パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ネット家電もウイルス対策を」記事へのコメント

  • ISO/IEC15408認証(CC:Common Criteria)というのがあり、
    情報システム/製品のセキュリテイ評価/認証が行われています。

    ITセキュリティ評価及び認証制度(JISEC)
    http://www.ipa.go.jp/security/jisec/index.html

    電子政府ということで日本政府としても下記施策を実施しており、実際の認証取得がどの程度広がるか興味/心配があります。

    ・政府調達の情報システムについてセキュリテイ要件としてCC取得が必須要件になる。
    ・情報基盤強化税制として認証済機器(OS/DBMS/FW)購入で税制上措置が講じられた。

    現時点の認証済み機器は、デジタル複合機が大半のようですが、
    今後、どの程度広
    • 情報基盤強化税制におけるマイクロソフト製品の ISO/IEC 15408 取得状況について
      http://www.microsoft.com/japan/technet/security/news/isoiec15408.mspx

      >Windows XP Professional SP2  EAL4+  2005 年 11 月
      >Windows Server 2003 (Standard, Enterprise, Datacenter) EAL4+  2005 年 11 月

      ↑について気になった点があります。誰か教えてください。
      • 必須パッチなどの記載は無し→SP2まで当てれば後は当てなくともCC認証通ったままでいて良いのか?
      • OSカーネル部分のパッチ当てたらデグレードテストしなくて良いのか?(+現状が十分テストできているのか?:-)
      • 仮にXP
      • ちょっと日付が古いんですが、 ST[PDF] [bahialab.com]があります。

        STに対する認証は、対象のシステム・製品のセキュリティ機能の設計に関するものなので、

        > 必須パッチなどの記載は無し→SP2まで当てれば後は当てなくともCC認証通ったままでいて良いのか?
        > OSカーネル部分のパッチ当てたらデグレードテストしなくて良いのか?(+現状が十分テストできているのか?:-)
        STに記載されたセキュリティ要件にかかわる修正であることを仮定して。
        # STに記載されていない機能については関係ありません。
        ## と割り切れない複雑さは置いておいて。

        CCでは、認証の維持などの制度についてを規定していません。
        例えば日本では、認証機関において保証継続の可否を決定します(ITセキ [ipa.go.jp]
        • ありがとうございます。
          自分でも少し追加確認してみました。
          「Windows プラットフォームの Common Criteria Certification」
          http://www.microsoft.com/japan/technet/security/prodtech/windowsserver2003/ccc/default.mspx
          を参照したところ、英語情報には必要なhotfix(TOE)が明記されているのに。現状の日本語情報には記載されていません。大した分量では無いのだから、TOEとして明記されている条件は日本語文書にも明記して欲しいものです。
          http://www.microsoft.com/japan/technet/security/prodtech/windowsserver2003/ccc/default.mspx
          #原文当たるのが当然というのはさて置いて

          >STに対する認証は、対象のシステム・製品のセキュリティ機能の設計に関するものなので、
          >影響が軽微ならSTに追加情報を記載、影響が大きければ再評価。

          EAL*と評価されていても、セキュリティ要件に関わらない「はず」の機能修正により、各種脆弱性が結果的に追加実装されて配布される可能性は避けられないのでしょうかね。所詮はそのような余地を設計段階から減らす事の積み重ねしかできないかな。
          評価項目はCEMで規定されているにせよ、人間の見落としは所詮避けられないものだし。

          建設業界では構造設計の偽装や評価機関の問題が出てますが、イーホ^Hシーシーさんに評価依頼すると速くて安くCC認証取得できるから注文増えるとか、そんな事が無い様にお願いしたいものです。
          #実際には利用検討するだろうが:-)

          電子政府向け情報提供システムプロテクションプロファイル
          http://www.ipa.go.jp/security/fy13/evalu/pp_st/e_publication_pp_v10.pdf
          P11
          >2.6.2. TOE に含まれない機能
          >以下の機能は、本TOE に含まれない機能であるが、TOE である情報提供システムを利用するために、一般的に必要もしくは必要となる可能性のある機能である。
          >
          親コメント

アレゲは一日にしてならず -- アレゲ研究家

処理中...