Canon imageRUNNER ADVANCE …...2600.1 mode iR-ADV セ HDDデー ファクスボー (Access M...
67
Can C33 non im 3900K mageR KG/C3 260 Secu Ve 20 キヤノ 1 RUNNE 300KG 00.1 mo rity T rsion 1 016/06/ ノン株式 ER AD G/C33 odel arget .04 /07 式会社 Copyrigh DVAN 300 Se 発行日: 2 ht CANON IN NCE ries 2016/06/07 NC. 2015
Transcript of Canon imageRUNNER ADVANCE …...2600.1 mode iR-ADV セ HDDデー ファクスボー (Access M...
CanC33
non im3900K
mageRKG/C3
260
Secu
Ve20
キヤノ
1
RUNNE300KG
00.1 mo
rity T
rsion 1016/06/
ノン株式
ER ADG/C33odel
arget
.04 /07
式会社
Copyrigh
DVAN300 Se
発行日: 2
ht CANON IN
NCE ries
2016/06/07
NC. 2015
1 S
1.1 1.2 1.3 1.4 1.5 1.6
1.6.
1.6.
1.7 1.8
1.8.
1.8.
1.8.
2 C
2.1 2.2 2.3
2.3.
2.3.
2.3.
2.4 3 S
3.1 3.2 3.3 3.4 3.5
4 S
4.1 4.2 4.3 4.4
5 E
5.1 5.2
6 S
6.1 6.1.
6.1.
6.1.
6.1.
6.1.
6.1.
6.1.
6.1.
T introductio
ST referenc
TOE refere
TOE overv
略語・用語
TOE descr
TOE の範囲
.1 TOE の
.2 TOE の
TOE のユー
Assets .....
.1 User D
.2 TSF D
.3 Functi
Conformance
CC Confor
PP claim, P
SFR Packa
.1 SFR P
.2 SFR P
.3 SFR P
PP Conform
ecurity Prob
Notational
Threats ag
Threats to
Organizatio
Assumption
ecurity Obje
Security O
Security O
Security O
Security O
Extended com
FPT_CIP_E
FPT_FDI_E
ecurity requi
Security fu
.1 ユーザ
.2 ジョブ
.3 投入ジ
.4 受信ジ
.5 HDD デ
.6 HDD
.7 LAN デ
.8 自己テ
on ..............
ce .............
ence ..........
view ...........
語 ...............
ription .......
囲 .............
の物理的範囲
の論理的範囲
ーザー .......
................
Data ..........
Data ...........
ions ..........
claims ........
rmance claim
Package claim
ages ...........
Packages refe
Package func
Package attri
mance ration
lem Definitio
conventions
gents ..........
TOE Asset
onal Security
ns .............
ectives .........
bjectives for
bjectives for
bjectives for
bjectives rat
mponents defi
EXP Confiden
EXP Restrict
irements .....
unctional req
ザー認証機能
実行アクセス
ジョブアクセス
ジョブ転送機
データ完全消
暗号化機能
データ保護機
テスト機能 ...
..................
................
................
................
................
................
................
囲 .............
囲 .............
................
................
................
................
................
..................
m ...............
m .............
................
erence .......
tions .........
ibutes ........
nale ...........
on ...............
s ...............
................
s ..............
y Policies ...
................
..................
r the TOE ..
r the IT envi
r the non-IT
tionale .......
inition (APE_
ntiality and
ted forwardin
..................
quirements ..
能 ..............
ス制御機能 .
ス制御機能 .
機能 ............
消去機能 ...
能 ...............
機能 ..........
................
2
目 次
..................
................
................
................
................
................
................
................
................
................
................
................
................
................
..................
................
................
................
................
................
................
................
..................
................
................
................
................
................
..................
................
ironment ....
T environmen
................
_ECD) .........
integrity of s
ng of data to
..................
................
................
................
................
................
................
................
................
................
..................
................
................
................
................
................
................
................
................
................
................
................
................
................
..................
................
................
................
................
................
................
................
..................
................
................
................
................
................
..................
................
................
nt .............
................
..................
stored data
o external int
..................
................
................
................
................
................
................
................
................
................
Copyrigh
.................
................
................
................
................
................
................
................
................
................
................
................
................
................
.................
................
................
................
................
................
................
................
.................
................
................
................
................
................
.................
................
................
................
................
.................
................
terfaces .....
.................
................
................
................
................
................
................
................
................
................
発行日: 2
ht CANON IN
.................
................
................
................
................
................
................
................
................
................
................
................
................
................
.................
................
................
................
................
................
................
................
.................
................
................
................
................
................
.................
................
................
................
................
.................
................
................
.................
................
................
................
................
................
................
................
................
................
2016/06/07
NC. 2015
........... 4
.......... 4
.......... 4
.......... 4
.......... 5
.......... 8
......... 10
......... 10
......... 11
......... 13
......... 13
......... 13
......... 13
......... 14
......... 15
......... 15
......... 15
......... 15
......... 15
......... 16
......... 17
......... 17
......... 21
......... 21
......... 21
......... 22
......... 22
......... 22
......... 24
......... 24
......... 24
......... 24
......... 25
......... 29
......... 29
......... 30
......... 32
......... 32
......... 32
......... 34
......... 37
......... 41
......... 41
......... 41
......... 43
......... 44
6.1.
6.1.
6.2 6.3
6.3.
6.3.
6.3.
6.4 7 T
7.1 7.2 7.3
7.3.
7.3.
7.3.
7.4 7.5 7.6
7.6.
7.6.
7.6.
7.7 7.7.
7.7.
7.8 7.9 7.10
7.10
7.10
商標など
・ Cano株式
・ MicrMicr
・ Mac・ Orac
録商
・ その
・ Porti16.2445 fromCopy
.9 監査ロ
.10 管理機
Security as
Security fu
.1 The co
.2 The su
.3 The de
Security as
TOE Summary
ユーザー認
ジョブ実行
投入ジョブ
.1 ジョブ
.2 ジョブ
.3 送信ジ
受信ジョブ
HDD データ
HDD 暗号
.1 暗号化
.2 暗号鍵
.3 本体識
LAN データ
.1 IP パケ
.2 暗号鍵
自己テスト機
監査ログ機
管理機能
0.1 ユーザ
0.2 デバイ
どについて on、Canon ロ
式会社の商標
rosoft、Windrosoft Corpor OS は、米国
cle と Java は、
商標です。 の他、本文中の
ions of sectio, 17.2, 18.2, 1Hoes Lane, P
m IEEE 260yright(c) 200
ログ機能 .....
機能 ...........
ssurance req
unctional req
ompleteness
ufficiency of
ependencies
ssurance req
y specificatio
認証機能 ....
行アクセス制御
ブアクセス制御
のキャンセル
中の電子文
ジョブ一時保
ブ転送機能 ..
タ完全消去機
号化機能 .....
化/復号機能
鍵管理機能 .
識別認証機能
タ保護機能 .
ケット暗号化機
鍵管理機能 .
機能 .........
機能 ...........
能 ..............
ザー管理機能
イス管理機能
ロゴ、imageRU標です。 dows、Windowration の商標
国 Apple Com、Oracle Corp
の社名や商品
ons 1.1, 1.4, 19.2, 19.3, 19Piscataway, N0.1(tm)-20099 IEEE. All r
................
................
quirements ..
quirements ra
of security
security req
of security
quirements ra
on ...............
................
御機能 .......
御機能 .......
ル機能 .......
書へのアクセ
保存機能 .....
................
機能 .........
................
能 ...............
................
能 .............
................
機能 .........
................
................
................
................
能 ..............
能 ...............
UNNER、im
ws XP、Win標または登録
mputer. Inc. の
poration 及び
品名は、各社
5.3, 7, 8, 9, 9.4, Annex A
New Jersey 089 Standard frights reserve
3
................
................
................
ationale .....
requirement
quirements ..
requirement
ationale .....
..................
................
................
................
................
セス制御機能
................
................
................
................
................
................
................
................
................
................
................
................
................
................
................
mageRUNNER
ndows 2000、
録商標です。
の商標です。
びその子会社
の商標または
10.1, 10.4, 10and Annex B
8854, for a Proteced.
................
................
................
................
ts ..............
................
ts ..............
................
..................
................
................
................
................
能 ..............
................
................
................
................
................
................
................
................
................
................
................
................
................
................
................
R ADVANCE
、Windows V
社、関連会社の
は登録商標で
0.5, 10.6, 11,B are reprinted
ction Profile
Copyrigh
................
................
................
................
................
................
................
................
.................
................
................
................
................
................
................
................
................
................
................
................
................
................
................
................
................
................
................
................
................
E、MEAP、M
Vista、Active
の米国及びそ
です。 , 12.2, 12.3, d with permis
in Operatio
発行日: 2
ht CANON IN
................
................
................
................
................
................
................
................
.................
................
................
................
................
................
................
................
................
................
................
................
................
................
................
................
................
................
................
................
................
MEAP ロゴは
e Directory
その他の国に
12.4, 13.2, 1ssion from IE
onal Environ
2016/06/07
NC. 2015
......... 44
......... 47
......... 51
......... 51
......... 51
......... 53
......... 55
......... 56
......... 58
......... 58
......... 59
......... 59
......... 60
......... 60
......... 62
......... 62
......... 63
......... 63
......... 63
......... 64
......... 64
......... 64
......... 64
......... 65
......... 65
......... 65
......... 66
......... 66
......... 67
はキヤノン
は、米国
における登
4.2, 15.2, EEE,
nment A,
1 ST
1.1 S
本節では
ST 名称
バージ
発行者
発行日
キーワ
1.2 T
本節では
TOE 名
バージ
尚、本 T
1.3 T
TOE は
う デ
C3390種設定
T introduct
ST referenc
は Security Ta
称: CS
ジョン: 1者: キ
日: 20ワード: IE
機
号
TOE referen
は TOE の識別
名称: Cジョン: 1.
TOE は以下に
iRH
スCA
※iRH
SuCA ※
im
TOE overvi
は、< Canon iジ タ ル 複
00KG/C3300K定を行うことで
tion
ce
arget(以下、S
Canon imageRSecurity Targe
.04 キヤノン株式会
016/06/07 EEE 2600、C
機、コピー、プ
号化、セキュア
nce
別情報を記述
Canon imageR.1
に示すソフトウ
R-ADV セキュ
HDD データ暗
(Canon MスーパーG3FACanon imageRAccess Manag
※英文名称 R-ADV Secur
HDD Data Enc(Canon M
uper G3 FAXCanon imageRAccess Manag
※ Canon immageRUNNE
ew
imageRUNN合 機 で あ
KG/C3300 Sで TOE であ
ST と略す)の
RUNNER ADet
会社
Canon、キヤノ
プリント、ファク
アプリント、ボッ
述する。
RUNNER AD
ウェア、ハード
ュリティーキッ
暗号化キット
MFP Security CAX ボード・A
RUNNER ADgement System
rity Kit-L1 focryption Kit-
MFP Security CX Board-AR1RUNNER ADgement System
mageRUNNERER ADVANC
NER ADVANCあ る 。 通 常
Series >に以
ある< Canon
4
の識別情報を記
DVANCE C3
ノン、imageRUクス、送信、フ
ックス、セキュ
DVANCE C33
ドウェア、及び
ット・L1 for IEEト C Chip 2.01)AR1(F モデルDVANCE C33m(本体標準
or IEEE 2600C Chip 2.01)
DVANCE C33m(ライセンス
R ADVANCCE C3300 Ser
CE C33900K常 モ デ ル
下の 4 つの製
imageRUNN
記述する。
3900KG/C33
UNNER、iR、
ファクシミリ、識
ュリティキット、
3900KG/C33
びライセンスか
EE 2600.1 V
ルは本体標準3900KG/C33装備)
0.1 Common C
3900KG/C33スオプション:北
CE C33900Kries の韓国官
KG/C3300KGの < Cano
製品(一部標準
NER ADVAN
Copyrigh
300KG/C330
、Advance、デ
識別、認証、ア
セキュリティ
300KG/C3300
から構成される
Ver 1.01
準) 300KG/C3300
Criteria Ver 1
300KG/C3300北米地区では
KG/C3300KG官需専用モデ
G/C3300 Serieon imageRU準装備)をイン
NCE C33900
発行日: 2
ht CANON IN
00 Series 2600
デジタル複合
アクセス制御、
ーキット
0 Series 2600
る。
0 Series
1.01
0 Series は本体標準装
G Series は
デルです。
es 2600.1 moUNNER ADンストール・設
0KG/C3300K
2016/06/07
NC. 2015
0.1 model
合機、複合
、ログ、暗
0.1 model
装備)
は Canon
odel >とい
DVANCE 設置し、各
KG/C3300
Series –
–
–
–
iR-ADC3390る。 HDDハード
ファクス
< Can複合機
PackaProt
–
SFR
–
–
–
–
–
–
–
1.4 略
本 ST で
略語
デジタル
制御ソフ
1 Access L1 for IEE
2600.1 modeiR-ADV セ
HDD デー
ファクスボー
(Access M
日本・北米
アジアオセ
DV セキュリ
00KG/C3300K
データ暗号化
ドウェアである
スボードはフ
non imageRU機用の Proteages で要求さtection Profil
2600.1, Prote
R Packages
2600.1-PRT,
2600.1-SCN,
2600.1-CPY,
2600.1-FAX
2600.1-DSR,Operational E
2600.1-NVSEnvironment
2600.1-SMI, Environment
略語・用語
では以下の略語
語・用語 ル複合機
フトウェア
Management
EE 2600.1 とし
el >が完成す
セキュリティー
ータ暗号化キッ
ード(F モデル
Management S
米地区では、デ
セアニア地区
ティーキット
KG/C3300 S
化ボードは、Hる。本 TOE の
ァクス機能を
UNNER ADVection Profileされているセle
ection Profile
SFR Package
, SFR Package
, SFR Package
, SFR Packag
, SFR PackagEnvironment A
, SFR Packt A
SFR Packagt A
語・用語を使
コピー機能
持つ複合
本体ハー
t System はラ
して提供される
する。 ーキット・L1 for
ット
ルは本体標準
System):ライ
デジタル複合
区では、ACCE
ト・L1 for IESeries >の制
HDD に格納
の HDD はリム
を使用するため
VANCE C339e(以下、PP
セキュリティ機能
for Hardcopy
e for Hardcop
e for Hardcop
e for Hardcop
e for Hardcop
ge for HardcoA
age for Har
ge for Hardco
使用する。
Table
能、ファクス機
合機のこと。これ
ードウェア上動
ライセンスオプ
る制御ソフトウ
5
r IEEE 2600.
準)
イセンスオプシ
合機本体に標
ESS MANAG
EEE 2600.1制御ソフトウェ
納されるデータ
ムーバブルディ
めのハードウェ
900KG/C330と略す)、およ
能を、完全に
y Devices, Ope
y Device Prin
py Device Sca
py Device Cop
py Device Fax
opy Device D
rdcopy Devic
opy Device S
1 —略語・用
機能、プリント
れらの機能を
動作しセキュリ
プションであり
ウェアに含まれ
.1
ション 1
標準装備。
GEMENT SYS
には、< Caア及びセキュ
タ全体(ソフトウ
ィスクとして扱
ェアである。
00KG/C3300 よびその PP
に装備すること
erational Envi
nt Functions, O
an Functions, O
py Functions,
x Functions, O
ocument Stor
ce Nonvolati
Shared-mediu
用語
説明 ト機能、送信
を使用するため
リティ機能の制
、実際の構成
れる。
Copyrigh
STEM KIT-B
anon imageRュリティーキッ
ウェアを含む
扱うことが可能
Series 2600.P で定義され
とができる。
ironment A
Operational En
Operational E
Operational E
Operational En
rage and Retri
le Storage F
um Interface
(Universal Sめ、大容量の
制御を司るソフ
成要素は、iR-A
発行日: 2
ht CANON IN
B1 が必要。
RUNNER ADットライセンス
)を暗号化す
能である。
.1 model >は
れている 7 個
nvironment A
Environment A
Environment A
nvironment A
ieval (DSR) F
Functions, O
Functions, O
Send)機能な
の HDD を持つ
フトウェアであ
ADV セキュリテ
2016/06/07
NC. 2015
DVANCE が含まれ
するための
は、以下の
個の SFR
A
A
A
Functions,
Operational
Operational
などを併せ
つ。
ある。
ティーキット・
略語
操作パネ
リモート U
HDD
I ファクス
イメージフ
テンポラ
ァイル
ロール
管理者
ジョブ
電子文書
メモリー受
ボックス
ユーザー
語・用語 ネル
UI
ス
ファイル
ラリイメージフ
書
受信
ーボックス
デジタル複
から構成さ
る。
Web ブラウ
の動作状
るインター
デジタル複
資産が保
ファクス文
ットを使用
読み込み
タ。
フ コピー・プ
ージファイ
アクセス制
ロールが
あらかじめ
ルトロール
が可能で
Administr
Administr
Adminis
PP で定義
ユーザー
と対象とな
文書の操
ユーザー
デジタル複
情報から構
受信したフ
能のこと。
デジタル複
する領域
する。
※本 TOE
デジタル複
した電子
る。
複合機を構成
され、デジタル
ウザから LAN状況の確認や
ーフェースであ
複合機に搭載
保存される。
文書の送受信
用するインター
み、プリント、受
プリント等のジ
イル。
制御機能で利
関連付けられ
め定義されて
ルで決められ
である。デフォル
rator/Power U
rator ロールと
strator ロール
義されている
ーが TOE の機
なる文書のデ
操作には、読み
ーの操作により
複合機内で取
構成される。
ファクス/I ファ
複合機におい
。 ユーザーボ
E では、ファク
複合機で一般
文書などが保
6
成するハード
ル複合機を操
N を経由して
ジョブの操作
ある。
載されるハー
信を行うための
ーネットファクス
受信などによ
ジョブの途中に
利用するユー
れる。
ているデフォル
れたアクセス制
ルトロールに
User/General
とは管理機能
ルが割り当て
U.ADMINI
機能を利用し
データ(電子文
み込み、プリン
りジョブの生成
取り扱われるユ
ァクスを、プリ
いて読み込み
ボックス、ファ
クスボックスを
般ユーザーが
保存されるボ
説明 ウェアのひと
操作するときに
てデジタル複合
作、ボックスに
ドディスクのこ
のインフラとし
スのこと。
ってデジタル
に生成され、ジ
ーザーの権限
ルトロールに
制限値を変更
には以下のロー
User/Limited
能を利用する権
てられた管理権
STRATOR。
して文書を操
文書)を組み合
ント、コピー、
成、実行、完了
ユーザーデー
リントしないで
みやプリント、
ァクスボックス
を利用しない。
が読み込んだ
ボックスであり
Copyrigh
つであり、操
に使用される
合機にアクセ
に対する操作、
こと。制御ソフ
て、電話回線
ル複合機内に
ジョブが完了
限であり、各ユ
加え、カスタ
更した新規の
ールがある
d User/Guest
権限(管理権
権限を有する
操作する際の
合わせたもの。
ファクス送信
了までの一連
ータであり、イ
でシステムボッ
ファクス受信
、システムボッ
だ電子文書や
り、電子文書の
発行日: 2
ht CANON IN
操作キーとタッ
るインターフェ
セスし、デジタル
、各種設定な
フトウェアおよ
線ではなく、イ
に生成された画
了すると不要に
ユーザーには
タムロールとし
ロールを作成
t User
限)を示す
るユーザー。
ユーザーの作
。
信、保存、削除
連の処理が行
イメージファイ
ックスに保存し
信した電子文
ックスの 3 種類
や、PC からプリ
のプリントが
2016/06/07
NC. 2015
チパネル
ェースであ
ル複合機
などができ
よび、保護
インターネ
画像デー
になるイメ
はひとつの
してデフォ
成すること
作業指示
除があり、
行われる。
イルと属性
しておく機
書を保存
類が存在
リント指示
可能であ
略語
システム
メールサ
ユーザー
ー
Firewall
タイムサー
「セキュア
「コピー」
「ファクス
「スキャン
「受信トレ
「保存フ
用」
リモート U/ 保 存 フ
用」
語・用語 ボックス
サーバー
ー認証サーバ
ーバー
アプリント」
ス」
ン」
レイ」
ファイルの利
UI 上の「受信
フ ァ イ ル の 利
ファクスメ
あり、電子
デジタル複
場合に必
バ ユーザー
ザー認証
Internet か
時刻を正
時刻の問
セキュアプ
作パネル
コピー機能
ファクス機
紙文書を
ルアドレス
のボタンで
「受信トレ
受信トレイ
であり、シ
利 ボックスへ
ン。
信
利
ボックスへ
ン。
モリー受信/I子文書のプリン
複合機で読み
必要なサーバー
ーID やパスワ
証を行うサーバ
から内部 LAN
確に合わせて
問い合わせに答
プリント(暗証
ル上のボタン。
能を起動する
機能を起動す
を読み込んでボ
スや PC の共
である「スキャ
レイ」とは受信
イとは、ファクス
システムボック
へ保存された
へ保存された
7
I ファクスメモ
ントや送信な
み込んだ電子
ー。
ワード等のユー
バー。
N への攻撃を
ており、Intern答えることがで
証番号が付与
る操作パネル
する操作パネル
ボックスへ保存
共有フォルダー
ャンして送信」
トレイへの操
ス/I ファクス
クスとファクスボ
た電子文書を操
電子文書を操
説明 モリー受信した
どが可能であ
子文書を I フ
ーザー情報を
を防ぐための装
net を介して、
できるサーバ
与されたプリン
ル上のボタン。
ル上のボタン
存する機能や
ー等へ送信す
「スキャンして
作パネル上の
ス受信された
ボックスの 2 種
操作する機能
操作する機能
Copyrigh
た電子文書が
ある。
ファクス送信や
を保持し、ネッ
装置やシステ
Network Tiバー。
ント)を操作す
。
や読み込んだ
する機能を起
て保存」ボタン
のボタン。
ファイルを一
種類があります
能を起動する
能を起動する
発行日: 2
ht CANON IN
が保存されるボ
や電子メール
ットワークを介
テム。
ime Protocol
する機能を起
だ電子文書を
起動する操作
ン。
時的に保存す
す。
る操作パネル
リモート UI
2016/06/07
NC. 2015
ボックスで
ル送信する
介してユー
を使った
動する操
を電子メー
パネル上
するトレイ
ル上のボタ
上のボタ
1.5 T
TOE は、
ーボック
Hardcop2600.1, からの引
This stanprocessinand infosecret, mThis envwill be k
FigureC3390設置環
Figure
タイム
Figure1ーザー認
撃を防い
たり、I フ
保存、I フ
2 CC 評価
TOE descri
、コピー機能
クス機能、など
py DevicesProtection
引用)
ndard is for ng environmermation assu
mission criticavironment is nknown as “Op
e 1 は 、
00KG/C3300K環境であり、使
1 デジタ
紙
Inムサーバー
PC
ファクス受信
ファクス送信
電話公衆回線
に示すような
認証サーバー
いでいる。デジ
ファクスを受信
ファクスを利用
価におけるテスト
ption
・プリント機能
どを併せ持つ
, OperationProfile for H
a Protection ent in which urance are real, or subject not intended tperational Env
TOE で あ
KG/C3300 S使用しない機
タル複合機< C
Fire
シ
ボ
紙文書
コピー
プリント
nternet
USB接続によるプリント
想定設置使用
ー、PC、Firewジタル複合機
信したりするた
用することがで
ト環境では、We
能・送信(Univつ複合機であ
nal EnvironHardcopy D
Profile for Ha relatively hquired. The to legal and rto support lifvironment A.
