情報セキュリティ
最終更新日:2024年11月14日
セキュリティ評価基準であるコモンクライテリア(CC)では、開発者がセキュリティを考慮した開発を行った証拠をチェックします。ここでは、セキュリティ評価基準で述べられているいくつかの観点を、開発者の方にわかりやすく解説をしています。
これらの解説はCCの評価における証拠資料の作成のみならず、一般的なIT製品のセキュア開発において開発者自らが確認すべき事項として参照されるものです。
開発者のためのセキュリティ解説書(ガイダンス編)
どんな強固なセキュリティ機能も、その機能の使用が誤ればセキュリティは確保できません。
開発者は、セキュリティに係る事項が適切な読者に的確に伝わることを十分に意識してガイダンス(マニュアル)を提供する必要があります。
開発者のためのセキュリティ解説書(セキュリティアーキテクチャ編)
セキュリティ機能が正しく実装されていても、そのセキュリティ機能自体が攻撃あるいは迂回されれば、情報資産は守れません。
開発者は、セキュリティ機能を実装する前に、それらの機能が正しく動くため全体的な構造(セキュリティアークテクチャ)を設計しなければなりません。
開発者のためのセキュリティ解説書(脆弱性評価編)
セキュリティ機能が仕様通り動くことのほかに、実装や設計に係る脆弱性がないことを確認することが開発者の責務です。
コモンクライテリアの脆弱性評定は、開発者が脆弱性を分析するための探索やテスト考案に活用するこができます。
デジタル複合機分野のプロテクションプロファイルや適合申請時のガイドライン、機能や利用環境におけるセキュリティ上の脅威や対処を解説した調査資料などを下記のページに掲載しています。
開発者がPPを用いず独自にSTを作成する際の、TOEの評価範囲や名称の決定やSTの記載について、制度としての指針を示しています。調達者がPPを作成する際にも参考としてください。
PPやSTの開発をする際に規格では言及していない個々の項目の具体的な事例、考慮すべき事項などを記述した参考書です。
本ガイドは、ISO/IEC SC27 WG3において審議中のISO/IEC DTR 15466:N6645「Guide for the Production of Protection Profile and Security Target」 を翻訳したものです。
上記ガイドの原書となります。
2024年11月14日
開発者のためのセキュリティ解説書(ガイダンス編)を更新しました。
2024年10月24日
開発者のためのセキュリティ解説書(脆弱性評価編)を更新しました。
2024年10月3日
開発者のためのセキュリティ解説書(セキュリティアーキテクチャ編)を更新しました。