Common Criteriaとは

• ISO/IEC 15408 (Common Criteria)に基づく認証制度
• 15408語呂合わせ : 引越しオーバー！ (154 08)
• 製品が、上記規格におけるセキュリティ評価基準をもとに作成された 「プロテクション・プロファイル(PP)」や「セキュリティ・ターゲット(ST)」等 の仕様書に準拠して実装されていることを第三者機関が検証
• 日本では、IPA(情報処理推進機構)が同制度を運営
• PP (Protection Profile)
  • 個々の製品カテゴリ―ごとに作成されるセキュリティ要求仕様書
  • 主に業界団体等によって作成・公表
• ST (Security Target)
  • 評価対象の製品ごとに作成されるセキュリティ設計仕様書
  • 当該製品の開発者によって作成
  • 対応するPPが存在する場合には、これを参考にして作成可能
• 7段階の評価保証レベル(EAL)が定義されており、開発者が製品に要求 される信頼度に応じて選択したレベルに基づき検証
  • 注意事項 : この認証は選択されたEALのもとで、セキュリティ機能が適切に 実装されていることを検証するものであり、セキュリティ機能自体の強度 (安全性)を検証するものではない

PP (Protection Profile)の例

• Oracle - Java Card Protection Profile
  • Java Card v3.05に対するProtection Profileダウンロードサイト
  • ここのページには下記の2つのProtection Profileがあるが、これはJava Card固有の話。要はJava Card搭載製品出荷後、アプリケーションのダウンロードを行う必要があるかどうかによって2つを用意
    1. Open Configuration : supports post-issuance downloading of applications。例えばpostissuance content management機能
    2. Closed Configuration : without support for post-issuance downloading of applications.
• GlobalPlatform - TEE PP

ST (Security Target)の例

• NXP - NXP JCOP6.x Secure Element
  • Productに関するSecurity Targetの例

Link

• Common Criteria Portal
• CC Licensed Laboratories (認定ラボ)
• IPA - CC (ISO/IEC 15408) 概説
• IPA - CCセミナー資料
• enisa - ICT Certification laboratories