あ る デ ジ タ
Series 2600.1機能がある場合
Canon imageR
HDD
ewall
ユーザー
ボックス
システム
ボックス
デジタル複
用環境では、
wall に接続され
機は、自身で読
ためにメールサ
でき、Web ブラ
eb ブラウザは M
8
versal Send)機
ある。TOE が
nment A で
Devices, Ope
Hardcopy Dehigh level oftypical inforregulatory cofe-critical or n”
タ ル 複 合
1 model >の
合には、設置
RUNNER ADV想定設
内
プリン
ト
(印刷
/保
存)
ネッ
トワー
クフ
ァク
ス
Iファクス送信
Iフ
紙文
コピ
ーボ
ックス
保存
送信
Webブラウ
リモ
ートU
I
複合機
、デジタル複合
れており、Fir読み込んだ電
サーバーに接
ラウザ2を PC
Microsoft Inte
機能・ファクス
が適合する
では以下のよ
erational En
evices in a rf document srmation procensiderations,national secur
機 < Canoのオプションを
環境は異なる
VANCE C339設置使用環境
PC
内部LANメ
信/送信(電子メール)
ァクス受信
書
ウザ
ユーザー認証認証結果
合機は内部
rewall によっ
電子文書を I接続する。また
上にインストー
ernet Explore
Copyrigh
ス機能・I ファ
2600.1, Proような利用環境
nvironment
restrictive coecurity, operessed in thissuch as for p
rity applicatio
on imageRUを含む機能を
る場合がある
900KG/C3300境
メールサーバー
証
LAN によって
って Internet か
ファクス送信
た、PC を用い
ールすることで
er 11 を利用し
発行日: 2
ht CANON IN
クス受信機能
otection Pr境を想定して
t A” clause “
ommercial infrational accou environmenprivacy or goons. This env
UNNER ADを使用する場合
。
0KG/C3300 S
ー
ユーザー認証
てメールサー
から内部 LAN信や電子メー
いて電子文書
でデジタル複
した。
2016/06/07
NC. 2015
能・ユーザ
rofile for ている。(”
1.1 Scope”
formation untability, nt is trade vernance. vironment
DVANCE 合の想定
Series >の
サーバー
ーバー、ユ
N への攻
ール送信し
をプリント、
複合機をリ
モート操
にインス
プリント、
タを保存
更に、TOバーと連
使用環境
–
紙文
–
デジ
–
インタ
は、受
とき
–
ファ
受信
とき
–
紙文
送信
–
紙文
PDFる。
–
この機
を利
操作することも
トールして使
保存すること
存することはで
OE はタイムサ
連携することで
境において、デ
コピー機能
文書をスキャナ
プリント機能
ジタル複合機内
I ファクス受
ターネットを介
受信時にプリ
きにプリント
ファクス受
ァクス回線を
信時にプリン
きにプリント
ファクス送
文書をスキャン
信する機能であ
送信(Univ
文書をスキャン
F ファイル形式
ユーザーボ
機能は、ユー
利用する機能に
- ユーザーボ
スキャナ
ボックス
- ユーザーボ
ユーザ
– 電
– 電
可能である。
使用する必要が
とも可能である
できないように
サーバーから
で利用者の識
デジタル複合
能
ナで読み込み
能
内の電子文書
受信機能
介して、I ファク
リントされずに
、送信、削
信機能
を介して、電
ントされずに
、送信、削
信機能
ンして生成され
ある。
versal Send)機
ンして生成され
式で電子メー
ボックス機能
ーザーボックス
に大別できる
ボックスへイメ
ナから読み込
スに保存する機
ボックスの保存
ーボックスに
電子文書のプリ
電子文書の削
ただし、PC か
がある。USBる。ただし、U
に設置時に設定
ら正確な日時
識別認証機能
合機は以下の
み、プリントする
書や PC から送
クスとして電子
にシステムボ
除ができる。
電子文書を受
にシステムボ
除ができる。
れた電子文書
機能
れた電子文書
ールアドレスや
スへイメージ
る。
メージファイル
込んだ電子文
機能である。
存ボックスを利
に保存された電
リント
除
9
からプリントを
ケーブルで
USB 接続でデ
定する。
時を取得して時
能を提供したり
の機能を利用す
ることにより、
送信される電
子文書を受信
ボックスに保
。
受信する機能
ックスに保
。
書やシステム
書やシステムボ
や PC の共有フ
ファイルを保
ルを保存する
書や、PC にて
利用する機能
電子文書に対
を行う場合は、
PC を直接接
デジタル複合機
時刻同期を行
りすることを可
することがで
紙文書を複写
電子文書を紙
信する機能で
保存される。
である。フ
存される。保
ムボックスに保
ボックスに保存
フォルダー、I
保存する機能と
機能
てボックス保存
能
対して以下の操
Copyrigh
、適切なプリン
接続することで
機から PC や
行ったり、外部
可能としている
きる。
写する機能で
紙文書にプリン
である。I ファク
保存された
ァクス受信
保存された
保存されてい
存されている
I ファクスなど
とユーザーボ
存を指定した
操作ができる
発行日: 2
ht CANON IN
ンタードライバ
で PC から電
や USB デバイ
部のユーザー認
る。このような想
である。
ントする機能で
クス受信された
ファイルは、
されたファイ
ファイルは、
る電子文書を
る電子文書を
どに送信する
ボックスの保存
た電子文書を
る。
2016/06/07
NC. 2015
バーを PC子文書を
イスにデー
認証サー
想定設置
である。
たファイル
、必要な
イルは、
、必要な
をファクス
TIFF や
機能であ
存ボックス
ユーザー
1.6 T
TOE が適
要求仕様
TOE の物
1.6.1 T
TOE はハ
に示す部
(F モデ
に標準
(T
制御ソフ
本体ハー
体とする
TOE であ
デジタル
る。
TOE を
C33900K
製品ライ
iR-ADViR-ADViR-ADViR-ADViR-ADV
TOE に含
(和文
・
・
・
・
(英文
・
TOE の範囲
適合する 260様を実現する
物理的範囲と
TOE の物理
ハードウェア
部分である。
ファクスボード
デルは本体ハー
準装備)
TOE:ハードウェ
フトウェアは
ードウェアと
る。
ある< Canon ル複合機本体
を 構 成 す
KG/C3300KG
インアップ V C33930KG/V C3330KG/ iV C3330/ iR-AV C3325/ iR-AV C3320/ iR-A
含まれるガイ
文名称) imageRUNNiR-ADV セ
iR-ADV セ
HDD データ
文名称) imageRUNN
00.1, Protectために以下の
と論理的範囲
理的範囲
とソフトウェア
Fi
ド
ードウェア
ェア)
は iR-ADV セ
と iR-ADV セ
imageRUNN体に HDD デ
る 本 体 ハ
G/C3300 Seri
/ iR-ADV C33iR-ADV C332ADV C3330i/ ADV C3325i/ ADV C3320i/
イダンスは以
NER ADVANキュリティーキ
キュリティーキ
タ暗号化キット
NER ADVAN
tion Profile のような TOE
囲は以下の通り
アから構成され
igure 2 TOE
制
(T
Canon imageC33900KG/C
本体
(TOE
セキュリティ
セキュリティーキ
NER ADVANータ暗号化ボ
ハ ー ド ウ ェ
ies >には以下
Table 2 —製
3925KG/ iR-A25KG/ iR-ADiR-ADV C33 iR-ADV C33
以下の通りで
NCE C3300 Sキット・L1 for キット・L1 for ト ユーザーズ
NCE C3300 S
10
for HardcopE を構成する。
りである。
れたデジタル複
E のハードウェ
制御ソフトウェア
TOE:ソフトウェア
eRUNNER AD3300KG/C330
体ハードウェア
E:ハードウェア
ーキット・
キット・L1 for
NCE C33900ボードおよび
ェ ア で あ
下のラインアッ
製品ラインア
ADV C33920KDV C3320KG/330F/
320F
である。
Series 2600.1 IEEE 2600.1IEEE 2600.1ズガイド
Series 2600.1
py Devices, 。
複合機である
ェア/ソフトウェ
ア
ア)
DVANCE 00 Series
)
L1 for IEEE r IEEE 2600.
KG/C3300Kび、ファクス
る < Canoップがある。
ップ一覧
KG/ /
model eマニ
1 アドミニストレ
1 をお使いに
model e-Man
Copyrigh
Operationa
る。物理的範
ェア
HDD デ
(TOE
2600.1 とし
.1 を合わせ
G/C3300 Serボードを組
on imageRU
ニュアル CD レーターガイ
になる前にお読
nual CD (US
発行日: 2
ht CANON IN
al Environm
囲は以下の
ータ暗号化ボー
E:ハードウェア)
て提供される
てデジタル複
ries 2600.1 moみ合わせた
UNNER AD
ド 読みください
SE Version)
2016/06/07
NC. 2015
ment A の
Figure 2
ード
)
る。 複合機本
odel > は
ものであ
DVANCE
・
・ ・
1.6.2 T
TOE の論
PC、タイ
TOE は
– UI 機
ユー
– 出力
TOE
– 読み
imageRUNNiR-ADV SecBefore UsinHDD Data
TOE の論理
論理的範囲を
ムサーバーを
ユーザー
LANデ
ユーザ
認証情
TOE
1.5 章で説明
機能
ーザーが操作パ
力機能
E が紙文書を
み込み機能
NER ADVANcurity Kit-L1 g the iR-ADV
a Encryption
理的範囲
を以下の Figuを除く)。TOE
UI機能
ー認証サーバー
データ保護機能
ザー認証機能
情報
プリン
スキャ
ジョブ実行アクセス
投入ジョブアクセス
管理機能
操作/表示
明した機能に加
パネルを用い
を出力する。
NCE C3300 Sfor IEEE 260
V Security Kin Kit Refere
ure 3 で図示す
E のセキュリテ
Figure
ユーザー
メールサーバ
LANデータ保護
電子メール機
電子文書
紙
読み込み機
ント機能
ャン機能 送
コピ
ス制御機能
ス制御機能
能
加え以下の一
いて TOE を操
11
Series 2600.1 00.1 Commoit-L1 for IEEence Guide
する(ユーザー
ティ機能は色つ
3 TOE の機
LANデータ保護機
バー
護機能
機能
LAN
W
電子
紙文書
出力機能機能
信機能
ピー機能 ボック
ユーザー認証機能
自己テスト機能
紙
受信ジョブ転送機
受信
一般機能を有
操作したり、T
model e-Mann Criteria Ce
EE 2600.1 Com
ー、ユーザー
つきで示す部
機能構成
機能
PC
データ保護機能
Webブラウザ
子文書
能
クス機能
能 HDD
能
紙文書
機能
信機能
有する。
TOE が操作パ
Copyrigh
nual CD (APertification Admmon Criteri
ー認証サーバ
部分である。
HDD
タイムサー
時刻機
時刻情報
データ完全消去機能
HDD暗号化機能
監査ログ機能
LANデータ保
パネルに表示
発行日: 2
ht CANON IN
PE Version) dministrator Gia Certificatio
バー、メールサ
ーバー
機能
能
能
保護機能
電子文
電子文
示したりする。
2016/06/07
NC. 2015
Guide on
サーバー、
データの流れ
PC書
USB接続
FAX書
電話回線
TOE
TOE は、
– ユー
登録
ユー
部認
– ジョ
認証
応じ
– 投入
投入
る。
– 受信
受信
ス受
– HD
ジョブ
ータ
– HD
HDDのア
本体
デー
– LAN
LAN
– 自己
主要
– 監査
ユー
監査
ログ
タイム
– 管理
ユー
する
3 CC 評価4 CC 評価
E が紙文書を
以下のセキ
ーザー認証機
録外の人によっ
ーザー認証は
認証をサポート
ブ実行アクセ
証されたユーザ
て各種機能の
入ジョブアクセ
入したジョブに
信ジョブ転送機
信したジョブの
受信ジョブの転
D データ完全
ブ実行時に作
領域を上書き
D 暗号化機
D 単体の持ち
アクセスする脅
体を識別し、正
ータの機密性を
N データ保護
N データの IP
己テスト機能
要のセキュリテ
査ログ機能
ーザーの操作
査記録を保護
に記録される
ムサーバーか
理機能
ーザーやロー
るためのデバイ
価におけるテスト
価におけるテスト
を入力する。
ュリティ機能を
機能
って勝手に T
、TOE 内で認
トする。外部認
セス制御機能
ザーが権限外
の実行を許可
セス制御機能
に対して、プリ
機能
の LAN への転
転送を制限す
全消去機能
作成されたイメ
きして完全消
機能
ち去り、もしくは
脅威に対抗す
正しいデジタル
を保護するた
護機能
P パケットへの
ティ機能が正常
作を監査できる
、閲覧できる
る日時情報は
から正確な日
ールを登録・削
イス管理機能
ト環境では、Keト環境では、LD
を有する。
TOE が利用さ
認証する内部
認証における
能
外のデジタル
可する。
能
リントやジョブ
転送を制御す
する。
メージデータ
消去する
は、HDD と Hするために、HD
ル複合機本体
ために、HDD
のスニッファリ
常であることを
るようにログを
ようにする
は、TOE から提
時を取得して
削除するため
能であり、とも
erberos 認証とし
DAP 認証として
12
されないように
部認証と外部
る認証方式は
ル複合機の機
ブキャンセル等
する。ファクスラ
タが再利用され
HDD データ暗
DD データ暗
体だった場合
に格納される
ング対策とし
を、スタートア
を生成し、HD
提供される。Tて時刻同期す
のユーザー管
に管理者のみ
して Active Dirて eDirectory 8.8
に、正当なユー
のユーザー認
は Kerberos 認
能を実行でき
等の操作をジ
ラインを悪用し
れることを防ぐ
暗号化ボード
暗号化ボードは
合のみ HDD るすべてのデ
して、IP パケッ
アップ時に検証
DD 内に保存
TOE の日時情
することで設定
管理機能と各
みに操作が限
rectory Doma8 SP8 を利用し
Copyrigh
ーザーを認証
認証サーバー
認証3もしくは L
きないように、
ジョブ投入し
した攻撃に対
ぐために、HD
ドを併せて持
は、毎回起動
アクセスを許
データを暗号化
ットを IPSec に
証する
存する機能で
情報は、管理
定される。
各種セキュリテ
限定されてい
ain Services を
した。
発行日: 2
ht CANON IN
証する。
ーを用いて認
LDAP 認証4を
ユーザーの
たユーザーに
対抗するため
DD の残存イ
ち去り HDD動時にデジタル
許可する。さら
化する
にて暗号化す
であり、更に保
理機能の利用
ティ機能が適切
る
を利用した。
2016/06/07
NC. 2015
認証する外
を用いる。
のロールに
に制限す
に、ファク
イメージデ
データへ
ル複合機
らに、HDD
する
保存された
、もしくは
切に動作
1.7 T
TO
DesignU.USE U.N
U.A
1.8 A
資
1.8.1
Usータ
DesignD.DOC
D.FUN
1.8.2 T
TSでき
DesignD.PRO
D.CON
TOE のユー
OE のユーザ
nation ER NORMAL
ADMINISTRA
Assets
資産は、User
User Data
ser Data は、
タであり、以
nation DefC Use
inclresidoc
NC Usethe
TSF Data
SF Data は、
きる。
nation DefiOT TSF
Admthe T
NF TSFneithsecu
ザー
ザー(U.USER
DefiAnyA Ufunc
ATOR A Uportpolicapa
Data, TSF D
ユーザーに
以下の 2 種類
finition er Document ludes the origdually-stored ument and pri
er Function DaTOE.
TOE のセキ
finition F Protected Dministrator norTOE, but for w
F Confidentialher an Adminurity of the TO
R)は、以下
Tab
finition y authorized UUser who is ctions of the TUser who hastion or all of cy (TSP). Aabilities to ove
Data, Function
よって作成
類に分類でき
Table
Data consist inal documen
data createdinted hardcop
ata are the inf
キュリティ機
Table
Data are assr the owner ofwhich disclos
l Data are assenistrator nor thOE.
13
下の 2 種類の
ble 3 —Users
User. authorized t
TOE. s been specif
f the TOE anddministrators erride portion
ns の 3 種類で
される TOEる。
4 — User Da
of the infornt itself in eithd by the hay output.
formation abo
機能に影響を
5 — TSF Da
sets for whicf the data wou
sure is accepta
ets for which he owner of th
のユーザーに
s
to perform U
fically grantedd whose actio
may possesss of the TSP.
である。
のセキュリ
ata
rmation contaher hardcopy ardcopy devic
out a user’s do
を与えるデー
ata
ch alteration uld have an efable.
either discloshe data would
Copyrigh
に分類できる
User Docume
d the authorions may affes special priv
ティ機能に
ained in a usor electronic ce while pro
ocument or jo
ータであり、
by a User ffect on the op
sure or alteratid have an effe
発行日: 2
ht CANON IN
。
ent Data pro
ity to manageect the TOE svileges that p
は影響を与
ser’s documenform, image
ocessing an
ob to be proce
以下の 2 種類
who is neitperational secu
ion by a Userect on the oper
2016/06/07
NC. 2015
ocessing
e some security provide
えないデ
nt. This data, or original
essed by
類に分類
ther an urity of
r who is rational
本 TOE
タイプ D.PROT
D.CONF
1.8.3
Ta
で扱う TSF D
TSF デー
T ユーザー
ロール ロックア
ー設定 パスワー
設定
オートク
日付/時刻
HDD 完全
IPSec 設
F パスワー
監査ログ
ボックス
Functions
able 7 に示す
Data を以下の
ータ ー名
アウトポリシ
ードポリシー
クリア設定
刻設定 全消去設定
定
ード
グ ス暗証番号
す機能
の Table 6 に示
Table 6 —
内容 ユーザー
情報 アクセス制
シ ロックア
の許容回
ー ユーザー
報であり
合わせに
操作パネ
情報 日付と時
HDD デー
効/無効化
LAN デー
の有効/無ユーザー
情報 監査ログ
投入ジョ
ックス、
するボッ
14
示す。
TSF Data の
ー識別認証機
制御機能で利
アウト機能の
回数とロック
ー認証機能で
り、 小パス
に関する制約
ネルのセッシ
時刻の設定情
ータ完全消去
化に関する設
ータ保護機能
無効化に関す
ー識別認証機
グ機能で生成
ブアクセス制
システムボ
ックス毎の暗
の具体化
機能で利用す
利用するユー
の設定情報で
アウト時間
で利用するパ
スワード長、
約の設定情報
ションタイム
情報 去機能設定情
設定情報 能に関する設
する設定情報
機能で利用す
成されるログ
制御機能で利
ボックスへの
暗証番号
Copyrigh
するユーザー
ーザーの権限情
であり、ロッ
間の設定情報 パスワードの
使用可能文
報 ムアウトの時
情報であり、機
設定情報であ
報 するユーザー
グ
利用する、ユー
アクセス制御
発行日: 2
ht CANON IN
保
ーの識別 H
情報 H
クアウト H
の設定情
字、組み
H
時間設定 H
R
機能の有 H
あり、機能 H
ーの認証 H
H
ーザーボ
御で利用
H
2016/06/07
NC. 2015
保存先 HDD
HDD HDD
HDD
HDD
RTC HDD
HDD
HDD
HDD HDD
2 Co
2.1 C
この ST は
–
–
–
2.2 P
この ST は
- Title
–
この ST は
–
–
–
–
–
–
–
2.3 S
2.3.1 S
Title: 260Package CommonCommonPackage Usage: TMFPs) thoutput. Title: 260Package CommonCommonPackage Usage: T
onformanc
CC Conform
は、以下の C
Common C
Common C
Assurance
PP claim, P
は、以下の P
e :2600.1, P
Version:1
は、以下の S
2600.1-PRT
2600.1-SCN
2600.1-CPY
2600.1-FAX
2600.1-DS
2600.1-NV
2600.1-SM
SFR Packag
SFR Packa
00.1-PRT, SFRversion: 1.0,
n Criteria versn Criteria conf
conformanceThis SFR packhat perform a p
00.1-SCN, SFversion: 1.0,
n Criteria versn Criteria conf
conformanceThis SFR pack
ce claims
mance clai
Common Cr
Criteria version
Criteria confor
level:
Package cla
PP に適合する
Protection Pro
1.0, dated Jun
SFR Packag
T 適合
N 適合
Y 適合
X 適合
R 適合
VS 追加
MI 追加
ges
ages refere
R Package fordated June 20
sion: Version formance: Pa
e: EAL3 augmkage shall be uprinting functi
FR Package fodated June 20
sion: Version formance: Pa
e: EAL3 augmkage shall be u
m
riteria (以下
n:
rmance:
aim
る。
ofile for Hardc
e 2009
ges 適合、追
ence
r Hardcopy D009 3.1 Revision
art 2 and Part 3mented by ALCused for HCD ion in which e
or Hardcopy D009 3.1 Revision
art 2 and Part 3mented by ALCused for HCD
15
下、CC と略す
Version 3.
Part 2 exte
EAL3 augm
copy Devices
追加である。
Device Print Fu
2 3 conformantC_FLR.2 products (suc
electronic doc
Device Scan Fu
2 3 conformantC_FLR.2 products (suc
す)に適合する
1 Release 4
ended and Part
mented by AL
, Operational
unctions, Oper
ch as printers, cument input i
unctions, Ope
ch as scanners
Copyrigh
る。
t 3 conforman
LC_FLR.2
Environment
rational Envir
paper-based fis converted to
erational Envir
, paper-based
発行日: 2
ht CANON IN
nt
A
ronment A
fax machines,o physical doc
ronment A
fax machines
2016/06/07
NC. 2015
and cument
s, and
MFPs) thoutput. Title: 260Package CommonCommonPackage Usage: Tfunction i Title: 260Package CommonCommonPackage Usage: Tscanning transmissto physic Title: 260OperationPackage CommonCommonPackage Usage: Tretrieval f Title: 260A Package CommonCommonPackage Usage: Tnonvolatiby authorRemovabsupplied Title: 260EnvironmPackage CommonCommonPackage Usage: Tcommunisuch as wprovide aIf such pr
2.3.2 S
FuThe
hat perform a s
00.1-CPY, SFversion: 1.0,
n Criteria versn Criteria conf
conformanceThis Protectionin which phys
00.1-FAX, SFversion: 1.0,
n Criteria versn Criteria conf
conformanceThis SFR pack
function in wsion, and a prial document o
00.1-DSR, SFnal Environmeversion: 1.0,
n Criteria versn Criteria conf
conformanceThis SFR packfeature in whi
00.1-NVS, SF
version: 1.0, n Criteria versn Criteria conf
conformanceThis SFR packile storage devrized personneble Nonvolatilonly by the T
00.1-SMI, SFRment A
version: 1.0, n Criteria versn Criteria conf
conformanceThis SFR packications mediu
wired network a trusted channrotection is su
SFR Packa
unctions perfo functions tha
scanning func
FR Package fodated June 20
sion: Version formance: Pa
e: EAL3 augmn Profile shall sical documen
FR Package fodated June 20
sion: Version formance: Pa
e: EAL3 augmkage shall be uwhich physicalinting functionoutput.
