日立認証局システム enterprise certificate server …enterprise certificate server pki...

All Rights Reserved, Copyright(c) 2004, Hitachi, Ltd.1

日立認証局システムEnterprise Certificate Server Setによる

ISO/IEC 15408認証取得について

株式会社日立製作所

ソフトウェア事業部

セキュリティ対応センタ

栗田博司

2004年10月29日


目次

1. 認証取得の概要

2. 公開鍵認証基盤（PKI）とは

3. TOEの概要

4. セキュリティ評価と評価保証レベル（EAL）

5. 認証取得に向けて

6. セキュリティ評価を通じて

7. セキュリティ評価及び認証における課題


株式会社日立製作所ソフトウェア事業部の概要株式会社日立製作所ソフトウェア事業部の概要

• 1969年、ソフトウェア開発を本格的に一貫して行う、世界で最初のソフトウェア専門

事業所として誕生。

• 事業拠点：アメリカ、ヨーロッパなどの海外拠点との連携によりグローバルに活動。

• 当事業所の主要ソフトウェア製品：

オープンミドルウェア、システム／プラットフォームソフトウェア各種製品

統合システム運用管理JP1、 Cosminexus、HiRDB、

Groupmax、 DocumentBroker、公開鍵認証基盤（PKI）製品、など。

統合システム運用管理JP1、 Cosminexus、HiRDB、

Groupmax、 DocumentBroker、公開鍵認証基盤（PKI）製品、など。


１．認証取得の概要

• TOE識別情報

– TOE名称： Enterprise Certificate Server Set

– 識別名： P-9D44-72Z1

– バージョン・リビジョン： 01-01-A

• TOEの種別： PKI （認証局システム）

• 評価保証レベル： EAL3

• 認証取得日： 2004年8月3日

• 認証番号： C0013

• 評価機関：株式会社電子商取引安全技術研究所評価センター(ECSEC)

TOE：Target Of Evaluation（評価対象）EAL：Evaluation Assurance Level（評価保証レベル）


２．公開鍵認証基盤（PKI）とは

• Public Key Infrastructureの略。

• 「公開鍵暗号技術」を使用したセキュリティ基盤技術の中で、特に電子証明書を利用する認証システム。

• インターネット／イントラネットでのセキュリティを確保するセキュリティ基盤技術としての業界標準。

• 電子商取引やインターネットバンキングなどのビジネス、電子行政サービス、電子申請サービスなどの電子政府プロジェクトなどに幅広く使用される。

電子署名法(*)が施行され、電子署名に法的な根拠を与えることができるようになり、電子署名を支える技術としても注目。

電子署名法(*)が施行され、電子署名に法的な根拠を与えることができるようになり、電子署名を支える技術としても注目。

第三者によるデータの盗聴や改ざん、不正な成りすましなどのセキュリティ上の脅威から情報資産やシステムを守る。

第三者によるデータの盗聴や改ざん、不正な成りすましなどのセキュリティ上の脅威から情報資産やシステムを守る。

* 電子署名及び認証業務に関する法律（平成12年法律第102号／平成13年4月１日施行）


■証明書の発行・認証により「成りすまし」を防止します。-- たとえばＢ社の業務サーバに外部パートナーＡ氏がアクセスする場合

① あらかじめＢ社はＡ氏に電子証明書（ICカードに格納）を発行します。② Ａ氏はＢ社の業務サーバを利用する際、ICカードを使ってアクセスします。

③ Ｂ社では、Ａ氏のアクセスに対し、証明書を確認し本人認証を行ってから、業務サーバに接続します。これにより、証明書を発行されたユーザ以外のアクセスを制限できます。

■証明書の発行・認証により「成りすまし」を防止します。-- たとえばＢ社の業務サーバに外部パートナーＡ氏がアクセスする場合

① あらかじめＢ社はＡ氏に電子証明書（ICカードに格納）を発行します。② Ａ氏はＢ社の業務サーバを利用する際、ICカードを使ってアクセスします。

③ Ｂ社では、Ａ氏のアクセスに対し、証明書を確認し本人認証を行ってから、業務サーバに接続します。これにより、証明書を発行されたユーザ以外のアクセスを制限できます。

