6
X 5004-1991 (ISO 7498-2 : 1989)
3.3.50 安全保護方針 (security policy)安全保護サービスを提供するための基準[識別情報に基づく安全
保護方針(3.3.30)及び運用規則に基づく安全保護方針(3.3.46)参照]。
備考 安全保護方針の全体は,OSIの適用範囲外にある数多くの事柄を必然的に含む。
3.3.51 安全保護サービス (security service)通信している開放型システムの層によって提供され,システ
ム又はデータ転送のための十分な安全保護を確保するサービス。
送信しようとするメッセージの中で個々のフィー
3.3.52 選択フィールド保護 (selective field protection)
ルドを保護すること。
ある資源について,その価値又は重要性を決定付ける特性で,ぜい(脆)弱
3.3.53 感受性 (sensitivity)
性もこれに含めてよい。
3.3.54 署名 (signature)ディジタル署名(3.3.26)参照。
3.3.55 脅威 (threat)安全保護が侵犯される可能性。
トラフィックフロー(通信の有無,量,方向及び頻度)の観
3.3.56 トラフィック解析 (traffic analysis)
測によって情報を推論すること。
トラフィック解析からデータを守るため
3.3.57 トラフィックフロー機密性 (traffic flow confidentiality)
の機密性サービス。
偽の通信インスタンスの生成,偽のデータ単位の生成,
3.3.58 トラフィックパディング (traffic padding)
及び/又はデータ単位内における偽のデータの生成。
例えば,安全保護方針によって設定されるような,幾つか
3.3.59 信頼できる機能 (trusted functionality)
の基準に基づいて正しいとみなされる機能。
4. 記法 層の記法は,JIS X 5003で定義したものを使用する。サービスという用語は,特に断らない限
り,安全保護サービスを指す。
5. 安全保護サービス及びその機構の一般的記述
5.1 概要 ここでは,OSI安全保護体系に含まれる安全保護サービス,及び安全保護サービスを実現す
るための機構について規定する。5.2に定める安全保護サービスは,安全保護サービスの中でも基本的なも
のとする。安全保護サービスは,安全保護方針及び/又は利用者の要件を満足させるために,普通,OSI
以外のサービス及び機構を利用して適切な層において適切な組合せで起動される。特定の安全保護機構を
利用して,基本的な安全保護サービスの組合せを実現することができる。システムを実現するときは,基
本的な安全保護サービスの特定の組合せを実現してもよい。
5.2 安全保護サービス 次のものは,OSI参照モデルの枠組みの中で任意選択によって提供される安全
保護サービスとみなす。認証サービスは,局所的に格納された情報から成る認証情報,及び認証を容易に
するために転送されるデータ(証明書)を必要とする。
5.2.1 認証 認証サービスは,次に記述する通信中の同位エンティティの認証及びデータの発信元の認証
を提供する。
5.2.1.1 同位エンティティ認証 <N> 層によって提供される同位エンティティ認証サービスは,同位エン
ティティが <N+1> エンティティであるという確認を <N+1> エンティティに与える。
このサービスは,一つ以上のエンティティが一つ以上の他のエンティティに接続されているとき,その
エンティティの識別情報を確認するためにコネクションのデータ転送フェーズの確立時,又はそのフェー
ズの間に適宜利用されるものである。このサービスを使用しているときに限り,前回のコネクションの偽
――――― [JIS X 5004 pdf 6] ―――――
7
X 5004-1991 (ISO 7498-2 : 1989)
装又はその許可されない再使用がエンティティによって試みられたりすることは決してない。存続してい
るか否かの検査を取り入れると取り入れないとにかかわらず,同位エンティティの一方向及び双方向の認
証機構が実現可能で,保護の度合いを様々に変えることもできる。
5.2.1.2 データ発信元認証 <N> 層によって提供されるデータ発信元認証サービスは,データの発信元
が要求された同位 <N+1> エンティティであるという確認を <N+1> エンティティに与える。
このサービスによって,データ単位の発信元が確認できる。このサービスは,データ単位の重複又は改
変に対する保護を与えない。
5.2.2 アクセス制御 アクセス制御サービスは,OSIを介してアクセス可能な資源が無許可で使用される
ことに対する保護を与える。OSIプロトコルを介してアクセスされる資源には,OSIの資源及びOSI以外
の資源を含む。この安全保護サービスは,資源に対する各種アクセス(例えば,通信資源の利用,情報資
源の読取り・書込み・削除,処理資源の実行など)又は資源に対するすべてのアクセスに利用できる。
アクセスの制御は,各種安全保護方針によって異なる(6.2.1.1参照)。
5.2.3 データ機密性 データ機密性サービスは,次に述べるように,データが無許可で取得されることに
対する保護を与える。
5.2.3.1 コネクション型機密性 コネクション型機密性サービスは, <N> コネクションにおけるすべて
の <N> 利用者データの機密を保護する。
