Cisco PIX 515/515E/525/535 セキュリティ アプライアンスおよび Cisco ASA 5510/5520/5540 適応型セキュリティ アプライアンス用 セキュリティ ターゲット Version 1.0

Transcription

1 Cisco PIX 515/515E/525/535 セキュリティアプライアンスおよび Cisco ASA 5510/5520/5540 適応型セキュリティアプライアンス用セキュリティターゲット Version 1.0 March 2007 目次 このマニュアルは 次の項で構成されています セキュリティターゲット概説 (P.2) TOE 記述 (P.4) TOE セキュリティ環境 (P.11) セキュリティ対策方針 (P.14) IT セキュリティ要件 (P.16) TOE 要約仕様 (P.47) プロテクションプロファイルの主張 (P.54) 根拠 (P.56) 用語集 (P.68) 技術情報の入手 サポートの利用 およびセキュリティガイドライン (P.69) Americas Headquarters: Cisco Systems, Inc., 170 West Tasman Drive, San Jose, CA USA Copyright 2007 Cisco Systems, Inc. All rights reserved.

2 セキュリティターゲット概説 セキュリティターゲット概説 ここでは 次の項目について説明します セキュリティターゲット識別情報 (P.2) セキュリティターゲットの概要 (P.2) CC 準拠 (P.2) 関連資料 (P.3) 表記法 (P.3) セキュリティターゲット識別情報 TOE 識別情報 :Cisco PIX 515/515E/525/535 セキュリティアプライアンスおよび Cisco ASA 5510/5520/5540 適応型セキュリティアプライアンス Version 7.0 ST 識別情報 :Cisco PIX 515/515E/525/535 セキュリティアプライアンスおよび Cisco ASA 5510/5520/5540 適応型セキュリティアプライアンス用セキュリティターゲット Version 1.0 March 2007 保証レベル :Common Criteria(CC; 共通基準 ) コンポーネント ALC_FLR.1 により増補された Evaluation Assurance Level(EAL; 評価保証レベル )4 ST 作成者 :Cisco Systems, 170 West Tasman Drive, San Jose CA キーワード : ファイアウォール パケットフィルタリング アプリケーションレベル CC 識別情報 : 情報技術機密保護評価の共通基準バージョン 2.2(2004 年 1 月 ) さらに該当する CCIMB および 2004 年 3 月 25 日までの米国内における解釈 解釈または先例の適用により特定の変更が発生した箇所については セキュリティターゲット内に記載 セキュリティターゲットの概要 Cisco PIX セキュリティアプライアンスおよび Cisco ASA 適応型セキュリティアプライアンスは ステートフルパケットフィルタリングファイアウォールです ステートフルパケットフィルタリングファイアウォールは コネクション型またはコネクションレス型の IP パケットのヘッダーにある情報をファイアウォールの許可管理者によって指定された一連の規則と照合することにより IP トラフィックフローを制御します このヘッダー情報には 送信元および宛先のホスト (IP) アドレス 送信元および宛先のポート番号 IP パケットのデータフィールドに保持されている Transport Service Application Protocol(TSAP; 転送サービスアプリケーションプロトコル ) があります 規則および照合結果に従い ファイアウォールはパケットを通過させるかドロップします ステートフルファイアウォールは 接続上を流れる先行パケットから収集された情報から接続状態を記憶しています セキュリティポリシーに違反する場合 パケットは拒否されます Cisco PIX および ASA アプライアンスは IP ヘッダー情報に加え 特定のファイアウォールネットワークインターフェイスでのパケットの方向 ( 着信または発信 ) などの情報に基づいて情報フローを仲介します コネクション型転送サービスでは ファイアウォールは接続およびその接続の後続パケットを許可するか 接続およびその接続に関連する後続パケットを拒否します CC 準拠 TOE は パート 2 およびパート 3 に準拠しており CC コンポーネント ALC_FLR.1 により増補された EAL 4 の要件を満たしています 2

3 セキュリティターゲット概説 関連資料 [FWPP] U.S. Department of Defense Application-level Firewall Protection Profile for Medium Robustness Environments Version 1.0(June 28, 2000) [FIPS140] Security Engineering Requirements for Cryptographic Modules FIPS National Institute of Standards and Technology( 国立標準技術研究所 )11 January 1994 および Security Engineering Requirements for Cryptographic Modules FIPS National Institute of Standards and Technology( 国立標準技術研究所 )25 May 2001 Change Notices( ) あり 表記法 この文書では 次の表記法が適用されています この ST 内のすべての要件は [FWPP] で定義されている要件に関連して再作成されています セキュリティ機能要件 :CC のパート 2 では 機能要件に適用される承認された一連の操作である割付 選択 詳細化 および反復を定義します - 詳細化操作は 要件に詳細を追加するために使用されます したがって 要件はさらに制限されます セキュリティ要件の詳細化は 太字で示されます 例については このセキュリティターゲットの FMT_SMR.1 を参照してください - 選択操作は 要件の記述において CC によって提供されているオプションを 1 つ以上選択するために使用されます 選択は イタリック体で示されます 例については このセキュリティターゲットの FDP_RIP.1 を参照してください - 割付操作は パスワードの長さなどの未指定のパラメータに特定の値を割り当てるために使用されます 割付は [assignment_value] のように 値を角カッコで囲んで表記されます 例については このセキュリティターゲットの FIA_AFL.1 を参照してください - 反復操作は コンポーネントがさまざまな操作で繰り返される場合に使用されます 反復は コンポーネント識別情報のあとに (iteration_number) のように カッコで囲んだ反復番号を表示して示されます 例については このセキュリティターゲットの FMT_MSA を参照してください 下線は ST で完了した操作を示すために使用され [FWPP] で完了した操作と区別する目的があります ST のその他の項では 太字およびイタリック体は キャプションなど 特定の関心事を示すテキストの強調表示に使用されます 3

4 TOE 記述 TOE 記述 ここでは 次の項目について説明します 概要 (P.4) 物理的境界 (P.6) 論理的範囲と論理的境界 (P.7) PP 準拠 (P.10) 保証要件 (P.10) 概要 この項では 潜在的なユーザがニーズを満たすかどうかを判断する際の支援として Cisco PIX セキュリティアプライアンス (PIX) および適応型セキュリティアプライアンス (ASA) バージョン 7.0 の概要を示します セキュリティアプライアンスは ネットワークインターフェイス間の Internet Protocol(IP; インターネットプロトコル ) トラフィック ( データグラム ) のフローを制御します セキュリティアプライアンスは さまざまなプラットフォームで提供されます この評価の範囲に含まれる PIX プラットフォームは E 525 および 535 です この評価の範囲に含まれる ASA プラットフォームは ASA-5510 ASA-5520 および ASA-5540 です これ以降は これらのプラットフォームを Target of Evaluation(TOE; 評価対象 ) と呼びます PIX および ASA(TOE) は すべてのモデルで Intel プロセッサを使用する専用ハードウェアデバイスです PIX は Cisco Secure PIX セキュリティアプライアンスソフトウェアイメージバージョン 7.0 を実行し ASA は Cisco 適応型セキュリティアプライアンスソフトウェアイメージバージョン 7.0 を実行します これらのソフトウェアイメージは同一です TOE は 単一の防御点を提供します また アプライアンスを通過する情報のフローを許可または拒否することにより サービスに対するネットワーク間のアクセスを制御および監査します 4

5 TOE 記述 図 1 TOE の物理的境界および図解によるネットワーク接続 TOE DMZ1 DMZ

6 TOE 記述 物理的境界 TOE の物理的構成には ネットワークインターフェイス間の IP トラフィックのフローを制御する 1 つの PIX または 1 つの ASA および監査ストレージおよび分析に使用される監査サーバが含まれます TOE の物理的境界には これらのコンポーネントが含まれます ( 図 1 を参照 ) TOE の物理的範囲には 表 1 に示すハードウェア要素およびソフトウェア要素が含まれます 表 1 TOE コンポーネント識別情報 コンポーネントハードウェア 説明次のいずれかの PIX 515 または 515E 単一の 433 MHz Intel Celeron プロセッサ (515E) PI-MMX 200MHz プロセッサ (515) ネットワークインターフェイスは最大 6 個 PIX-VAC-PLUS Cryptographic アクセラレータカード 600 MHz Intel Pentium III プロセッサで構成された 最大 10 個のネットワークインターフェイスを持つ PIX 525 PIX-VAC-PLUS Cryptographic アクセラレータカード 1000 MHz Intel Pentium III プロセッサで構成された 最大 14 個のネットワークインターフェイスを持つ PIX 535 PIX-VAC-PLUS Cryptographic アクセラレータカード ASA-5510 ASA-5520 および ASA-5540 それぞれ 2 GHz Intel Celeron プロセッサで構成され ネットワークインターフェイスは最大 9 個 PC 監査サーバプラットフォームソフトウェア Cisco Secure PIX Firewall バージョン 7.0 Windows 2000 Professional Service Pack 3( ホットフィックス Q を含む ) または Windows XP Professional Service Pack 2( 監査サーバ用 ) 付きの Service Pack 2( ホットフィックス および を含む ) PIX Firewall Syslog Server(PFSS)5.1(3) すべてのアプライアンスは追加モジュールで構成可能です 内蔵ネットワークインターフェイスに加えて 3 つのタイプのネットワークモジュールがサポートされます この評価でサポートされるネットワークモジュールは次のとおりです PIX 1 ポート 10/100 モジュール (Part Number PIX-1FE) 4 ポート 10/100 モジュール (Part Number PIX-4FE) 1 ポート Gigabit Ethernet Module(Part Number PIX-1GE-66 PIX 525 および 535 に限り使用可能 ) ASA 4 ポート Gigabit Ethernet Security Services Module(Part Number ASA-SSM-4GE=) すべてのモジュールは AC 電源または DC 電源のいずれでも使用可能です 電源装置はセキュリティ実行機能を提供しないため 電力が AC 電源から供給されるモジュールと DC 電源から供給されるモジュールは同じように扱われます 6

7 TOE 記述 監査サーバへの接続以外 TOE の物理的境界は TOE の外部ケーシング上の物理ポート接続です このようなポートの 1 つは 管理コンソールへの接続用です TOE の管理は 直接接続されたコンソール ( 図 1 を参照 ) または SSH を介してリンクされたネットワークコンソールから実行されます ネットワークコンソールの場所に制約はありません どちらの場合も コンソールは物理的に保護されている必要があります 監査サーバおよび認証サーバ用には 分離したセキュアな管理ネットワークが使用されます ( 図 1 の DMZ1 および DMZ2 を参照 ) TOE によって生成された監査データを保存する目的で TOE には Windows 2000 サーバまたは Windows XP サーバが含まれます これらのオペレーティングシステムは 認証されたバージョン ( 表 2.1 を参照 ) を使用する必要があります 必要に応じて このサーバをネットワークコンソールと組み合せることができます TOE は 製品に取り付けたインターフェイスカードの数に応じて 2 つ以上のネットワーク間の相互接続を提供します PIX E ASA-5510 ASA-5520 および ASA-5540 では ネットワークカードを組み合せて取り付けることができます 各ネットワークインターフェイスを内部として識別することも 外部として識別することも可能です インターフェイスを外部インターフェイスとして識別した場合 インターフェイスが接続するネットワークはファイアウォールの外側にあると分類されます インターフェイスを内部インターフェイスとして識別した場合 インターフェイスが接続するネットワークは ファイアウォールの内側 ( 背後 ) にあると分類されます ファイアウォールの内側 ( 背後 ) にあるすべてのネットワークは TOE によりファイアウォールの外側にあるネットワークから保護されます TOE は TOE の異なる内部ネットワークインターフェイスに接続するネットワーク間を防御します TOE の環境には 市販の単一使用 TACACS+ または RADIUS 認証サーバが含まれます セキュリティ維持のため TOE に接続する各ネットワーク間のすべてのトラフィックが TOE を経由して流れる必要があります 論理的範囲と論理的境界 TOE の範囲には 次のセキュリティ機能が含まれます TOE の動作をイネーブル化 ディセーブル化 または変更するためのセキュリティ管理 セキュリティ監査 ファイアウォールのインターフェイス間の情報フロー制御 管理者の識別と認証 残存情報保護と セキュリティ機能の確実な呼び出しを備えた セキュアなマルチタスク環境の提供 正確な日付と時刻の情報の提供 ここでは 次の項目について説明します シングルコンテキストまたはマルチコンテキスト (P.8) ルーテッドモードと透過モード (P.8) 管理 (P.9) 監査 (P.9) 範囲外 (P.9) TOE は コネクション型またはコネクションレス型の IP パケットのヘッダーにある情報をファイアウォールの許可管理者によって指定された一連の規則と照合することにより ネットワークインターフェイス間の IP トラフィック ( データグラム ) のフローを制御します このヘッダー情報には 送信元および宛先のホスト (IP) アドレス 送信元および宛先のポート番号 IP パケットの 7

