O . L I M
EXT O.EAL
FAU_GEN.1 x x
FAU_SAR.1 x
FAU_SAR.3 x
FAU_STG.1 x x x
FAU_STG.4 x x x
FCS_COP.1 x
FDP_IFC.1(1) x
FDP_IFC.1(2) x
FDP_IFF.1(1) x
FDP_IFF.1(2) x
FDP_RIP.1 x
FIA_AFL.1 x
FIA_ATD.1 x x
FIA_UAU.5 x x FIA_UID.2 x x
FMT_MOF.1 (1) x x x FMT_MOF.1 (2) x x x FMT_MSA.1 (1) x x x
FMT_MSA.1 (2) x x x
FMT_MSA.1 (3) x x x
FMT_MSA.1 (4) x x x
FMT_MSA.3 x x FMT_MTD.1 (1) x
FMT_MTD.1 (2) x
FMT_MTD.2 x
FMT_SMF.1 x
FMT_SMR.1 x
FPT_RVM.1 x x FPT_SEP.1 x
FPT_STM.1 x
TOE 環境セキュリティ機能の根拠
OE.IDAUTH および OE.SINUSE を除くすべての環境セキュリティ対策方針は、非 IT 手段によって 満たされます。
次の根拠は、TOE 環境内で一部満たされるセキュリティ機能要件をサポートするために提供されて います。
FIA_ATD.1 利用者属性定義
このコンポーネントは、TOE が、アカウンタビリティの目的で、ある利用者を別の利用者と区別で きるようにするため、および FMT_SMR.1 で選択された役割を利用者に関連付けることができるよ うにするために存在します。このコンポーネントは、対策方針 OE.IDAUTH および OE.SINUSE に までさかのぼり、これらの対策方針を満たすために役立ちます。TOE 環境セキュリティ機能要件下 でのこのコンポーネントの存在は、許可されたリモート管理者および外部 IT エンティティだけの 認証を扱うことを目的としています。
FIA_UAU.5 複数の認証メカニズム
このコンポーネントは、TOE における、内部ネットワークまたは外部ネットワークからのすべての 認証試行で、複数の認証メカニズムが適切に使用されることを保証するために選択されています。
このコンポーネントは、対策方針 OE.IDAUTH にまでさかのぼり、この対策方針を満たすために役 立ちます。この要件は、TOE によって一部満たされ、TOE 環境によって一部満たされることに注 意してください。TOE 環境セキュリティ機能要件下でのこのコンポーネントの存在は、許可された リモートファイアウォール管理者および外部 IT エンティティだけの認証を扱うことを目的として います。
FIA_UID.2 アクション前の利用者識別
このコンポーネントは、利用者の代わりにアクションが実行される前に、利用者が TOE に識別さ れることを保証します。このコンポーネントは、対策方針 OE.IDAUTH にまでさかのぼり、この対 策方針を満たすために役立ちます。
セキュリティ保証要件( SAR )の根拠
この ST は、ALC_FLR.1 によって強化された EAL4 で記述されています。
EAL4 が選択された理由は、開発者が良好な商業的開発プラクティスに基づいて、積極的なセキュ リティ エンジニアリングから最大の保証を得られるためです。EAL4 は、従来の商用 TOE におい て個別に保証された中レベルから高レベルのセキュリティを開発者および利用者に提供します。
お客様が欠陥を報告でき、その欠陥が体系的に修正されることを保証するために、EAL 4 は ALC_FLR.1 によって強化されています。
TOE によって処理される情報の高度のセキュリティを確保するには、開発者が脆弱性分析を行う必 要があるだけではなく、TOE の評価者が独立侵入テストを実行し、低い攻撃能力を持つ攻撃者によ る侵入攻撃に TOE が耐えられることを確認する必要があります。
選択された保証レベルは、想定される脅威環境と一貫性のある O.EAL によってサポートされます。
特に、攻撃の脅威は低レベル以下で、製品は開発者による脆弱性分析と評価者による独立侵入テス トを受けます。
すべての依存性が満たされるとは限らない根拠
このセキュリティ ターゲットには、機能コンポーネント FCS_COP.1 および FIA_AFL.1 の依存先を 除くすべての依存先が含まれています。
