セキュリティ評価コンサル
ISO/IEC15408に準拠したIT製品/システム開発コンサルティング
ITセキュリティセンターは、IT製品/システムのISO/IEC15408に準拠したセキュリティ認証書を取得するための支援を行っています。
セキュリティ認証書を取得するためには、評価対象のIT製品/システムだけでなく、セキュリティターゲット(ST)や開発関連資料について、ITセキュリティセンターを始めとする評価機関によりセキュリティ評価を受ける必要があります。
セキュリティ評価に必要なドキュメントには下記があります。
セキュリティターゲット(ST)
評価対象であるIT製品/システムが備えるべきセキュリティ機能に対する要件とその仕様をまとめた、IT製品/システムのセキュリティポリシー設計書です。
章立て等の構成や記述されるべき内容がISO/IEC15408の規格により定められています。
開発関連資料
評価対象であるIT製品/システムの開発関連資料です。開発関連資料のほとんどは、開発作業で一般に作成される設計資料、テスト仕様書、マニュアル等の資料です。STに記載された機能要件および保証要件を正確に実現していることを示すために、証拠資料としての提示が求められます。必要とされる資料は、EAL(評価保証レベル)によって異なり、ISO/IEC15408の規格により定められています。
ST作成支援
TOEセキュリティ環境の設定
ISO/IEC15408では、評価対象であるIT製品/システムのことをTOE(Target of Evaluation)と呼びます。
セキュアなTOEの開発を行うためには正確に脅威分析を行い、漏れなく脅威を洗い出すことが特に重要です。また、その脅威はTOEが動作する環境によって大きく変化するため、TOEを運用する上で適切な環境を規定することも、脅威分析作業の一つです。脅威分析によって洗い出された脅威やセキュリティ環境の条件は、STに明記されます。
ITセキュリティセンターは、お客様の脅威分析を支援し、TOEが対抗すべき脅威とTOEに最適なセキュリティ環境をご提案致します。
セキュリティ対策方針の策定
脅威分析で決定されたセキュリティ環境と脅威に対抗するための手段の、実現方針を策定します。これら実現方法は、TOEとTOEを使用するユーザにとって適切で有効な実現方法であればどのような手法を採用してもかまいません。ITセキュリティセンターのノウハウを使って最適な対策方針をご提案致します。
上記のST作成コンサルティングだけでなく、ご希望によりSTの作成も致します。
開発関連資料作成支援
TOEのセキュリティ評価にはSTに従ったTOEの設計資料、テスト仕様書、マニュアル、各種分析資料等を用意する必要があります。御希望のEALを満たすにはどのような評価資料をそろえる必要があるか、評価資料に必要な内容はなにか、といったご相談にお答えします。また、お客様が作成した評価資料のレビューを行います。
セキュリティ評価コンサルティングをご要望の節は、お問い合わせ窓口からご連絡ください。