FR Package foent A dated June 20
sion: Version formance: Pa
e: EAL3 augmkage shall be uich a documen
FR Package fo
dated June 20sion: Version formance: Pa
e: EAL3 augmkage shall be uvice (NVS) thel. This packale Storage devOE environm
R Package for
dated June 20sion: Version formance: Pa
e: EAL3 augmkage shall be uum which, in media and m
nel function alupplied by only
age functio
orm processinat are allowed
ction in which
or Hardcopy D009 3.1 Revision
art 2 and Part 3mented by ALC
be used for Hnt input is dup
or Hardcopy D009 3.1 Revision
art 2 and Part 3mented by ALCused for HCD l document inpn in which a te
or Hardcopy D
009 3.1 Revision
art 2 and Part 3mented by ALCused for HCD nt is stored du
or Hardcopy D
009 3.1 Revision
art 2 extended mented by ALCused for produhat is part of thage applies forvices from una
ment, then this
r Hardcopy D
009 3.1 Revision
art 2 extended mented by ALCused for HCD conventional ost radio frequllowing for sey the TOE env
ons
g, storage, and, but not requ
16
physical docu
Device Copy F
2 3 conformantC_FLR.2
HCD products licated to phy
Device Fax Fu
2 3 conformantC_FLR.2 products (suc
put is converteelephone-base
Device Docum
2 3 conformantC_FLR.2 products (suc
uring one job a
Device Nonvol
2 and Part 3 co
C_FLR.2 ucts that providhe evaluated Tr TOEs that prauthorized dispackage cann
evice Shared-
2 and Part 3 co
C_FLR.2 products that practice, is oruency wirelesecure and authvironment, th
nd transmissiouired in any pa
ument input is
Functions, Ope
(such as copiysical documen
nctions, Oper
ch as fax mached to a telephoed document f
ment Storage an
ch as MFPs) thand retrieved d
latile Storage
onformant
de storage of UTOE but is desrovide the abilclosure and m
not be claimed
-medium Inter
onformant
transmit or rer can be simulss media. Thishenticated comen this packag
on of data thaarticular confo
Copyrigh
s converted to
erational Envi
iers and MFPsnt output.
rational Enviro
hines and MFPone-based docfacsimile (fax)
nd Retrieval (
hat perform a during one or
Functions, Op
User Data or Tsigned to be relity to protect
modification. Id.
rface Function
eceive User Dltaneously accs package applmmunication wge cannot be c
at may be preorming Securi
発行日: 2
ht CANON IN
o electronic do
ironment A
s) that perform
onment A
Ps) that perforcument facsim) reception is
(DSR) Functio
document stomore subsequ
perational Env
TSF Data in aemoved from data stored on
If such protect
ns, Operationa
Data or TSF Dacessed by multlies for TOEs with other IT sclaimed.
esent in HCDity Target or P
2016/06/07
NC. 2015
ocument
m a copy
rm a mile (fax) converted
ons,
orage and uent jobs.
vironment
a the TOE n tion is
al
ata over a tiple users, that
systems.
products. Protection
Prof
DesigF.PRT
F.SCN
F.CPY
F.FAX
F.DSR
F.NV
F.SMI
2.3.3 S
Wassoto dThe Prof
2.4 P
TOE は
存機能、
claim に
以下に、
まず、Seいる以外
P.HDD.A
file, are listed
gnation DefT Prin
outpN Scan
docuY Cop
outpX Fax
docudocu
R Docand
S Nondeviauth
I Shara coaccewire
SFR Packa
hen a functionociated with thistinguish diff attributes thafile, are listed
Designation +PRT +SCN +CPY +FAXIN +FAXOUT +DSR +NVS +SMI
PP Conform
、デジタル複
HDD 暗号化
における PP に
7 個すべての
ecurity Probl外は同じである
ACCESS.AUT
in Table 7:
T
finition nting: a functioput nning: a funument output
pying: a functiput ing: a functioument facsimument facsimicument storagretrieved duri
nvolatile storaice that is parhorized persred-medium iommunicationessed by muleless media
age attribut
n is performinhat particular dferences in Seat are allowedin Table 8:
T
Definition Indicates dIndicates dIndicates dIndicates dIndicates dIndicates dIndicates dIndicates dinterface.
mance ratio
複合機の主要
化機能、LANに定義されて
の SFR Packa
em Definitionる。
THORIZATIO
Table 7 —SF
on in which e
nction in wh
ion in which p
on in which pmile (fax) traile (fax) recep
ge and retrievaing one or mo
age: a functionrt of the evaluonnel nterface: a fun
ns medium whltiple users,
tes
ng processingdata as a secu
ecurity Functiod, but not requ
Table 8 —SF
data that are asdata that are asdata that are asdata that are asdata that are asdata that are asdata that are stodata that are
onale
な機能である
N データの暗号
ているすべて
ages を包含し
n に関して、
ON
17
R Package f
electronic docu
ich physical
physical docu
physical docuansmission, aption is converal: a function ore subsequentn that stores Uuated TOE bu
nction that trahich, in convsuch as wire
, storage, or turity attribute. onal Requirem
uired in any pa
R Package a
ssociated withssociated withssociated withssociated withssociated withssociated withored on a none transmitted
るコピー、プリ
号化機能を装
ての SFR Pack
した PP とこ
PP と ST
functions
ument input is
document in
ument input is
ument input isand a functiorted to physicin which a dot jobs
User Data or Tut is designed
ansmits or receentional pract
ed network m
ransmission oThis attribute
ments that departicular confo
attributes
h a print job.h a scan job.h a copy job.h an inbound (rh an outbound h a document snvolatile storagd or received
リント、スキャナ
装備することか
kages に適合
の ST を比較
を比較すると
Copyrigh
s converted to
nput is conv
s duplicated to
s converted toon in which al document oocument is st
TSF Data on ato be remove
eives User Datice, is or can
media and mo
of data, the idee in the TOE mpend on the fuorming Securi
received) fax (sent) fax job
storage and rege device. d over a sh
ナ、ファクスの
から、2.2 章の
合することは適
較していく。
と、以下の OS
発行日: 2
ht CANON IN
o physical doc
verted to elec
o physical doc
o a telephonea telephone
output ored during o
a nonvolatile sed from the T
ata or TSF Datn be simultanost radio-freq
entity of the fmodel makes
unction being pity Target or P
job. b. etrieval job.
hared-medium
の機能に加え
の PP claim, 適切である。
SP をひとつ
2016/06/07
NC. 2015
cument
ctronic
cument
e-based e-based
one job
storage OE by
ta over neously quency
function is it possible performed. Protection
m
え、文書保
Package
つ追加して
これは、運
従って、
‐ STのセ
‐ PPのセ
次に、Oじである。
O.HDD.A
これは、T
従って、
‐ STのTている
‐ PPの運
策方針も
さらに、
べての機
PCCCCCCCCCCCCCCCCCCCCCCCCCCPPS
運用環境を制
以下が成立す
セキュリティ課
セキュリティ課
Objective に関
。
ACCESS.AU
TOE を制約し
以下が成立す
TOEのセキュ
運用環境のセ
も満たしている
機能要件に
機能要件に対
PP_Package Common Common Common Common Common Common Common Common Common Common Common Common Common Common Common Common Common Common Common Common Common Common Common Common Common Common PRT PRT SCN
制約している
する。
課題定義を満
課題定義を満
関して、PP と
UTHORISED
している Obje
する。
リティ対策方
セキュリティ対
る
に関して、PP対応して、さら
Ta
PP の
FAU_GEN.1 FAU_GEN.2 FAU_SAR.1 FAU_SAR.2 FAU_STG.1 FAU_STG.4 FDP_ACC.1(aFDP_ACC.1(bFDP_ACF.1(a)FDP_ACF.1(bFDP_RIP.1 FIA_ATD.1 FIA_UAU.1 FIA_UID.1 FIA_USB.1 FMT_MSA.1(FMT_MSA.3(FMT_MSA.1(FMT_MSA.3(FMT_MTD.1(FMT_MTD.1(FMT_SMF.1 FMT_SMR.1 FPT_STM.1 FPT_TST.1 FTA_SSL.3 FDP_ACC.1 FDP_ACF.1 FDP_ACC.1
のではなく、T
満たすすべての
たすすべての
と ST を比較
D
ective である
方針を満たすす
対策方針を満た
P と ST を比
に ST では機
ble 9 —PP、
の機能要件
a) b) ) )
(a) (a) (b) (b) (FMT_MTD.1.(FMT_MTD.1.
18
TOE を制約し
のTOEは、PP
の運用環境は
較すると、以下
。
すべてのTOE
たすすべての
比較すると、T機能要件が追
ST での機能
FAU_GFAU_GFAU_SFAU_SFAU_SFAU_SFDP_AFDP_AFDP_AFDP_AFDP_RFIA_ATFIA_UAFIA_UIFIA_USFMT_MFMT_MFMT_MFMT_M
1(a)) FMT_M1(b)) FMT_M
FMT_SFMT_SFPT_STFPT_TSFTA_SSFDP_AFDP_AFDP_A
している OSP
Pのセキュリテ
は、STのセキュ
下の Objectiv
Eは、PPのTO
の運用環境は
Table 9 のよ
追加されている
能要件対応表
STGEN.1 GEN.2
AR.1 AR.2 TG.1 TG.4
ACC.1(delete-joACC.1(exec-job)ACF.1(delete-jobACF.1(exec-job)RIP.1 TD.1 AU.1 ID.1 SB.1
MSA.1(delete-joMSA.3(delete-joMSA.1(exec-jobMSA.3(exec-jobMTD.1(device-mMTD.1(user-mgSMF.1 SMR.1 TM.1 ST.1 SL.3(lui), FTA_
ACC.1(in-job)ACF.1(in-job)ACC.1(in-job)
Copyrigh
P である。
ティ課題定義も
ュリティ課題定
ve をひとつ追
OEのセキュリ
は、STの運用
ように 7 個の Sる。
の機能要件
b) ) b) )
ob) ob) b) b) mgt) gt)
_SSL.3(rui)
発行日: 2
ht CANON IN
も満たしている
定義も満たし
追加している
ティ対策方針
用環境のセキュ
SFR Package
2016/06/07
NC. 2015
る
している
ほかは同
針も満たし
ュリティ対
es 含めす
PSCCFFDDNSSSCCCNNSSN
PP では
対する SU.ADMIでは、FDるが、SU.NORM
上述した
アクセス
っている
PP では、
としてい
を「Den
STの機能
PP の機能
以上の説
制限的」
従って、
‐ STのS
また、ST
以上によ
制限を課
PP_Package SCN CPY CPY FAX FAX DSR DSR NVS SMI SMI SMI Common Common Common NVS NVS・SMI SMI SMI NVS
、FDP_ACFSubject を UINISTRATORDP_ACC.1 に
ST では FDPMAL の Acce
た ST の機能
ス可能な Objると言える。
、FDP_ACFいるが、ST で
nied」として
能要件の割り
能要件よりも
説明より、STであるとい
以下が成立す
SFRを満たす
T の保証要件
より、この ST課している。
PP の
FDP_ACF.1 FDP_ACC.1 FDP_ACF.1 FDP_ACC.1 FDP_ACF.1 FDP_ACC.1 FDP_ACF.1 FPT_CIP_EXPFAU_GEN.1 FPT_FDI_EXPFTP_ITC.1 - - - - - - - -
F.1(a)において
U.NORMALR とし、U.Nにおいて、+F_ACC.1(in-joess Control ru
能要件の割り付
ject をなくす
F.1(a)において
では FDP_ACている。
り付けは、機
も制限的なア
T で記述され
いえる。
する。
すべてのTO
件は PP の保証
は PP に比較
の機能要件
P.1
P.1
て、+FAXINとしているが
NORMAL の
FAXIN の D.ob)において
ule を「Deni
付けは Deletす割り付けで
て、+FAXINCF.1(delete-jo
機能の利用を
アクセス制御
れている SFR
Eは、PPのSF
証要件と同じで
較して、TOE
19
FDP_AFDP_AFDP_AFDP_AFDP_AFDP_AFDP_AFPT_CIFAU_GFPT_FDFTP_ITFIA_AFFIA_SOFIA_UAFCS_COFCS_CKFCS_COFCS_CKFPT_PH
N の D.DOCが、ST では
Access Cont.DOC の Rea
て、Read に対
ied」としてい
te や Read 可
であり、PP の
N の D.FUNCob)において
どの Subject御を行ってい
R は、PP で
FRも満たして
である。
に同等以上の
STACF.1(in-job)ACC.1(in-job)ACF.1(in-job)ACC.1(in-job)ACF.1(in-job)ACC.1(in-job) ACF.1(in-job)
IP_EXP.1 GEN.1 DI_EXP.1 TC.1 FL.1 OS.1 AU.7 OP.1(h) KM.1 OP.1(n) KM.2 HP.1
の Delete、+FDP_ACF.1
trol rule を「
ad に対する
対する Subjecいる。
可能な Subjecの機能要件よ
C の Modifyて、Subject を
tにも許さな
いると言える
記述されてい
ている
の制限を課し
Copyrigh
の機能要件
+FAXIN の D1(delete-job)に「Denied」と
Subject を Uct を U.ADM
ct の範囲を狭
りも制限的
に対する SuU.User とし
ないようにす
る。
いる SFR よ
し、TOE の運
発行日: 2
ht CANON IN
D.FUNC の Dにおいて、Sしている。ま
U.NORMALMINISTRATO
狭め、U.NORなアクセス制
ubject を U.Nし、Access Co
る割り付けで
り「同等また
運用環境に同等
2016/06/07
NC. 2015
Delete に
Subject をまた、PPとしてい
OR とし、
RMAL の
制御を行
NORMALontrol rule
であり、
たはより
等以下の
従って、ここの ST は PPP を論証適合合している。
20
Copyrigh
発行日: 2
ht CANON IN
2016/06/07
NC. 2015
3 Se
3.1 N
3.2 T
Th
a
b
c
curity Pro
Notational c
– Define
– Define
– In tableof a romitigat
– In tablethe intperformintersec
– In tablname ain the requireRequir
o Bold tProtectExtend
o Italic tconform
o Bold itin this Extendconform
– The fol
Threats age
his security pro
a) Persons wh
b) Persons whare not au
c) Persons whnot autho
oblem Defi
convention
d terms in ful
d terms in abb
es that describow and columted by the obje
es that describtersection of ms a principalction indicate
les that descrand purpose insame row. R
ements perforements (SFRs
typeface indiction Profile, rded Componen
typeface indicming Security
talic typeface Protection Pr
ded Componeming Security
llowing prefix
Table
ents
oblem definiti
ho are not perm
ho are authoriuthorized.
ho are authorizorized.
inition
ns
l form are set
breviated form
be Security Omn indicates ective in that c
be completenea row and c
l fulfillment os that it perfor
ribe the sufficndicates that t
Requirement norm supportis):
cates the porrelative to thnt Definition.
cates the portiy Target.
indicates the ofile, relative
ent Definitiony Target.
xes are used to
e 10 — Notat
PrefixU. UD. DF. FT. TP. PA. AO. O
OE. E+ S
ion addresses
mitted to use t
ized to use the
zed to use the
21
in title case (f
m are set in all
bjectives ratiothat the thre
column.
ess of securitycolumn indicaf the objectivrms a support
ciency of seche requiremen
names and puring fulfillme
rtion of an She original SF
ion of an SFR
portion of anto the origina, but which
o indicate diff
ional prefix
Type of eUser Data Function Threat Policy AssumptionObjective EnvironmentalSecurity attribu
threats posed
the TOE who
e TOE who m
e TOE who m
for example, “
l caps (for exa
onale, a checkeat identified
y requirementsates that the e indicated ining fulfillmen
curity requiremnt performs a rposes set in ents.In speci
SFR that has FR definition
R that must b
n SFR that hasal SFR definitalso must be
ferent entity ty
convention
entity
l objectiveute
d by four categ
may attempt t
may attempt to
may attempt to
Copyrigh
“Document St
ample, “DSR”
kmark (“”) pin that row
s, a bold typefrequirement
n that column. nt.
ments, a boldprincipal fulfnormal typef
ifications of
been comple in Common
be completed
s been partialltion in Comm completed b
ypes:
ns
gories of threa
to use the TOE
o use TOE fu
o access data
発行日: 2
ht CANON IN
torage and Re
”).
place at the inis wholly or
face letter “P”identified in A letter “S” i
d typeface refillment of theface indicate f Security F
eted or refinen Criteria Par
by the ST Au
ly completed mon Criteria Paby the ST Au
at agents:
E
unctions for w
in ways for w
2016/06/07
NC. 2015
etrieval”).
ntersection r partially
” placed at that row
in such an
quirement e objective that those
Functional
ed in this rt 2 or an
uthor in a
or refined art 2 or an uthor in a
which they
which they
d
Th
3.3 T
Th
ThrT.DT.DT.F
ThrT.PRT.COT.CO
3.4 O
Thto penvithos
Name P.USER
P.SOFTW
P.AUDIT
P.INTER
P.HDD.A
3.5 A
The SecuProfile ar
AssumA.ACC
d) Persons whthreats.
he threats and
Threats to T
his section des
reat DOC.DIS DOC.ALT FUNC.ALT
eat ROT.ALT ONF.DIS ONF.ALT
Organizatio
his section desprovide a basiironment but fse assets.
.AUTHORIZA
WARE.VERI
T.LOGGING
RFACE.MAN
ACCESS.AUT
Assumption
urity Objectivere based on th
ption CESS.MANAG
ho unintention
policies defin
TOE Asset
scribes threats
Table 1
Affected asD.DOC D.DOC D.FUNC
Table
Affected asD.PROT D.CONF D.CONF
onal Securi
scribes the Ors for Securityfor which it is
Table
ATION
FICATION
NAGEMENT
THORIZATIO
ns
es and Securite condition th
DefiniGED The T
protecinterfa
nally cause a s
ned in this Pro
s
s to assets desc
11 —Threats
set DescripUser DUser DUser Fu
12 —Threats
sset DescripTSF ProTSF CoTSF Co
ity Policies
rganizational y Objectives ts not practical
13 —Organiz
DefTo pauthTo dwillTo pprovbe cdiscpersTo poperIT e
ON To pothe
ty Functional hat all of the as
Table 14
ition OE is located
ction from unmaces of the TO
22
software malfu
otection Profile
cribed in claus
s to User Da
ption ocument Dataocument Dataunction Data m
s to TSF Dat
ption otected Data monfidential Daonfidential Da
s
Security Policthat are comm to universally
zational Sec
finition preserve operahorized to use detect corruptl exist to self-vpreserve operavide an audit tcreated, maintclosure or altersonnel prevent unauthration of thoseenvironmentprevent accesser HCDs, TOE
Requirementssumptions de
4 —Assumpt
in a restrictedmanaged accesOE.
unction that m
e address the t
se 1.8.
ata for the TO
a may be discla may be altermay be altered
ta for the TO
may be alteredata may be discata may be alte
cies (OSPs) thmonly desired y define the as
curity Polici
ational accounthe TOE only
tion of the exeverify executaational accountrail of TOE uained, and proration, and wi
horized use ofe interfaces w
s TOE assets iE will have au
s defined in suescribed in thi
tions
d or monitoredss to the phys
Copyrigh
may expose th
threats posed
OE
losed to unautred by unauthod by unauthor
OE
d by unauthoriclosed to unauered by unauth
hat apply to thby TOE Ow
ssets being pr
es
ntability and sy as permittedecutable code able code in thntability and suse and securitotected from uill be reviewed
f the external will be controll
in the HDD wuthorized acce
ubsequent secis section are s
d environmenical componen
発行日: 2
ht CANON IN
he TOE to una
by these threa
thorized persoorized personsrized persons
ized persons uthorized pershorized person
he TOE. OSPwners in this orotected or the
security, Usersd by the TOE Oin the TSF, pr
he TSF security, recorty-relevant evunauthorized d by authorize
interfaces of tled by the TO
with connectiness the HDD d
ctions of this Psatisfied.
nt that providents and data
2016/06/07
NC. 2015
anticipated
at agents.
ons s
sons ns
s are used operational e threats to
s will be Owner rocedures
rds that vents will
ed
the TOE, E and its
ng the data.
Protection
s
AssumA.USER
A.ADM
A.ADM
ption R.TRAINING
MIN.TRAININ
MIN.TRUST
DefiniG TOE U
organiproced
NG Adminorganiand dowith thAdmin
ition Users are awarization, and ardures. nistrators are aization, are traocumentation,hose policies anistrators do n
23
re of the securre trained and
aware of the sained and com, and correctlyand procedure
not use their p
rity policies acompetent to
security policimpetent to folloy configure anes. rivileged acce
Copyrigh
and procedures follow those
ies and procedow the manuf
nd operate the
ess rights for m
発行日: 2
ht CANON IN
s of their policies and
dures of their facturer’s guidTOE in accor
malicious purp
2016/06/07
NC. 2015
dance rdance
poses.
4 Se
4.1 S
この章で
ObjeO.DO
O.DO
O.FU
O.PR
O.CO
O.CO
O.US
O.INT
O.SO
O.AU
O.HD
4.2 S
この章で
ObjecOE.A
OE.A
OE.IN
4.3 S
この章で
curity Obj
Security Ob
では、TOE の
ctive OC.NO_DIS
OC.NO_ALT
UNC.NO_ALT
ROT.NO_ALT
ONF.NO_DIS
ONF.NO_ALT
SER.AUTHOR
TERFACE.M
OFTWARE.VE
UDIT.LOGGE
DD.ACCESS.A
Security Ob
では、IT 環境
ctive UDIT_STOR
UDIT_ACCE
NTERFACE.M
Security Ob
では、非 IT 環
jectives
bjectives fo
の満たすべきセ
Table
T
T
T
RIZED
MANAGED
ERIFIED
ED
AUTHORISE
bjectives fo
境のセキュリテ
Table 16 — S
RAGE.PROTE
ESS.AUTHOR
MANAGED
bjectives fo
環境のセキュ
or the TOE
セキュリティ
15 — Securi
DefinThe TdiscloThe TalteraThe TalteraThe TalteraThe TdiscloThe TalteraThe Tand shsecurThe TaccorThe Tin theThe Tsecuror alte
ED The Twitho
or the IT en
ティ対策方針
Security Obj
DefECTED If au
prodprot
RIZED If auTOEthat secuTheacce
or the non-
リティ対策方
24
ィ対策方針に
ty Objective
nition TOE shall protosure. TOE shall protation. TOE shall protation. TOE shall protation. TOE shall protosure. TOE shall protation. TOE shall requhall ensure thaity policies be
TOE shall manrdance with seTOE shall prove TSF. TOE shall creaity-relevant everation.
TOE shall protout the TOE au
nvironment
針に関して記
jectives for
finition udit records arduct, the TOEtected from unudit records gE to another trthose records
urity violatione IT environmeess to TOE ex
-IT environ
方針に関して
関して記述す
es for the TO
tect User Doc
tect User Doc
tect User Func
tect TSF Prote
tect TSF Conf
tect TSF Conf
uire identificaat Users are auefore allowingnage the operaecurity policievide procedur
ate and maintavents, and pre
tect TOE asseuthorization.
t
記述する。
the IT envir
re exported froE Owner shall nauthorized acenerated by thrusted IT prods can be accesns, and only byent shall prov
xternal interfac
ment
て記述する。
Copyrigh
する。
OE
cument Data fr
cument Data fr
ction Data fro
ected Data fro
fidential Data
fidential Data
ation and autheuthorized in a
g them to use tation of externs. res to self-veri
ain a log of TOevent its unaut
ets in the HDD
ronment
om the TOE tensure that thccess, deletionhe TOE are exduct, the TOE sed in order toy authorized pide protectionces.
発行日: 2
ht CANON IN
from unauthori
from unauthori
om unauthoriz
om unauthoriz
from unautho
from unautho
entication of Uaccordance withe TOE. nal interfaces
ify executable
OE use and thorized disclo
D from accessi
to another trushose records arn and modificaxported from t
Owner shall eo detect poten
persons n from unmana
2016/06/07
NC. 2015
ized
ized
zed
zed
orized
orized
Users, ith
in
e code
osure
ing
sted IT re ations.the ensure
ntial
aged
TTTTTTPPPPP
ObjecOE.PH
OE.US
OE.US
OE.AD
OE.AD
OE.AU
4.4 S
この章で
Threats. PoT.DOC.DIS T.DOC.ALT T.FUNC.ALT.PROT.ALTT.CONF.DIST.CONF.ALTP.USER.AUP.SOFTWARP.AUDIT.LOP.INTERFAP.HDD.ACC
Ta
ctive HYSICAL.MA
SER.AUTHO
SER.TRAINE
DMIN.TRAIN
DMIN.TRUS
UDIT.REVIE
Security Ob
では、セキュ
olicies, and A
LT T S T
UTHORIZATRE.VERIFICOGGING CE.MANAG
CESS.AUTH
able 17 — Sec
ANAGED
ORIZED
ED
NED
TED
EWED
bjectives ra
リティ対策方
Table 18 —
Assumptions
TION CATION
GEMENT HORIZATION
curity Objec
DefinThe TproviThe Tto useof theThe TpolicitraininThe Tof thethe traguidathe TOThe Twill nThe Tapproactivi
ationale
方針(Securit
—Complete
s O.D
OC
.NO
_DIS
O.D
OC
.NO
_AL
T
O.F
UN
C.N
O_A
LT
N
25
ctives for th
nition TOE shall be pdes protection
TOE Owner she the TOE acceir organizatioTOE Owner shies and procedng and compe
TOE Owner she security poliaining, compe
ance and documOE in accorda
TOE Owner shnot use their prTOE Owner shopriate intervaity.
ty Objectives)
eness of Sec
O.P
RO
T.N
O_A
LT
O.C
ON
F.N
O_D
IS
O.C
ON
F.N
O_A
LT
e non-IT env
placed in a secn from unmanhall grant permcording to theon. hall ensure thadures of their oetence to follohall ensure thacies and proceetence, and timmentation, anance with thoshall establish trivileged accehall ensure thaals for security
の根拠に関
curity Objec
Obje
O.U
SE
R.A
UT
HO
RIZ
ED
OE
.US
ER
.AU
TH
OR
IZE
D
O.S
OF
TW
AR
E.V
ER
IFIE
D
OA
UD
ITL
OG
GE
D
Copyrigh
vironment
cure or monitonaged physicalmission to Usesecurity polic
at Users are aworganization,
ow those policat TOE Adminedures of theirme to follow thnd correctly cose policies andtrust that TOEess rights for mat audit logs ay violations or
関して記述す
ctives
ectives
O.A
UD
IT.L
OG
GE
D
O.H
DD
.AC
CE
SS
.AU
TH
OR
ISE
D
OE
.AU
DIT
_ST
OR
AG
E.P
RO
TE
CT
ED
OE
.AU
DIT
_AC
CE
SS
.AU
TH
OR
IZE
D
発行日: 2
ht CANON IN
ored area that l access to theers to be autho
cies and proce
ware of the seand have the
cies and procednistrators are r organizationhe manufactu
onfigure and od procedures. E Administratomalicious purpare reviewed ar unusual patte
る。
OE
.AU
DIT
.RE
VIE
WE
D
O.I
NT
ER
FAC
E.M
AN
AG
ED
OE
.PH
YIS
CA
L.M
AN
AG
ED
OE
INT
ER
FAC
EM
AN
AG
ED
2016/06/07
NC. 2015
e TOE.orized dures
ecurity
dures. aware
n, have urer’s operate
ors poses.
at erns of
OE
.IN
TE
RFA
CE
.MA
NA
GE
D
OE
.AD
MIN
.TR
AIN
ED
OE
.AD
MIN
.TR
US
TE
D
OE
US
ER
TR
AIN
ED
OE
.US
ER
.TR
AIN
ED
AAAA
Threats. PoA.ACCESS.MA.ADMIN.TA.ADMIN.TA.USER.TR
Threats. Assu
T.DOC.D
T.DOC.A
T.FUNC.
