CRY PTO

O.IDAUTH x 　 　 　

O.SINUSE 　 x x 　 　 　

O.MEDIAT 　 　 　 x x x 　 　 　

O.SECSTA x 　 　 　 x 　 　 　

O.ENCRYP x 　 　 　 x 　 　 　 　 x

O.SELPRO x 　 　 　 x x 　 　

O.AUDREC 　 　 　 x 　 　 　 　

O.ACCOUN 　 　 　 x 　 　 　 　

O.SECFUN x 　 x 　 　 　 x 　 　

O.LIMEXT x 　 　 　

O.EAL 　 　 　 x 　

環境に対するセキュリティ対策方針の根拠

環境に対するセキュリティ対策方針の根拠は、[FWPP] の環境に対するセキュリティ対策方針の根 拠に基づいています。

表14 は、脅威と 4 つの環境セキュリティ対策方針の間の関係を示しています。

OE.IDAUTH このセキュリティ対策方針は、脅威 T.NOAUTH に対抗するために必要である。

なぜなら、このセキュリティ対策方針は、リモートの利用者が TOE にアクセス する前に一意に識別され認証されることを要求するためである。

OE.PHYSEC TOE とその稼働環境が物理的にセキュアである。監査サーバへのアクセスは、

TSF によってのみ可能である。

OE.MODEXP 利用可能な脆弱性を検出しようとする悪意のある攻撃の脅威は低レベルである

と考えられる。

OE.GENPUR TOE 上に汎用コンピューティング機能（たとえば、任意のコードやアプリケー

ションを実行する機能）およびストレージリポジトリ機能がない。

OE.PUBLIC TOE および認証サーバは、パブリックデータをホストしない。

OE.NOEVIL 許可管理者は悪意を持っておらず、すべての管理者ガイダンスに従う。ただし、

ミスを犯す可能性はある。

OE.SINGEN 情報は TOE を通過しない限り、内部ネットワークおよび外部ネットワークを流

れることができない。

OE.DIRECT TOE を保護している物理的にセキュアな境界の中にいる人間の利用者は、何ら

かの直接接続（たとえば、コンソールポート）で、TOE へのアクセスを試みる 可能性がある（その接続が TOE の一部である場合）。

OE.NOREMO 許可管理者ではない人間の利用者は、内部ネットワークまたは外部ネットワーク

から TOE にリモートでアクセスすることはできない。

OE.REMACC 許可管理者は、内部ネットワークおよび外部ネットワークから TOE にリモート

でアクセスできる。

OE.GUIDAN この非 IT セキュリティ対策方針は、脅威 T.TUSAGE および T.AUDACC に対抗

するために必要である。なぜなら、この非 IT セキュリティ対策方針は、TOE が セキュアに配付、設置、管理、および運用されることを TOE の責任者が保証す ることを要求するためである。

OE.ADMTRA この非 IT セキュリティ対策方針は、脅威 T.TUSAGE および T.AUDACC に対抗

するために必要である。なぜなら、この非 IT セキュリティ対策方針は、許可管 理者が適切なトレーニングを受けることを保証するからである。

OE.SINUSE このセキュリティ対策方針は、脅威 T.REPEAT および T.REPLAY に対抗するた めに必要である。なぜなら、このセキュリティ対策方針は、有効な認証データが 取得されても、そのデータを利用して攻撃されないように、IT 環境が認証デー タ再利用の防止に貢献することを要求するからである。

表14 脅威と環境に対するセキュリティ対策方針間のマッピングの要約

T. NOAUTH REPEAT REPLAY TUSAGE AUDACC

OE.IDAUTH x

OE.GUIDAN x x

OE.ADMTRA x x

OE.SINUSE x x

残りの環境に対するセキュリティ対策方針は、一部、セキュリティ前提条件を再記述したものであ るため、それらの前提条件のすべての側面にまでたどられます。

TOE セキュリティ機能要件（ SFR ）の根拠

この ST に示されている機能要件および保証要件は相互支援的であり、これらの組み合せによって 前述のセキュリティ対策方針が満たされます。セキュリティ要件は、共通基準の Part 1 に示されて いる一般モデルに従って導出されました。次のパラグラフおよび表 13 は、セキュリティ要件とセ キュリティ対策方針の間のマッピングを示しています。表 15 は、脅威、ポリシー、および IT セ キュリティ対策方針の間の関係を示しています。これらの表を合せると、要件の完全性と充足性が 実証されます。

セキュリティ対策方針 O.IDAUTH および選択済み保証レベル EAL4 を満たすために、必要に応じ て、最低限の機能強度主張 SOF-Medium が選択されています。この ST で要求されるメトリックは、

SOF-Medium に対する許容可能なメトリックです。

FAU_GEN.1 監査データ生成

このコンポーネントは、監査レコードにどのようなデータを含める必要があるか、およびどのよう なイベントを監査する必要があるかについて概説します。このコンポーネントは、対策方針

