HOME >> 情報セキュリティ >> ITセキュリティ評価及び認証制度(JISEC) >> 参考資料

参考資料

更新日:2015年3月2日

製品のセキュアな開発のために

開発者のための解説書シリーズ

セキュリティ評価基準であるコモンクライテリア(CC)では、開発者がセキュリティを考慮した開発を行った証拠をチェックします。ここでは、セキュリティ評価基準で述べられているいくつかの観点を、開発者の方にわかりやすく解説をしています。
これらの解説はCCの評価における証拠資料の作成のみならず、一般的なIT製品のセキュア開発において開発者自らが確認すべき事項として参照されるものです。

開発者のためのセキュリティ解説書(ガイダンス編)
開発者のためのセキュリティ解説書(ガイダンス編)
どんな強固なセキュリティ機能も、その機能の使用が誤ればセキュリティは確保できません。
開発者は、セキュリティに係る事項が適切な読者に的確に伝わることを十分に意識してガイダンス(マニュアル)を提供する必要があります。
(2014年3月31日)pdf (574KB)
開発者のためのセキュリティ解説書(セキュリティアーキテクチャ編)
開発者のためのセキュリティ解説書(セキュリティアーキテクチャ編)
セキュリティ機能が正しく実装されていても、そのセキュリティ機能自体が攻撃あるいは迂回されれば、情報資産は守れません。
開発者は、セキュリティ機能を実装する前に、それらの機能が正しく動くため全体的な構造(セキュリティアークテクチャ)を設計しなければなりません。
(2012年3月21日) (724KB)
開発者のためのセキュリティ解説書(脆弱性評価編)
開発者のためのセキュリティ解説書(脆弱性評価編)
セキュリティ機能が仕様通り動くことのほかに、実装や設計に係る脆弱性がないことを確認することが開発者の責務です。
コモンクライテリアの脆弱性評定は、開発者が脆弱性を分析するための探索やテスト考案に活用するこができます。
(2013年3月4日) (585KB)

デジタル複合機(MFP)のセキュリティに関する調査報告書 

本資料は、デジタル複合機の最新の機能・利用環境におけるセキュリティ上の脅威・脆弱性についてリストとしてまとめ、利用者側が運用面で対処すべきもの開発者側が機能面で対処すべきものに分類し解説しています。
また、近年話題となり攻撃される機会の多い脆弱性や、古くから残存しているが認識されていない脆弱性などを、攻撃手法の例とその原因を解説し、運用・開発・検査の観点から対策を考察しています。
調達者・利用者がデジタル複合機のセキュリティ上の脅威・脆弱性を確認するための参考資料、調達における適切なセキュリティ要件の提示と、適切な運用・管理のためのガイドなどにご利用いただけます。

開発証拠資料サンプル

教育目的としてフランス認証機関より以前提供されていた開発証拠資料サンプルの一部(ST、ADV、AGD)を翻訳しました。 本サンプルはオープンソースソフトウェアであるディスク暗号化ソフトTrueCrypt(version 4.2a)を対象としています。 開発者の開発証拠資料作成における教育用資料としてご利用願います。

本サンプルの原文、及びその他開発証拠資料、評価報告書は、フランス認証機関のサイト http://www.ssi.gouv.fr/ より入手したものです。


また、本サンプルはあくまでも教育目的として提供されたもので、実際にCC評価・認証を経た証拠資料の実例ではありません。 そのため日本評価機関によるレビューの結果、幾つかの問題点が指摘されています。指摘された問題点については以下をご参照ください。

PP作成のために

PP/ST作成のためのガイド

PPやSTの開発をする際に規格では言及していない個々の項目の具体的な事例、考慮すべき事項などを記述した参考書です。
本ガイドは、ISO/IEC SC27 WG3において審議中のISO/IEC DTR 15466:N6645「Guide for the Production of Protection Profile and Security Target」 を翻訳したものです。

上記ガイドの原書となります。

その他

PPを用いない認証申請におけるTOE決定に係る指針

開発者みずからがPPを用いずにSTを作成する場合、その評価範囲やTOE名称の決定について、制度としての指針を示しています。

CC Version 3.1 のST作成および評価に関するお願い

CC Version 3.1以前との比較で、CC Version 3.1を用いた評価における留意点がまとめてあります。