8 TOE 記述 データフィールドに保持されている Transport Service Application Protocol(TSAP; 転送サービスアプリケーションプロトコル ) があります 規則および照合結果に従い ファイアウォールはパケットを通過させるかドロップします TOE は IP ヘッダー情報に加え 特定のファイアウォールネットワークインターフェイスでのパケットの方向 ( 着信または発信 ) などの情報に基づいて情報フローを仲介します コネクション型転送サービスでは ファイアウォールは接続およびその接続の後続パケットを許可するか 接続およびその接続に関連する後続パケットを拒否します 評価の範囲に含まれる TOE を通過する ( または TOE に向かう ) トラフィックのタイプには 次のものが含まれますが (Ethernet ARP CTIQBE DNS Echo Finger H.323 IP ICMP TCP UDP FTP GTP HTTP ILS MGCP POP3 RSH RTSP Skinny SIP ESMTP SunRPC Telnet TFTP XDMCP) これらに限定されません 次のプロトコルおよびアプリケーションに対しては TOE 内でアプリケーション検査も提供されます (CTIQBE H.323 ICMP FTP GTP HTTP ILS MGCP RSH RTSP Skinny SIP ESMTP SunRPC TFTP および XDMCP) TOE は NAT に対応します NAT は IP アドレスを内部インターフェイスから外部インターフェイスにマッピングするために使用されます この機能を使用して 内部インターフェイスの IP アドレスは 外部からアドレス指定可能な一連のグローバル IP アドレスにマッピングされます この機能は逆方向でも使用され アドレスが外部インターフェイスから内部インターフェイスにマッピングされます この方法でポート番号もマッピングできます この機能は一般に PAT と呼ばれます 論理ネットワークインターフェイスは 物理インターフェイスに 1 対 1 でマッピングできます ( 内部 外部 および DMZ) TOE は 単一物理インターフェイス上の複数の論理ネットワークもサポートします シングルコンテキストまたはマルチコンテキスト セキュリティコンテキストは 論理仮想ファイアウォールをハードウェアの制約にモデル化するために存在するプロセスの集合です 各セキュリティコンテキスト ( 仮想デバイス ) は 独自のセキュリティポリシー インターフェイス 管理者 および構成ファイルを持つ別個の独立したデバイスとして扱われます ファイアウォールが単一のルーテッドモードで動作しているときは セキュリティコンテキストのインスタンスが 1 つ存在し実行されます ファイアウォールがマルチコンテキストモードに設定されているときは 複数のセキュリティコンテキストが同時に実行されます マルチコンテキストモードの各コンテキストは 単一のルーテッドモードで使用されるものと同じプロセスで構成されています それらのプロセスの複数のインスタンスだけが実行されます 単一のルーテッドモードまたはマルチコンテキストモードで コンテキストの単一のインスタンス用に実行されている各プロセスに差異はありません マルチコンテキストは 複数のスタンドアロンデバイスを使用することに似ています ルーテッドモードと透過モード セキュリティアプライアンスは 次の 2 つのファイアウォールモードで実行可能です ルーテッドモード 透過モード ルーテッドモードでは セキュリティアプライアンスはネットワーク内のルータホップと見なされます 接続されたネットワーク間で NAT を実行し ( シングルコンテキストモードで )OSPF またはパッシブ RIP を使用することができます ルーテッドモードは多数のインターフェイスをサポートしています インターフェイスはそれぞれ異なるサブネット上に置かれます コンテキスト間でインターフェイスを共有することもできます 8

9 TOE 記述 透過モードでは セキュリティアプライアンスは bump-in-the-wire(bitw) または ステルスファイアウォール のように動作し ルータホップではありません セキュリティアプライアンスでは 内部インターフェイスと外部インターフェイスに同じネットワークが接続されます ダイナミックルーティングプロトコルや NAT は使用されません ただし ルーテッドモードと同様に 透過モードでも セキュリティアプライアンスを通過するトラフィックを許可するにはアクセスリストが必要です 例外は ARP パケットで このパケットは自動的に許可されます 透過モードでは ルーテッドモードでブロックされる特定のタイプのトラフィックをアクセスリストで許可できます これには サポートされていないルーティングプロトコルが含まれます 透過モードでは EtherType アクセスリストをオプションで使用して 非 IP トラフィックを許可することもできます 透過モードでサポートされるのは 内部インターフェイスおよび外部インターフェイスの 2 つだけです これらの他に ご使用のプラットフォームで使用可能な場合は 専用の管理インターフェイスがサポートされます 管理 TOE は 許可管理者により物理的にセキュアなローカル接続を介して管理されます TOE のファイアウォール部分は FIPS で承認された暗号化リンクの使用により 接続されているネットワークからリモートで管理することもできます TOE( ファイアウォールと監査サーバの両方 ) は 許可管理者のユーザ ID とパスワードによる認証をサポートします また 環境からサポートされていれば サードパーティの単一使用認証サーバの使用もサポートします 監査 PIX および ASA は TOE によって生成された監査データを保存および分析する目的で PIX Firewall Syslog サーバ (PFSS) を実行する Windows 2000 サーバまたは Windows XP サーバとも対話します PFSS( ファイアウォールログ用 ) と Windows Event Viewer( 監査サーバログ用 ) は TOE の一部として含まれているツールです その他のツールの使用は この評価では取り扱いません Windows アクセスコントロールは これらのツールの使用によって監査ログの完全性が損なわれていないことを確認します PIX および ASA は 監査データのエクスポートにより 監査分析を実行する機能をサポートします 監査サーバは 別の信頼できるネットワークにあり 信頼できる管理者によってのみアクセス可能です 範囲外 定義された TOE Security Functions(TSF; TOE セキュリティ機能 ) の範囲外にあり そのため評価されていない機能は次のとおりです RIP SNMP ASDM DHCP サーバ バーチャルプライベートネットワーク これらの例外を除いて TOE を通過する ( または TOE に向かう ) すべてのタイプのネットワークトラフィックは評価の範囲内です 単一使用認証を提供するために使用される外部 AAA サーバは TOE の範囲外です ただし このサーバの TOE によって行われる使用は範囲内です この ST の TOE 定義は CCEVS に基づく先例 PD-0113 を使用しています 9

10 TOE 記述 PP 準拠 TOE 機能は U.S. Department of Defense Application-level Firewall Protection Profile for Medium Robustness Environments Version 1.0(June 28, 2000) [FWPP] と一貫性を持つように指定されています この ST には [FWPP](PD-0115 および PD-0026 に基づく修正を含む ) に記載されているすべてのセキュリティ機能要件が含まれています 保証要件 TOE は ALC_FLR.1 により増補された EAL4 保証要件を満たすように設計されています 10

11 TOE セキュリティ環境 TOE セキュリティ環境 ここでは 次の項目について説明します 前提条件 (P.11) TOE のセキュリティに対する脅威 (P.12) 環境のセキュリティに対する脅威 (P.13) 組織的なセキュリティポリシー (P.13) 前提条件 表 2 に TOE セキュリティ環境の前提条件を示します これらは [FWPP] の前提条件と同じです 表 2 前提条件 番号 前提条件の名前 説明 1 A.PHYSEC TOE は物理的にセキュアである 2 A.PROTECTPF PFSS は PFSS のネットワークインターフェイスが TFS によってのみアクセス可能になるようにファイアウォールに接続される これは PFSS をファイアウォールに直接接続するか 信頼できるネットワークを介して間接的に接続することで達成される PFSS ネットワークインターフェイスのこの保護は PD-0113 で義務付けられている 3 A.MODEXP 利用可能な脆弱性を検出しようとする悪意のある攻撃の脅威は中レベルと考えられる 4 A.GENPUR TOE 上に汎用コンピューティング機能 ( たとえば 任意のコードやアプリケーションを実行する機能 ) およびストレージリポジトリ機能がない 5 A.PUBLIC TOE はパブリックデータをホストしない 6 A.NOEVIL 許可管理者は悪意を持っておらず すべての管理者ガイダンスに従う ただし ミスを犯す可能性はある 7 A.SINGEN 情報は TOE を通過しない限り 内部ネットワークおよび外部ネットワークを流れることができない 8 A.DIRECT TOE を保護している物理的にセキュアな境界の中にいる人間の利用者は 何らかの直接接続 ( たとえば コンソールポート ) で TOE へのアクセスを試みる可能性がある ( その接続が TOE の一部である場合 ) 9 A.NOREMO 許可管理者ではない人間の利用者は 内部ネットワークまたは外部ネットワークから TOE にリモートでアクセスすることはできない 10 A.REMACC 許可管理者は 内部ネットワークおよび外部ネットワークから TOE に リモートでアクセスできる 11

12 TOE セキュリティ環境 TOE のセキュリティに対する脅威 表 3 では TOE に対するセキュリティ脅威を定義しています 攻撃対象となる資産は TOE 規則セットによって表されるセキュリティポリシーに従って TOE を通過する情報です 一般的に 脅威エージェントには次のものが含まれますが これらに限定されません 1) 低い 専門知識 リソース および動機を持つと予想される TOE にアクセスできる人々または 2)TOE の障害 表 3 TOE に対する脅威 番号 脅威の名前 脅威の説明 1 T.NOAUTH 不正な人物が TOE によって提供されているセキュリティ機能または非セキュリティ機能あるいはその両方にアクセスして使用するために TOE のセキュリティをバイパスしようとする可能性がある 2 T.REPEAT 不正な人物が 認証情報を使用して TOE への攻撃を開始するために 認証データを繰り返し推量しようとする可能性がある 3 T.REPLAY 不正な人物が TOE によって提供されている機能にアクセスするために入手した有効な ID と認証情報を使用する可能性がある 4 T.ASPOOF 外部ネットワーク上の不正な人物が ( たとえば 送信元アドレスをスプーフィングして ) 認証データを偽り 正規の利用者または内部ネットワーク上のエンティティを装って情報フロー制御ポリシーをバイパスしようとする可能性がある 5 T.MEDIAT 不正な人物が 内部ネットワーク上のリソースの不正利用につながる容認できない情報を TOE を介して送信する可能性がある 6 T.OLDINF TOE 機能の不具合が原因となり 不正な人物が TOE からの情報フローのパディングをモニタリングすることにより 以前の情報フローまたは内部 TOE データから残存情報を収集する可能性がある 7 T.PROCOM 不正な人物または不正な外部 IT エンティティが リモートに位置する許可管理者と TOE の間を送信される情報に関連するセキュリティを表示 変更 削除できる可能性がある 8 T.AUDACC 監査レコードが確認されないために個人が実行したアクションの責任を問われず そのため攻撃者が検出を免れる可能性がある 9 T.SELPRO 不正な人物が セキュリティ上きわめて重要な TOE 設定データの読み取り 変更 または破壊を行う可能性がある 10 T.AUDFUL 不正な人物が 監査ストレージの容量を使い果たすアクションを実行することにより 監査レコードを喪失させたり 以後のレコードが記録されないようにしたり 攻撃者のアクションを隠す可能性がある 11 T.MODEXP 攻撃力の低い攻撃者が TOE または TOE が保護する資産にアクセスするために TSF をバイパスしようとする可能性がある 12

13 TOE セキュリティ環境 環境のセキュリティに対する脅威 この項では IT 環境に対する脅威を定義します 表 4 に その定義を示します 攻撃対象となる資産は TOE を通過する情報です 一般的に 脅威エージェントには次のものが含まれますが これらに限定されません 1) 平均的な 専門知識 わずかなリソース および中程度の動機を持つと予想される TOE にアクセスできる人々または 2)TOE の障害 表 4 IT 環境のセキュリティに対する脅威 番号 脅威の名前 脅威の説明 1 T.TUSAGE TOE は 許可人物または不正な人物によってセキュアではない方法で 誤って設定 使用 管理される可能性がある 組織的なセキュリティポリシー 表 5 に組織的なセキュリティポリシーを示します 表 5 組織的なセキュリティポリシー 番号 ポリシーの名前 ポリシーの説明 1 P.CRYPTO Triple DES 暗号化 (FIPS 46-3 [3] で仕様定義 ) または AES 暗号化 (FIPS 197 で仕様定義 ) を使用して リモート管理機能を保護する必要がある また 関連する暗号モジュールは 最低でも FIPS 140-1( レベル 1) または FIPS 140-2( レベル 1) に準拠する必要がある 13

