8. 根拠
8.3. TOE要約仕様根拠
8.3.1. TOEセキュリティ機能根拠
6.1節TOEセキュリティ機能の表 14で示したように、各TOEセキュリティ機能が1つ以上のTOEセキュリ ティ機能要件に対応している。以下に、各TOEセキュリティ機能要件が、TOEセキュリティ機能により実 現できることの根拠を記述する。
FAU_GEN.1:監査データ生成
SF.Audit_Loggingは、TOE内のセキュリティ機能に関する監査事象発生時は監査ログを生成する。
記録の対象となる監査対象事象は表 7 監査対象事象に示した通りである。
SF.Audit_Loggingは、監査ログ生成時に使用する日時に関して、ディスクアレイ装置のOSが管理 している時刻を元にして、監査ログを生成する。
したがって、SF.Audit_Loggingにより、FAU_GEN.1は実現される。
FAU_GEN.2:操作者識別情報の関連付け
SF.Audit_Loggingは、生成する監査ログに、各監査対象事象の原因となったアカウントのユーザ
IDを付与する。
したがって、SF.Audit_Loggingにより、FAU_GEN.2は実現される。
FAU_STG.1:保護された監査証跡格納
SF.Account_Authenticationは、Audit Log Administrator (View and Modify)のロールを持つ操作 者に対してのみ監査ログの消去(全監査ログの一括削除)を許可する。
したがって、SF.Account_Authenticationにより、FAU_STG.1は実現される。
FAU_STG.4:監査データ損失の防止
SF.Audit_Loggingは、ディスクアレイ装置の内部に2,048件までの監査ログを保存する。監査ログ
が2,048件を超過する場合、最も古い監査ログを消去し、新たに発生した監査ログを上書きする。
したがって、SF.Audit_Loggingにより、FAU_STG.4は実現される。
FDP_ACC.1:サブセットアクセス制御
SF.Account_Authenticationは、操作者がRAIDグループ/LU情報テーブル、LU割当て情報テー ブル、構成情報テーブル、有償オプション情報テーブル(Audit Logging機能、Account
Authentication機能除く)内の値を変更・参照する際に、操作者のアカウントに設定されたロールを
確認し、許可された範囲の操作のみを許可するアクセス制御を行う。
したがって、SF.Account_Authenticationにより、FDP_ACC.1は実現される。
FDP_ACF.1:セキュリティ属性によるアクセス制御
SF.Account_Authenticationは、操作者がRAIDグループ/LU情報テーブル、LU割当て情報テー ブル、構成情報テーブル、有償オプション情報テーブル(Audit Logging機能、Account
Authentication機能除く)内の値を変更・参照する際に、操作者のアカウントに設定されたロールを
確認し、許可された範囲の操作のみを許可するアクセス制御を行う。
したがって、SF.Account_Authenticationにより、FDP_ACF.1は実現される。
FIA_ATD.1:利用者属性定義
SF.Account_Authenticationは、セキュリティ属性であるユーザID、セッションID、ロール、アカウン ト無効の各属性を維持する。
したがって、SF.Account_Authenticationにより、FIA_ATD.1は実現される。
FIA_SOS.1:秘密の検証
SF.Account_Authenticationは、パスワードの文字数が6文字以上であるという品質尺度を満たして いるかどうかの確認を行い、品質尺度を満たさないパスワードの設定を認めない。したがって、
SF.Account_Authenticationにより、FIA_SOS.1は実現される。
FIA_UAU.2:アクション前の利用者認証 (パスワードによる認証)
SF.Account_Authenticationは、ユーザID、パスワードによる識別・認証に成功しない限り、ディスク アレイ装置に対していかなる管理・設定操作も認めない。
したがって、SF.Account_Authenticationにより、FIA_UAU.2は実現される。
FIA_UID.2:アクション前の利用者識別 (ユーザIDによる識別)
SF.Account_Authenticationは、ユーザIDによる識別・認証に成功しない限り、ディスクアレイ装置 に対していかなる管理・設定操作も認めない。
したがって、SF.Account_Authenticationにより、FIA_UID.2は実現される。
FIA_USB.1:利用者・サブジェクト結合
SF.Account_Authenticationは、識別・認証が成功した場合に操作者を代行するプロセス(マイクロ プログラムの制御動作)と提供されたセッションID、ユーザID、ロールを関連づける。
したがって、SF.Account_Authentication、SF.Configurationにより、FMT_USB.1は実現される。
FMT_MOF.1:セキュリティ機能のふるまいの管理
SF.Configurationは、Account Authentication機能の有効/無効の設定はAccount Administrator (View and Modify)のロールが付与された操作者のみ、Audit Logging機能の有効/無効の設定は Audit Log Administrator (View and Modify)のロールが付与された操作者のみが可能である。
したがって、SF.Account_Authentication、SF.Configurationにより、FMT_MOF.1は実現される。
FMT_MSA.1:セキュリティ属性の管理
SF.Account_Authenticationは、ロールの問い合わせ、改変の操作を行う手段を提供する。Account Administrator (View and Modify)のロールを持つ操作者に対して上記の全ての操作を許可し、
Account Administrator (View Only)のロールを持つ操作者には上記属性の問い合わせのみ許可 する。
したがって、SF.Account_Authenticationにより、FMT_MSA.1は実現される。
FMT_MTD.1:TSFデータの管理
SF.Account_Authenticationは、操作者からの要求に応じて、ユーザIDの問い合わせ、作成、削除、
