利用者のための注釈
540 セキュリティ監査データ生成ファミリは、セキュリティ関連事象に対して TSF が生成すべき 監査事象を特定するための要件を含む。
541 このファミリは、監査サポートを要求するすべてのコンポーネントへの依存性を持たない形 式で提示される。各コンポーネントは、詳しく説明された監査セクションを持ち、その機能 分野に対して監査される事象が列挙される。PP/ST 作成者が PP/ST を組み立てる際、監 査領域に書かれた事項がこのコンポーネントの変数を完成させるのに使われる。このよう に、ある機能領域に対して何が監査され得るかの詳細は、その機能領域においてローカ ライズされる。
542 監査対象事象のリストは、全面的に PP/ST 内の他の機能ファミリに依存する。そのため、
各ファミリの定義は、そのファミリ特有の監査対象事象のリストを含むべきである。その機能 ファミリで特定された監査対象事象リスト内の各々の監査対象事象は、そのファミリで特定 された監査事象生成のレベルの1つ(すなわち、最小、基本、詳細)に対応すべきである。
これは、適切な監査対象事象がすべてPP/ST の中で特定されることを保証するのに必要
な情報を PP/ST 作成者に提供する。次の例は、どのようにして監査対象事象が適切な機
能ファミリの中で特定されるかを示す:
543 セキュリティ監査データ生成(FAU_GEN)がPP/STに含まれていれば、以下のアクションを 監査対象にすべきである:
a) 最小: 利用者セキュリティ属性管理機能の成功した使用;
b) 基本: 利用者セキュリティ属性管理機能を使用しようとするすべての試み; c) 基本: どの利用者セキュリティ属性が改変されたかの識別;
d) 詳細: 特定の機密属性データ項目(パスワードや暗号鍵など)を除き、属性の新し い値は保存されるべきである。
544 選択した機能コンポーネントごとに、そのコンポーネントで指定されている監査対象事象 は、セキュリティ監査データ生成(FAU_GEN)で指定されたレベル及びそれ以下のレベル で監査対象とすべきである。例えば、先の例で「基本」がセキュリティ監査データ生成 (FAU_GEN)で選択された場合、a)、b)、及びc)を監査対象とすべきである。
545 監査対象事象の分類は階層的であることに注意しなければならない。例えば、「基本監査 生成」が必要とされる場合、「最小」または「基本」のどちらかに識別されるすべての監査対 象事象は、適切な割付操作を使用してPP/STに含まれるべきである。ただし、上位レベル の事象が単に下位レベルの事象を詳細化しているだけの場合は除かれる。「詳細監査生 成」が必要とされる場合は、すべての識別された監査対象事象(最小、基本、及び詳細)が PP/STに含まれるべきである。
546 PP/ST 作成者は、所定の監査レベルで要求されている以上の他の監査対象事象を含め
ることができる。例えば、他のPP/STの制約と競合していくつかの能力が使えなくなるため (例えば、入手できないデータの収集が要求されるなど)、「基本」能力の大半を持ってい ながら、そのPP/STは「最小」監査機能だけを要求することがある。
547 監査対象事象を生成する機能性は、PP または ST において、機能要件として特定される べきである。
548 以下は、各 PP/ST 機能コンポーネント内で監査対象と定義されるべき事象の種別の例で ある:
a) TSF制御範囲内で、サブジェクトのアドレス空間に対するオブジェクトの導入; b) オブジェクトの削除;
c) アクセス権あるいは能力の配付または取消し;
d) サブジェクトあるいはオブジェクトセキュリティ属性の変更;
e) サブジェクトからの要求の結果としてTSFが実行する方針チェック; f) 方針チェックをバイパスするためのアクセス権の使用;
g) 識別と認証機能の使用;
h) オペレータ及び/または許可利用者が行うアクション(例えば、人間が読めるラベル のようなTSF保護メカニズムの抑制);
i) リムーバブルメディアに対するデータのインポート/エクスポート(例えば、印刷出力、
テープ、ディスケット)。
FAU_GEN.1 監査データ生成
利用者のための適用上の注釈
549 このコンポーネントは、監査記録が生成されるべき監査対象事象及び監査記録の中で提 供される情報を識別するための要件を定義する。
550 SFR が個々の利用者識別情報を監査事象に関連付けることを要求しない場合は、
FAU_GEN.1 監査データ生成が、それ自身によって使われてもよいことがある。これは、
PP/ST がプライバシー要件も包含する場合に適切であろう。利用者識別情報が組み込ま
れねばならない場合は、FAU_GEN.2 利用者識別情報の関連付けを追加して使用するこ とができる。
551 サブジェクトが利用者である場合、利用者識別情報はサブジェクト識別情報として記録で きる。利用者認証(FIA_UAU)が適用されていない場合、利用者の識別情報はまだ検証 することができない。したがって、無効なログインの場合で、主張された利用者識別情報を 記録すべきである。記録された識別情報が認証されていない場合でも、示されたと考慮す べきである。
評価者のための注釈
552 タイムスタンプ(FPT_STM)への依存性が存在する。該当するTOEで正確な時間が重要で ない場合は、この依存性の削除を正当化し得る。
操作 選択:
553 FAU_GEN.1.1において、PP/ST作成者は、PP/STに含まれる他の機能コンポーネン
トの監査セクションで呼び出される監査対象事象のレベルを選択すべきである。こ のレベルは、「最小」、「基本」、「詳細」、または「指定なし」のうちの1つである。
割付:
554 FAU_GEN.1.1において、PP/ST作成者は、監査対象事象のリストに含められるその
他の特別に定義された監査対象事象のリストを割り付けるべきである。その割付に は、「なし」、あるいは次の事象−特定のアプリケーションプログラミングインタフェー ス(API)の使用を通して生成される事象はもとより、b)で要求されるものより監査レ ベルの高い機能要件の監査対象事象−などを含むことができる。
555 FAU_GEN.1.2において、PP/ST作成者は、PP/STに含まれる監査対象事象ごとに、
監査事象記録に含まれるその他の監査関連情報のリスト、または「なし」のどちらか の割付をすべきである。
FAU_GEN.2 利用者識別情報の関連付け
利用者のための適用上の注釈
556 このコンポーネントは、個々の利用者識別情報のレベルに対して監査対象事象の内容を どこまでとるべきかの要件に対応する。このコンポーネントは、FAU_GEN.1 監査データ生 成に追加する形で使われるべきである。
557 監査とプライバシー要件の間には、潜在的な対立が存在する。監査の目的のためには、
誰がアクションを実行したのかを知ることが望ましいかもしれない。利用者は、彼/彼女のア クションを自分だけにとどめて、他人(例えば、求人側)に識別されたくないかもしれない。
また、利用者識別情報を保護すべきであることが組織のセキュリティ方針で要求されてい るかもしれない。このような場合、監査とプライバシーに対するセキュリティ対策方針は互 いに矛盾することがある。そのため、もしこの要件が選択され、かつプライバシーが重要で あるならば、利用者の偽名性のコンポーネントを含めることが考慮されてよい。偽名に基 づく実利用者名の判断の要件は、プライバシークラスで特定される。
558 利用者の識別情報が認証を通じてまだ検証されていない場合、無効なログインの場合で 主張された利用者識別情報は、利用者識別情報として記録するべきである。記録された 識別情報が認証されていない場合でも、示されたと考慮すべきである。