セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

Cisco PIX 515/515E/525/535 セキュリティ アプライアンスおよび Cisco ASA 5510/5520/5540 適応型セキュリティ アプライアンス用 セキュリティ ターゲット Version 1.0

Cisco PIX 515/515E/525/535 セキュリティ アプライアンスおよび Cisco ASA 5510/5520/5540 適応型セキュリティ アプライアンス用セキュリティ ターゲット Version 1.0
発行日;2012/01/20 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco PIX 515/515E/525/535

目次

セキュリティ ターゲット概説

セキュリティ ターゲット識別情報

セキュリティ ターゲットの概要

CC 準拠

関連資料

表記法

TOE 記述

概要

物理的境界

論理的範囲と論理的境界

シングルコンテキストまたはマルチコンテキスト

ルーテッド モードと透過モード

管理

監査

範囲外

PP 準拠

保証要件

TOE セキュリティ環境

前提条件

TOE のセキュリティに対する脅威

環境のセキュリティに対する脅威

組織的なセキュリティ ポリシー

セキュリティ対策方針

TOE に対するセキュリティ対策方針

環境に対するセキュリティ対策方針

IT セキュリティ要件

TOE セキュリティ機能要件

セキュリティ監査

暗号操作

利用者データ保護

識別と認証

セキュリティ管理

TSF の保護

TOE 環境セキュリティ機能要件

TOE セキュリティ保証要件

構成管理

配付と運用

開発

ガイダンス文書

ライフ サイクル サポート

テスト

脆弱性評定

TOE 要約仕様

TOE セキュリティ機能

セキュリティ管理機能

監査機能

情報フロー制御機能

識別と認証機能

保護機能

クロック機能

保証手段

プロテクション プロファイルの主張

環境の根拠

対策方針の根拠

セキュリティ機能要件の根拠

セキュリティ保証要件の根拠

根拠

セキュリティ対策方針の根拠

環境に対するセキュリティ対策方針の根拠

TOE セキュリティ機能要件(SFR)の根拠

TOE 環境セキュリティ機能の根拠

セキュリティ保証要件(SAR)の根拠

すべての依存性が満たされるとは限らない根拠

TOE 要約仕様の根拠

相互支援的な IT セキュリティ機能

用語集

技術情報の入手、サポートの利用、およびセキュリティ ガイドライン

Cisco PIX 515/515E/525/535
セキュリティ アプライアンスおよび
Cisco ASA 5510/5520/5540
適応型セキュリティ アプライアンス用
セキュリティ ターゲット Version 1.0

March 2007

セキュリティ ターゲット概説

ここでは、次の項目について説明します。

「セキュリティ ターゲット識別情報」

「セキュリティ ターゲットの概要」

「CC 準拠」

「関連資料」

「表記法」

セキュリティ ターゲット識別情報

TOE 識別情報 :Cisco PIX 515/515E/525/535 セキュリティ アプライアンスおよび Cisco ASA 5510/5520/5540 適応型セキュリティ アプライアンス Version 7.0

ST 識別情報 :Cisco PIX 515/515E/525/535 セキュリティ アプライアンスおよびCisco ASA 5510/5520/5540 適応型セキュリティ アプライアンス用セキュリティ ターゲット Version 1.0 March 2007

保証レベル :Common Criteria(CC; 共通基準)コンポーネント ALC_FLR.1 により増補された Evaluation Assurance Level(EAL; 評価保証レベル) 4

ST 作成者 :Cisco Systems, 170 West Tasman Drive, San Jose CA 95124-1706

キーワード :ファイアウォール、パケット フィルタリング、アプリケーションレベル

CC 識別情報 :情報技術機密保護評価の共通基準 バージョン 2.2(2004 年 1 月) さらに該当する CCIMB および 2004 年 3 月 25 日までの米国内における解釈。解釈または先例の適用により特定の変更が発生した箇所については、セキュリティ ターゲット内に記載。

セキュリティ ターゲットの概要

Cisco PIX セキュリティ アプライアンスおよび Cisco ASA 適応型セキュリティ アプライアンスは、ステートフル パケット フィルタリング ファイアウォールです。ステートフル パケット フィルタリング ファイアウォールは、コネクション型またはコネクションレス型の IP パケットのヘッダーにある情報をファイアウォールの許可管理者によって指定された一連の規則と照合することにより、IP トラフィック フローを制御します。このヘッダー情報には、送信元および宛先のホスト(IP)アドレス、送信元および宛先のポート番号、IP パケットのデータ フィールドに保持されている Transport Service Application Protocol(TSAP; 転送サービス アプリケーション プロトコル)があります。規則および照合結果に従い、ファイアウォールはパケットを通過させるかドロップします。ステートフル ファイアウォールは、接続上を流れる先行パケットから収集された情報から接続状態を記憶しています。セキュリティ ポリシーに違反する場合、パケットは拒否されます。

Cisco PIX および ASA アプライアンスは、IP ヘッダー情報に加え、特定のファイアウォール ネットワーク インターフェイスでのパケットの方向(着信または発信)などの情報に基づいて情報フローを仲介します。コネクション型転送サービスでは、ファイアウォールは接続およびその接続の後続パケットを許可するか、接続およびその接続に関連する後続パケットを拒否します。

CC 準拠

TOE は、パート 2 およびパート 3 に準拠しており、CC コンポーネント ALC_FLR.1 により増補された EAL 4 の要件を満たしています。

関連資料

[FWPP]『U.S. Department of Defense Application-level Firewall Protection Profile for Medium Robustness Environments Version 1.0(June 28, 2000)』

[FIPS140]『Security Engineering Requirements for Cryptographic Modules』 FIPS 140-1、National Institute of Standards and Technology(国立標準技術研究所) 11 January 1994 および 『Security Engineering Requirements for Cryptographic Modules』 FIPS 140-2、National Institute of Standards and Technology(国立標準技術研究所) 25 May 2001、Change Notices(12-03-2002)あり

表記法

この文書では、次の表記法が適用されています。

この ST 内のすべての要件は、[FWPP] で定義されている要件に関連して再作成されています。

セキュリティ機能要件:CC のパート 2 では、機能要件に適用される承認された一連の操作である割付、選択、詳細化、および反復を定義します。

詳細化 操作は、要件に詳細を追加するために使用されます。したがって、要件はさらに制限されます。セキュリティ要件の詳細化は、太字で示されます。例については、このセキュリティ ターゲットの FMT_SMR.1 を参照してください。

選択 操作は、要件の記述において、CC によって提供されているオプションを 1 つ以上選択するために使用されます。選択は、 イタリック体 で示されます。例については、このセキュリティ ターゲットの FDP_RIP.1 を参照してください。

割付 操作は、パスワードの長さなどの未指定のパラメータに特定の値を割り当てるために使用されます。割付は、[assignment_value] のように、値を角カッコで囲んで表記されます。例については、このセキュリティ ターゲットの FIA_AFL.1 を参照してください。

反復 操作は、コンポーネントがさまざまな操作で繰り返される場合に使用されます。反復は、コンポーネント識別情報のあとに、(iteration_number) のように、カッコで囲んだ反復番号を表示して示されます。例については、このセキュリティ ターゲットの FMT_MSA を参照してください。

下線 は、ST で完了した操作を示すために使用され、[FWPP] で完了した操作と区別する目的があります。

ST のその他の項では、太字およびイタリック体は、キャプションなど、特定の関心事を示すテキストの強調表示に使用されます。

TOE 記述

ここでは、次の項目について説明します。

「概要」

「物理的境界」

「論理的範囲と論理的境界」

「PP 準拠」

「保証要件」

概要

この項では、潜在的なユーザがニーズを満たすかどうかを判断する際の支援として、Cisco PIX セキュリティ アプライアンス(PIX)および適応型セキュリティ アプライアンス(ASA)バージョン 7.0 の概要を示します。セキュリティ アプライアンスは、ネットワーク インターフェイス間の Internet Protocol(IP; インターネット プロトコル)トラフィック(データグラム)のフローを制御します。セキュリティ アプライアンスは、さまざまなプラットフォームで提供されます。この評価の範囲に含まれる PIX プラットフォームは、515、515E、525、および 535 です。この評価の範囲に含まれる ASA プラットフォームは、ASA-5510、ASA-5520、および ASA-5540 です。これ以降は、これらのプラットフォームを Target of Evaluation(TOE; 評価対象)と呼びます。

PIX および ASA(TOE)は、すべてのモデルで Intel プロセッサを使用する専用ハードウェア デバイスです。

PIX は Cisco Secure PIX セキュリティ アプライアンス ソフトウェア イメージ バージョン 7.0 を実行し、ASA は Cisco 適応型セキュリティ アプライアンス ソフトウェア イメージ バージョン 7.0 を実行します。これらのソフトウェア イメージは同一です。

TOE は、単一の防御点を提供します。また、アプライアンスを通過する情報のフローを許可または拒否することにより、サービスに対するネットワーク間のアクセスを制御および監査します。

図1 TOE の物理的境界および図解によるネットワーク接続

 

物理的境界

TOE の物理的構成には、ネットワーク インターフェイス間の IP トラフィックのフローを制御する 1 つの PIX または 1 つの ASA、および監査ストレージおよび分析に使用される監査サーバが含まれます。TOE の物理的境界には、これらのコンポーネントが含まれます(図1 を参照)。TOE の物理的範囲には、 表1 に示すハードウェア要素およびソフトウェア要素が含まれます。

 

表1 TOE コンポーネント識別情報

コンポーネント
説明

ハードウェア

次のいずれかの PIX 515 または 515E

単一の 433 MHz Intel Celeron プロセッサ(515E)

PI-MMX 200MHz プロセッサ(515)

ネットワーク インターフェイスは最大 6 個

PIX-VAC-PLUS Cryptographic アクセラレータ カード

600 MHz Intel Pentium III プロセッサで構成された、最大 10 個のネットワーク インターフェイスを持つ PIX 525

PIX-VAC-PLUS Cryptographic アクセラレータ カード

1000 MHz Intel Pentium III プロセッサで構成された、最大 14 個のネットワーク インターフェイスを持つ PIX 535

PIX-VAC-PLUS Cryptographic アクセラレータ カード

ASA-5510、ASA-5520、および ASA-5540

それぞれ 2 GHz Intel Celeron プロセッサで構成され、ネットワーク インターフェイスは最大 9 個

PC 監査サーバ プラットフォーム

ソフトウェア

Cisco Secure PIX Firewall バージョン 7.0

Windows 2000 Professional Service Pack 3(ホットフィックス Q326886 を含む)または Windows XP Professional、Service Pack 2(監査サーバ用)付きの Service Pack 2(ホットフィックス 896423、899587、899588、896422、890859、873333、885250、888302、885835、および 907865 を含む)

PIX Firewall Syslog Server(PFSS) 5.1(3)

すべてのアプライアンスは追加モジュールで構成可能です。内蔵ネットワーク インターフェイスに加えて、3 つのタイプのネットワーク モジュールがサポートされます。この評価でサポートされるネットワーク モジュールは次のとおりです。

PIX

1 ポート 10/100 モジュール(Part Number PIX-1FE)

4 ポート 10/100 モジュール(Part Number PIX-4FE)

1 ポート Gigabit Ethernet Module(Part Number PIX-1GE-66。PIX 525 および 535 に限り使用可能)

ASA

4 ポート Gigabit Ethernet Security Services Module(Part Number ASA-SSM-4GE=)

すべてのモジュールは、AC 電源または DC 電源のいずれでも使用可能です。電源装置はセキュリティ実行機能を提供しないため、電力が AC 電源から供給されるモジュールと DC 電源から供給されるモジュールは同じように扱われます。

監査サーバへの接続以外、TOE の物理的境界は TOE の外部ケーシング上の物理ポート接続です。このようなポートの 1 つは、管理コンソールへの接続用です。TOE の管理は、直接接続されたコンソール(図1 を参照)または SSH を介してリンクされたネットワーク コンソールから実行されます。ネットワーク コンソールの場所に制約はありません。どちらの場合も、コンソールは物理的に保護されている必要があります。

監査サーバおよび認証サーバ用には、分離したセキュアな管理ネットワークが使用されます(図1 の DMZ1 および DMZ2 を参照)。

TOE によって生成された監査データを保存する目的で、TOE には Windows 2000 サーバまたは Windows XP サーバが含まれます。これらのオペレーティング システムは、認証されたバージョン(表 2.1 を参照)を使用する必要があります。必要に応じて、このサーバをネットワーク コンソールと組み合せることができます。

TOE は、製品に取り付けたインターフェイス カードの数に応じて 2 つ以上のネットワーク間の相互接続を提供します。PIX 515、515E、525、535、ASA-5510、ASA-5520、および ASA-5540 では、ネットワーク カードを組み合せて取り付けることができます。各ネットワーク インターフェイスを内部として識別することも、外部として識別することも可能です。インターフェイスを外部インターフェイスとして識別した場合、インターフェイスが接続するネットワークはファイアウォールの外側にあると分類されます。インターフェイスを内部インターフェイスとして識別した場合、インターフェイスが接続するネットワークは、ファイアウォールの内側(背後)にあると分類されます。ファイアウォールの内側(背後)にあるすべてのネットワークは、TOE によりファイアウォールの外側にあるネットワークから保護されます。TOE は、TOE の異なる内部ネットワーク インターフェイスに接続するネットワーク間を防御します。

TOE の環境には、市販の単一使用 TACACS+ または RADIUS 認証サーバが含まれます。

セキュリティ維持のため、TOE に接続する各ネットワーク間のすべてのトラフィックが TOE を経由して流れる必要があります。

論理的範囲と論理的境界

TOE の範囲には、次のセキュリティ機能が含まれます。

TOE の動作をイネーブル化、ディセーブル化、または変更するためのセキュリティ管理

セキュリティ監査

ファイアウォールのインターフェイス間の情報フロー制御

管理者の識別と認証

残存情報保護と、セキュリティ機能の確実な呼び出しを備えた、セキュアなマルチタスク環境の提供

正確な日付と時刻の情報の提供

ここでは、次の項目について説明します。

「シングルコンテキストまたはマルチコンテキスト」

「ルーテッド モードと透過モード」

「管理」

「監査」

「範囲外」

TOE は、コネクション型またはコネクションレス型の IP パケットのヘッダーにある情報をファイアウォールの許可管理者によって指定された一連の規則と照合することにより、ネットワーク インターフェイス間の IP トラフィック(データグラム)のフローを制御します。このヘッダー情報には、送信元および宛先のホスト(IP)アドレス、送信元および宛先のポート番号、IP パケットのデータ フィールドに保持されている Transport Service Application Protocol(TSAP; 転送サービス アプリケーション プロトコル)があります。規則および照合結果に従い、ファイアウォールはパケットを通過させるかドロップします。TOE は、IP ヘッダー情報に加え、特定のファイアウォール ネットワーク インターフェイスでのパケットの方向(着信または発信)などの情報に基づいて情報フローを仲介します。コネクション型転送サービスでは、ファイアウォールは接続およびその接続の後続パケットを許可するか、接続およびその接続に関連する後続パケットを拒否します。

評価の範囲に含まれる TOE を通過する(または TOE に向かう)トラフィックのタイプには、次のものが含まれますが(Ethernet、ARP、CTIQBE、DNS、Echo、Finger、H.323、IP、ICMP、TCP、UDP、FTP、GTP、HTTP、ILS、MGCP、POP3、RSH、RTSP、Skinny、SIP、ESMTP、SunRPC、Telnet、TFTP、XDMCP)、これらに限定されません。次のプロトコルおよびアプリケーションに対しては、TOE 内でアプリケーション検査も提供されます(CTIQBE、H.323、ICMP、FTP、GTP、HTTP、ILS、MGCP、RSH、RTSP、Skinny、SIP、ESMTP、SunRPC、TFTP、および XDMCP)。

TOE は NAT に対応します。NAT は、IP アドレスを内部インターフェイスから外部インターフェイスにマッピングするために使用されます。この機能を使用して、内部インターフェイスの IP アドレスは、外部からアドレス指定可能な一連のグローバル IP アドレスにマッピングされます。この機能は逆方向でも使用され、アドレスが外部インターフェイスから内部インターフェイスにマッピングされます。この方法でポート番号もマッピングできます。この機能は一般に PAT と呼ばれます。

論理ネットワーク インターフェイスは、物理インターフェイスに 1 対 1 でマッピングできます(内部、外部、および DMZ)。TOE は、単一物理インターフェイス上の複数の論理ネットワークもサポートします。

シングルコンテキストまたはマルチコンテキスト

セキュリティ コンテキストは、論理仮想ファイアウォールをハードウェアの制約にモデル化するために存在するプロセスの集合です。各セキュリティ コンテキスト(仮想デバイス)は、独自のセキュリティ ポリシー、インターフェイス、管理者、および構成ファイルを持つ別個の独立したデバイスとして扱われます。

ファイアウォールが単一のルーテッド モードで動作しているときは、セキュリティ コンテキストのインスタンスが 1 つ存在し実行されます。ファイアウォールがマルチコンテキストモードに設定されているときは、複数のセキュリティ コンテキストが同時に実行されます。マルチコンテキスト モードの各コンテキストは、単一のルーテッド モードで使用されるものと同じプロセスで構成されています。それらのプロセスの複数のインスタンスだけが実行されます。単一のルーテッド モードまたはマルチコンテキスト モードで、コンテキストの単一のインスタンス用に実行されている各プロセスに差異はありません。マルチコンテキストは、複数のスタンドアロン デバイスを使用することに似ています。

ルーテッド モードと透過モード

セキュリティ アプライアンスは、次の 2 つのファイアウォール モードで実行可能です。

ルーテッド モード

透過モード

ルーテッド モードでは、セキュリティ アプライアンスはネットワーク内のルータ ホップと見なされます。接続されたネットワーク間で NAT を実行し、(シングルコンテキスト モードで)OSPF またはパッシブ RIP を使用することができます。ルーテッド モードは多数のインターフェイスをサポートしています。インターフェイスはそれぞれ異なるサブネット上に置かれます。コンテキスト間でインターフェイスを共有することもできます。

透過モードでは、セキュリティ アプライアンスは「bump-in-the-wire(BITW)」または「ステルス ファイアウォール」のように動作し、ルータ ホップではありません。セキュリティ アプライアンスでは、内部インターフェイスと外部インターフェイスに同じネットワークが接続されます。ダイナミック ルーティング プロトコルや NAT は使用されません。ただし、ルーテッド モードと同様に、透過モードでも、セキュリティ アプライアンスを通過するトラフィックを許可するにはアクセス リストが必要です。例外は ARP パケットで、このパケットは自動的に許可されます。透過モードでは、ルーテッド モードでブロックされる特定のタイプのトラフィックをアクセスリストで許可できます。これには、サポートされていないルーティング プロトコルが含まれます。透過モードでは、EtherType アクセスリストをオプションで使用して、非 IP トラフィックを許可することもできます。透過モードでサポートされるのは、内部インターフェイスおよび外部インターフェイスの 2 つだけです。これらの他に、ご使用のプラットフォームで使用可能な場合は、専用の管理インターフェイスがサポートされます。

