情報セキュリティ

認証報告書を読んでみる

最終更新日:2014年11月19日

TOEの動作及びそのセキュリティの側面とセキュリティ評価について、想定する調達者に理解していただくために、分かりやすく簡潔に概説したものが認証報告書です。調達者は本TOEが自分の関心のある製品であるかを、セキュリティターゲットを読む前に認証報告書を読んで判断できるようになっています。
ここでは、認証報告書の目次に沿って、どのような報告がなされるか、理解すべきポイントについて簡単に解説します。

認証報告書解説

1 全体要約

全体概要ではTOEがどのような機能を持ち、どのような環境で動作し、どのようなセキュリティ機能が評価されたかを要約しています。読者は本章を読んで、当該TOEが自らの関心の対象となるか、または当該TOEの評価が想定している利用者に自分が該当するかを判断できます。

1.1 評価対象製品概要

評価の対象となった製品の機能や運用条件が示されています。読者は、評価されたセキュリティ機能が自らの目的に合致しているか、自らの運用環境に見合うものかの情報を得ることができます。

1.1.1 保証パッケージ

保証パッケージとは、セキュリティ機能に係る事項(たとえば、仕様書、ガイダンス、製品テストなど)のどれがどの程度評価されているかを表したものです。同じセキュリティ機能が評価されていても、その機能の開発された環境が安全であったかを評価するか、しないかという選択も可能です。読者は、そのセキュリティ機能に伴うどのような範囲と深さが評価されたかを保証パッケージで把握します。保証パッケージは多くの場合、事前に用意された評価保証レベルを用います。保証パッケージと評価保証レベルについては、「セキュリティ機能と保証レベル」を参照してください。  

1.1.2 TOEとセキュリティ機能性

当該TOEは、どのような製品であり、セキュリティは全体としてどのように機能するかを記述しています。どのような脅威を想定し、どのような方針でそれに対抗するのか、どのような運用環境でそれらは用いられるものなのかが説明されています。読者は、評価されたセキュリティ機能とその使用環境の概要から、当該TOEが自らの目的に合致したものであるかを判断します。なお、詳細については2章以降を参照してください。

1.1.3 免責事項

読者が注意すべき当該TOEの責任範囲について、特に明確化が必要な事項が書かれています。たとえば、製品のタイプなどから具備されていると読者が想像する機能が、評価されたセキュリティ機能の範囲ではないなど、TOEが責任を負わない事項について簡潔に記載されています。詳細については8.2章の注意事項を参照してください。

1.2 評価の実施

評価の目的、対象及び基準が記述されています。

1.3 評価の認証

認証の経緯が簡潔に記述されています。

2 TOE識別

評価対象となった製品の名称・バージョンが示されています。 評価されたTOE、またはそれを含む製品の正確な名称とバージョン、その確認方法の概要が提供されます。 認証された製品が、一般的に市販されているものとは異なる特殊なバージョンであることもあるため、読者は識別の確認方法も含め本章の情報に注意が必要です。

3 セキュリティ方針

1章の全体要約において当該TOEに関心を持った読者は、本章でTOEが提供するセキュリティの機能と特性を理解し、自らの使用目的に沿ったものであるかを判断します。

3.1 セキュリティ機能方針

TOEはどのような問題を解決するためのもので、それにどのように対抗しているかが記述されています。

3.1.1 脅威とセキュリティ機能方針

読者がもっとも関心のある項目が「脅威」だと思います。この項目では、TOEが対抗する脅威とはどのようなものかが、どんな攻撃者のどのような手段から何を守ろうとしているのかが明確となるように記述されています。また、それらの脅威にTOEのセキュリティ機能がどのように対抗するのかの概要も記述されています。想定する脅威に対し、特定あるいは複数のセキュリティ機能がどのようにそれらがもたらすリスクを除去あるいは軽減しているかが要約されています。読者は、対抗手段がどのように実現されるか(たとえば、脅威の対策としてのデータ保護が、ログオンの制限で実現されているのか、暗号化により実現されているのかなど)を理解し、自らの使用目的への適用イメージを持つとともに、後述の評価者テストの妥当性の判断に用いることができます。セキュリティ機能の詳細なふるまいについて知りたい場合は、公開情報である当該TOEのセキュリティターゲットを参照してください。

3.1.2 組織のセキュリティ方針とセキュリティ機能方針

TOEに対し、脅威からは直接導かれないセキュリティ機能を要求することがある場合、TOEを利用する組織のセキュリティ方針としてここに記述されます。たとえば、ある種の製品では、具体的な脅威が存在しない場合でも法律において具備しなければならない機能が規定されていたり、あるいは調達側組織のセキュリティ方針として導入にあたって満たすべき機能上の要件がある場合、組織のセキュリティ方針として、この項に記述されます。
汎用製品のように不特定の利用者を想定するものは、ほとんどの場合組織のセキュリティ方針は存在しません。稀に法令や具体的な方針の詳細がないまま、脅威に直接係りがないがセキュリティ機能を保持していることをセキュリティターゲットでアピールしたいという目的だけで、開発者がその機能を導出するための組織のセキュリティ方針を記載することがあります。このような場合、達成すべきセキュリティ目標が明確に示されないことがあり、利用者がその機能を具体的な脅威への対抗として期待することが不適切なことがあります。

4 前提条件と評価範囲の明確化

前章で当該TOEのセキュリティ機能が目的に合致したと考えた読者は、本章でそれらを運用するための条件や環境を確認し、自らの運用環境に適したものかを判断します。

4.1 使用及び環境に関する前提条件

TOEを安全に運用するために満たされるべき前提条件が述べられています。前提条件には、物理的(サーバマシンは隔離された部屋に設置するなど)、人的(信頼できる管理者を置き、ガイダンスに従った管理をするなど)、接続的(内部ネットワークは外部ネットワークと適切な手段により分離するなど)側面などがあり、読者は自らの環境でこれらの前提を満たす運用が可能であることを確認します。ここで示された前提が読者にとって現実的でない、あるいは過度な要求であるような場合には、当該TOEをセキュアな状態で用いることは困難であると判断することになります。