PKIを用いた「成りすまし」防止

（１） PKIを用いた「成りすまし」防止


PKIが開く世界Ｂ to Ｃ。－セキュアe-コマース／インターネットバンキング－

電子商取引、電子政府／自治体を支える認証基盤など、オープンなネットワークの世界が広がる！

（２） PKIが開く世界


認証局製品サーバ環境用製品

クライアント環境製品

実行環境製品

PKI Runtime Library

開発環境製品

PKI Developer’s Toolkit

PKI管理サーバ

PKI Enrollment Service

認証局（CA）Enterprise Certificate Server

登録局（RA）PKI Management Program

VPNソフトウェア

SSCom (Client) 汎用PKI基盤ライブラリ

PKI Runtime Library / Light

VPNソフトウェア

SSCom (Server)

ICカードプラグイン

Secure Plug-in

CA：Certificate Authority RA：Registration Authority

（３）日立PKIシステムとソフトウェア製品のご紹介


CRL：Certificate Revocation List鍵の漏えいなどで鍵の信頼性が失われ、失効となった証明書のリスト。一般利用者は、CRLによって証明書が執行されて

いないかを確認する。

• TOEの名称： Enterprise Certificate Server Set

• TOEの概要：国際標準のX.509に準拠した証明書及び失効リスト（CRL）の発行、管理を行う認証局(CA：Certificate Authority）の機能を提供するソフトウェア製品。証明書発行サーバ機能を提供するCAサーバとリモートから管理を行う管理端末を

用いて、証明書の発行管理を行う。

• TOEの名称： Enterprise Certificate Server Set

• TOEの概要：国際標準のX.509に準拠した証明書及び失効リスト（CRL）の発行、管理を行う認証局(CA：Certificate Authority）の機能を提供するソフトウェア製品。証明書発行サーバ機能を提供するCAサーバとリモートから管理を行う管理端末を

用いて、証明書の発行管理を行う。

３．TOEの概要


HSM(ハードウェア暗号装置)（nShield F3 SCSI 15）

CAサーバマシン（Sun Solaris 8）

インターネット

内部セグメント

セキュアエリア

マシンエリア

管理端末マシン(Windows® 2000)

ファイアウォールTOEがインスト－ルされるハ－ドウェア




IT環境

(凡例)

入退出管理

CA管理者

認証局に属する者

Enterprise Certificate ServerPKI Runtime LibraryKeymate/Crypto Run Time

Enterprise Certificate ServerPKI Runtime LibraryKeymate/Crypto Run Time

Enterprise Certificate Server Set 01-01-A

TOEであるソフトウェアの構成

FIPS 140-2Level 3認証

FIPS： Federal Information Processing Standard

（１） TOEに関連するシステムとTOEのソフトウェア構成


TOEとしては以下のセキュリティ機能を提供している。

• 識別と認証機能管理端末を通じたCAサーバの利用者を識別し、認証する。

• アクセス制御機能－予め定められたECS利用者の権限に基づいたアクセス制御。－従来のアクセス制御に加えて、特に重要な利用者データへの操作

に対しては、複数のECS利用者による「合議操作」を要求する

• 監査機能認証局が適切に運用されていることを監査するために必要な情報を監査ログとして記録。監査ログの保護、表示、管理を行う。

• 暗号化機能－各種設定情報を格納する領域を暗号化。－ CAサーバと管理端末間の通信路の暗号化。

• CA情報管理機能認証局を適切に運用するための、CAサーバの動作に関する設定機能を提供。

（２） TOEが提供するセキュリティ機能


前提条件（１）利用環境

－ A.TOE_SEP （不正な干渉からの分離）－ A.ABSTRACT_ACCOUNT （下位抽象マシンのアカウント）－ A.PASSWORD （パスワードの管理）－ A.IT_ENV （TOEのIT環境）

（２）物理管理－ A.ABSTRACT （下位抽象マシンの動作）－ A.SETTING （設置エリア）－ A.AREA （エリアの保護）

（３）接続・動作環境－ A.FIREWALL （ファイアウォール）

脅威－ T.UNAUTH_ACCESS （不正なアクセス）－ T.IMPERSON （不正ログイン）－ T.TOE_SECRET （秘密情報の暴露）－ T.LINE_SECRET （通信回線上の秘密情報の暴露／改ざん）－ T.MISS （操作ミスによるデータ改ざん／削除）