管理

TOE は、許可管理者により物理的にセキュアなローカル接続を介して管理されます。TOE のファイアウォール部分は、FIPS 140-2 で承認された暗号化リンクの使用により、接続されているネットワークからリモートで管理することもできます。TOE(ファイアウォールと監査サーバの両方)は、許可管理者のユーザ ID とパスワードによる認証をサポートします。また、環境からサポートされていれば、サードパーティの単一使用認証サーバの使用もサポートします。

監査

PIX および ASA は、TOE によって生成された監査データを保存および分析する目的で、PIX Firewall Syslog サーバ(PFSS)を実行する Windows 2000 サーバまたは Windows XP サーバとも対話します。PFSS(ファイアウォール ログ用)と Windows Event Viewer(監査サーバ ログ用)は、TOE の一部として含まれているツールです。その他のツールの使用は、この評価では取り扱いません。Windows アクセス コントロールは、これらのツールの使用によって監査ログの完全性が損なわれていないことを確認します。PIX および ASA は、監査データのエクスポートにより、監査分析を実行する機能をサポートします。監査サーバは、別の信頼できるネットワークにあり、信頼できる管理者によってのみアクセス可能です。

範囲外

定義された TOE Security Functions(TSF; TOE セキュリティ機能)の範囲外にあり、そのため評価されていない機能は次のとおりです。

RIP

SNMP

ASDM

DHCP サーバ

バーチャル プライベート ネットワーク

これらの例外を除いて、TOE を通過する(または TOE に向かう)すべてのタイプのネットワーク トラフィックは評価の範囲内です。

単一使用認証を提供するために使用される外部 AAA サーバは、TOE の範囲外です。ただし、このサーバの TOE によって行われる使用は範囲内です。

この ST の TOE 定義は、CCEVS に基づく先例 PD-0113 を使用しています。

PP 準拠

TOE 機能は、『U.S. Department of Defense Application-level Firewall Protection Profile for Medium Robustness Environments Version 1.0(June 28, 2000)』[FWPP] と一貫性を持つように指定されています。

この ST には、[FWPP](PD-0115 および PD-0026 に基づく修正を含む)に記載されているすべてのセキュリティ機能要件が含まれています。

保証要件

TOE は、ALC_FLR.1 により増補された EAL4 保証要件を満たすように設計されています。

TOE セキュリティ環境

ここでは、次の項目について説明します。

「前提条件」

「TOE のセキュリティに対する脅威」

「環境のセキュリティに対する脅威」

「組織的なセキュリティ ポリシー」

前提条件

表2 に TOE セキュリティ環境の前提条件を示します。これらは、[FWPP] の前提条件と同じです。

 

表2 前提条件

番号
前提条件の名前
説明

1

A.PHYSEC

TOE は物理的にセキュアである。

2

A.PROTECTPF

PFSS は、PFSS のネットワーク インターフェイスが TFS によってのみアクセス可能になるようにファイアウォールに接続される。これは、PFSS をファイアウォールに直接接続するか、信頼できるネットワークを介して間接的に接続することで達成される。PFSS ネットワーク インターフェイスのこの保護は、PD-0113 で義務付けられている。

3

A.MODEXP

利用可能な脆弱性を検出しようとする悪意のある攻撃の脅威は中レベルと考えられる。

4

A.GENPUR

TOE 上に汎用コンピューティング機能(たとえば、任意のコードやアプリケーションを実行する機能)およびストレージ リポジトリ機能がない。

5

A.PUBLIC

TOE はパブリック データをホストしない。

6

A.NOEVIL

許可管理者は悪意を持っておらず、すべての管理者ガイダンスに従う。ただし、ミスを犯す可能性はある。

7

A.SINGEN

情報は TOE を通過しない限り、内部ネットワークおよび外部ネットワークを流れることができない。

8

A.DIRECT

TOE を保護している物理的にセキュアな境界の中にいる人間の利用者は、何らかの直接接続(たとえば、コンソール ポート)で、TOE へのアクセスを試みる可能性がある(その接続が TOE の一部である場合)。

9

A.NOREMO

許可管理者ではない人間の利用者は、内部ネットワークまたは外部ネットワークから TOE にリモートでアクセスすることはできない。

10

A.REMACC

許可管理者は、内部ネットワークおよび外部ネットワークから TOE にリモートでアクセスできる。

TOE のセキュリティに対する脅威

表3 では、TOE に対するセキュリティ脅威を定義しています。攻撃対象となる資産は、TOE 規則セットによって表されるセキュリティ ポリシーに従って TOE を通過する情報です。一般的に、脅威エージェントには次のものが含まれますが、これらに限定されません。1)「低い」専門知識、リソース、および動機を持つと予想される、TOE にアクセスできる人々または、2)TOE の障害。

 

表3 TOE に対する脅威

番号
脅威の名前
脅威の説明

1

T.NOAUTH

不正な人物が、TOE によって提供されているセキュリティ機能または非セキュリティ機能あるいはその両方にアクセスして使用するために、TOE のセキュリティをバイパスしようとする可能性がある。

2

T.REPEAT

不正な人物が、認証情報を使用して TOE への攻撃を開始するために、認証データを繰り返し推量しようとする可能性がある。

3

T.REPLAY

不正な人物が、TOE によって提供されている機能にアクセスするために入手した有効な ID と認証情報を使用する可能性がある。

4

T.ASPOOF

外部ネットワーク上の不正な人物が(たとえば、送信元アドレスをスプーフィングして)認証データを偽り、正規の利用者または内部ネットワーク上のエンティティを装って情報フロー制御ポリシーをバイパスしようとする可能性がある。

5

T.MEDIAT

不正な人物が、内部ネットワーク上のリソースの不正利用につながる容認できない情報を TOE を介して送信する可能性がある。

6

T.OLDINF

TOE 機能の不具合が原因となり、不正な人物が TOE からの情報フローのパディングをモニタリングすることにより、以前の情報フローまたは内部 TOE データから残存情報を収集する可能性がある。

7

T.PROCOM

不正な人物または不正な外部 IT エンティティが、リモートに位置する許可管理者と TOE の間を送信される情報に関連するセキュリティを表示、変更、削除できる可能性がある。

8

T.AUDACC

監査レコードが確認されないために個人が実行したアクションの責任を問われず、そのため攻撃者が検出を免れる可能性がある。

9

T.SELPRO

不正な人物が、セキュリティ上きわめて重要な TOE 設定データの読み取り、変更、または破壊を行う可能性がある。

10

T.AUDFUL

不正な人物が、監査ストレージの容量を使い果たすアクションを実行することにより、監査レコードを喪失させたり、以後のレコードが記録されないようにしたり、攻撃者のアクションを隠す可能性がある。

11

T.MODEXP

攻撃力の低い攻撃者が、TOE または TOE が保護する資産にアクセスするために、TSF をバイパスしようとする可能性がある。

環境のセキュリティに対する脅威

この項では、IT 環境に対する脅威を定義します。 表4 に、その定義を示します。攻撃対象となる資産は、TOE を通過する情報です。一般的に、脅威エージェントには次のものが含まれますが、これらに限定されません。1)「平均的な」専門知識、わずかなリソース、および中程度の動機を持つと予想される、TOE にアクセスできる人々または、 2)TOE の障害。

 

表4 IT 環境のセキュリティに対する脅威

番号
脅威の名前
脅威の説明

1

T.TUSAGE

TOE は、許可人物または不正な人物によってセキュアではない方法で誤って設定、使用、管理される可能性がある。

組織的なセキュリティ ポリシー

表5 に組織的なセキュリティ ポリシーを示します。

 

表5 組織的なセキュリティ ポリシー

番号
ポリシーの名前
ポリシーの説明

1

P.CRYPTO

Triple DES 暗号化(FIPS 46-3 [3] で仕様定義)または AES 暗号化(FIPS 197 で仕様定義)を使用して、リモート管理機能を保護する必要がある。また、関連する暗号モジュールは、最低でも FIPS 140-1(レベル 1)または FIPS 140-2(レベル 1)に準拠する必要がある。

セキュリティ対策方針

ここでは、次の項目について説明します。

「TOE に対するセキュリティ対策方針」

「環境に対するセキュリティ対策方針」

TOE に対するセキュリティ対策方針

表6 に TOE に対するセキュリティ対策方針を示します。

 

表6 TOE に対するセキュリティ対策方針

番号
対策方針の名前
対策方針の説明

1

O.IDAUTH

TOE は、TOE 機能へのユーザ アクセスを許可する前に、すべての利用者の主張した識別情報を一意に識別し、認証しなければならない。

2

O.SINUSE

TOE は、接続されたネットワークから TOE で認証を受けようとする利用者の認証データの再使用を防止しなければならない。

3

O.MEDIAT

TOE は、TOE によって制御される内部ネットワークおよび外部ネットワークにあるクライアントとサーバ間のすべての情報フローを仲介して、不適合のプロトコルの通過を拒否し、以前の情報フローの残存情報が決して送信されないようにしなければならない。

4

O.SECSTA

TOE の最初の起動時または TOE サービスへの割り込みからの回復時、TOE は TOE 自体のリソースまたは接続されたネットワークのリソースを危険にさらしてはならない。

5

O.ENCRYP

TOE は、接続されたネットワークからリモートで管理が行われることを許可している場合は、暗号化を使用して、許可管理者との対話の機密性を保護しなければならない。

6

O.SELPRO

TOE は、不正な利用者が TOE セキュリティ機能をバイパス、非アクティブ化、または改ざんしようとする試みから TOE 自身を保護しなければならない。

7

O.AUDREC

TOE は、セキュリティ関連のイベントの正確な日付と時刻が記された解読可能な監査証跡を記録する手段、および関連性のある属性に基づいて監査証跡を検索およびソートする手段を提供しなければならない。

8

O.ACCOUN

TOE は、TOE を通過する情報フローおよび許可管理者による監査関連のセキュリティ機能の使用に対するユーザ アカウンタビリティを提供しなければならない。

9

O.SECFUN

TOE は、TOE セキュリティ機能の使用を許可管理者に対して可能にする機能を提供し、そのような機能に許可管理者だけがアクセスできることを確実にしなければならない。

10

O.LIMEXT

TOE は、不正な外部 IT エンティティによる TOE セキュリティ機能へのアクセスを許可管理者が制御および制限するための手段を提供しなければならない。

11

O.EAL

TOE は、構造的にテストされ、明白な脆弱性に対する抵抗力があることを示されなければならない。

環境に対するセキュリティ対策方針

表7 に IT 環境に対するセキュリティ対策方針を示します。

 

表7 IT 環境に対するセキュリティ対策方針

番号
対策方針の名前
対策方針の説明

1

OE.IDAUTH

リモートの利用者が主張した識別情報は、TOE 機能(または、特定の指定されたサービスの場合、接続されたネットワーク)へのユーザ アクセスを許可する前に、一意に識別され認証されなければならない。

注:対策方針 IDAUTH は、TOE および TOE 環境の両方に存在する。これは、単一使用認証がリモートの利用者に適用される認証クレデンシャルを生成するために環境内の認証サーバが使用されることを反映している。

2

OE.SINUSE

接続されたネットワークから TOE で認証を受けようとする利用者に対し、認証データの再使用が防止されなければならない。

3

OE.PHYSEC

TOE およびその稼働環境は物理的にセキュアであり、PFSS のネットワーク インターフェイスは TFS に限りアクセス可能である。

4

OE.MODEXP

利用できる脆弱性を検出することを目的とする悪意のある攻撃の脅威が中程度と考えられる。

5

OE.GENPUR

TOE 上に汎用コンピューティング機能(たとえば、任意のコードやアプリケーションを実行する機能)およびストレージ リポジトリ機能がない。

6

OE.PUBLIC

TOE および認証サーバは、パブリック データをホストしない。

7

OE.NOEVIL

許可管理者は悪意を持っておらず、すべての管理者ガイダンスに従う。ただし、ミスを犯す可能性はある。

8

OE.SINGEN

情報は TOE を通過しない限り、内部ネットワークおよび外部ネットワークを流れることができない。

9

OE.DIRECT

TOE を保護している物理的にセキュアな境界の中にいる人間の利用者は、何らかの直接接続(たとえば、コンソール ポート)で、TOE へのアクセスを試みる可能性がある(その接続が TOE の一部である場合)。

10

OE.NOREMO

許可管理者ではない人間の利用者は、内部ネットワークまたは外部ネットワークから TOE にリモートでアクセスすることはできない。

11

OE.REMACC

許可管理者は、内部ネットワークおよび外部ネットワークから TOE にリモートでアクセスできる。

12

OE.GUIDAN

TOE は、セキュリティが維持される方法で提供、設置、管理、および運用される必要がある。

13

OE.ADMTRA

許可管理者は、セキュリティのポリシーおよび慣行の確立と維持に関するトレーニングを受けている。

IT セキュリティ要件

ここでは、次の項目について説明します。

「TOE セキュリティ機能要件」

「TOE 環境セキュリティ機能要件」

「TOE セキュリティ保証要件」

TOE セキュリティ機能要件

すべてのセキュリティ機能要件は、CC パート 2 に基づいています。これらの要件は、詳細化を示すために、ST の 表8 で繰り返されています。詳細化に使用される表記法については、「表記法」を参照してください。

ここでは、次の項目について説明します。

「セキュリティ監査」

「暗号操作」

「利用者データ保護」

「識別と認証」

「セキュリティ管理」

「TSF の保護」

 

表8 TOE セキュリティ機能要件

TOE セキュリティ機能要件クラス
セキュリティ機能要件コンポーネント

セキュリティ監査 (FAU)

監査データ生成(FAU_GEN.1)

監査レビュー(FAU_SAR.1)

選択可能監査レビュー(FAU_SAR.3)

保護された監査事象格納(FAU_STG.1)

監査データ損失の防止(FAU_STG.4)

暗号操作(FCS)

暗号操作(FCS_COP.1)

利用者データ保護 (FDP)

サブセット情報フロー制御 1(FDP_IFC.1)

サブセット情報フロー制御 2(FDP_IFC.1)

単純セキュリティ属性 1(FDP_IFF.1)

単純セキュリティ属性 2(FDP_IFF.1)

サブセット残存情報保護(FDP_RIP.1)

識別と認証 (FIA)

認証失敗時の取り扱い(FIA_AFL.1)

利用者属性定義(FIA_ATD.1)

複数の認証メカニズム(FIA_UAU.5)

アクション前の利用者識別(FIA_UID.2)

セキュリティ管理 (FMT)

セキュリティ機能のふるまいの管理 1(FMT_MOF.1)

セキュリティ機能のふるまいの管理 2(FMT_MOF.1)

セキュリティ属性の管理 1(FMT_MSA.1)

セキュリティ属性の管理 2(FMT_MSA.1)

セキュリティ属性の管理 3(FMT_MSA.1)

セキュリティ属性の管理 4(FMT_MSA.1)

静的属性初期化(FMT_MSA.3)

TSF データの管理 1(FMT_MTD.1)

TSF データの管理 2(FMT_MTD.1)

TSF データにおける限界値の管理(FMT_MTD.2)

管理機能の特定(FMT_SMF.1)

セキュリティ役割(FMT_SMR.1)

TSF の保護 (FPT)

TSP の非バイパス性(FPT_RVM.1)

TSF ドメイン分離(FPT_SEP.1)

高信頼タイムスタンプ(FPT_STM.1)

セキュリティ監査

 

FAU_GEN.1 監査データ生成

下位階層

なし。

FAU_GEN.1.1

TSF は、以下の監査対象事象の監査記録を生成できなければならない。

a. 監査機能の起動と終了。

b. 監査の 指定なし レベルのすべての監査対象事象。

c. 表9 に定義した監査対象事象。

FAU_GEN.1.2

TSF は、各監査記録において少なくとも以下の情報を記録しなければならない。

a. 事象の日付および時刻、事象の種別、サブジェクト識別情報、事象の結果(成功または失敗)。

b. 各監査事象種別に対して、ST の機能コンポーネントの監査対象事象の定義に基づいた、 表9 の第 3 カラムで指定する情報。

依存性

FPT_STM.1 高信頼タイムスタンプ

 

表9 監査対象事象

機能コンポーネント
監査対象事象
追加の監査記録内容

FCS_COP.1

成功と失敗および暗号操作の種別。

暗号操作を実行しようとしている外部 IT エンティティの識別情報。

FDP_IFF.1

情報フローの要求に対するすべての決定。

送信元および宛先サブジェクトの推定アドレス。

FIA_AFL.1

不成功の認証試行に対するしきい値の到達、および 許可管理者によるその後の利用者の認証機能の復元

違反利用者および許可管理者の識別情報。

FIA_UAU.5

認証の最終決定。

利用者識別情報および認証の成功または不成功。

FIA_UID.2

利用者識別情報メカニズムのすべての使用。

TOE に提供された利用者識別情報。

FMT_MOF.1

監査に関するこの要件にリストされている機能の使用。

この操作を実行している許可管理者の識別情報。

FMT_SMR.1

許可管理者の役割の一部である利用者のグループに対する改変。

許可管理者としての 不成功の認証試行。

改変を実行する許可管理者の識別情報、および許可管理者の役割に関連付けられている利用者識別情報。

利用者の識別情報と役割。

FPT_STM.1

時間の変更。

この操作を実行している許可管理者の識別情報。

適用上の注釈: 表9 で太字で示したテキストは、CC パート 2 要件への追加です。

 

FAU_SAR.1 監査レビュー

下位階層

なし。

FAU_SAR.1.1

TSF は、[許可管理者]が、[すべての監査事象データ]を監査記録から読み出せるようにしなければならない。

FAU_SAR.1.2

TSF は、利用者に対し、その情報を解釈するのに適した形式で監査記録を提供しなければならない。

依存性

FAU_GEN.1 監査データ生成

 

FAU_SAR.3 選択可能監査レビュー

下位階層

なし。

FAU_SAR.3.1

TSF は、[次に示す基準]に基づいて、監査データを[ 検索 および 並べ替え ]する能力を提供しなければならない。

a. 利用者識別情報

b. 推定サブジェクト アドレス

c. 日付範囲

d. 時刻範囲

e. アドレス範囲

依存性

FAU_SAR.1 監査レビュー

 

FAU_STG.1 保護された監査事象格納

下位階層

なし。

FAU_STG.1.1

FAU_STG.1.2

依存性

TSF は、格納された監査記録を不正な削除から保護しなければならない。

TSF は、監査記録への 改変 を防止できねばならない。

FAU_GEN.1 監査データ生成

 

FAU_STG.4 監査データ損失の防止

下位階層

FAU_STG.3

FAU_STG.4.1

TSF は、監査証跡が満杯になった場合、 特権を持つ 管理者 に関わるもの以外の監査対象事象の抑止および[監査記録損失の数の制限]を行わねばならない。

依存性

FAU_GEN.1 監査データ生成

暗号操作

 

FCS_COP.1 暗号操作

下位階層

なし。

FCS_COP.1.1

TSF は、[FIPS PUB 46-3 の Keying Option 1 および FIPS PUB 140-1(レベル 1)]に合致する、特定された暗号アルゴリズム[FIPS PUB 46-3 で特定され、FIPS PUB 46-3 の Keying Option 1(K1、K2、K3 は独立した鍵)で特定されたすべての操作モードを実装する Triple Data Encryption Standard(DES; データ暗号規格)]と暗号鍵長[FIPS PUB 197 で特定された 2 進数 192 桁の長さおよび Advanced Encryption Standard(AES; 高度暗号規格)、および暗号鍵長[2 進数 128、192、または 256 桁の長さ]に従って、[許可管理者のリモート セッションの暗号化]を実行しなければならない。