機能コンポーネント FCS_COP.1 は、機能コンポーネント FCS_CKM.1 暗号鍵生成、FCS_CKM.4 暗 号鍵破棄、および FMT_MSA.2 セキュアなセキュリティ属性に依存します。暗号モジュールは、FIPS PUB 140-1 または FIPS 140-2 に準拠している必要があります。暗号モジュールは FIPS PUB 140-2 に 準拠しているため、鍵生成、鍵破棄、およびセキュア鍵値の依存性は、FIPS PUB 140-2 に準拠する ことで満たされます。詳細については、FIPS PUB 140-2 の 4.7.2 項および 4.7.6 項を参照してくださ い。
FIA_AFL.1 は FIA_UAU.1 に依存します。この認証機能は、認証失敗によるロック動作をサポート するために必要です。この ST では、FIA_UAU.5 を含めることで、必要な認証機能が要求されます。
FIA_UAU.5 では、完了操作の項目 1 に、FIA_UAU.2(FIA_UAU.1 の上位階層)と似た文言が含ま れています。
TOE 要約仕様の根拠
ここでは、TOE 要約仕様(P.47 の「TOE 要約仕様」を参照)に記述されているセキュリティ機能 が、SFR および SAR を実装するために必要かつ十分であることを示します。表16 は、TOE セキュ リティ機能要件と TOE セキュリティ機能間のマッピングの要約を示しています。
表16 TOE セキュリティ機能要件と TOE セキュリティ機能間のマッピングの要約
セキュリティ管理 監査 情報フロー制御 識別と認証 保護 クロック
FAU_GEN.1 x x
FAU_SAR.1 x
FAU_SAR.3 x
FAU_STG.1 x
FAU_STG.4 x
FCS_COP.1 x x
FDP_IFC.1(1) x
FDP_IFC.1(2) x
FDP_IFF.1(1) x
FDP_IFF.1(2) x
FDP_RIP.1 x
FIA_AFL.1 x
FIA_ATD.1 x
セキュリティ管理機能では、許可管理者(FMT_SMR.1)が、FIPS 140 検証済み暗号化リンク
(FCS_COP.1)を介してローカルおよびリモートで、次のアクション(FMT_SMF.1)を実行できます。
• 時刻を変更する(FMT_MTD.1(2))。
• 単一使用認証メカニズムの動作を制御する(ファイアウォール管理者のみ)(FMT_MOF.1(1))。
• 監査証跡、および外部 IT エンティティと TOE の通信を管理する(FMT_MOF.1(2))。
• TSF データをバックアップする(FMT_MOF.1(2))。
• 情報フローポリシー規則を操作する(ファイアウォール管理者のみ)(FMT_MSA.1(1)、 FMT_MSA.1(2)、FMT_MSA.1(3)、FMT_MSA.1(4)、および FMT_MSA.3)。
• 管理者アカウントを管理する(FMT_MTD.1(1))。
• 認証失敗ロックアウト メカニズムを管理する(FMT_MTD.2)。
情報制御フロー機能では、許可されたファイアウォール管理者(FMT_SMR.1)が、ファイアウォー ル 上 の ネ ッ ト ワ ー ク イ ン タ ー フ ェ イ ス ペ ア 間 の ト ラ フ ィ ッ ク フ ロ ー 規 則 を 設 定 で き ま す
(FMT_MSA.1(1)、FMT_MSA.1(2)、FMT_MSA.3、FMT_SMF.1)。デフォルトとして、ファイアウォー ルはすべてのネットワーク接続を許可しません。接続がファイアウォールを通過できるのは、その タイプの通信が通過できるように規則が設定されている場合だけです(FMT_MSA.3)。
情報制御フロー機能を使用すると、許可されたファイアウォール管理者は、ファイアウォールの ネットワーク インターフェイス間のネットワーク トラフィック フローを制限および制御できま す。これはネットワークインターフェイスに到達するパケットの、次のようなフロー属性に基づい て行われます。
• 要求が到達するインターフェイス(FDP_ IFF.1(1)、FDP_IFF.1(2)、FDP_IFC.1(1)、および FDP_IFC.1(2))。
• パケットの推定される送信元 IP アドレス(FDP_ IFF.1(1)、FDP_IFF.1(2)、FDP_IFC.1(1)、およ び FDP_IFC.1(2))。
• パケットの宛先 IP アドレス(FDP_ IFF.1(1)、FDP_IFF.1(2)、FDP_IFC.1(1)、および FDP_IFC.1(2))。
• パケットに関連するサービス(FDP_ IFF.1(1) および FDP_IFF.1(2))。
• パケットに含まれているトランスポートレイヤプロトコル(FDP_ IFF.1(1) および FDP_IFF.1(2))。
