1

ISO15408認証取得について

キヤノン株式会社 カメラ開発センター明石 彰

2

EOS-1D Mark II ファームウェア ver.1.0.1

TOEの名称

3

デジタル画像のメリット

・現像プロセス不要

・経年劣化がない

・保管や検索が容易

・遠隔地に伝送が可能

事故査定用写真，工事写真，報道写真に

デジタル画像を使いたいというニーズは高い

（現に使われている）

背景(1)

4

デジタル画像のデメリット

・加工や修正が容易なため，証拠としての

信頼性が低い

画像を証拠として扱う分野（報道，土木，建設，

保険，医療分野）において，画像のオリジナル

性を検知できるシステムが要望されている．

背景(2)

5

新聞の改ざん写真例

2003年３月，ロサンゼルス・タイムズ紙

のカメラマンが，イラク戦争の写真を合

成・改ざんして問題になる

6

建設工事報告書での改ざん写真例

TV報道によると，県に提出した建設工

事の報告書に添付した写真から，建物

の一部を消去して，工事の進捗をごま

かした例があった

7

2002年11月デジタルSLRカメラ EOS-1Dｓ と

確認キット DVK-E1 を発売

2004年4月 デジタルSLRカメラ EOS-1D Mark II と

確認キット DVK-E2 を発売

8月 EOS-1D Mark II ファームウェアで

ISO15408認証を取得

キヤノン カメラ開発センターの取り組み

※DVK-E2は，上記カメラ以外に EOS-1Ds Mark II，EOS 20D にも対応

8

流通

販売

配信

検証データ：｢１００」

検証データ：｢１００」

検証データ：｢９９」

検証データ：｢１００」

改ざん

DVK-E2で検証

検証データ：｢１００」

検証データ：｢１００」不一致

一致◎改ざん

無

×改ざん

有

EOS-1D Mark IIで撮影

検証データ：｢１００」

・画像の検証データ生成・EOS-1D Mark II生成付加の検証データと照合

・画像に検証データ付加

画像オリジナル性の検証機能

9

P.Fn-31設定画面 再生画面

カメラの液晶モニター画面

パーソナルファンクションで

検証データ付加をON/OFF

切換え可能

画像に検証データが付加されて

いると，INFO表示で｢錠｣のアイコン

が表示される

｢錠｣のアイコン

10

オリジナルデータ確認キットDVK-E2

アプリケーション Data VerifierのGUI

SMカードとリーダーライター

11

流通

販売

配信

検証データ：｢１００」

検証データ：｢１００」

検証データ：｢９９」

検証データ：｢１００」

改ざん

検証データ：｢１００」

検証データ：｢１００」不一致

一致◎改ざん

無

×改ざん

有検証データ：｢１００」

・画像に検証データ付加

ＴＯＥの対象範囲

TOEの対象 キット側カメラ側

・画像の検証データ生成・EOS-1D Mark II生成付加の検証データと照合

12

CCRA認証結果を相互に承認する国際相互承認

評価機関セキュリティ評価を

実施.

認証機関評価結果の認証

評価機関の承認, 技術指導, 監督

申請者評価依頼

評価報告書

評価依頼

評価報告書

指導, 監督

認証申請

認証書

IPA

キヤノンECSEC

日本の評価・認証制度 (JISEC)

13

①評価・認証申請フェーズ

• 申請者は評価機関へ評価依頼し、認証機関へ認証を申請

②評価作業フェーズ

• 申請者は評価機関へ評価用文書（セキュリティ設計仕様書, 根拠文書など）を提出.

• 評価機関は評価基準と提出文書に基づき製品の上位設計からユーザへの説明書までの一貫性・完全性を評価.

• 認証機関は評価機関の評価手順・結果を指導・監督.

③認証作業フェーズ

• 認証機関は評価機関からの報告を確認し認証書を発行.

