セキュリティ監査データ生成 (FAU_GEN)

適用上の注釈

セキュリティ監査データ生成ファミリは、セキュリティ関連事象に対してTSFが生成すべ き監査事象を特定するための要件を含む。

このファミリは、監査サポートを要求するすべてのコンポーネントへの依存性を持たない 形式で提示される。各コンポーネントは、詳しく説明された監査セクションを持ち、その 機能分野に対して監査される事象を列挙する。PP/ST作成者がPP/STを組み立てる際、監 査領域に書かれた事項がこのコンポーネントの変数を完成させるのに使われる。このよう に、ある機能領域に対して何が監査され得るかの詳細は、その機能領域においてローカラ イズされる。

監査対象事象のリストは、全面的にPP/ST内の他の機能ファミリに依存する。そのため、

各ファミリの定義は、そのファミリ特有の監査対象事象のリストを含むべきである。その 機能ファミリで特定された監査対象事象リスト内の各々の監査対象事象は、そのファミリ で特定された監査事象生成のレベルの一つ(すなわち、最小、基本、詳細)に対応すべきで ある。これは、適切な監査対象事象がすべてPP/STの中で特定されることを保証するのに 必要な情報をPP/ST作成者に提供する。次の例は、どのようにして監査対象事象が適切な 機能ファミリの中で特定されるかを示す。

「FAU_GEN セキュリティ監査データ生成がPP/STに含まれていれば、以下のア クションを監査対象にすべきである:

a) 最小: 利用者セキュリティ属性管理機能の成功した使用;

b) 基本: 利用者セキュリティ属性管理機能を使用しようとするすべての試 み;

c) 基本: どの利用者セキュリティ属性が改変されたかの識別;

d) 詳細: 特定の機密属性データ項目(パスワードや暗号鍵など)を除き、属性 の新しい値は保存されるべきである。」

選択した機能コンポーネントごとに、そのコンポーネントで指定されている監査対象事象 は、FAU_GENで指定されたレベル及びそれ以下のレベルで監査対象とすべきである。例 えば、先の例で「基本」がFAU_GENで選択された場合、a)、b)、及びc)を監査対象とす べきである。

監査対象事象の分類は階層的であることに注意しなければならない。例えば、「基本監査 生成」が必要とされる場合、「最小」または「基本」のどちらかに識別されるすべての監 査対象事象は、適切な割付操作を使用してPP/STに含まれねばならない。ただし、上位レ ベルの事象が単に下位レベルの事象を詳細化しているだけの場合は除かれる。「詳細監査 事象」が必要とされる場合は、すべての識別された監査対象事象(最小、基本、及び詳細)

がPP/STに含まれねばならない。

PP/ST作成者は、所定の監査レベルで要求されるものを超えた他の監査対象事象を含める ような決定をすることができる。例えば、他のPP/STの制約と競合していくつかの能力が 使えなくなるため(例えば、入手できないデータの収集が要求されるなど)、「基本」能力 の大半を持っていながら、そのPP/STは「最小」監査機能だけを要求することがある。

監査対象事象を生成する機能は、PPまたはSTにおいて、機能要件として特定されるべき である。

以下は、各PP/ST機能コンポーネント内で監査対象と定義されるべき事象の種別の例であ る。

a) TSC範囲内で、サブジェクトのアドレス空間に対するオブジェクトの導 入;

b) オブジェクトの削除;

c) アクセス権あるいは能力の配付あるいは取消し;

d) サブジェクトあるいはオブジェクトセキュリティ属性の変更;

e) サブジェクトからの要求の結果としてTSFが実行する方針チェック; f) 方針チェックをバイパスするアクセス権の使用;

g) 識別と認証機能の使用;

h) オペレータ及び/または許可利用者が行うアクション(例えば、人間が読 めるラベルのようなTSF保護メカニズムの抑制);

i) リムーバブルメディアに対するデータのインポート/エクスポート(例え ば、印刷出力、テープ、ディスケット)。

FAU_GEN.1  監査データ生成 利用者のための適用上の注釈

このコンポーネントは、監査記録が生成されるべき監査対象事象及び監査記録の中で提供 される情報を識別するための要件を定義する。

TSPが 個 々 の 利 用 者 識 別 情 報 を 監 査 事 象 に 関 連 付 け る こ と を 要 求 し な い 場 合 は 、 FAU_GEN.1が、それ自身によって使われてもよいことがある。これは、PP/STがプライ バシー要件も包含する場合に適切であろう。利用者識別情報が組み込まれねばならない場 合は、FAU_GEN.2が追加されて使われよう。

評価者のための適用上の注釈

FPT_STMへの依存性が存在する。該当するTOEで正確な時間が重要でない場合は、この 依存性の削除を正当化し得る。

操作 選択:

FAU_GEN.1.1bでは、PP/ST作成者は、PP/STに含まれる他の機能コンポーネ ントの監査セクションで呼び出される監査対象事象のレベルを選択すべきであ る。このレベルは、「最小」、「基本」、「詳細」、または「指定なし」のうちの一 つである。

割付:

FAU_GEN.1.1では、PP/ST作成者は、監査対象事象のリストに含められるその 他の特別に定義された監査対象事象のリストを割り付けるべきである。その割 付には、「なし」、あるいは次の事象  −、特定のアプリケーションプログラミ ングインタフェース(API)の使用を通して生成される事象はもとより、b)で要求 されるものより監査レベルの高い機能要件の監査対象事象  −などを含むこと ができる。

FAU_GEN.1.2では、PP/ST作成者は、PP/STに含まれる監査対象事象ごとに、

監査事象記録に含まれるその他の監査関連情報のリスト、または「なし」のど ちらかの割付をすべきである。

FAU_GEN.2  利用者識別情報の関連付け 利用者のための適用上の注釈

このコンポーネントは、個々の利用者識別情報のレベルに対して監査対象事象の内容をど こまでとるべきかの要件に対応する。このコンポーネントは、FAU_GEN.1 監査データ 生成に追加する形で使われるべきである。

監査とプライバシー要件の間には、潜在的な対立が存在する。監査の目的のためには、誰 がアクションを実行したのかを知ることが望ましいかもしれない。利用者は、彼/彼女の アクションを自分だけにとどめて、他人(例えば、求人側)に識別されたくないかもしれな い。また、利用者識別情報を保護すべきであることが組織のセキュリティ方針で要求され ているかもしれない。このような場合、監査とプライバシーに対するセキュリティ対策方 針は互いに矛盾することがある。そのため、もしこの要件が選択され、かつプライバシー が重要であるならば、利用者の偽名性のコンポーネントを含めることが考慮されてよい。

偽名に基づく実利用者名の判断の要件は、プライバシークラスで特定される。