Security Target

セキュリティ基本設計と基本設計の妥当性

（３） TOEが想定する前提条件（Assumptions）と脅威（Threats）


４．セキュリティ評価と評価保証レベル（EAL）

EAL4

EAL3

EAL2

EAL1

レベル

下流設計の第三者確認。実装表現／ソースコード、開発ツール等の確認。

方式的設計、テスト、レビュー

開発環境、構成管理などのセキュリティ対策。

日々の実践とサイト訪問による第三者確認。

方式的テスト、

及びチェック

上流設計の第三者確認。開発時の脆弱性分析。

出荷物の完全性。

構造化テスト

STによる基本設計。評価者による独立テスト。機能テスト

概要タイトル

【ISO/IEC 15408 Part 3から（IPA訳の抜粋）】

1.2.3 CC 評価保証の尺度CC 原理は、評価のための労力が大きくなれば、それだけ大きな保証結果が得られること、目標は、

必要な保証レベルを提供するために必要な最小の労力を適用することであると主張している。労力のレベルは、次のことに基づいて増加する。

a) 適用範囲－つまり、IT 製品またはシステムの含まれる部分が多くなると、労力は大きくなる。b) 深さ－つまり、詳細な設計や詳細な実装を使用すると、労力は大きくなる。c) 厳格性－つまり、より構造化された、形式的な方法で適用されると、労力は大きくなる。

【ISO/IEC 15408 Part 3から（IPA訳の抜粋）】

1.2.3 CC 評価保証の尺度CC 原理は、評価のための労力が大きくなれば、それだけ大きな保証結果が得られること、目標は、

必要な保証レベルを提供するために必要な最小の労力を適用することであると主張している。労力のレベルは、次のことに基づいて増加する。

a) 適用範囲－つまり、IT 製品またはシステムの含まれる部分が多くなると、労力は大きくなる。b) 深さ－つまり、詳細な設計や詳細な実装を使用すると、労力は大きくなる。c) 厳格性－つまり、より構造化された、形式的な方法で適用されると、労力は大きくなる。

深さ・厳格性

TOE

注：「EAL」はセキュリティ強度ではない！


• 利用者／ベンダーの側面－対象とする利用者の立場：当該製品で期待又は要求する

セキュリティ品質（保証の度合い）。

－ベンダーの立場：開発面でのセキュリティアピール性。

• EAL選定の目安

－コストとのバランス。評価の期間は？（過度なEALにならないように。）

－調達条件

－市場／業界の動向

－当該製品の性質、利用環境

一般的に以下のような要素が考えられる。

（１）そもそもISO/IEC 15408適用とEAL選定の考え方は？


■ 各省庁の調達におけるセキュリティ水準の高い製品等の利用方針（平成13 年3 月29 日）

［行政情報化推進各省庁連絡会議了承］

別添６

ISO/IEC15408 に基づく認証が想定される製品カテゴリー例

・オペレーティングシステム・データベース管理システム（DBMS）・ファイアウォール・PKI（電子認証局関連）・VPN（仮想専用回線ネットワーク）・IC カード

・同リーダー・PC アクセス制御（ディスクアクセスの制御機器など）

・通信ソフトウェア・ATM（キャッシュディスペンサー）

IPA 調査（平成１２年１２月現在）

別添６

ISO/IEC15408 に基づく認証が想定される製品カテゴリー例

・オペレーティングシステム・データベース管理システム（DBMS）・ファイアウォール・PKI（電子認証局関連）・VPN（仮想専用回線ネットワーク）・IC カード

・同リーダー・PC アクセス制御（ディスクアクセスの制御機器など）

・通信ソフトウェア・ATM（キャッシュディスペンサー）

IPA 調査（平成１２年１２月現在）

■ ISO/IEC 15408を活用した調達のガイドブック Version 1.06［経済産業省］［注最新はVersion 2.0 (2004.8.11公

開)］

■ EAL選定：以下を考慮し、『EAL3』とした。・国内制度の立ち上がり期であること。・先行する海外の認証取得状況。・評価保証レベルの意義。

電子政府

ｅ－Ｊａｐａｎ重点計画：様々なセキュリティ施策

（２） ISO/IEC 15408適用背景とEAL選定について


（３） EAL3認証取得の意義

日立の認証局システムEnterprise Certificate Server Setが「EAL3」の認証取得。日立の認証局システムEnterprise Certificate Server Setが「EAL3」の認証取得。