依存性

FDP_ITC.1 セキュリティ属性なし利用者データのインポート

または

FCS_CKM.1 暗号鍵生成

FCS_CKM.4 暗号鍵破棄

FMT_MSA.2 セキュアなセキュリティ属性

適用上の注釈

この要件は、接続されたネットワークから許可管理者がリモートでセキュリティ機能を実行する機能が TOE のファイアウォール部分に含まれるために適用されます。

利用者データ保護

 

FDP_IFC.1(1)サブセット情報フロー制御

下位階層

なし。

FDP_IFC.1.1

TSF は、以下に対して[UNAUTHENTICATED SEP]を実施しなければならない。

a. サブジェクト:TOE を介して互いに情報を送受信する非認証の外部 IT エンティティ

b. 情報:あるサブジェクトから他のサブジェクトに TOE を介して送信されたトラフィック

c. 操作:情報の受け渡し

依存性

FDP_IFF.1 単純セキュリティ属性

 

FDP_IFC.1(2)サブセット情報フロー制御

下位階層

なし。

FDP_IFC.1.1

TSF は、以下に対して[AUTHENTICATED SFP]を実施しなければならない。

a. サブジェクト:情報フローを開始する人間の利用者が、FIA_UAU.5 によって TOE で認証された後に限り、TOE を介して FTP 情報および Telnet 情報を互いに送受信する人間の利用者および外部 IT エンティティ。

b. あるサブジェクトから他のサブジェクトに TOE を介して送信された FTP トラフィックおよび Telnet トラフィック

c. 操作:サービスの起動および情報の受け渡し

依存性

FDP_IFF.1 単純セキュリティ属性

 

FDP_IFF.1(1)単純セキュリティ属性

下位階層

なし。

FDP_IFF.1.1

TSF は、以下のサブジェクトおよび情報のセキュリティ属性の種別に基づいて[UNAUTHENTICATED SFP]を実施しなければならない。

a. サブジェクト セキュリティ属性:

推定アドレス

その他のサブジェクト セキュリティ属性: [なし]

b. 情報セキュリティ属性:

送信元サブジェクトの推定アドレス

宛先サブジェクトの推定アドレス

トランスポート レイヤ プロトコル

トラフィックが着信および発信する TOE インターフェイス

サービス

その他の情報セキュリティ属性: [なし]

FDP_IFF.1.2

TSF は、以下の規則が保持されていれば、制御された操作を通じて、制御されたサブジェクトと 他の 制御された サブジェクト 間の情報フローを許可しなければならない。

a. 内部ネットワーク上のサブジェクトは、次の条件が真ならば、他の接続されたネットワークに情報が TOE を介して流れるようにすることができる。

情報フローを開始した人間の利用者が、FIA_UAU.5 に従って認証する。

すべての情報セキュリティ属性値は、情報フロー セキュリティ ポリシー規則によって明白に許可されている。ここでこのような規則は、許可管理者によって作成された、情報フロー セキュリティ属性の値のすべての可能な組み合せから構成される可能性がある。

情報内の送信元サブジェクトの推定アドレスは、内部ネットワーク アドレスに変換される。

情報内の宛先サブジェクトの推定アドレスは、他方の接続されたネットワーク上のアドレスに変換される。

b. 外部ネットワーク上のサブジェクトは、次の条件が真ならば、他の接続されたネットワークに情報が TOE を介して流れるようにすることができる。

すべての情報セキュリティ属性値は、情報フロー セキュリティ ポリシー規則によって明白に許可されている。ここでこのような規則は、許可管理者によって作成された、情報フロー セキュリティ属性の値のすべての可能な組み合せから構成される可能性がある。

情報内の送信元サブジェクトの推定アドレスは、外部ネットワーク アドレスに変換される。

情報内の宛先サブジェクトの推定アドレスは、他方の接続ネットワーク上のアドレスに変換される。

FDP_IFF.1.3

TSF は、[なし]を実施しなければならない。

FDP_IFF.1.4

TSF は、[なし]を提供しなければならない。

FDP_IFF.1.5

TSF は、以下の規則に基づいて、情報フローを明示的にラベル付けしなければならない。[なし]。

FDP_IFF.1.6

TSF は、以下の規則に基づいて、情報フローを明示的に拒否しなければならない。

a. TOE は、情報が外部 TOE インターフェイスに着信し、送信元サブジェクトの推定アドレスが内部ネットワーク上の外部 IT エンティティである場合、アクセス要求またはサービス要求を拒否しなければならない。

b. TOE は、情報が内部 TOE インターフェイスに着信し、送信元サブジェクトの推定アドレスが外部ネットワーク上の外部 IT エンティティである場合、アクセス要求またはサービス要求を拒否しなければならない。

c. TOE は、情報が内部または外部 TOE インターフェイスに着信し、送信元サブジェクトの推定アドレスがブロードキャスト ネットワーク上の外部 IT エンティティである場合、アクセス要求またはサービス要求を拒否しなければならない。

d. TOE は、情報が内部または外部 TOE インターフェイスに着信し、送信元サブジェクトの推定アドレスがループバック ネットワーク上の外部 IT エンティティである場合、アクセス要求またはサービス要求を拒否しなければならない。

e. TOE は、情報が受信サブジェクトに途中で流れるルートをサブジェクトが指定している場合、その要求を拒否しなければならない。また、

f. TOE によってサポートされているアプリケーション プロトコル(たとえば、DNS、HTTP、SMTP、POP3)に対し、TOE は、関連付けられた公開プロトコル仕様(たとえば、RFC)に適合しないアクセス要求またはサービス要求を拒否しなければならない。これは、その目的のために設計されたプロトコル フィルタリング プロキシを通じて達成されなければならない。

適用上の注釈

1. 規則 6 は、アプリケーションレベルのプロキシが DNS、HTTP、SMTP、および POP3 に対して提供されている場合に適用されます。

2. NAT および PAT は、SFR で明示的に言及されていませんでしたが、特別にテストされました。

依存性

FDP_IFC.1 サブセット情報フロー制御

FMT_MSA.3 静的属性初期化

 

FDP_IFF.1(2)単純セキュリティ属性

下位階層

なし。

FDP_IFF.1.1

TSF は、以下のサブジェクトおよび情報のセキュリティ属性の種別に基づいて[AUTHENTICATED SFP]を実施しなければならない。

a. サブジェクト セキュリティ属性:

推定アドレス

その他のサブジェクト セキュリティ属性: [なし]

b. 情報セキュリティ属性:

利用者識別情報

送信元サブジェクトの推定アドレス

宛先サブジェクトの推定アドレス

トランスポート レイヤ プロトコル

トラフィックが着信および発信する TOE インターフェイス

サービス(つまり、FTP および Telnet)

セキュリティ関連のサービス コマンド

その他の情報セキュリティ属性: [なし]

FDP_IFF.1.2

TSF は、以下の規則が保持されていれば、制御された操作を通じて、制御されたサブジェクトと 他の 制御された サブジェクト 間の情報フローを許可しなければならない。

a. 内部ネットワーク上のサブジェクトは、次の場合、他の接続されたネットワークに情報が TOE を介して流れるようにすることができる。

情報フローを開始した人間の利用者が、FIA_UAU.5 に従って認証する。

すべての情報セキュリティ属性値は、情報フロー セキュリティ ポリシー規則によって明白に許可されている。ここでこのような規則は、許可管理者によって作成された、情報フロー セキュリティ属性の値のすべての可能な組み合せから構成される可能性がある。

情報内の送信元サブジェクトの推定アドレスは、内部ネットワーク アドレスに変換される。

情報内の宛先サブジェクトの推定アドレスは、他方の接続されたネットワーク上のアドレスに変換される。

b. 外部ネットワーク上のサブジェクトは、次の場合、他の接続されたネットワークに情報が TOE を介して流れるようにすることができる。

情報フローを開始した人間の利用者が、FIA_UAU.5 に従って認証する。

すべての情報セキュリティ属性値は、情報フロー セキュリティ ポリシー規則によって明白に許可されている。ここでこのような規則は、許可管理者によって作成された、情報フロー セキュリティ属性の値のすべての可能な組み合せから構成される可能性がある。

情報内の送信元サブジェクトの推定アドレスは、外部ネットワーク アドレスに変換される。

情報内の宛先サブジェクトの推定アドレスは、他方の接続ネットワーク上のアドレスに変換される。

FDP_IFF.1.3

TSF は、[なし]を実施しなければならない。

FDP_IFF.1.4

TSF は、[なし]を提供しなければならない。

FDP_IFF.1.5

TSF は、以下の規則に基づいて、情報フローを明示的にラベル付けしなければならない。[なし]。

FDP_IFF.1.6

TSF は、以下の規則に基づいて、情報フローを明示的に拒否しなければならない。

a. TOE は、情報が外部 TOE インターフェイスに着信し、送信元サブジェクトの推定アドレスが内部ネットワーク上の外部 IT エンティティである場合、アクセス要求またはサービス要求を拒否しなければならない。

b. TOE は、情報が内部 TOE インターフェイスに着信し、送信元サブジェクトの推定アドレスが外部ネットワーク上の外部 IT エンティティである場合、アクセス要求またはサービス要求を拒否しなければならない。

c. TOE は、情報が内部または外部 TOE インターフェイスに着信し、送信元サブジェクトの推定アドレスがブロードキャスト ネットワーク上の外部 IT エンティティである場合、アクセス要求またはサービス要求を拒否しなければならない。

d. TOE は、情報が内部または外部 TOE インターフェイスに着信し、送信元サブジェクトの推定アドレスがループバック ネットワーク上の外部 IT エンティティである場合、アクセス要求またはサービス要求を拒否しなければならない。

e. TOE は、情報が受信サブジェクトに途中で流れるルートをサブジェクトが指定している場合、その要求を拒否しなければならない。

f. TOE は、一般に受け入れられている公開プロトコル定義(たとえば、RFC)に適合しない Telnet コマンド要求または FTP コマンド要求を拒否しなければならない。これは、その目的のために設計されたプロトコル フィルタリング プロキシを通じて達成されなければならない。

依存性

FDP_IFC.1 サブセット情報フロー制御

FMT_MSA.3 静的属性初期化

 

FDP_RIP.1 サブセット残存情報保護

下位階層

なし。

FDP_RIP.1.1

TSF は、以下のオブジェクトへの 資源の割り当て において、資源の以前のどの情報の内容も利用できなくすることを保証しなければならない。[すべてのオブジェクト]。

依存性

なし。

識別と認証

 

FIA_AFL.1 認証失敗時の取り扱い

下位階層

なし。

FIA_AFL.1.1

TSF は、[許可された TOE 管理者アクセスまたは許可された TOE IT エンティティ アクセス]に関して、[許可された管理者が設定した ゼロ以外の値 ]回の不成功認証試行が生じたときを検出しなければならない。

FIA_AFL.1.2

不成功の認証試行が定義した回数に達するか上回ったとき、TSF は、[許可管理者が何らかのアクションを行って問題の外部 IT エンティティに対し認証を可能にするまで、違反している外部 IT エンティティの認証成功防止]をしなければならない。

依存性

FIA_UAU.1 認証のタイミング

適用上の注釈

1. TOE は、外部 IT エンティティの認証試行の回数を制限できますが、これは実際には、DoS 攻撃(サービス拒絶攻撃)の機会に相当するため推奨されません。

2. この要件は、ローカル ユーザ データベースと照合する認証に限り適用され、FIA_UAU.5 を通じてリモート AAA サーバに委ねられたローカル認証またはリモート認証には適用されません。このような、委ねられたリモート認証は TOE の範囲内ではないため、これは要件の希薄化に相当しません。

 

FIA_ATD.1 利用者属性定義

下位階層

なし。

FIA_ATD.1.1

TSF は、個々の利用者に属する以下のセキュリティ属性のリストを維持しなければならない。

a. ID

b. 人間の利用者と許可管理者の役割とのアソシエーション

c. パスワード

依存性

なし。

 

FIA_UAU.5 複数の認証メカニズム

US PD-115 に従い、このセキュリティ機能要件の項目 1、2、および 3 は、TOE 環境により部分的に対処されます。

下位階層

なし。

FIA_UAU.5.1

TSF は、利用者認証をサポートするため、[パスワードおよび単一使用認証メカニズム]を提供しなければならない。

FIA_UAU.5.2

TSF は、[次の複数の認証メカニズム規則]に従って、利用者が主張する識別情報を認証しなければならない。

a. 単一使用認証メカニズムは、許可管理者が TOE にリモートでアクセスするために使用されなければならない。それによって、成功認証は、その許可管理者を代行する他の TSF 調停アクションを許可する前に達成されなければならない。

b. 単一使用認証メカニズムは、TOE にアクセスする許可された外部 IT エンティティに使用されなければならない。それによって、成功認証は、その許可された外部 IT エンティティを代行する他の TSF 調停アクションを許可する前に達成されなければならない。

c. 単一使用認証メカニズムは、FTP または Telnet を使用して TOE を介して情報を送信または受信する人間の利用者に使用されなければならない。それによって、成功認証は、その人間の利用者を代行する他の非 TSF 調停アクションを許可する前に達成されなければならない。

d. 固定パスワード メカニズムは、許可管理者が、直接接続された端末を介して TOE にアクセスするために使用されなければならない。それによって、成功認証は、その許可管理者を代行する他の TSF 調停アクションを許可する前に達成されなければならない。

依存性

なし。

適用上の注釈

TOE は、外部の単一使用認証メカニズムの適切な起動および認証決定に基づいた適切なアクションの実行に対して責任を持たなければなりません。業界の慣行に合せて、認証サーバの選択は、この ST によって義務付けられません。

 

FIA_UID.2 アクション前の利用者識別

下位階層

なし。

FIA_UID.2.1

TSF は、その利用者を代行する他の TSF 調停アクションを許可する前に、各利用者に自分自身を識別することを要求しなければならない。

依存性

なし。

セキュリティ管理

 

FMT_MOF.1(1)セキュリティ機能のふるまいの管理

下位階層

なし。

FMT_MOF.1.1(1)

TSF は、機能

a. TOE の操作

b. FIA_UAU.5 で示された単一使用認証機能

のふるまいを動作させる、停止する能力を[許可管理者]に制限しなければならない。

依存性

FMT_SMF.1 管理機能の特定

FMT_SMR.1 セキュリティ役割

 

FMT_MOF.1(2)セキュリティ機能のふるまいの管理

下位階層

なし。

FMT_MOF.1.1(2)

依存性

FMT_SMF.1 管理機能の特定

FMT_SMR.1 セキュリティ役割

適用上の注釈

要素 c)(許可された外部 IT エンティティと TOE の通信)のふるまいの決定と改変は、許可された外部エンティティが接続に使用できるアドレスの範囲を提供するなどの機能を補うことを目的とします。

 

FMT_MSA.1(1)セキュリティ属性の管理

下位階層

なし。

FMT_MSA.1.1(1)

TSF は、セキュリティ属性[FDP_IFF1.1(1)にリストされたもの]に対し[規則からの属性の削除、規則内の属性の改変、および規則への属性の追加]をする能力を[許可された ファイアウォール 管理者]に制限する[UNAUTHENTICATED_SFP]を実施しなければならない。

依存性

FDP_ACC.1 サブセット アクセス制御

または

FDP_IFC.1 サブセット情報フロー制御

FMT_SMF.1 管理機能の特定

FMT_SMR.1 セキュリティ役割

 

FMT_MSA.1(2)セキュリティ属性の管理

下位階層

なし。

FMT_MSA.1.1(2)

TSF は、セキュリティ属性[FDP_IFF1.1(2)にリストされたもの]に対し[規則からの属性の削除、規則内の属性の改変、および規則への属性の追加]をする能力を[許可された ファイアウォール 管理者]に制限する[AUTHENTICATED_SFP]を実施しなければならない。

依存性

FDP_ACC.1 サブセット アクセス制御

または

FDP_IFC.1 サブセット情報フロー制御

FMT_SMF.1 管理機能の特定

FMT_SMR.1 セキュリティ役割

 

FMT_MSA.1(3)セキュリティ属性の管理

下位階層

なし。

FMT_MSA.1.1(3)

TSF は、セキュリティ属性[FDP_IFF.1.1(1)に示された情報フロー規則]に対し削除および[作成]をする能力を[許可された ファイアウォール 管理者]に制限する[UNAUTHENTICATED_SFP]を実施しなければならない。

依存性

FDP_ACC.1 サブセット アクセス制御

または

FDP_IFC.1 サブセット情報フロー制御

FMT_SMF.1 管理機能の特定

FMT_SMR.1 セキュリティ役割

 

FMT_MSA.1(4)セキュリティ属性の管理

下位階層

なし。

FMT_MSA.1.1(4)

TSF は、セキュリティ属性[FDP_IFF.1.1(2)に示された情報フロー規則]に対し削除および[作成]をする能力を[許可された ファイアウォール 管理者]に制限する[AUTHENTICATED_SFP]を実施しなければならない。

依存性

FDP_ACC.1 サブセット アクセス制御

または

FDP_IFC.1 サブセット情報フロー制御

FMT_SMF.1 管理機能の特定

FMT_SMR.1 セキュリティ役割

 

FMT_MSA.3 静的属性初期化

下位階層

なし。

FMT_MSA.3.1

TSF は、その SFP を実施するために使われるセキュリティ属性として、 情報フローの 制限的デフォルト値を与える[UNAUTHENTICATED SFP および AUTHENTICATED SFP]を実施しなければならない。

FMT_MSA.3.2

TSF は、オブジェクトや情報が生成されるとき、[許可された ファイアウォール 管理者]が、デフォルト値を上書きする代替の初期値を特定することを許可しなければならない。

依存性

FMT_MSA.1 セキュリティ属性の管理

FMT_SMR.1 セキュリティ役割

 

FMT_MTD.1(1)TSF データの管理

下位階層

なし。

FMT_MTD.1.1(1)

TSF は、[FIA_ATD.1.1 で定義された利用者属性]を問い合せ、改変、削除、[および割り当て]する能力を[許可管理者]に制限しなければならない。

依存性

FMT_SMF.1 管理機能の特定

FMT_SMR.1 セキュリティ役割

 

FMT_MTD.1(2)TSF データの管理

下位階層

なし。

FMT_MTD.1.1(2)

TSF は、[FPT_STM.1.1 のタイムスタンプの形成に使用される時刻と日付]を[設定]する能力を[許可管理者]に制限しなければならない。

依存性

FMT_SMF.1 管理機能の特定

FMT_SMR.1 セキュリティ役割

 

FMT_MTD.2 TSF データにおける限界値の管理

下位階層

なし。

FMT_MTD.2.1

TSF は、[認証失敗回数]に限界値を指定することを[許可管理者]に制限しなければならない。

FMT_MTD.2.2

TSF は、TSF データが指示された限界値に達するか、それを超えた場合、以下のアクションをとらねばならない。[FIA_AFL.1.2 で指定されたアクション]。

