情報セキュリティアドミニストレータ試験平成16年問35
JIS X 5070(ISO 15408;情報技術セキュリティ評価基準)に関する記
述のうち、適切なものはどれか。
ア 開発と並列して評価はできず、評価対象となる製品の開発が完
了してから、評価を開始する。
イ 情報資産に損害を与える危険性として、機密性、完全性を損な
うだけではなく、可用性を損なう脅威も対象としている。
ウ 評価対象となる製品は、要件定義、概要設計、詳細設計を行っ
た後にプログラム開発を行う、ウォータフォール型開発方式に従
わなければならない。
エ 保証維持の基準は含まれないが、セキュリティ要件や環境の変
化などに伴って行われる評価済み製品の再評価の手順を対象範囲
としている。
解答
イ 情報資産に損害を与える危険性として、機密性、完全性を損な
うだけではなく、可用性を損なう脅威も対象としている。
◇ISO/IEC 15408 とは。。。
「ISO/IEC 15408 情報技術セキュリティ評価基準」は、情報技術セキュ
リティの観点から、情報技術に関連した製品およびシステムが適切に設
計され、その設計が正しく実装されているかどうかを評価するための
セキュリティ基準です。
1999年6月にISO/IEC規格として承認されました。
また、2000年7月にはJIS X 5070として制定されました。
規定される内容は次の3つのパートで構成されています。
PART1:Introduction and general model(概説と一般モデル)
・セキュリティシステム構築のアプローチ
・PP:プロテクションプロファイル「セキュリティ要求仕様書」
・ST:セキュリティターゲット「セキュリティ基本設計書」
PART2:Security functional requirements(セキュリティ機能要件)
・STやPPを策定する過程において満たすべき機能要件
・11種類の機能要件がある
PART3:Security assurance requirements(セキュリティ保証要件)
・IT製品や個別システムにセキュリティ機能が実現されていることの保
証を求める
・10種類の保証要件がある
・セキュリティレベル=EAL(Evaluation Assurance Level)1~7がある
> ア 開発と並列して評価はできず、評価対象となる製品の開発が完
> 了してから、評価を開始する。
誤った記述です。
PART1におけるPP(セキュリティ要求仕様)とST(セキュリティ基本設計書)
で概要を把握することができ、開発と並列して評価をすることが可能です。
> イ 情報資産に損害を与える危険性として、機密性、完全性を損な
> うだけではなく、可用性を損なう脅威も対象としている。
正しい記述です。
可用性に関しては、PART2のセキュリティ機能要件の中に記述されています。
> ウ 評価対象となる製品は、要件定義、概要設計、詳細設計を行っ
> た後にプログラム開発を行う、ウォータフォール型開発方式に従
> わなければならない。
誤った記述です。
評価対象となる製品は、プログラム開発を行うソフトウェア製品に限った
ことではありません。
また、ソフトウェア製品であったとしても、開発方式に規定はありません。
> エ 保証維持の基準は含まれないが、セキュリティ要件や環境の変
> 化などに伴って行われる評価済み製品の再評価の手順を対象範囲
> としている。
誤った記述です。
保証維持の基準に関しては、PART3のセキュリティ保証要件の中に記述さ
れています。
保証維持とは、保守作業において、セキュリティを確保するための要件です。
述のうち、適切なものはどれか。
ア 開発と並列して評価はできず、評価対象となる製品の開発が完
了してから、評価を開始する。
イ 情報資産に損害を与える危険性として、機密性、完全性を損な
うだけではなく、可用性を損なう脅威も対象としている。
ウ 評価対象となる製品は、要件定義、概要設計、詳細設計を行っ
た後にプログラム開発を行う、ウォータフォール型開発方式に従
わなければならない。
エ 保証維持の基準は含まれないが、セキュリティ要件や環境の変
化などに伴って行われる評価済み製品の再評価の手順を対象範囲
としている。
解説
難易度 ★★★解答
イ 情報資産に損害を与える危険性として、機密性、完全性を損な
うだけではなく、可用性を損なう脅威も対象としている。
◇ISO/IEC 15408 とは。。。
「ISO/IEC 15408 情報技術セキュリティ評価基準」は、情報技術セキュ
リティの観点から、情報技術に関連した製品およびシステムが適切に設
計され、その設計が正しく実装されているかどうかを評価するための
セキュリティ基準です。
1999年6月にISO/IEC規格として承認されました。
また、2000年7月にはJIS X 5070として制定されました。
規定される内容は次の3つのパートで構成されています。
PART1:Introduction and general model(概説と一般モデル)
・セキュリティシステム構築のアプローチ
・PP:プロテクションプロファイル「セキュリティ要求仕様書」
・ST:セキュリティターゲット「セキュリティ基本設計書」
PART2:Security functional requirements(セキュリティ機能要件)
・STやPPを策定する過程において満たすべき機能要件
・11種類の機能要件がある
PART3:Security assurance requirements(セキュリティ保証要件)
・IT製品や個別システムにセキュリティ機能が実現されていることの保
証を求める
・10種類の保証要件がある
・セキュリティレベル=EAL(Evaluation Assurance Level)1~7がある
> ア 開発と並列して評価はできず、評価対象となる製品の開発が完
> 了してから、評価を開始する。
誤った記述です。
PART1におけるPP(セキュリティ要求仕様)とST(セキュリティ基本設計書)
で概要を把握することができ、開発と並列して評価をすることが可能です。
> イ 情報資産に損害を与える危険性として、機密性、完全性を損な
> うだけではなく、可用性を損なう脅威も対象としている。
正しい記述です。
可用性に関しては、PART2のセキュリティ機能要件の中に記述されています。
> ウ 評価対象となる製品は、要件定義、概要設計、詳細設計を行っ
> た後にプログラム開発を行う、ウォータフォール型開発方式に従
> わなければならない。
誤った記述です。
評価対象となる製品は、プログラム開発を行うソフトウェア製品に限った
ことではありません。
また、ソフトウェア製品であったとしても、開発方式に規定はありません。
> エ 保証維持の基準は含まれないが、セキュリティ要件や環境の変
> 化などに伴って行われる評価済み製品の再評価の手順を対象範囲
> としている。
誤った記述です。
保証維持の基準に関しては、PART3のセキュリティ保証要件の中に記述さ
れています。
保証維持とは、保守作業において、セキュリティを確保するための要件です。