O.AUDREC および O.ACCOUN にまでさかのぼり、これらの対策方針を満たすために役立ちます。

FAU_SAR.1 監査レビュー

このコンポーネントは、監査証跡が理解できることを保証します。このコンポーネントは、対策方

針 O.AUDREC にまでさかのぼり、この対策方針を満たすために役立ちます。

FAU_SAR.3 選択可能監査レビュー

このコンポーネントは、監査証跡に対してさまざまな検索およびソートを実行できることを保証し ます。このコンポーネントは、対策方針 O.AUDREC にまでさかのぼり、この対策方針を満たすた めに役立ちます。

FAU_STG.1 保護された監査事象格納

このコンポーネントは、監査証跡が常に改ざんから保護され、許可管理者だけがセキュリティ機能 を実行でき、起動およびリカバリで監査レコードのセキュリティが脅かされないことを保証するた めに選択されています。このコンポーネントは、対策方針 O.SECSTA、O.SELPRO、および O.SECFUN にまでさかのぼり、これらの対策方針を満たすために役立ちます。

FAU_STG.4 監査データ損失の防止

このコンポーネントは、監査証跡がいっぱいになったときに、許可された監査管理者が監査証跡を 処理できること、およびリカバリ時にリソースのセキュリティが脅かされないことを保証します。

このコンポーネントは、FAU_GEN.1 で定義されている他の監査可能イベントが発生しないことも 保証します。したがって、許可管理者は潜在的に監査可能なアクションを実行できますが、監査証

FCS_COP.1 暗号操作

このコンポーネントは、内部ネットワークまたは外部ネットワークからリモートで TOE と通信す るときに、許可ファイアウォール管理者が Triple-DES または AES を使用することを保証します。こ のコンポーネントは、想定される脅威環境で必要とされます。このコンポーネントは、対策方針

O.ENCRYP にまでさかのぼり、この対策方針を満たすために役立ちます。

FDP_IFC.1（1）サブセット情報フロー制御

このコンポーネントは、UNAUTHENTICATED 情報フロー制御 SFP に関与しているエンティティ

（つまり、他の利用者に情報を送信している利用者、およびその逆の利用者）を識別します。この コンポーネントは、対策方針 O.MEDIAT にまでさかのぼり、この対策方針を満たすために役立ちま す。

FDP_IFC.1（2）サブセット情報フロー制御

このコンポーネントは、AUTHENTICATED 情報フロー制御 SFP に関与しているエンティティ（つ まり、情報をサーバに送信している、およびその逆のサービス FTP または Telnet の利用者）を識別 します。このコンポーネントは、対策方針 O.MEDIAT にまでさかのぼり、この対策方針を満たすた めに役立ちます。

FDP_IFF.1（1）単純セキュリティ属性

このコンポーネントは、UNAUTHENTICATED SFP で情報を送受信している利用者の属性、および 情報自身の属性を識別します。さらに、情報フローが許可される条件を述べることによって、ポリ シーが定義されます。このコンポーネントは、対策方針 O.MEDIAT にまでさかのぼり、この対策方 針を満たすために役立ちます。

FDP_IFF.1（2）単純セキュリティ属性

このコンポーネントは、AUTHENTICATED SFP で情報を送受信している利用者の属性、および情 報自身の属性を識別します。さらに、情報フローが許可される条件を述べることによって、ポリ シーが定義されます。このコンポーネントは、対策方針 O.MEDIAT にまでさかのぼり、この対策方 針を満たすために役立ちます。

FDP_RIP.1 サブセット残存情報保護

このコンポーネントは、TOE が情報フローにパディングを使用する場合、以前に TOE を通過した

情報も TOE 内部データも使用されないことを保証します。このコンポーネントは、対策方針

O.MEDIAT にまでさかのぼり、この対策方針を満たすために役立ちます。

FIA_AFL.1 認証失敗時の取り扱い

このコンポーネントは、許可管理者以外の人間の利用者が無限に認証試行を繰り返すことができな いことを保証します。許可管理者が決定した失敗回数（0 であってはならない）に達すると、その 時点から利用者は認証できなくなります。この状態は、許可管理者がその利用者に対して再び認証 を可能にするまで続きます。このコンポーネントは、対策方針 O.SELPRO にまでさかのぼり、この 対策方針を満たすために役立ちます。

FIA_ATD.1 利用者属性定義

このコンポーネントは、TOE が、アカウンタビリティの目的で、ある利用者を別の利用者と区別で きるようにするため、および FMT_SMR.1 で選択された役割を利用者に関連付けることができるよ うにするために存在します。このコンポーネントは、対策方針 O.IDAUTH および O.SECFUN にま でさかのぼり、これらの対策方針を満たすために役立ちます。