2015/05/25

NTTデータ金子さんのセキュリティケース「CC-Case」を公開しました!

  • 名前(Name)
    • CC-Case
  • 意図(Intent)
    • ITセキュリティ評価の国際標準であるコモンクライテリア(CC:Common Criteria. ISO/IEC15408と同義)とアシュアランスケース(ISO/IEC15026)を用い,セキュリティ仕様を顧客と合意の上で決定する手法としてCC-Caseを提案。
  • 動機(Motivation)
    • セキュアな仕様を作成するため。    
  • 構造(Structure)








  • 適用条件(Applicability)
    • CCに基づき、セキュアな仕様を記述する場合。
  • 使用方法(Implementation) 
    • セキュリティコンセプトの定義,対策立案,要約仕様の手順を定めST(セキュリティターゲット)に必要な成果物を作成する.この手順をアシュアランスケースとして定義し,証跡を残す.こうして作成したセキュリティ仕様アシュアランスケースは,CC準拠と顧客と合意による保証の根拠となる.この一連の作業を行う手法がCC-Caseである.
  • 前例(Known Usage)
    • CC-Case~コモンクライテリア準拠のアシュアランスケースによるセキュリティ要求分析・保証の統合手法,情報処理学会論文誌(ジャーナル)セキュリティ特集号2014(研究会バージョンへのリンク
  • (Example)
    • 脅威の適用事例, TOEセキュリティ対策方針適用事例
  • 関連D-Case (Related patterns) 
    • CC-Case~コモンクライテリア準拠のアシュアランスケースによるセキュリティ要求分析・保証の統合手法,情報処理学会論文誌(ジャーナル)セキュリティ特集号2014 (研究会バージョンへのリンク)