14 セキュリティ対策方針 セキュリティ対策方針 ここでは 次の項目について説明します TOE に対するセキュリティ対策方針 (P.14) 環境に対するセキュリティ対策方針 (P.14) TOE に対するセキュリティ対策方針 表 6 に TOE に対するセキュリティ対策方針を示します 表 6 TOE に対するセキュリティ対策方針 番号 対策方針の名前 対策方針の説明 1 O.IDAUTH TOE は TOE 機能へのユーザアクセスを許可する前に すべての利用者の主張した識別情報を一意に識別し 認証しなければならない 2 O.SINUSE TOE は 接続されたネットワークから TOE で認証を受けようとする利用者の認証データの再使用を防止しなければならない 3 O.MEDIAT TOE は TOE によって制御される内部ネットワークおよび外部ネットワークにあるクライアントとサーバ間のすべての情報フローを仲介して 不適合のプロトコルの通過を拒否し 以前の情報フローの残存情報が決して送信されないようにしなければならない 4 O.SECSTA TOE の最初の起動時または TOE サービスへの割り込みからの回復時 TOE は TOE 自体のリソースまたは接続されたネットワークのリソースを危険にさらしてはならない 5 O.ENCRYP TOE は 接続されたネットワークからリモートで管理が行われることを許可している場合は 暗号化を使用して 許可管理者との対話の機密性を保護しなければならない 6 O.SELPRO TOE は 不正な利用者が TOE セキュリティ機能をバイパス 非アクティブ化 または改ざんしようとする試みから TOE 自身を保護しなければならない 7 O.AUDREC TOE は セキュリティ関連のイベントの正確な日付と時刻が記された解読可能な監査証跡を記録する手段 および関連性のある属性に基づいて監査証跡を検索およびソートする手段を提供しなければならない 8 O.ACCOUN TOE は TOE を通過する情報フローおよび許可管理者による監査関連のセキュリティ機能の使用に対するユーザアカウンタビリティを提供しなければならない 9 O.SECFUN TOE は TOE セキュリティ機能の使用を許可管理者に対して可能にする機能を提供し そのような機能に許可管理者だけがアクセスできることを確実にしなければならない 10 O.LIMEXT TOE は 不正な外部 IT エンティティによる TOE セキュリティ機能へのアクセスを許可管理者が制御および制限するための手段を提供しなければならない 11 O.EAL TOE は 構造的にテストされ 明白な脆弱性に対する抵抗力があるこ とを示されなければならない 環境に対するセキュリティ対策方針 表 7 に IT 環境に対するセキュリティ対策方針を示します 14

15 セキュリティ対策方針 表 7 IT 環境に対するセキュリティ対策方針 番号 対策方針の名前 対策方針の説明 1 OE.IDAUTH リモートの利用者が主張した識別情報は TOE 機能 ( または 特定の指定されたサービスの場合 接続されたネットワーク ) へのユーザアクセスを許可する前に 一意に識別され認証されなければならない 注 : 対策方針 IDAUTH は TOE および TOE 環境の両方に存在する これは 単一使用認証がリモートの利用者に適用される認証クレデンシャルを生成するために環境内の認証サーバが使用されることを反映している 2 OE.SINUSE 接続されたネットワークから TOE で認証を受けようとする利用者に対し 認証データの再使用が防止されなければならない 3 OE.PHYSEC TOE およびその稼働環境は物理的にセキュアであり PFSS のネットワークインターフェイスは TFS に限りアクセス可能である 4 OE.MODEXP 利用できる脆弱性を検出することを目的とする悪意のある攻撃の脅威が中程度と考えられる 5 OE.GENPUR TOE 上に汎用コンピューティング機能 ( たとえば 任意のコードやアプリケーションを実行する機能 ) およびストレージリポジトリ機能がない 6 OE.PUBLIC TOE および認証サーバは パブリックデータをホストしない 7 OE.NOEVIL 許可管理者は悪意を持っておらず すべての管理者ガイダンスに従う ただし ミスを犯す可能性はある 8 OE.SINGEN 情報は TOE を通過しない限り 内部ネットワークおよび外部ネットワークを流れることができない 9 OE.DIRECT TOE を保護している物理的にセキュアな境界の中にいる人間の利用者は 何らかの直接接続 ( たとえば コンソールポート ) で TOE へのアクセスを試みる可能性がある ( その接続が TOE の一部である場合 ) 10 OE.NOREMO 許可管理者ではない人間の利用者は 内部ネットワークまたは外部ネットワークから TOE にリモートでアクセスすることはできない 11 OE.REMACC 許可管理者は 内部ネットワークおよび外部ネットワークから TOE にリモートでアクセスできる 12 OE.GUIDAN TOE は セキュリティが維持される方法で提供 設置 管理 および運用される必要がある 13 OE.ADMTRA 許可管理者は セキュリティのポリシーおよび慣行の確立と維持に関 するトレーニングを受けている 15

16 IT セキュリティ要件 IT セキュリティ要件 ここでは 次の項目について説明します TOE セキュリティ機能要件 (P.16) TOE 環境セキュリティ機能要件 (P.31) TOE セキュリティ保証要件 (P.33) TOE セキュリティ機能要件 すべてのセキュリティ機能要件は CC パート 2 に基づいています これらの要件は 詳細化を示すために ST の表 8 で繰り返されています 詳細化に使用される表記法については P.3 の 表記法 を参照してください ここでは 次の項目について説明します セキュリティ監査 (P.17) 暗号操作 (P.19) 利用者データ保護 (P.20) 識別と認証 (P.25) セキュリティ管理 (P.26) TSF の保護 (P.30) 表 8 TOE セキュリティ機能要件 TOE セキュリティ機能要件クラスセキュリティ監査 (FAU) 暗号操作 (FCS) 利用者データ保護 (FDP) 識別と認証 (FIA) セキュリティ機能要件コンポーネント監査データ生成 (FAU_GEN.1) 監査レビュー (FAU_SAR.1) 選択可能監査レビュー (FAU_SAR.3) 保護された監査事象格納 (FAU_STG.1) 監査データ損失の防止 (FAU_STG.4) 暗号操作 (FCS_COP.1) サブセット情報フロー制御 1(FDP_IFC.1) サブセット情報フロー制御 2(FDP_IFC.1) 単純セキュリティ属性 1(FDP_IFF.1) 単純セキュリティ属性 2(FDP_IFF.1) サブセット残存情報保護 (FDP_RIP.1) 認証失敗時の取り扱い (FIA_AFL.1) 利用者属性定義 (FIA_ATD.1) 複数の認証メカニズム (FIA_UAU.5) アクション前の利用者識別 (FIA_UID.2) 16

17 IT セキュリティ要件 表 8 TOE セキュリティ機能要件 ( 続き ) TOE セキュリティ機能要件クラス セキュリティ管理 (FMT) TSF の保護 (FPT) セキュリティ機能要件コンポーネントセキュリティ機能のふるまいの管理 1(FMT_MOF.1) セキュリティ機能のふるまいの管理 2(FMT_MOF.1) セキュリティ属性の管理 1(FMT_MSA.1) セキュリティ属性の管理 2(FMT_MSA.1) セキュリティ属性の管理 3(FMT_MSA.1) セキュリティ属性の管理 4(FMT_MSA.1) 静的属性初期化 (FMT_MSA.3) TSF データの管理 1(FMT_MTD.1) TSF データの管理 2(FMT_MTD.1) TSF データにおける限界値の管理 (FMT_MTD.2) 管理機能の特定 (FMT_SMF.1) セキュリティ役割 (FMT_SMR.1) TSP の非バイパス性 (FPT_RVM.1) TSF ドメイン分離 (FPT_SEP.1) 高信頼タイムスタンプ (FPT_STM.1) セキュリティ監査 FAU_GEN.1 監査データ生成 下位階層 なし FAU_GEN.1.1 TSF は 以下の監査対象事象の監査記録を生成できなければならない a. 監査機能の起動と終了 b. 監査の指定なしレベルのすべての監査対象事象 FAU_GEN.1.2 c. 表 9 に定義した監査対象事象 TSF は 各監査記録において少なくとも以下の情報を記録しなければならない a. 事象の日付および時刻 事象の種別 サブジェクト識別情報 事象の結果 ( 成功または失敗 ) 依存性 b. 各監査事象種別に対して ST の機能コンポーネントの監査対象事象の定義に基づいた 表 9 の第 3 カラムで指定する情報 FPT_STM.1 高信頼タイムスタンプ 17

18 IT セキュリティ要件 表 9 監査対象事象 機能コンポーネント 監査対象事象 追加の監査記録内容 FCS_COP.1 成功と失敗および暗号操作の種別 暗号操作を実行しようとしている外部 IT エンティティの識別情報 FDP_IFF.1 情報フローの要求に対するすべての決定 送信元および宛先サブジェクトの推定アドレ FIA_AFL.1 不成功の認証試行に対するしきい値の到達 および許可管理者によるその後の利用者の認証機能の復元 ス 違反利用者および許可管理者の識別情報 FIA_UAU.5 認証の最終決定 利用者識別情報および認証の成功または不成 功 FIA_UID.2 利用者識別情報メカニズムのすべての使用 TOE に提供された利用者識別情報 FMT_MOF.1 FMT_SMR.1 監査に関するこの要件にリストされている機能の使用 許可管理者の役割の一部である利用者のグループに対する改変 許可管理者としての不成功の認証試行 この操作を実行している許可管理者の識別情報 改変を実行する許可管理者の識別情報 および許可管理者の役割に関連付けられている利用者識別情報 利用者の識別情報と役割 FPT_STM.1 時間の変更 この操作を実行している許可管理者の識別情 報 適用上の注釈 : 表 9 で太字で示したテキストは CC パート 2 要件への追加です FAU_SAR.1 監査レビュー 下位階層 FAU_SAR.1.1 FAU_SAR.1.2 依存性 なし TSF は [ 許可管理者 ] が [ すべての監査事象データ ] を監査記録から読み出せるようにしなければならない TSF は 利用者に対し その情報を解釈するのに適した形式で監査記録を提供しなければならない FAU_GEN.1 監査データ生成 FAU_SAR.3 選択可能監査レビュー 下位階層 FAU_SAR.3.1 なし TSF は [ 次に示す基準 ] に基づいて 監査データを [ 検索および並べ替え ] する能力を提供しなければならない a. 利用者識別情報 b. 推定サブジェクトアドレス c. 日付範囲 d. 時刻範囲 e. アドレス範囲 依存性 FAU_SAR.1 監査レビュー 18

19 IT セキュリティ要件 FAU_STG.1 保護された監査事象格納下位階層なし FAU_STG.1.1 TSF は 格納された監査記録を不正な削除から保護しなければならない FAU_STG.1.2 TSF は 監査記録への改変を防止できねばならない FAU_GEN.1 監査データ生成依存性 FAU_STG.4 監査データ損失の防止下位階層 FAU_STG.3 FAU_STG.4.1 TSF は 監査証跡が満杯になった場合 特権を持つ管理者に関わるもの以外の監査対象事象の抑止および [ 監査記録損失の数の制限 ] を行わねばならない 依存性 FAU_GEN.1 監査データ生成 暗号操作 FCS_COP.1 暗号操作下位階層 FCS_COP.1.1 なし TSF は [FIPS PUB 46-3 の Keying Option 1 および FIPS PUB 140-1( レベル 1)] に合致する 特定された暗号アルゴリズム [FIPS PUB 46-3 で特定され FIPS PUB 46-3 の Keying Option 1(K1 K2 K3 は独立した鍵 ) で特定されたすべての操作モードを実装する Triple Data Encryption Standard(DES; データ暗号規格 )] と暗号鍵長 [FIPS PUB 197 で特定された 2 進数 192 桁の長さおよび Advanced Encryption Standard(AES; 高度暗号規格 ) および暗号鍵長 [2 進数 または 256 桁の長さ ] に従って [ 許可管理者のリモートセッションの暗号化 ] を実行しなければならない 依存性 FDP_ITC.1 セキュリティ属性なし利用者データのインポート または 適用上の注釈 FCS_CKM.1 暗号鍵生成 FCS_CKM.4 暗号鍵破棄 FMT_MSA.2 セキュアなセキュリティ属性この要件は 接続されたネットワークから許可管理者がリモートでセキュリティ機能を実行する機能が TOE のファイアウォール部分に含まれるために適用されます 19