パケットのアドレスを別のアドレスに変換できます(FDP_IFF.1(1) および FDP_IFF.1(2))。 パケットがファイアウォールの 1 つのインターフェイスに到達し、インターフェイスに設定されて いる規則の要件を満たさない場合、そのパケットはブロックされます。特定のパケットが、ファイ アウォールの、あるネットワーク インターフェイスから別のネットワーク インターフェイスに流 れることができるという明示的な規則がない限り、パケットはブロックされます(FDP_IFF.1(1)、
FMT_MTD.1 (1) x x
FMT_MTD.1 (2) x x
FMT_MTD.2 x x
FMT_SMF.1 x x x x x
FMT_SMR.1 x x x x x
FPT_RVM.1 x
FPT_SEP.1 x
FPT_STM.1 x
表16 TOE セキュリティ機能要件と TOE セキュリティ機能間のマッピングの要約(続き)
セキュリティ管理 監査 情報フロー制御 識別と認証 保護 クロック
監査機能は、許可管理者が管理できる、ネットワーク接続および他のイベント(FAU_GEN.1)の信 頼性の高い監査証跡を提供します(FMT_MOF1(2)、FMT_SMF.1)。すべてのイベントで、監査機能 は次の情報を記録します。
• イベントの日時(クロック機能によって提供された日時情報を使用)(FAU_GEN.1)。
• 送信元と宛先の IP アドレス(ネットワーク トラフィックのみ)(FAU_GEN.1)。
• イベントまたはサービスのタイプ(FAU_GEN.1)。
• イベントの成功または失敗(FAU_GEN.1)。
監査レコードは、監査サーバにセキュアに保存されます(FAU_STG.1)。監査サーバでは、PFSS を 使用して、許可された監査管理者(FMT_SMR.1)が監査レコードを表示および分析できます
(FAU_SAR.1、FAU_SAR.3)。TOE 要約仕様で説明しているように、PFSS の分析機能は、この分野 のすべてのセキュリティ機能要件に対応します。
監査データの損失は制限されています(FAU_STG.4)。TCP システムログメッセージがイネーブル である場合、障害発生時に失われる可能性のあるのは、最大でも、最後の 50 パケットの結果とし て生成されたログの数です。これは厳密に定量化できませんが、監査キューの最大長は 8192 個の メッセージ(2MB)に制限されています。
保護機能では、TOE を通過する情報ストリームを分離できます。TOE は、汎用のオペレーティン グシステムも、ディスクストレージも、プログラミングインターフェイスも持たない、専用のファ イアウォールデバイスです。インターフェイスは、管理者のため、およびサポート対象プロトコル を使用するトラフィックのために用意されています。管理インターフェイスは、認証と物理的な制 御 に よ っ て 保 護 さ れ、リ モ ー ト で 使 用 さ れ る 場 合 に は 暗 号 化 に よ っ て も 保 護 さ れ ま す
(FCS_COP.1)。プロトコルコンバータは、通過するパケットがオブジェクトとして扱われること、
および実行されるすべてのプロセスが信頼されていることを保証します。信頼されていないプロセ スは、TOE で許可されません(FPT_SEP.1)。この機能は、新しいプロセスにメモリを提供する前 に、新しいプロセスに割り当てるメモリをフラッシュします(FDP_RIP.1)。さらに、保護機能は TSC 内の機能が処理される前に、TSF が確実にその機能の検証に成功することも保証します
(FPT_RVM.1)。
識別と認証機能は、管理者が他の TOE 機能へのアクセスを許可される前に、識別(FIA_UID.2、 FIA_ATD.1)および認証(FIA_UAU.5、FIA_ATD.1)されるように要求します。認証の失敗が監視 され、定義済みの失敗制限を超えるとアカウントはロックされます(FIA_AFL.1)。
この機能は、許可管理者によって制御されます(FMT_SMF.1 および FMT_SMR.1)。許可管理者は、
管理者属性を変更でき(FMT_MTD.1(1))、許可される認証試行回数を管理できます(FMT_MTD.2)。 パスワードメカニズムについて主張されている機能強度は SOF-Medium です。これは TOE の全体 的な主張 SOF-Medium と一貫性があります。
ク ロ ッ ク 機 能 は、日 時 情 報 の 信 頼 で き る ソ ー ス を 提 供 し ま す。こ の 機 能 で は、許 可 管 理 者
(FMT_SMF.1、FMT_SMR.1)が日時を設定および変更できます(FMT_MTD.1(2))。また、クロッ ク機能は監査機能にタイムスタンプを提供します(FPT_STM.1)。