依存性

FMT_MTD.1 TSF データの管理

FMT_SMR.1 セキュリティ役割

 

FMT_SMF.1 管理機能の特定

下位階層

なし。

FMT_SMF.1.1

TSF は、以下のセキュリティ管理機能を実行することができなければならない。

a. TOE の操作をイネーブルまたはディセーブルにする。

b. FIA_UAU.5 で示された単一使用認証機能をイネーブルまたはディセーブルにする。

c. 監査証跡の動作をイネーブルにする、ディセーブルにする、決定する、および改変する。

d. TSF データ、情報フロー規則、および監査証跡データのバックアップと復元の機能の動作をイネーブルにする、ディセーブルにする、決定する、および改変する。

e. 許可された外部 IT エンティティが TOE と通信する動作をイネーブルにする、ディセーブルにする、決定する、および改変する。

f. 項 FDP_IFF1.1(1)でリストされたセキュリティ属性について、規則から属性を削除する、規則内の属性を改変する、および規則に属性を追加する。

g. FDP_IFF.1(1)で示された情報フロー規則を削除する、および作成する。

h. FIA_ATD.1.1 で定義された利用者属性を問い合せる、改変する、削除する、および割り当てる。

i. FPT_STM.1.1 のタイムスタンプの形成に使用される時刻と日付を設定する。

j. 認証失敗回数の制限値を指定する。

依存性

なし。

 

FMT_SMR.1 セキュリティ役割

下位階層

なし。

FMT_SMR.1.1

TSF は、役割[許可された ファイアウォール 管理者 および許可された監査管理者 ]を維持しなければならない。

FMT_SMR.1.2

TSF は、 人間の 利用者を 許可管理者の 役割に関連付けなければならない。

依存性

FIA_UID.1 識別のタイミング

適用上の注釈

この ST で、さらなる制限なしで管理者への言及が行われている箇所では、その言及にファイアウォール管理者と監査管理者の両方が含まれます。これは、セキュリティ機能要件を弱めるものではなく、単に TOE 内の管理者の役割が分割可能であることを示します。ファイアウォール管理者は、PIX/ASA の管理者です。監査管理者は、Windows 監査サーバの管理者です。

TSF の保護

 

FPT_RVM.1 TSP の非バイパス性

下位階層

なし。

FPT_RVM.1.1

TSF は、TSC 内の各機能の動作進行が許可される前に、TSP 実施機能が呼び出され成功することを保証しなければならない。

依存性

なし。

 

FPT_SEP.1 TSF ドメイン分離

下位階層

なし。

FPT_SEP.1.1

TSF は、それ自身の実行のため、信頼できないサブジェクトによる干渉や改ざんからそれを保護するためのセキュリティ ドメインを維持しなければならない。

FMT_SEP.1.2

TSF は、TSC 内でサブジェクトのセキュリティ ドメイン間の分離を実施しなければならない。

依存性

なし。

 

FPT_STM.1 高信頼タイムスタンプ

下位階層

なし。

FPT_STM.1.1

TSF は、それ自身の使用のために、高信頼タイムスタンプを提供できなければならない。

依存性

なし。

適用上の注釈

上記要件の「高信頼」という言葉は、監査対象事象の発生順序が保たれることを意味します。高信頼タイムスタンプには日付と時刻の両方が含まれます。このようなタイムスタンプは、2 つ以上のコンポーネントで構成される TOE にとって特に重要です。

セキュリティ機能要件に必要な最小機能強度は、SOF-中位です。機能強度は、パスワード認証メカニズムのために、認証データが推測され得る可能性が 2 の 40 乗( 40 )分の 1 以下であることが実証されなければなりません。パスワード認証メカニズムは、CC パート 1 で定義されている SOF-中位を実証する必要があります。

TOE 環境セキュリティ機能要件

次の機能要件は、一部は TOE によって満たされ、一部は環境によって満たされます。

 

FIA_ATD.1 利用者属性定義

下位階層

なし。

FIA_ATD.1.1

IT 環境は、個々の利用者および外部 IT エンティティに属する以下のセキュリティ属性のリストを維持しなければならない。

a. ID

b. 人間の利用者と許可された ファイアウォール 管理者の役割とのアソシエーション

c. パスワード

依存性

なし。

 

FIA_UAU.5 複数の認証メカニズム

US PD-115 に従い、このセキュリティ機能要件の項目 1、2、および 3 は、TOE 環境により部分的に対処されます。項目 4 は TOE によって対処されます。

下位階層

なし。

FIA_UAU.5.1

IT 環境は、利用者認証をサポートするため、[パスワードおよび単一使用認証メカニズム]を提供しなければならない。

FIA_UAU.5.2

IT 環境は、[次の複数の認証メカニズム規則]に従って、利用者が主張する識別情報を認証しなければならない。

a. 単一使用認証メカニズムは、許可された ファイアウォール 管理者が TOE にリモートでアクセスするために使用されなければならない。それによって、成功認証は、その許可された ファイアウォール 管理者を代行する他の TSF 調停アクションを許可する前に達成されなければならない。

b. 単一使用認証メカニズムは、TOE にアクセスする許可された外部 IT エンティティに使用されなければならない。それによって、成功認証は、その許可された外部 IT エンティティを代行する他の TSF 調停アクションを許可する前に達成されなければならない。

c. 単一使用認証メカニズムは、FTP または Telnet を使用して TOE を介して情報を送信または受信する人間の利用者に使用されなければならない。それによって、成功認証は、その人間の利用者を代行する他の非 TSF 調停アクションを許可する前に達成されなければならない。

d. 固定パスワード メカニズムは、許可管理者が、直接接続された端末を介して TOE にアクセスするために使用されなければならない。それによって、成功認証は、その許可管理者を代行する他の TSF 調停アクションを許可する前に達成されなければならない。

依存性

なし。

適用上の注釈

TOE は、外部の単一使用認証メカニズムの適切な起動および認証決定に基づいた適切なアクションの実行に対して責任を持たなければなりません。業界の慣行に合せて、認証サーバの選択は、この ST によって義務付けられません。

 

FIA_UID.2 アクション前の利用者識別

下位階層

なし。

FIA_UID.2.1

IT 環境は、その利用者を代行する他の TSF 調停アクションを許可する前に、各利用者に自分自身を識別することを要求しなければならない。

依存性

なし。

TOE セキュリティ保証要件

表10 に、CC パート 3 に基づく TOE セキュリティ保証要件を示します。このセキュリティ保証要件は、ALC_FLR.1 により増補された EAL4 を表しています。

 

表10 TOE 保証コンポーネント

保証クラス
保証コンポーネント

構成管理(ACM)

部分的な CM 自動化(ACM_AUT.1)

生成の支援と受入手続き(ACM_CAP.4)

問題追跡の CM 範囲(ACM_SCP.2)

配付と運用(ADO)

改変の検出(ADO_DEL.2)

設置、生成、および立上げ手順(ADO_IGS.1)

開発(ADV)

完全に定義された外部インターフェイス(ADV_FSP.2)

セキュリティ実施上位レベル設計(ADV_HLD.2)

TSF の実装のサブセット(ADV_IMP.1)

記述的下位レベル設計(ADV_LLD.1)

非形式的対応の実証(ADV_RCR.1)

非形式的な TOE セキュリティ方針モデル(ADV_SPM.1)

ガイダンス文書(AGD)

管理者ガイダンス(AGD_ADM.1)

利用者ガイダンス(AGD_USR.1)

ライフ サイクル サポート(ALC)

セキュリティ手段の識別(ALC_DVS.1)

基本的な欠陥修正(ALC_FLR.1)

開発者定義ライフ サイクル モデル(ALC_LCD.1)

明確に定義された開発ツール(ALC_TAT.1)

テスト(ATE)

カバレージの分析(ATE_COV.2)

テスト:上位レベル設計(ATE_DPT.1)

機能テスト(ATE_FUN.1)

独立テスト:サンプル(ATE_IND.2)

脆弱性評定(AVA)

分析の確認(AVA_MSU.2)

TOE セキュリティ機能強度評価(AVA_SOF.1)

独立脆弱性分析(AVA_VLA.2)

構成管理

ここでは、次の項目について説明します。

「配付と運用」

「開発」

「ガイダンス文書」

「ライフ サイクル サポート」

「テスト」

「脆弱性評定」

 

ACM_AUT.1 部分的な CM 自動化

依存性

ACM_CAP.3 許可管理

開発者アクション エレメント:

ACM_AUT.1.1D

開発者は、CM システムを使用しなければならない。

ACM_AUT.1.2D

開発者は、CM 計画を提供しなければならない。

証拠の内容および提示エレメント:

ACM_AUT.1.1C

CM システムは、TOE の実装表現に対して、許可された変更だけができる自動化された手段を提供しなければならない。

ACM_AUT.1.2C

CM システムは、TOE の生成を支援する自動化された手段を提供しなければならない。

ACM_AUT.1.3C

CM 計画は、CM システムで使用される自動化ツールについて記述しなければならない。

ACM_AUT.1.4C

CM 計画は、CM システムでどのように自動化ツールを使用するかを記述しなければならない。

評価者アクション エレメント:

ACM_AUT.1.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

 

ACM_CAP.4 生成の支援と受入手続き

依存性

ALC_DVS.1 セキュリティ手段の識別

開発者アクション エレメント:

ACM_CAP.4.1D

開発者は、TOE のリファレンスを提供しなければならない。

ACM_CAP.4.2D

開発者は、CM システムを使用しなければならない。

ACM_CAP.4.3D

開発者は、CM 証拠資料を提供しなければならない。

証拠の内容および提示エレメント:

ACM_CAP.4.1C

TOE のリファレンスは、TOE のバージョンごとに一意でなければならない。

ACM_CAP.4.2C

TOE は、そのリファレンスでラベル付けされなければならない。

ACM_CAP.4.3C

CM 証拠資料は、構成リスト、CM 計画、および受入計画を含まなければならない。

ACM_CAP.4.4C

構成リストは、TOE を構成するすべての構成要素を一意に識別しなければならない。

ACM_CAP.4.5C

構成リストは、TOE を構成する構成要素を記述しなければならない。

ACM_CAP.4.6C

CM 証拠資料は、TOE を構成する構成要素を一意に識別する方法を記述しなければならない。

ACM_CAP.4.7C

CM システムは、TOE を構成するすべての構成要素を一意に識別しなければならない。

ACM_CAP.4.8C

CM 計画は、CM システムがどのように使用されるかを記述しなければならない。

ACM_CAP.4.9C

CM システムが、CM 計画に従って機能していることを証拠により示さなければならない。

ACM_CAP.4.10C

CM 証拠資料は、CM システム下ですべての構成要素が効果的に維持され続けていることの証拠を提供しなければならない。

ACM_CAP.4.11C

CM システムは、許可された変更だけが構成要素に対して行われる手段を提供しなければならない。

ACM_CAP.4.12C

CM システムは、TOE の生成を支援しなければならない。

ACM_CAP.4.13C

受入計画は、修正もしくは新規に生成された構成要素を TOE の一部として受け入れるための手続きを記述しなければならない。

評価者アクション エレメント:

ACM_CAP.4.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

 

ACM_SCP.2 問題追跡の CM 範囲

依存性

ACM_CAP.3 許可管理

開発者アクション エレメント:

ACM_SCP.2.1D

開発者は、TOE の構成要素のリストを提供しなければならない。

証拠の内容および提示エレメント:

ACM_SCP.2.1C

構成要素のリストは、以下を含まなければならない。実装表現、セキュリティ欠陥、および ST の保証コンポーネントによって要求される評価証拠。

評価者アクション エレメント:

ACM_SCP.2.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

配付と運用

 

ADO_DEL.2 改変の検出

依存性

ACM_CAP.3 許可管理

開発者アクション エレメント:

ADO_DEL.2.1D

開発者は、TOE、またはその一部を利用者に配付するための手続きに関する証拠資料を提出しなければならない。

ADO_DEL.2.2D

開発者は、配付手続きを使用しなければならない。

証拠の内容および提示エレメント:

ADO_DEL.2.1C

配付に関する証拠資料は、TOE の版を利用者サイトへ配送するときにセキュリティを維持するために必要なすべての手続きを記述しなければならない。

ADO_DEL.2.2C

配付に関する証拠資料は、種々の手続きや技術的手段が、開発者のマスター コピーと利用者サイトで受け取る版の間の改変、または不一致の検出にどう備えているかを記述しなければならない。

ADO_DEL.2.3C

配付に関する証拠資料は、種々の手続きが、たとえ開発者が利用者サイトへ何も送らないような場合にも、開発者を装うとする試みをいかに検出するかを記述しなければならない。

評価者アクション エレメント:

ADO_DEL.2.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

 

ADO_IGS.1 設置、生成、および立上げ手順

依存性

AGD_ADM.1 管理者ガイダンス

開発者アクション エレメント:

ADO_IGS.1.1D

開発者は、TOE のセキュアな設置、生成、および立上げの手順に関する証拠資料を提出しなければならない。

証拠の内容および提示エレメント:

ADO_IGS.1.1C

設置、生成、および立上げ証拠資料は、TOE のセキュアな設置、生成、および立上げのために必要なステップをすべて記述しなければならない。

評価者アクション エレメント:

ADO_IGS.1.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

ADO_IGS.1.2E

評価者は、設置、生成、および立上げの手順がセキュアな構成を結果として生じしめることを決定しなければならない。

開発

 

ADV_FSP.2 完全に定義された外部インターフェイス

依存性

ADV_RCR.1 非形式的対応の実証

開発者アクション エレメント:

ADV_FSP.2.1D

開発者は、機能仕様を提供しなければならない。

証拠の内容および提示エレメント:

ADV_FSP.2.1C

機能仕様は、非形式的なスタイルで、TSF、およびその外部インターフェイスを記述しなければならない。

ADV_FSP.2.2C

機能仕様は、内部的に一貫していなければならない。

ADV_FSP.2.3C

機能仕様は、すべての効果、例外、および誤りメッセージの完全な詳細を提供することにより、すべての外部 TSF インターフェイスの目的と使用方法を記述しなければならない。

ADV_FSP.2.4C

機能仕様は、完全に TSF を表現しなければならない。

ADV_FSP.2.5C

機能仕様は、TSF が完全に表現されている根拠を含んでいなければならない。

評価者アクション エレメント:

ADV_FSP.2.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

ADV_FSP.2.2E

評価者は、機能仕様が TOE セキュリティ機能要件の正確かつ完全な具体化であることを決定しなければならない。

 

ADV_HLD.2 セキュリティ実施上位レベル設計

依存性

ADV_FSP.1 非形式的な機能仕様

ADV_RCR.1 非形式的対応の実証

開発者アクション エレメント:

ADV_HLD.2.1D

開発者は、TSF の上位レベルの設計を提供しなければならない。

証拠の内容および提示エレメント:

ADV_HLD.2.1C

上位レベルの設計の表現は、非形式的でなければならない。

ADV_HLD.2.2C

上位レベルの設計は、内部的に一貫していなければならない。

ADV_HLD.2.3C

上位レベルの設計は、サブシステムの観点から TSF の構造を記述しなければならない。

ADV_HLD.2.4C

上位レベルの設計は、TSF の個々のサブシステムによって提供されるセキュリティの機能性を記述しなければならない。

ADV_HLD.2.5C

上位レベルの設計は、TSF が必要とするすべての基盤となるハードウェア、ファームウェア、およびソフトウェアを、これらのハードウェア、ファームウェア、またはソフトウェアの中に実装されている補助的な保護メカニズムによって提供される機能の説明とともに識別しなければならない。

ADV_HLD.2.6C

上位レベルの設計は、TSF のサブシステムに対するすべてのインターフェイスを識別しなければならない。

ADV_HLD.2.7C

上位レベルの設計は、外部から見える TSF のサブシステムに対するインターフェイスを識別しなければならない。

ADV_HLD.2.8C

上位レベルの設計は、効果、例外、および誤りメッセージの詳細を適切に提供することにより、TSF のサブシステムに対するすべてのインターフェイスの目的と使用方法を記述しなければならない。

ADV_HLD.2.9C

上位レベルの設計は、TSP 実施サブシステムとそれ以外のサブシステムに分けて TOE を記述しなければならない。

評価者アクション エレメント:

ADV_HLD.2.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

ADV_ HLD.2.2E

評価者は、上位レベルの設計が TOE セキュリティ機能要件の正確かつ完全な具体化であることを決定しなければならない。

適用上の注釈

このファミリ内のエレメントは、評価者が、上位レベルの設計が TOE セキュリティ機能要件の正確かつ完全な具体化であることを決定するという要件を定義しています。ADV_RCR ファミリによって求められるペアワイズな対応に加え、このエレメントは TOE セキュリティ機能要件と上位レベルの設計の直接対応を規定します。評価者は ADV_RCR で提供された証拠をこの決定を行うための入力として使用することが予想され、完全性の要件は、上位レベルの設計の抽象化レベルと相対的となることが意図されています。

 

ADV_IMP.1 TSF の実装のサブセット

依存性

ADV_LLD.1 記述的下位レベル設計

ADV_RCR.1 非形式的対応の実証

ALC_TAT.1 明確に定義された開発ツール

開発者アクション エレメント:

ADV_IMP.1.1D

開発者は、TSF の選定された一部分について実装表現を提供しなければならない。

証拠の内容および提示エレメント:

ADV_IMP.1.1C

実装表現は、さらなる設計上の決定を必要とせずに TSF が生成されるほどの詳細レベルまで TSF を曖昧さなく定義しなければならない。

ADV_IMP.1.2C

実装表現は、内部的に一貫していなければならない。

評価者アクション エレメント:

ADV_IMP.1.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

ADV_ IMP.1.2E

評価者は、提供された最も抽象度が低い TSF 表現が TOE セキュリティ機能要件の正確かつ完全な具体化であることを決定しなければならない。

 

ADV_LLD.1 記述的下位レベル設計

依存性

ADV_HLD.2 セキュリティ実施上位レベル設計

ADV_RCR.1 非形式的対応の実証

開発者アクション エレメント:

ADV_LLD.1.1D

開発者は、TSF の下位レベルの設計を提供しなければならない。

証拠の内容および提示エレメント:

ADV_LLD.1.1C

下位レベルの設計の表現は、非形式的でなければならない。

ADV_LLD.1.2C

下位レベルの設計は、内部的に一貫していなければならない。

ADV_LLD.1.3C

下位レベルの設計は、モジュールの観点から TSF を記述しなければならない。

ADV_LLD.1.4C

下位レベルの設計は、各々のモジュールの目的を記述しなければならない。

ADV_LLD.1.5C

下位レベルの設計は、提供されるセキュリティ機能性と他のモジュールへの依存関係の観点からモジュール間の関係を定義しなければならない。

ADV_LLD.1.6C

下位レベルの設計は、各々の TSP 実施機能がどのように提供されるかを記述しなければならない。

ADV_LLD.1.7C

下位レベルの設計は、TSF のモジュールに対するすべてのインターフェイスを識別しなければならない。

ADV_LLD.1.8C

下位レベルの設計は、外部から見える TSF のモジュールに対するインターフェイスを識別しなければならない。

ADV_LLD.1.9C

下位レベルの設計は、効果、例外、および誤りメッセージの詳細を適切に提供することにより、TSF のモジュールに対するすべてのインターフェイスの目的と使用方法を記述しなければならない。

