HOME情報セキュリティ資料・報告書・出版物調査・研究報告書情報セキュリティ技術動向調査(2009 年下期)

本文を印刷する

情報セキュリティ

情報セキュリティ技術動向調査(2009 年下期)

8 OS関連ProtectionProfileの動向

面 和毅

1. Protection Profile

  Protection Profileとは、Common Criteria(情報技術セキュリティを評価するための国際規格)を用いて評価対象製品(TOE)を評価する際に、その評価対象製品の種別に応じた、実装に依存しないニーズがまとまっているドキュメント(設計書の雛形)である。
  例えば、あるOSのセキュリティを評価する際に、役割ベースのアクセス制御(Role-Based Access Control)のProtection Profile(RBAC-PP)を参照して評価し、そのProtection Profileをどのレベルまで満たしているか(EALと呼ばれる、7段階ある保証要件)を検証して、セキュリティレベルを評価する。これにより、あるOSはRBAC-PPに対してEAL3を取得しているが、別のOSはRBAC-PPに対してEAL4+を取得しているなど、セキュリティレベルが数値化されて比較しやすくなるため、製品導入の際に指標とすることが出来る。
  Protection Profile/Common Criteria/EALに関しては、IPAのサイト1からダウンロードできるCommon Criteria(現在はバージョン3.1 リリース3)が詳しい


1 http://www.ipa.go.jp/security/jisec/cc/index.html

2. 主要なOS関連のProtection Profileが軒並みSunsetに

  2009年後半に、主要なOS関連のProtection ProfileがSunsetになった。Protection ProfileのSunsetとは、以下のように定められている。

Sunset: 関連した新しいProtection Profileのスタンダードが公開された際に、Protection Profileに「Sunset」の日程が付与される。そのため、sunsetの日時以降で、そのProtection Profileを用いて製品のセキュリティ評価を行っても承認されない。

  これにより、現在OS関連のProtection Profileは下記の2つのみとなっている。

  • COTS Compartmentalized Operations Protection Profile
  • U.S. Government Protection Profile for Separation Kernels in Environments Requiring High Robustness

  特に、OS関連でのセキュリティの指標となっていた下記のProtection ProfileがすべてSunsetとなっている。

  • CAPP(Controlled Access Protection Profile)
  • SLOSPP(Single-Level Operating System Protection Profile)
  • MLOSPP(Multi-Level Operating System Protection Profile)

  今のところMLOSPPやCAPPなどのOSのProtection Profileをカバーする、新しいスタンダードは存在していない。したがって、主要なOSのセキュリティ評価は、今後新しいProtection Profileが公開される迄できないことになる。なぜ、このようなことになったのであろうか。

2.1. CAPP (Controlled Access Protection Profile)

  CAPPはオープンシステムの標準的なレベルである、ユーザIDをベースとした任意アクセス制御であり、TCSECのC2レベルに相当する。個々のユーザが、個々のデータオブジェクト(ファイルやディレクトリ)に対して実行できるアクセスを制御することが要求される。また、システム内で発生するセキュリティに関連したイベントに対して、監査ログを取得できることが要求される。例えば前者の、データオブジェクトに対してのアクセスに関しては、監査ログに確実に記録されていくことが求められる。

2.2. Single-Level Operating System Protection Profile (SLOSPP)

  米軍のCOTS(commercial off-the-shelf:商用オフザシェルフ)戦略、即ち、都度軍から業者に対して特別に発注した品からではなく民生品を採用する戦略の一環。Medium Robustness環境用である。(Robustnessとは頑健さを言い、外部のノイズや設計誤差などの不確定な変動に対して,システム特性が現状を維持できることを言う。)単一レベルで認証/任意アクセス制御/監査と暗号化を要求している。CAPPのSuperSetになっているが、暗号部分が強化されている。

2.3. Multi-Level Operating System Protection Profile (MLOSPP)

  米軍のCOTS戦略の一環。Medium Robustness環境用。マルチレベルセキュリティ(MLS)で、強制アクセス制御(MAC:Mandatory Access Control)/強制インテグリティ制御(MIC:Mandatory Integrity Control)/暗号化を要求している。TCSECのB2レベルに相当する。
  元々、マルチレベル用にはLSPPと呼ばれるProtection Profileが存在した。LSPPは、Labeled Security Protection Profile の略で、すべてのサブジェクト(アクセス元。プロセスなど)とオブジェクト(アクセス対象。ファイルやディレクトリ、プロセスなど)すべてにラベルを付与して、情報の機密レベルや包含関係(部門や所属部隊など)により制御するもので、防衛システムなどで求められるセキュリティレベルである。これは、2007年に既にSunsetになっている。
  MLOSPPはLSPPのSuperSetになっており、LSPPと比べて暗号化やMIC部分が更に要求されるため、OSセキュリティの分野ではMLOSPPを一定のEALレベル(EAL4+など)で満たすように作成することが多くなってきていた。
  現在の時点で、主要なOSが取得しているProtection Profile とレベルを表1にまとめた。主要なOSはほぼ、IT製品に対して高度なセキュリティ水準を求める政府機関などに対してシステムを納入するために、これらのProtection ProfileでEAL4+の評価をとっている。


表1:主要なOSが取得しているProtection Profile とレベル
OS Protection Profile EAL
Solaris10+Trusted Extension
CAPP
4+
RBACPP
4+
CAPP
4+
RBACPP
4+
AIX 5L™ 5300-05-02
CAPP
4+
AIX 5L 5300-05
RBACPP
4+
Windows 2003
CAPP
4+
Red Hat Linux 5
CAPP
4+
RBACPP
4+
Novel SuSE Linux 8
CAPP
4+
RBACPP
4+

3. NIAP(National Information Assurance Partnership)の方向性の変更

  実際には、今回の修正はNIAP全体の方向性の変更から来ている。NIAP(National Information Assurance Partnership)ではコモンクライテリアを利用した情報セキュリティ製品の検査を行い、Protection Profileと関連するテストセットの開発を行っている。
  NIAPでは、Basic/Medium RobustnessのProtection Profileに関して、ベンダーや顧客からのコメントを受けて、現在のProtection Profileモデルを見直すという発表を2009年3月16日に行った。現行のモデルでは、すべての製品に対して同一の保証レベルを提供できると仮定していたが、インプリメンテーションによっては必要なテストプランを作成しておらず、異なったラボで一貫して評価するために、更にドキュメントが必要になっていた。そのためNIAPではこの評価をもとに、「今後はProtection Profileとサポートドキュメントが無い限り評価を行わない」とし、評価方法を大きく見直している。
  多くの技術のセキュリティ要件は、政府の数多くの機関や民間でも等しいことから、現在NSAが民間やCommon Criteriaのコミュニティと協力し、US政府のProtection Profileに変わる、標準のProtection Profileを作成している。
  将来には、それぞれのProtection ProfileのEALに関して、よりテストプランの作成やテスト結果、また評価に関する証拠をより公開していくことなどが求められ、新たに作成されるCommon Criteria 4.0でもこれらのドキュメントサポートがより求められるようになっていく。
  これらの変更により、最初のステップとして、2009年10月から、NIAPではBasic/MediumのRobustnessに関連するProtection Profileを一旦Sunsetとし、対応する新しいProtection ProfileをInterimとして作成していく予定になっている。2
  OSに関しては、以上のような理由からSLOSPP/MLOSPPなどがSunsetになっており、新しいOSのProtection Profileが現在Interimとしてファイナルレビュー中である。3

以上


2 http://www.niap-ccevs.org/faqs/niap_evolution/
3 http://www.niap-ccevs.org/pp/draft_pps/

 

目次へ 次へ