CC解説書の作成

1.目的

    欧米の主要国には、情報処理製品(ハードウェア、ソフトウェア)や情報処理システムのセキュリティ完備状況を評価し、認証するための制度がある。この評価に利用される「セキュリティ評価基準」は、従来、各国が個別に作成して利用していたが、この国際標準化がISOで進み、1999年6月に国際標準(International Standard ISO15408)に制定された。
    この国際標準と内容的にほぼ同等の基準書(    Common CriteriaV2.0)は既に、19985月に発刊されている。セキュリティ評価を受けるためには、情報処理製品の開発者やシステムの運用管理者は、このCommon CriteriaV2.0の内容を理解し、これに準拠した開発と運用を行うことが要請される。
    この    Common CriteriaV2.0の内容理解を支援するために、その主要な部分に対して、翻訳と解説を作成することが目的である。

2.方法

Common Criteriaは全部で500頁弱である。早期に提供するために、利用上、特に必要な箇所を絞り込んで作成する。

  1. コマーシャル分野の情報処理製品や運用システムへの適用を優先させるために、対象部分の絞り込みを行う。Common CriteriaV2.0は3つのパートから構成される。パート1は「概論とモデル」(Introduction and General Model)、パート2は「セキュリティ機能に関する要件」(Security Functional Requirements)、パート3は「セキュリティ保証に関する要件」(Security Assurance Requirements)を規定したものである。この中で、開発者に必須であるパート2とパート3を対象とする。

  2. パート2「セキュリティ機能に関する要件」の絞り込みは、適用性を基本にする。製品やシステムの種別ごとに要求されるセキュリティ要件を前もって登録しておき、開発時に参照できるようにするためにProtection Profileとよばれる登録簿が規定されている。このProtection Profileのなかで、汎用的な情報処理製品向けに作成された“CS2 Protection Profile Guidance V0.3で要求されている機能要件を対象にする。

  3. パート3「セキュリティ保証に関する要件」の絞り込みは保証レベルを基本にする。パート3では保証のレベルを1〜7段階で規定し、各レベルに応じて要求される保証要件が規定されている。この中で、通常のコマーシャル分野で最高レベルと考えられているEAL4で要求されている保証要件を対象にする。

  4. パート2、パート3の該当部分に関して、まず翻訳を行う。

  5. 要件の翻訳だけでは内容の理解が困難と考えられるパート2の機能要件に関しては、具体的な実現手段や機能例を、解説という形態で付加する。

3.成果

    平成107月より開始し、11月に初版を完成した。平成1012月にはIPAのサーバに登録し、一般公開を行った。IPAの公開サーバに登録して以降、Common Criteria V2.0の理解を助けるものとして、多くの製品開発者、システム管理者から好評を得ている。

    平成11年度末までには、実際の製品評価の経験を踏まえて、さらに解説部分を充実させる予定である。
  1. パート2機能要件部分については、具体的な機能事例を追加する。
  2. パート3保証要件部分については、具体的な開発方法、設計方法、管理手法などの事例を、解説として作成する。