*EN 18031シリーズにおける各メカニズム要求の合否判定は下のような手順です。
下の「3つの評価タイプ」と、規格内に記載されている「決定木(Decision Tree)」で行われる。
A.評価タイプ:3つの評価
1.概念評価 (Conceptual Assessment)
2.機能完全性評価 (Functional Completeness Assessment)
3.機能十分性評価 (Functional Sufficiency Assessment)
1.概念評価 (Conceptual Assessment
(1)焦点: 「文書」の審査
(2)方法: 製造業者がセキュリティ要件をどのように解釈し、それらを実施する計画を立てているかを自社内、またはNBが審査することにある。
即ち、製造業者がセキュリティ要件を包括的に理解しているかを確認すること。
(3)合否判定: 提出されたドキュメントが規格の意図するセキュリティ要件を十分に理解し、計画されていることを示しているかどうかに基づいて判断される。
2.機能完全性評価 (Functional Completeness Assessment):
(1)焦点: デバイスおよびそのセキュリティ機能に関するすべての側面が適切に文書化され、内容に反映されているかどうかを確認する。
(2)方法: 例えば、ネットワークスキャナーを用いて、すべての外部インターフェースが正しく識別されているかを検証するなど。
(3)合否判定: 関連するセキュリティ機能やインターフェースが適切に特定され、文書化されているかどうかに基づいて判断されます。欠落や不備があれば不合格となる。
3.機能十分性評価 (Functional Sufficiency Assessment):
(1)焦点: 一歩進んで、セキュリティ対策が実際に実施され、その結果が調査される。
(2)方法: この評価では、実践的な試験がよく行わる。例えば、ネットワークインターフェースの堅牢性をチェックするためにファジングテストなどが実施される。
(3)合否判定: 実際に製品をテストし、実装されたセキュリティメカニズムが期待される機能と耐性を持っているかどうかを確認する。テスト結果が規格の要件を満たさない場合、不合格となる。
B. 決定木(Decision Tree)
EN 18031シリーズでは、意思決定および評価において明確な指針を与えるべく、決定木による方式を採用している。
(1)ほとんどの決定木は、対象機器を起点とし、その後に要素(「資産」など)が続き、順番に決定されていく。
(2)各要素において、機器の特性や関連する環境要因に関する質問が提示され、それに回答することで分岐より、決定が進む。
(3)各決定木は、少なくとも1つ以上の「合格(PASS)」および「不合格(FAIL)」の経路になっている。また、必要に応じて、1つ以上の「該当なし(NOT APPLICABLE)」の経路を設けることができる。
*合否を判断の例
例えば、「アクセス制御メカニズム(ACM)」の評価では、①まず「概念評価」でアクセス制御の設計思想が適切か、次に②「機能完全性評価」で必要なアクセス制御機能が「すべて文書化」されているか、最後に③「機能十分性評価」で実際にアクセス制御が正しく機能するか(不正アクセスが防止されるかなど)が確認される。これらの評価段階で決定木に従って質問に回答し、最終的な合否を判断する。