20 IT セキュリティ要件 利用者データ保護 FDP_IFC.1(1) サブセット情報フロー制御下位階層なし FDP_IFC.1.1 TSF は 以下に対して [UNAUTHENTICATED SEP] を実施しなければならない a. サブジェクト :TOE を介して互いに情報を送受信する非認証の外部 IT エンティティ b. 情報 : あるサブジェクトから他のサブジェクトに TOE を介して送信されたトラフィック 依存性 c. 操作 : 情報の受け渡し FDP_IFF.1 単純セキュリティ属性 FDP_IFC.1(2) サブセット情報フロー制御 下位階層 なし FDP_IFC.1.1 TSF は 以下に対して [AUTHENTICATED SFP] を実施しなければならない a. サブジェクト : 情報フローを開始する人間の利用者が FIA_UAU.5 によって TOE で認証された後に限り TOE を介して FTP 情報および Telnet 情報を互いに送受信する人間の利用者および外部 IT エンティティ b. あるサブジェクトから他のサブジェクトに TOE を介して送信された FTP トラフィックおよび Telnet トラフィック 依存性 c. 操作 : サービスの起動および情報の受け渡し FDP_IFF.1 単純セキュリティ属性 FDP_IFF.1(1) 単純セキュリティ属性下位階層なし FDP_IFF.1.1 TSF は 以下のサブジェクトおよび情報のセキュリティ属性の種別に基づいて [UNAUTHENTICATED SFP] を実施しなければならない a. サブジェクトセキュリティ属性 : 推定アドレス その他のサブジェクトセキュリティ属性 :[ なし ] b. 情報セキュリティ属性 : 送信元サブジェクトの推定アドレス 宛先サブジェクトの推定アドレス トランスポートレイヤプロトコル トラフィックが着信および発信する TOE インターフェイス サービス その他の情報セキュリティ属性 :[ なし ] 20

21 IT セキュリティ要件 FDP_IFF.1.2 TSF は 以下の規則が保持されていれば 制御された操作を通じて 制御されたサブジェクトと他の制御されたサブジェクト間の情報フローを許可しなければならない a. 内部ネットワーク上のサブジェクトは 次の条件が真ならば 他の接続されたネットワークに情報が TOE を介して流れるようにすることができる 情報フローを開始した人間の利用者が FIA_UAU.5 に従って認証する すべての情報セキュリティ属性値は 情報フローセキュリティポリシー規則によって明白に許可されている ここでこのような規則は 許可管理者によって作成された 情報フローセキュリティ属性の値のすべての可能な組み合せから構成される可能性がある 情報内の送信元サブジェクトの推定アドレスは 内部ネットワークアドレスに変換される 情報内の宛先サブジェクトの推定アドレスは 他方の接続されたネットワーク上のアドレスに変換される b. 外部ネットワーク上のサブジェクトは 次の条件が真ならば 他の接続されたネットワークに情報が TOE を介して流れるようにすることができる すべての情報セキュリティ属性値は 情報フローセキュリティポリシー規則によって明白に許可されている ここでこのような規則は 許可管理者によって作成された 情報フローセキュリティ属性の値のすべての可能な組み合せから構成される可能性がある 情報内の送信元サブジェクトの推定アドレスは 外部ネットワークアドレスに変換される FDP_IFF.1.3 FDP_IFF.1.4 FDP_IFF.1.5 情報内の宛先サブジェクトの推定アドレスは 他方の接続ネットワーク上のアドレスに変換される TSF は [ なし ] を実施しなければならない TSF は [ なし ] を提供しなければならない TSF は 以下の規則に基づいて 情報フローを明示的にラベル付けしなければならない [ なし ] 21

22 IT セキュリティ要件 FDP_IFF.1.6 TSF は 以下の規則に基づいて 情報フローを明示的に拒否しなければならない a. TOE は 情報が外部 TOE インターフェイスに着信し 送信元サブジェクトの推定アドレスが内部ネットワーク上の外部 IT エンティティである場合 アクセス要求またはサービス要求を拒否しなければならない b. TOE は 情報が内部 TOE インターフェイスに着信し 送信元サブジェクトの推定アドレスが外部ネットワーク上の外部 IT エンティティである場合 アクセス要求またはサービス要求を拒否しなければならない c. TOE は 情報が内部または外部 TOE インターフェイスに着信し 送信元サブジェクトの推定アドレスがブロードキャストネットワーク上の外部 IT エンティティである場合 アクセス要求またはサービス要求を拒否しなければならない d. TOE は 情報が内部または外部 TOE インターフェイスに着信し 送信元サブジェクトの推定アドレスがループバックネットワーク上の外部 IT エンティティである場合 アクセス要求またはサービス要求を拒否しなければならない e. TOE は 情報が受信サブジェクトに途中で流れるルートをサブジェクトが指定している場合 その要求を拒否しなければならない また f. TOE によってサポートされているアプリケーションプロトコル ( たとえば DNS HTTP SMTP POP3) に対し TOE は 関連付けられた公開プロトコル仕様 ( たとえば RFC) に適合しないアクセス要求またはサービス要求を拒否しなければならない これは その目的のために設計されたプロトコルフィルタリングプロキシを通じて達成されなければならない 適用上の注釈 1. 規則 6 は アプリケーションレベルのプロキシが DNS HTTP SMTP および POP3 に対して提供されている場合に適用されます 2. NAT および PAT は SFR で明示的に言及されていませんでしたが 特別にテストされました 依存性 FDP_IFC.1 サブセット情報フロー制御 FMT_MSA.3 静的属性初期化 22

23 IT セキュリティ要件 FDP_IFF.1(2) 単純セキュリティ属性下位階層なし FDP_IFF.1.1 TSF は 以下のサブジェクトおよび情報のセキュリティ属性の種別に基づいて [AUTHENTICATED SFP] を実施しなければならない a. サブジェクトセキュリティ属性 : 推定アドレス その他のサブジェクトセキュリティ属性 :[ なし ] b. 情報セキュリティ属性 : 利用者識別情報 送信元サブジェクトの推定アドレス 宛先サブジェクトの推定アドレス トランスポートレイヤプロトコル トラフィックが着信および発信する TOE インターフェイス サービス ( つまり FTP および Telnet) セキュリティ関連のサービスコマンド FDP_IFF.1.2 その他の情報セキュリティ属性 :[ なし ] TSF は 以下の規則が保持されていれば 制御された操作を通じて 制御されたサブジェクトと他の制御されたサブジェクト間の情報フローを許可しなければならない a. 内部ネットワーク上のサブジェクトは 次の場合 他の接続されたネットワークに情報が TOE を介して流れるようにすることができる 情報フローを開始した人間の利用者が FIA_UAU.5 に従って認証する すべての情報セキュリティ属性値は 情報フローセキュリティポリシー規則によって明白に許可されている ここでこのような規則は 許可管理者によって作成された 情報フローセキュリティ属性の値のすべての可能な組み合せから構成される可能性がある 情報内の送信元サブジェクトの推定アドレスは 内部ネットワークアドレスに変換される 情報内の宛先サブジェクトの推定アドレスは 他方の接続されたネットワーク上のアドレスに変換される 23

24 IT セキュリティ要件 b. 外部ネットワーク上のサブジェクトは 次の場合 他の接続されたネットワークに情報が TOE を介して流れるようにすることができる 情報フローを開始した人間の利用者が FIA_UAU.5 に従って認証する すべての情報セキュリティ属性値は 情報フローセキュリティポリシー規則によって明白に許可されている ここでこのような規則は 許可管理者によって作成された 情報フローセキュリティ属性の値のすべての可能な組み合せから構成される可能性がある 情報内の送信元サブジェクトの推定アドレスは 外部ネットワークアドレスに変換される FDP_IFF.1.3 FDP_IFF.1.4 FDP_IFF.1.5 FDP_IFF.1.6 情報内の宛先サブジェクトの推定アドレスは 他方の接続ネットワーク上のアドレスに変換される TSF は [ なし ] を実施しなければならない TSF は [ なし ] を提供しなければならない TSF は 以下の規則に基づいて 情報フローを明示的にラベル付けしなければならない [ なし ] TSF は 以下の規則に基づいて 情報フローを明示的に拒否しなければならない a. TOE は 情報が外部 TOE インターフェイスに着信し 送信元サブジェクトの推定アドレスが内部ネットワーク上の外部 IT エンティティである場合 アクセス要求またはサービス要求を拒否しなければならない b. TOE は 情報が内部 TOE インターフェイスに着信し 送信元サブジェクトの推定アドレスが外部ネットワーク上の外部 IT エンティティである場合 アクセス要求またはサービス要求を拒否しなければならない c. TOE は 情報が内部または外部 TOE インターフェイスに着信し 送信元サブジェクトの推定アドレスがブロードキャストネットワーク上の外部 IT エンティティである場合 アクセス要求またはサービス要求を拒否しなければならない d. TOE は 情報が内部または外部 TOE インターフェイスに着信し 送信元サブジェクトの推定アドレスがループバックネットワーク上の外部 IT エンティティである場合 アクセス要求またはサービス要求を拒否しなければならない e. TOE は 情報が受信サブジェクトに途中で流れるルートをサブジェクトが指定している場合 その要求を拒否しなければならない 依存性 f. TOE は 一般に受け入れられている公開プロトコル定義 ( たとえば RFC) に適合しない Telnet コマンド要求または FTP コマンド要求を拒否しなければならない これは その目的のために設計されたプロトコルフィルタリングプロキシを通じて達成されなければならない FDP_IFC.1 サブセット情報フロー制御 FMT_MSA.3 静的属性初期化 24

25 IT セキュリティ要件 FDP_RIP.1 サブセット残存情報保護下位階層なし FDP_RIP.1.1 TSF は 以下のオブジェクトへの資源の割り当てにおいて 資源の以前のどの情報の内容も利用できなくすることを保証しなければならない [ すべてのオブジェクト ] 依存性なし 識別と認証 FIA_AFL.1 認証失敗時の取り扱い 下位階層 なし FIA_AFL.1.1 TSF は [ 許可された TOE 管理者アクセスまたは許可された TOE IT エン ティティアクセス ] に関して [ 許可された管理者が設定したゼロ以外の 値 ] 回の不成功認証試行が生じたときを検出しなければならない FIA_AFL.1.2 不成功の認証試行が定義した回数に達するか上回ったとき TSF は [ 許可 管理者が何らかのアクションを行って問題の外部 IT エンティティに対し 認証を可能にするまで 違反している外部 IT エンティティの認証成功防 止 ] をしなければならない 依存性 FIA_UAU.1 認証のタイミング 適用上の注釈 1. TOE は 外部 IT エンティティの認証試行の回数を制限できますが これは実際には DoS 攻撃 ( サービス拒絶攻撃 ) の機会に相当するため推奨されません 2. この要件は ローカルユーザデータベースと照合する認証に限り適用され FIA_UAU.5 を通じてリモート AAA サーバに委ねられたローカル認証またはリモート認証には適用されません このような 委ねられたリモート認証は TOE の範囲内ではないため これは要件の希薄化に相当しません FIA_ATD.1 利用者属性定義下位階層なし FIA_ATD.1.1 TSF は 個々の利用者に属する以下のセキュリティ属性のリストを維持しなければならない a. ID b. 人間の利用者と許可管理者の役割とのアソシエーション 依存性 なし c. パスワード FIA_UAU.5 複数の認証メカニズム US PD-115 に従い このセキュリティ機能要件の項目 1 2 および 3 は TOE 環境により部分的に対処されます 下位階層なし FIA_UAU.5.1 TSF は 利用者認証をサポートするため [ パスワードおよび単一使用認証メカニズム ] を提供しなければならない 25

