サーバ署名に関する規格・事例調査文
献等調査状況(途中報告)
目次
1.
ETSI関連文献(リモート署名のレベルと構成例)
2.
米国サービス事例
1.ETSI リモート署名の関連ドキュメント
下記はいづれも現時点では非公開ドキュメント
1.
EN 319 102 Procedures for Creation and Validation of AdES digital
signatures
2.
EN 419 221 Security requirements for trustworthy systems managing
certificates for electronic signatures (ex TS14167-2 to 4)
–
パート1~5で構成され、以下が含まれる。
–
Protection profiles for secure signature creation device Published End
2013, 2015
–
Protection profiles for TSP Cryptographic modules
3.
EN 419 261 Security requirements for trustworthy systems managing
certificates for electronic signatures (ex TS14167-1)
4.
EN 419 241 Security requirements for trustworthy systems
supporting server signing (signature generation services)
1.ETSI リモート署名のレベル
ESI Workshop資料のリモート署名のレベルについて
レベル分けについて
Level1
–
リモート署名の署名者の認証が、システム環境によって強制される。
Level2
–
リモート署名の署名者の認証が、署名生成装置によって強制される。
–
2要素認証が必須、適格署名(QCレベル)
。
用語
•
DTBS
Data to be Signed
•
SAD
Signer's Activation Data
•
SCD
Signature Creation Data
•
Signer‘s SCD Signer's Signature Creation Data
•
SCDev
Signature Creation Device
•
SCDid
Signature Creation Device Identifer
•
SSA
Server Signing Application
1.ETSI リモート署名の構成例
ETSI ESI Workshop Barcelona, 14th March 2013
Signing in the Cloud CEN Server signing TS 419 241 part 1
2.米国のサービス事例
現時点での調査対象の企業及びサービスと以下に示す。
1.
DocuSign
2003年設立。米カリフォルニア州サンフランシスコに本社を置き、米国の他9カ国に拠点
を置く。現在、188カ国に5,000万人以上の利用者をかかえる、大手電子署名サービ
ス事業者。
2.
Barracuda Networks
2003年設立のグローバルITソリューション事業者(米カリフォルニア州キャンプベル本
社)。2013年に電子署名・文書保存サービス事業者SignNowを買収し、
CudaSignとして提供している。
3.
Comfact
1988年設立。スウェーデンのヨーテボリに本社を置く。欧州の法律を順守する高い信頼
性を保証する電子署名サービス、ProSale Signingを提供する。
1. https://www.docusign.com/2. https://www.cudasign.com/; https://www.barracuda.com/company/index; https://www.barracuda.com/news/press_release/82#.VqHGEiorLIU 3. https://www.comfact.com/Product/Signing/
2.米国のサービス事例
対象企業
DocuSign
CudaSign
ProSales
サーバー
DocuSignのクラウドサーバー
あるいは、
顧客保有のサーバー
Barracudaのクラウドサー
バーあるいは、
顧客保有のサーバー
不明
セキュリティ
モジュール
Software Security Module
(SSM)あるいはHardware
Security Module(HSM)を利
用するオプションがある。
SSMあるいはHSMを利用する
オプションがある。
HSMを利用するオプションが
ある。
利用者確認
コード(SMS・電子メールなど
で送付)、電話認証、秘密の質
問、第三者発行の電子証明、
SNSへのサインイン情報、現在
地のGPS情報 など
パスワードおよび、SMSなど
で送付されたコードを用いる2
段階認証 など
電子メールアドレス、IPアド
レス、タイムスタンプなども、
記録される。
コード(SMS・電子メールな
どで送付)、PKI証明書、
Eid2(スウェーデンの電子
ID)などを利用した2段階認
証 など
公開文献調査の結果を以下に示す。
3.サーバ署名への機能追加について
サーバ署名への機能追加の観点から文献調査の結果(一部)を報告する。
・海外のセキュリティ要求仕様(PP: Protection Profile)の必須機能等
・国内のセキュリティ実装仕様(ST: Security Target)の非機能要件等
海外文献から
1. 海外のCA-PP(要求仕様)では、リカバリ機能のサポートが必須。
