557 監査とプライバシー要件の間には、潜在的な対立が存在する。監査の目的のためには、
誰がアクションを実行したのかを知ることが望ましいかもしれない。利用者は、彼/彼女のア クションを自分だけにとどめて、他人(例えば、求人側)に識別されたくないかもしれない。
また、利用者識別情報を保護すべきであることが組織のセキュリティ方針で要求されてい るかもしれない。このような場合、監査とプライバシーに対するセキュリティ対策方針は互 いに矛盾することがある。そのため、もしこの要件が選択され、かつプライバシーが重要で あるならば、利用者の偽名性のコンポーネントを含めることが考慮されてよい。偽名に基 づく実利用者名の判断の要件は、プライバシークラスで特定される。
558 利用者の識別情報が認証を通じてまだ検証されていない場合、無効なログインの場合で 主張された利用者識別情報は、利用者識別情報として記録するべきである。記録された 識別情報が認証されていない場合でも、示されたと考慮すべきである。
FAU_SAA.2 プロファイルに基づく異常検出 利用者のための適用上の注釈
565 プロファイルとは、利用者及び/またはサブジェクトのふるまいの特性を示す構造体である。
それは、利用者/サブジェクトが様々な方法でどのように TSF と対話するかを表現する。使 用パターン(例えば、例外の発生パターン、資源の利用パターン(いつ、どれを、どのように)、
実行するアクションのパターン)は、利用者/サブジェクトが関与する様々な種別のアクティ ビティに関して設定される。プロファイルに様々な種別のアクティビティを記録する方法(例 えば、資源の量、事象カウンタ、タイマ)は、プロファイル尺度と呼ばれる。
566 各プロファイルは、プロファイルターゲットグループのメンバによる予期される使用パターン を表現する。このパターンは、過去の使用(履歴パターン)、あるいは類似したターゲットグ ループの利用者における通常の使用(予期されるふるまい)に基づくものとすることができ る。プロファイルターゲットグループは、TSF と対話する一人または複数の利用者に対応 する。プロファイルグループの各メンバのアクティビティは、分析ツールがそのプロファイル に記述された使用パターンを設定するのに使われる。以下は、プロファイルターゲットグ ループのいくつかの例である:
a) 単一利用者アカウント: 利用者あたり1つのプロファイル;
b) グループIDまたはグループアカウント: 同一のグループIDを所有するか、または 同一のグループアカウントを使って操作する全利用者に対して1つのプロファイル; c) 操作上の役割: 決められた操作上の役割を共有する全利用者に対して1つのプロ
ファイル;
d) システム: システムの全利用者に対して1つのプロファイル。
567 1 つのプロファイルターゲットグループの各メンバに、固有の疑惑率が割り付けられる。こ
れは、グループプロファイルの中で表現された、確立した使い方のパターンに対して、メン バの新しいアクティビティがどの程度の近さで関連付けられるかを表す。
568 異常検出ツールをどこまで精巧にするかは、PP/ST が要求するプロファイルターゲットグ ループの数と、要求されるプロファイル尺度の複雑さによって、大きく左右される。
569 PP/ST作成者は、何のアクティビティが TSFによって監視されるべきか、及び/または分析
されるべきかを、具体的に列挙すべきである。また、そのアクティビティに関連するどのよう な情報が使用プロファイルの構築に必要なのかを、具体的に識別すべきである。
570 FAU_SAA.2プロファイルに基づく異常検出は、TSFがシステムの使い方のプロファイルを
維持することを要求する。維持という用語は、異常検出機構が、プロファイルターゲットのメ ンバによって実行される新しいアクティビティに基づいて、使い方のプロファイルを能動的 に更新するという意味合いを含んでいる。ここでは、利用者アクティビティを表す尺度は
PP/ST 作成者によって定義されるということが重要である。例えば、一人の人間が実行可
能なアクションが千個存在するかもしれないが、異常検出機構は、そのアクティビティのサ ブセットを監視することを選択するかもしれない。例外的なアクティビティは、非例外的な アクティビティと全く同様にプロファイルに統合される(そのツールがそれらのアクションを 監視していると仮定する)。4 ヶ月前には例外的に見えたかもしれないできごとが、利用者 の職務の変化に伴い、時間の経過とともに例外的でなくなることも(その逆も)ある。もしプロ ファイル更新アルゴリズムに例外的なアクティビティが入らないようにしてしまうと、TSFは、
このような概念のものを捕らえることができなくなろう。
571 許可利用者が疑惑率の重大性を理解できるよう、管理上の告知が提供されるべきである。
572 PP/ST 作成者は、疑惑率をどのように解釈するか、及び例外的アクティビティがセキュリ
ティ監査自動応答(FAU_ARP)メカニズムに示される際の条件を定義すべきである。
操作 割付:
573 FAU_SAA.2.1 において、PP/ST 作成者は、プロファイルターゲットグループを特定
すべきである。1つのPP/ST は、複数のプロファイルターゲットグループを含むこと ができる。
574 FAU_SAA.2.3 において、PP/ST 作成者は、TSF によって例外的アクティビティが報