26 IT セキュリティ要件 FIA_UAU.5.2 TSF は [ 次の複数の認証メカニズム規則 ] に従って 利用者が主張する識別情報を認証しなければならない a. 単一使用認証メカニズムは 許可管理者が TOE にリモートでアクセスするために使用されなければならない それによって 成功認証は その許可管理者を代行する他の TSF 調停アクションを許可する前に達成されなければならない b. 単一使用認証メカニズムは TOE にアクセスする許可された外部 IT エンティティに使用されなければならない それによって 成功認証は その許可された外部 IT エンティティを代行する他の TSF 調停アクションを許可する前に達成されなければならない c. 単一使用認証メカニズムは FTP または Telnet を使用して TOE を介して情報を送信または受信する人間の利用者に使用されなければならない それによって 成功認証は その人間の利用者を代行する他の非 TSF 調停アクションを許可する前に達成されなければならない 依存性適用上の注釈 d. 固定パスワードメカニズムは 許可管理者が 直接接続された端末を介して TOE にアクセスするために使用されなければならない それによって 成功認証は その許可管理者を代行する他の TSF 調停アクションを許可する前に達成されなければならない なし TOE は 外部の単一使用認証メカニズムの適切な起動および認証決定に基づいた適切なアクションの実行に対して責任を持たなければなりません 業界の慣行に合せて 認証サーバの選択は この ST によって義務付けられません FIA_UID.2 アクション前の利用者識別下位階層なし FIA_UID.2.1 TSF は その利用者を代行する他の TSF 調停アクションを許可する前に 各利用者に自分自身を識別することを要求しなければならない 依存性なし セキュリティ管理 FMT_MOF.1(1) セキュリティ機能のふるまいの管理 下位階層 なし FMT_MOF.1.1(1) TSF は 機能 a. TOE の操作 b. FIA_UAU.5 で示された単一使用認証機能 依存性 のふるまいを動作させる 停止する能力を [ 許可管理者 ] に制限しなければならない FMT_SMF.1 管理機能の特定 FMT_SMR.1 セキュリティ役割 26

27 IT セキュリティ要件 FMT_MOF.1(2) セキュリティ機能のふるまいの管理 下位階層 なし FMT_MOF.1.1(2) TSF は 機能 a. 監査証跡の管理 b. TSF データのバックアップと復元 情報フロー規則 および監査証跡データ c. 許可された外部 IT エンティティと TOE の通信 のふるまいを動作させる 停止する 決定する 改変する能力を [ 許可管理者 ] に制限しなければならない ( 注 ) 監査データについては この制限は監査管理者に適用されます 依存性 適用上の注釈 FMT_SMF.1 管理機能の特定 FMT_SMR.1 セキュリティ役割要素 c)( 許可された外部 IT エンティティと TOE の通信 ) のふるまいの決定と改変は 許可された外部エンティティが接続に使用できるアドレスの範囲を提供するなどの機能を補うことを目的とします FMT_MSA.1(1) セキュリティ属性の管理下位階層なし FMT_MSA.1.1(1) TSF は セキュリティ属性 [FDP_IFF1.1(1) にリストされたもの ] に対し [ 規則からの属性の削除 規則内の属性の改変 および規則への属性の追加 ] をする能力を [ 許可されたファイアウォール管理者 ] に制限する [UNAUTHENTICATED_SFP] を実施しなければならない 依存性 FDP_ACC.1 サブセットアクセス制御 または FDP_IFC.1 サブセット情報フロー制御 FMT_SMF.1 管理機能の特定 FMT_SMR.1 セキュリティ役割 FMT_MSA.1(2) セキュリティ属性の管理下位階層なし FMT_MSA.1.1(2) TSF は セキュリティ属性 [FDP_IFF1.1(2) にリストされたもの ] に対し [ 規則からの属性の削除 規則内の属性の改変 および規則への属性の追加 ] をする能力を [ 許可されたファイアウォール管理者 ] に制限する [AUTHENTICATED_SFP] を実施しなければならない 27

28 IT セキュリティ要件 依存性 FDP_ACC.1 サブセットアクセス制御 または FDP_IFC.1 サブセット情報フロー制御 FMT_SMF.1 管理機能の特定 FMT_SMR.1 セキュリティ役割 FMT_MSA.1(3) セキュリティ属性の管理下位階層なし FMT_MSA.1.1(3) TSF は セキュリティ属性 [FDP_IFF.1.1(1) に示された情報フロー規則 ] に対し削除および [ 作成 ] をする能力を [ 許可されたファイアウォール管理者 ] に制限する [UNAUTHENTICATED_SFP] を実施しなければならない 依存性 FDP_ACC.1 サブセットアクセス制御 または FDP_IFC.1 サブセット情報フロー制御 FMT_SMF.1 管理機能の特定 FMT_SMR.1 セキュリティ役割 FMT_MSA.1(4) セキュリティ属性の管理下位階層なし FMT_MSA.1.1(4) TSF は セキュリティ属性 [FDP_IFF.1.1(2) に示された情報フロー規則 ] に対し削除および [ 作成 ] をする能力を [ 許可されたファイアウォール管理者 ] に制限する [AUTHENTICATED_SFP] を実施しなければならない 依存性 FDP_ACC.1 サブセットアクセス制御 または FDP_IFC.1 サブセット情報フロー制御 FMT_SMF.1 管理機能の特定 FMT_SMR.1 セキュリティ役割 FMT_MSA.3 静的属性初期化下位階層なし FMT_MSA.3.1 TSF は その SFP を実施するために使われるセキュリティ属性として 情報フローの制限的デフォルト値を与える [UNAUTHENTICATED SFP および AUTHENTICATED SFP] を実施しなければならない FMT_MSA.3.2 TSF は オブジェクトや情報が生成されるとき [ 許可されたファイアウォール管理者 ] が デフォルト値を上書きする代替の初期値を特定することを許可しなければならない 依存性 FMT_MSA.1 セキュリティ属性の管理 FMT_SMR.1 セキュリティ役割 28

29 IT セキュリティ要件 FMT_MTD.1(1)TSF データの管理下位階層なし FMT_MTD.1.1(1) TSF は [FIA_ATD.1.1 で定義された利用者属性 ] を問い合せ 改変 削除 [ および割り当て ] する能力を [ 許可管理者 ] に制限しなければならない 依存性 FMT_SMF.1 管理機能の特定 FMT_SMR.1 セキュリティ役割 FMT_MTD.1(2)TSF データの管理下位階層なし FMT_MTD.1.1(2) TSF は [FPT_STM.1.1 のタイムスタンプの形成に使用される時刻と日付 ] を [ 設定 ] する能力を [ 許可管理者 ] に制限しなければならない 依存性 FMT_SMF.1 管理機能の特定 FMT_SMR.1 セキュリティ役割 FMT_MTD.2 TSF データにおける限界値の管理下位階層なし FMT_MTD.2.1 TSF は [ 認証失敗回数 ] に限界値を指定することを [ 許可管理者 ] に制限しなければならない FMT_MTD.2.2 TSF は TSF データが指示された限界値に達するか それを超えた場合 以下のアクションをとらねばならない [FIA_AFL.1.2 で指定されたアクション ] 依存性 FMT_MTD.1 TSF データの管理 FMT_SMR.1 セキュリティ役割 FMT_SMF.1 管理機能の特定下位階層なし FMT_SMF.1.1 TSF は 以下のセキュリティ管理機能を実行することができなければならない a. TOE の操作をイネーブルまたはディセーブルにする b. FIA_UAU.5 で示された単一使用認証機能をイネーブルまたはディセーブルにする c. 監査証跡の動作をイネーブルにする ディセーブルにする 決定する および改変する d. TSF データ 情報フロー規則 および監査証跡データのバックアップと復元の機能の動作をイネーブルにする ディセーブルにする 決定する および改変する e. 許可された外部 IT エンティティが TOE と通信する動作をイネーブルにする ディセーブルにする 決定する および改変する f. 項 FDP_IFF1.1(1) でリストされたセキュリティ属性について 規則から属性を削除する 規則内の属性を改変する および規則に属性を追加する 29

30 IT セキュリティ要件 g. FDP_IFF.1(1) で示された情報フロー規則を削除する および作成する h. FIA_ATD.1.1 で定義された利用者属性を問い合せる 改変する 削除する および割り当てる i. FPT_STM.1.1 のタイムスタンプの形成に使用される時刻と日付を設定する 依存性 j. 認証失敗回数の制限値を指定する なし FMT_SMR.1 セキュリティ役割下位階層なし FMT_SMR.1.1 TSF は 役割 [ 許可されたファイアウォール管理者および許可された監査管理者 ] を維持しなければならない FMT_SMR.1.2 TSF は 人間の利用者を許可管理者の役割に関連付けなければならない 依存性 FIA_UID.1 識別のタイミング適用上の注釈この ST で さらなる制限なしで管理者への言及が行われている箇所では その言及にファイアウォール管理者と監査管理者の両方が含まれます これは セキュリティ機能要件を弱めるものではなく 単に TOE 内の管理者の役割が分割可能であることを示します ファイアウォール管理者は PIX/ASA の管理者です 監査管理者は Windows 監査サーバの管理者です TSF の保護 FPT_RVM.1 TSP の非バイパス性下位階層なし FPT_RVM.1.1 TSF は TSC 内の各機能の動作進行が許可される前に TSP 実施機能が呼び出され成功することを保証しなければならない 依存性なし FPT_SEP.1 TSF ドメイン分離下位階層なし FPT_SEP.1.1 TSF は それ自身の実行のため 信頼できないサブジェクトによる干渉や改ざんからそれを保護するためのセキュリティドメインを維持しなければならない FMT_SEP.1.2 TSF は TSC 内でサブジェクトのセキュリティドメイン間の分離を実施しなければならない 依存性なし 30

31 IT セキュリティ要件 FPT_STM.1 高信頼タイムスタンプ下位階層なし FPT_STM.1.1 TSF は それ自身の使用のために 高信頼タイムスタンプを提供できなければならない 依存性なし 適用上の注釈上記要件の 高信頼 という言葉は 監査対象事象の発生順序が保たれることを意味します 高信頼タイムスタンプには日付と時刻の両方が含まれます このようなタイムスタンプは 2 つ以上のコンポーネントで構成される TOE にとって特に重要です セキュリティ機能要件に必要な最小機能強度は SOF- 中位です 機能強度は パスワード認証メカニズムのために 認証データが推測され得る可能性が 2 の 40 乗 ( 40 ) 分の 1 以下であることが実証されなければなりません パスワード認証メカニズムは CC パート 1 で定義されている SOF- 中位を実証する必要があります TOE 環境セキュリティ機能要件 次の機能要件は 一部は TOE によって満たされ 一部は環境によって満たされます FIA_ATD.1 利用者属性定義下位階層なし FIA_ATD.1.1 IT 環境は 個々の利用者および外部 IT エンティティに属する以下のセキュリティ属性のリストを維持しなければならない a. ID b. 人間の利用者と許可されたファイアウォール管理者の役割とのアソシエーション 依存性 なし c. パスワード FIA_UAU.5 複数の認証メカニズム US PD-115 に従い このセキュリティ機能要件の項目 1 2 および 3 は TOE 環境により部分的に対処されます 項目 4 は TOE によって対処されます 下位階層なし FIA_UAU.5.1 IT 環境は 利用者認証をサポートするため [ パスワードおよび単一使用認証メカニズム ] を提供しなければならない 31

32 IT セキュリティ要件 FIA_UAU.5.2 IT 環境は [ 次の複数の認証メカニズム規則 ] に従って 利用者が主張する識別情報を認証しなければならない a. 単一使用認証メカニズムは 許可されたファイアウォール管理者が TOE にリモートでアクセスするために使用されなければならない それによって 成功認証は その許可されたファイアウォール管理者を代行する他の TSF 調停アクションを許可する前に達成されなければならない b. 単一使用認証メカニズムは TOE にアクセスする許可された外部 IT エンティティに使用されなければならない それによって 成功認証は その許可された外部 IT エンティティを代行する他の TSF 調停アクションを許可する前に達成されなければならない c. 単一使用認証メカニズムは FTP または Telnet を使用して TOE を介して情報を送信または受信する人間の利用者に使用されなければならない それによって 成功認証は その人間の利用者を代行する他の非 TSF 調停アクションを許可する前に達成されなければならない 依存性適用上の注釈 d. 固定パスワードメカニズムは 許可管理者が 直接接続された端末を介して TOE にアクセスするために使用されなければならない それによって 成功認証は その許可管理者を代行する他の TSF 調停アクションを許可する前に達成されなければならない なし TOE は 外部の単一使用認証メカニズムの適切な起動および認証決定に基づいた適切なアクションの実行に対して責任を持たなければなりません 業界の慣行に合せて 認証サーバの選択は この ST によって義務付けられません FIA_UID.2 アクション前の利用者識別下位階層なし FIA_UID.2.1 IT 環境は その利用者を代行する他の TSF 調停アクションを許可する前に 各利用者に自分自身を識別することを要求しなければならない 依存性なし 32