記述内容)特権ユーザの不正利用やリモートユーザの行為によってサーバ署名(評価対象ソフトウェア(TOE))のセキュリティ機能に影響が
ないことを示すためにAudit Recordが必須である。
2. 海外:「ID とクレデンシャル情報管理の標準プロテクションプロファイル」では、詳細な識別情報とクレデンシャル情報属性を定義できる機能が必須。
記述内容)利用者になりすまし(リプレイアタック)への対策として、権限付与とアクセス制御を提供するために、保存されたクレデンシャル情報を
保護が必須である。
国内文献から
1. 国内の評価事例では、ログ生成機能を提供するシステムと提供しないシステムが存在する。(評価対象にはないだけであり、提供している可能性は有)
2. 鍵のバックアップ機能の記載はない(現時点の調査範囲では)。
3. 設置環境は運用・環境への要求事項。
記述例)「TOEが動作するハードウェアは、TOEを管理する組織の責任者によって入退管理が可能な安全な場所に設置、管理されなければならない。
また、サーバおよびHSMは施錠可能なサーバラックに配置し、直接的な操作から保護されなければならない。」
4. ネットワークへの対策についても運用・環境への要求事項。
記述例)「CAサーバとセキュアルーム外との通信は、すべてファイアウォールサーバを通して行わなければならない。そのファイアウォールサーバには、
SSL及びTLS以外の通信を排除し、DOS攻撃からも保護されるよう設定されなければならない。」
3.前述3の本調査対象文献について
海外のセキュリティ要求仕様を調査するためにNIAPのPP、国内の状況を調査するために、
STを調査した。以下に調査文献を示す。
なお、以降にメールインタビュー調査を結果を踏まえ、CEN等の文献も調査する予定。
認証番号 供給者 TOE種別 セキュリティ機能要件/TOEセキュリティ機能 TOEの名称/TOEのバー ジョン 認証年月日 C0135 株式会社 日立製作 所 IT製品(PKI) ・データ保護機能 ・データ改ざんチェック機能 ・識別・認証機能 ・監査機能 証明書検証サーバ 03-00 2007/12/26 EAL2 C0028 日本電信電話株式会 社 IT製品(認証局機能) ・申請書認証機能 ・操作者認証機能 ・申請者アクセス制御機能 ・運用支援機能 ・履歴管理機能 Trust-CANP V8.0i 2005/7/7 EAL2 C0025 株式会社 日立製作 所 IT製品(電子申請基盤ソフトウェア) ・セッション管理サービス ・レシート管理サービス ・配信サービス ・アプリケーション動作支援サービス(ログ管理) ・セッション管理サービス運用管理 ・レシート管理サービス運用管理 ・配信サービス運用管理 アプリポーター Security Kit バージョン 01-00 2005/4/28 EAL2 C0013 株式会社 日立製作 所 IT製品(認証局機能) ・監査機能 ・暗号機能 ・アクセス制御機能 ・識別・認証機能 ・CA情報管理機能 Enterprise Certificate Server Set 01-01-A 2004/8/3 EAL33.海外文献1:CA-PPの脅威と機能(抜粋)
Threat(脅威)
Objective(セキュリティ機能)
T.PRIVILEGED_USER_ERROR
O.TOE_ADMINISTRATION
O.AUDIT_PROTECTION,
O.AUDIT_LOSS_RESPONSE,
O.SESSION_LOCK
T.UNDETECTED_ACTIONS
O.SYSTEM_MONITORING,
O.AUDIT_PROTECTION,
O.AUDIT_LOSS_RESPONSE
セキュリティ機能 内容 O.RECOVERYThe TOE will have the capability to store and recover to a previous state at the direction of the administrator (e.g., provide support for archival and recovery capabilities).
TOEは、管理者の指示により以前の状態を保持し、回復する(例えば、アーカイブおよびリカバリ機能のサポー ト)。
O.AUDIT_LOSS_RESPONSE
The TOE will respond to possible loss of audit records when audit trail storage is full or nearly full by restricting auditable events.
TOEは、監査証跡の保存量が上限に達するまたは監査可能なイベントの制限量に達するときに、監査レコードの 損失を通知する。
O.AUDIT_PROTECTION The TOE will protect audit records against unauthorized access, modification, or deletion to ensure accountability of user actions. TOEは、ユーザアクションの説明責任を確保するため監査レコードを不正アクセス、変更、削除から保護する。
脅威 内容
T.PRIVILEGED_USER_ERROR
A privileged user or non-person entity(NPE) improperly exercises or adversely affects the TOE, resulting in unauthorized services, ineffective security mechanisms, or unintended circumvention of security mechanisms.