ADV_LLD.1.10C

下位レベルの設計は、TSP 実施モジュールとそれ以外のモジュールに分けて TOE を記述しなければならない。

評価者アクション エレメント:

ADV_LLD.1.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

ADV_LLD.1.1E

評価者は、下位レベルの設計が TOE セキュリティ機能要件の正確かつ完全な具体化であることを決定しなければならない。

 

ADV_RCR.1 非形式的対応の実証

依存性

なし。

開発者アクション エレメント:

ADV_RCR.1.1D

開発者は、提供される TSF 表現に隣接するすべてのペア間の対応の分析を提供しなければならない。

証拠の内容および提示エレメント:

ADV_RCR.1.1C

提供された TSF 表現の隣接するそれぞれのペアに対し、分析は、より抽象度の高い TSF 表現のすべての関連するセキュリティ機能性が、抽象度の低い TSF 表現に、正確かつ完全に詳細化されていることを実証しなければならない。

評価者アクション エレメント:

ADV_RCR.1.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

適用上の注釈

この要件の意図は、各レベルの設計分解の間に正確で一貫している明確な対応が存在することをベンダーが示し、評価者がそれを確認することです。そのため、抽象化の上位レベルに存在しない抽象化の下層で定義された TOE セキュリティ機能がないこと、およびその逆もあり得ます。

 

ADV_SPM.1 非形式的な TOE セキュリティ方針モデル

依存性

ADV_FSP.1 非形式的な機能仕様

開発者アクション エレメント:

ADV_SPM.1.1D

開発者は、TSP モデルを提供しなければならない。

ADV_SPM.1.2D

開発者は、機能仕様と TSP モデルの間の対応を実証しなければならない。

証拠の内容および提示エレメント:

ADV_SPM.1.1C

TSP モデルは、非形式的でなければならない。

ADV_SPM.1.2C

TSP モデルは、モデル化できるすべての TSP 方針の規則と特性を記述しなければならない。

ADV_SPM.1.3C

TSP モデルは、モデル化できるすべての TSP 方針に関して一貫しており完全であることを実証する根拠を含まなければならない。

ADV_SPM.1.4C

TSP モデルと機能仕様の間の対応の実証は、機能仕様におけるセキュリティ機能のすべてが、TSP モデルに関して、一貫して完全であることを示さなければならない。

評価者アクション エレメント:

ADV_SPM.1.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

ガイダンス文書

 

AGD_ADM.1 管理者ガイダンス

依存性

ADV_FSP.1 非形式的な機能仕様

開発者アクション エレメント:

AGD_ADM.1.1D

開発者は、システム管理者向けに管理者ガイダンスを提供しなければならない。

証拠の内容および提示エレメント:

AGD_ADM.1.1C

管理者ガイダンスは、TOE の管理者が利用できる管理機能とインターフェイスを記述しなければならない。

AGD_ADM.1.2C

管理者ガイダンスは、管理者がセキュアに TOE を管理する方法を記述しなければならない。

AGD_ADM.1.3C

管理者ガイダンスは、セキュアな処理環境において管理されなければならない機能と権限についての警告を含まなければならない。

AGD_ADM.1.4C

管理者ガイダンスは、TOE のセキュアな運用に関連する利用者のふるまいについてのすべての前提条件を記述しなければならない。

AGD_ADM.1.5C

管理者ガイダンスは、管理者の管理下にあるすべてのセキュリティ パラメータを、適切にセキュアな値を示して記述しなければならない。

AGD_ADM.1.6C

管理者ガイダンスは、TSF の制御下にあるセキュリティ特性の変更を含む、実行が必要な管理機能に関連するセキュリティ関連事象の各タイプを記述しなければならない。

AGD_ADM.1.7C

管理者ガイダンスは、評価のために提供された他のすべての証拠資料と一貫していなければならない。

AGD_ADM.1.8C

管理者ガイダンスは、管理者に関連する IT 環境でのすべてのセキュリティ要件を記述しなければならない。

評価者アクション エレメント:

AGD_ADM.1.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

 

AGD_USR.1 利用者ガイダンス

依存性

ADV_FSP.1 非形式的機能仕様

開発者アクション エレメント:

AGD_USR.1.1D

開発者は、利用者ガイダンスを提供しなければならない。

証拠の内容および提示エレメント:

AGD_USR.1.1C

利用者ガイダンスは、TOE の非管理者である利用者が利用できる機能とインターフェイスを記述しなければならない。

AGD_USR.1.2C

利用者ガイダンスは、TOE により提供された、利用者がアクセスできるセキュリティ機能の使用方法を記述しなければならない。

AGD_USR.1.3C

利用者ガイダンスは、セキュアな処理環境で管理されなければならない、利用者がアクセスできる機能と権限についての警告を含まなければならない。

AGD_USR.1.4C

利用者ガイダンスは、TOE セキュリティ環境のステートメントの中にある利用者のふるまいについての前提条件に関連したものを含む、TOE のセキュアな運用に必要なすべての利用者の責任を明確に提示しなければならない。

AGD_USR.1.5C

利用者ガイダンスは、評価のために提供された他のすべての証拠資料と一貫していなければならない。

AGD_USR.1.6C

利用者ガイダンスは、利用者に関連する IT 環境でのすべてのセキュリティ要件を記述しなければならない。

評価者アクション エレメント:

AGD_USR.1.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

適用上の注釈

許可された外部 IT エンティティも、許可管理者以外の人間の利用者も、TOE に対する許可がないため、この保証コンポーネントは自明的に満たされます。

ライフ サイクル サポート

 

ALC_DVS.1 セキュリティ手段の識別

依存性

なし。

開発者アクション エレメント:

ALC_DVS.1.1D

開発者は、開発セキュリティ証拠資料を提出しなければならない。

証拠の内容および提示エレメント:

ALC_DVS.1.1C

開発セキュリティ証拠資料は、開発環境のなかで TOE の設計および実装の機密性や完全性を保護するために必要となる、物理的、手続き的、人的、およびその他の手段をすべて記述しなければならない。

ALC_DVS.1.2C

開発セキュリティ証拠資料は、これらのセキュリティ手段が TOE の開発および保守の間を通じて守られる証拠を提供しなければならない。

評価者アクション エレメント:

ALC_DVS.1.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

ALC_DVS.1.2E

評価者は、セキュリティ手段が適用されていることを確認しなければならない。

 

ALC_FLR.1 基本的な欠陥修正

依存性

なし。

開発者アクション エレメント:

ALC_FLR.1.1D

開発者は、TOE 開発者に対する欠陥修正手続きを提供しなければならない。

証拠の内容および提示エレメント:

ALC_FLR.1.1C

欠陥修正手続き証拠資料は、TOE のリリースごとに報告されたすべてのセキュリティ欠陥を追跡するのに使用する手続きを記述しなければならない。

ALC_FLR.1.2C

欠陥修正手続きは、欠陥訂正方法の調査状況の記述と同時に、各々のセキュリティ欠陥の性質と影響の記述が、提供されることを要求しなければならない。

ALC_FLR.1.3C

欠陥修正手続きは、訂正行為が各々のセキュリティ欠陥を識別することを要求しなければならない。

ALC_FLR.1.4C

欠陥修正手続き証拠資料は、TOE 利用者に、欠陥情報、訂正、および訂正行為のガイダンスを提供するために使用する方法を記述しなければならない。

評価者アクション エレメント:

ALC_FLR.1.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

 

ALC_LCD.1 開発者によるライフ サイクル モデルの定義

依存性

なし。

開発者アクション エレメント:

ALC_LCD.1.1D

開発者は、TOE の開発および保守で使用されるライフ サイクル モデルを確立しなければならない。

ALC_LCD.1.2D

開発者は、ライフ サイクル定義証拠資料を提供しなければならない。

証拠の内容および提示エレメント:

ALC_LCD.1.1C

ライフ サイクル定義証拠資料は、TOE の開発および保守で使用されるモデルを記述しなければならない。

ALC_LCD.1.2C

ライフ サイクル モデルは、TOE の開発および保守の上で必要な管理方法を提供しなければならない。

評価者アクション エレメント:

ALC_LCD.1.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

 

ALC_TAT.1 明確に定義された開発ツール

依存性

ADV_IMP.1 TSF の実装のサブセット

開発者アクション エレメント:

ALC_TAT.1.1D

開発者は、TOE に対して使用される開発ツールを識別しなければならない。

ALC_TAT.1.2D

開発者は、開発ツールのオプションの中で実装に依存するものについて証拠資料を提出しなければならない。

証拠の内容および提示エレメント:

ALC_TAT.1.1C

実装に使用されるすべてのツールは、明確に定義されていなければならない。

ALC_TAT.1.2C

開発ツールの証拠資料は、実装に使用されるすべてのステートメントの意味を、曖昧さなく定義しなければならない。

ALC_TAT.1.3C

開発ツールの証拠資料は、実装に依存するすべてのオプションの意味を、曖昧さなく定義しなければならない。

評価者アクション エレメント:

ALC_TAT.1.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

テスト

 

ATE_COV.2 カバレージの分析

依存性

ADV_FSP.1 非形式的機能仕様

ATE_FUN.1 機能テスト

開発者アクション エレメント:

ATE_COV.2.1D

開発者は、テスト カバレージの分析を提供しなければならない。

証拠の内容および提示エレメント:

ATE_COV.2.1C

テスト カバレージの分析は、テスト証拠資料で識別されたテストと機能仕様に記述された TSF との対応を実証しなければならない。

ATE_COV.2.2C

テスト カバレージの分析は、機能仕様に記述された TSF とテスト証拠資料で識別されたテストとの対応が完全であることを実証しなければならない。

評価者アクション エレメント:

ATE_COV.1.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

 

ATE_DPT.1 テスト:上位レベル設計

依存性

ADV_HLD.1 記述的上位レベル設計

ATE_FUN.1 機能テスト

開発者アクション エレメント:

ATE_DPT.1.1D

開発者は、テストの深さの分析を提供しなければならない。

証拠の内容および提示エレメント:

ATE_DPT.1.1C

深さの分析は、テスト証拠資料で識別されたテストが、TSF がその上位レベルの設計に従って動作することを実証するに十分であることを実証しなければならない。

評価者アクション エレメント:

ATE_DPT.1.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

 

ATE_FUN.1 機能テスト

依存性

なし。

開発者アクション エレメント:

ATE_FUN.1.1D

開発者は、TSF をテストし、結果を証拠資料で提出しなければならない。

ATE_FUN.1.2D

開発者は、テスト証拠資料を提供しなければならない。

証拠の内容および提示エレメント:

ATE_FUN.1.1C

テスト証拠資料は、テスト計画、テスト手順記述、期待されるテスト結果、実際のテスト結果から構成されなければならない。

ATE_FUN.1.2C

テスト計画は、テストされるセキュリティ機能を識別し、実行されるテストの目標を記述しなければならない。

ATE_FUN.1.3C

テスト手順記述は、実行されるべきテストを識別し、各セキュリティ機能をテストするシナリオを記述しなければならない。これらのシナリオは、他のテストの結果へのすべての順序依存性を含んでいなければならない。

ATE_FUN.1.4C

期待されるテスト結果は、テストの実行が成功したときの予期される出力を示さなければならない。

ATE_FUN.1.5C

開発者が実行したテストによるテスト結果は、各々のテストされたセキュリティ機能が仕様どおりに動作することを実証しなければならない。

評価者アクション エレメント:

ATE_FUN.1.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

 

ATE_IND.2 独立テスト:サンプル

依存性

ADV_FSP.1 非形式的機能仕様

AGD_ADM.1 管理者ガイダンス

AGD_USR.1 利用者ガイダンス

ATE_FUN.1 機能テスト

開発者アクション エレメント:

ATE_IND.2.1D

開発者は、テストのための TOE を提供しなければならない。

証拠の内容および提示エレメント:

ATE_IND.2.1C

TOE は、テストに適していなければならない。

ATE_IND.2.2C

開発者は、TSF の開発者機能テストで使用されたものと同等の一連の資源を提供しなければならない。

評価者アクション エレメント:

ATE_IND.2.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

ATE_IND.2.2E

評価者は、TSF のサブセットを、TOE が仕様どおりに動作することを確認するために、適切にテストしなければならない。

ATE_IND.2.3E

評価者は、開発者テスト結果を検証するために、テスト証拠資料内のテストのサンプルを実行しなければならない。

脆弱性評定

 

AVA_MSU.2 分析の確認

依存性

ADO_IGS.1 設置、生成、および立上げ手順

ADV_FSP.1 非形式的機能仕様

AGD_ADM.1 管理者ガイダンス

AGD_USR.1 利用者ガイダンス

開発者アクション エレメント:

AVA_MSU.2.1D

開発者は、ガイダンス証拠資料を提供しなければならない。

AVA_MSU.2.2D

開発者は、ガイダンス証拠資料の分析に関する証拠資料を提出しなければならない。

証拠の内容および提示エレメント:

AVA_MSU.2.1C

ガイダンス証拠資料は、TOE の操作のすべてのモード(障害や操作誤りのあとの操作も含む)、それらの結果、およびセキュアな操作を維持するために知っておくべきことを識別しなければならない。

AVA_MSU.2.2C

ガイダンス証拠資料は、完全で、明白で、矛盾なく、合理的なものでなければならない。

AVA_MSU.2.3C

ガイダンス証拠資料は、意図した環境について、すべての前提条件を列挙しなければならない。

AVA_MSU.2.4C

ガイダンス証拠資料は、外部のセキュリティ手段(外部の手続き的、物理的、および人的な管理を含む)に対するすべての要件を列挙しなければならない。

AVA_MSU.2.5C

分析証拠資料は、ガイダンス証拠資料が完全なものであることを実証しなければならない。

評価者アクション エレメント:

AVA_MSU.2.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

AVA_MSU.2.2E

評価者は、提出されたガイダンス証拠資料だけを使って、すべての構成、導入手順、およびその他の手順を選択的に再現し、TOE がセキュアに構成され使用されることを確認しなければならない。

AVA_MSU.2.3E

評価者は、ガイダンス証拠資料を使用すれば、すべてのセキュアでない状態が検出できることを決定しなければならない。

AVA_MSU.2.4E

評価者は、TOE の操作のすべてモードにおけるセキュアな操作のためにガイダンスが提供されていることが分析証拠資料に示されていることを確認しなければならない。

 

AVA_SOF.1 TOE セキュリティ機能強度評価

依存性

ADV_FSP.1 非形式的機能仕様

ADV_HLD.1 記述的上位レベル設計

開発者アクション エレメント:

AVA_SOF.1.1D

開発者は、ST において TOE セキュリティ機能強度主張を所有するものとして識別された各メカニズムに対し、TOE セキュリティ機能強度分析を行わなければならない。

証拠の内容および提示エレメント:

AVA_SOF.1.1C

TOE セキュリティ機能強度主張を所有する各メカニズムに対し、TOE セキュリティ機能強度分析は、ST に定義された最小強度レベルと同等以上であることを示さなければならない。

AVA_SOF.1.2C

特定の TOE セキュリティ機能強度主張を所有する各メカニズムに対し、TOE セキュリティ機能強度分析は、ST に定義された特定の機能強度の数値尺度と同等以上であることを示さなければならない。

評価者アクション エレメント:

AVA_SOF.1.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

AVA_SOF.1.2E

評価者は、強度主張が正しいことを確認しなければならない。

 

AVA_VLA.2 独立脆弱性分析

依存性

ADV_FSP.1 非形式的機能仕様

ADV_HLD.2 セキュリティ実施上位レベル設計

ADV_IMP.1 TSF の実装のサブセット

ADV_LLD.1 記述的下位レベル設計

AGD_ADM.1 管理者ガイダンス

AGD_USR.1 利用者ガイダンス

開発者アクション エレメント:

AVA_VLA.2.1D

開発者は、脆弱性分析を行わなければならない。

AVA_VLA.2.2D

開発者は、脆弱性分析の証拠資料を提供しなければならない。

証拠の内容および提示エレメント:

AVA_VLA.2.1C

脆弱性分析証拠資料は、利用者が TSP を侵害し得る方法を探すために行われた TOE 提供物件の分析を記述しなければならない。

AVA_VLA.2.2C

脆弱性分析証拠資料は、識別された脆弱性の処置について記述しなければならない。

AVA_VLA.2.3C

脆弱性分析証拠資料は、すべての識別された脆弱性に対して、TOE の意図した環境においては、それらの脆弱性が悪用され得ないことを示さなければならない。

AVA_VLA.2.4C

脆弱性分析証拠資料は、識別された脆弱性について、TOE が明白な侵入攻撃に耐え得ることを正当化しなければならない。

評価者アクション エレメント:

AVA_VLA.2.1E

評価者は、提供された情報が、証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない。

AVA_VLA.2.2E

評価者は、開発者脆弱性分析に基づき侵入テストを行い、識別された脆弱性への対処が行われていることを保証しなければならない。

AVA_VLA.2.3E

評価者は、独立脆弱性分析を行わなければならない。

AVA_VLA.2.4E

評価者は、独立脆弱性分析に基づき、意図した環境において、新たに識別された脆弱性が悪用され得るかどうかを決定するため、独立侵入テストを実施しなければならない。

AVA_VLA.2.5E

評価者は、低い攻撃能力を持つ攻撃者による侵入攻撃に TOE が耐えられることを決定しなければならない。

TOE 要約仕様

ここでは、次の項目について説明します。

「TOE セキュリティ機能」

「保証手段」

TOE セキュリティ機能

ここでは、次の項目について説明します。

「セキュリティ管理機能」

「監査機能」

「情報フロー制御機能」

「識別と認証機能」

「保護機能」

「クロック機能」

セキュリティ管理機能

セキュリティ管理機能では、許可されたファイアウォール管理者が、物理的にセキュアなローカル接続から、あるいは内部の信頼できるホストまたは接続されたリモート ネットワークから SSH 暗号化接続を介して(暗号化は、FCS_COP.1 の最初の項に定義されている FIPS 140 セキュリティ要件に従う)、次のアクションを実行できます。