T.PROT.
olicies, and AMANAGED
TRAINING TRUST RAINING
Policies, andumptions
DIS
ALT
.ALT
ALT
Assumptions
Table 1
d Summary
User Docudisclosed persons
User Docualtered by
User Funcaltered by
TSF Protealtered by
s O.D
OC
.NO
_DIS
O.D
OC
.NO
_AL
T
O.F
UN
C.N
O_A
LT
9 —Sufficien
y
ument Data mto unauthorize
ument Data my unauthorized
ction Data mayy unauthorized
ected Data may unauthorized
26
O.P
RO
T.N
O_A
LT
O.C
ON
F.N
O_D
IS
O.C
ON
F.N
O_A
LT
ncy of Secu
O
may be ed
OuOidaOrg
may be d persons
OuOidaOrg
y be d persons
OuOidaOrg
ay be d persons
OuOidaOrg
Obje
O.U
SE
R.A
UT
HO
RIZ
ED
OE
.US
ER
.AU
TH
OR
IZE
D
O.S
OF
TW
AR
E.V
ER
IFIE
D
OA
UD
ITL
OG
GE
D
urity Objectiv
Objectives an
O.DOC.NO_Dunauthorized dO.USER.AUTdentification a
authorizationOE.USER.AUresponsibility grant authorizaO.DOC.NO_Aunauthorized aO.USER.AUTdentification a
authorizationOE.USER.AUresponsibility grant authorizaO.FUNC.NO_unauthorized aO.USER.AUTdentification a
authorizationOE.USER.AUresponsibility grant authorizaO.PROT.NO_unauthorized aO.USER.AUTdentification a
authorizationOE.USER.AUresponsibility grant authoriza
Copyrigh
ectives
O.A
UD
IT.L
OG
GE
D
O.H
DD
.AC
CE
SS
.AU
TH
OR
ISE
D
OE
.AU
DIT
_ST
OR
AG
E.P
RO
TE
CT
ED
OE
.AU
DIT
_AC
CE
SS
.AU
TH
OR
IZE
D
ves
nd rationale
DIS protects Ddisclosure THORIZED esand authentica
UTHORIZED of the TOE Oation
ALT protects Dalteration
THORIZED esand authentica
UTHORIZED of the TOE Oation
_ALT protectsalteration
THORIZED esand authentica
UTHORIZED of the TOE Oation
_ALT protectsalteration
THORIZED esand authentica
UTHORIZED of the TOE Oation
発行日: 2
ht CANON IN
OE
.AU
DIT
.RE
VIE
WE
D
O.I
NT
ER
FAC
E.M
AN
AG
ED
OE
.PH
YIS
CA
L.M
AN
AG
ED
OE
INT
ER
FAC
EM
AN
AG
ED
D.DOC from
stablishes useration as the ba
establishes Owner to appro
D.DOC from
stablishes useration as the ba
establishes Owner to appro
s D.FUNC fro
stablishes useration as the ba
establishes Owner to appro
D.PROT from
stablishes useration as the ba
establishes Owner to appro
2016/06/07
NC. 2015
OE
.IN
TE
RFA
CE
.MA
NA
GE
D
OE
.AD
MIN
.TR
AIN
ED
OE
.AD
MIN
.TR
US
TE
D
OE
US
ER
TR
AIN
ED
r asis for
opriately
r asis for
opriately
om
r asis for
opriately
m
r asis for
opriately
OE
.US
ER
.TR
AIN
ED
T.CONF.
T.CONF.
P.USER.AATION
P.SOFTWICATION
P.AUDIT
P.HDD.AHORIZA
P.INTERAGEMEN
A.ACCEED
A.ADMING
.DIS
.ALT
AUTHORIZ
WARE.VERIFN
T.LOGGING
ACCESS.AUTATION
RFACE.MANNT
SS.MANAG
N.TRAININ
TSF Confdisclosed persons
TSF Confaltered by
Users willthe TOE
F Procedureself-verifythe TSF An audit tsecurity-recreated, mand review
T To preventhe HDD wother HCDauthorizedOperationwill be conand its IT
The TOE protectionaccess to tcomponenof the TOETOE Usertrained to policies an
fidential Data to unauthorize
fidential Data y unauthorized
l be authorized
es will exist toy executable c
trail of TOE uelevant events
maintained, prowed.
nt access TOEwith connectinDs, TOE will hd access the Hn of external inntrolled by thenvironment
environment pn from unmanathe physical nts and data inE. rs are aware ofollow securit
nd procedures
27
may be ed
OuOidaOrg
may be d persons
OuOidaOrg
d to use OidaOrg
o code in
Oto
use and s will be otected,
OopOedOeprOra
assets in ng the have
HDD data.
OaT
nterfaces e TOE .
OowOpin
provides aged
nterfaces
Op
f and ty
s
Ora
O.CONF.NO_unauthorized dO.USER.AUTdentification a
authorizationOE.USER.AUresponsibility grant authorizaO.CONF.NO_unauthorized aO.USER.AUTdentification a
authorizationOE.USER.AUresponsibility grant authorizaO.USER.AUTdentification a
authorization tOE.USER.AUresponsibility grant authorizaO.SOFTWARo self-verify e
O.AUDIT.LOGof TOE use anprevents unautOE.AUDIT_Sexported auditdeletion and mOE.AUDIT_Aestablishes resprovide approprecords OE.AUDIT.REresponsibility audit logs are aO.HDD.ACCEassets in the HTOE authoriza
O.INTERFACoperation of exwith security pOE.INTERFAprotected envinterfaces
OE.PHYSICAprotected phys
OE.ADMIN.Tresponsibility appropriate Ad
Copyrigh
_DIS protects disclosure THORIZED esand authentica
UTHORIZED of the TOE Oation
_ALT protectsalteration
THORIZED esand authentica
UTHORIZED of the TOE Oation
THORIZED esand authenticato use the TOE
UTHORIZED of the TOE Oation
RE.VERIFIEDexecutable cod
GGED creatend security-relthorized discloTORAGE.PR
t records frommodifications ACCESS.AUTsponsibility ofpriate access t
EVIEWED esof the TOE Oappropriately ESS.AUTHOR
HDD from acceation.
CE.MANAGExternal interfapolicies
ACE.MANAGronment for T
AL.MANAGEsical environm
TRAINED estaof the TOE Odministrator tr
発行日: 2
ht CANON IN
D.CONF from
stablishes useration as the ba
establishes Owner to appro
s D.CONF fro
stablishes useration as the ba
establishes Owner to appro
stablishes useration as the baE establishes
Owner to appro
D provides prode in the TSF
s and maintainlevant events, osure or altera
ROTECTED pm unauthorized
THORIZED f, the TOE Owto exported au
stablishes Owner to ensur
reviewed RISED protecessing withou
ED manages thaces in accord
GED establisheTOE external
ED establishes ment for the TO
ablishes Owner to proviraining.
2016/06/07
NC. 2015
m
r asis for
opriately
om
r asis for
opriately
r asis for
opriately
cedures
ns a log and
ation protects d access,
wner to udit
re that
cts TOE ut the
he ance
es a
a OE
ide
A.ADMIN
A.USER.
N.TRUST
.TRAINING
Administrprivilegedmalicious Administrtrained to policies an
rators do not ud access rights
purposes. rators are awafollow securit
nd procedures
28
use their s for
Othw
re of and ty
s
Ootr
OE.ADMIN.The TOE Owne
with AdministOE.USER.TRAof the TOE Owraining.
Copyrigh
TRUST establier to have a trtrators. AINED estabwner to provid
発行日: 2
ht CANON IN
ishes responsirusted relation
lishes responsde appropriate
2016/06/07
NC. 2015
ibility of nship
sibility e User
5 Ext
This Protextended employed
5.1 F
Family b This famdata. Confidencontainerprovided encryptiodisk is inbecomes access to Compon FPT_CIPstored on Managem The follo
a)
b)
Audit: The folloPP/ST:
a)
FPT_CI
FPT_CI
FPT_CI
FP
tended co
tection Profilecomponents
d only in TOE
FPT_CIP_E
behaviour:
mily defines re
ntiality and inr is not, or noby functional
on functions, wntended to ba very imporinformation.
ent leveling:
P_EXP.1 Confn a storage con
ment: FPT
owing actions
Managemen
Managemen
FPT
owing actions
Basic: failufunctionalit
IP_EXP.1 C
Hier
Dep
P_EXP.1.1 inteto st
P_EXP.1.2
PT_CIP_EX
omponents
e defines compare defined i
Es whose STs
EXP Confide
equirements fo
ntegrity of stot always, in ality that the Twhere the TSFe removable rtant function
fidentiality anntainer that can
T_CIP_EXP.1
could be cons
nt of the cond
nt of potential
T_CIP_EXP.1
s should be a
ure condition tty (e. g. detect
Confidentia
rarchical to:
endencies:
The grity of usertore the data
The
XP.1 Confide
s definitio
ponents that ain the Protectconform to th
entiality an
or the TSF to
ored data is ima protected enTSF uses for bF stores its ow
and therefornality to achie
nd integrity ofnnot be assum
1
sidered for the
ditions under w
l restrictions o
1
auditable if F
that prohibits ted modificati
ality and int
No o
No d
TSF shall pr and TSF d
ta].
TSF shal
entiality an
29
on (APE_E
are extensionstion Profile b
hose SFR Pack
nd integrity
protect the c
mportant secunvironment. Cboth TSF and wn data as welre may be traeve the Secur
f stored data, med to be prot
e management
which the prot
on the allowan
AU_GEN Se
the function tions).
tegrity of s
other compo
dependencie
provide a fudata when ei
ll provide
d integrity
ECD)
s to Common but are used ikages.
y of stored
confidentiality
urity functionConfidentiality
user data in thll as user data ansported intoity Objectives
provides for ected by the T
t functions in F
tection functio
nce to use this
ecurity Audit
to work prope
tored data
onents.
es
unction that ither is writ
a function
of stored da
Copyrigh
Criteria 3.1 Rn SFR Packa
data
y and integrity
nality in the cy and integrityhe same way.on the same d
o an unprotes of protectio
the protectionTOE environm
FMT:
on is activated
s function.
Data Genera
erly, detected
ensures thetten to [assi
n that det
ata
発行日: 2
ht CANON IN
Release 2, Parages, and ther
y of both TSF
case where thy of stored dat Examples ardisk. Especial
ected environmon against una
n of user and ment.
d or used;
ation is includ
attempts to b
e confidentiagnment: me
tects and p
1
2016/06/07
NC. 2015
rt 2. These refore, are
F and user
he storage ta is often e full disk lly when a ment, this authorized
TSF data
ded in the
bypass this
ality and edia used
performs
Rationa
The ComFPT clasprotectionin cases widentical This Protfor both tsimplifiesand appliaddress th This exteFDP or Fstorage mit in the Fdefine a n
5.2 F
Family b This faminterface Many proinformaticapabilityconnectedexternal FPT_FDI Compon FPT_FDITSF contanother eallowanc Managem The follo
a)
b)
c)
Audit:
FP
[asseith
le:
mmon Criteria ss. Although n, those compwhere a TOEway.
tection Profiletypes of data is the statemenicability of thhis functional
ended componFPT class. Si
media that migFPT class. It new family wi
FPT_FDI_E
behaviour:
mily defines reto another ext
oducts receiveion before it y for attackerd to the TOEinterfaces is I_EXP has be
ent leveling:
I_EXP.1 Resttrolled proces
external interfae by an author
ment: FPT
owing actions
Definition o
Managemenrole;
Revocation
FPT
T_FDI_EXP
ignment: liser is written
defines the pboth classes
ponents are deE provides fun
e defines an exin a single comnt of security
his Protection ity.
nent protects ince it is intenght be removadid not fit weith just one m
XP Restric
equirements fternal interfac
e information is transmitted
rs to misuse ’s external intforbidden unen defined to
tricted forwarssing of data face. Direct forized administ
T_FDI_EXP.1
could be cons
of the role(s) t
nt of the cond
n of such an al
T_FDI_EXP.1
P.1 Restrict
st of actions]n to [assignm
protection of us contain comefined differennctionality for
xtended compmponent. Thefunctional reProfile. There
both user datnded to prote
able from the ell in any of t
member.
cted forwar
for the TSF tce.
on specific exd on another external interterfaces. Thernless explicitlspecify this k
rding of data received over
orwarding of dtrative role.
1
sidered for the
that are allow
ditions under
lowance.
1
ted forwardi
30
] when it dement: media
user data in itmponents thatntly for user dr the confiden
ponent that come authors of thquirements siefore, the auth
ta and TSF daect data that aTOE, the auththe existing fa
rding of dat
to restrict dire
xternal interfaexternal inter
rfaces to violrefore, direct fly allowed by
kind of functio
to external inr defined extedata from one
e management
ed to perform
which direct
ing of data t
etects alteraa used to stor
ts FDP class at define conf
data and TSF dntiality and in
mbines the cohis Protection ignificantly anhors decided
ata, and it couare exported hors believed families in eith
ta to extern
ect forwardin
aces and are inrface. Howevlate the securforwarding ofy an authoriz
onality.
nterfaces, provernal interfaceexternal inter
t functions in F
m the managem
t forwarding c
to external
Copyrigh
tion of user ore the data]
and the protecfidentiality prdata and therentegrity for bo
onfidentiality Profile view t
nd therefore eto define an e
uld therefore to storage mthat it was mher class, and
nal interfac
ng of informa
ntended to tranver, some prority of the TOf unprocessedzed administr
vides for the es before thesrface to anoth
FMT:
ment activities
can be allowe
interfaces
発行日: 2
ht CANON IN
and TSF da.
ction of TSF rotection andefore are difficoth types of d
and integrity this as an app
enhances the rextended com
be placed in edia, and in post appropriat
d this led the
ces
ation from on
nsform and products may prOE or deviced data betweenrative role. T
functionality se data are se
her one require
;
ed by an adm
1
2016/06/07
NC. 2015
ata when
data in its d integrity cult to use data in an
protection proach that readability
mponent to
either the particular, te to place authors to
e external
rocess this rovide the es that are n different he family
to require ent out on es explicit
ministrative
1
The folloPP/ST: There are Rational Quite oftbefore susystems transferreinterfaces It has beeto disallois quite co The ComProtectionadministrpurpose rfor refinethis funct This exteFDP or Fapproprialed the au
FPT_FD
FPT_FD
owing actions
e no auditable
le:
ten a TOE is uch (processedbut also othe
ed. Direct forws is therefore a
en viewed as uow direct forwommon for a n
mmon Criterian Profile, therative control resulted in SFement in a Sectionality.
ended componFPT class. Sinate to place it uthors to defin
DI_EXP.1 R
Hier
Dep
DI_EXP.1.1 [assproc
s should be a
events forese
supposed to pd) data are aller systems thwarding of sua function tha
useful to havewarding and re
number of pro
a defines attre authors neeinstead of attr
FRs that werecurity Target.
nent protects nce its purposin the FPT cl
ne a new famil
Restricted f
rarchical to:
endencies:
The ignment: lis
cessing by th
auditable if F
een.
perform specilowed to be t
hat require a uch data (i. e
at – if allowed
e this functionequire that onloducts, it has b
ribute-based ceded to expreribute-based c either too im Therefore, th
both user datse is to proteclass. It did noly with just on
forwarding
No o
FMTFMT
TSF shallist of externhe TSF to [a
31
AU_GEN Se
ific checks antransferred to
specific wore. without pro
at all – can on
nality as a singly an authorizbeen viewed a
control of useess the contrcontrol. It was
mplementationhe authors dec
ta and TSF dact the TOE frt fit well in anne member.
of data to
other compo
T_SMF.1 SpT_SMR.1 Se
provide thnal interfacessignment: l
ecurity Audit
nd process datanother exter
rk flow for thocessing the dnly be allowed
gle componened role can alas useful to de
er data flow rol of both us found that un-specific for cided to defin
ata, and it courom misuse, thny of the exis
external in
onents.
pecification oecurity roles
he capabilitces] from belist of extern
Copyrigh
Data Genera
ta received onrnal interface.he incoming
data first) betwd by an author
nt that allows llow this. Sincefine an exten
in its FDP cuser data andusing FDP_IFFa Protection P
ne an extended
uld therefore he authors besting families
nterfaces
of Managem.
ty to restriceing forwardnal interface
発行日: 2
ht CANON IN
ation is includ
n one external. Examples ardata before
ween differenrized role.
specifying thece this is a funnded compone
class. Howeved TSF data flF and FDP_IFProfile or too d component
be placed in elieved that it
in either class
ment Functio
ct data receded withoutes].
2016/06/07
NC. 2015
ded in the
l interface re firewall it can be
nt external
e property nction that nt.
er, in this low using FC for this
unwieldy to address
either the was most
s, and this
ns
eived on t further
6 Se
この章で
6.1 S
この章で
尚、コン
を示して
6.1.1
FIA_AF
FIA_AF
FIA_AF
FIA_AT
FIA_AT
FIA_UA
curity req
では、TOE の
Security fun
では、TOE の
ンポーネント
ている。
ユーザー認
FL.1 Aut
Hier
Dep
FL.1.1 The admvaluauth
[selepo
[ass
FL.1.2 Whe[sele
[sele
[ass
TD.1 Use
Hier
Dep
D.1.1 The indi
[ass
AU.1 Tim
uirements
のセキュリティ
nctional re
のセキュリティ
識別情報や機
証機能
thenticatio
rarchical to:
endencies:
TSF shall ministrator coues]] unsuccehentication e
ection: [assiositive intege an admin
signment: lis 操作パネ
en the definection: met,
ection: met, met
signment: lis ロックア
er attribute
rarchical to:
endencies:
TSF shall vidual users
signment: lis ユーザー
ming of aut
s
ィ要件(secu
equirement
ィ機能要件
機能エレメン
on failure h
No o
FIA
detect whenconfigurable essful autheevents].
ignment: poger within[asnistrator config
ist of authentネルもしくは
ned numbesurpassed],
surpassed]
ist of actions]アウト
e definition
No o
No d
maintain ts: [assignme
ist of securityー名、ロール
henticatio
32
urity requirem
ts
(security funcント名の後ろ
handling
other compo
A_UAU.1 Tim
n [selection: positive inte
entication at
ositive integssignment: rgurable positiv
ntication evenリモート UI
r of unsuccthe TSF sha
s]
n
other compo
dependencie
the followinent: list of se
ty attributes]
on
ments)に関し
ctional requireの()書きは
onents.
ming of auth
[assignmenteger within[ttempts occu
ger number],range of acceve integer wit
ents] を使ったログ
cessful authall [assignm
onents.
es
ng list of seecurity attrib
]
Copyrigh
して記述する。
ements)に関
は、繰り返し
hentication
nt: positive i[assignmentur related to
], an adminieptable valuthin 1 to 10
グイン試行
hentication ment: list of a
ecurity attributes].
発行日: 2
ht CANON IN
。
関して記述す
しの操作を示
integer numt: range of aco [assignmen
istrator confues]]
attempts hactions].
ributes belo
2016/06/07
NC. 2015
る。 す識別子
mber], an cceptable nt: list of
nfigurable
has been
nging to
FIA_UA
FIA_UA
FIA_UA
FIA_UA
FIA_UI
FIA_UID
FIA_UID
FIA_US
Hier
Dep
AU.1.1 The withbefo
[assac
AU.1.2 The any
AU.7 Pro
Hier
Dep
AU .7.1 The auth
[ass
D.1 Tim
Hier
Dep
D.1.1 The withbefo
[assac
D.1.2 The othe
SB.1 Use
Hier
Dep
rarchical to:
endencies:
TSF shall ah access-contore the user
signment: ccess-control プリントジ
TSF shall rother TSF-m
otected aut
rarchical to:
endencies:
TSF shall hentication i
signment: lis *
ming of ide
rarchical to:
endencies:
TSF shall ah access-contore the user
signment: ccess-control プリントジ
TSF shall rer TSF-medi
er-subject
rarchical to:
endencies:
No o
FIA
allow [assignntrolled Func
is authentic
list of TSlled Function
ジョブ、ファクス
require eachmediated ac
thenticatio
No o
FIA
provide onlis in progres
ist of feedbac
ntification
No o
No d
allow [assignntrolled Func
is identified
list of TSlled Function
ジョブ、ファクス
require eachiated actions
binding
No o
FIA
33
other compo
A_UID.1 Tim
nment: list octions of thecated.
TSF-mediatedons of the TOスジョブ、I ファ
h user to betions on beh
on feedbac
other compo
A_UAU.1 Tim
ly [assignmess.
ck]
other compo
dependencie
nment: list octions of thed.
TSF-mediatedons of the TOスジョブ、I ファ
h user to bes on behalf o
other compo
A_ATD.1 Use
onents.
ming of ident
of TSF-medie TOE] on be
d actionsOE] ァクスジョブの投
successfullyhalf of that u
ck
onents.
ming of auth
ent: list of f
onents.
es.
of TSF-medie TOE] on be
d actionsOE] ァクスジョブの投
successfullyof that user.
onents.
er attribute d
Copyrigh
ification
diated actionsehalf of the u
that do
投入
y authenticauser.
hentication
feedback] to
diated actionsehalf of the u
that do
投入
y identified
definition
発行日: 2
ht CANON IN
ns that do nouser to be pe
not confli
ated before
o the user w
ns that do nouser to be pe
not confli
before allow
2016/06/07
NC. 2015
ot conflict erformed
ict with
allowing
while the
ot conflict erformed
ict with
wing any
FIA_US
FIA_US
FIA_US
FTA_S
FTA_SS
FTA_S
FTA_SS
6.1.2 ジ
FMT_M
SB.1.1 The on th
[ass
SB.1.2 The attriiniti
[ass
SB.1.3 The attrichan
[ass
SL.3(lui) T
Hier
Dep
SL.3.1(lui) Tinte
[ass
SL.3(rui) T
Hier
Dep
SL.3.1(rui) Tinte
[ass
ジョブ実行ア
MSA.1(exec
Hier
Dep
TSF shall ahe behalf of
signment: lis ユーザー
TSF shall eibutes with
tial associatio
signment: ru なし
TSF shall eibutes with nging of attr
signment: ru なし
TSF-initiate
rarchical to:
endencies:
The TSF sherval of user
signment: tim 操作パネ
TSF-initiate
rarchical to:
endencies:
The TSF sherval of user
signment: tim リモート
アクセス制御
c-job) Man
rarchical to:
endencies:
associate thef that user: [
ist of user secー名、ロール
enforce the fthe subject
ion of attribu
ules for the i
enforce the the subject
ributes].
ules for the c
ed termina
No o
No d
hall terminar inactivity].
ime interval ネルを操作し
ed termina
No o
No d
hall terminar inactivity].
ime interval ト UI を操作し
御機能
nagement
No o
[FDFDPFMT
34
e following uassignment
ecurity attrib
following rults acting on utes].
initial associ
following ruts acting on
changing of a
ation
other compo
dependencie
ate an inter
l of user inacない状態が、
ation
other compo
dependencie
ate an inter
l of user inacしない状態が
of security
other compo
P_ACC.1 SuP_IFC.1 SubT_SMR.1 Se
user security: list of user
butes]
les on the inbehalf of u
iation of attr
ules governibehalf of u
attributes]
onents.
es.
ractive sess
ctivity] 設定時間経
onents.
es.
ractive sess
ctivity] が、15 分間経
y attribute
onents.
ubset access bset informaecurity roles
Copyrigh
y attributes r security att
nitial associausers: [assign
tributes]
ng changes users: [assign
sion after a
経過
sion after a
経過
es
control, or ation flow con
発行日: 2
ht CANON IN
with subjecttributes].
ation of usernment: rule
to the usernment: rule
a [assignme
a [assignme
ntrol]
2016/06/07
NC. 2015
cts acting
r security es for the
security es for the
ent: time
ent: time
FMT_M
FMT_M
FMT_M
FMT_M
FDP_A
FDP_AC
MSA.1.1(exec[assabilioper[ass
[ass
[sele
[ass
[ass
MSA.3(exec
Hier
Dep
MSA.3.1(exec[ass[seledefa
[ass
[sele
[ref
MSA.3.2(execto spinfor
[ass
ACC.1(exec
Hier
Dep
CC.1.1(exec-as s
c-job) The ignment: acity to [selecrations]] theignment: th
signment: ac なし
ection: chan query, mo
signment: lis ロール
signment: th U.ADMIN
c-job) Sta
rarchical to:
endencies:
c-job) The ignment: aection, chooault values fo
signment: ac なし
ection, choos Restrictiv
finement] TOE Fun
c-job) The pecify alternrmation is c
signment: th Nobody
c-job) Sub
rarchical to:
endencies:
-job) The subjects, TO
FMT
TSF shalccess controlction: change security a
he authorised
ccess control
nge_default, odify, delete,
ist of security
he authoriseNISTRATOR
tic attribut
No o
FMTFMT
TSF shallaccess controse one of: for security a
ccess control
se one of: reve
nction Access
TSF shall anative initialcreated.
he authorize
bset acces
No o
FDP
TSF shall eOE function
35
T_SMF.1 Sp
ll enforce tl SFP(s), info
nge_default, attributes [ad identified
l SFP(s), info
query, modicreate
ty attributes]
ed identified R
te initialisa
other compo
T_MSA.1 MT_SMR.1 Se
l enforce throl SFP, inrestrictive, attributes th
l SFP, inform
estrictive, pe
Control Polic
allow the [al values to ov
ed identified
ss control
other compo
P_ACF.1 Sec
enforce the Tns as object
pecification o
the TOE Fformation flo
query, modassignment:roles].
formation flo
ify, delete, [a
]
d roles]
ation
onents.
anagement ecurity roles
he TOE Funformation
permissive,hat are used
mation flow
ermissive, [a
cy → TOE Fu
assignment: verride the d
d roles]
onents.
curity attrib
TOE Functits, and the
Copyrigh
of Managem
Function Acow control Sdify, delete, : list of sec
ow control S
assignment:
of security a
unction Accflow contro, [assignme
d to enforce t
control SFP
assignment:
unction Acces
the authoridefault valu
ute based ac
ion Access Cright to u
発行日: 2
ht CANON IN
ment Functio
ccess ContrSFP(s)] to res
[assignmencurity attrib
SFP(s)]
: other opera
attributes
cess Controol SFP] to ent: other pthe SFP.
