HOME >> 情報セキュリティ >> ITセキュリティ評価及び認証制度(JISEC) >> 参考資料
参考資料
更新日:2013年3月12日
ST作成のために
PP/ST作成のためのガイド
本ガイドは、PPやSTの開発をする際に規格では言及していない個々の項目の具体的な事例、考慮すべき事項などを記述した参考書です。
また、本ガイドは開発者のみならず、STによりセキュリティ事項を確認あるいはPPによりセキュリティ要件を指定したい調達者にとって、有用な情報が含まれています。
-
PP/ST作成のためのガイド 2009年6月仮訳
(2009年6月)
(762KB)
本ガイドは、ISO/IEC SC27 WG3において審議中のISO/IEC DTR 15466:N6645「Guide for the Production of Protection Profile and Security Target」 を翻訳したものです。 -
Guide for the Production of Protection Profile and Security Target:N6645
(2009年6月) (995KB)
上記ガイドの原書となります。
ST作成の手引き
ST作成者に向けて参考資料として、STを作成する際の事例や注意事項を記載したガイダンス、及び仮想の製品を対象としたSTを掲載しました。
なお、本資料はCCv2.1をベースとしていますので、ご利用の際には現規格との差異があることにご留意願います。
-
セキュリティターゲット(ST)作成の手引き
(2005年3月) (762KB)
-
JISEC ICカード セキュリティターゲット
(2004年9月) (995KB)
その他資料
-
PPを用いない認証申請におけるTOE決定に係る指針(第1.3版)(2012年8月30日) (393KB)
開発者みずからがPPを用いずにSTを作成する場合、その評価範囲やTOE名称の決定について、制度としての指針を示しています。
-
CC Version 3.1 のST作成および評価に関するお願い(第2版)
(2007年7月2日) (28KB)
CC Version 3.1以前との比較で、CC Version 3.1を用いた評価における留意点がまとめてあります。
開発証拠資料作成のために
開発者のためのセキュリティアーキテクチャ解説
「セキュリティアーキテクチャ」とは、セキュリティ機能そのものを攻撃から守り正しく動作させるための設計概念です。
たとえ、セキュリティ機能が正しく実装されていても、そのセキュリティ機能自体が攻撃によりダメージを受ければ、情報資産を守れなくなってしまいます。
本書では「セキュリティアーキテクチャ」について、開発者の方へ向けてわかりやすく解説しています。
本書では「セキュリティアーキテクチャ」について、開発者の方へ向けてわかりやすく解説しています。
-
「開発者のためのセキュリティアーキテクチャ解説」
(2012年3月21日) (598KB)
開発者のための脆弱性評価解説
製品のセキュリティを確保するためには、セキュリティを考慮した設計・実装と共に、その妥当性を確認することが不可欠です。
本書は、CCの脆弱性分析手法を、開発者の方に向けてわかりやすく解説します。
開発者の製品開発において、セキュリティに関するレビューやテストの際にご活用ください。
本書は、CCの脆弱性分析手法を、開発者の方に向けてわかりやすく解説します。
開発者の製品開発において、セキュリティに関するレビューやテストの際にご活用ください。
-
「開発者のための脆弱性評価解説」
(2013年3月4日) (413KB)
開発証拠資料サンプル
教育目的としてフランス認証機関より以前提供されていた開発証拠資料サンプルの一部(ST、ADV、AGD)を翻訳しました。
本サンプルはオープンソースソフトウェアであるディスク暗号化ソフトTrueCrypt(version 4.2a)を対象としています。
開発者の開発証拠資料作成における教育用資料としてご利用願います。
-
「ST」
(2009年12月28日) (255KB)
-
「ADV_FSP」
(2009年12月28日) (381KB)
-
「ADV_TDS」
(2009年12月28日) (331KB)
-
「ADV_ARC」
(2009年12月28日) (306KB)
-
「ADV_IMP」
(2009年12月28日) (86KB)
-
「AGD」
(2009年12月28日) (1.23MB)
本サンプルの原文、及びその他開発証拠資料、評価報告書は、フランス認証機関のサイト http://www.ssi.gouv.fr/ より入手したものです。
また、本サンプルはあくまでも教育目的として提供されたもので、実際にCC評価・認証を経た証拠資料の実例ではありません。
そのため日本評価機関によるレビューの結果、幾つかの問題点が指摘されています。指摘された問題点については以下をご参照ください。
-
「ST指摘一覧」
(2009年12月28日) (22KB)
-
「ADV_ARC指摘一覧」
(2009年12月28日) (15KB)
その他
2012年度 デジタル複合機(MFP)のセキュリティに関する調査報告書
本資料は、デジタル複合機の最新の機能・利用環境におけるセキュリティ上の脅威・脆弱性についてリストとしてまとめ、利用者側が運用面で対処すべきもの開発者側が機能面で対処すべきものに分類し解説しています。
また、近年話題となり攻撃される機会の多い脆弱性や、古くから残存しているが認識されていない脆弱性などを、攻撃手法の例とその原因を解説し、運用・開発・検査の観点から対策を考察しています。
調達者・利用者がデジタル複合機のセキュリティ上の脅威・脆弱性を確認するための参考資料、調達における適切なセキュリティ要件の提示と、適切な運用・管理のためのガイドなどにご利用いただけます。
また、近年話題となり攻撃される機会の多い脆弱性や、古くから残存しているが認識されていない脆弱性などを、攻撃手法の例とその原因を解説し、運用・開発・検査の観点から対策を考察しています。
調達者・利用者がデジタル複合機のセキュリティ上の脅威・脆弱性を確認するための参考資料、調達における適切なセキュリティ要件の提示と、適切な運用・管理のためのガイドなどにご利用いただけます。
-
2012年度 デジタル複合機(MFP)のセキュリティに関する調査報告書
(更新日:2013年3月12日) (2.32MB)
判断事例
本資料は、「IT セキュリティ評価・認証制度」に基づいて実施した評価・認証業務において抽出された問題に対する判断を事例としてまとめたものです。
申請者のST作成、評価者の評価作業などにおける参考資料としてご利用願います。
-
ITセキュリティ評価・認証業務における判断事例
(更新日:2007年8月2日) (116KB)