特権ユーザまたは非人物の実体(NPE)の不適切な行使または許可されていないサービス、無効セキュリティ機 構、またはセキュリティ機構の意図しない回避の結果、TOEに影響を与える。
T.UNDETECTED_ACTIONS Remote users or external IT entities may take actions that adversely affect the security of the TOE. リモートユーザまたは外部ITエンティティの行為によって、TOEのセキュリティに影響を与える。
3.海外文献2:IDとクレデンシャル情報管理PPの脅威と機能(抜粋)
前提条件・脅威
対策方針
A.ENROLLMENT ― クレデンシャル情報の割り当ての
前に、利用者の識別情報を確認する定義された登録プ
ロセスが存在すること。
OE.ENROLLMENT ― 運用環境は、クレデンシャル情
報の割り当ての前に、利用者の識別情報を確認する定
義された登録プロセスを提供すること。
T.INSUFFATR ― 割付管理者がTOEを利用して権限付
与とアクセス制御を利用できるほど十分に詳細な認証
情報、クレデンシャル情報、及び属性を定義できず、
不当なアクティビティを許したり正当なアクティビ
ティを禁止したりするような他のESM製品のふるまい
が引き起こされてしまうおそれが ある。
O.IDENT ― TOE は 割付管理者へ、詳細な識別情報
とクレデン シャル情報属性を定義できる能力を提供す
ること。
T.RAWCRED ― 悪意のある利用者が、他の利用者に
なりすますためにリプレイされるおそれのあるクレデ
ンシャル情報を取得するために、保存されたクレデン
シャル情報データへ直接アクセスしようとするおそれ
がある。
O.PROTCRED ― TOEは、保存されたクレデンシャル
情報を保護できること。
T.WEAKIA ― 悪意のある利用者が、認証クレデンシャ
ル情報の力ずくの推定によりTSFから不法に認証され
るおそれがある。
O.ROBUST ― TOEは、認証中に攻撃者が本物の利用
者になりすます能力を低減するメカニズムを提供する
こと。
OE.ROBUST ― 運用環境は、認証中に攻撃者が本物の
利用者になりすます能力を低減するメカニズムを提供
すること。
3.国内事例1:C0028の運用・環境情報(抜粋)
前提条件・脅威 対策方針(セキュリティ機能以外)
SO.AUDIT_DATA TOEは、ログファイルに対して改ざんまたは削除を検出することが可能でなければならない。 P.AUDIT_DATA TOEの生成するログは、改ざんや消去の検出が可能な状態で記録されなければならない。 A.PHYSICAL_PROTEC T TOEが動作するために必要なハードウェアは、入退管理さ れている場所に設置され、直接的な物理攻撃から保護され ているものとする。また、サーバおよびHSMは施錠可能な サーバラックに配置し、直接的な操作から保護されている ものとする。 SOE.PHYSICAL_PROT ECT TOEが動作するハードウェアは、TOEを管理する組織の責 任者によって入退管理が可能な安全な場所に設置、管理さ れなければならない。また、サーバおよびHSMは施錠可能 なサーバラックに配置し、直接的な操作から保護されなけ ればならない。 A.HSM HSMにてセキュアに管理されるCAの秘密鍵は、ハードウェアの直接的な物理攻撃によって暴露、改ざんされない ものとする。 SOE.HSM CAの秘密鍵は、FIPS140-2レベル3相当のHSMによって保 護されなければならない。
A.IC_CARD 正当な操作者が所有するICカードは、所有者が正当であることを確認できる情報を提供するものとする。 SOE.IC_CARD ICカードは、PINによって操作者が所有することを確認後、正当である証拠を提供しなければならない。 A.FIREWALL CAサーバとセキュアルーム外との通信は、SSLもしくはTLS以外の通信を排除でき、DOS攻撃からも保護されてい
るものとする。 SOE.FIREWALL CAサーバとセキュアルーム外との通信は、すべてファイア ウォールサーバを通して行わなければならない。そのファ イアウォールサーバには、SSL及びTLS以外の通信を排除 し、DOS攻撃からも保護されるよう設定されなければなら ない。
A.NETWORK CAサーバとCAO端末間の通信路の情報は、改ざんの無いものとする。 SOE.NETWORK CAサーバとCAO端末間の通信はSSLを用いなければならない。 A.OPERATOR 操作者は、信頼されるものであり、ガイダンス文書に従っ てCAの運用を行い、・自己の所有するICカードを他人に 使わせない・操作の途中、認められた操作者以外の者に CAO端末を操作させないものとする。 SOE.OPERATOR TOEを管理する組織の責任者は、操作者に信頼される人を 選定し、ガイダンス文書に従うことを周知しなければなら ない。操作者は、自己の所有するICカードの紛失、ICカー ドのPINの漏洩に注意し、操作の途中、認められた操作者 以外の者にCAO端末を操作させないようにしなければなら ない。