ISO/IEC 15408

EAL3の要件

インタビュー、サイト確認

ドキュメント評価

セキュリティ基本設計

ミーティング

配付

設置、生成、立上げ。ガイダンス。

「EAL3」の認証取得ということは、

・製品のセキュリティ設計の妥当性だけでなく、・開発、出荷、インストール、使用に至るライフサイクルでセキュリティを

考慮したプロセス、手法が取られている。ということが、ISOという国際規格に照らし合わせて、第三者が評価したという

証しであり、これを宣言できる。

「EAL3」の認証取得ということは、

・製品のセキュリティ設計の妥当性だけでなく、・開発、出荷、インストール、使用に至るライフサイクルでセキュリティを

考慮したプロセス、手法が取られている。ということが、ISOという国際規格に照らし合わせて、第三者が評価したという

証しであり、これを宣言できる。


評価保証レベルに基づく保証コンポーネント保証クラス保証ファミリ

EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 ACM_AUT CM 自動化 1 1 2 2 ACM_CAP CM 能力 1 2 3 4 4 5 5

構成管理

ACM_SCP CM 範囲 1 2 3 3 3 ADO_DEL 配付 1 1 2 2 2 3 配付と運用 ADO_IGS 配付、生成、立上げ 1 1 1 1 1 1 1 ADV_FSP 機能仕様 1 1 1 2 3 3 4 ADV_HLD 上位レベル設計 1 2 2 3 4 5 ADV_IMP 実装表現 1 2 3 3 ADV_INT TSF 内部構造 1 2 3 ADV_LLD 下位レベル設計 1 1 2 2 ADV_RCR 表現対応 1 1 1 1 2 2 3

開発

ADV_SPM セキュリティ方針モデル 1 3 3 3 AGD_ADM 管理者ガイダンス 1 1 1 1 1 1 1 ガイダンス文書 AGD_USR 利用者ガイダンス 1 1 1 1 1 1 1 ALC_DVS 開発セキュリティ 1 1 1 2 2 ALC_FLR 欠陥修正 ALC_LCD ライフサイクル定義 1 2 2 3

ライフサイクル

サポート

ALC_TAT ツールと技法 1 2 3 3 ATE_COV カバレージ 1 2 2 2 3 3 ATE_DPT 深さ 1 1 2 2 3 ATE_FUN 機能テスト 1 1 1 1 2 2

テスト

ATE_IND 独立テスト 1 2 2 2 2 2 3 AVA_CCA 隠れチャネル分析 1 2 2 AVA_MSU 誤使用 1 2 2 3 3 AVA_SOF TOE セキュリティ機能強度 1 1 1 1 1 1

脆弱性評定

AVA_VLA 脆弱性分析 1 1 2 3 4 4

各保証要件から、必要な評価用証拠資料、開発時に使用する資材の準備が必要になる。

（ISO/IEC 15408 Part 3から）

評価に際し、何が必要？

（４）評価保証レベル（EAL）とセキュリティ保証要件の対応


■ 基本的な認証取得までの流れ（一般的なプロセス）

評価フェーズ調査／認証フェーズ

ETR CR

準備フェーズ

OR： Observation Report（所見報告書）／評価機関が問題点と見なした場合に発行。ETR：Evaluation Technical Report （評価報告書）／評価機関が作成する。CR：Certification Report （認証報告書）／認証機関が作成する。

評定委員会認証書発行

認証申請 IPA

認証機関認証機関

評価機関評価機関申請者申請者

（１）一般的な申請から認証までの道のり

OR

・ISO/IEC 15408の理解

・セキュリティ評価認証制度の理解・評価機関の教育などが充実すると有効。・評価に必要な資料の準備。

５．認証取得に向けて

制度文書申請者手引き

etc

ISO15408 CEM


CEM Part 2 「EAL3で要求する評価の入力

物」• Security Target• テストに適したTOE • 構成管理証拠資料• 機能仕様• 上位レベル設計• TOE要約仕様と機能仕様の間の対応分析

• 機能仕様と上位レベル設計の間の対応分析• 開発セキュリティ証拠資料• テスト証拠資料• テストカバレージ分析• テストの深さ分析• テスト手順• セキュアな設置・生成・立上げの手順• 管理者ガイダンス• 利用者ガイダンス• 配付証拠資料• TOEセキュリティ機能強度の分析• 脆弱性分析