33 IT セキュリティ要件 TOE セキュリティ保証要件 表 10 に CC パート 3 に基づく TOE セキュリティ保証要件を示します このセキュリティ保証要件は ALC_FLR.1 により増補された EAL4 を表しています 表 10 TOE 保証コンポーネント 保証クラス構成管理 (ACM) 配付と運用 (ADO) 開発 (ADV) ガイダンス文書 (AGD) ライフサイクルサポート (ALC) テスト (ATE) 脆弱性評定 (AVA) 保証コンポーネント部分的な CM 自動化 (ACM_AUT.1) 生成の支援と受入手続き (ACM_CAP.4) 問題追跡の CM 範囲 (ACM_SCP.2) 改変の検出 (ADO_DEL.2) 設置 生成 および立上げ手順 (ADO_IGS.1) 完全に定義された外部インターフェイス (ADV_FSP.2) セキュリティ実施上位レベル設計 (ADV_HLD.2) TSF の実装のサブセット (ADV_IMP.1) 記述的下位レベル設計 (ADV_LLD.1) 非形式的対応の実証 (ADV_RCR.1) 非形式的な TOE セキュリティ方針モデル (ADV_SPM.1) 管理者ガイダンス (AGD_ADM.1) 利用者ガイダンス (AGD_USR.1) セキュリティ手段の識別 (ALC_DVS.1) 基本的な欠陥修正 (ALC_FLR.1) 開発者定義ライフサイクルモデル (ALC_LCD.1) 明確に定義された開発ツール (ALC_TAT.1) カバレージの分析 (ATE_COV.2) テスト : 上位レベル設計 (ATE_DPT.1) 機能テスト (ATE_FUN.1) 独立テスト : サンプル (ATE_IND.2) 分析の確認 (AVA_MSU.2) TOE セキュリティ機能強度評価 (AVA_SOF.1) 独立脆弱性分析 (AVA_VLA.2) 33

34 IT セキュリティ要件 構成管理 ここでは 次の項目について説明します 配付と運用 (P.35) 開発 (P.36) ガイダンス文書 (P.40) ライフサイクルサポート (P.41) テスト (P.43) 脆弱性評定 (P.44) ACM_AUT.1 部分的な CM 自動化依存性 ACM_CAP.3 許可管理開発者アクションエレメント : ACM_AUT.1.1D 開発者は CM システムを使用しなければならない ACM_AUT.1.2D 開発者は CM 計画を提供しなければならない 証拠の内容および提示エレメント : ACM_AUT.1.1C CM システムは TOE の実装表現に対して 許可された変更だけができる自動化された手段を提供しなければならない ACM_AUT.1.2C CM システムは TOE の生成を支援する自動化された手段を提供しなければならない ACM_AUT.1.3C CM 計画は CM システムで使用される自動化ツールについて記述しなければならない ACM_AUT.1.4C CM 計画は CM システムでどのように自動化ツールを使用するかを記述しなければならない 評価者アクションエレメント : ACM_AUT.1.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない ACM_CAP.4 生成の支援と受入手続き依存性 ALC_DVS.1 セキュリティ手段の識別開発者アクションエレメント : ACM_CAP.4.1D 開発者は TOE のリファレンスを提供しなければならない ACM_CAP.4.2D 開発者は CM システムを使用しなければならない ACM_CAP.4.3D 開発者は CM 証拠資料を提供しなければならない 証拠の内容および提示エレメント : ACM_CAP.4.1C TOE のリファレンスは TOE のバージョンごとに一意でなければならない ACM_CAP.4.2C TOE は そのリファレンスでラベル付けされなければならない ACM_CAP.4.3C CM 証拠資料は 構成リスト CM 計画 および受入計画を含まなければならない ACM_CAP.4.4C 構成リストは TOE を構成するすべての構成要素を一意に識別しなければならない ACM_CAP.4.5C 構成リストは TOE を構成する構成要素を記述しなければならない 34

35 IT セキュリティ要件 ACM_CAP.4.6C ACM_CAP.4.7C ACM_CAP.4.8C ACM_CAP.4.9C ACM_CAP.4.10C ACM_CAP.4.11C ACM_CAP.4.12C ACM_CAP.4.13C CM 証拠資料は TOE を構成する構成要素を一意に識別する方法を記述しなければならない CM システムは TOE を構成するすべての構成要素を一意に識別しなければならない CM 計画は CM システムがどのように使用されるかを記述しなければならない CM システムが CM 計画に従って機能していることを証拠により示さなければならない CM 証拠資料は CM システム下ですべての構成要素が効果的に維持され続けていることの証拠を提供しなければならない CM システムは 許可された変更だけが構成要素に対して行われる手段を提供しなければならない CM システムは TOE の生成を支援しなければならない 受入計画は 修正もしくは新規に生成された構成要素を TOE の一部として受け入れるための手続きを記述しなければならない 評価者アクションエレメント : ACM_CAP.4.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない ACM_SCP.2 問題追跡の CM 範囲依存性 ACM_CAP.3 許可管理開発者アクションエレメント : ACM_SCP.2.1D 開発者は TOE の構成要素のリストを提供しなければならない 証拠の内容および提示エレメント : ACM_SCP.2.1C 構成要素のリストは 以下を含まなければならない 実装表現 セキュリティ欠陥 および ST の保証コンポーネントによって要求される評価証拠 評価者アクションエレメント : ACM_SCP.2.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない 配付と運用 ADO_DEL.2 改変の検出依存性 ACM_CAP.3 許可管理開発者アクションエレメント : ADO_DEL.2.1D 開発者は TOE またはその一部を利用者に配付するための手続きに関する証拠資料を提出しなければならない ADO_DEL.2.2D 開発者は 配付手続きを使用しなければならない 証拠の内容および提示エレメント : ADO_DEL.2.1C 配付に関する証拠資料は TOE の版を利用者サイトへ配送するときにセキュリティを維持するために必要なすべての手続きを記述しなければならない ADO_DEL.2.2C 配付に関する証拠資料は 種々の手続きや技術的手段が 開発者のマスターコピーと利用者サイトで受け取る版の間の改変 または不一致の検出にどう備えているかを記述しなければならない 35

36 IT セキュリティ要件 ADO_DEL.2.3C 配付に関する証拠資料は 種々の手続きが たとえ開発者が利用者サイトへ何も送らないような場合にも 開発者を装うとする試みをいかに検出するかを記述しなければならない 評価者アクションエレメント : ADO_DEL.2.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない ADO_IGS.1 設置 生成 および立上げ手順依存性 AGD_ADM.1 管理者ガイダンス開発者アクションエレメント : ADO_IGS.1.1D 開発者は TOE のセキュアな設置 生成 および立上げの手順に関する証拠資料を提出しなければならない 証拠の内容および提示エレメント : ADO_IGS.1.1C 設置 生成 および立上げ証拠資料は TOE のセキュアな設置 生成 および立上げのために必要なステップをすべて記述しなければならない 評価者アクションエレメント : ADO_IGS.1.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない ADO_IGS.1.2E 評価者は 設置 生成 および立上げの手順がセキュアな構成を結果として生じしめることを決定しなければならない 開発 ADV_FSP.2 完全に定義された外部インターフェイス依存性 ADV_RCR.1 非形式的対応の実証開発者アクションエレメント : ADV_FSP.2.1D 開発者は 機能仕様を提供しなければならない 証拠の内容および提示エレメント : ADV_FSP.2.1C 機能仕様は 非形式的なスタイルで TSF およびその外部インターフェイスを記述しなければならない ADV_FSP.2.2C 機能仕様は 内部的に一貫していなければならない ADV_FSP.2.3C 機能仕様は すべての効果 例外 および誤りメッセージの完全な詳細を提供することにより すべての外部 TSF インターフェイスの目的と使用方法を記述しなければならない ADV_FSP.2.4C 機能仕様は 完全に TSF を表現しなければならない ADV_FSP.2.5C 機能仕様は TSF が完全に表現されている根拠を含んでいなければならない 評価者アクションエレメント : ADV_FSP.2.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない ADV_FSP.2.2E 評価者は 機能仕様が TOE セキュリティ機能要件の正確かつ完全な具体化であることを決定しなければならない 36

37 IT セキュリティ要件 ADV_HLD.2 セキュリティ実施上位レベル設計依存性 ADV_FSP.1 非形式的な機能仕様 ADV_RCR.1 非形式的対応の実証開発者アクションエレメント : ADV_HLD.2.1D 開発者は TSF の上位レベルの設計を提供しなければならない 証拠の内容および提示エレメント : ADV_HLD.2.1C 上位レベルの設計の表現は 非形式的でなければならない ADV_HLD.2.2C 上位レベルの設計は 内部的に一貫していなければならない ADV_HLD.2.3C 上位レベルの設計は サブシステムの観点から TSF の構造を記述しなければならない ADV_HLD.2.4C 上位レベルの設計は TSF の個々のサブシステムによって提供されるセキュリティの機能性を記述しなければならない ADV_HLD.2.5C 上位レベルの設計は TSF が必要とするすべての基盤となるハードウェア ファームウェア およびソフトウェアを これらのハードウェア ファームウェア またはソフトウェアの中に実装されている補助的な保護メカニズムによって提供される機能の説明とともに識別しなければならない ADV_HLD.2.6C 上位レベルの設計は TSF のサブシステムに対するすべてのインターフェイスを識別しなければならない ADV_HLD.2.7C 上位レベルの設計は 外部から見える TSF のサブシステムに対するインターフェイスを識別しなければならない ADV_HLD.2.8C 上位レベルの設計は 効果 例外 および誤りメッセージの詳細を適切に提供することにより TSF のサブシステムに対するすべてのインターフェイスの目的と使用方法を記述しなければならない ADV_HLD.2.9C 上位レベルの設計は TSP 実施サブシステムとそれ以外のサブシステムに分けて TOE を記述しなければならない 評価者アクションエレメント : ADV_HLD.2.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない ADV_ HLD.2.2E 評価者は 上位レベルの設計が TOE セキュリティ機能要件の正確かつ完全な具体化であることを決定しなければならない 適用上の注釈このファミリ内のエレメントは 評価者が 上位レベルの設計が TOE セキュリティ機能要件の正確かつ完全な具体化であることを決定するという要件を定義しています ADV_RCR ファミリによって求められるペアワイズな対応に加え このエレメントは TOE セキュリティ機能要件と上位レベルの設計の直接対応を規定します 評価者は ADV_RCR で提供された証拠をこの決定を行うための入力として使用することが予想され 完全性の要件は 上位レベルの設計の抽象化レベルと相対的となることが意図されています 37

38 IT セキュリティ要件 ADV_IMP.1 TSF の実装のサブセット依存性 ADV_LLD.1 記述的下位レベル設計 ADV_RCR.1 非形式的対応の実証 ALC_TAT.1 明確に定義された開発ツール開発者アクションエレメント : ADV_IMP.1.1D 開発者は TSF の選定された一部分について実装表現を提供しなければならない 証拠の内容および提示エレメント : ADV_IMP.1.1C 実装表現は さらなる設計上の決定を必要とせずに TSF が生成されるほどの詳細レベルまで TSF を曖昧さなく定義しなければならない ADV_IMP.1.2C 実装表現は 内部的に一貫していなければならない 評価者アクションエレメント : ADV_IMP.1.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない ADV_ IMP.1.2E 評価者は 提供された最も抽象度が低い TSF 表現が TOE セキュリティ機能要件の正確かつ完全な具体化であることを決定しなければならない ADV_LLD.1 記述的下位レベル設計依存性 ADV_HLD.2 セキュリティ実施上位レベル設計 ADV_RCR.1 非形式的対応の実証開発者アクションエレメント : ADV_LLD.1.1D 開発者は TSF の下位レベルの設計を提供しなければならない 証拠の内容および提示エレメント : ADV_LLD.1.1C 下位レベルの設計の表現は 非形式的でなければならない ADV_LLD.1.2C 下位レベルの設計は 内部的に一貫していなければならない ADV_LLD.1.3C 下位レベルの設計は モジュールの観点から TSF を記述しなければならない ADV_LLD.1.4C 下位レベルの設計は 各々のモジュールの目的を記述しなければならない ADV_LLD.1.5C 下位レベルの設計は 提供されるセキュリティ機能性と他のモジュールへの依存関係の観点からモジュール間の関係を定義しなければならない ADV_LLD.1.6C 下位レベルの設計は 各々の TSP 実施機能がどのように提供されるかを記述しなければならない ADV_LLD.1.7C 下位レベルの設計は TSF のモジュールに対するすべてのインターフェイスを識別しなければならない ADV_LLD.1.8C 下位レベルの設計は 外部から見える TSF のモジュールに対するインターフェイスを識別しなければならない ADV_LLD.1.9C 下位レベルの設計は 効果 例外 および誤りメッセージの詳細を適切に提供することにより TSF のモジュールに対するすべてのインターフェイスの目的と使用方法を記述しなければならない ADV_LLD.1.10C 下位レベルの設計は TSP 実施モジュールとそれ以外のモジュールに分けて TOE を記述しなければならない 38