P]
other proper
ss Control SFP
ized identifiues when an
ccess contro
Control SFP se the func
2016/06/07
NC. 2015
ns
rol SFP, strict the nt: other butes] to
ations]]
l Policy, provide
property]]
erty]]
P
fied roles] object or
l
on users ctions as
FDP_A
FDP_AC
FDP_AC
FDP_AC
FDP_AC
Object
oper
ACF.1(exec
Hier
Dep
CF.1.1(exec-jbasesecu
[assth
CF.1.2(exec-jamoexplauth[ass
[selefuus
[ass
CF.1.3(exec-jthe [assacce
[assac
CF.1.4(exec-j[asssubj
[asssu
rations.
c-job) Sec
rarchical to:
endencies:
job) The ed on the fourity attribu
signment: lishe TOE Func objects c
each, the
job) The ong controllelicitly authohorized to uignment: lis
ection: the unction, a usse the functi [assignm
signment: ot rules spec
among coon contro
job) The following aignment: ot
ess of subject
signment: otccess of subje なし
job) The ignment: ru
bjects to objec
signment: ruubjects to obj なし
Table 20
Attribute
curity attrib
No o
FDPFMT
TSF shall efollowing: usute(s) used to
ist of TOE fuction Access ontrolled undindicated secu
TSF shall eed subjects aorized by Uuse the TOst of function
user is exser that is auions [assignm
ment: other co
ther conditiocified in the Tontrolled userolled objects
TSF shall eadditional ruther rules, bcts to objects]
ther rules, bjects to objec
TSF shall eules, based cts].
ules, based bjects]
0 —TOE Fun
Operat
36
bute based
other compo
P_ACC.1 SubT_MSA.3 St
enforce the Tsers and [ao determine
unctions ands Control SFPder the TOE Furity attribute
enforce the fand controll
U.ADMINISTOE is automns], [assignm
xplicitly aututhorized to ment: list of onditions]
ons] TOE Function rs as subjects
explicitly autules: the usbased on se
s].
based on sects]
explicitly denon security
on security
nction Acces
tion(s) Sub
d access c
onents.
bset access ctatic attribut
TOE Functiossignment:
e the TOE Fu
d the securityFP] Function Accees in Table 20.
following ruled objects is
STATOR to umatically aument: other c
thorized by o use the TOEf functions],
Access Contrand controlled
thorise acceser acts in ecurity attri
ecurity attri
ny access ofy attributes,
y attributes,
ss Control S
bject Attr
Copyrigh
control
control te initialisat
on Access Colist of TOE
unction Acce
ty attribute(
ess Control SF.
ules to determs allowed: [suse a functuthorized toconditions]].
y U.ADMINOE is automa
[assignment
rol SFP in Tabd objects usin
ss of subjectthe role U
ibutes, that
ibutes, that
f subjects to , that expli
s, that expli
SFP
ribute Acc
発行日: 2
ht CANON IN
tion
ontrol SFP tE functions ess Control S
(s) used to de
FP in Table 2
mine if an oselection: thtion, a usero use the f.
NISTATOR tatically autht: other cond
ble 20 governng controlled o
ts to objects .ADMINIST
t explicitly a
t explicitly a
objects baseicitly deny a
icitly deny a
cess control r
2016/06/07
NC. 2015
to objects and the
SFP].
determine
20, and for
operation he user is r that is functions
to use a horized to ditions]]
ing access operations
based on TRATOR, authorise
authorise
ed on the access of
access of
rule
Object
「セキュア
「コピー」
「スキャン
「ファクス
「受信トレ
「保存フ
用」
リモート U信 /保存
利用」
6.1.3 投
6.1.3.1
FMT_M
FMT_M
アプリント」
ン」
」
レイ」
ァイルの利
UI 上の「受
ファイルの
投入ジョブア
ジョブ削除
MSA.1(delet
Hier
Dep
MSA.1.1(delet[assabilioper[ass
[ass
[se
Attribute
+PRT
+CPY +DSR
+SCN +DSR
+FAXOUT
+FAXIN
+DSR
+DSR +FAXIN
アクセス制御機
除機能
te-job) Man
rarchical to:
endencies:
te-job) The ignment: acity to [selecrations]] theignment: th
signment: ac In The J
election: cha
OperatObjectPointerし た ジ
行 ObjectPointerし た ジ
行
ObjectPointerし た ジ
行
ObjectPointerし た ジ
行 ObjectPointerし た ジ
行 ObjectPointerし た ジ
行 ObjectPointerし た ジ
行
機能
nagement o
No o
[FDFDPFMTFMT
TSF shall ccess controlction: change security a
he authorised
ccess controlOB Access C
ange_default
37
tion(s) Subの
を利用
ョ ブ 実U.U
の
を利用
ョ ブ 実U.U
の
を利用
ョ ブ 実U.U
の
を利用
ョ ブ 実U.U
の
を利用
ョ ブ 実U.U
の
を利用
ョ ブ 実U.U
の
を利用
ョ ブ 実U.U
of security
other compo
P_ACC.1 SuP_IFC.1 SubT_SMR.1 SeT_SMF.1 Sp
enforce the l SFP(s), info
nge_default, attributes [ad identified
l SFP(s), infoControl SFP in
t, query, mod
bject Attr
USER ロー
USER ロー
USER ロー
USER ロー
USER ロー
USER ロー
USER ロー
y attributes
onents.
ubset access bset informaecurity rolespecification o
Common Aformation flo
query, modassignment:roles].
formation flon Table 23
dify, delete, [
Copyrigh
ribute Acc
ール Objのロ
たロ
ール Objのロ
たロ
ール Objのロ
たロ
ール Objのロ
たロ
ール Objのロ
たロ
ール Objのロ
たロ
ール Subであ
control, or ation flow con
of Managem
Access Controw control Sdify, delete, : list of sec
ow control S
[assignment
発行日: 2
ht CANON IN
cess control r
ject の属性に
ロールが Operロールである
ject の属性に
ロールが Operロールである
ject の属性に
ロールが Operロールである
ject の属性に
ロールが Operロールである
ject の属性に
ロールが Operロールである
ject の属性に
ロールが Operロールである
bject のロール
あれば Operat
ntrol]
ment Functio
rol SFP in TSFP(s)] to res
[assignmencurity attrib
SFP(s)]
t: other oper
2016/06/07
NC. 2015
rule
に対して Subration を許可
に対して Subration を許可
に対して Subration を許可
に対して Subration を許可
に対して Subration を許可
に対して Subration を許可
ルが Administrtion が可能
ns
Table 22, strict the nt: other butes] to
rations]]
bject され
bject され
bject され
bject され
bject され
bject され
rator
se
ユ
ボ
自
APPLICAdefinthat thpossibperfo
FMT_M
FMT_M
FMT_M
FDP_A
FDP_AC
[ass
[ass
ecurity attrib
ユーザー名
ボックス暗証
自身のボック
ATION NOTE 1ed by SFR packhis Protection Pble for the ST A
ormed by any U
MSA.3(dele
Hier
Dep
MSA.3.1(delet[ass[seledefa
[ass
[se
MSA.3.2(deletto spinfor
[ass
ACC.1(dele
Hier
Dep
CC.1.1(delet
Table 21
signment: lis Table 21
signment: th Table 21
Table 21
butes
証番号
ス暗証番号
1. This kages or by the Profile allows thAuthor to state
User.
ete-job)
rarchical to:
endencies:
te-job) The ignment: aection, chooault values fo
signment: ac Common In The J
election, choo restrictive
te-job) The pecify alternrmation is c
signment: th Nobody
ete-job) Sub
rarchical to:
endencies:
te-job) The
の「操作」の
ist of securityの「security
he authoriseの「ロール」
1 —Manage
操作
delete, cre
modify, c
modify
Protection ProfST Author. Th
he ST Author tothat some mana
Static
No o
FMTFMT
TSF shall access controse one of: for security a
ccess controln Access ConOB Access C
ose one of: re
TSF shall anative initialcreated.
he authorize
bset acces
No o
FDP
TSF shall e
38
の項
ty attributes]y attributes」
ed identified 」の項
ment of sec
eate, query
create
file does not defhe ST Author sho instantiate “Nagement action
c attribute
other compo
T_MSA.1 MT_SMR.1 Se
enforce the rol SFP, inrestrictive, attributes th
l SFP, informntrol SFP in TControl SFP in
restrictive, p
allow the [al values to ov
ed identified
ss control
other compo
P_ACF.1 Sec
enforce the C
] の項
d roles]
curity attribu
fine any mandahould define ho
Nobody” as an as (e.g., deleting
initialisatio
onents.
anagement ecurity roles
Common Anformation
permissive,hat are used
mation flow Table 22 n Table 23
permissive, [
assignment: verride the d
d roles]
onents.
curity attrib
Common Ac
Copyrigh
utes
ロール
U.ADMIN
U.ADMIN
U.NORM
atory security atw security attri
authorized identg a security attri
on
of security a
Access Contrflow contro, [assignme
d to enforce t
control SFP
[assignment
the authoridefault valu
ute based ac
cess Control
発行日: 2
ht CANON IN
NISTRATOR
NISTRATOR
MAL
ttributes, but soibutes are manatified role, whicibute) may not b
attributes
rol SFP in Tol SFP] to ent: other pthe SFP.
P]
t: other prope
ized identifiues when an
ccess contro
l SFP in Tab
2016/06/07
NC. 2015
R
R
ome may be aged. Note ch makes it be
Table 22, provide
property]]
perty]]
fied roles] object or
l
ble 22 on
FDP_A
FDP_AC
FDP_AC
FDP_AC
FDP_AC
ObjectD.DOC
D.DOC
D.FUN
D.FUN
D.FUN
the cove
ACF.1(delet
Hier
Dep
CF.1.1(deleteobjeundsecu
CF.1.2(deleteamoComas su
CF.1.3(deletethe that
[asssu
CF.1.4(delete[asssubj
[asssu
t AttribuC +PRT,+
+FAXO+DSR
C +FAXI
NC +PRT,++FAX+DSR
NC +FAXI
NC +FAXI
list of usersered by the C
te-job)
rarchical to:
endencies:
e-job) The cts based oner the Com
urity attribu
e-job) The ong controllemmon Accessubjects and
e-job) The following a
t explicitly a
signment: ruubjects to obj U.ADMIN U.ADMIN
が可能
e-job) The ignment: ru
bjects to objec
signment: ruubjects to obj なし
Table
ute +SCN,+CPY, OUT,
N
+SCN,+CPY, XOUT,
N
N
s as subjectCommon Acc
Secur
No o
FDPFMT
TSF shall en the followmon Access
utes in Table
TSF shall eed subjects as Control SFcontrolled o
TSF shall edditional ru
authorise acc
ules, based objects]
NISTRATORNISTRATOR
TSF shall eules, based cts].
ules, based bjects]
e 22 —Comm
OperDelet
Delet
ModiDelet
Modi
Delet
39
ts, objects, acess Control
rity attribu
other compo
P_ACC.1 SubT_MSA.3 St
enforce the Cing: the list Control SF 22.
enforce the fand controllFP in Table 2objects using
explicitly autules: [assigncess of subje
on security a
R は、すべて
R は、+CPY, +
explicitly denon security
on security
mon Access
ration(s) Sute U
te U
ify; te
U
ify U
te U
and operatiol SFP in Tab
te based a
onents.
bset access ctatic attribut
Common Act of users asFP in Table
following ruled objects i22 governing controlled
thorise accenment: rulesects to object
attributes, th
ての D.DOC・+SCN, +DSR
ny access ofy attributes,
y attributes,
Control SF
ubject .NORMAL
.NORMAL
.NORMAL
.USER
.NORMAL
Copyrigh
ons among ble 22.
access con
control te initialisat
cess Contros subjects an22, and for
ules to determs allowed: rg access amoperations o
ss of subjects, based on ts].
hat explicitly
D.FUNC の削
R, +FAXOUT
f subjects to , that expli
s, that expli
P
Access contDenied, excdocuments
Denied
Denied, excfunction dat
Denied
Denied
発行日: 2
ht CANON IN
subjects and
ntrol
tion
l SFP in Tabnd objects cor each, the i
mine if an orules specifie
mong controllon controlled
ts to objects n security at
ly authorise
削除が可能 の D.FUNC の
objects baseicitly deny a
icitly deny a
trol rule cept for his/her
cept for his/herta
2016/06/07
NC. 2015
d objects
ble 22 to ontrolled indicated
operation ed in the led users d objects.
based on ttributes,
access of
の Modify
ed on the access of
access of
r own
r own
6.1.3.2
FDP_A
FDP_AC
FDP_A
FDP_AC
FDP_AC
FDP_AC
FDP_AC
ObjecD.DOD.DOD.DOD.DOD.DO
ジョブ中ア
ACC.1(in-jo
Hier
Dep
CC.1.1(in-jobon tby th
ACF.1(in-jo
Hier
Dep
CF.1.1(in-jobTablundsecu
CF.1.2(in-joboperspecamoobje
CF.1.3(in-jobbaseattri
[asssu
CF.1.4(in-job[asssubj
[asssu
ct AttribuOC +PRT OC +SCN OC +CPY OC +FAXINOC +FAXO
アクセス制御機
ob)
rarchical to:
endencies:
b) The he list of suhe In The JO
ob)
rarchical to:
endencies:
b) le 23 to objeer the In Th
urity attribu
b) ration amoncified in theong Users acts.
b) ed on the fributes, that
signment: ruubjects to obj U.ADMIN
b) The ignment: ru
bjects to objec
signment: ruubjects to obj なし
Table
ute(s) OpReReRe
N ReOUT Re
機能
Subse
No o
FDP
TSF shall eubjects, objecOB Access C
Secur
No o
FDPFMT
The TScts based on
he JOB Acceutes in Table
The TSng controllee In The JOand controll
The TSfollowing adt explicitly au
ules, based objects]
NISTRATOR
TSF shall eules, based cts].
ules, based bjects]
23 —In The J
peration Sead Uead Uead Uead Uead U
40
et access
other compo
P_ACF.1 Sec
enforce the Icts, and ope
Control SFP
rity attribu
other compo
P_ACC.1 SubT_MSA.3 St
SF shall enfn the followiness Control S 23.
SF shall enfed subjects OB Access Cled objects
SF shall expdditional rulauthorise acc
on security a
R は、+FAXIN
explicitly denon security
on security
JOB Access
Subject U.USER U.USER U.USER U.NORMALU.USER
control
onents.
curity attrib
In The JOB rations amoin Table 23.
te based a
onents.
bset access ctatic attribut
force the In ng: the list oSFP in Table
force the foland contro
Control SFPusing contr
plicitly autholes: [assignm
cess of subjec
attributes, th
N/+DSR の D
ny access ofy attributes,
y attributes,
s Control SF
Access conDenied, exDenied, exDenied Denied Denied, ex
Copyrigh
ute based ac
Access Conong subjects.
access con
control te initialisat
The JOB Acof subjects ae 23, and for
llowing ruleolled objectP in Table 2rolled opera
orise access ment: rules
ects to object
hat explicitly
D.DOC の rea
f subjects to , that expli
s, that expli
FP
ntrol rule cept for his/hecept for his/he
cept for his/he
発行日: 2
ht CANON IN
ccess contro
ntrol SFP in s and objects
ntrol
tion
ccess Contrond objects cor each, the i
es to determts is allowe23 governinations on co
of subjects ts, based on ts].
ly authorise
ad が可能
objects baseicitly deny a
icitly deny a
er own documer own docum
er own docum
2016/06/07
NC. 2015
l
Table 23 s covered
ol SFP in ontrolled indicated
mine if an ed: rules ng access ontrolled
to objects security
access of
ed on the access of
access of
ments ments
ments
ObjecD.DO
6.1.4 受
FPT_FD
FPT_FD
6.1.5 H
FDP_R
FDP_RI
6.1.6 H
6.1.6.1
FCS_C
FCS_CO
ct AttribuOC +DSR
受信ジョブ転
DI_EXP.1
Hier
Dep
DI_EXP.1.1 exteany
HDD データ
RIP.1 Sub
Hier
Dep
IP.1.1 The unavreso
[sele
[ass
HDD 暗号化
暗号化/復号
COP.1(h) C
Hier
Dep
OP.1.1(h) Thaccoalgo
ute(s) OpRe
転送機能
Res
rarchical to:
endencies:
The ernal Interfa
Shared-med
タ完全消去機
bset residu
rarchical to:
endencies:
TSF shall evailable upo
ource from] t
ection: alloc deallocat
signment: lis なし
化機能
号機能
ryptograp
rarchical to:
endencies:
he TSF shordance withorithm] and
peration Sead U
stricted for
No o
FMTFMT
TSF shall ace from beindium Interfa
機能
ual informa
No o
No d
ensure that on the [selethe following
cation of the ion of the reso
ist of objects]
hic operat
No o
[FDattrFDPFCSFCS
hall performh a specifiedcryptograph
41
Subject U.NORMAL
rwarding o
other compo
T_SMF.1 SpT_SMR.1 Se
provide the ng forwardeace.
ation prote
other compo
dependencie
any previouction: allocag objects: D.
e resource to,ource from
]
tion
other compo
P_ITC.1 Imibutes, or
P_ITC.2 ImpS_CKM.1 CrS_CKM.4 Cr
m [assignmed cryptograhic key sizes
Access conDenied, ex
of data to e
onents.
pecification oecurity roles
capability ted without fu
ection
onents.
es
us informatioation of the DOC, [assig
, deallocatio
onents.
mport of
port of user dryptographicryptographic
ent: list ofphic algorit
s [assignmen
Copyrigh
ntrol rule cept for his/he
external in
of Managem.
to restrict durther proce
on content oresource to
gnment: list
on of the reso
user data
data with sec key generac key destru
f cryptograpthm [assignmnt: cryptogra
発行日: 2
ht CANON IN
er own docum
nterfaces
ment Functio
data receivedessing by th
of a resourceo, deallocatiot of objects].
ource from]
a without
ecurity attribation] ction
aphic operatment: crypt
raphic key si
2016/06/07
NC. 2015
ments
ns
d on any he TSF to
e is made ion of the
security
butes, or
tions] in tographic izes] that
FPT_C
FPT_CI
FPT_CI
APPLICAdisks correpresewithiFPT_
Quote fro
6.1.6.2
FPT_P
FPT_PH
mee
[assi
[assi
[assi
[assi
IP_EXP.1
Hier
Dep
P_EXP.1.1 inteNon
[ass
P_EXP.1.2 [asseith
[ass
[ass
ATION NOTE 2to meet disk enct credentials (e
ented. Assumingn the TOE and
_CIP_EXP.1.2, om [PP Guide
本体識別認
HP.1 Pass
Hier
Dep
HP.1.1 The
et the followi
ignment: list o HDD へ HDD か
ignment: cryp AES
ignment: cryp 256 bit
ignment: list o FIPS PUB
Con
rarchical to:
endencies:
The grity of user
nvolatile Stor
signment: a HDD
The ignment: liser is written
signment: lis no action
signment: a HDD
2. Todancryption requieither the key itg that this functtherefore it shoarguing that un]
認証機能
sive detect
rarchical to:
endencies:
TSF shall
ing: [assignm
of cryptograph書き込まれる
ら読み出され
ptographic alg
ptographic key
of standards]B 197
nfidentialit
No o
No d
TSF shall pr and TSF da
orage device]
Removable
TSF shalst of actions]n to [assignm
ist of actions]n
Removable
ay many manufarements. Some tself or credentitionality cannotould be possiblenauthorized mo
tion of phy
No o
No d
provide una
42
ment: list of
hic operationsるデータの暗
れるデータの
gorithm]
y sizes]
ty and inte
other compo
dependencie
provide a fuata when eit.
Nonvolatile
ll provide ] when it dement: a Rem
s]
Nonvolatile
acturers are looof these drives
ials required to t be bypassed, de to instantiate "dification is pre
ysical attac
other compo
dependencie
ambiguous d
f standards].
s] 暗号化操作 の復号操作
egrity of st
onents.
es
unction that ther is writt
e Storage dev
a functionetects altera
movable Nonv
e Storage dev
king at hardwas will not allow unlock the key
detection of mo"no action" in thevented by the d
ck
onents.
es.
detection of
Copyrigh
.
ored data
ensures theten to [assig
vice]
n that dettion of user
nvolatile Stor
vice]
are solutions sucdata to be writt
y stored in a secodifications is nhe assignment fdesign of the sy
physical ta
発行日: 2
ht CANON IN
e confidentianment: a Re
tects and pand TSF da
rage device]
ch as fully encryten to the drive
cure area of the ot a useful funcfor the "list of aystem.
ampering th
2016/06/07
NC. 2015
ality and emovable
performs ata when .
ypting unless the drive) are
ction actions" in
at might
FPT_PH
6.1.7 L
6.1.7.1
FCS_C
FCS_CO
cr3AA
FTP_IT
FTP_ITC
com
[refi
HP.1.2 The with
[refi
LAN データ
IP パケット
COP.1(n) C
Hier
Dep
OP.1.1(n) Thaccoalgomee
[ass
[ass
[ass
[ass
Table 2
ryptographicDES-CBC
AES-CBC AES-GCM
TC.1 Inte
Hier
Dep
C.1.1 The
promise the
inement] ph
TSF shall h the TSF's d
inement] ph
保護機能
ト暗号化機能
ryptograp
rarchical to:
endencies:
he TSF shordance withorithm] and et the followi
signment: lis LAN へ送
LAN から
signment: cr Table 24
signment: cr Table 24
signment: lis Table 24
24 — IPSec c
c algorithm
er-TSF trus
rarchical to:
endencies:
TSF shall
e TSF.
ysical tampe
provide thedevices or T
ysical tampe
能
hic operat
No o
[FDattrFDPFCSFCS
hall performh a specifiedcryptographing: [assignm
ist of cryptog送信する IP パ
ら受信する IP
ryptographicの「cryptogr
ryptographicの「cryptogr
ist of standarの「list of st
cryptograph
crypto168 bit128 bit128 bit
sted chann
No o
No d
provide a
43
ering → HD
e capability SF's elemen
ering → HD
tion
other compo
P_ITC.1 Imibutes, or
P_ITC.2 ImpS_CKM.1 CrS_CKM.4 Cr
m [assignmed cryptograhic key sizesment: list of
graphic operaパケットの暗
P パケットの
c algorithm]raphic algorith
c key sizes]raphic key siz
rds] andards」の項
ic algorithm
ographic key t t, 192bit, 256 t, 192bit, 256
nel
other compo
dependencie
communica
DD及びHDD
to determinnts has occur
DD及びHDD
onents.
mport of
port of user dryptographicryptographic
ent: list ofphic algorit
s [assignmenf standards].
rations] 暗号化操作 の復号操作
hm」の項
es」の項
項
m, key sizes
sizes lisFI
bit FIbit SP
onents.
es.
ation chann
Copyrigh
Dデータ暗号
ne whether rred.