1. TOE の操作をイネーブルまたはディセーブルにする。

2. 単一使用認証機能の使用をイネーブルまたはディセーブルにする。

3. ファイアウォール管理者アカウントをイネーブルまたはディセーブルにする、あるいはファイアウォール管理者アカウントのセキュリティ属性を変更する。

4. 監査証跡の動作をイネーブルにする、ディセーブルにする、決定する、および改変する。

5. TSF データ、情報フロー規則、および監査証跡データのバックアップと復元の機能の動作をイネーブルにする、ディセーブルにする、決定する、および改変する。

6. 許可された外部 IT エンティティが TOE と通信する動作をイネーブルにする、ディセーブルにする、決定する、および改変する。

7. セキュリティ属性について、規則から属性を削除する、規則内の属性を改変する、および規則に属性を追加する。

8. 情報フロー規則を削除する、および作成する。

9. タイムスタンプの形成に使用される日時を設定する。

10. 認証失敗回数の制限値を指定する。

前述の管理機能は、許可管理者だけが実行できます。項目 2、6、7、および 8 は、ファイアウォール管理者だけに該当します。

監査機能

監査機能は、オン/オフの切り替え(このアクションは監査対象)ができる監査を提供します。アクティブな場合、次のイベントが記録されます。

1. 情報フローの要求に対するすべての決定。

2. 不成功の認証試行に対するしきい値への到達、および許可管理者によるその後の利用者の認証機能の復元。

3. 識別または認証のメカニズムの使用。

4. 許可管理者の役割の一部である利用者のグループに対する改変。

5. 時間の変更。

6. 監査証跡管理アクティビティ。

7. TSF データのバックアップ。

8. 単一使用認証機能の使用。

9. 単一使用認証機能のアクティブ化または非アクティブ化。

イベントごとに、監査機能は次の情報を記録します。

1. イベントの日時。

2. 送信元および宛先の IP アドレス(接続の場合のみ)。

3. イベントまたはサービスのタイプ。

4. イベントに関連する特定の情報。

5. イベントの成功または失敗。

監査機能は、日時の情報を提供するためにクロック機能を使用します。

監査レコードは、Windows 2000 サーバまたは Windows XP サーバ上の Firewall Syslog Server(PFSS)を使用して、ファイアウォールによって保存のために送信されます。PFSS は、循環式の 7 つの syslog ファイルを作成します。これらのファイルの名前は、monday.log、tuesday.log、wednesday.log、thursday.log、friday.log、saturday.log、および sunday.log です。最終ログ ファイルが作成されてから 1 週間経過すると、PFSS は古いログ ファイルの名前を day.mmddyy に変更します。ここで、day は現在の曜日、mm は月、dd は日、yy は年です。許可された監査管理者は、PFSS を介してファイアウォール監査レコードへの読み取りアクセスを得ることができます。監査サーバ上に生成された監査イベントは、Windows Event Viewer を使用して表示できます。

評価対象の構成では、これらの製品の CC 認定バージョン(つまり、Microsoft Windows 2000 Professional Server SP3(ホットフィックス Q326886 を含む)または Microsoft Windows XP Professional SP 2(ホットフィックス 896423、899587、899588、896422、890859、873333、885250、888302、885835、および 907865 を含む)を使用する必要があることに注意してください。

PFSS は、次のいずれかまたは複数の組み合せに基づいて監査レコードを検索またはソートする機能を提供します。

1. 送信元 IP アドレスまたはアドレス範囲

2. 送信元ポートまたはポート範囲

3. 宛先 IP アドレスまたはアドレス範囲

4. 宛先ポートまたはポート範囲

5. サービス

6. 開始日および終了日

7. 開始時刻および終了時刻

8. システム ログ メッセージの番号

9. インターフェイス名

監査レコードは、Windows 2000 または Windows XP のアクセス権の設定により、改変や不正な削除から保護されます。

監査証跡に監査レコードを書き込むことができない場合は、許可管理者だけがアクションを実行できます。

情報フロー制御機能

TOE の情報制御機能では、許可されたファイアウォール管理者が、ファイアウォールのインターフェイス間の規則を設定できます。これらの規則は、次の情報に基づいて、パケットがあるインターフェイスから別のインターフェイスに転送されるかどうかを制御します。

1. 利用者識別情報

2. 送信元アドレス

3. 宛先アドレス

4. 使用されるサービス

5. ポート番号

6. セキュリティ関連のサービス コマンド

7. 接続要求が発生するネットワーク インターフェイス

情報制御規則によって許可される場合、要求されるサービスは、イーサネット、ARP、CTIQBE、DNS、Echo、Finger、H.323、IP、ICMP、TCP、UDP、FTP、GTP、HTTP、ILS、MGCP、POP3、RSH、RTSP、Skinny、SIP、ESMTP、SunRPC、Telnet、TFTP、XDMCP などから構成されますが、これらに限定されません。次のプロトコルおよびアプリケーションに対しては、TOE 内でアプリケーション検査も提供されます(CTIQBE、H.323、ICMP、FTP、GTP、HTTP、ILS、MGCP、RSH、RTSP、Skinny、SIP、ESMTP、SunRPC、TFTP、および XDMCP)。パケットの通過を許可する特定の規則が設定されていない限り、パケットはドロップされます。

TOE には、情報フロー制御機能を提供する際に、パケットに含まれているネットワーク アドレスを変換する機能(ネットワーク アドレス変換と呼ばれる)があります。TOE の構成に応じて、アドレスは、永続的に定義されるスタティック アドレス、範囲から選択されたアドレス、または一意なポート番号を持つ 1 つのアドレス(ポート アドレス変換)に変換できます。また、ネットワーク アドレス変換をディセーブルにして、TOE を通過するときにアドレスが変更されないようにすることもできます。

TOE には、情報が受信サブジェクトに途中で流れるルートを指定する、サブジェクトによる要求を拒否する機能があります。TOE は、プロトコル フィルタリング プロキシを使用することにより、一般的に受け入れられ公開されているプロトコル定義に準拠しない Telnet または FTP コマンド要求を拒否することもできます。

識別と認証機能

管理者は、TOE へのさらなるアクセスが許可される前に(つまり、許可管理者になる前に)、自分の身元を証明し、認証を受けるように要求されます。

許可管理者による TOE へのローカル アクセスの場合、TOE による認証では、固定パスワード メカニズムが使用されます。これは、最小限の機能強度 Medium を満たす置換メカニズムです。

認証試行に何回か失敗すると(回数は 0 ではなく、許可管理者によって設定される)、管理者アカウントは、許可管理者によって解放されるまでロックされます。DoS 攻撃が簡単にしかけられる可能性があるため、この機能はリモート アクセスには実装されていません。

リモートの許可されたファイアウォール管理者および許可された外部 IT エンティティの単一使用認証は、TOE 環境内の外部認証サーバの決定に基づいて、認証を正しく起動し、かつ正しく動作する TOE 機能によって提供されます。

保護機能

保護機能は、ファイアウォールにマルチタスク環境を提供します。この環境では、すべてのプロセスに RAM 内の別個のメモリ ロケーションが割り当てられます。メモリが再割り当てされる場合には、再割り当て前にメモリ内のデータが必ずフラッシュされます。TOE は、ファイアウォールを通過するすべてのパケットを、関連付けられている情報ストリームと関連させてアカウンティングします。したがって、他のパケットに関連する残存情報は、そのストリームで再利用されません。

また、保護機能は、TSC 内の各機能が実行を許可される前に、TSP 実施機能が起動されて成功することを保証します。これには、リモート管理機能に対する暗号化リンク(FIPS 140 検証済み暗号モジュールによる)の使用が含まれます。

クロック機能

TOE のクロック機能は、監査のタイムスタンプおよびサービス要求の検証に使用されるファイアウォールの日時情報のソースを提供します。この機能には、ファイアウォール操作の特権モードを介して、コンフィギュレーション EXEC モード内からだけアクセスできます。クロック機能は、基盤となるハードウェアによって提供されるシステム クロックに依存します。

保証手段

表11 は、ALC_FLR.1 によって増補された共通基準 EAL 4 の保証要件を満たす提供物件を示しています。ここに示す提供物件には、この保証パッケージに含まれているすべての保証要件を満たすための手段が記載されています。

 

表11 保証手段

保証クラス
保証コンポーネント
保証手段(シスコのドキュメント)

セキュリティ ターゲット(ASE)

すべて

このセキュリティ ターゲットは、クラス ASE 内のすべての要件を満たします。

構成管理(ACM)

部分的な CM 自動化(ACM_AUT.1)

生成の支援と受入手続き(ACM_CAP.4)

問題追跡の CM 範囲(ACM_SCP.2)

Configuration Management and Delivery Procedures for Cisco Secure PIX Firewall 515, 515E, 525, 535, and ASA-5510, ASA-5520, and ASA-5540 Version 7.0

Installation Guide for the Cisco Secure PIX Firewall Version 7.0

Configuration Guide for the Cisco Secure PIX Firewall Version 7.0

Release Notes for Cisco Secure PIX Firewall Version 7.0

構成管理および配付手続きは、ACM_CAP.4 および ACM_AUT.1 の要件を満たす、自動化された構成管理システムの使用方法を記述しています。ACM_SCP.1 によって要求されるすべてのドキュメントは、構成制御下に置かれています。これらの手順は、ADO_DEL.2 の要件を満たしながら、TOE の一貫性を保持するためのセキュアな配付プロセスも示しています。

インストレーション ガイド、構成ガイド、およびリリース ノートは、配付された TOE を ADO_IGS.1 に従って動作状態にする方法についての情報を提供します。

配付と運用(ADO)

改変の検出(ADO_DEL.2)

Functional Specification for Cisco Secure PIX Firewall 515, 515E, 525, 535, and ASA-5510, ASA-5520, and ASA-5540 Version 7.0

このドキュメントは、ADV_FSP.2 の要件と一貫性を保ちながら、TOE の外部インターフェイスについて説明しています。

設置、生成、および立上げ手順(ADO_IGS.1)

開発(ADV)

完全に定義された外部インターフェイス(ADV_FSP.2)

セキュリティ実施上位レベル設計(ADV_HLD.2)

High-Level Design for Cisco Secure PIX Firewall 515, 515E, 525, 535, ASA-5510, ASA-5520 and ASA-5540 Version 7.0

このドキュメントは、サブシステムの観点から TOE を説明し、サブシステム間のインターフェイスについて記述しています。

TSF の実装のサブセット(ADV_IMP.1)

Various source code for Cisco Secure PIX Firewall 515, 515E, 525, 535, and ASA-5510, ASA-5520 and ASA-5540 Version 7.0

評価者によって選択された TOE ソース コードのサンプルは、この要件を満たします。

記述的下位レベル設計(ADV_LLD.1)

Low-Level Design for Cisco Secure PIX Firewall 515, 515E, 525, 535, and ASA-5510, ASA-5520, and ASA-5540 Version 7.0

このドキュメントは、TOE サブシステムのモジュールへの分割について説明し、モジュール間のインターフェイスについて記述しています。

非形式的対応の実証(ADV_RCR.1)

Correspondence demonstration for Cisco Secure PIX Firewall 515, 515E, 525, 535, and ASA-5510, ASA-5520, and ASA-5540 Version 7.0

このドキュメントでは、TOE 要約仕様、上位レベル設計、下位レベル設計、およびソース コードの間の対応関係に関する説明が相互参照によって記述されています。

非形式的な TOE セキュリティ方針モデル(ADV_SPM.1)

Security Policy Model for Cisco Secure PIX Firewall 515, 515E, 525, 535, and ASA-5510, ASA-5520, and ASA-5540 Version 7.0

このセキュリティ方針モデルは、機能仕様にまでたどられる、TOE セキュリティ機能要件の根底にあるポリシーを非形式的なスタイルで説明しています。

ガイダンス文書(AGD)

管理者ガイダンス(AGD_ADM.1)

利用者ガイダンス(AGD_USR.1)

Installation Guide for the Cisco Secure PIX Firewall Version 7.0

Configuration Guide for the Cisco Secure PIX Firewall Version 7.0

Command Reference Guide for the Cisco Secure PIX Firewall Version 7.0

Release Notes for Cisco Secure PIX Firewall Version 7.0

CC Evaluated Configuration Guide for the Cisco Secure PIX Firewall Version 7.0

これらのドキュメントは、TOE のセキュアな管理についての詳細なガイダンスを提供しています。また、評価対象の構成の実現に関する情報も提供しています。

ライフ サイクル サポート(ALC)

セキュリティ手段の識別(ALC_DVS.1)

Development Security for Cisco Secure PIX Firewall, Cisco Adaptive Security Appliances and Cisco Systems Firewall Services Module (FWSM)

このドキュメントは、開発環境のセキュリティを維持するための手順を定義しています。これらの手段は、TOE の一貫性および機密性を保護する、手続き的、人的、および技術的な手段の組み合せを提供します。

基本的な欠陥修正(ALC_FLR.1)

開発者定義ライフ サイクル モデル(ALC_LCD.1)

明確に定義された開発ツール(ALC_TAT.1)

Configuration and delivery procedures for Cisco Secure PIX Firewall 515, 515E, 525, 535, and ASA-5510, ASA_5520, and ASA-5540 Version 7.0

このドキュメントは、TOE の開発および保守で使用される手順とツールについて説明しています。これらの手順は、TOE のライフ サイクルを管理する制御された方法を示しています。報告された TOE 欠陥の処理についての手順も記述されています。

テスト(ATE)

カバレージの分析(ATE_COV.2)

テスト:上位レベル設計(ATE_DPT.1)

機能テスト(ATE_FUN.1)

独立テスト:サンプル(ATE_IND.2)

Testing plan and analysis for Cisco Secure PIX Firewall 515, 515E, 525, 535, and ASA-5510, ASA_5520, and ASA-5540 Version 7.0

このテスト ドキュメントは、各外部セキュリティ機能インターフェイスをテストする方法、およびサブシステム インターフェイスも正常に動作していることを実証する方法について説明しています。このドキュメントは、使用されるテスト環境、実行されるテスト、および期待され取得される結果について説明しています。評価者は、TOE をテストに使用できるようになります。

脆弱性評定(AVA)

分析の確認(AVA_MSU.2)

Misuse analysis for Cisco Secure PIX Firewall 515, 515E, 525, 535, and ASA-5510, ASA_5520, and ASA-5540 Version 7.0

この誤用分析は、TOE を予測可能な形でセキュアに管理できることを実証しながら、ガイダンス ドキュメントの分析を提供しています。

TOE セキュリティ機能強度評価(AVA_SOF.1)

Strength of function analysis for Cisco Secure PIX Firewall 515, 515E, 525, 535, and ASA-5510, ASA_5520, and ASA-5540 Version 7.0

この機能強度分析は、SOF 主張が支持されることを実証するパスワード メカニズムの分析を提供しています。

独立脆弱性分析(AVA_VLA.2)

Vulnerability analysis for Cisco Secure PIX Firewall 515, 515E, 525, 535, and ASA-5510, ASA_5520, and ASA-5540 Version 7.0

シスコは、攻撃者に TOE セキュリティ ポリシーの侵害を許す可能性のある弱点を探りながら、TOE 提供物件の分析を行い文書化します。この分析は評価者に提供されます。

プロテクション プロファイルの主張

ここでは、次の項目について説明します。

「環境の根拠」

「対策方針の根拠」

「セキュリティ機能要件の根拠」

「セキュリティ保証要件の根拠」

TOE 機能は、『U.S. Department of Defense Application-level Firewall Protection Profile for Medium Robustness Environments Version 1.0(June 28, 2000)』[FWPP] と一貫性を持つように指定されています。

この ST には、[FWPP](PD-0115 および PD-0026 に基づく修正を含む)に記載されているすべてのセキュリティ機能要件が含まれています。

環境の根拠

この ST における前提条件は、[FWPP] における前提条件と同じです。ただし、監査サーバの保護に関する前提条件が追加されています(A.PROTECTPF)。

この ST における脅威は、[FWPP] における脅威と同じです。ただし、低い攻撃能力を持つ攻撃者を表すために少し調整されています。

この ST における組織的なセキュリティ ポリシーは、FIPS PUB 140-2 および AES を含むように、[FWPP] の組織的なセキュリティ ポリシーを更新したものです。

対策方針の根拠

この ST におけるセキュリティ対策方針は、次のように、[FWPP] におけるセキュリティ対策方針と異なります。

a. TOE セキュリティ対策方針 O.IDAUTH が短縮され、接続されたネットワークが除外されています。この機能は TOE 環境で提供されます。TOE 環境では、この対策方針が完全に転記されています。管理者のローカル認証に対応するため、限定された対策方針が TOE セキュリティ対策方針で保持されます。この変更は PD-0115 と一貫性があります。

b. TOE セキュリティ対策方針 O.MEDIAT が明確になり、「クライアントとサーバ」ではなく「利用者」に言及しています。

c. IT 環境セキュリティ対策方針 OE.PHYSEC が、TOE 稼働環境および監査サーバへの接続を含むように変更されています。この変更により対策方針の趣旨は明確になり、曖昧になることはありません。

d. IT 環境セキュリティ対策方針 OE.PUBLIC が認証サーバを含むように変更され、環境セキュリティ対策方針 OE.IDAUTH および OE.SINUSE が追加されています。PD-0115 は TOE の範囲から認証サーバを除外しているため、この除外によりこれらの対策方針は [FWPP] の趣旨と一貫性を持ちます。

セキュリティ機能要件の根拠

この ST におけるセキュリティ機能要件は、次のように、[FWPP] におけるセキュリティ機能要件と異なります。

a. [FWPP] との一貫性を保つ形で、すべての操作が完了しています。

b. TOE セキュリティ機能要件 FIA_ATD.1、FIA_UAU.5、および FIA_UID.2 が、TOE と IT 環境で複製されています。これは TOE の範囲からの認証サーバの削除を表し、PD-0115 と一貫性があります。

セキュリティ保証要件の根拠

この ST における保証要件は、[FWPP] における保証要件とは異なります。相違点を 表12 に示します。

 

表12 ST と [FWPP] の保証の比較

[FWPP]
ST

-

ACM_AUT.1

ACM_CAP.2

ACM_CAP.4

-

ACM_SCP.2

ADO_DEL.1

ADO_DEL.2

ADV_FSP.1

ADV_FSP.2

-

ALC_DVS.1

-

ADV_SPM.1

-

ALC_FLR.1

-

ALC_LCD.1

ATE.COV.1

ATE_COV.2

-

ATE_DPT.1

-

AVA_MSU.2

AVA_VLA.3

AVA_VLA.2

監査サーバは PD-0113 で定義されている基準を満たすため、このドキュメントに記述されている変更された保証要件は、TOE のその部分に適用されます。

根拠

ここでは、次の項目について説明します。

「セキュリティ対策方針の根拠」

「環境に対するセキュリティ対策方針の根拠」

「TOE セキュリティ機能要件(SFR)の根拠」

「TOE 環境セキュリティ機能の根拠」

「セキュリティ保証要件(SAR)の根拠」

「すべての依存性が満たされるとは限らない根拠」

「TOE 要約仕様の根拠」

「相互支援的な IT セキュリティ機能」

セキュリティ対策方針の根拠

セキュリティ対策方針の根拠は、[FWPP] のセキュリティ対策方針の根拠をモデルにしています。完全性を期すために、ここにセキュリティ対策方針の根拠を示します。また、一部、[FWPP] における軽微なエラーを修正しています。たとえば、O.IDAUTH 対策方針には、利用者識別だけではなく利用者認証も含まれます。

 

O.IDAUTH

このセキュリティ対策方針は、脅威 T.NOAUTH に対抗するために必要である。なぜなら、このセキュリティ対策方針は、利用者が TOE にアクセスする前に一意に識別され認証されることを要求するためである。

O.SINUSE

このセキュリティ対策方針は、脅威 T.REPEAT および T.REPLAY に対抗するために必要である。なぜなら、このセキュリティ対策方針は、有効な認証データが取得されても、そのデータを使用して攻撃されないように、認証データが再利用されないように TOE が防止することを要求するためである。