評価・認証申請フェーズ

完了

開始

評価作業フェーズ

認証作業フェーズ

申請者

評価機関

認証機関

CC評価・認証の手順

14

EOSにおけるＣＣ評価の実際

評価機関への打診 03/9月末↓評価機関とのNDA締結 (10月末付）↓評価業務委託契約 04/1月中↓認証申請 1月末評価開始 2月4日↓暫定ETR 6月初

↓ETR 6月末↓認証リスト公開 8月3日

STプレレビュー⇒STVer.1.0作成

評価機関へST案開示･見積り依頼

評価引合計画確認/NDA準備

認証報告書レビュー･評定委員会

■認証申請書類等の提出

認証申請書**・誓約書**・会社謄本評価作業実施計画書・公平性チェックリスト

ST Ver.1.0・証拠資料提出計画書弊社捺印済みNDA**記載事項変更届**

4ヶ月

4ヶ月 （**社印及び社長印要）（認証機関変更等の手続き）

2ヶ月

■評価機関との手続文書

評価引合い書TOE証拠資料提出計画書

NDA*・評価業務委託契約書*

（*社内審査、決裁書等社内調整要）

①

②

③

■認証評価手続き進捗

15

評価基準 (CC) および 評価方法 (CEM) に基づいて評価

• Security Target (ST) を作成

• セキュリティ設計が, 完全で一貫しており, かつ技術的にもれがない

ことを確認

• STを設計, 実装等をTarget of Evaluation (TOE) へブレークダウン

• STに記述されているセキュリティ要

件が正確かつ有効に実装されていることを確認

Security Targetを評価

セキュリティ設計を体系的, 網羅的に実施

TOE (製品またはシステム)を評価

CC評価

16

AGD(ガイダンス文書)

利用者ガイダンス

AVA(脆弱性評定)

脆弱性ドキュメント

ASE(ST評価)

ST

ATE(テスト)

テストドキュメント

ADO(配付と運用)

配付手続文書

ACM (構成管理) 構成管理文書

概念設計 設計/開発 テスト ユーザ配付

ADV(開発)

機能仕様書

上位レベル仕様書

対応分析書

ALC (ライフサイクル)開発セキュリティ文書

サイト訪問

CC評価の流れ (EAL2+ALC_DVS.1)

※ 注意EOS-1D Mark IIの評価の場合の評価ドキュメントであって,一般的なEAL2+ALC_DVS.1の評価ドキュメントではない

17

AVA

ATE

ALC

AGD

ADV

ADO

ACM

ASE

全体

8月7月6月5月4月3月2月1月▼ 07/26認証報告書

▼ 08/03認証

▼ 06/30評価報告書

▼Ver. 1.0

▼Ver. 1.4

▼Ver. 1.8

▼Ver. 1.0

▼Ver. 1.2

▼Ver. 1.3

▼Ver. 1.0

▼Ver. 1.3

▼Ver. 1.4

▼Ver. 1.0

▼Ver. 1.4など

▼Ver. 1.7など

▼Ver. 1.0

▼Ver. 1.2

▼Ver. 1.0

▼Ver. 1.2

▼Ver. 1.0

▼Ver. 1.1

▼Ver. 1.3

▼Ver. 1.0

▼Ver. 1.2

▼ 02/04評価開始

CC評価進捗

18

• オリジナル性確認システム (カメラ側とキット側)– 「デジタル画像が改ざんされるかもしれない」脅威に対抗

• TOE = カメラ側– 「脅威」に対抗するセキュリティ機能としてではなく,

「組織のセキュリティポリシー」としてセキュリティ機能を定義

EOS評価におけるST評価のポイント- TOE境界とセキュリティ環境 -

・画像の検証データ生成・EOS-1D Mark II 生成付加の検証データと照合

・画像に検証データ付加

TOEの対象

キット側カメラ側

19

• 課題– EAL2で要求されているテスト内容 (外部I/Fを

用いたテスト) と

STにおけるセキュリティ機能記述の

詳細度の不一致

– 例

• 暗号処理

EOS評価におけるTOE評価において

20

■完全で一貫性のあるセキュリティ設計-明確なTOE設定

・TOEが有するセキュリティ機能の範囲

・TOEのセキュリティ機能を保証するための周辺設計

・TOEのセキュリティ機能のテスト環境の明確化

■ドキュメント管理の重要性

-ドキュメントによるセキュリティの証明

・セキュリティ機能保証の根拠

・管理されたドキュメントの安全性

製品開発のポイント

21

認証評価進行のポイント

■社内対応チームの明確化

‐開発責任者による事業部門内調整

‐開発担当者による開発ドキュメント整備

‐評価対応者による根拠文書作成とORへの即応

‐評価機関、認証機関、及び社内手続きの調整事務局

■常時の評価計画管理／タイムリーな調整会議

→1週の遅れはすぐに月単位の遅れにつながる

22