5. セキュリティ機能要件
5.5 クラス:セキュリティ管理 (FMT)
5.5.2 管理機能の仕様 (FMT_SMF)
5.5.2.1 管理機能の仕様
FMT_SMF_EXT.1 拡張:管理機能の仕様
FMT_SMF_EXT.1.1 TSFは、以下の管理機能群を実行できなければならない (shall):
管理機能 FMT_SMF_EXT.1 FMT_MOF_EXT.1.1 管理者 FMT_MOF_EXT.1.2
1. パスワードポリシーの設定:
a. 最小のパスワード長 b. 最小のパスワード複雑性 c. 最大のパスワードライフタイム
M - M M
2. セションロックのポリシー:
a. 画面ロックの有効化/無効化 b. 画面ロックのタイムアウト c. 認証失敗の回数
M - M M
3. VPN保護の有効化/無効化:
a. デバイス全体にわたって [選択:
b. アプリごとに (per-app basis) c. その他の方法なし]
M O O O
4. [割付:無線のリスト] の有効化/無効化 M O O O
5. [割付:オーディオまたは映像収集デバイスのリスト] の有効化/無効
化:
a. デバイス全体にわたって [選択:
b. アプリごとに (per-app basis) c. その他の方法なし]
M - M M
6. TSFが接続できる無線ネットワーク (SSID) の特定 M - M O
7. 各無線ネットワークのセキュリティポリシーの設定:
a. [選択:TSFが受容するWLAN認証サーバ証明書からCAを特定、
受容可能なWLAN認証サーバ証明書のFQDNを特定] b. セキュリティタイプ
M - M O 状態マーカー:
M ― 必須
O ― オプション/オブジェクティブ
c. 認証プロトコル
d. 認証に使用されるべきクライアントのクレデンシャル
8. ロック状態への移行 M - M -
9. 保護データのTSFワイプ M - M - 10. 以下によるアプリケーションのインストール方針の設定 [選択:
a. アプリケーションの生成元を制約、
b. 許可されるアプリケーションを [割付:アプリケーション特性] に基づいて特定 (アプリケーションのホワイトリスト)、
c. アプリケーションのインストールを拒否]
M - M M
11. セキュアな鍵ストレージへの鍵/秘密のインポート M O O -
12. セキュアな鍵ストレージにあるインポートされた鍵/秘密及び [選 択:その他の鍵/秘密なし、 [割付:鍵/秘密のその他のカテゴリの リスト]] の破棄
M O O -
13. トラストアンカーデータベースへのX.509v3証明書のインポート M - M O
14. トラストアンカーデータベースにあるインポートされた X.509v3 証
明書及び [選択:その他のX.509v3証明書なし、 [割付:X.509v3証 明書のその他のカテゴリのリスト]] の削除
M O O -
15. 管理へのTOEの登録 M M O -
16. アプリケーションの削除 M - M O
17. システムソフトウェアのアップデート M - M O
18. アプリケーションのインストール M - M O
19. エンタープライズアプリケーションの削除 M - M -
20. Bluetooth高信頼チャネルの設定:
a. 検出可能 (Discoverable) モードの無効化 (BR/EDRについて) b. Bluetoothデバイス名の改変
[選択:
c. Bluetoothと共に使用される追加的無線技術の有効化/無効化、
d. アドバタイジングの有効化/無効化 (LEについて)、 e. コネクション可能 (Connectable) モードの有効化/無効化 f. デバイス上で利用できる Bluetooth サービスまたはプロファイ
ルあるいはその両方の有効化/無効化、
g. 各ペアリングのセキュリティの最低レベルの指定、
h. アウトオブバンド (Out of Band) ペアリングの許可される方法 の設定、
i. その他のBluetooth設定なし]
M O O O
21. 以下のロック状態での通知表示の有効化/無効化: [選択:
a. 電子メール通知、
b. カレンダーの予定、
c. 電話呼出し通知と関連付けられた連絡先、
d. テキストメッセージ通知、
e. その他のアプリケーションベースの通知、
f. すべての通知]
M O O O
22. [割付:外部アクセス可能なハードウェアポートのリスト] 上のすべて
のデータシグナリングの有効化/無効化
O O O O
23. [割付:デバイスがサーバとしてふるまうプロトコルのリスト] の有効
化/無効化
O O O O 24. 開発者モードの有効化/無効化 O O O O
25. 保存データ保護の有効化 O O O O
26. リムーバブルメディアの保存データ保護の有効化 O O O O
27. ローカル利用者認証のバイパスの有効化/無効化 O O O O 28. エンタープライズデータのワイプ O O O -