告される条件を特定すべきである。条件として、疑惑率がある値に到達することを 含めてもよく、あるいは観察された例外的アクティビティの種別に基づいてもよい。
FAU_SAA.3 単純攻撃の発見
利用者のための適用上の注釈
575 実際のところ、セキュリティ侵害が切迫していることを分析ツールが確信を持って検出でき ることは、よくても稀でしかない。しかしながら、重要であるために、常にそれだけを取り出 してレビューする価値のあるシステム事象がいくつか存在する。そのような事象の例として、
鍵となる TSF セキュリティデータファイル(例えばパスワードファイル)の削除や、管理特権 を取得しようとするリモート利用者といったアクティビティがあげられる。これらの事象は、そ の他のシステムアクティビティと区分され、その発生が侵入アクティビティを示唆している、
特徴的事象と呼ばれる。
576 与えられるツールの複雑さは、特徴的事象の基本セットの識別において PP/ST 作成者が 定義する割付に大きく依存しよう。
577 PP/ST 作成者は、分析を実行するために、どのような事象を TSF が監視すべきかを具体
的に列挙すべきである。PP/ST 作成者は、その事象が特徴的事象に対応づけされるかど うかを決めるために、その事象に関係するどのような情報が必要なのかを、具体的に識別 すべきである。
578 許可利用者が、事象の重要性及びとり得る適切な対応を理解できるような管理上の通知 が提供されるべきである。
579 システムのアクティビティを監視するための唯一の入力として監査データに依存することを 避けるため、これらの要件の具体化における努力がなされた。これは、システムアクティビ ティの分析を監査データの使用だけによらずに行う侵入検出ツール(それ以外の入力 データの例として、ネットワークデータグラム、資源/アカウントデータ、あるいは様々なシス テムデータの組み合わせがあげられる)がすでに開発されていることを踏まえて行われた ものである。
580 FAU_SAA.3 単純攻撃の発見のエレメントは、即時攻撃発見を実装するTSFが、アクティ
ビティが監視されている TSF と同一であることを要求しない。そのため、そのシステムアク ティビティが分析されているシステムと独立して動作する侵入検出コンポーネントを開発す ることができる。
操作 割付:
581 FAU_SAA.3.1において、PP/ST作成者は、その発生がSFR実施の侵害の可能性を
示すシステム事象の基本サブセットを、他のすべてのシステムアクティビティと分離 して識別すべきである。そのような事象として、SFR実施に対する侵害が自明なもの、
あるいは、その発生が、アクションが是認されるほど重要であるものが含まれる。
582 FAU_SAA.3.2において、PP/ST作成者は、システムアクティビティを決定するために
使われる情報を特定すべきである。この情報は、TOEにおいて発生したシステムア クティビティを、分析ツールによって決定するために使われる入力データである。こ のデータには、監査データ、監査データと他のシステムデータとの組み合わせ、あ るいは監査データ以外のデータから構成されるものを含めることができる。PP/ST 作成者は、入力データの中で、どのシステム事象と事象属性が監視され続けるの かを正確に定義すべきである。
FAU_SAA.4 複合攻撃の発見
利用者のための適用上の注釈
583 実際のところ、セキュリティ侵害が切迫していることを分析ツールが確信を持って検出でき ることは、非常に稀である。しかしながら、重要であるために、常にそれだけを取り出してレ ビューする価値のあるシステム事象がいくつか存在する。そのような事象の例として、鍵と なる TSF セキュリティデータファイル(例えばパスワードファイル)の削除や、管理特権を取 得しようとするリモート利用者といったアクティビティがあげられる。これらの事象は、その他 のシステムアクティビティと区分され、その発生が侵入アクティビティを示唆している、特徴 的事象と呼ばれる。事象シーケンスとは、侵入アクティビティを示しているかもしれない、順 序付けられた特徴的事象のセットである。
584 与えられるツールの複雑さは、特徴的事象及び事象シーケンスの基本セットの識別にお いてPP/ST作成者が定義する割付に大きく依存しよう。
585 PP/ST 作成者は、分析を実行するために、どのような事象を TSF が監視すべきかを具体
的に列挙すべきである。PP/ST 作成者は、その事象が特徴的事象に対応づけされるかど うかを決めるために、その事象に関係するどのような情報が必要なのかを、具体的に識別 すべきである。
586 許可利用者が、事象の重要性及びとり得る適切な対応を理解できるような管理上の通知 が提供されるべきである。
587 システムのアクティビティを監視するための唯一の入力として監査データに依存することを 避けるため、これらの要件の具体化における努力がなされた。これは、システムアクティビ ティの分析を監査データの使用だけによらずに行う侵入検出ツール(それ以外の入力 データの例として、ネットワークデータグラム、資源/アカウントデータ、あるいは様々なシス テムデータの組み合わせがあげられる)がすでに開発されていることを踏まえて行われた ものである。そのため、PP/ST 作成者は、システムアクティビティを監視するのに使用する 入力データの種別を特定することによって、レベル付けをする必要がある。