Dデータ暗号
user data
data with sec key generac key destru
f cryptograpthm [assignmnt: cryptogra.
and standa
st of standardIPS PUB 46-3IPS PUB 197 P800-38D
nel between
発行日: 2
ht CANON IN
号化ボードの
physical ta
号化ボードの
a without
ecurity attribation] ction
aphic operatment: crypt
raphic key si
rds
ds 3
itself and
2016/06/07
NC. 2015
すり替え
ampering
すり替え
security
butes, or
tions] in tographic izes] that
another
FTP_ITC
FTP_ITC
6.1.8
FPT_TS
FPT_TS
FPT_TS
FPT_TS
6.1.9
FAU_G
FAU_GE
trusand com
C.1.2 The com
C.1.3 The of D
自己テスト機
ST.1 TSF
Hier
Dep
ST.1.1 The periconddemTSF
[selereqwh
[sele
ST.1.2 The of [s
[sele
ST.1.3 The of st
監査ログ機能
GEN.1 Aud
Hier
Dep
EN.1.1 The
sted IT prodprovides a
municated d
TSF shalmunication
TSF shall iD.DOC, D.FU
機能
F testing
rarchical to:
endencies:
TSF shalliodically durditions [ass
monstrate thF].
ection: duriequest of thehich self test during in
ection: [assi LAN デー
TSF shall pselection: [as
ection: [assi 暗号鍵
TSF shall ptored TSF ex
能
dit data ge
rarchical to:
endencies:
TSF shall b
duct that is assured idedata from m
ll permit via the trus
initiate comUNC, D.PRO
No o
No d
l run a suring normal signment: che correct op
ing initial se authorisedst should occ
itial start-up
gnment: parータ保護機能
provide authssignment: p
gnment: par
provide authxecutable co
eneration
No o
FPT
be able to gen
44
logically dientification
modification o
the TSF, sted channel
munication OT, and D.CO
other compo
dependencie
uite of self l operation, aconditions uperation of
start-up, perd user, at thcur]]
rts of TSF], 能で利用する
horised userparts of TSF
rts of TSF],
horised userode.
other compo
T_STM.1 Rel
nerate an au
istinct from of its end
or disclosure
another trul.
via the trusONF over an
onents.
es.
tests [seleat the requeunder which[selection: [
riodically duhe conditions
the TSF] 暗号アルゴリ
rs with the cF], TSF data]
TSF data]
rs with the c
onents.
liable time s
udit record o
Copyrigh
other commpoints and
e.
usted IT p
sted channeny Shared-m
ection: duriest of the autch self test[assignment
during normas [assignme
リズム(AES、
capability to].
capability to
stamps
of the followi
発行日: 2
ht CANON IN
munication cd protection
product to
el for commumedium Inte
ing initial uthorised uset should oc: parts of T
mal operationnt: condition
3DES)
o verify the
o verify the
ing auditabl
2016/06/07
NC. 2015
channels n of the
initiate
unication erface.
start-up, er, at the ccur]] to TSF], the
n, at the ons under
integrity
integrity
le events:
FAU_GE
Auditab
Job comBoth sucauthentiBoth sucidentificUse of tModificpart of aChangesTerminasession Failure o
FAU_G
FAU_GE
5 PP GuiIEEE Stdである旨
– Start-up
– All audlevel o
– all AuReleva
[sel
[ass
EN.1.2 The
– Date a(succes
– For eacincludeby its requir
[ass
ble event
mpletion ccessful and uication mechanccessful and ucation mechanthe managemecations to the ga role s to the time ation of an intlocking mechof the trusted
GEN.2 Use
Hier
Dep
EN.2.1 For asso
ide の「14.1 Id 2600.1には“が記載
p and shutdow
ditable eventsf audit; and
uditable Evenant SFR in Ta
ection, choo not specif
signment: o なし
TSF shall r
and time of thss or failure) o
ch audit evented in the PP/S
Audit Leveed); [assignm
signment: o なし
Ta
unsuccessful unism
unsuccessful unism ent functions group of users
eractive sessiohanism5
channel funct
er identity
rarchical to:
endencies:
audit eventociate each a
IEEE Std 260“Locking of an
wn of the audi
s for the [sele
nts as each iable 25; [assig
ose one of: mfied
other specifi
record within
he event, typof the event; a
t type, based oST, for each Rel (if one is ment: other aud
other audit r
able 25 —Aud
use of the
use of the
s that are
on by the
tions
associatio
No o
FAUFIA
s resulting fauditable ev
00.1 Errata」n interactive s
45
it functions;
ection, choose
is defined fognment: other
minimum, b
fically define
n each audit
pe of event, sand
on the auditabRelevant SFRspecified), a
dit relevant inf
relevant inf
dit data requ
Relevant SF
FDP_ACF.1FIA_UAU.1
FIA_UID.1
FMT_SMF.1FMT_SMR.1
FPT_STM.1FTA_SSL.3
FTP_ITC.1
on
other compo
U_GEN.1 AuA_UID.1 Tim
from actionsent with the
を参照 session by the
e one of: mini
or its Audit Lr specifically d
basic, detail
ed auditable
t record at le
subject identi
ble event definR listed in Taand (2) all Anformation].
formation]
uirements
R Aud
Not Basi
Basi
Min1 Min
MinMin
Min
onents.
udit data genming of identi
s of identifiee identity of
e session lock
Copyrigh
imum, basic,
Level (if onedefined audita
led, not spec
le events]
east the follo
ty (if applica
nitions of the able 25: (1) inAdditional In
dit level
specified ic
ic
nimum nimum
nimum nimum
nimum
neration ification
d users, the the user tha
king mechanis
発行日: 2
ht CANON IN
detailed, not
e is specifiedable events].
cified]
owing inform
able), and the
functional conformation anformation (
Additional inform
Type of job None requir
Attempted uidentity, if aNone requirNone requir
None requirNone requir
None requir
TSF shall bat caused th
sm”とあるが、
2016/06/07
NC. 2015
specified]
d) for the
mation:
e outcome
omponents as defined (if any is
mation
red
user availablered red
red red
red
be able to he event.
転記ミス
FPT_ST
FPT_ST
FAU_S
FAU_SA
FAU_SA
FAU_S
FAU_SA
FAU_S
FAU_ST
FAU_ST
FAU_S
TM.1 Rel
Hier
Dep
TM.1.1 The
SAR.1 Audi
Hier
Dep
AR.1.1 The[ass
[ass
[ass
AR.1.2 Theinte
SAR.2 Rest
Hier
Dep
AR.2.1 Theuser
STG.1 Prote
Hier
Dep
TG.1.1 Thedele
TG.1.2 Themod
[sel
STG.4 Prev
iable time
rarchical to:
endencies:
TSF shall b
it review
rarchical to:
endencies:
e TSF shall ignment: lis
signment: a U.ADMIN
signment: li Table 25
e TSF shall rpret the inf
tricted aud
rarchical to:
endencies:
e TSF shall rs that have
ected audi
rarchical to:
endencies:
e TSF shall petion.
e TSF shall difications to
ection, choo prevent
vention of a
stamps
No o
No d
be able to pr
No o
FAU
provide [assst of audit in
authorised uNISTRATOR
ist of audit に示す監査
provide thformation.
dit review
No o
FAU
prohibit allbeen grante
it trail stor
No o
FAU
protect the s
be able to [o the stored
ose one of: p
audit data
46
other compo
dependencie
ovide reliab
other compo
U_GEN.1 Au
signment: aunformation] f
users] R
informationログのリスト
e audit reco
other compo
U_SAR.1 Aud
l users readed explicit re
rage
other compo
U_GEN.1 Au
stored audit
[selection, chaudit record
prevent, det
loss
onents.
es.
le time stam
onents.
udit data gen
uthorised usfrom the aud
n] ト
ords in a m
onents.
dit review
d access to ead-access.
onents.
udit data gen
records in th
hoose one ofds in the aud
tect]
Copyrigh
mps.
neration
sers] with thdit records.
manner suita
the audit re
neration
he audit trai
of: prevent, ddit trail.
発行日: 2
ht CANON IN
he capability
able for the
ecords, exce
il from unau
detect] unau
2016/06/07
NC. 2015
y to read
e user to
ept those
uthorised
uthorised
FAU_ST
6.1.10 管
6.1.10.1
FIA_SO
FIA_SO
FMT_M
FMT_M
Hier
Dep
TG.4.1 Theaud“ovebe t
[seleexceolde
[ass
管理機能
ユーザー管
OS.1 Ver
Hier
Dep
OS.1.1 The defin
[ass
MTD.1(user
Hier
Dep
MTD.1.1 (usemoddataownU.A
rarchical to:
endencies:
e TSF shaldited events,erwrite the taken in cas
ection, chooept those taest stored au “overwrit
signment: ot なし
管理機能
rification o
rarchical to:
endencies:
TSF shall ined quality
signment: a 4 文字以
3 文字以
英大文字
英小文字
数字(0~ アルファ
含める 使用可能
制
r-mgt) Man
rarchical to:
endencies:
r-mgt) The dify, delete, ca associated ned by a UADMINISTRA
FAU
FAU
ll [selections, except tho
oldest storese of audit s
ose one of: aken by theudit recordste the oldest s
ther actions
of secrets
No o
No d
provide a mmetric].
defined qua上 32 文字以
以上連続する文
字(A~Z)を 1 字(a~z)を 1 文
9)を 1 文字以
ァベット以外の
能文字 御文字以外の
nagement
No o
FMTFMT
TSF shall rclear, [assig
d with a U.NOU.NORMAL
RATOR, the U
47
U_STG.3 Act
U_STG.1 Pro
n, choose onose taken byred audit restorage failu
f: “ignore aue authorised
ds”] tored audit re
s to be taken
other compo
dependencie
mechanism
ality metric]以下のパスワー
文字列を含め
文字以上含め
文字以上含め
以上含める
の文字(^-@[]
の全ての文字
of TSF da
other compo
T_SMR.1 SeT_SMF.1 Sp
restrict the gnment: othe
NORMAL or TL] to [selecU.NORMAL
tion in case o
otected audi
one of: “ignoy the author
ecords”] andure] if the au
udited evend user with
cords”
n in case of
onents.
es
to verify th
ード長 めない める める
]:;,./¥!”#$%&
字
ta
onents.
ecurity rolespecification o
ability to [sher operation
TSF Data asction, choosL to whom su
Copyrigh
of possible a
it trail stora
nore auditedorised user wd [assignmeudit trail is
nts”, “preveh special righ
f audit stora
hat secrets m
&’()=~|{`+*
of Managem
selection: chns]] the [assissociated witse one of: uch TSF dat
発行日: 2
ht CANON IN
audit data lo
ge
d events”, with specialent: other ac full.
ent auditedghts”, “overw
age failure]
meet [assign
*}_?><)を 1
ment Functio
hange_defaulignment: lis
ith documentNobody, [s
ta are associ
2016/06/07
NC. 2015
oss
“prevent l rights”,
actions to
d events, write the
nment: a
文字以上
ns
ult, query, st of TSF
nts or jobs selection: iated]].
TSF
ユー
ロー
パス
自身
FMT_S
FMT_SM
FMT_SM
6.1.10.2
FCS_C
FCS_CK
[seleop
[assas
[s
F data
ーザー名
ール
スワード
身のパスワー
SMR.1 Sec
Hier
Dep
MR.1.1 The Nob
[sele
MR.1.2 The whic
暗号鍵管理
CKM.1 Cryp
Hier
Dep
KM.1.1 Thecrypgenecryp
[ass
[ass
ection: chaperations]] Table 26
signment: lissociated wit Table 26
selection, cU.NORMAL Table 26
ド
curity roles
rarchical to:
endencies:
TSF shall body, [assign
ection: Nobo Nobody
TSF shall bch no user s
理機能
ptographic
rarchical to:
endencies:
e TSF shalptographic eration algptographic k
signment: cr FIPS PUB
signment: cr 128bit, 16
ange_default
の「操作」の
list of TSF ith documentの「TSF data
hoose one AL to whom s
の「ロール」
Table 26 —
ロー
U.A
U.A
U.A
U.N
s
No o
FIA
maintain thnment: the a
ody, [assignm
be able to ashall be asso
c key gene
No o
[FCFCSFCS
l generate key gener
gorithm] ankey sizes] tha
ryptographicB 186-2 に基
ryptographic8bit, 192bit, 25
48
t, query, m
の項
F data assocnts or jobs ow
a」の項
of: Nobodsuch TSF da」の項
—ユーザー情報
ール
ADMINISTRA
ADMINISTRA
ADMINISTRA
NORMAL
other compo
A_UID.1 Tim
he roles U.Aauthorised id
ment: the au
ssociate userciated.
eration
other compo
S_CKM.2 CS_COP.1 CryS_CKM.4 Cr
cryptographration algond specifiedat meet the
c key generaづく暗号鍵生
c key sizes]56 bit
modify, dele
ciated with wned by a U.
dy, [selectioata are assoc
報管理
操作
ATOR dele
ATOR mod
ATOR mod
mod
onents.
ming of identi
ADMINISTRdentified role
uthorised ide
rs with roles
onents.
ryptographiyptographic ryptographic
hic keys inorithm [asd cryptografollowing: [a
ation algorith生成アルゴリ
Copyrigh
ete, clear,
h a U.NORMU.NORMAL]
on: U.ADMciated]]
作
ete, create, qu
dify, delete, cr
dify, delete, cr
dify
ification
RATOR, U.Nles]].
dentified role
s, except for
ic key distriboperation]
c key destru
n accordancsignment: aphic key assignment:
thm] ズム
発行日: 2
ht CANON IN
[assignmen
RMAL or TS
MINISTRATO
uery
reate, query
reate
NORMAL, [s
es]]
the role “No
bution, or
ction
ce with a cryptographsizes [assilist of stand
2016/06/07
NC. 2015
nt: other
TSF Data
TOR, the
selection:
obody” to
specified phic key
ignment: dards].
FCS_C
FCS_CK
6.1.10.3
FMT_M
FMT_M
[ass
CKM.2 Cryp
Hier
Dep
KM.2.1 Thecrypmeth
[ass
[as
デバイス管
MTD.1(devi
Hier
Dep
MTD.1.1(devimoddata[ass
[seleop
[ass
[seleth
TSF Da
日付/時
HDD完
signment: lis FIPS PUB
ptographic
rarchical to:
endencies:
TSF shallptographic kthod] that m
signment: cr DH(Dif
ssignment: l SP800-56
管理機能
ice-mgt)
rarchical to:
endencies:
ice-mgt) The dify, delete, ca] to [selecignment: th
ection: chaperations]] Table 27
signment: lis Table 27
ection, choohe authorized Table 27
ata
時刻設定
完全消去設定
ist of standarB 186-2
c key distr
No o
[FDattrFDPFCSFCS
l distribute ey distributeets the foll
ryptographicffie Hellman)
list of standa6A
Mana
No o
FMTFMT
TSF shall rclear, [assigction, chooshe authorized
ange_default
の「操作」の
ist of TSF daの「TSF Dat
ose one of: Nd identified の「ロール」
Table 27 —
49
rds]
ibution
other compo
P_ITC.1 Imibutes, or
P_ITC.2 ImpS_CKM.1 CrS_CKM.4 Cr
cryptograpion method owing: [assi
c key distribおよび ECD
ards]
gement of
other compo
T_SMR.1 SeT_SMF.1 Sp
restrict the gnment: othee one of: d identified
t, query, m
の項
ata] ta」の項
Nobody, [seld roles except」の項
—デバイス管理
ロール
U.ADMIN
U.ADMIN
onents.
mport of
port of user dryptographicryptographic
phic keys in[assignmentgnment: list
bution methoDH(Elliptic C
f TSF data
onents.
ecurity rolespecification o
ability to [sher operation
Nobody, [seroles except
modify, dele
lection: U.ADt U.NORMA
理機能
NISTRATOR
NISTRATOR
Copyrigh
user data
data with sec key generac key destru
n accordanct: cryptograpt of standard
od] Curve Diffie H
of Managem
selection: chns]] the [assielection: Ut U.NORMA
ete, clear,
ADMINISTRAAL]]]
操作
R modify
R query, mo
発行日: 2
ht CANON IN
a without
ecurity attribation] ction
ce with a aphic key distds].
Hellman)
ment Functio
hange_defaulignment: lis
U.ADMINISTAL]]].
[assignmen
RATOR, [assi
odify
2016/06/07
NC. 2015
security
butes, or
specified stribution
ns
ult, query, st of TSF TRATOR,
nt: other
ignment:
FMT_S
FMT_SM
TSF Da
IPSec 設
オートク
ロックア
パスワー
監査ログ
SMF.1 Spe
Hier
Dep
MF.1.1 The [ass
[ass
ata
設定
クリア設定
ウトポリシー設
ードポリシー設
グ
ecification
rarchical to:
endencies:
TSF shall ignment: lis
signment: lis 以下の T
Table 28 —T
管理機能
日付/時刻設
HDD完全消
IPSec 設定
オートクリア設
ロックアウトポ
パスワードポリ
監査ログ
ユーザー名
ロール
パスワード
ボックス暗証
設定
設定
of Manage
No o
No d
be capablest of manage
ist of manageTable 28 に示
The manage
設定
消去設定
設定
ポリシー設定
リシー設定
証番号
50
ロール
U.ADMIN
U.ADMIN
U.ADMIN
U.ADMIN
U.ADMIN
ement Fun
other compo
dependencie
e of performement functi
ement functiす管理機能
ement of sec
操
m
qu
qu
qu
qu
qu
qu
de
m
m
m
NISTRATOR
NISTRATOR
NISTRATOR
NISTRATOR
NISTRATOR
nctions
onents.
es.
ming the foltions to be pr
tions to be pr
curity requir
操作
modify
uery, modify
uery, modify
uery, modify
uery, modify
uery, modify
uery, delete
elete, create, q
modify, delete,
modify, delete,
modify, create
Copyrigh
操作
R query, mo
R query, mo
R query, mo
R query, mo
R query, del
llowing manrovided by th
rovided by th
rements
query
, create, query
, create
発行日: 2
ht CANON IN
odify
odify
odify
odify
lete
nagement futhe TSF].
the TSF]
y
2016/06/07
NC. 2015
unctions:
6.2 S
This secti Table 29Operation
AsAD
AG
AL
AS
AT
AV
6.3 S
6.3.1 T
Table 30各セキュ
主要な対
Security as
ion defines th
9 lists the secnal Environme
ssurance ClasDV: Developm
GD: Guidance
LC: Life-cycle
SE: Security T
TE: Tests
VA: Vulnerab
Security fun
The compl
0 は TOE セ
ュリティ機能要
対応関係を B
SFRs
管理機能
自身のパス
自身のボック
ssurance re
e security assu
curity assuranent A, and rel
Table 29 —
ss ment
e documents
e support
Target evaluati
ility assessme
nctional re
eteness of
セキュリティ対
要件が少なくと
Bold 体の(P)
Table 30 —T
ワード
クス暗証番号
equirement
urance require
nce requiremeated SFR pack
2600.1 Secu
AssuranADV_AADV_FADV_TAGD_OAGD_PALC_CALC_CALC_DALC_DALC_FALC_L
ion ASE_CASE_ECASE_INASE_OASE_RASE_SPASE_TSATE_CATE_DATE_FUATE_IN
ent AVA_V
equirement
f security r
対策方針とセキ
とも 1 つの TOで表し、サポ
he complete
51
操
m
m
ts
ements for the
ents for 2600kages, EAL 3
urity Assura
nce componeARC.1 SecuritFSP.3 FunctionTDS.2 ArchiteOPE.1 OperatiPRE.1 PreparaCMC.3 AuthorCMS.3 ImplemDEL.1 DeliverDVS.1 Identifi
LR.2 Flaw repLCD.1 Develop
CL.1 ConformCD.1 Extende
NT.1 ST introdOBJ.2 Security
EQ.2 DerivedPD.1 SecuritySS.1 TOE sum
COV.2 AnalysiDPT.1 Testing:
UN.1 FunctioND.2 IndepenVAN.2 Vulner
ts rationale
requiremen
キュリティ機能
OE セキュリテ
ポートしている
eness of sec
操作
modify
modify
e TOE.
0.1-PP, Protec augmented b
ance Requir
ents ty architecturenal specificati
ectural designional user guidative procedurrisation contro
mentation repry procedurescation of secuporting procedper defined lifmance claimsed componentduction
y objectives d security requy problem defimmary specifiis of coverage: basic design
onal testing dent testing -rability analys
e
nts
能要件をマッ
ティ対策方針
る対応関係を
curity requi
Objectives
Copyrigh
ction Profile fby ALC_FLR.
rements
e description ion with comp
dance res ols esentation CM
urity measuresdures (augmenfe-cycle mode
ts definition
uirements inition ication e
sample sis
ピングしたも
針に対応してい
(S)で示した
rements
s
発行日: 2
ht CANON IN
for Hardcopy2.
plete summary
M coverage
s ntation of EAel
のである。これ
いることを示し
。
2016/06/07
NC. 2015
y Devices,
y
L3)
れにより、
している。
FIA_AFL.1
FIA_ATD.1
FIA_UAU.1
FIA_UAU.7
FIA_UID.1
FIA_USB.1
FTA_SSL.3(
FTA_SSL.3(
FMT_MSA.
FMT_MSA.
FDP_ACC.1
FDP_ACF.1
FMT_MSA.
FMT_MSA.
FDP_ACC.1
FDP_ACF.1
FDP_ACC.1
FDP_ACF.1
FPT_FDI_E
FDP_RIP.1
FPT_CIP_E
FCS_COP.1
FPT_PHP.1
FCS_COP.1
FTP_ITC.1
FCS_CKM.
FCS_CKM.2
FPT_TST.1
FAU_GEN.1
FAU_GEN.2
FAU_SAR.1
FAU_SAR.2
FAU_STG.1
FAU_STG.4
FPT_STM.1
FIA_SOS.1
FMT_MTD.
1
7
(lui)
(rui)
.1(exec-job)
.3(exec-job)
1(exec-job)
(exec-job)
.1(delete-job)
.3(delete-job)
1(delete-job)
(delete-job)
1(in-job)
(in-job)
EXP.1
XP.1
(h)
(n)
1
2
1
2
1
2
1
4
1
.1(user-mgt)
O.D
OC
.NO
_DIS
O.D
OC
.NO
AL
T
S S
S SS SP PS S
PS
PP PS S
S SP PS SS S
52
O.
OC
.NO
_
O.F
UN
C.N
O_A
LT
O.P
RO
T.N
O_A
LT
S S S
S SS SP PS S
P P PS S S
S S SP P PS S SS S S
P
O.C
ON
F.N
O_D
IS
O.C
ON
F.N
O_A
LT
S S
P PS S
S SP PS SS S
P P
Copyrigh
O.U
SER
.AU
TH
OR
IZE
D
O.I
NT
ER
FAC
E.M
AN
AG
ED
O.S
OFT
WA
RE
.VE
RIF
IED
S
S
P P
S
P P
P
P P
P P
S
S
P
S
P
P
S
発行日: 2
ht CANON IN
O.A
UD
IT.L
OG
GE
D
O.H
DD
.AC
CE
SS.
AU
TH
OR
ISE
D
S
P
P
P
P P P P
S
2016/06/07
NC. 2015
6.3.2 T
本章では
る。 O.DOC.NFIA_UIDールに基
FMT_Mりジョブキ
FDP_ACによる印
ザーデー
また、ジョ
さらに、HFPT_CIPLAN を送
FCS_COこれらに O.DOC.NFIA_UIDールに基
FMT_Mり操作を
さらに、HFPT_CIPLAN を送
FCS_COこれらに
SFRs FMT_SMR.
FMT_MTD.
FMT_SMF.1
The suffici
は、セキュリテ
NO_DIS は、
D.1 でのユー
基づき、 SA.1(delete-j
キャンセル操作
CC.1(in-job)/F刷ジョブ中の
ータへのアクセ
ョブ処理に生
HDD 内のユー
P_EXP.1, FC送受信するユ
OP.1(n), FTP_関連する管理
NO_ALT は、
D.1 でのユー
基づき、 SA.1(delete-j本人のみにア
HDD 内のユー
P_EXP.1, FC送受信するユ
OP.1(n), FTP_関連する管理
1
.1(device-mgt)
1
ency of se
ティ機能要件
user documeーザー識別情
job)/FMT_M作を本人のみ
FDP_ACF.1(のユーザーデ
セスは誰もで
生成された useーザーデータ
CS_COP.1(h),ユーザーデー
_ITC.1, FCS_理機能は FM
、user documーザー識別情
job)/FMT_Mアクセス制限
ーザーデータ
CS_COP.1(h),ユーザーデー
_ITC.1, FCS_理機能は FM
O.D
OC
.NO
_DIS
O.D
OC
.NO
AL
T
S S
S S
ecurity requ
が TOE セキ
ent data が暴露
情報に応じて、
MSA.3(delete-みにアクセス制
(in-job)、 データへのアク
できなくしたりす
er document dタ・TSF データ
, FCS_CKM.ータ・TSF デー
_CKM.1, FCSMT_SMF.1 に
ment data が改
情報に応じて、
MSA.3(delete-限することにより
タ・TSF データ
, FCS_CKM.ータ・TSF デー
_CKM.1, FCSMT_SMF.1 に
53
O.