39 IT セキュリティ要件 評価者アクションエレメント : ADV_LLD.1.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない ADV_LLD.1.1E 評価者は 下位レベルの設計が TOE セキュリティ機能要件の正確かつ完全な具体化であることを決定しなければならない ADV_RCR.1 非形式的対応の実証依存性なし 開発者アクションエレメント : ADV_RCR.1.1D 開発者は 提供される TSF 表現に隣接するすべてのペア間の対応の分析を提供しなければならない 証拠の内容および提示エレメント : ADV_RCR.1.1C 提供された TSF 表現の隣接するそれぞれのペアに対し 分析は より抽象度の高い TSF 表現のすべての関連するセキュリティ機能性が 抽象度の低い TSF 表現に 正確かつ完全に詳細化されていることを実証しなければならない 評価者アクションエレメント : ADV_RCR.1.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない 適用上の注釈この要件の意図は 各レベルの設計分解の間に正確で一貫している明確な対応が存在することをベンダーが示し 評価者がそれを確認することです そのため 抽象化の上位レベルに存在しない抽象化の下層で定義された TOE セキュリティ機能がないこと およびその逆もあり得ます ADV_SPM.1 非形式的な TOE セキュリティ方針モデル依存性 ADV_FSP.1 非形式的な機能仕様開発者アクションエレメント : ADV_SPM.1.1D 開発者は TSP モデルを提供しなければならない ADV_SPM.1.2D 開発者は 機能仕様と TSP モデルの間の対応を実証しなければならない 証拠の内容および提示エレメント : ADV_SPM.1.1C TSP モデルは 非形式的でなければならない ADV_SPM.1.2C TSP モデルは モデル化できるすべての TSP 方針の規則と特性を記述しなければならない ADV_SPM.1.3C TSP モデルは モデル化できるすべての TSP 方針に関して一貫しており完全であることを実証する根拠を含まなければならない ADV_SPM.1.4C TSP モデルと機能仕様の間の対応の実証は 機能仕様におけるセキュリティ機能のすべてが TSP モデルに関して 一貫して完全であることを示さなければならない 評価者アクションエレメント : ADV_SPM.1.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない 39

40 IT セキュリティ要件 ガイダンス文書 AGD_ADM.1 管理者ガイダンス依存性 ADV_FSP.1 非形式的な機能仕様開発者アクションエレメント : AGD_ADM.1.1D 開発者は システム管理者向けに管理者ガイダンスを提供しなければならない 証拠の内容および提示エレメント : AGD_ADM.1.1C 管理者ガイダンスは TOE の管理者が利用できる管理機能とインターフェイスを記述しなければならない AGD_ADM.1.2C 管理者ガイダンスは 管理者がセキュアに TOE を管理する方法を記述しなければならない AGD_ADM.1.3C 管理者ガイダンスは セキュアな処理環境において管理されなければならない機能と権限についての警告を含まなければならない AGD_ADM.1.4C 管理者ガイダンスは TOE のセキュアな運用に関連する利用者のふるまいについてのすべての前提条件を記述しなければならない AGD_ADM.1.5C 管理者ガイダンスは 管理者の管理下にあるすべてのセキュリティパラメータを 適切にセキュアな値を示して記述しなければならない AGD_ADM.1.6C 管理者ガイダンスは TSF の制御下にあるセキュリティ特性の変更を含む 実行が必要な管理機能に関連するセキュリティ関連事象の各タイプを記述しなければならない AGD_ADM.1.7C 管理者ガイダンスは 評価のために提供された他のすべての証拠資料と一貫していなければならない AGD_ADM.1.8C 管理者ガイダンスは 管理者に関連する IT 環境でのすべてのセキュリティ要件を記述しなければならない 評価者アクションエレメント : AGD_ADM.1.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない AGD_USR.1 利用者ガイダンス依存性 ADV_FSP.1 非形式的機能仕様開発者アクションエレメント : AGD_USR.1.1D 開発者は 利用者ガイダンスを提供しなければならない 証拠の内容および提示エレメント : AGD_USR.1.1C 利用者ガイダンスは TOE の非管理者である利用者が利用できる機能とインターフェイスを記述しなければならない AGD_USR.1.2C 利用者ガイダンスは TOE により提供された 利用者がアクセスできるセキュリティ機能の使用方法を記述しなければならない AGD_USR.1.3C 利用者ガイダンスは セキュアな処理環境で管理されなければならない 利用者がアクセスできる機能と権限についての警告を含まなければならない AGD_USR.1.4C 利用者ガイダンスは TOE セキュリティ環境のステートメントの中にある利用者のふるまいについての前提条件に関連したものを含む TOE のセキュアな運用に必要なすべての利用者の責任を明確に提示しなければならない 40

41 IT セキュリティ要件 AGD_USR.1.5C 利用者ガイダンスは 評価のために提供された他のすべての証拠資料と一貫していなければならない AGD_USR.1.6C 利用者ガイダンスは 利用者に関連する IT 環境でのすべてのセキュリティ要件を記述しなければならない 評価者アクションエレメント : AGD_USR.1.1E 適用上の注釈 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない 許可された外部 IT エンティティも 許可管理者以外の人間の利用者も TOE に対する許可がないため この保証コンポーネントは自明的に満たされます ライフサイクルサポート ALC_DVS.1 セキュリティ手段の識別依存性なし 開発者アクションエレメント : ALC_DVS.1.1D 開発者は 開発セキュリティ証拠資料を提出しなければならない 証拠の内容および提示エレメント : ALC_DVS.1.1C 開発セキュリティ証拠資料は 開発環境のなかで TOE の設計および実装の機密性や完全性を保護するために必要となる 物理的 手続き的 人的 およびその他の手段をすべて記述しなければならない ALC_DVS.1.2C 開発セキュリティ証拠資料は これらのセキュリティ手段が TOE の開発および保守の間を通じて守られる証拠を提供しなければならない 評価者アクションエレメント : ALC_DVS.1.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない ALC_DVS.1.2E 評価者は セキュリティ手段が適用されていることを確認しなければならない ALC_FLR.1 基本的な欠陥修正依存性なし 開発者アクションエレメント : ALC_FLR.1.1D 開発者は TOE 開発者に対する欠陥修正手続きを提供しなければならない 証拠の内容および提示エレメント : ALC_FLR.1.1C 欠陥修正手続き証拠資料は TOE のリリースごとに報告されたすべてのセキュリティ欠陥を追跡するのに使用する手続きを記述しなければならない ALC_FLR.1.2C 欠陥修正手続きは 欠陥訂正方法の調査状況の記述と同時に 各々のセキュリティ欠陥の性質と影響の記述が 提供されることを要求しなければならない ALC_FLR.1.3C 欠陥修正手続きは 訂正行為が各々のセキュリティ欠陥を識別することを要求しなければならない ALC_FLR.1.4C 欠陥修正手続き証拠資料は TOE 利用者に 欠陥情報 訂正 および訂正行為のガイダンスを提供するために使用する方法を記述しなければならない 41

42 IT セキュリティ要件 評価者アクションエレメント : ALC_FLR.1.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない ALC_LCD.1 開発者によるライフサイクルモデルの定義依存性なし 開発者アクションエレメント : ALC_LCD.1.1D 開発者は TOE の開発および保守で使用されるライフサイクルモデルを確立しなければならない ALC_LCD.1.2D 開発者は ライフサイクル定義証拠資料を提供しなければならない 証拠の内容および提示エレメント : ALC_LCD.1.1C ライフサイクル定義証拠資料は TOE の開発および保守で使用されるモデルを記述しなければならない ALC_LCD.1.2C ライフサイクルモデルは TOE の開発および保守の上で必要な管理方法を提供しなければならない 評価者アクションエレメント : ALC_LCD.1.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない ALC_TAT.1 明確に定義された開発ツール依存性 ADV_IMP.1 TSF の実装のサブセット開発者アクションエレメント : ALC_TAT.1.1D 開発者は TOE に対して使用される開発ツールを識別しなければならない ALC_TAT.1.2D 開発者は 開発ツールのオプションの中で実装に依存するものについて証拠資料を提出しなければならない 証拠の内容および提示エレメント : ALC_TAT.1.1C 実装に使用されるすべてのツールは 明確に定義されていなければならない ALC_TAT.1.2C 開発ツールの証拠資料は 実装に使用されるすべてのステートメントの意味を 曖昧さなく定義しなければならない ALC_TAT.1.3C 開発ツールの証拠資料は 実装に依存するすべてのオプションの意味を 曖昧さなく定義しなければならない 評価者アクションエレメント : ALC_TAT.1.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない 42

43 IT セキュリティ要件 テスト ATE_COV.2 カバレージの分析依存性 ADV_FSP.1 非形式的機能仕様 ATE_FUN.1 機能テスト開発者アクションエレメント : ATE_COV.2.1D 開発者は テストカバレージの分析を提供しなければならない 証拠の内容および提示エレメント : ATE_COV.2.1C テストカバレージの分析は テスト証拠資料で識別されたテストと機能仕様に記述された TSF との対応を実証しなければならない ATE_COV.2.2C テストカバレージの分析は 機能仕様に記述された TSF とテスト証拠資料で識別されたテストとの対応が完全であることを実証しなければならない 評価者アクションエレメント : ATE_COV.1.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない ATE_DPT.1 テスト : 上位レベル設計依存性 ADV_HLD.1 記述的上位レベル設計 ATE_FUN.1 機能テスト開発者アクションエレメント : ATE_DPT.1.1D 開発者は テストの深さの分析を提供しなければならない 証拠の内容および提示エレメント : ATE_DPT.1.1C 深さの分析は テスト証拠資料で識別されたテストが TSF がその上位レベルの設計に従って動作することを実証するに十分であることを実証しなければならない 評価者アクションエレメント : ATE_DPT.1.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない ATE_FUN.1 機能テスト依存性なし 開発者アクションエレメント : ATE_FUN.1.1D 開発者は TSF をテストし 結果を証拠資料で提出しなければならない ATE_FUN.1.2D 開発者は テスト証拠資料を提供しなければならない 証拠の内容および提示エレメント : ATE_FUN.1.1C テスト証拠資料は テスト計画 テスト手順記述 期待されるテスト結果 実際のテスト結果から構成されなければならない ATE_FUN.1.2C テスト計画は テストされるセキュリティ機能を識別し 実行されるテストの目標を記述しなければならない ATE_FUN.1.3C テスト手順記述は 実行されるべきテストを識別し 各セキュリティ機能をテストするシナリオを記述しなければならない これらのシナリオは 他のテストの結果へのすべての順序依存性を含んでいなければならない 43

44 IT セキュリティ要件 ATE_FUN.1.4C 期待されるテスト結果は テストの実行が成功したときの予期される出力を示さなければならない ATE_FUN.1.5C 開発者が実行したテストによるテスト結果は 各々のテストされたセキュリティ機能が仕様どおりに動作することを実証しなければならない 評価者アクションエレメント : ATE_FUN.1.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない ATE_IND.2 独立テスト : サンプル依存性 ADV_FSP.1 非形式的機能仕様 AGD_ADM.1 管理者ガイダンス AGD_USR.1 利用者ガイダンス ATE_FUN.1 機能テスト開発者アクションエレメント : ATE_IND.2.1D 開発者は テストのための TOE を提供しなければならない 証拠の内容および提示エレメント : ATE_IND.2.1C TOE は テストに適していなければならない ATE_IND.2.2C 開発者は TSF の開発者機能テストで使用されたものと同等の一連の資源を提供しなければならない 評価者アクションエレメント : ATE_IND.2.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない ATE_IND.2.2E 評価者は TSF のサブセットを TOE が仕様どおりに動作することを確認するために 適切にテストしなければならない ATE_IND.2.3E 評価者は 開発者テスト結果を検証するために テスト証拠資料内のテストのサンプルを実行しなければならない 脆弱性評定 AVA_MSU.2 分析の確認依存性 ADO_IGS.1 設置 生成 および立上げ手順 ADV_FSP.1 非形式的機能仕様 AGD_ADM.1 管理者ガイダンス AGD_USR.1 利用者ガイダンス開発者アクションエレメント : AVA_MSU.2.1D 開発者は ガイダンス証拠資料を提供しなければならない AVA_MSU.2.2D 開発者は ガイダンス証拠資料の分析に関する証拠資料を提出しなければならない 証拠の内容および提示エレメント : AVA_MSU.2.1C ガイダンス証拠資料は TOE の操作のすべてのモード ( 障害や操作誤りのあとの操作も含む ) それらの結果 およびセキュアな操作を維持するために知っておくべきことを識別しなければならない 44

