[コラム]ISO/IEC15408におけるセキュリティ脆弱性の評価〜どのようにして脆弱性を探索するか〜

出典:みずほ情報総研ホームページ（http://www.mizuho-ir.co.jp/）「コラム／みずほ情報総研（株）　情報・コミュニケーション部 中山 和郎　２００７年１１月６日付」より

ISO/IEC15408（Common Criteria；CC）とは、昨今、IT業界にて知られるようになってきたIT製品・システムのセキュリティを検査するために国際的に利用されている規格である。この規格は過渡期にあり、日本では昨年から従来規格の課題を整理した新規格であるCC Ver.3.1の利用が可能であるが、ここ最近、IT製品・システムを提供する各社とも対応を開始するようになった。


CC Ver.3.1では旧規格に対してEAL（評価保証レベル）で示される1〜7の段階に応じて検査の詳細度を変える枠組みや、保証される個々の内容に大きな変更点はないが、どの段階のEALを選択しても脆弱性の検査が義務付けられたことは大きな変更点である。


●ISO/IEC15408における脆弱性の考え方

IT製品・システムにおけるセキュリティの脆弱性とは、情報の漏洩、改ざん、システムの動作停止等の攻撃を被る糸口となりうるいわゆるセキュリティ上の問題点のことであるが、この用語については一般に定着しつつあるので、詳しくはIT用語を解説するサイトなどの説明を参照していただきたい。


さて冒頭でISO/IEC15408の新規格CC Ver.3.1ではどの段階のEALを選択しても脆弱性の検査を実施することになったと述べたが、それでは評価機関では「どこまで検査を実施するのか」、「検査された対象には脆弱性は存在しないのか」、という点について説明したい。率直な結論からいえば、検査の結果として合格になった対象においてありとあらゆる脆弱性がまったく存在しないことを確認した、というわけではない。「それでは何のための検査だ？」と思われる読者も多いと思われるが、評価機関は、申請者から提供される資料を分析の対象とし、「発生し得る攻撃のうち対処する必要がある脆弱性」 は存在しないことが保証されている場合に合格と判定する。


申請者から提供される資料は、EALの段階に応じて異なる。高い段階のEALでは、より詳細な設計開発資料やソースコードなどが評価機関へ提供される。つまり脆弱性の検査は、EALの段階に応じてブラックボックステスト（仕様通りに機能するかのみの検査）からホワイトボックステスト（内部構造を把握した上での検査）に近づき、検査結果精度がより確かなものになると考えていただきたい。


では「発生し得る攻撃のうち対処する必要がある脆弱性」とは何であろうか。これには一口に脆弱性と言っても、様々なタイプが存在することを理解する必要がある。


例えば問題箇所を明らかにするために高い技術力、設備、労力を必要とするものであっても、一度問題箇所が分かってしまえば、ITの高度な専門知識を持たなくとも攻撃が成立してしまうようなものがある。具体的には、公表される脆弱性情報のほとんどは、その脆弱性情報を確定させるために、それなりの労力を要していると思われるが、一旦公開されてしまえば、不正コードは早いもので数日の内に作成・公開されてしまうことがある。そうかと思えば、問題箇所の存在が比較的容易に確認し得るとしても、実際に攻撃を成立させるために膨大な時間が必要なものもある。


つまり脆弱性を確認するまでの敷居及びその脆弱性を使った攻撃を成立させることに対する敷居を踏まえて、最終的に開発者が対策すべき脆弱性と、残存することが許容される脆弱性の判断を行っている。


●ISO/IEC15408における脆弱性の検査

上記の脆弱性の考え方に述べた脆弱性の判断には、脆弱性を攻撃した場合を 想定し、以下の5つのファクタの分析を行う。

　・攻撃に要する所要時間
　・攻撃を行うことが出来る機会の程度
　・攻撃の技術的な難易度
　・攻撃を行うときの攻撃対象の秘密情報の必要性
　・攻撃を行うための設備


これらファクタは規格の中でそれぞれ段階に応じてレート（評価値）が付けられており、その総和をとって最も敷居が低くなる攻撃シナリオを想定する。そして各攻撃シナリオの想定を確証するために、実際に各攻撃シナリオに基づく侵入テストを実施する。


実際の脆弱性の検査では、予め細かいレート付けに基づく攻撃シナリオ作りまでは実施しない。これには理由がある。攻撃シナリオは評価者による論理考察から導かれるものであるが、脆弱性が悪用できるかどうかは実際に侵入テストをやってみなければわからない部分も多いためである。例えば攻撃の技術的な難易度は、テストの実行プロセス及び結果を受けて、どれぐらいの難易度の攻撃手法であるかを判定していくことになる。また最初の脆弱性の想定はトリガーでしかなく、実際の攻撃方法についてはテストの過程でリターンされるメッセージや特性等を踏まえて、動的に次の攻撃シナリオを評価者が考えていくケースが多いためである。


●ISO/IEC15408における脆弱性の評価を受けるメリット

IT製品・システムにおいて搭載される機能やサービスは高度・複雑化が進んでいるため1つのIT製品・システムの開発に必要なリソースの規模は、明らかに増加傾向にある。更にビジネス戦略に基づいた市場投入計画からの要請により非常に短期間で開発することが求められる場合もある。このような問題を解消し、IT製品・システムを組み上げるためには、自社内の対応だけでは難しく、企業間協力体制が必要になってくる。実は、脆弱性はこのようなIT製品・システムの開発が複雑化するプロセスから入り込む可能性があり、系統的なセキュリティ検査がますます必要となってきている。


IT製品・システムは、各開発コンポーネントを結合して、品質評価プロセスにて最終的な確認検査が行われる。しかし品質評価プロセスにおいて、検査技術・体力の両面において十分な体制を敷くことは、困難な場合も多い。結果的には、主たる目的であるビジネス要件の確認検査で手一杯になることが多く、セキュリティの検査を体系立てて実施しているケースは、まだまだ少ないようである。


ISO/IEC15408における評価機関による脆弱性の第三者評価は、品質評価プロセスで確認することが難しいセキュリティの検査を補完するとともに、ISO/IEC15408を取得となれば、国際規格をクリアしたという対外的なアピールにも繋がる。是非積極的に活用してもらいたい。