4クラス名
8 クラスFAU: セキュリティ監査
セキュリティ監査は、セキュリティ関連のアクティビティ(例えば、TSPによって制御で きる事象)に関連する情報の認識、記録、格納、分析を含む。監査結果記録は、どのよう なセキュリティ関連のアクティビティが実施されているか、及び誰が(どの利用者が)その アクティビティに責任があるかを限定するために検査され得るものである。
セキュリティ監査
FAU_ARP セキュリティ監査自動応答 1
1 FAU_GEN セキュリティ監査データ生成
2
2
FAU_SAA セキュリティ監査分析 1
3 4 1
FAU_SAR セキュリティ監査レビュー 2
3
FAU_SEL セキュリティ監査事象選択 1
1 2
FAU_STG セキュリティ監査事象格納
3 4
図9 - セキュリティ監査クラスのコンポーネント構成
8.1 セキュリティ監査自動応答(FAU_ARP)
ファミリのふるまい
このファミリでは、セキュリティ侵害の可能性が検出された場合、自動的に応答するよう なTSFにおける要件を定義している。
コンポーネントのレベル付け
FAU_ARP セキュリティ監査自動応答 1
FAU_ARP.1 セキュリティアラームでは、TSFは、セキュリティ侵害の可能性が検出され
た場合にアクションをとらなければならない。
管理: FAU_ARP.1
以下のアクションはFMTにおける管理機能と考えられる:
a) アクションの管理(追加、除去、改変)。
監査: FAU_ARP.1
FAU_GEN セキュリティ監査データ生成がPP/STに含まれていれば、以下のアクション
を監査対象にすべきである:
a) 最小: 切迫したセキュリティ侵害によってとられるアクション。
FAU_ARP.1 セキュリティアラーム
下位階層: なし
FAU_ARP.1.1 TSFは、セキュリティ侵害の可能性が検出された場合、[割付: 混乱を 最小にするアクションのリスト]を実行しなければならない。
依存性: FAU_SAA.1 侵害の可能性の分析
8.2 セキュリティ監査データ生成(FAU_GEN)
ファミリのふるまい
このファミリでは、TSFの制御下で発生するセキュリティ関連事象を記録するための要件 を定義している。このファミリは、監査レベルを識別し、TSFによる監査対象としなけれ ばならない事象の種別を列挙し、さまざまな監査記録種別の中で規定されるべき監査関連 情報の最小セットを識別する。
コンポーネントのレベル付け
1 FAU_GEN セキュリティ監査データ生成
2
FAU_GEN.1 監査データ生成は、監査対象事象のレベルを定義し、各記録ごとに記録さ
れねばならないデータのリストを規定する。
FAU_GEN.2 利用者識別情報の関連付けでは、TSFは、監査対象事象を個々の利用者識
別情報に関連付けなければならない。
管理: FAU_GEN.1、FAU_GEN.2 予見される管理アクティビティはない。
監査: FAU_GEN.1、FAU_GEN.2 予見される監査対象事象はない。
FAU_GEN.1 監査データ生成
下位階層: なし
FAU_GEN.1.1 TSFは、以下の監査対象事象の監査記録を生成できなければならない:
a) 監査機能の起動と終了;
b) 監査の[選択: 最小、基本、詳細、指定なし: から一つのみ選択]レベ ルのすべての監査対象事象; 及び
c) [割付: 上記以外の個別に定義した監査対象事象]。
FAU_GEN.1.2 TSFは、各監査記録において少なくとも以下の情報を記録しなければな らない:
a) 事象の日付・時刻、事象の種別、サブジェクト識別情報、事象の結 果(成功または失敗); 及び
b) 各監査事象種別に対して、PP/STの機能コンポーネントの監査対象 事象の定義に基づいた、[割付: その他の監査関連情報]
依存性: FPT_STM.1 高信頼タイムスタンプ
FAU_GEN.2 利用者識別情報の関連付け
下位階層: なし
FAU_GEN.2.1 TSFは、各監査対象事象を、その原因となった利用者の識別情報に関連 付けられなければならない。
依存性: FAU_GEN.1 監査データ生成
FIA_UID.1 識別のタイミング
8.3 セキュリティ監査分析(FAU_SAA)
ファミリのふるまい
このファミリでは、実際のセキュリティ侵害あるいはその可能性を探す、システムアク ティビティや監査データを分析する自動化された手段に対する要件を定義している。
この検出に基づいてとられるアクションは、それが必要とするようにFAU_ARPファミリ を用いて特定することができる。
コンポーネントのレベル付け
2
FAU_SAA セキュリティ監査分析 1
3 4
FAU_SAA.1 侵害の可能性の分析では、固定した規則セットに基づく基本閾値による検
出が要求される。
FAU_SAA.2 プロファイルベースに基づく異常検出では、TSFはシステム利用の個々のプ ロファイルを維持する(プロファイルとは、プロファイルターゲットグループのメンバに よって実行される利用の履歴パターンをいう)。プロファイルターゲットグループとは、
そのTSFと対話する一人あるいは複数の個々人(例えば、単一利用者、一つのグループID あるいはグループアカウントを共有する複数の利用者、ある割り付けられた役割に沿って 運用する利用者、一つのシステムあるいはネットワークノード全体の利用者)のグループ をいう。プロファイルターゲットグループの各メンバには、そのメンバの現在のアクティ ビティが、プロファイルに書かれた確立した利用パターンとどれくらいよく対応するかを 表す個々の疑惑率が割り付けられる。この分析は、ランタイムで、あるいは後収集バッチ モード分析で実行される。
FAU_SAA.3 単純攻撃の発見において、TSFは、TSPの実施に対して重大な脅威を表す特 徴的事象の発生を検出できねばならない。特徴的事象(signature events)に対するこの探 索は、リアルタイムあるいは後収集バッチモード分析で行える。
FAU_SAA.4 複合攻撃の発見において、TSFは、多段階の侵入シナリオを表現しかつ検出
できねばならない。TSFは、システム事象(複数の人間によって実行されているかもしれ ない)と、侵入シナリオ全体をあらわすものとして既知の事象シーケンスとを比較するこ とができる。TSFは、TSPの侵害の可能性を示す特徴的事象あるいは事象シーケンスがい つ見つかったかを示すことができねばならない。
管理: FAU_SAA.1
以下のアクションはFMTにおける管理機能と考えられる:
a) 規則のセットから規則を(追加、改変、削除)することによる規則の維持。
管理: FAU_SAA.2
以下のアクションはFMTにおける管理機能と考えられる:
a) プロファイルターゲットグループにおける利用者グループの維持(削除、改変、追 加)。
管理: FAU_SAA.3
以下のアクションはFMTにおける管理機能と考えられる:
a) システム事象のサブセットの維持(削除、改変、追加)。
管理: FAU_SAA.4
以下のアクションはFMTにおける管理機能と考えられる:
a) システム事象のサブセットの維持(削除、改変、追加);
b) システム事象のシーケンスのセットの維持(削除、改変、追加)。
監査: FAU_ SAA.1、FAU_ SAA.2、FAU_ SAA.3、FAU_ SAA.4
FAU_GEN セキュリティ監査データ生成がPP/STに含まれていれば、以下のアクション
を監査対象にすべきである:
a) 最小: すべての分析メカニズムの活性化/非活性化。
b) 最小: ツールによって実行される自動応答。