• 機能強度の主張分析

公開されているSTの6.3章「保証手段」抜粋

注：その他、必要に応じて関連資料等が評価の候補になる可能性がある。

ISO15408

CEM

（２）評価用ドキュメントの準備


本TOEでの参考例：

• 認証申請： 2003.10.15• 評価開始： 2003.10.27• 評価報告書： 2004.7.5• 認証取得： 2004.8.3

本TOEでの参考例：

• 認証申請： 2003.10.15• 評価開始： 2003.10.27• 評価報告書： 2004.7.5• 認証取得： 2004.8.3

（３）セキュリティ評価の成果

日立の認証局システムEnterprise Certificate Server Setが「EAL3」の認証取得。日立の認証局システムEnterprise Certificate Server Setが「EAL3」の認証取得。

EAL3の取得により、単に機能を備えているだけではなく、機能を設計、開発、出荷、

設置・運用までの過程で、セキュリティを考慮したプロセス・手法が評価された。

推進においては、先行したST確認（確認番号：V006）のノウハウを継承。

ST


ドキュメント間の関連性（トレーサビリティ）：EAL1

SFR

SFR

SFR

SF

SF

SF

Interface1(…)Interface2(…)Interface3(…)Interface4(…)Interface5(…)Interface6(…)

ADV_RCRADV_RCR

TOEセキュリティ機能インタフェース(TSFI)とセキュリティ機能要件との対応を保証

EAL1

ソースコード

SFR: Security Functional Requirement SF: Security Function SS: Subsystem M: Module

機能仕様(FSP)ST 下位レベル設計（LLD）上位レベル設計(HLD) 実装表現(IMP)

ADV_FSP（非形式的）

非公開

（４）ソフトウェアにおけるセキュリティ評価用ドキュメント


ドキュメント間の関連性（トレーサビリティ）：EAL2～EAL3

SFR

SFR

SFR

SF

SF

SF


機能仕様(FSP)

ADV_RCRST

SS1

SS3

SS2

下位レベル設計（LLD）上位レベル設計(HLD) 実装表現(IMP)

ADV_RCR

サブシステムとセキュリティ機能要件との対応を保証


ソースコード

EAL2,EAL3EAL1


ADV_FSPADV_HLD 非公開


ドキュメント間の関連性（トレーサビリティ）：EAL4

SFR

SFR

SFR

SF

SF

SF


ADV_RCR

SS1

SS3

SS2 M1

M3

M2

ADV_RCR ADV_RCRADV_RCR

ADV_LLDADV_IMP

実装表現のサブセットとセキュリティ機能要件との対応を保証

モジュールとセキュリティ機能要件との対応を保証

サブシステムとセキュリティ機能要件との対応を保証


ソースコード

EAL4

EAL1EAL2,EAL3


機能仕様(FSP)ST 下位レベル設計（LLD）上位レベル設計(HLD) 実装表現(IMP)

ADV_FSPADV_HLD


６．セキュリティ評価を通じて

• TOEの明確化

TOEの境界、保護資産、脅威の明確化と所在

対象ユーザ、対象ユーザと保護資産の操作権限の考慮

開発当初からのセキュリティ検討

• EALの選定と開発プロセスへの影響

EALが上がるに従い、評価で要求される証拠資料(evidence)の準備

が増大（製品開発への影響の可能性）。

EALの高さによっては、想定したセキュリティ機能が他の機能から干渉されないことを内部構造の観点から評価（開発初期からの内部構造の検討が求められる。）

• ISO/IEC 15408を開発関係者に理解してもらうことが必要ISO/IEC 15408、CEMの記述が難解

• 開発規則、基準等の整備と日々の実践

今回の経験から、一般論であるが、以下が大切と思われる。


７．セキュリティ評価及び認証における課題

• 全体として

– CC、CEMの解釈の難しさ。

例：認証機関、評価機関、申請者間の意見調整。

ガイド類の充実が必要。

– 事例や参考になる情報が少ない。

例： Protection Profileが欧米に比べて少ない。

– セキュリティ評価の意義の浸透。例： ISO9001、ISMSとの違い。

• 評価における課題

– 評価スケジュールとの調整（キックオフ等）

– 評価者－申請者／開発者間のコミュニケーション

• 認証における課題

– 評価報告書発行以降の進捗状況の把握


他社商品名、商標等の引用に関する表示

•nShieldは，英国nCipher Corporation Ltd.の商標又は登録商標です。•Solarisは，米国Sun Microsystems, Inc. の米国およびその他の国における商標または登録商標です。•Windowsは，米国およびその他の国における米国Microsoft Corp.の登録商標です。

日立認証局システム enterprise certificate server …enterprise certificate server pki...

Documents