能要件の名前付きセット。 共有メディアインタフェース 共有メディアインタフェース( メディアインタフェース(Shared -medium Interface) Interface): 通常は複数の利用者が同時にアクセスできる 通信媒体上で有線/無線ネットワークまたはネットワークを使用しない電子的方法を使用してデータを送 受信するメカニズム。 ST 作成者( 作成者(ST Author) Author): 本プロテクションプロファイルと関連 SFR パッケージに適合するセキュリティ ターゲットの作成者。簡単に言えば、ST 作成者とは、本プロテクションプロファイルと関連 SFR パッケー ジに適合する異なるプロテクションプロファイルの作成者を指す。 サブジェクト( サブジェクト(Subject) Subject) : オブジェクトに対する操作を実行する TOE のアクティブなエンティティ。 評価対象( 評価対象(Target of Evaluation: Evaluation: TOE) TOE) : ガイダンスを伴うことがあるソフトウェア、ファームウェア、及び (または)ハードウェアのセット。 電話回線( 電話回線(Telephone line) line): ファクシミリを送受信するために、TOE は公衆交換回線網(PSDN)に接続 する電気的インタフェース。 脅威( 脅威(Threat) Threat): 敵対者の能力、意図、攻撃方法。または、TOE セキュリティ方針に違反する可能性があ る状況または事象。 TSF データ( データ(TSF Data) Data): TOE が作成した、あるいは、TOE 向けに作成されたデータで、TOE 運用に影 響を与える可能性のあるデータ。 TSF 機密データ 機密データ( データ(TSF Confidential Data) Data) : 管理者とデータ所有者以外の利用者による改変または開示 が TOE 操作セキュリティに影響を与える資産。 TSF 保護データ 保護データ( データ(TSF Protected Data) Data): 管理者とデータ所有者以外の利用者による改変が TOE 運用 上のセキュリティに影響を与えるが、開示は許容される資産。 TOE 所有者( 所有者(TOE Owner) Owner) : TOE 資産を保護し、関連セキュリティ方針を確立する責任を有する個人ま たは組織。 TOE セキュリティ機能 セキュリティ機能( 機能(TOE security functionality) functionality) : SFR を適切に実施する際に頼りになるすべての ハードウェア、ソフトウェア、TOE のファームウェアで構成されるセット。 利用者( 利用者(User) User): TOE の外部にあり、TOE と対話するエンティティ(利用者または外部の IT エンティティ) 利用者データ 利用者データ( データ(User Data) Data) : 利用者が作成した、あるいは、利用者のために作成されたデータ。TSF セ キュリティ機能に対する操作に影響を与えない。 利用者文書データ 利用者文書データ( データ(User Document Data) Data): 利用者の文書に含まれる情報から成る資産。この情報に は、ハードコピーまたは電子フォームの原稿自体、画像データ、またはハードコピー装置が原稿を処理 し、ハードコピー出力を生成する間に一時的に保存したデータが含まれる。 利用者機能データ 利用者機能データ( データ(UserFunction Data) Data): HCD が処理する利用者文書またはジョブに関する情報から 成る資産。 56 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 付録 B (規範) 略語 本書では、以下の略語を使用している。この付録に定義されてない略語については、『IEEE Standards Dictionary: Glossary of Terms & Definitions』7を参照して頂きたい。 表 B.1 - 略語 略語 A. ADMIN. ALT CC C/IA CONF. CPY D. DIS DOC. DSR EAL F. FAX FUNC. HCD IEEE IT MFD MFP NVS O. OE. OSP P. PP PROT. PRT SCN SFP SFR SMI ST Std T. TOE TSF TSP U. 定義 前提(assumption)(階層化された名前付けで使用) 管理者(administrator)(階層化された名前付けで使用) 改変(alteration) コモンクライテリア(Common Criteria) IEEE コンピュータソサエティ情報保証(IEEE Computer Society Information Assurance) 機密(confidential)(階層化された名前付けで使用) コピー(copy) データ(data)(階層化された名前付けで使用) 開示(disclosure) 文書(document)(階層化された名前付けで使用) 文書の保存と取り出し(document storage and retrieval) 評価保証レベル(Evaluation Assurance Level) 機能(Function)(階層化された名前付けで使用) ファクシミリ(facsimile) 機能(Function)(階層化された名前付けで使用) ハードコピー装置(Hardcopy Device) 米国電気電子学会(Institute of Electrical and Electronics Engineers) 情報技術(information technology) 多機能デバイス(Multifunctional Device) デジタル複合機/周辺装置/プリンタ 不揮発性記憶装置(nonvolatile storage) TOE のセキュリティ対策方針(Security Objective of the TOE)(階層化された名前付けで使用) 運用環境のセキュリティ対策方針(Security Objective of the operational environment)(階層化され た名前付けで使用) 組織のセキュリティ方針(organizational security policy) 組織のセキュリティ方針(organizational security policy)(階層化された名前付けで使用) プロテクションプロファイル(Protection Profile) 保護された(階層化された名前付けで使用) 印刷(print) スキャン(scan) セキュリティ機能方針(Security Function Policy) セキュリティ機能要件(Security Functional Requirement) 共有メディアインタフェース(Shared-medium Interface) セキュリティターゲット(Security target) 標準(standard) 脅威(threat)(階層化された名前付けで使用) 評価対象(Target of Evaluation) TOE セキュリティ機能(TOE security functionality) TOE セキュリティ方針(TOE security policy) 利用者(user)(階層化された名前付けで使用) 7 The IEEE Standards Dictionary: Glossary of Terms & Definitions は http://shop.ieee.org/ で参照できる。 57 Copyright © 2010 IEEE. All rights reserved. IEEE Std 2600.2-2009 IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM -2008 Operational Environment B 付録 C (参考情報) 参考文献 [B1] Common Criteria for Information Technology Security Evaluation Version 3.1 Revision 1-Part 1: Introduction and General Model, 2006.8 [B2] Common Methodology for Information Technology Security Evaluation Version 3.1 Revision 2― Evaluation Methodology, 2007.9 8 9 http://www.commoncriteriaportal.org/files/ccfiles/CCPART1V3.1R1.pdf よりダウンロードできる。 http://www.commoncriteriaportal.org/files/ccfiles/CEMV3.1R2.pdf よりダウンロードできる。 58 Copyright © 2010 IEEE. All rights reserved.