平成
10年10月 5日、アメリカ、カナダ、イギリス、ドイツ、フランスの 5カ国は、Common CriteriaV2.0による評価結果を5カ国相互で認め合う事を合意した。「
Common Criteria V2.0」 、「ISO/IEC JTC1 SC27 WD Information Technology- Security Techniques Guide for the Production of Protection Profiles and Security Targets」及び、実際の製品評価とその検証結果を基に、以下の評価ガイドを作成する。@「
ST評価ガイド」セキュリティ上の脅威、脅威に対抗するためのセキュリティ対策方針、その対策を実現するためのセキュリティ要件、要件を満たすために提供する機能の概要や品質確保のための実施内容などの評価技術を規定する。
A「開発評価ガイド」
製品やシステム開発作業の上流工程(設計など)が必要かつ十分に、正しく下流工程のモジュールやソースコードに反映されていることや、各種設計書の記述項目と内容にセキュリティ上の考慮がなされていることなどの評価技術を規定する。
あわせて、セキュリティ管理のための方式(例えば、アクセス管理、データのフロー管理など)やルール(利用者と保護対象データとの間の利用規則)を記載したセキュリティ管理方針書(セキュリティポリシーモデル)の内容に関する評価技術を規定する。
B「ガイダンス評価ガイド」
システム管理者や一般利用者に提供される製品やシステムの管理や使用に関するマニュアルやガイダンス文書に記述すべき安全な運用や使用方法、管理者の責任や利用者の責任、セキュリティに関する機能、などに関する評価技術を規定する。
C「脆弱性分析評価ガイド」
運用環境において、発生し得ると想定されるセキュリティ上の問題(脆弱性)分析に漏れが無いことや、識別されたセキュリティ問題は実際の運用において、十分対策が実施されていることなどに関する評価技術を規定する。
D「テスト評価ガイド」
製品やシステムのテストが漏れなく実施され、結果の確認も十分であるなどに関する評価技術を規定する。
E「構成管理評価ガイド」
製品やシステムの開発と保守が安全に維持・管理され、プログラムなどが不正に改ざんされないことや、開発用の各種設計書、プログラムのテスト、検出されたセキュリティ上の問題と対処、マニュアル、運用や導入のためのガイド、プログラムソースコード、などが管理されていることなどに関する評価技術を規定する。F「ライフサイクル評価ガイド」
製品やシステムの開発から保守に至るまでのセキュリティ対策に関わる事項が明確であることや、障害修正の適用が誤りなく実施されるための手続きと確認方法が明確であることなどに関する評価技術を規定する。
G「保守評価ガイド」
種々の修正や機能追加に際して、セキュリティに関するレベルダウンが発生しないことや、製品やシステムの変更がセキュリティに与える影響の分析などに関する評価技術を規定する。
H「配布と運用評価ガイド」 製品が出荷元から改ざんなどの不正がなく利用者に配布されることや、システムの起動や運用が安全に実施できることなどに関する評価技術を規定する。