29. トラストアンカーデータベースにある X.509v3 証明書のアプリケー
ションによる [選択:インポート、削除] の承認
O O O O
30. TSF が証明書の有効性を判断するための接続を確立できなかった場
合に、高信頼チャネルを確立するか、または確立を許可しないかの設 定
O O O O
31. 携帯電話基地局への接続に使用される携帯電話プロトコルの有効化
/無効化
O O O O
32. TSFによって記録された監査ログの読み出し O O O -
33. アプリケーション上のデジタル署名の検証に使用される [選択:証明
書、公開鍵] の設定
O O O O
34. 複数のアプリケーションによる鍵/秘密の共有利用の例外の承認 O O O O
35. 鍵/秘密をインポートしなかったアプリケーションによる鍵/秘密 の破棄の例外の承認
O O O O 36. ロック解除バナーの設定 O - O O
37. 監査対象項目の設定 O - O O
38. TSFソフトウェア完全性検証値の読み出し O O O O
39. 以下の有効化/無効化 [選択:
a. USBマスストレージモード、
b. 利用者認証なしのUSBデータ転送、
c. 接続しているシステムの認証なしのUSBデータ転送]
O O O O
40. [選択:ローカルに接続されたシステム、リモートシステム] へのバッ
クアップの有効化/無効化
O O O O 41. 以下の有効化/無効化 [選択:
a. [選択:事前共有鍵、パスコード、認証なし] によって認証され
たホットスポット機能、
b. [選択:事前共有鍵、パスコード、認証なし] によって認証され たUSBテザリング]]
O O O O
42. [選択:アプリケーションプロセス、アプリケーションプロセスのグ
ループ] 間のデータ共有の例外の承認
O O O O
43. [割付:アプリケーション特性] に基づいたアプリケーションプロセス
グループへのアプリケーションの配置
O O O O 44. 位置情報サービスの有効化/無効化:
a. デバイス全体にわたって [選択:
b. アプリごとに (per-app basis) c. その他の方法なし]
M O O O
45. [割付:TSFによって提供されるべきその他の管理機能のリスト] O O O O
表 1:管理機能 適用上の注釈:
表1は、このプロテクションプロファイルに要求される管理機能を比較したものである。
最初の列には、PPで識別された管理機能が列挙されている。
以下の列において:
『M』は必須を意味し、
『O』はオプション/オブジェクティブ(訳注:将来的に追加される)を意味する、
2番目の列 (FMT_SMF_EXT.1) は、その機能が実装されるべきかどうかを示している。 ST 作成者は、実装されるオプションの機能を選択すべきである (should)。
3番目の列 (FMT_MOF_EXT.1.1) は、利用者に対して制限されるべきか機能を示している。
4番目の列 (管理者) は、管理者が常に利用可能であるべき機能を示している。これらは、
2 番目及び 3 番目の列から導き出される。 したがって、TOE は、これらの機能が
FMT_SMF_EXT.1 に含まれる場合、管理者が実行できるよう提供しなければならない
(must)。
5番目の列 (FMT_MOF_EXT.1.2) は、そのデバイスが登録され、管理者が示されたポリシ ーを適用する場合、その機能が管理者に制限されるべきかどうかを示している。
ST 作成者は、ST において表を利用して、実装される機能のみを列挙してもよい。必須の 機能については、選択にない任意のサブ機能もまた必須であり、割付には少なくとも 1 つ の割付けられた値を含まなければならない (must)。オプションであり割付または選択を含 む機能については、少なくとも1つの値が割付/選択されてSTに含まれなければならない (must)。オプションの機能における選択不可のサブ機能については、その機能が含まれるた めにはすべてのサブ機能が実装されなければならない (must)。「アプリごとの原則で
(per-app basis)」のサブ機能及び割付を持つ機能について、ST作成者は、割付けられた特
性がアプリごとに管理可能であるもの及びそうでないものについて、行を繰り返して示さ なければならない (must)。
機能特有の適用上の注釈:
機能 3、 5 及び 44 について、機能はデバイスワイドの原則で実装されなければならない
(must) が、アプリごとの原則 (per-app basis) で、有効化/無効化が適用されるアプリケ
ーションのリストを含む設定に実装してもよい。
機能 3 は、IPsec VPN のみの有効化/無効化に対応する。VPN クライアント自身の設定 (VPNゲートウェイ、証明書、及びアルゴリズム等の情報を含む) は、IPsec VPNクライア ントのプロテクションプロファイルにより対処される。管理者オプションは、管理者がリ モートからVPN接続を有効化/無効化できる場合にのみ列挙されるべきである (should)。