O.MEDIAT

このセキュリティ対策方針は、脅威 T.ASPOOF、T.MEDIAT、および T.OLDINF に対抗するために必要である。これらの脅威は、許可されない情報が TOE を通過することを伴う。このセキュリティ対策方針は、ネットワークを通過するすべての情報が TOE によって仲介されること、および残存情報が転送されないことを要求する。

O.SECSTA

このセキュリティ対策方針は、起動時またはリカバリ時に TOE によって情報のセキュリティが脅かされないことを保証し、脅威 T.NOAUTH および T.SELPRO に対抗する。

O.ENCRYP

このセキュリティ対策方針は、脅威およびポリシー T.NOAUTH、T.PROCOM、および P.CRYPTO に対抗するために必要である。なぜなら、このセキュリティ対策方針は、許可されたファイアウォール管理者が TOE に対してリモートで管理機能を実行する場合に、暗号化の使用を要求するためである。

O.SELPRO

このセキュリティ対策方針は、脅威 T.SELPRO、T.NOAUTH、および T.AUDFUL に対抗するために必要である。なぜなら、このセキュリティ対策方針は、TOE が TOE セキュリティ機能のバイパス、非アクティブ化、または改ざんの試みから自身を保護することを要求するためである。

O.AUDREC

このセキュリティ対策方針は、脅威 T.AUDACC に対抗するために必要である。なぜなら、このセキュリティ対策方針は、読み取り可能な監査証跡、および監査証跡に含まれる情報の検索とソートの手段を要求するためである。

O.ACCOUN

このセキュリティ対策方針は、脅威 T.AUDACC に対抗するために必要である。なぜなら、このセキュリティ対策方針は、利用者が TOE を通過する情報について説明でき、また許可管理者が監査に関連するセキュリティ機能の使用について説明できることを要求するためである。

O.SECFUN

このセキュリティ対策方針は、脅威 T.NOAUTH、T.REPLAY、および T.AUDFUL に対抗するために必要である。なぜなら、このセキュリティ対策方針は、許可管理者だけが TOE セキュリティ機能にアクセスできることを保証する機能を TOE が提供することを要求するためである。

O.LIMEXT

このセキュリティ対策方針は、脅威 T.NOAUTH に対抗するために必要である。なぜなら、このセキュリティ対策方針は、許可管理者が TOE セキュリティ機能へのアクセスを制御および制限する手段を TOE が提供することを要求するためである。

O.EAL

このセキュリティ対策方針は、脅威 T.MODEXP に対抗するために必要である。なぜなら、このセキュリティ対策方針は、低い攻撃能力を持つ攻撃者による侵入攻撃に TOE が耐えられることを要求するためである。

表13 は、脅威とポリシーおよび IT セキュリティ対策方針の間のマッピングを示しています。各行の x 印は、各セキュリティ対策方針が必要であることを意味しています。すべてのカラムに x 印があるため、すべての脅威が対抗され、ポリシーが満たされています。

 

表13 脅威、ポリシー、および IT セキュリティ対策方針間のマッピングの要約

T.NOAUTH
T.REPEAT
T.REPLAY
T.ASPOOF
T.MEDIAT
T.OLDINF
T.PROCOM
T.AUDACC
T.SELPRO
T.AUDFUL
T.MODEXP
P.CRYPTO

O.IDAUTH

x

 

 

 

 

 

 

 

 

 

 

O.SINUSE

 

x

x

 

 

 

 

 

 

 

 

 

O.MEDIAT

 

 

 

x

x

x

 

 

 

 

 

 

O.SECSTA

x

 

 

 

 

 

 

 

x

 

 

 

O.ENCRYP

x

 

 

 

 

 

x

 

 

 

 

x

O.SELPRO

x

 

 

 

 

 

 

 

x

x

 

 

O.AUDREC

 

 

 

 

 

 

 

x

 

 

 

 

O.ACCOUN

 

 

 

 

 

 

 

x

 

 

 

 

O.SECFUN

x

 

x

 

 

 

 

 

 

x

 

 

O.LIMEXT

x

 

 

 

 

 

 

 

 

 

 

 

O.EAL

 

 

 

 

 

 

 

 

 

 

x

 

環境に対するセキュリティ対策方針の根拠

環境に対するセキュリティ対策方針の根拠は、[FWPP] の環境に対するセキュリティ対策方針の根拠に基づいています。

 

OE.IDAUTH

このセキュリティ対策方針は、脅威 T.NOAUTH に対抗するために必要である。なぜなら、このセキュリティ対策方針は、リモートの利用者が TOE にアクセスする前に一意に識別され認証されることを要求するためである。

OE.PHYSEC

TOE とその稼働環境が物理的にセキュアである。監査サーバへのアクセスは、TSF によってのみ可能である。

OE.MODEXP

利用可能な脆弱性を検出しようとする悪意のある攻撃の脅威は低レベルであると考えられる。

OE.GENPUR

TOE 上に汎用コンピューティング機能(たとえば、任意のコードやアプリケーションを実行する機能)およびストレージ リポジトリ機能がない。

OE.PUBLIC

TOE および認証サーバは、パブリック データをホストしない。

OE.NOEVIL

許可管理者は悪意を持っておらず、すべての管理者ガイダンスに従う。ただし、ミスを犯す可能性はある。

OE.SINGEN

情報は TOE を通過しない限り、内部ネットワークおよび外部ネットワークを流れることができない。

OE.DIRECT

TOE を保護している物理的にセキュアな境界の中にいる人間の利用者は、何らかの直接接続(たとえば、コンソール ポート)で、TOE へのアクセスを試みる可能性がある(その接続が TOE の一部である場合)。

OE.NOREMO

許可管理者ではない人間の利用者は、内部ネットワークまたは外部ネットワークから TOE にリモートでアクセスすることはできない。

OE.REMACC

許可管理者は、内部ネットワークおよび外部ネットワークから TOE にリモートでアクセスできる。

OE.GUIDAN

この非 IT セキュリティ対策方針は、脅威 T.TUSAGE および T.AUDACC に対抗するために必要である。なぜなら、この非 IT セキュリティ対策方針は、TOE がセキュアに配付、設置、管理、および運用されることを TOE の責任者が保証することを要求するためである。

OE.ADMTRA

この非 IT セキュリティ対策方針は、脅威 T.TUSAGE および T.AUDACC に対抗するために必要である。なぜなら、この非 IT セキュリティ対策方針は、許可管理者が適切なトレーニングを受けることを保証するからである。

OE.SINUSE

このセキュリティ対策方針は、脅威 T.REPEAT および T.REPLAY に対抗するために必要である。なぜなら、このセキュリティ対策方針は、有効な認証データが取得されても、そのデータを利用して攻撃されないように、IT 環境が認証データ再利用の防止に貢献することを要求するからである。

表14 は、脅威と 4 つの環境セキュリティ対策方針の間の関係を示しています。

 

表14 脅威と環境に対するセキュリティ対策方針間のマッピングの要約

T.
NOAUTH
REPEAT
REPLAY
TUSAGE
AUDACC

OE.IDAUTH

x

OE.GUIDAN

x

x

OE.ADMTRA

x

x

OE.SINUSE

x

x

残りの環境に対するセキュリティ対策方針は、一部、セキュリティ前提条件を再記述したものであるため、それらの前提条件のすべての側面にまでたどられます。

TOE セキュリティ機能要件(SFR)の根拠

この ST に示されている機能要件および保証要件は相互支援的であり、これらの組み合せによって前述のセキュリティ対策方針が満たされます。セキュリティ要件は、共通基準の Part 1 に示されている一般モデルに従って導出されました。次のパラグラフおよび 表13 は、セキュリティ要件とセキュリティ対策方針の間のマッピングを示しています。 表15 は、脅威、ポリシー、および IT セキュリティ対策方針の間の関係を示しています。これらの表を合せると、要件の完全性と充足性が実証されます。

セキュリティ対策方針 O.IDAUTH および選択済み保証レベル EAL4 を満たすために、必要に応じて、最低限の機能強度主張 SOF-Medium が選択されています。この ST で要求されるメトリックは、SOF-Medium に対する許容可能なメトリックです。

FAU_GEN.1 監査データ生成

このコンポーネントは、監査レコードにどのようなデータを含める必要があるか、およびどのようなイベントを監査する必要があるかについて概説します。このコンポーネントは、対策方針 O.AUDREC および O.ACCOUN にまでさかのぼり、これらの対策方針を満たすために役立ちます。

FAU_SAR.1 監査レビュー

このコンポーネントは、監査証跡が理解できることを保証します。このコンポーネントは、対策方針 O.AUDREC にまでさかのぼり、この対策方針を満たすために役立ちます。

FAU_SAR.3 選択可能監査レビュー

このコンポーネントは、監査証跡に対してさまざまな検索およびソートを実行できることを保証します。このコンポーネントは、対策方針 O.AUDREC にまでさかのぼり、この対策方針を満たすために役立ちます。

FAU_STG.1 保護された監査事象格納

このコンポーネントは、監査証跡が常に改ざんから保護され、許可管理者だけがセキュリティ機能を実行でき、起動およびリカバリで監査レコードのセキュリティが脅かされないことを保証するために選択されています。このコンポーネントは、対策方針 O.SECSTA、O.SELPRO、および O.SECFUN にまでさかのぼり、これらの対策方針を満たすために役立ちます。

FAU_STG.4 監査データ損失の防止

このコンポーネントは、監査証跡がいっぱいになったときに、許可された監査管理者が監査証跡を処理できること、およびリカバリ時にリソースのセキュリティが脅かされないことを保証します。このコンポーネントは、FAU_GEN.1 で定義されている他の監査可能イベントが発生しないことも保証します。したがって、許可管理者は潜在的に監査可能なアクションを実行できますが、監査証跡がいっぱいでない状態に戻るまで、これらのイベントは記録されません。このコンポーネントは、対策方針 O.SECSTA、O.SELPRO、および O.SECFUN にまでさかのぼり、これらの対策方針を満たすために役立ちます。

TCP システム ログ メッセージがイネーブルである場合、電源障害で失われる可能性があるのは、最大でも、最後の 50 パケットの結果として生成されたログの数です。これは厳密に定量化できませんが、監査キューの最大長は 8192 個のメッセージ(2MB)に制限されています。

FCS_COP.1 暗号操作

このコンポーネントは、内部ネットワークまたは外部ネットワークからリモートで TOE と通信するときに、許可ファイアウォール管理者が Triple-DES または AES を使用することを保証します。このコンポーネントは、想定される脅威環境で必要とされます。このコンポーネントは、対策方針 O.ENCRYP にまでさかのぼり、この対策方針を満たすために役立ちます。

FDP_IFC.1(1)サブセット情報フロー制御

このコンポーネントは、UNAUTHENTICATED 情報フロー制御 SFP に関与しているエンティティ(つまり、他の利用者に情報を送信している利用者、およびその逆の利用者)を識別します。このコンポーネントは、対策方針 O.MEDIAT にまでさかのぼり、この対策方針を満たすために役立ちます。

FDP_IFC.1(2)サブセット情報フロー制御

このコンポーネントは、AUTHENTICATED 情報フロー制御 SFP に関与しているエンティティ(つまり、情報をサーバに送信している、およびその逆のサービス FTP または Telnet の利用者)を識別します。このコンポーネントは、対策方針 O.MEDIAT にまでさかのぼり、この対策方針を満たすために役立ちます。

FDP_IFF.1(1)単純セキュリティ属性

このコンポーネントは、UNAUTHENTICATED SFP で情報を送受信している利用者の属性、および情報自身の属性を識別します。さらに、情報フローが許可される条件を述べることによって、ポリシーが定義されます。このコンポーネントは、対策方針 O.MEDIAT にまでさかのぼり、この対策方針を満たすために役立ちます。

FDP_IFF.1(2)単純セキュリティ属性

このコンポーネントは、AUTHENTICATED SFP で情報を送受信している利用者の属性、および情報自身の属性を識別します。さらに、情報フローが許可される条件を述べることによって、ポリシーが定義されます。このコンポーネントは、対策方針 O.MEDIAT にまでさかのぼり、この対策方針を満たすために役立ちます。

FDP_RIP.1 サブセット残存情報保護

このコンポーネントは、TOE が情報フローにパディングを使用する場合、以前に TOE を通過した情報も TOE 内部データも使用されないことを保証します。このコンポーネントは、対策方針 O.MEDIAT にまでさかのぼり、この対策方針を満たすために役立ちます。

FIA_AFL.1 認証失敗時の取り扱い

このコンポーネントは、許可管理者以外の人間の利用者が無限に認証試行を繰り返すことができないことを保証します。許可管理者が決定した失敗回数(0 であってはならない)に達すると、その時点から利用者は認証できなくなります。この状態は、許可管理者がその利用者に対して再び認証を可能にするまで続きます。このコンポーネントは、対策方針 O.SELPRO にまでさかのぼり、この対策方針を満たすために役立ちます。

FIA_ATD.1 利用者属性定義

このコンポーネントは、TOE が、アカウンタビリティの目的で、ある利用者を別の利用者と区別できるようにするため、および FMT_SMR.1 で選択された役割を利用者に関連付けることができるようにするために存在します。このコンポーネントは、対策方針 O.IDAUTH および O.SECFUN にまでさかのぼり、これらの対策方針を満たすために役立ちます。

FIA_UAU.5 複数の認証メカニズム

このコンポーネントは、TOE における、内部ネットワークまたは外部ネットワークからのすべての認証試行で、複数の認証メカニズムが適切に使用されることを保証するために選択されています。5.1 項でこの要件に対する追加の SOF メトリックが定義され、このメカニズムに十分な暗号強度があることを保証しています。このコンポーネントは、対策方針 O.SINUSE および O.IDAUTH にまでさかのぼり、これらの対策方針を満たすために役立ちます。この要件は、TOE によって一部満たされ、TOE 環境によって一部満たされることに注意してください。TOE セキュリティ機能要件下でのこのコンポーネントの存在は、ローカル管理者だけの認証を扱うことを目的としています。

FIA_UID.2 アクション前の利用者識別

このコンポーネントは、利用者の代わりにアクションが実行される前に、利用者が TOE に識別されることを保証します。このコンポーネントは、対策方針 O.IDAUTH および O.ACCOUN にまでさかのぼり、これらの対策方針を満たすために役立ちます。

FMT_MOF.1 セキュリティ機能のふるまいの管理(1)

このコンポーネントは、許可管理者だけが TOE の起動とシャットダウンの動作および単一使用認証機能(FIA_UAU.5 に記述)を管理できるように、TSF が制限することを保証します。このコンポーネントは、対策方針 O.SECSTA、O.SECFUN、および O.LIMEXT にまでさかのぼり、これらの対策方針を満たすために役立ちます。

FMT_MOF.1 セキュリティ機能のふるまいの管理(2)

このコンポーネントは、適切な許可管理者だけが、監査証跡の管理、TSF データのバックアップと復元、許可された外部 IT エンティティと TOE の通信などの機能の動作を変更できるように、TSF が制限することを保証します。このコンポーネントは、対策方針 O.SECSTA、O.SECFUN、および O.LIMEXT にまでさかのぼり、これらの対策方針を満たすために役立ちます。

FMT_MSA.1 セキュリティ属性の管理(1)

このコンポーネントは、TOE の起動時から TSF が UNAUTHENTICATED SFP を実施し、セクション 0(FDP_IFF1.1(1))に示されている特定のセキュリティ属性を追加、削除、および変更する機能を制限することを保証します。このコンポーネントは、対策方針 O.MEDIAT、O.SECSTA、および O.SECFUN にまでさかのぼり、これらの対策方針を満たすために役立ちます。

FMT_MSA.1 セキュリティ属性の管理(2)

このコンポーネントは、TOE の起動時から TSF が AUTHENTICATED SFP を実施し、セクション 0(FDP_IFF1.1(2))に示されている特定のセキュリティ属性を追加、削除、および変更する機能を制限することを保証します。このコンポーネントは、対策方針 O.MEDIAT、O.SECSTA、および O.SECFUN にまでさかのぼり、これらの対策方針を満たすために役立ちます。

FMT_MSA.1 セキュリティ属性の管理(3)

このコンポーネントは、TOE の起動時から TSF が UNAUTHENTICATED SFP を実施し、セクション 0(FDP_IFF1.1(1))の情報フロー規則に示されている特定のセキュリティ属性を作成または削除する機能を制限することを保証します。このコンポーネントは、対策方針 O.MEDIAT、O.SECSTA、および O.SECFUN にまでさかのぼり、これらの対策方針を満たすために役立ちます。

FMT_MSA.1 セキュリティ属性の管理(4)

このコンポーネントは、TOE の起動時から TSF が AUTHENTICATED SFP を実施し、セクション 0(FDP_IFF1.1(2))の情報フロー規則に示されている特定のセキュリティ属性を作成または削除する機能を制限することを保証します。このコンポーネントは、対策方針 O.MEDIAT、O.SECSTA、および O.SECFUN にまでさかのぼり、これらの対策方針を満たすために役立ちます。

FMT_MSA.3 静的属性初期化

このコンポーネントは、情報フロー制御セキュリティ規則にデフォルトの拒否ポリシーが存在することを保証します。このコンポーネントは、対策方針 O.MEDIAT および O.SECSTA にまでさかのぼり、これらの対策方針を満たすために役立ちます。

FMT_MTD.1 TSF データの管理(1)

このコンポーネントは、許可管理者だけが、FIA_ATD.1.1 に定義されている特定の利用者属性を照会、変更、削除、および割り当てできるように、TSF が制限することを保証します。このコンポーネントは、対策方針 O.SECFUN にまでさかのぼり、この対策方針を満たすために役立ちます。

FMT_MTD.1 TSF データの管理(2)

このコンポーネントは、許可管理者だけがタイムスタンプの形成に使用される日時を設定できるように、TSF が制限することを保証します。このコンポーネントは、対策方針 O.SECFUN にまでさかのぼり、この対策方針を満たすために役立ちます。

FMT_MTD.2 TSF データにおける限界値の管理

このコンポーネントは、許可管理者だけが認証失敗回数の制限を指定できるように TSF が制限することを保証し、制限に達するか、制限を超えた場合に実行されるアクションを指定します。このコンポーネントは、対策方針 O.SECFUN にまでさかのぼり、この対策方針を満たすために役立ちます。

FMT_SMF.1 管理機能の特定

このコンポーネントは、TOE にセキュリティ管理機能が実装されることを要求します。このコンポーネントは、対策方針 O.SECFUN にまでさかのぼり、この対策方針を満たすために役立ちます。

FMT_SMR.1 セキュリティ役割

この ST における CC クラス FMT コンポーネントは、それぞれこのコンポーネントに依存します。このコンポーネントは、対策方針 O.SECFUN にまでさかのぼり、この対策方針を満たすために役立ちます。

FPT_RVM.1 TSP の非バイパス性

このコンポーネントは、初期起動時から TSF が必ず呼び出されることを保証します。このコンポーネントは、対策方針 O.SELPRO および O.SECSTA にまでさかのぼり、これらの対策方針を満たすために役立ちます。

