CyberSEALs’s diary

セキュリティをカッコよく!を合言葉にセキュリティ関連の情報発信していきます!

コモンクライテリア

 


<コモンクライテリア>

ITに関連した様々な製品・サービスのセキュリティレベルを評価する国際的なフレームワーク

CISSP試験的には「コモンクライテリア=ISO/IEC15408」というの必須知識ですね!

また、重要な要素として以下も必ず覚えておきましょう!

 

・【保護プロファイル=PP】:対象毎に必要となるセキュリティの要求を記したもの

⇒必要なセキュリティ上の要件が製品カテゴリ毎に書かれたものと考えてください。そして、「要件定義」はこの段階で行うのだということは必ず覚えてください!

・【評価対象=TOE】:評価をする製品そのもの

⇒深い説明は不要ですね!文字通り、評価をする製品そのものです。

・【セキュリティターゲット=ST】:TOEを評価してもらうベンダが提出するもの

⇒製品ベンダなどが、PPを満たしているぞ!とアピールするものと考えてください。

また、上記の並び順も必ず覚えてください!

その上で、PP⇒TOE⇒STの3つのアイテムが揃ったら、ようやくコモンクライテリアの「評価」を受けれるようになります!

そして評価の結果として「EAL」というセキュリティレベルが付与されると理解してください!EALは最低1~最高7の7段階です。覚え方は「ラッキー7は最高!(笑)」と覚えると素敵です。(僕もそう覚えています!)

 

その他、以下についても頭の片隅においておければコモンクライテリアについて結構詳しい人い慣れるかもしません。(本当に詳しい方、怒らないでください)

・【セキュリティ機能要件=SFR】:様々なセキュリティ機能の分類が書かれているもの

・【セキュリティ保障要件=SAR】:カテゴリ毎に満たすべきセキュリティ策が書かれてるもの

⇒で、この2つは何なのか?ということですが、製品ベンダなどはこれらを見ながら、「評価をする製品は、どのPPが適切か」「STでどのようなことをアピールすべきか」といったこと考える際の参考にできるかも!くらいに考えておいてください。f:id:CyberSEALs:20190509115840j:plain