利用者のための注釈
612 セキュリティ監査事象格納ファミリは、TOE 障害、攻撃、及び/または格納空間の枯渇に起 因する監査情報の損失を制御する要件を含め、後で使用するために監査データを格納 するための要件を記述する。
FAU_STG.1 保護された監査証跡格納
利用者のための適用上の注釈
613 分散環境において、監査証跡はTSF内にあるが、必ずしも監査データの生成機能と同じ 場所にあるとは限らないので、PP/ST 作成者は、監査記録を監査証跡に格納する前に、
その記録の発信者の認証、あるいは記録の発信元の否認不可を要求することができる。
614 TSFは、許可されない削除や改変から監査証跡に格納された監査記録を保護する。TOE
によっては、所定の期間、監査者(役割)が監査記録の削除を許可されないこともあること を注記しておく。
操作 選択:
615 FAU_STG.1.2 において、PP/ST 作成者は、監査証跡に格納された監査レコードに
対する改変を、TSFに禁止させるかあるいは検出させるだけにするかを特定すべき である。これらの選択肢の1つのみを選択することができる。
FAU_STG.2 監査データ可用性の保証
利用者のための適用上の注釈
616 PP/ST 作成者は、監査証跡をどの尺度に準拠させるべきなのかを、このコンポーネントで
特定することができる。
617 分散環境において、監査証跡はTSF内にあるが、必ずしも監査データの生成機能と同じ 場所にあるとは限らないので、PP/ST 作成者は、監査記録を監査証跡に格納する前に、
その記録の発信者の認証、あるいは記録の発信元の否認不可を要求することができる。
操作 選択:
618 FAU_STG.2.2 において、PP/ST 作成者は、監査証跡に格納された監査レコードに
対する改変を、TSFに禁止させるかあるいは検出させるだけにするかを特定すべき である。これらの選択肢の1つのみを選択することができる。
割付:
619 FAU_STG.2.3において、PP/ST作成者は、格納された監査レコードに関してTSFが
保証しなければならない数値尺度を特定すべきである。この数値尺度は、保持し なければならない記録の数や、記録の維持を保証する時間を具体的にあげること で、データの損失を制限する。数値尺度の例として、100,000件の監査記録を格納 できることを示す「100,000」などがある。
選択:
620 FAU_STG.2.3 において、PP/ST 作成者は、TSF が監査データの定義された総量を
維持し続けることができねばならない条件を特定すべきである。この条件は次のい ずれかである: 監査格納の領域枯渇、失敗、攻撃。
FAU_STG.3 監査データ消失の恐れ発生時のアクション
利用者のための適用上の注釈
621 このコンポーネントは、事前に定義してある所定の限界値を監査証跡が超えた場合にとら れるアクションを要求する。
操作 割付:
622 FAU_STG.3.1において、PP/ST作成者は、あらかじめ定義された制限値を示すべき
である。もし、管理機能がこの数は許可利用者によって変更されるかもしれないこと を示している場合は、この値はデフォルト値となる。PP/ST 作成者は、この制限値を 許可利用者に定義させることを選択することができる。その場合、割付は、例えば
「許可利用者が限界値を設定する」のように書ける。
623 FAU_STG.3.1において、PP/ST作成者は、閾値を超えたことで切迫した監査格納失
敗が示された場合にとられるべきアクションを特定すべきである。アクションとして、
許可利用者への通知などが含まれる。
FAU_STG.4 監査データ損失の防止
利用者のための適用上の注釈
624 このコンポーネントは、監査証跡が一杯になった場合の TOE のふるまいを特定する: 監 査記録が無視される、あるいは監査事象が起きないようTOEが凍結される。要件は、また、
その要件がどのように具現化されたとしても、この効果に特別の権限を持つ許可利用者は、
監査事象(アクション)の生成を継続できることも述べる。これは、そうしないと、許可利用者 が TOE をリセットすることすらできなくなるからである。監査格納の領域枯渇の場合では、
TSF によってとられるアクションの選択に熟慮が払われるべきであり、それは、事象の無視 は TOE の可用性を高めるが、記録がとられず利用者が分からない状態でアクションの実 行を許可してしまうことにもなるからである。
操作 選択:
625 FAU_STG.4.1において、PP/ST作成者は、TSFが監査記録をそれ以上格納できなく
なったとき、TSF が監査アクションを無視しなければならないかどうか、あるいは監 査アクションが発生するのを防ぐべきかどうか、あるいは最も古い監査記録から上 書きすべきかどうかを選択すべきである。これらの選択肢の 1 つのみを選択するこ とができる。
割付:
626 FAU_STG.4.1において、PP/ST 作成者は、許可利用者へ通知するなど、監査格納失
敗の場合にとられるべきその他のアクションを特定すべきである。監査格納失敗の場 合においてとられるアクションが存在しない場合、この割付は「なし」で完了できる。
附属書D クラス FCO: 通信 (規定)
627 このクラスは、情報を伝送する際に使用するTOEに関して特に興味深い要件を記述する。
このクラスの中のファミリでは、否認不可を扱う。
628 このクラスでは、「情報」という概念を使用する。この「情報」は通信の対象となるオブジェク トとして解釈すべきであり、その中には電子メールのメッセージ、ファイル、または定義され た一連の属性種別を含めることもできる。
629 「受信証明(proof of receipt)」及び「発信証明(proof of origin)」という用語は、文献ではよく 使われている。しかし、「証明(proof)」という用語は、正式には数学上の理論的根拠の一 形態として解釈することもできる。このクラスの中のコンポーネントで「証明」という用語が使 われている場合は、事実上、TSF が否認不可型の情報伝送を実証していることの「証拠」
として解釈する。
630 図22は、このクラスのコンポーネント構成を示す。
FCO_NRO: 発信の否認不可 1
FCO_NRR: 受信の否認不可 1
2
2
図22 FCO: 通信クラスのコンポーネント構成