OC
.NO
_
O.F
UN
C.N
O_A
LT
O.P
RO
T.N
O_A
LT
S S S P
S S S
uirements
キュリティ対策
露されないよ
、FMT_SMR
-job)、FDP_A制限するうえに
クセスを本人
することにより
data の残存情
タへの改ざん
1 により保護
ータへの改ざん
S_CKM.2 に
によって提供さ
改ざんされない
、FMT_SMR
-job)、FDP_Aり実現される
タへの改ざん
1 により保護
ータへの改ざん
S_CKM.2 に
によって提供さ
Objectives
O.C
ON
F.N
O_D
IS
O.C
ON
F.N
O_A
LT
S SP PS S
策方針を満た
ように、 R.1 で管理され
ACC.1(deleteに、
のみに制限し
実現される。
情報は、FDPん・暴露に対し
され、 ん・暴露に対
により保護され
されている。
いように、 R.1 で管理され
ACC.1(delete。
ん・暴露に対し
され、 ん・暴露に対
により保護され
されている。
Copyrigh
s
O.U
SER
.AU
TH
OR
IZE
D
O.I
NT
ER
FAC
E.M
AN
AG
ED
O.S
OFT
WA
RE
.VE
RIF
IED
S
たすのに十分
れたロールが
e-job)/FDP_A
したり、それ以
P_RIP.1 により
して
対して れる。
れたロールが
e-job)/FDP_A
して
対して れる。
発行日: 2
ht CANON IN
O.A
UD
IT.L
OG
GE
D
O.H
DD
.AC
CE
SS.
AU
TH
OR
ISE
D
分である根拠
が割り当てられ
ACF.1(delete
以外のジョブ
り完全消去さ
が割り当てられ
ACF.1(delete
2016/06/07
NC. 2015
を記述す
れ、そのロ
-job)によ
中のユー
れる。
れ、そのロ
-job)によ
O.FUNCFIA_UIDールに基
FMT_Mり操作を
さらに、HFPT_CIPLAN を送
FCS_COこれらに O.PROTFMT_Mされたロ
FMT_SMさらに、HFPT_CIPLAN を送
FCS_CO O.CONFFMT_Mされたロ
FMT_SMさらに、HFPT_CIPLAN を送
FCS_CO O.CONFFMT_Mされたロ
FMT_SMさらに、HFPT_CIPLAN を送
FCS_CO O.USERズムによ
FIA_ATDFDP_ACできること
さらに、Fーを管理 O.INTERFIA_UID
C.NO_ALT は
D.1 でのユー
基づき、 SA.1(delete-j本人のみにア
HDD 内のユー
P_EXP.1, FC送受信するユ
OP.1(n), FTP_関連する管理
T.NO_ALT は
TD.1(user-mールが割り当
MR.1, FMT_MHDD 内のユー
P_EXP.1, FC送受信するユ
OP.1(n), FTP_
F.NO_DIS は
TD.1(user-mールが割り当
MR.1, FMT_MHDD 内のユー
P_EXP.1, FC送受信するユ
OP.1(n), FTP_
F.NO_ALT は
TD.1(user-mールが割り当
MR.1, FMT_MHDD 内のユー
P_EXP.1(h), 送受信するユ
OP.1(n), FTP_
R.AUTHORIZり認証された
D.1 、FIA_UCC.1(exec-jobとにより実現さ
FIA_SOS.1, F理する。
RFACE.MAND.1, FTA_SS
は、user functiーザー識別情
job)/FMT_Mアクセス制限
ーザーデータ
CS_COP.1(h),ユーザーデー
_ITC.1, FCS_理機能は FM
は、TSF protecmgt)で管理され
当てられ、その
MTD.1(devicーザーデータ
CS_COP.1(h),ユーザーデー
_ITC.1, FCS_
は、TSF confidmgt)で管理され
当てられ、その
MTD.1(devicーザーデータ
CS_COP.1(h),ユーザーデー
_ITC.1, FCS_
は、TSF confimgt)で管理され
当てられ、その
MTD.1(devicーザーデータ
FCS_COP.1,ユーザーデー
_ITC.1, FCS_
ZED は、FIAたユーザーが、
USB.1 、FTA_b)/FDP_ACFされる。 FMT_MSA.1
NAGED は、
SL.3(lui)/FTA
on data が改
情報に応じて、
MSA.3(delete-限することにより
タ・TSF データ
, FCS_CKM.ータ・TSF デー
_CKM.1, FCSMT_SMF.1 に
cted data が改
れた FIA_UIDのロールに基
ce-mgt) , FMTタ・TSF データ
, FCS_CKM.ータ・TSF デー
_CKM.1, FCS
dential data が
れた FIA_UIDのロールに基
ce-mgt) , FMTタ・TSF データ
, FCS_CKM.ータ・TSF デー
_CKM.1, FCS
dential data が
れた FIA_UIDのロールに基
ce-mgt) , FMTタ・TSF データ
, FCS_CKM.ータ・TSF デー
_CKM.1, FCS
A_UAU.1、 F、 _SSL.3(lui)/FF.1(exec-job)
1(exec-job),
、入出力イン
A_SSL.3(rui)
54
ざんされない
、FMT_SMR
-job)、FDP_Aり実現される
タへの改ざん
1 により保護
ータへの改ざん
S_CKM.2 に
によって提供さ
改ざんされない
D.1 でのユー
基づき、 T_SMF.1 によ
タへの改ざん
1 により保護
ータへの改ざん
S_CKM.2 に
が暴露されない
D.1 でのユー
基づき、 T_SMF.1 によ
タへの改ざん
1 により保護
ータへの改ざん
S_CKM.2 に
が改ざんされ
D.1 でのユー
基づき、 T_SMF.1 によ
タへの改ざん
1 により保護
ータへの改ざん
S_CKM.2 に
FIA_UID.1、F
FTA_SSL.3(rによるアクセ
FMT_MSA.3
ンターフェー
)によるユーザ
いように、 R.1 で管理され
ACC.1(delete。
ん・暴露に対し
され、 ん・暴露に対
により保護され
されている。
いように、 ーザー識別情
よるデバイス管
ん・暴露に対し
され、 ん・暴露に対
により保護され
いように、 ーザー識別情
よるデバイス管
ん・暴露に対し
され、 ん・暴露に対
により保護され
れないように、
ーザー識別情
よるデバイス管
ん・暴露に対し
され、 ん・暴露に対
により保護され
FIA_UAU.7、
rui)によりユ
セス制御によ
3(exec-job),
ースを管理す
ザーインターフ
Copyrigh
れたロールが
e-job)/FDP_A
して
対して れる。
情報に応じて、
管理機能によ
して
対して れる。
情報に応じて、
管理機能によ
して
対して れる。
情報に応じて、
管理機能によ
して
対して れる。
、FIA_AFL.1
ーザーのセ
り、権限を付
FMT_SMR.
する対策方針
フェースの管理
発行日: 2
ht CANON IN
が割り当てられ
ACF.1(delete
、FMT_SMR.
より実現される
、FMT_SMR.
より実現される
、FMT_SMR.
より実現される
1 での識別認
セッション管
付与された機能
1 により正当
針であり、FIA理と FPT_FD
2016/06/07
NC. 2015
れ、そのロ
-job)によ
.1 で管理
る。
.1 で管理
る。
.1 で管理
る。
認証メカニ
理され、
能を利用
なユーザ
A_UAU.1, DI_EXP.1
FIA
FIA
FIAFIAFIAFIA
FTA
FTA
FMT
FMT
FDP
FDP
FMT
FMT
FDP
FDP
FDP
FDP
FPT
による LA O.SOFTW O.AUDIFAU_ST時刻情報 O.HDD.A実現され
6.3.3 T
本章では
機能要件
A_AFL.1
A_ATD.1
A_UAU.1 A_UAU.7 A_UID.1 A_USB.1
A_SSL.3(lui)
A_SSL.3(rui)
T_MSA.1(exec
T_MSA.3(exec
P_ACC.1(exec-
P_ACF.1(exec-j
T_MSA.1(delet
T_MSA.3(delet
P_ACC.1(delete
P_ACF.1(delete
P_ACC.1(in-job
P_ACF.1(in-job
T_FDI_EXP.1
AN への転送
WARE.VER
T.LOGGEDTG.4 による監
報を提供する
ACCESS.AUれる。
The depen
は、ST で機能
CC で
FIA_
No d
FIA_FIA_No dFIA_
No d
No d
c-job)
[FDPFDP_FMTFMT
c-job) FMTFMT
-job) FDP_
job) FDP_FMT
te-job)
[FDPFDP_FMTFMT
te-job) FMTFMT
e-job) FDP_
e-job) FDP_FMT
b) FDP_
b) FDP_FMT
FMTFMT
送を保護する機
RIFIED は、FP
は 、 FAU_監査ログ機能
ために FIA_
UTHORISED
dencies of
能要件の依存
Table 31 —T
で要求している
依存性 _UAU.1
dependencies.
_UID.1 _UAU.1 dependencies. _ATD.1
dependencies.
dependencies. P_ACC.1 or _IFC.1]
T_SMR.1 T_SMF.1
T_MSA.1 T_SMR.1
_ACF.1
_ACC.1 T_MSA.3 P_ACC.1 or _IFC.1]
T_SMR.1 T_SMF.1
T_MSA.1 T_SMR.1
_ACF.1
_ACC.1 T_MSA.3
_ACF.1
_ACC.1 T_MSA.3
T_SMF.1 T_SMR.1
機能によって
PT_TST.1 の
_GEN.1 、 FA能によって実現
_UID.1 と FPT
D は、HDD ア
f security r
存性を満たして
he depende
る STで満たし
性
FIA_UAU.
No depende
FIA_UID.1FIA_UAU.No dependeFIA_ATD.1
No depende
No depende
FDP_ACC.FMT_SMRFMT_SMF.
FMT_MSAFMT_SMR
FDP_ACF.1
FDP_ACC.FMT_MSAFDP_ACC.) FMT_SMRFMT_SMF.FMT_MSAb) FMT_SMRFDP_ACF.1FDP_ACC.) FMT_MSAb) FDP_ACF.1FDP_ACC.FMT_MSAb) FMT_SMF.FMT_SMR
55
て実現される。
の自己テスト機
AU_GEN.2 、
現される。さら
T_STM.1 によ
アクセス前に F
requiremen
ていなくとも問
encies of sec
している依存
性 1
encies.
1 encies. 1
encies.
encies.
1(exec-job)R.1 .1
A.1(exec-job)R.1
1(exec-job)
1(exec-job)A.3(exec-job)
1(delete-job
R.1 .1
A.1(delete-jo
R.1 1(delete-job)1(delete-job
A.3(delete-jo
1(in-job) 1(in-job)
A.3(delete-jo
.1 R.1
。
機能によって実
FAU_SAR.らに、監査フォ
よってサポー
FPT_PHP.1
nts
問題のない理
curity requi
依存
N/A(依存性を
N/A(依存性の
N/A(依存性を
N/A(依存性を
N/A(依存性の
N/A(依存性を
N/A(依存性の
N/A(依存性の
N/A(依存性を
N/A(依存性を
N/A(依存性を
N/A(依存性を
N/A(依存性を
N/A(依存性を
N/A(依存性を
N/A(依存性を
N/A(依存性を
N/A(依存性を
N/A(依存性を
Copyrigh
実現される。
1 、 FAU_SAォーマットに必
ートされる。
による本体識
由を記述する
rements
存性を満たして
を満たしている)
の要求なし)
を満たしている)
を満たしている)
の要求なし) を満たしている)
の要求なし)
の要求なし)
を満たしている)
を満たしている)
を満たしている)
を満たしている)
を満たしている)
を満たしている)
を満たしている)
を満たしている)
を満たしている)
を満たしている)
を満たしている)
発行日: 2
ht CANON IN
AR.2 、 FAU_必要なユーザ
識別認証機能
る。
ていない理由
2016/06/07
NC. 2015
_STG.1 、
ザー情報と
能によって
FDP
FPT
FCS
FPT
FTP
FCS
FCS
FCS
FPT
FAU
FAU
FPTFAU
FAU
FAU
FAU
FIA
FMT
FMT
FMT)
FMT
機能要件
P_RIP.1
T_CIP_EXP.1
S_COP.1(h)
T_PHP.1
P_ITC.1
S_COP.1(n)
S_CKM.1
S_CKM.2
T_TST.1
U_GEN.1
U_GEN.2
T_STM.1 U_SAR.1
U_SAR.2
U_STG.1
U_STG.4
A_SOS.1
T_MTD.1(user
T_SMR.1
T_MTD.1(devi
T_SMF.1
6.4 S
Th
CC で
No d
No d
[FDPFDP_FCS_FCS_
No d
No d
[FDPFDP_FCS_FCS_
[FCSFCS_FCS_
[FDPFDP_FCS_FCS_
No d
FPT_
FAUFIA_No dFAU
FAU
FAU
FAU
No d
r-mgt) FMTFMTFIA_
ice-mgt FMTFMT
No d
Security as
his Protection
で要求している
依存性
dependencies.
dependencies.
P_ITC.1 or _ITC.2 or _CKM.1] _CKM.4
dependencies.
dependencies.
P_ITC.1 or _ITC.2 or _CKM.1] _CKM.4
S_CKM.2 or _COP.1] _CKM.4
P_ITC.1 or _ITC.2 or _CKM.1] _CKM.4
dependencies.
_STM.1
U_GEN.1 _UID.1 dependencies.
U_GEN.1
U_SAR.1
U_GEN.1
U_STG.1
dependencies.
T_SMR.1 T_SMF.1 _UID.1
T_SMR.1 T_SMF.1
dependencies.
ssurance re
n Profile has
る STで満たし
性
No depende
No depende
FCS_CKM.
No depende
No depende
FCS_CKM.
FCS_COP.1FCS_COP.1
FCS_CKM.
No depende
FPT_STM.
FAU_GEN.FIA_UID.1No dependeFAU_GEN.
FAU_SAR.
FAU_GEN.
FAU_STG.
No depende
FMT_SMRFMT_SMF.FIA_UID.1
FMT_SMRFMT_SMF.
No depende
equirement
been develo
56
している依存
性
encies.
encies.
.1
encies.
encies.
.1
1(n) 1(h)
.1
encies.
1
.1
encies. .1
1
.1
1
encies.
R.1 .1
R.1 .1
encies.
ts rationale
oped for Har
依存
N/A(依存性の
N/A(依存性の
FCS_CKM.4 を
暗号鍵は RAM
た暗号鍵を取
る。従って機能
は安全に管理
N/A(依存性の
N/A(依存性の
FCS_CKM.4 を
暗号鍵は RAM
た暗号鍵を取
る。従って機能
は安全に管理
FCS_CKM.4 を
暗号鍵は RAM
た暗号鍵を取
る。従って機能
は安全に管理
FCS_CKM.4 を
暗号鍵は RAM
た暗号鍵を取
る。従って機能
は安全に管理
N/A(依存性の
N/A(依存性を
N/A(依存性を
N/A(依存性の
N/A(依存性を
N/A(依存性を
N/A(依存性を
N/A(依存性を
N/A(依存性の
N/A(依存性を
N/A(依存性を
N/A(依存性を
N/A(依存性の
e
rdcopy Devic
Copyrigh
存性を満たして
の要求なし)
の要求なし)
を主張していな
M 上に生成され
取り出すことは不
能的に暗号鍵破
理されている。 の要求なし)
の要求なし)
を主張していな
M 上に生成され
取り出すことは不
能的に暗号鍵破
理されている。 を主張していな
M 上に生成され
取り出すことは不
能的に暗号鍵破
理されている。 を主張していな
M 上に生成され
取り出すことは不
能的に暗号鍵破
理されている。
の要求なし)
を満たしている)
を満たしている)
の要求なし) を満たしている)
を満たしている)
を満たしている)
を満たしている)
の要求なし)
を満たしている)
を満たしている)
を満たしている)
の要求なし)
ces used in
発行日: 2
ht CANON IN
ていない理由
ない理由:
れ電源を切ると消
不可能な構造と
破棄をしなくと
ない理由:
れ電源を切ると消
不可能な構造と
破棄をしなくと
ない理由:
れ電源を切ると消
不可能な構造と
破棄をしなくと
ない理由:
れ電源を切ると消
不可能な構造と
破棄をしなくと
restrictive co
2016/06/07
NC. 2015
消える。ま
となってい
も暗号鍵
消える。ま
となってい
も暗号鍵
消える。ま
となってい
も暗号鍵
消える。ま
となってい
も暗号鍵
ommercial
infoaccobecaalmoAgeremdeviwithmalf
EA
and inclu
ormation proceountability andause it is assuost constant p
ents cannot pmovable nonvo
ices are removh code to efffunctions. As
AL 3 is augmeprocedures f
usion is expec
essing environd information
umed that the protection frophysically accolatile storageved from the
ffect a changsuch, the Eva
ented with ALfor the reporcted by the co
nments that ren assurance. Th
TOE will be om unauthorizcess any none devices, wheTOE environ
ge and the Taluation Assur
LC_FLR.2, Flrting and remnsumers of th
57
equire a relatihe TOE envirlocated in a r
zed and unmanvolatile storaere protection
nment. AgentsTOE self-verifrance Level 3
law reporting mediation of ihis TOE.
ively high levronment will brestricted or m
anaged accessage without n of User ands have limitedfies its execuis appropriate
procedures. Aidentified sec
Copyrigh
vel of documebe exposed to monitored envs to the TOE disassembling
d TSF Data ar or no means utable code te.
ALC_FLR.2 ecurity flaws a
発行日: 2
ht CANON IN
ent security, oonly a low le
vironment thaand its data i
g the TOE ere provided wof infiltrating
to detect uni
ensures that inare in place,
2016/06/07
NC. 2015
operational vel of risk
at provides interfaces. except for when such g the TOE intentional
nstructions and their
7 TO
この章で
7.1 ユ
–
TOE は、
ル複合機
ジョブの投
ユーザー
–
ユ
認
サ
–
デ
TOE はユ
たログイン
入力の際
TOE は、
る。
ACT とは
機能への
TOE は、
–
–
TOE は[FTA_SS
–
10 秒
–
OE Summa
では、TOE 要約
ユーザー認証
対 応 す るFIA_AFL.
、正規のユー
機を操作する
投入は許可し
ー認証は、以
外部認証方
ユーザー認証
認証サーバー
サーバーが該
内部認証方
デバイスに登録
ユーザー認証
ン先にてユー
際のパスワード
ユーザーの
は、ユーザー
のアクセス権
不正なログイ
設定したロ
クアウトの許
設定したロ
分から選択
、操作パネSL.3(lui), FT
操作パネル
秒-9 分から選
リモート UI
ary specifi
約仕様を記述
証機能
る 機 能 要 件.1, FTA_SSL
ーザーを識別認
前にユーザー
している。[FI
下の2種類の
方式
証サーバーに
ーには、Kerbe該当する。
方式
録されている
証として、ユー
ーザー名・パス
ドテキストエリ
識別認証に成
ー名やロール
権が含まれた
イン試行を減
ロックアウトの許
許容回数は、
ロックアウト時
択できる。(初
ルやリモーTA_SSL.3(ru
ルを操作しな
選択できる。(初
I を操作しない
ication
述する。
: FIA_UAU.3(lui), FTA_
認証するため
ーの識別認証
IA_UAU.1, F
の認証方式を
に登録されてい
eros 認証方式
るユーザー情
ーザー名・パス
スワードが合
リアは、*で表
成功すると、ユ
ルに加えて、
たオブジェク
減らすために以
許容回数に達
1~10 回から
時間中は、該当
初期値は 3 分
ト UI を一定ui)]
ない状態が、オ
初期値は 2 分
い状態が、15
58
U.1, FIA_UI_SSL.3(rui)
めに、ユーザー
証を要求する
FIA_UID.1]
をサポートする
いるユーザー
式の Active D
報を利用する
スワード・認証
合致した場合の
表示する。[FIA
ユーザーごと
ユーザーの
トである。
以下のロックア
達した場合は
ら選択できる
当ユーザーの
)
定時間操作
オートクリア機
分)
5 分間経過。
ID.1, FIA_U
ーが操作パネ
る。但し、プリン
る。
ー情報を利用
Directory サー
る認証方式。
証先であるログ
のみユーザー
A_UAU.7]
とに Access C
のロールごと
[FIA_ATD.1
アウト機能を提
は該当ユーザ
。(初期値は
のログインを認
しない状態
機能にて設定
Copyrigh
UAU.7, FIA_
ネルやリモー
ントジョブ、フ
する認証方式
ーバーや LDA
グイン先の入
ーを識別認証
Control Token
に設定され
1, FIA_USB.