機能4の割付は、Wi-Fi、GPS、携帯電話、NFC、Bluetooth BR/EDR、及び Bluetooth LE 等、すべて無線であり、有効化及び無効化が可能なものから構成される。将来は、Bluetooth
BR/EDRとBluetooth LEの両方がサポートされる場合、それらを別個に有効化及び無効化
できることが要求される。 携帯電話無線の無効化は、緊急通話を行うために無線が有効化 されてはならないことを意味しない;しかし、「機内モード」のデバイス、つまりすべての 無線が無効化されているデバイスが、緊急通話を行うために自動的に (許可なしに) 携帯電 話無線を起動することは期待されていない。
機能 5 の割付は、カメラやマイクロフォン等、すべてのオーディオ及び映像デバイスであ り、利用者または管理者のいずれかにより有効化及び無効化が可能なものから構成される。
マイクロフォンの無効化は、緊急通話を行うためにマイクロフォンが有効化されてはなら ないことを意味しない。
機能4及び5 に関しては、特定の無線またはオーディオ/映像デバイスの無効化は、TOE の電源が入った直後に実施されなければならない (must)。無効化は、例えばアップデート またはバックアップに伴い、TOE が補助ブートモードにブートされた際にも適用されなけ ればならない (must)。TOEが、セキュリティ管理ポリシーがアクセス不可能な状態を、例
えば保存データ保護のために、サポートする場合、これらの状態に入っている間はデフォ ルトでこれらのデバイスが無効化されることを保証することによって、本要件を満たすこ とは受容可能である。 補助ブートモードの間これらのデバイスが無効化されていることは、
緊急通話を行うためにそのデバイス (特に携帯電話無線) が有効化できないことを意味し ない。
機能7 のセキュリティポリシーは、WPA2 エンタープライズ等のセキュリティタイプ、及
び EAP-TLS等の認証プロトコルに対応する。CA または FQDN は、FCS_TLSC_EXT.1.2
に従い比較のために特定される。
TSFのワイプ (機能9) は、FCS_CKM_EXT.5に従い実行さわれる。
機能10での選択は、利用者がインストールしてもよいアプリケーションを制限するために MDMエージェントを通して管理者が利用可能なメカニズムをST作成者が選択することを 可能とする。
インストール可能なアプリケーションの生成元を管理者が制約できる場合、ST作 成者はオプションaを選択する。
許可されたアプリケーションのホワイトリストを管理者が指定できる場合、ST作 成者はオプションbを選択する。ST作成者は、作成できたホワイトリストに基づ いて任意のアプリケーションの特徴 (例えば、名称、バージョン、または開発者) を 列挙すべきである (should)。
利用者がアプリケーションを追加インストールすることを管理者が防止できる場 合、ST作成者はcを選択する。
将来、機能14は、開発者の証明書等、TSFの継続的な運用に必要なCA証明書を除き、任 意のデフォルト高信頼CA証明書の破棄または無効化を要求されるかもしれない。 現時点 では、ST作成者は、割付において、事前にインストールされた、または他のカテゴリーの
X.509v3 証明書をトラストアンカーデータベースから削除できるかどうかを示さなければ
ならない (shall)。
機能15について、登録機能は、MDMエージェントをインストールしようとしてもよく、
またデバイスへ適用されるべきポリシーを含む。 利用者承認通知が、その通知の中にポリ シーをすべて列挙するよりもむしろ、ポリシーを閲覧するための (例えば、「閲覧」アイコ ンを「押す」することによで) 利用者が意図して選択することを要求することは受け入れら れる。
機能17について、システムソフトウェアをアップデートするための管理者機能は、アップ デートそのものを開始する能力ではなく、アップデートするために利用者へプロンプトを 表示させることに限定されてもよい。管理者はリモートから操作を行うと考えられるため、
低電力状態等、アップデートを失敗させデバイスを動作不能としてしまうような不適当な 状況を、彼/彼女は認識していないかもしれない。このような状況では、利用者はアップ デートの許容を拒否できる。システム設計者がこの制限を認識し、企業にとって重要なア ップデートを実施するためにネットワークアクセス制御を実施すると期待されている。
機能 18 は、インストールとアップデートの両方に対応する。 本プロテクションプロファ イルは、アプリケーションのインストールとアップデートを区別していない、なぜなら、
モバイルデバイスは、通常アプリケーションのアップデート中に新たなインストールによ って過去のインストールを完全に上書きするからである。
機能 19 について、「企業アプリケーション」は企業の管理者によってインストールされる アプリケーションである。