Smart Card Guy

Smart Card, Java Card, PCI DSS, IoT Device Security

Common Criteriaとは

Common Criteriaとは

  • ISO/IEC 15408 (Common Criteria)に基づく認証制度
  • 製品が、上記規格におけるセキュリティ評価基準をもとに作成された 「プロテクション・プロファイル(PP)」や「セキュリティ・ターゲット(ST)」等 の仕様書に準拠して実装されていることを第三者機関が検証
  • 日本では、IPA(情報処理推進機構)が同制度を運営
  • PP (Protection Profile)
    • 個々の製品カテゴリ―ごとに作成されるセキュリティ要求仕様書
    • 主に業界団体等によって作成・公表
  • ST (Security Target)
    • 評価対象の製品ごとに作成されるセキュリティ設計仕様書
    • 当該製品の開発者によって作成
    • 対応するPPが存在する場合には、これを参考にして作成可能
  • 7段階の評価保証レベル(EAL)が定義されており、開発者が製品に要求 される信頼度に応じて選択したレベルに基づき検証
    • 注意事項 : この認証は選択されたEALのもとで、セキュリティ機能が適切に 実装されていることを検証するものであり、セキュリティ機能自体の強度 (安全性)を検証するものではない

PP (Protection Profile)の例

  • Oracle - Java Card Protection Profile
    • Java Card v3.05に対するProtection Profileダウンロードサイト
    • ここのページには下記の2つのProtection Profileがあるが、これはJava Card固有の話。要はJava Card搭載製品出荷後、アプリケーションのダウンロードを行う必要があるかどうかによって2つを用意
      1. Open Configuration : supports post-issuance downloading of applications。例えばpostissuance content management機能
      2. Closed Configuration : without support for post-issuance downloading of applications.
  • GlobalPlatform - TEE PP

Link