FPT_SEP.1 TSF ドメイン分離

このコンポーネントは、許可されていない利用者によって侵害されない個別の実行ドメインを TSF が持つことを保証します。このコンポーネントは、さまざまなプロセスの実行ドメインが分離され、許可されていない利用者によって侵害されないことも保証します。このコンポーネントは、対策方針 O.SELPRO にまでさかのぼり、この対策方針を満たすために役立ちます。

FPT_STM.1 高信頼タイムスタンプ

FAU_GEN.1 は、このコンポーネントに依存します。このコンポーネントは、TOE の日時が信頼できることを保証します。これは監査証跡にとって重要です。このコンポーネントは、対策方針 O.AUDREC にまでさかのぼり、この対策方針を満たすために役立ちます。

表15 の各行の x 印は、各 SFR が必要であることを意味しています。O.EAL を除くすべてのカラムに x 印があるため、O.EAL を除くすべてのセキュリティ対策方針が満たされています。O.EAL セキュリティ対策方針は、セキュリティ保証要件によって満たされます。

 

表15 TOE セキュリティ機能要件と IT セキュリティ対策方針間のマッピングの要約

O.IDAUTH
O.SINUSE
O.MEDIAT
O.SECSTA
O.ENCRYP
O.SELPRO
O.AUDREC
O.ACCOUN
O.SECFUN
O.LIMEXT
O.EAL

FAU_GEN.1

 

 

 

 

 

 

x

x

 

 

 

FAU_SAR.1

 

 

 

 

 

 

x

 

 

 

 

FAU_SAR.3

 

 

 

 

 

 

x

 

 

 

 

FAU_STG.1

 

 

 

x

 

x

 

 

x

 

 

FAU_STG.4

 

 

 

x

 

x

 

 

x

 

 

FCS_COP.1

 

 

 

 

x

 

 

 

 

 

 

FDP_IFC.1(1)

 

 

x

 

 

 

 

 

 

 

 

FDP_IFC.1(2)

 

 

x

 

 

 

 

 

 

 

 

FDP_IFF.1(1)

 

 

x

 

 

 

 

 

 

 

 

FDP_IFF.1(2)

 

 

x

 

 

 

 

 

 

 

 

FDP_RIP.1

 

 

x

 

 

 

 

 

 

 

 

FIA_AFL.1

 

 

 

 

 

x

 

 

 

 

 

FIA_ATD.1

x

 

 

 

 

 

 

 

x

 

 

FIA_UAU.5

x

x

 

 

 

 

 

 

 

 

 

FIA_UID.2

x

 

 

 

 

 

 

x

 

 

 

FMT_MOF.1 (1)

 

 

 

x

 

 

 

 

x

x

 

FMT_MOF.1 (2)

 

 

 

x

 

 

 

 

x

x

 

FMT_MSA.1 (1)

 

 

x

x

 

 

 

 

x

 

 

FMT_MSA.1 (2)

 

 

x

x

 

 

 

 

x

 

 

FMT_MSA.1 (3)

 

 

x

x

 

 

 

 

x

 

 

FMT_MSA.1 (4)

 

 

x

x

 

 

 

 

x

 

 

FMT_MSA.3

 

 

x

x

 

 

 

 

 

 

 

FMT_MTD.1 (1)

 

 

 

 

 

 

 

 

x

 

 

FMT_MTD.1 (2)

 

 

 

 

 

 

 

 

x

 

 

FMT_MTD.2

 

 

 

 

 

 

 

 

x

 

 

FMT_SMF.1

 

 

 

 

 

 

 

 

x

 

 

FMT_SMR.1

 

 

 

 

 

 

 

 

x

 

 

FPT_RVM.1

 

 

 

x

 

x

 

 

 

 

 

FPT_SEP.1

 

 

 

 

 

x

 

 

 

 

 

FPT_STM.1

 

 

 

 

 

 

x

 

 

 

 

TOE 環境セキュリティ機能の根拠

OE.IDAUTH および OE.SINUSE を除くすべての環境セキュリティ対策方針は、非 IT 手段によって満たされます。

次の根拠は、TOE 環境内で一部満たされるセキュリティ機能要件をサポートするために提供されています。

FIA_ATD.1 利用者属性定義

このコンポーネントは、TOE が、アカウンタビリティの目的で、ある利用者を別の利用者と区別できるようにするため、および FMT_SMR.1 で選択された役割を利用者に関連付けることができるようにするために存在します。このコンポーネントは、対策方針 OE.IDAUTH および OE.SINUSE にまでさかのぼり、これらの対策方針を満たすために役立ちます。TOE 環境セキュリティ機能要件下でのこのコンポーネントの存在は、許可されたリモート管理者および外部 IT エンティティだけの認証を扱うことを目的としています。

FIA_UAU.5 複数の認証メカニズム

このコンポーネントは、TOE における、内部ネットワークまたは外部ネットワークからのすべての認証試行で、複数の認証メカニズムが適切に使用されることを保証するために選択されています。このコンポーネントは、対策方針 OE.IDAUTH にまでさかのぼり、この対策方針を満たすために役立ちます。この要件は、TOE によって一部満たされ、TOE 環境によって一部満たされることに注意してください。TOE 環境セキュリティ機能要件下でのこのコンポーネントの存在は、許可されたリモート ファイアウォール管理者および外部 IT エンティティだけの認証を扱うことを目的としています。

FIA_UID.2 アクション前の利用者識別

このコンポーネントは、利用者の代わりにアクションが実行される前に、利用者が TOE に識別されることを保証します。このコンポーネントは、対策方針 OE.IDAUTH にまでさかのぼり、この対策方針を満たすために役立ちます。

セキュリティ保証要件(SAR)の根拠

この ST は、ALC_FLR.1 によって強化された EAL4 で記述されています。

EAL4 が選択された理由は、開発者が良好な商業的開発プラクティスに基づいて、積極的なセキュリティ エンジニアリングから最大の保証を得られるためです。EAL4 は、従来の商用 TOE において個別に保証された中レベルから高レベルのセキュリティを開発者および利用者に提供します。

お客様が欠陥を報告でき、その欠陥が体系的に修正されることを保証するために、EAL 4 は ALC_FLR.1 によって強化されています。

TOE によって処理される情報の高度のセキュリティを確保するには、開発者が脆弱性分析を行う必要があるだけではなく、TOE の評価者が独立侵入テストを実行し、低い攻撃能力を持つ攻撃者による侵入攻撃に TOE が耐えられることを確認する必要があります。

選択された保証レベルは、想定される脅威環境と一貫性のある O.EAL によってサポートされます。特に、攻撃の脅威は低レベル以下で、製品は開発者による脆弱性分析と評価者による独立侵入テストを受けます。

すべての依存性が満たされるとは限らない根拠

このセキュリティ ターゲットには、機能コンポーネント FCS_COP.1 および FIA_AFL.1 の依存先を除くすべての依存先が含まれています。

機能コンポーネント FCS_COP.1 は、機能コンポーネント FCS_CKM.1 暗号鍵生成、FCS_CKM.4 暗号鍵破棄、および FMT_MSA.2 セキュアなセキュリティ属性に依存します。暗号モジュールは、FIPS PUB 140-1 または FIPS 140-2 に準拠している必要があります。暗号モジュールは FIPS PUB 140-2 に準拠しているため、鍵生成、鍵破棄、およびセキュア鍵値の依存性は、FIPS PUB 140-2 に準拠することで満たされます。詳細については、FIPS PUB 140-2 の 4.7.2 項および 4.7.6 項を参照してください。

FIA_AFL.1 は FIA_UAU.1 に依存します。この認証機能は、認証失敗によるロック動作をサポートするために必要です。この ST では、FIA_UAU.5 を含めることで、必要な認証機能が要求されます。FIA_UAU.5 では、完了操作の項目 1 に、FIA_UAU.2(FIA_UAU.1 の上位階層)と似た文言が含まれています。

TOE 要約仕様の根拠

ここでは、TOE 要約仕様(「TOE 要約仕様」を参照)に記述されているセキュリティ機能が、SFR および SAR を実装するために必要かつ十分であることを示します。 表16 は、TOE セキュリティ機能要件と TOE セキュリティ機能間のマッピングの要約を示しています。

 

表16 TOE セキュリティ機能要件と TOE セキュリティ機能間のマッピングの要約

セキュリティ管理
監査
情報フロー制御
識別と認証
保護
クロック

FAU_GEN.1

 

x

 

 

 

x

FAU_SAR.1

 

x

 

 

 

 

FAU_SAR.3

 

x

 

 

 

 

FAU_STG.1

 

x

 

 

 

 

FAU_STG.4

 

x

 

 

 

 

FCS_COP.1

x

 

 

 

x

 

FDP_IFC.1(1)

 

 

x

 

 

 

FDP_IFC.1(2)

 

 

x

 

 

 

FDP_IFF.1(1)

 

 

x

 

 

 

FDP_IFF.1(2)

 

 

x

 

 

 

FDP_RIP.1

 

 

 

 

x

 

FIA_AFL.1

 

 

 

x

 

 

FIA_ATD.1

 

 

 

x

 

 

FIA_UAU.5

 

 

 

x

 

 

FIA_UID.2

 

 

 

x

 

 

FMT_MOF.1(1)

x

 

 

 

 

 

FMT_MOF.1(2)

x

x

 

 

 

 

FMT_MSA.1 (1)

x

 

x

 

 

 

FMT_MSA.1 (2)

x

 

x

 

 

 

FMT_MSA.1 (3)

x

 

x

 

 

 

FMT_MSA.1 (4)

x

 

x

 

 

 

FMT_MSA.3

x

 

x

 

 

 

FMT_MTD.1 (1)

x

 

 

x

 

 

FMT_MTD.1 (2)

x

 

 

 

 

x

FMT_MTD.2

x

 

 

x

 

 

FMT_SMF.1

x

x

x

x

 

x

FMT_SMR.1

x

x

x

x

 

x

FPT_RVM.1

 

 

 

 

x

 

FPT_SEP.1

 

 

 

 

x

 

FPT_STM.1

 

 

 

 

 

x

セキュリティ管理機能 では、許可管理者(FMT_SMR.1)が、FIPS 140 検証済み暗号化リンク(FCS_COP.1)を介してローカルおよびリモートで、次のアクション(FMT_SMF.1)を実行できます。

時刻を変更する(FMT_MTD.1(2))。

単一使用認証メカニズムの動作を制御する(ファイアウォール管理者のみ)(FMT_MOF.1(1))。

監査証跡、および外部 IT エンティティと TOE の通信を管理する(FMT_MOF.1(2))。

TSF データをバックアップする(FMT_MOF.1(2))。

情報フロー ポリシー規則を操作する(ファイアウォール管理者のみ)(FMT_MSA.1(1)、FMT_MSA.1(2)、FMT_MSA.1(3)、FMT_MSA.1(4)、および FMT_MSA.3)。

管理者アカウントを管理する(FMT_MTD.1(1))。

認証失敗ロックアウト メカニズムを管理する(FMT_MTD.2)。

情報制御フロー機能 では、許可されたファイアウォール管理者(FMT_SMR.1)が、ファイアウォール上のネットワーク インターフェイス ペア間のトラフィック フロー規則を設定できます(FMT_MSA.1(1)、FMT_MSA.1(2)、FMT_MSA.3、FMT_SMF.1)。デフォルトとして、ファイアウォールはすべてのネットワーク接続を許可しません。接続がファイアウォールを通過できるのは、そのタイプの通信が通過できるように規則が設定されている場合だけです(FMT_MSA.3)。

情報制御フロー機能を使用すると、許可されたファイアウォール管理者は、ファイアウォールのネットワーク インターフェイス間のネットワーク トラフィック フローを制限および制御できます。これはネットワーク インターフェイスに到達するパケットの、次のようなフロー属性に基づいて行われます。

要求が到達するインターフェイス(FDP_ IFF.1(1)、FDP_IFF.1(2)、FDP_IFC.1(1)、および FDP_IFC.1(2))。

パケットの推定される送信元 IP アドレス(FDP_ IFF.1(1)、FDP_IFF.1(2)、FDP_IFC.1(1)、および FDP_IFC.1(2))。

パケットの宛先 IP アドレス(FDP_ IFF.1(1)、FDP_IFF.1(2)、FDP_IFC.1(1)、および FDP_IFC.1(2))。

パケットに関連するサービス(FDP_ IFF.1(1) および FDP_IFF.1(2))。

パケットに含まれているトランスポート レイヤ プロトコル(FDP_ IFF.1(1) および FDP_IFF.1(2))。

パケットのアドレスを別のアドレスに変換できます(FDP_IFF.1(1) および FDP_IFF.1(2))。

パケットがファイアウォールの 1 つのインターフェイスに到達し、インターフェイスに設定されている規則の要件を満たさない場合、そのパケットはブロックされます。特定のパケットが、ファイアウォールの、あるネットワーク インターフェイスから別のネットワーク インターフェイスに流れることができるという明示的な規則がない限り、パケットはブロックされます(FDP_IFF.1(1)、FDP_IFF.1(2)、および FPT_RVM.1)。

監査機能 は、許可管理者が管理できる、ネットワーク接続および他のイベント(FAU_GEN.1)の信頼性の高い監査証跡を提供します(FMT_MOF1(2)、FMT_SMF.1)。すべてのイベントで、監査機能は次の情報を記録します。

イベントの日時(クロック機能によって提供された日時情報を使用)(FAU_GEN.1)。

送信元と宛先の IP アドレス(ネットワーク トラフィックのみ)(FAU_GEN.1)。

イベントまたはサービスのタイプ(FAU_GEN.1)。

イベントの成功または失敗(FAU_GEN.1)。

監査レコードは、監査サーバにセキュアに保存されます(FAU_STG.1)。監査サーバでは、PFSS を使用して、許可された監査管理者(FMT_SMR.1)が監査レコードを表示および分析できます(FAU_SAR.1、FAU_SAR.3)。TOE 要約仕様で説明しているように、PFSS の分析機能は、この分野のすべてのセキュリティ機能要件に対応します。

監査データの損失は制限されています(FAU_STG.4)。TCP システム ログ メッセージがイネーブルである場合、障害発生時に失われる可能性のあるのは、最大でも、最後の 50 パケットの結果として生成されたログの数です。これは厳密に定量化できませんが、監査キューの最大長は 8192 個のメッセージ(2MB)に制限されています。

保護機能 では、TOE を通過する情報ストリームを分離できます。TOE は、汎用のオペレーティング システムも、ディスク ストレージも、プログラミング インターフェイスも持たない、専用のファイアウォール デバイスです。インターフェイスは、管理者のため、およびサポート対象プロトコルを使用するトラフィックのために用意されています。管理インターフェイスは、認証と物理的な制御によって保護され、リモートで使用される場合には暗号化によっても保護されます(FCS_COP.1)。プロトコル コンバータは、通過するパケットがオブジェクトとして扱われること、および実行されるすべてのプロセスが信頼されていることを保証します。信頼されていないプロセスは、TOE で許可されません(FPT_SEP.1)。この機能は、新しいプロセスにメモリを提供する前に、新しいプロセスに割り当てるメモリをフラッシュします(FDP_RIP.1)。さらに、保護機能は TSC 内の機能が処理される前に、TSF が確実にその機能の検証に成功することも保証します(FPT_RVM.1)。

識別と認証機能 は、管理者が他の TOE 機能へのアクセスを許可される前に、識別(FIA_UID.2、FIA_ATD.1)および認証(FIA_UAU.5、FIA_ATD.1)されるように要求します。認証の失敗が監視され、定義済みの失敗制限を超えるとアカウントはロックされます(FIA_AFL.1)。

この機能は、許可管理者によって制御されます(FMT_SMF.1 および FMT_SMR.1)。許可管理者は、管理者属性を変更でき(FMT_MTD.1(1))、許可される認証試行回数を管理できます(FMT_MTD.2)。

パスワード メカニズムについて主張されている機能強度は SOF-Medium です。これは TOE の全体的な主張 SOF-Medium と一貫性があります。

クロック機能 は、日時情報の信頼できるソースを提供します。この機能では、許可管理者(FMT_SMF.1、FMT_SMR.1)が日時を設定および変更できます(FMT_MTD.1(2))。また、クロック機能は監査機能にタイムスタンプを提供します(FPT_STM.1)。

相互支援的な IT セキュリティ機能

IT セキュリティ機能の相互支援的な性質は、SFR の相互支援から引き出すことができます(「TOE セキュリティ機能要件(SFR)の根拠」を参照)。なぜなら、 表16 に示されているように、各 IT 機能を 1 つまたは複数の SFR にマッピングできるためです。

用語集

表17 は、このドキュメントで使用している用語および略語を示しています。

 

表17 用語および略語

AAA

Authentication, Authorization, and Accounting(認証、認可、アカウンティング)

ARP

Address Resolution Protocol(アドレス解決プロトコル)

CC

Common Criteria(共通標準)

CTIQBE

Computer Telephony Interface Quick Buffer Encoding

DHCP

Dynamic Host Control Protocol(動的ホスト制御プロトコル)

DNS

Domain Name System(ドメイン ネーム システム)

ESMTP

Extended Simple Mail Transfer Protocol(拡張シンプル メール転送プロトコル)

FTP

File Transfer Protocol(ファイル転送プロトコル)

GPRS

General Packet Radio Service(グローバル パケット ラジオ サービス)

GTP

GPRS Tunneling Protocol(GPRS トンネリング プロトコル)

HTTP

Hypertext Transfer Protocol(ハイパーテキスト転送プロトコル)

ICMP

Internet Control Message Protocol(インターネット制御メッセージ プロトコル)

ILS

Internet Locator Service(インターネット ロケータ サービス)

IP

Internet Protocol(インターネット プロトコル)

MGCP

Media Gateway Control Protocol(メディア ゲートウェイ コントロール プロトコル)

POP3

Post Office Protocol 3(ポスト オフィス プロトコル 3)

PP

Protection Profile(プロテクション プロファイル)

RIP

Routing Information Protocol(ルーティング情報プロトコル)

RPC

Remote Procedure Call(リモート プロシージャ コール)

RSH

Remote Shell(リモート シェル)

RTSP

Real Time Streaming Protocol(リアルタイム ストリーミング プロトコル)

SAR

Security Assurance Requirements(セキュリティ保証要件)

SFR

Security Functional Requirements(セキュリティ機能要件)

SIP

Session Initiation Protocol(セッション開始プロトコル)

Skinny(SCCP)

Skinny Client Control Protocol

SNMP

Simple Network Management Protocol(簡易ネットワーク管理プロトコル)

ST

Security Target(セキュリティ ターゲット)

TCP

Transmission Control Protocol(伝送制御プロトコル)

TFTP

Trivial File Transfer Protocol(簡易ファイル転送プロトコル)

TOE

Target of Evaluation(評価対象)

UDP

User Datagram Protocol(ユーザ データグラム プロトコル)

XDMCP

X Display Manager Control Protocol(X DMCP)

技術情報の入手、サポートの利用、およびセキュリティ ガイドライン

技術情報の入手、サポートの利用、マニュアルに関するフィードバックの提供、セキュリティ ガイドライン、および推奨されるエイリアスや一般的なシスコ製品のマニュアルについては、次の URL で、毎月更新される『 What's New in Cisco Product Documentation 』を参照してください。これには、シスコ製品の新規および改訂版の技術マニュアルもすべて示されています。

http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html