パスワードの作成、改変、削除(アカウント全体として削除)、アカウント無効属性の問い合わせ、改 変、セッションIDの削除(強制ログアウト)の操作を行う手段を提供する。そして、Account
Administrator (View and Modify)のロールを持つ操作者に対して上記の全ての操作を許可し、そ れ以外の操作者については自分自身のパスワード改変の操作のみ許可する。
SF.Audit_Loggingは、Audit Log Administrator (View and Modify)のロールを持つ操作者に対し てのみ監査ログの消去(全監査ログの一括削除)を許可する。したがって、
SF.Account_Authentication、SF.Audit_Loggingにより、FMT_MTD.1は実現される。
FMT_SMF.1:管理機能の特定
SF.Account_Authenticationは、操作者からの要求に応じて、ユーザIDの問い合わせ、作成、削除、
パスワードの作成、改変、削除(アカウント全体として削除)、アカウント無効属性およびロールの問 い合わせ、改変、セッションIDの削除の操作を行う手段を提供する。Account Administrator (View
and Modify)のロールを持つ操作者に対して上記の全ての操作を許可し、Account Administrator (View Only)のロールを持つ操作者には上記属性の問い合わせのみ許可する。それ以外の操作 者については自分自身のパスワード改変の操作のみ許可する。
SF.Audit_Loggingは、Audit Log Administrator (View and Modify)のロールを持つ操作者に対し てのみ監査ログの消去(全監査ログの一括削除)を許可する。
SF.Configurationは、Account Authentication機能の有効/無効の設定する機能をAccount Administrator (View and Modify)のみに、Audit Logging機能の有効/無効の設定する機能を Audit Log Administrator (View and Modify)のみに提供する。
したがって、SF.Account_Authentication、SF.Audit_Loggingにより、FMT_SMF.1は実現される。
FMT_SMR.1:セキュリティ役割
SF.Account_Authenticationは、識別・認証成功後、当該アカウントに対し役割を関連付け維持す る。
したがって、SF.Account_Authenticationにより、FMT_SMR.1は実現される。
FMT_RVM.1:TSPの非バイパス性
SF.Account_Authenticationは、Hitachi Storage Navigator Modular 2からのユーザID・パスワードも しくはセッションIDによる操作者の識別・認証要求を受け付けたとき、操作者が管理機能にアクセ スする際にSF.Account_Authenticationが必ず実施されることを保証する。
SF.Audit_Loggingは、監査対象事象が発生した場合にSF.Audit_Loggingが必ず実施されること を保証する。
SF.Configurationは、Account Authentication機能の有効/無効の設定、Audit Logging機能の有効 /無効の設定関する要求を受け付けたとき、SF.Configurationが必ず実施されることを保証する。
したがって、SF.Account_Authentication、SF.Audit_Logging、SF.Configurationが確実に呼び出さ れて、識別認証、アクセス制御、ログ生成などが実施され、これら機能をバイパスできないことにより、
FMT_RVM.1は実現される。
FMT_SEP.1:TSFドメイン分離
SF.Account_Authentication、SF.Audit_Logging、SF.Configurationはそれぞれの機能に用いられる TSF自身を保護し、信頼できないサブジェクトからの干渉・改ざん等から保護する。
したがって、SF.Account_Authentication、SF.Audit_Logging、SF.Configurationにより、FMT_SEP.1 は実現される。
FMT_STM.1:高信頼タイムスタンプ
SF.Audit_Loggingは、監査ログ生成時に使用する日時に関して、ディスクアレイ装置のOSが管理 している時刻を元にして、監査ログを生成する。
したがって、SF.Audit_Loggingにより、FMT_STM.1は実現される。
FTA_SSL.3:TSF起動による終了
SF.Account_Authenticationは、ログイン後一定時間無操作の場合にセッションをタイムアウトとし、
再度の識別・認証を要求する。
したがって、SF.Account_Authenticationにより、FTA_SSL.3は実現される。
FTA_TSE.1:TOEセッション確立
SF.Account_Authenticationは、当該アカウントに対し「アカウント無効」属性が設定されていない場 合に限り場合に識別・認証を成功としている。
したがって、SF.Account_Authenticationにより、FTA_TSE.1は実現される。
8.3.2. TOE機能強度根拠
本TOEにおいて、確率的かつ順列的メカニズムに基づくセキュリティ機能は、
SF.Account_Authenticationである。これらセキュリティ機能のセキュリティ機能強度は、6.2節において、
「SOF-基本」と主張している。一方、5.1.2項においてTOEの最小機能強度はレベルを「SOF-基本」と主 張している。従って両者は一貫している。
8.3.3. 保証手段根拠
本項では、セキュリティ保証手段が評価保証レベルEAL2において規定されたセキュリティ保証要件 に対して必要かつ充分である事を記述する。
セキュリティ保証要件とセキュリティ保証手段の対応関係を表 15に示す。表 15より、すべてのセキュリ ティ保証手段が、何らかのセキュリティ保証要件のために必要であることが示される。また、保証手段 に記述される内容は、本STが規定したセキュリティ保証要件が要求する証拠を網羅する。
上記の通り、本STに記述された各保証手段が、TOEセキュリティ保証要件にまでたどれることを示し、
また記述されたすべての保証手段が実装されることによってすべてのTOEセキュリティ保証要件が満 たされることも示している。