Common Criteria のセキュリティ機能要件は、評価対象 (TOE) の期待されるセキュリティ動作を記述することを目的としています。これらの要件は詳細に記述されており、TOE が実装すると主張するセキュリティ機能を評価するために使用されます。
* A. 意図された運用環境における TOE の保証レベルは、セキュリティ機能要件の目的ではなく、評価保証レベル (EAL) の目的です。
* B. テスト文書に記載されているセキュリティ目標を満たすための選択は、セキュリティ機能要件の目的ではなく、セキュリティターゲット（ST）の目的です。
* D. 役割と責任の定義は、セキュリティ機能要件の目的ではなく、セキュリティ ポリシー モデル (SPM) の目的です。
参考資料: CISSP オールインワン試験ガイド、第 8 版、第 4 章、211 ページ、公式 (ISC)2 CISSP CBK リファレンス、第 5 版、第 4 章、178 ページ

説明/参照:
Explanation:
印刷された情報や電子情報を、権限のない個人が読んだり、コピーしたり、変更したり、盗んだりできないようにするプロセスは、物理的な制御ではなく、技術的な制御です。
制御は組織が直面するリスクを軽減するために導入され、主に次の 3 つの種類があります。
管理的、技術的、および物理的です。管理的制御は、管理指向が強いため、一般に「ソフト制御」と呼ばれます。管理的制御の例には、セキュリティ ドキュメント、リスク管理、人員セキュリティ、トレーニングなどがあります。技術的制御 (論理的制御とも呼ばれる) は、ファイアウォール、IDS、暗号化、識別および認証メカニズムなどのソフトウェアまたはハードウェア コンポーネントです。物理的制御は、施設、人員、およびリソースを保護するために導入されるアイテムです。物理的制御の例には、警備員、ロック、フェンス、照明などがあります。
誤った回答:
A: ロックやアクセス制御システムは、物理的制御の例です。アクセス制御システムの入場コードについて質問すると、物理的保護と環境的保護を評価するのに役立ちます。したがって、この回答は不正解です。
B: 消火・防火装置は物理的制御の例です。これらが設置され、機能しているかどうかを尋ねることは、物理的および環境的保護を評価するのに役立ちます。したがって、この回答は不正解です。
D: データ伝送ラインへの物理的なアクセスは、物理的制御の一例です。この物理的アクセスが制御されているかどうかを尋ねることは、物理的保護と環境保護を評価するのに役立ちます。したがって、この回答は不正解です。
参考文献:
ハリス、ショーン、オールインワン CISSP 試験ガイド、第 6 版、McGraw-Hill、2013 年、p. 28

セクション: ソフトウェア開発セキュリティ

従業員のトレーニング、リスク管理、データ処理の手順とポリシーはすべて、管理セキュリティ対策の一部です。予防対策は、技術的対策と密接に連携しています。