提供する。[F
ザーに対してロ
は 3 回)
認めない。ロッ
が経過する
されたタイムア
発行日: 2
ht CANON IN
_ATD.1, FIA
ト UI におい
ァクスジョブ、
式。例えば、ユ
AP 認証方式
力を要求して
証する。なおパ
n(以後 ACT)
たアプリケー
.1]
IA_AFL.1]
ロックアウトさせ
ックアウト時間
るとログアウト
アウト時間の
2016/06/07
NC. 2015
A_USB.1,
いてデジタ
Iファクス
ユーザー
式の LDAP
て、指定し
パスワード
を発行す
ーション
せる。ロッ
間は 1-60
トさせる。
経過。
7.2 ジ
–
TOE は、
機能を提
U.ADMI機能その
操作パネ
値に応じ
リモートUそれ以外
また、U.A
UI 種別
操作パネ
リモート U
7.3 投
TOE は、
ジョブ実行ア
対応する機FMT_MSA
、識別認証さ
提供する。ユ
INISTRATORのものであり、
ネルの場合の
じてジョブ実行
UIの場合のジ
外はアクセスを
ADMINISTR
制御対
ネル 「セキPoint
「コピ
「スキPoint
「ファ
「受信
「保存
の Po
「スキPoint
UI 「受信
利用」
投入ジョブア
、ユーザーが
アクセス制御
機能要件: A.3(exec-job)
れたユーザー
ユーザーに
R のみに限定
常に固定であ
のジョブ実行ア
行を許可して、
ジョブ実行ア
を許可する。
RATOR は、す
Table 3
対象
キュアプリンter
ピー」の Pointer
キャンして送信ter
クス」の Point
信トレイ」の Po
存ファイルの利
ointer
キャンして保存ter
信/保存ファイ
」の Pointer
アクセス制御
が投入したプリ
御機能
FDP_ACC.1), FMT_SMF
ーに発行され
発行される
定される。この
ある。
アクセス制御
、それ以外は
クセス制御は
すべてのジョブ
32 —ジョブ実
条件
ト」の U.US可され
r U.USロール
信」の U.US許可
ter U.US許可
inter U.USを許可
利用」 U.USを許可
存」の U.US許可
イルの U.US外
御機能
リント/コピー/ス
59
(exec-job), FF.1
れた ACT の内
る ACT のロ
のジョブ実行
は、ACT の
はアクセスを拒
は、ACTのロー
ブ実行が可能
実行のアクセ
SER のロール
れたロールであ
SER のロール
ルである
SER のロール
されたロール
SER のロール
されたロール
SER のロール
可されたロール
SER のロール
可されたロール
SER のロール
されたロール
SER のロール
スキャン/FAX
FDP_ACF.1(e
内容に応じて
ールの問い
行アクセス制御
ロールに基づ
拒否する。
ールの属性値
能である。
ス制御ポリシ
ルが「セキュアプ
ある
ルが「コピー」を
ルが「スキャン
である
ルが「スキャン
である
ルが「保存ファ
ルである
ルが「保存ファ
ルである
ルが「スキャン
である
が Administra
X 等の投入ジ
Copyrigh
exec-job), FM
て、UI 毎にジ
い合わせ、改
御に対する、制
づく「アプリケ
値に応じてジ
シー
プリント」を許
を許可された
ンして送信」を
ンして送信」を
イルの利用」
イルの利用」
ンして保存」を
ator ロール以
ジョブに対して
発行日: 2
ht CANON IN
MT_MSA.1(e
ジョブ実行アク
改変、削除、
制御対象の属
ケーション制限
ョブの実行を
操作
制御対象
することで実
制御対象
することで実
制御対象
することで実
制御対象
することで実
制御対象
することで実
制御対象
することで実
制御対象
することで実
実行不可
て以下のアク
2016/06/07
NC. 2015
exec-job),
クセス制御
、追加は
属性は各
限」の属性
を拒否して、
を活性化
実行可能
を活性化
実行可能
を活性化
実行可能
を活性化
実行可能
を活性化
実行可能
を活性化
実行可能
を活性化
実行可能
クセス制御
のセキュ
7.3.1
–
TOE は
のユーザ
–
–
ジョブのキ
7.3.2
–
TOE は、
ザー名は 「コピー/ス
–
–
「プリント
TOE は
に、プリン
を実現し
U.USERザー名が
–
–
–
但し、プリ
た暗証番
U.ADMIて、以下
–
ュリティ機能を
ジョブ
対応する機FMT_MSA
、コピー/プリ
ザー名は投入
U.NORMA
U.ADMIN
キャンセルに
ジョブ
対 応 す るFMT_MSA
、それぞれの
は投入ジョブ生
スキャン/ファ
TOE は、コ
ただし、
TOE は、ス
能」の場合
ジョブ中の電
、暗証番号を
ントジョブに付
している。
R は、一時保
が一致した場
プリントする
プリントの優
削除する。
リントする場合
番号が一致す
INISTRATOR下の操作が可能
ジョブの削
提供する。
ブのキャンセ
機能要件:FDPA.3(delete-job
ント/スキャン
入ジョブ生成時
AL は、自分の
NISTRATOR
に伴い、ジョブ
ブ中の電子文
る 機 能 要 件A.3(delete-job
のジョブ中の電
生成時にその
クス送信のジ
コピーのジョブ
所有者および
スキャン/ファ
合を除き、誰も
電子文書への
を付与された
付与されたユ
保存したプリン
合に、以下の
る。
優先度を変更
合は、プリント
する必要がある
R は、すべて
能、
削除する。
セル機能
P_ACC.1(delb), FMT_SM
ン/ファクス送信
時にそのジョブ
のジョブの削
は、すべての
ブに付属する属
文書へのアク
: FDP_ACCb), FMT_SM
電子文書に対
のジョブを生成
ジョブ中の電子
ブ中の電子文
び U.ADMINI
ァクス送信のジ
も参照すること
のアクセス制御
プリントジョブ
ユーザー名で
ントジョブの電
の操作が可能
更する。
トジョブの電子
る。
ての一時保存
60
lete-job), FDPMF.1
信のジョブを以
ブを生成した
削除が可能
のジョブのリス
属性値も削除
クセス制御機
C.1(in-job), FMF.1
対して以下のア
成したユーザ
子文書へのア
文書に対して誰
ISTRATOR は
ジョブ中の電子
とができない。
御機能」
ブが投入され
そのプリントジ
子文書に対し
能、
子文書に付与
存したプリントジ
P_ACF.1(del
以下の方法で
たユーザー名で
ストを表示し、
除される。
機能
FDP_ACF.1(
アクセス制御
ザー名で初期化
アクセス制御機
誰も参照する
は、割込/優先
子文書に対し
。
ると、そのまま
ジョブの所有
して、自身の
与された暗証
ジョブの電子
Copyrigh
lete-job), FM
でキャンセルで
で初期化され
任意のジョブ
(in-job), FM
を提供する。
化されている
機能」 ることができな
先プリントを行う
して、7.3.3「送
まプリントせず
有者を判断し、
ユーザー名と
証番号と、操作
子文書のリスト
発行日: 2
ht CANON IN
MT_MSA.1(de
できる。これら
れている。
ブの削除が可
MT_MSA.1(de
これらのジョ
る。
ない。 うことができる。
送信ジョブ一
ずに一時保存
、以下のアク
とプリントジョ
作パネルにて
を表示し、そ
2016/06/07
NC. 2015
elete-job) ,
らのジョブ
可能
elete-job),
ブのユー
。
時保存機
存する。更
セス制御
ブのユー
て入力され
それに対し
「ファクス
TOE は、
る機能を
ムボックス
書を他人
システム
書 に ア
U.ADMI信、削除
U.ADMIして以下
–
–
–
U.ADMI暗証番号
–
–
–
「ユーザー
TOE は、
の電子文
それぞれ
ボックスに
U.USER
U.NORMた暗証番
–
–
–
U.ADMIして以下
–
–
–
ス受信ジョブの
、受信したファ
を有する。これ
スへのアクセ
人に操作されな
ボックスの暗
ク セ ス 可 能
INISTRATOR除をできないよ
INISTRATOR下の操作が可
プリントする
送信する。
削除する。
INISTRATOR号と、システム
プリントする
送信する。
削除する。
ーボックスの
、コピー/スキ
文書を操作す
れのユーザー
に電子文書を
R を保存された
MAL は、ユー
番号が一致し
プリントする
プリント設定
削除する。
INISTRATOR下の操作が可
プリントする
プリント設定
削除する。
の電子文書へ
ァクス/ I ファ
れらの電子文書
ス制御がその
ないように、シ
暗証番号の初期
能 な ユ ー ザ
Rを保存され
ようにアクセス
R は、操作パ
能、
る。
R は、リモート
ムボックス操作
る。
電子文書への
キャン/送信ジョ
する際には、ユ
ーボックスに対
を保存する際
た電子文書の
ーザーボックス
した場合のみ、
る。
定を変更する
R は、操作パ
能、
る。
定を変更する
へのアクセス制
ァクス受信ジョ
書が保存され
のまま電子文
システムボック
期化、登録、
ー は U.ADれた電子文書の
ス制御を実現し
パネルからア
ト UI からアク
作時に入力され
のアクセス制
ョブの電子文
ユーザーボック
対して事前に 7
際は暗証番号
の所有者と判
スに事前に設
、ユーザーボ
る。
パネルからア
る。
61
制御機能」
ブの電子文書
れる際には、必
文書のアクセス
クスに対して事
変更は U.ADMINISTRATの所有者と判
している。
クセスする場
クセスする場合
れた暗証番号
制御機能」
文書を、ユーザ
クスへのアクセ
7 桁の暗証番
号の入力は不
判断し、アクセス
設定された暗
ボックス内の電
クセスする場
書をそのまま
必ずシステム
ス制御に適用
事前に 7 桁の
ADMINISTRAATOR の み で
判断し、U.NO
場合、暗証番号
合、システムボ
号が一致した
ザーボックスに
セス制御が適
番号を設定す
不要であり、TOス制御を実現
暗証番号と、ユ
電子文書に対
場合、暗証番号
Copyrigh
まプリントせず
ムボックスに保
用される。シス
の暗証番号を
ATOR に限定
で あ る 。 し
ORMALが電
号を入力しな
ボックスに対し
た場合のみ、以
に保存する機
適用される。
することができ
OE は正しい
現している。
ユーザーボック
対して以下の操
号を入力しな
発行日: 2
ht CANON IN
、一旦ファイル
保存されるため
テムボックスの
を設定すること
定されるため
た が っ て 、
電子文書のプリ
なくとも、電子文
して事前に設
以下の操作が
機能を提供する
る。
い暗証番号を
クス操作時に
操作が可能、
なくとも、電子文
2016/06/07
NC. 2015
ル保存す
め、システ
の電子文
とができる。
め、電子文
TOE は
リントや送
文書に対
設定された
が可能、
る。これら
を入力した
に入力され
文書に対
U.ADMI番号と、ボ
–
–
–
【ボッ
ボックス
れた UU.NOR
7.3.3
–
送信ジョ
信ジョブ
「タイマー
TOE は、
で一時保
U.NORM致した場
–
U.ADMI
–
「プレビュ
TOE は
ーして確
U.USERた場合に
–
–
–
7.4 受
–
TOE は物
ョブの LA
INISTRATORボックス操作
プリントする
プリント設定
削除する。
クス暗証番号
スにアクセス
U.ADMINISRMAL でも変
送信ジ
対 応 す るFDP_ACF
ブには、FAXブ一時保存機
ー送信」
、タイマー送信
保存する。
MAL は、一時
場合に、以下の
宛先を変更
INISTRATOR
宛先を変更
ュー」
、プレビュー
確認した後に送
R は、一時保
に、以下の操作
電子文書内
電子文書内
ジョブの中
受信ジョブ転
対応する機
物理的に受信
AN への転送
R は、リモート
時に入力され
る。
定を変更する
号】 するための暗
STRATOR に
変更できる。
ジョブ一時保
る 機 能 要 件F.1(delete-job
X 送信とスキャ
機能として、「タ
信の設定がさ
時保存した送
の操作が可能
更する
R は、すべて
更する
の設定がされ
送信できる。
保存した送信ジ
作が可能、
内容のプレビ
内容のページ
中止
転送機能
機能要件: FP
信したデータを
送ができないよ
ト UI からアク
れた暗証番号
る。
暗証番号の登
にのみ与える。
保存機能
: FDP_ACCb)
ャンの 2 種類
タイマー送信
された送信ジ
送信ジョブに対
能、
ての一時保存
れた送信ジョブ
ジョブに対して
ビュー
ジ削除
PT_FDI_EXP
を直接他の Pように制御され
62
クセスする場合
号が一致した場
登録、変更がで
。ただし、自身
C.1(in-job),
類があり、それ
信」と「プレビュ
ジョブが投入さ
対して、自身
した送信ジョ
ブが投入され
て、自身のユ
P.1
PC・サーバー
れている。
合、電子文書
場合のみ、以
できる権限を
身が利用する
FDP_ACF.1
れぞれの送信
ュー」がある。
されると、その
身のユーザー名
ブに対して、
れると、すぐに
ユーザー名と送
ーに転送できる
Copyrigh
書に対して、事
以下の操作が
Administratoるボックスの暗
1(in-job), FD
信ジョブには一
まま送信せず
名と送信ジョ
以下の操作
に送信せずに
送信ジョブの
る構造となっ
発行日: 2
ht CANON IN
事前に設定さ
が可能、
or ロールが割
暗証番号に関
DP_ACC.1(de
一時保存する
ずに設定され
ョブのユーザー
作が可能、
にジョブ内容を
のユーザー名
ておらず、受
2016/06/07
NC. 2015
れた暗証
割り当てら
関しては、
elete-job),
ための送
れた時刻ま
ー名が一
をプレビュ
が一致し
受信したジ
7.5 H
–
TOE が電
ータで上
完全消去
–
–
–
–
またこの機
–
–
–
7.6 H
–
TOE の「
暗号化/復の機密性
7.6.1
–
TOE は、
作を行い
–
–
暗号操作
–
–
HDD データ
対応する機
電子文書やテ
上書きすること
去には以下の
DoD 方式
3 回ランダ
1 回ランダ
1 回 NULL
機能は、以下
ジョブ処理
くはジョブ処
ボックスに
突然の電源
去する。
HDD 暗号化
対応する機
「HDD データ
復号機能と本
性と完全性を確
暗号化
対応する機
HDD に格納
い HDD に格納
HDD へ書
HDD から読
作に用いる暗
FIPS PUB
鍵長が「25
完全消去機
機能要件: FD
テンポラリイメ
とにより電子文
の方法から1種
で上書き
ダムデータで上
ダムデータで上
L データで上
下のタイミング
理中に HDD 内
処理後に HD
保存された電
源遮断により
化機能
機能要件: FP
タ暗号化ボー
本体識別認証
確保する。
化/復号機能
機能要件: FC
納されるユーザ
納されるデー
書き込まれるデ
読み出される
暗号アルゴリズ
197 に従っ
56 ビット」の暗
機能
DP_RIP.1
メージファイル
文書やテンポ
種類選択でき
上書き
上書き
上書き
グに動作する。
内に一時的に
DD から完全
電子文書の削
完全消去でき
PT_CIP_EXP
ド」は、以下の
証機能によっ
CS_COP.1(h)
ザーデータお
ータ全体を暗号
データを暗号
るデータを復号
ズム、暗号鍵は
た「AES アル
暗号鍵
63
ルを HDD から
ラリイメージフ
きる。
。
に保存されるテ
消去する。
削除後に HDD
きなかった残
P.1
のセキュリティ
って、HDD に
)
および TSF デ
号化する。
号化する。
号する。
は以下のとお
ルゴリズム」
ら削除する際
ファイルの残存
テンポラリイメ
D から完全消去
残存情報を、T
ィ機能を提供
に格納されるユ
データの機密
おりである。
Copyrigh
際は、その HD存情報の完全
メージファイル
去する。
TOE の起動時
供する。
ユーザーデー
性を確保する
発行日: 2
ht CANON IN
DD 領域を無
全消去を実施
ルを、ジョブ処
時に HDD か
ータおよび TS
るために、次
2016/06/07
NC. 2015
意味なデ
施する。
処理中もし
から完全消
SF データ
の暗号操
7.6.2
–
TOE は、
–
–
暗号鍵の
–
–
なお、Seに保持さ
7.6.3
–
HDD デ
だった場
で他のデ
【認証 ID
HDD デ
FlashRO
【識別認
HDD デ
体へ渡す
(SHA-1)
ンスの検
HDD デ
HDD へ
7.7 L
LAN デー
る。
7.7.1
–
TOE は、
ために、
–
暗号鍵
対応する機
次の仕様に
暗号鍵を生
生成される
の管理は以下
起動時に、
TOE は暗
eed を暗号ボ
されるため、電
本体識
対応する機
データ暗号化ボ
場合のみ HDDデジタル複合機
D の登録】
データ暗号化
OM に保存す
証の手順】
データ暗号化ボ
す。デジタル
)をレスポンス
検証を行う。
データ暗号化ボ
のアクセスを
LAN データ
ータ保護機能
IP パケ
対応する機
送受信先の
すべての IP
LAN へ送
鍵管理機能
機能要件: FC
に基づき、HDD
生成するアル
る暗号鍵の鍵
下のように行う
、TOE は Fla
号鍵を生成し
ードから取得
電源 OFF によ
識別認証機能
機能要件: FP
ボードは、毎
D アクセスを
機本体に接続
ボードは、ボ
する。
ボードは起動
ル複合機本体
スとして暗号ボ
ボードが正し
禁止する。
保護機能
能は、送受信
ケット暗号化
機能要件: FC
IT 機器との通
パケットを IP
送信する IP パ
CS_CKM.1
D データ暗号
ルゴリズムは、
鍵長は「256 ビ
う。
ashROM に格
した後、RAM
得する手段は存
より消失する。
能
PT_PHP.1
毎回起動時にデ
を許可する。こ
続しても、HD
ボード取り付け
動時に擬似乱
体は、本体認証
ボードへ渡す
しいデジタル複
先の IT 機器
化機能
CS_COP.1(n)
通信するユー
PSec にて暗号
パケットの暗号
64
号化機能で使
「FIPS PUB 1
ビット」
格納された Se
M 上に格納す
存在しない。
デジタル複合
この機能によ
DD データにア
け時に、デジ
乱数を生成し
証 ID とチャ
す。HDD デー
複合機本体に
器との通信に利
), FTP_ITC.1
ーザーデータ
号化/復号する
号化操作
使用する暗号
186-2 に基づ
ed 情報を読
する
また、暗号鍵
合機本体を識
り、HDD デー
アクセスするこ
ジタル複合機本
、チャレンジ用
ャレンジ用の
ータ暗号化ボー
に取り付けられ
利用するすべ
1
タおよび TSF デ
る。
Copyrigh
号鍵を生成す
づく暗号鍵生
み出して暗号
鍵は揮発性メモ
識別し、正しい
ータ暗号化ボ
ことができない
本体から本体
用の乱数とし
乱数から演算
ードは、同様
れていることが
べての IP パケ
データの機密
発行日: 2
ht CANON IN
る。
成アルゴリズ
号鍵を生成す
モリーである
いデジタル複合
ボードと HDDい。
体認証 ID を
してデジタル複
算し、そのハ
の計算を行い
が確認できな
ケットを暗号化
密性、完全性
2016/06/07
NC. 2015
ズム」
する
RAM 上
合機本体
D をセット
を受取り、
複合機本
ハッシュ値
い、レスポ
ない場合、
化/復号す
の確保の
–
暗号操作
–
7.7.2
–
TOE は、
–
–
また TOE
–
7.8 自
–
TOE は、
–
–
–
7.9 監
–
TOE は、
–
–
–
–
–
–
–
–
LAN から受
作に用いる暗
Table 24 に
暗号鍵
対応する機
次の仕様に
暗号鍵を生
生成される
E は、以下の
SP800-56AHellman)
自己テスト機
対応する機
起動時に以
暗号アルゴ
暗号鍵の完
暗号アルゴ
監査ログ機能
対応する機FAU_STG
以下のイベン
スタートアッ
シャットダウ
ジョブ完了
ユーザー認
ログアウト
デバイス管
ユーザー管
時刻の変更
受信する IP パ
暗号アルゴリズ
に同じ
鍵管理機能
機能要件: FC
に基づき、IP パ
生成するアル
る暗号鍵の鍵
の方法にて、IP
A の標準に
機能
機能要件: FP
以下の自己テス
ゴリズム(AES
完全性チェッ
ゴリズムの実行
能
機能要件: G.1, FAU_STG
ントが生じた際
ップ
ウン
了
認証の成功/失
管理機能の利
管理機能の利
更
パケットの復号
ズム、暗号鍵は
CS_CKM.1, F
パケット暗号化
ルゴリズムは、
鍵長は「128、1
P パケット暗号
基づいた D
PT_TST.1
ストを実施す
、3DES)の機
ック
行コードの完
FAU_GEN.1G.4
際にログを生
失敗
利用
利用
65
号操作
は以下のとお
FCS_CKM.2
化機能で使用
「FIPS PUB 1
168、192、256
号化機能の暗
DH(Diffie H
る。
機能チェック
完全性チェック
1, FAU_GEN
生成する。
おりである。
用する暗号鍵
186-2 に基づ
6 ビット」
暗号鍵を送受
Hellman)およ
ク
N.2, FPT_ST
Copyrigh
鍵を生成する。
づく暗号鍵生
受信先の IT 機
よび ECDH(
TM.1, FAU_
発行日: 2
ht CANON IN
成アルゴリズ
機器に転送す
Elliptic Curv
_SAR.1, FAU
2016/06/07
NC. 2015
ズム」
する。
ve Diffie
U_SAR.2,
–
ログの項
供される
同期する
–
但し、以
–
–
また、リモ
用できる
U.ADMI能を利用
リモート
機能を利
U.ADMI利用する
監査記録
する。
7.10 管
7.10.1
–
TOE は、
制御情報
パスワー
【ユーザー
ユーザー
存ユーザ
パスワー
ロー ル に
User”, ”「カスタム
て、登録
Adminis
「ベースロ
各ジョブ
性値にて
IPSec のコ
項目は以下であ
。TOE の日時
ることで設定さ
日時、ユー
下のイベント
ジョブ完了
認証失敗の
モート UI から
のは U.ADM
INISTRATOR用することはで
UI で TOE利用できるのは
INISTRATORることはできず
録は最大2万
管理機能
ユーザ
対 応 す るFMT_MSA
Administrato報、ボックス暗
ード、自分の利
ー、ロール、ア
ーの新規登録
ザーのパスワ
ードはパスワー
に は 、 あら か
”Limited Useムロール」を作
録することがで
strator ロー
ロール」の初期
実行の許可/て設定されて
コネクション確
ある。日時情
時情報は、管
される。
ーザー名、イベ
の際には以下
了のログには、
のログには、認
ら監査ログの
MINISTRATO
R 以外のユー
できない
にアクセスし、
は U.ADMIN
R 以外のユー
ず、不正な改変
万件が保持され
ザー管理機能
る 機 能 要 件A.1(delete-job
or ロールが割
暗証番号の登
利用するボック
アクセス制御
録は、ユーザー
ード・ロールの
ードポリシーに
か じ め 「 ベ ー
er”, ”Guest U作成する場合
できる。
ルとは、「ベー
期値は、”Gu
/禁止を設定
いる。「ベース
確立失敗
情報は TOE か
管理機能の利
ベント種別、結
下の項目も追
ジョブ種
認証試行した
のエクスポート
OR のみであ
ーザーはリモー
、「監査ログの
NISTRATOR
ーザーはリモー
変を防止して
れており、満杯
能
件 : FIA_SOb), FMT_MS
割り当てられた
登録、変更、削
クスの暗証番
御情報の登録
ー名・パスワー
の変更や、既
に合致している
ー ス ロー ル 」
User”の 5 種
合には、”Gues
ースロール」が
uest User”を
定するアクセス
スロール」の
66
から提供され
用、もしくはタ
結果(成功/失
追加する。
たユーザー名
を実施し、監
る。
ート UI から T
のクリア」メニュ
のみである。
ート UI から Tている
杯になった場
OS.1 , FMTSA.3(delete-jo
た U.ADMIN削除のできる
番号に関しては
、変更、削除
ードを設定し
既存ユーザー
るかどうかチェ
」 と 呼 ば れ る
種類のロールが
t User”ロール
が”Administ
を除く 4 種類の
ス制御情報は
「アプリケーシ
る。ログに記録
タイムサーバ
失敗)
名
監査記録を読
TOE にログイ
ューから監査
TOE にログイ
場合は最も古
T_MTD.1(useob) ,FMT_SM
ISTRATOR の
るユーザー管
は、U.NORM
除】
て、ロールを
ーを削除するこ
ェックされる。
る 、 ”Adminisが存在してい
ルを除く 4 種類
trator”である
の「ベースロー
は、ロールに基
ション制限」の
Copyrigh
録される日時
ーから正確な
み出す機能を
インしても監査
査記録を削除す
インしても「監査
古くに格納され
er-mgt) , FMR.1, FMT_S
のみにユーザ
管理機能を制
MAL でも変更
を割り当てるこ
こともできる。
strator”, ”Poいる。「ベースロ
類の「ベース
るロールで、管
ール」から初期
基づく「アプリ
の初期値は変
発行日: 2
ht CANON IN
時情報は、TOな日時を取得
を提供する。
査ログのエクス
する機能を提
査ログのクリア
れた監査記録
FMT_MSA.1(SMF.1
ザー、ロール、
限する。但し
更できる。
ことで登録する
ユーザーが
wer User”, ロール」以外
スロール」を複
管理権限を有
期値を変更で
リケーション制
変更できない
2016/06/07
NC. 2015
OE から提
得して時刻
機能を利
スポート機
提供する。
ア機能」を
録を上書き
(exec-job)
、アクセス
し、自分の
る。また既
が設定した
”General の新規の
複製編集し
有する。
できる。
制限」の属
が、「カス
タムロール
【ロール種
ロール種
–
Adminis
–
Guest U
7.10.2
–
TOE は
U.ADMI
更に、以
【パスワー
堅牢なパ
–
–
–
–
–
–
–
【ロックア
ロックアウ
–
1~10 回
–
1-60 分か
ル」の「アプリ
種別】
種別は、U.AD
U.ADMIN
strator ロー
U.NORMA
User ロール、
デバイス管
対応する機
、セキュリティ
INISTRATOR
以下の設定機
ードポリシーの
パスワードの設
4 文字以上
3 文字以上
英大文字(A
英小文字(a
数字(0~9)
アルファベ
使用可能文
制御文字
アウトポリシーの
ウト許容回数
ロックアウト
回から選択でき
ロックアウト
から選択できる
リケーション制
DMINISTRA
NISTRATOR
ルが割り当て
AL
Administra
管理機能
機能要件: FM
ィ機能を有効
R のみに限定
能を提供する
の設定】
設定をユーザ
上 32 文字以下
上連続する文
A~Z)を 1 文
a~z)を 1 文
)を 1 文字以
ベット以外の
文字
字以外の全ての
の設定】
とロックアウト
ト許容回数
きる。(初期値
ト時間
る。(初期値は
制限」の初期値
ATOR と U.
てられた管理権
ator ロール以
MT_MTD.1(d
効に機能させる
定する。
る。
ザーに求めるた
下のパスワー
文字列を含めな
文字以上含め
文字以上含める
以上含める
の文字(^-@[]:;
の文字
ト時間の設定が
値は 3 回)
は 3 分)
67
値を変更でき
.NORMAL の
権限を有する
以外のロール
device-mgt),
るべく、Table
ために、以下
ード長
ない
める
る
;,./¥!”#$%&
ができる。
きる。
の 2 種類に大
るユーザー。
ルが割り当てら
FMT_SMF.1
e 27 のような
下のようなパス
’()=~|{`+*}_
Copyrigh
大別され、維
られた一般ユ
1
な各種デバイ
ワードの品質
_?><)を 1 文
発行日: 2
ht CANON IN
持している。
ユーザー。
イス管理機能
質を提供する。
文字以上含め
2016/06/07
NC. 2015
の設定を
。
る
以上