4.2 運用環境と構成

ここではTOEの運用イメージが記述されます。たとえば、TOEがいくつかの構成を持つ場合、どのような構成を用いるか、ネットワークにおけるサーバ・クライアントの関係、協調する他のサービスなどが示されます。セキュアな運用のため、一般的な使用環境とは異なる運用を求める製品もありますので、本項の記述に注意してください。

4.3 運用環境におけるTOE範囲

本項では、TOEの使用環境において、どの脅威にTOEの機能が対抗しているのか、どの脅威は対抗していない(TOE外で対抗など)かについて明確にすることを目的としています。また、セキュリティ評価の範囲外ではあるが、明らかに本TOEのセキュリティと密接に係っており注意を喚起すべきと認証が判断した事項についても記述しています。

5 アーキテクチャに関する情報

本章では、TOEを構成するコンポーネントとそれらがどのように関連し動作するかについての情報を提供します。個々の構成要素の目的や連携を理解することで、セキュリティ要件の実現方法について読者はより確実な情報を得られることになります。

5.1 TOE境界とコンポーネント構成

TOEを含む製品のコンポーネント(モジュールやサブシステムなど)と、評価の対象となったTOEの範囲、TOEを構成するコンポーネントとセキュリティ機能との関連について説明されています。

5.2 IT環境

前項のTOE構成において、それらのコンポーネントが連携するTOE外の部分について簡単な説明がなされています。

6 製品添付ドキュメント

当該TOEに添付されるドキュメントを識別しています。前提条件において遵守すべき事項が当該ドキュメントに示されている場合もあり、製品と同様にドキュメントの識別は重要となります。
これらのドキュメントは製品に添付されるものですが、事前の確認等で入手される場合には、本識別が参考になります。

7 評価機関による評価実施及び結果

評価機関が実施した評価の経緯と、特に製品テストについてはその概要を記述し、読者が実施テストの内容を確認できるようにしています。

7.1 評価機関

評価機関がどの機関より認定及び承認されたかを確認できます。

7.2 評価方法

評価方法として標準であるCEMを用いていることの宣言がなされています。

7.3 評価実施概要

評価実施の簡単な履歴が記述されています。 評価実施の期間や、開発現場や配付過程への訪問調査の実施の有無などを確認できます。

7.4 製品テスト

評価は保証レベルの様々な側面(機能仕様、開発環境、配付手続きなど)で行われますが、ここでは特に製品テストについて簡単にその内容を説明しています。

7.4.1 開発者テスト

開発者自身が実施したテストの環境、構成について概説されています。テストの手法、観測方法、ツールなど、テストがどのような方針でなされたかが示されています。

7.4.2 評価者独立テスト

評価者は、評価において様々な証拠資料を検査します。それらの検査の過程で、開発者テストに加えて評価者独自にセキュリティ機能のふるまいを確認すべきテスト(独立テスト)を考案します。
本項では、評価者による技術的な考察と、その確認のために考案したテスト概要が示されています。読者は、評価者によるテストの観点を知ることで、セキュリティ機能が仕様どおりに実施されることの更なる確信を得ることができます。

7.4.3 評価者侵入テスト

評価者は、評価において様々な証拠資料を検査します。それらの検査の過程で、懸念される脆弱性の可能性を見つけ出し、脆弱性の確認のために必要と思われるテスト(評価者侵入テスト)を考案します。
本項では、どのような情報によりどのような脆弱性の可能性を識別したか、そのためにどのようなテストを実施したかについての概要が示されています。読者は、TOEの分野や最新の情報を考慮した脆弱性の検査が行われていることを確認できます。
なお、非公開の内部情報に基づく考察などについては、抽象的な表現になっていることもあります。

7.5 評価構成について

本製品テストが行われた評価構成について、特筆すべきことがあれば記載します。特に運用環境等とテスト環境が一致していない場合など、その影響(正当性の根拠)が示されます。

7.6 評価結果

評価者の評価結果が示されています。

7.7 評価者コメント/勧告

評価者が読者に伝えておくべきと判断した懸念事項、推奨事項などが示されている場合があります。これらのコメントや勧告は、評価の過程において評価者が見出した欠点や特筆すべき機能なども含まれます。これらの情報は多くの評価証拠資料の検査から導き出された有用な情報であり、読者は特に注意を払う必要があります。

8. 認証実施

評価に対し実施された認証の観点が記述されています。

8.1 認証結果

認証機関の認証結果が示されています。

8.2 注意事項

認証の過程において、読者に伝えておくべきと判断した事項のうち、評価者がいかなる勧告も行っていないものについては、認証機関からの注意事項としてここに記述されます。特にセキュリティターゲットには明示されていないが、調達者の適切な対応が望まれるような管理・運用に係る事項や、TOEが想定する脅威や前提の記述があいまいな場合の補足など、読者に有用と思われる注意事項を掲載しています。

9 附属書

本報告書において、読者に有用な技術的解説や組織のセキュリティ方針の法的解釈などの補足的説明を示す場合には、ここに記載されます。

10 セキュリティターゲット

本報告書と併読すべきセキュリティターゲットを識別しています。セキュリティターゲットは本報告書の一部として扱われます。

11 用語

本報告書で使用されている特有の用語、略語が定義されています。

12 参照

本報告書で参照している文献などの情報が記載してあります。