45 IT セキュリティ要件 AVA_MSU.2.2C AVA_MSU.2.3C AVA_MSU.2.4C ガイダンス証拠資料は 完全で 明白で 矛盾なく 合理的なものでなければならない ガイダンス証拠資料は 意図した環境について すべての前提条件を列挙しなければならない ガイダンス証拠資料は 外部のセキュリティ手段 ( 外部の手続き的 物理的 および人的な管理を含む ) に対するすべての要件を列挙しなければならない AVA_MSU.2.5C 分析証拠資料は ガイダンス証拠資料が完全なものであることを実証しなければならない 評価者アクションエレメント : AVA_MSU.2.1E AVA_MSU.2.2E AVA_MSU.2.3E AVA_MSU.2.4E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない 評価者は 提出されたガイダンス証拠資料だけを使って すべての構成 導入手順 およびその他の手順を選択的に再現し TOE がセキュアに構成され使用されることを確認しなければならない 評価者は ガイダンス証拠資料を使用すれば すべてのセキュアでない状態が検出できることを決定しなければならない 評価者は TOE の操作のすべてモードにおけるセキュアな操作のためにガイダンスが提供されていることが分析証拠資料に示されていることを確認しなければならない AVA_SOF.1 TOE セキュリティ機能強度評価依存性 ADV_FSP.1 非形式的機能仕様 ADV_HLD.1 記述的上位レベル設計開発者アクションエレメント : AVA_SOF.1.1D 開発者は ST において TOE セキュリティ機能強度主張を所有するものとして識別された各メカニズムに対し TOE セキュリティ機能強度分析を行わなければならない 証拠の内容および提示エレメント : AVA_SOF.1.1C TOE セキュリティ機能強度主張を所有する各メカニズムに対し TOE セキュリティ機能強度分析は ST に定義された最小強度レベルと同等以上であることを示さなければならない AVA_SOF.1.2C 特定の TOE セキュリティ機能強度主張を所有する各メカニズムに対し TOE セキュリティ機能強度分析は ST に定義された特定の機能強度の数値尺度と同等以上であることを示さなければならない 評価者アクションエレメント : AVA_SOF.1.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない AVA_SOF.1.2E 評価者は 強度主張が正しいことを確認しなければならない 45

46 IT セキュリティ要件 AVA_VLA.2 独立脆弱性分析依存性 ADV_FSP.1 非形式的機能仕様 ADV_HLD.2 セキュリティ実施上位レベル設計 ADV_IMP.1 TSF の実装のサブセット ADV_LLD.1 記述的下位レベル設計 AGD_ADM.1 管理者ガイダンス AGD_USR.1 利用者ガイダンス開発者アクションエレメント : AVA_VLA.2.1D 開発者は 脆弱性分析を行わなければならない AVA_VLA.2.2D 開発者は 脆弱性分析の証拠資料を提供しなければならない 証拠の内容および提示エレメント : AVA_VLA.2.1C 脆弱性分析証拠資料は 利用者が TSP を侵害し得る方法を探すために行われた TOE 提供物件の分析を記述しなければならない AVA_VLA.2.2C 脆弱性分析証拠資料は 識別された脆弱性の処置について記述しなければならない AVA_VLA.2.3C 脆弱性分析証拠資料は すべての識別された脆弱性に対して TOE の意図した環境においては それらの脆弱性が悪用され得ないことを示さなければならない AVA_VLA.2.4C 脆弱性分析証拠資料は 識別された脆弱性について TOE が明白な侵入攻撃に耐え得ることを正当化しなければならない 評価者アクションエレメント : AVA_VLA.2.1E 評価者は 提供された情報が 証拠の内容および提示に対するすべての要件を満たしていることを確認しなければならない AVA_VLA.2.2E 評価者は 開発者脆弱性分析に基づき侵入テストを行い 識別された脆弱性への対処が行われていることを保証しなければならない AVA_VLA.2.3E 評価者は 独立脆弱性分析を行わなければならない AVA_VLA.2.4E 評価者は 独立脆弱性分析に基づき 意図した環境において 新たに識別された脆弱性が悪用され得るかどうかを決定するため 独立侵入テストを実施しなければならない AVA_VLA.2.5E 評価者は 低い攻撃能力を持つ攻撃者による侵入攻撃に TOE が耐えられることを決定しなければならない 46

47 TOE 要約仕様 TOE 要約仕様 ここでは 次の項目について説明します TOE セキュリティ機能 (P.47) 保証手段 (P.50) TOE セキュリティ機能 ここでは 次の項目について説明します セキュリティ管理機能 (P.47) 監査機能 (P.47) 情報フロー制御機能 (P.49) 識別と認証機能 (P.49) 保護機能 (P.50) クロック機能 (P.50) セキュリティ管理機能 セキュリティ管理機能では 許可されたファイアウォール管理者が 物理的にセキュアなローカル接続から あるいは内部の信頼できるホストまたは接続されたリモートネットワークから SSH 暗号化接続を介して ( 暗号化は FCS_COP.1 の最初の項に定義されている FIPS 140 セキュリティ要件に従う ) 次のアクションを実行できます 1. TOE の操作をイネーブルまたはディセーブルにする 2. 単一使用認証機能の使用をイネーブルまたはディセーブルにする 3. ファイアウォール管理者アカウントをイネーブルまたはディセーブルにする あるいはファイ アウォール管理者アカウントのセキュリティ属性を変更する 4. 監査証跡の動作をイネーブルにする ディセーブルにする 決定する および改変する 5. TSF データ 情報フロー規則 および監査証跡データのバックアップと復元の機能の動作をイ ネーブルにする ディセーブルにする 決定する および改変する 6. 許可された外部 IT エンティティが TOE と通信する動作をイネーブルにする ディセーブルに する 決定する および改変する 7. セキュリティ属性について 規則から属性を削除する 規則内の属性を改変する および規則 に属性を追加する 8. 情報フロー規則を削除する および作成する 9. タイムスタンプの形成に使用される日時を設定する 10. 認証失敗回数の制限値を指定する 前述の管理機能は 許可管理者だけが実行できます 項目 および 8 は ファイアウォール管理者だけに該当します 監査機能 監査機能は オン / オフの切り替え ( このアクションは監査対象 ) ができる監査を提供します アクティブな場合 次のイベントが記録されます 1. 情報フローの要求に対するすべての決定 2. 不成功の認証試行に対するしきい値への到達 および許可管理者によるその後の利用者の認証機能の復元 47

48 TOE 要約仕様 3. 識別または認証のメカニズムの使用 4. 許可管理者の役割の一部である利用者のグループに対する改変 5. 時間の変更 6. 監査証跡管理アクティビティ 7. TSF データのバックアップ 8. 単一使用認証機能の使用 9. 単一使用認証機能のアクティブ化または非アクティブ化 イベントごとに 監査機能は次の情報を記録します 1. イベントの日時 2. 送信元および宛先の IP アドレス ( 接続の場合のみ ) 3. イベントまたはサービスのタイプ 4. イベントに関連する特定の情報 5. イベントの成功または失敗 監査機能は 日時の情報を提供するためにクロック機能を使用します 監査レコードは Windows 2000 サーバまたは Windows XP サーバ上の Firewall Syslog Server(PFSS) を使用して ファイアウォールによって保存のために送信されます PFSS は 循環式の 7 つの syslog ファイルを作成します これらのファイルの名前は monday.log tuesday.log wednesday.log thursday.log friday.log saturday.log および sunday.log です 最終ログファイルが作成されてから 1 週間経過すると PFSS は古いログファイルの名前を day.mmddyy に変更します ここで day は現在の曜日 mm は月 dd は日 yy は年です 許可された監査管理者は PFSS を介してファイアウォール監査レコードへの読み取りアクセスを得ることができます 監査サーバ上に生成された監査イベントは Windows Event Viewer を使用して表示できます 評価対象の構成では これらの製品の CC 認定バージョン ( つまり Microsoft Windows 2000 Professional Server SP3( ホットフィックス Q を含む ) または Microsoft Windows XP Professional SP 2( ホットフィックス および を含む ) を使用する必要があることに注意してください PFSS は 次のいずれかまたは複数の組み合せに基づいて監査レコードを検索またはソートする機能を提供します 1. 送信元 IP アドレスまたはアドレス範囲 2. 送信元ポートまたはポート範囲 3. 宛先 IP アドレスまたはアドレス範囲 4. 宛先ポートまたはポート範囲 5. サービス 6. 開始日および終了日 7. 開始時刻および終了時刻 8. システムログメッセージの番号 9. インターフェイス名 監査レコードは Windows 2000 または Windows XP のアクセス権の設定により 改変や不正な削除から保護されます 監査証跡に監査レコードを書き込むことができない場合は 許可管理者だけがアクションを実行できます 48

49 TOE 要約仕様 情報フロー制御機能 TOE の情報制御機能では 許可されたファイアウォール管理者が ファイアウォールのインターフェイス間の規則を設定できます これらの規則は 次の情報に基づいて パケットがあるインターフェイスから別のインターフェイスに転送されるかどうかを制御します 1. 利用者識別情報 2. 送信元アドレス 3. 宛先アドレス 4. 使用されるサービス 5. ポート番号 6. セキュリティ関連のサービスコマンド 7. 接続要求が発生するネットワークインターフェイス 情報制御規則によって許可される場合 要求されるサービスは イーサネット ARP CTIQBE DNS Echo Finger H.323 IP ICMP TCP UDP FTP GTP HTTP ILS MGCP POP3 RSH RTSP Skinny SIP ESMTP SunRPC Telnet TFTP XDMCP などから構成されますが これらに限定されません 次のプロトコルおよびアプリケーションに対しては TOE 内でアプリケーション検査も提供されます (CTIQBE H.323 ICMP FTP GTP HTTP ILS MGCP RSH RTSP Skinny SIP ESMTP SunRPC TFTP および XDMCP) パケットの通過を許可する特定の規則が設定されていない限り パケットはドロップされます TOE には 情報フロー制御機能を提供する際に パケットに含まれているネットワークアドレスを変換する機能 ( ネットワークアドレス変換と呼ばれる ) があります TOE の構成に応じて アドレスは 永続的に定義されるスタティックアドレス 範囲から選択されたアドレス または一意なポート番号を持つ 1 つのアドレス ( ポートアドレス変換 ) に変換できます また ネットワークアドレス変換をディセーブルにして TOE を通過するときにアドレスが変更されないようにすることもできます TOE には 情報が受信サブジェクトに途中で流れるルートを指定する サブジェクトによる要求を拒否する機能があります TOE は プロトコルフィルタリングプロキシを使用することにより 一般的に受け入れられ公開されているプロトコル定義に準拠しない Telnet または FTP コマンド要求を拒否することもできます 識別と認証機能 管理者は TOE へのさらなるアクセスが許可される前に ( つまり 許可管理者になる前に ) 自分の身元を証明し 認証を受けるように要求されます 許可管理者による TOE へのローカルアクセスの場合 TOE による認証では 固定パスワードメカニズムが使用されます これは 最小限の機能強度 Medium を満たす置換メカニズムです 認証試行に何回か失敗すると ( 回数は 0 ではなく 許可管理者によって設定される ) 管理者アカウントは 許可管理者によって解放されるまでロックされます DoS 攻撃が簡単にしかけられる可能性があるため この機能はリモートアクセスには実装されていません リモートの許可されたファイアウォール管理者および許可された外部 IT エンティティの単一使用認証は TOE 環境内の外部認証サーバの決定に基づいて 認証を正しく起動し かつ正しく動作する TOE 機能によって提供されます 49