Common Criteriaとは
- ISO/IEC 15408 (Common Criteria)に基づく認証制度
- 15408語呂合わせ : 引越しオーバー! (154 08)
- 製品が、上記規格におけるセキュリティ評価基準をもとに作成された 「プロテクション・プロファイル(PP)」や「セキュリティ・ターゲット(ST)」等 の仕様書に準拠して実装されていることを第三者機関が検証
- 日本では、IPA(情報処理推進機構)が同制度を運営
- PP (Protection Profile)
- 個々の製品カテゴリ―ごとに作成されるセキュリティ要求仕様書
- 主に業界団体等によって作成・公表
- ST (Security Target)
- 評価対象の製品ごとに作成されるセキュリティ設計仕様書
- 当該製品の開発者によって作成
- 対応するPPが存在する場合には、これを参考にして作成可能
- 7段階の評価保証レベル(EAL)が定義されており、開発者が製品に要求
される信頼度に応じて選択したレベルに基づき検証
- 注意事項 : この認証は選択されたEALのもとで、セキュリティ機能が適切に 実装されていることを検証するものであり、セキュリティ機能自体の強度 (安全性)を検証するものではない
PP (Protection Profile)の例
- Oracle - Java Card Protection Profile
- Java Card v3.05に対するProtection Profileダウンロードサイト
- ここのページには下記の2つのProtection Profileがあるが、これはJava Card固有の話。要はJava Card搭載製品出荷後、アプリケーションのダウンロードを行う必要があるかどうかによって2つを用意
- Open Configuration : supports post-issuance downloading of applications。例えばpostissuance content management機能
- Closed Configuration : without support for post-issuance downloading of applications.
- GlobalPlatform - TEE PP
ST (Security Target)の例
- NXP - NXP JCOP6.x Secure Element
- Productに関するSecurity Targetの例