セキュリティ対策方針根拠

本章では、セキュリティ対策方針がTOEセキュリティ環境において識別されたすべての側面を カバーするのに適していることを説明する。

表 8.1は、本STに記述されたセキュリティ対策方針が前提条件、脅威、組織のセキュリティ方針 にまでたどれることを示している。

表 8.1 TOEセキュリティ環境とセキュリティ対策方針の対応 セキュリティ対策方針

O.ADM_AUTH O.ADM_ROLE O.SEC_COMM O.HOST_AUTH O.HOST_ACCESS O.AUD_GEN OE.NOEVIL OE.NOEVIL-MNT OE.PHYSICAL_SEC OE.ILLEGAL_SOFT OE.CONNECT_STORAGE

A.NOEVIL Ｘ

A.NOEVIL_MNT Ｘ

A.PHYSICAL_SEC Ｘ

A.ILLEGAL_SOFT Ｘ

A.CONNECT_STORAGE Ｘ

T.ILLEGAL_XCNTL Ｘ Ｘ Ｘ

T.TSF_COMP Ｘ

T.LP_LEAK Ｘ

T.CHG_CONFIG Ｘ Ｘ

ＴＯＥセキュリティ環境

P.MASQ Ｘ

8.1.1 前提条件に対するセキュリティ対策方針の根拠

表 8.2は、セキュリティ対策方針によって前提条件がカバーされていることを示している。

表 8.2 前提条件に対するセキュリティ対策方針の正当性 前提条件 前提条件がカバーされていることの根拠

A.NOEVIL A.NOEVILは、OE. NOEVILにあるように、ストレージ装

置全体の管理・運用を行うために、全体ストレージ管理 者、全体アカウント管理者、監査ログ管理者に信頼でき る人物を割り当てる。また、権限を持つ管理者から許可 された範囲内のディスクサブシステムの管理・運用を行 うために、分割ストレージ管理者、分割アカウント管理 者に信頼できる人物を割り当てることによって実現され る。

A.NOEVIL_MNT A.NOEVIL_MNTは、OE.NOEVIL_MNTにあるように、

保守員に信頼できる人物を割り当てることによって実現 される。

A.PHYSICAL_SEC A.PHYSICAL_SECは、OE.PHYSICAL_SECにあるよう に、ストレージ装置は、全体ストレージ管理者、全体ア カウント管理者、監査ログ管理者および保守員のみ入退 出が許可されているセキュアなエリアに設置され、許可 されない物理的アクセスから完全に保護される。

A.ILLEGAL_SOFT A.ILLEGAL_SOFTは、OE.ILLEGAL_SOFTにあるよう に、管理PCに不正なソフトウェアがインストールされな いことによって実現される。

A.CONNECT_STORAGE A.CONNECT_STORAGEは、OE.CONNECT_STORAGEに あるように、他のストレージ装置へのリモートコピーま たは、バックアップ操作では、TOEの保護対象資産を変 更、閲覧ができるため、接続する他のストレージ装置は TOEから構成されるストレージ装置に限定することで、

リモートコピーやバックアップ操作を信頼できるストレ ージ管理者のみに許可できるため、前提条件を満たす運 用が実現できる。

8.1.2 脅威に対するセキュリティ対策方針の根拠

表 8.3は、セキュリティ対策方針によって、脅威が対抗されていることを示している。

表 8.3 脅威に対するセキュリティ対策方針の正当性 脅威 脅威が対抗されていることの根拠 T.ILLEGAL_XCNTL T.ILLEGAL_XCNTLは、下記に示す通り、

O.ADM_AUTH、O.ADM_ROLE 、O.AUD_GENによって 対抗される。

・ TOEは、Storage Navigator利用者を識別認証し、

Storage Navigator利用者の行う管理操作を以下のよう に制限することにより、脅威を軽減する。

全体アカウント管理者は、装置全体のアカウン ト管理操作が可能。

全体ストレージ管理者は、装置全体のストレー ジ管理操作が可能。

分割ストレージ管理者は、許可された論理パー ティション内のストレージ管理操作が可能。

分割アカウント管理者は、許可された論理パー ティション内のアカウント管理操作が可能。

・ TOEはセキュリティに関係する設定変更の操作時の セキュリティ事象を追跡できる要件により、不正操作 が行われたかどうかを追跡できるため、脅威は軽減さ れる。

T.TSF_COMP T.TSF_COMPは、下記に示す通り、O.SEC_COMMによっ

て対抗される。

・ Storage Navigator－SVP間の通信は暗号化通信を使用 しており、不正に機器を接続することによる盗聴およ び、改ざんの脅威を軽減できるからである。

T.LP_LEAK T.LP_LEAKは、下記に示す通り、O.HOST_ACCESSによ

って対抗される。

・ TOEは、LUパス情報により、許可された識別された ホストが、許可されたLDEVのみにアクセスできる ように制御するため、脅威は除去される。

T.CHG_CONFIG T.CHG_CONFIGは、下記に示す通り、O.ADM_AUTHお

よびO.AUD_GENによって対抗される。

・ TOEは、Storage Navigatorの利用者を、仮想ディスク サブシステムの管理操作を行う前に、識別認証し、成 功しなければ操作を拒否するため、第三者からの不正 アクセスは軽減される。

・ TOEは、識別認証失敗時のセキュリティに関する事

象を追跡できるため、第三者からの不正アクセスの発 生を軽減することができる。

8.1.3 組織のセキュリティ方針に対するセキュリティ対策方針の根拠

表 8.4は、セキュリティ対策方針によって、組織のセキュリティ方針が実現されていることを示 している。

表 8.4 組織のセキュリティ方針に対するセキュリティ対策方針の正当性 組織のセキュリティ方針 組織のセキュリティ方針が実現されていることの根拠

P.MASQ P.MASQは、下記に示す通り、O.HOST_AUTHによって

実現される。

・ TOEはホストから当該ポートにアクセスされる前に

FC-SPによりホストの識別認証を行う。