ISO/IEC15408では、評価対象となる製品やシステムのセキュリティ基本仕様を記述する「セキュリティ・ターゲット」(ST: Security Target)とSTのベースとなる文書である「プロテクションプロファイル」(PP: Protection Profile)というふたつの文書を使い、このような仕組みを実現している。

セキュリティ・ターゲットは、情報技術セキュリティに関連する製品やシステムのセキュリティ仕様を明確にするためめもので、通常、製品の開発者が作成する。

　

セキュリティ・ターゲットの記述内容

　

製品やシステムのSTは評価機関による評価ののち、ユーザに公開される。ユーザはSTを参照して、その製品やシステムが前提とする利用条件や脅威、脅威に対抗したセキュリティ機能、およびその機能がどこまで保証されているのかを知ることができる。つまり、ユーザにとって、STは製品やシステムの選定の重要な情報源となる。

一方、製品やシステムの種別ごとに、考慮すべき脅威やその対策、対策を実現するためのセキュリティ機能要件や保証要件などの事項を記述した文書がPPである。PPにもSTと同様な項目が記述されているが、STと異なり、具体的な製品やシステムのセキュリティ基本仕様は含まれていない。STを作成する際に、PPを参照あるいはそれに準拠することもできる。PPは業界団体、ベンダあるいはユーザなど誰でも作成することができる。

前ページ　　　目次へ　　　次ページ