A.ADMIN CA管理者は、細心の注意を払ってCAの運用を行い、誤った操作を行わないという点でも信頼できるものとする。 SOE.ADMIN TOEを管理する組織の責任者は、細心の注意を払ってCAの運用を行い、誤った操作を行わないという点でも信頼でき るCA管理者を選定しなければならない。 P.MANAGEMENT TOEを管理する組織の責任者は、予め組織内部セキュリティポリシーを決定し、実施すること。 SOE.MANAGEMENT TOEを管理する組織の責任者は、組織内部セキュリティポ リシーを作成し、そのポリシーに基づいたガイダンス文書 を作成する。その上でCA管理者、CA操作者、監査人を適 切に指導しポリシーを実施させ、RAを登録する際もポリ シーに従わなければならない。
P.RA_TRUST TOEを管理する組織の責任者は、CAと同等のセキュリティポリシーを実施しているRAを登録すること。 P.PASSWORD TOEを管理する組織の責任者及びCA管理者は、CAに関するパスワードの安全性を保てるように、パスワードの運用
規則を定め、実施すること。 SOE.PASSWORD
TOEを管理する組織の責任者及びCA管理者はパスワードの 安全性を保てるように、TOEの運用に関連するパスワード の運用規則を定め、実施しなければならない。
3.国内事例2:C0135の運用・環境情報(抜粋)
前提条件・脅威 対策方針(セキュリティ機能以外) A.CVS_MACHINE(C VSマシンの設置) CVSマシン、ファイアウォール及びHSMはシステム管理者のみが入退出できるエリアに設置される。 OM.SETTING(設置規定) CVSマシン、HSM及びファイアウォールは、セキュリティエリア内に設置しなければならない。 OM.S_AREA_CONTROL(セキュリティエリアの入退 室制限) セキュリティエリアは、システム管理者のみ入室でき るよう入退室管理を行い、不正な物理的アクセスから 保護しなければならない。 A.OPERATOR(人的 資源) システム管理者及びCVS操作員は、TOEのセキュリティに対する不正及び秘密情報の漏洩を行わない。 OM.OPERATOR(人的資源に関する規定) CVSを運用する組織の長は、システム管理者及びCVS 操作員に対してTOEのセキュリティに関する教育を十 分に実施し、保護対象資産への不正な操作、及び、自 身が保持する秘密情報の漏洩を行うことのない信頼で きる人物を配置する。 A.CVS_R_ACCESS( CVSマシンへのリ モートアクセス) CVSマシン上のOSへのリモートからのログインはで きない。 OM.R_LOGIN(CVSマシンへのリモートログイン) CVSマシン上のOSにより提供されるリモートログイ ンのためのサービスである、Rlogin、Telnet、SSH、 Rsh、FTPを全て停止した状態で稼動する。 A.CVS_NETWORK(C VSマシンのネット ワーク設定) DMZセグメント及び内部セグメントとインターネッ トそれぞれとの間は、目的としたもの以外のアクセス を全て拒否する。 OM.CONNECT(接続規定) DMZセグメントは、ファイアウォールを介してイン ターネットに接続しなければならない。等 A.CLIENT(利用者側 クライアントプログ ラムの設置) 一般利用者は、証明書検証結果署名を検証できる利用 者側クライアントプログラムを設置する。 OM.CLIENT(利用者側クライアントプログラムの設置規定) CVSを運用する組織は、一般利用者に対し、証明書検 証結果署名を検証できる利用者側クライアントプログ ラムの設置を指導する。 A.ADMIN_SSL(CVS 操作員証明書の使用) SSLクライアント認証の場合、CVS操作員が管理端末 からTOEにアクセスするためのCVS操作員証明書は、 CVS操作員のみが使用できる。 OM.ADMIN_SSL(CVS操作員証明書・CVS操作員秘 密鍵の提供に関する規定) システム管理者は、CVS操作員証明書及びCVS操作員 秘密鍵を、CVS操作員にのみ提供する。CVS操作員は、 以下の条件を満たすPINをCVS操作員秘密鍵に付与し て、CVS操作員証明書とともに管理端末に登録する。 T.MAN_IN_THE_MI DDLE(中間者攻撃) インターネット上の悪意者が、ネットワーク上でTOE の証明書検証結果応答を取得し、改ざんして一般利用 者へ送信することによって、一般利用者が、不正な証 明書検証結果応答を受信するかもしれない。等OE.HSM(HSMによる暗号操作) CVS秘密鍵の生成・破棄等の処理については、IT環境として提供されるHSMがTOEからの指示によって実
現する。 OE.CLIENT(利用者側クライアントプログラムによる 証明書検証結果応答の検証) 証明書検証結果署名の検証処理については、IT環境と して提供される利用者側クライアントプログラムに よって実現する。 OE.ADMIN_MACHINE(管理端末マシン上のOSによ るCVS操作員秘密鍵の管理) CVS操作員認証にSSLクライアント認証を利用する場 合、以下の処理についてはIT環境として提供される管 理端末マシン上のOSによって実現する。