備考 コネクション型機密性サービスは,用途及び層によって,必ずしもすべてのデータを保護する
わけではない。例えば,優先データ,接続要求のデータなどは保護しない。
5.2.3.2 コネクションレス型機密性 コネクションレス型機密性サービスは,単一コネクションレス型
<N> SDUにおけるすべての <N> 利用者データの機密を保護する。
5.2.3.3 選択フィールド機密性 選択フィールド機密性サービスは, <N> コネクション又は単一コネク
ションレス型 <N> SDUにおける <N> 利用者データの中から選択されたフィールドの機密を保護する。
5.2.3.4 トラフィックフロー機密性 トラフィックフロー機密性サービスは,トラフィック解析によって
得られる情報を保護する。
5.2.4 データ完全性 データ完全性サービスは,能動的脅威に対抗するものであって,5.2.4.15.2.4.5の
形式のうちのいずれをとってもよい。
備考 あるコネクションにおいて,コネクションの開始時に同位エンティティ認証サービスを利用し,
更に,コネクションの有効期間中にデータ完全性サービスを利用することで,そのコネクショ
ンで転送されたすべてのデータ単位の発信元及びそのデータ単位の完全性が確認できる。例え
ば,順序番号を使用することによって,データ単位の重複を検出する機能を備える。
5.2.4.1 回復機能のあるコネクション型完全性 このコネクション型完全性サービスは, <N> コネクシ
ョンにおけるすべての <N> 利用者データの完全性を図り,SDUの列の中でデータの改変,挿入,削除及
び再使用を,回復処理を行いながら検出する。
5.2.4.2 回復機能のないコネクション型完全性 回復機能を備えていないことを除いて5.2.4.1と同じと
する。
5.2.4.3 選択フィールドコネクション型完全性 選択フィールドコネクション型完全性サービスは,ある
コネクションを通じて転送された <N> コネクションの選択された <N> 利用者データの中から選択され
たフィールドの完全性を保証するものであって,選択フィールドが改変,挿入,削除又は再使用されてい
るかどうかを判定する。
――――― [JIS X 5004 pdf 7] ―――――
8
X 5004-1991 (ISO 7498-2 : 1989)
5.2.4.4 コネクションレス型完全性 <N> 層によって提供されるコネクションレス型完全性サービスは,
要求側 <N+1> エンティティの完全性を保証する。
このサービスは,単一のコネクションレス型 <N> SDUの完全性を保証するものであって,受信された
SDUが改変されているかどうかを判定する。さらに,再使用の検出をある限られた範囲で保証できる。
5.2.4.5 選択フィールドコネクションレス型完全性 選択フィールドコネクションレス型完全性サービ
スは,単一のコネクションレス型 <N> SDUの中の選択されたフィールドの完全性を保証するものであっ
て,その選択フィールドが改変されているかどうかを判定する。
5.2.5 否認不可 否認不可サービスは,次の二つの形式のうちのいずれか一方又は両方の形式をとること
ができる。
5.2.5.1 発信証明による否認不可 データの受信側にデータの発信元からの発信証明が示される。これは,
データ又はその内容の発信を発信元が不当に否認するのを妨げる。
5.2.5.2 送達証明による否認不可 データの発信元にデータの送達証明が示される。これは,データ又は
その内容の受信を受信側が不当に否認するのを妨げる。
5.3 特定の安全保護機構 5.2のサービスの一部を提供するために,適切な <N> 層に5.3.15.3.8の機
構を組み込むことができる。
5.3.1 暗号機構
5.3.1.1 暗号機構は,データ又はトラフィックフロー情報の機密を保護するものであって,5.3.25.3.8の
安全保護機構の一部又は補足とする。
5.3.1.2 暗号化アルゴリズムは,可逆の場合と非可逆の場合がある。可逆の暗号化アルゴリズムは,一般
的に次の二つに分類する。
(a) 対称暗号(すなわち秘密かぎ暗号)。暗号化かぎの情報には復号かぎに関する情報も含む。その逆も同
様とする。
(b) 非対称暗号(例えば公開かぎ暗号)。暗号化かぎの情報には復号かぎに関する情報を含まない。その逆
も同様とする。この方式の暗号化かぎを“公開かぎ”,復号かぎを“秘密かぎ”と呼ぶことがある。
非可逆暗号化アルゴリズムは,かぎを使用してもしなくてもよい。かぎを使用する場合,そのかぎは公
開かぎであっても秘密かぎであってもよい。
5.3.1.3 暗号機構が存在することは,非可逆暗号化アルゴリズムの場合を除いて,かぎ管理機構を使用す
ることを意味する。かぎ管理の方法に関する幾つかの指針を8.4に示す。
5.3.2 ディジタル署名機構 ディジタル署名機構では,次の2段階の手順を定義する。
(a) データ単位に署名する。
(b) 署名されたデータ単位を確認する。
第1の処理では,署名者の私的な(つまり,署名者にとって唯一のかつ秘密の)情報を使用する。第2
の処理では,公開手順及び公開情報を使用するが,そこから署名者の私的な情報を導き出すことはできな
い。
5.3.2.1 署名を行う段階では,署名者の私的情報を秘密かぎとして利用して,データ単位の暗号化又はデ
ータ単位の暗号検査値の作成を行う。
5.3.2.2 確認を行う段階では,公開手順及び公開情報を使用して,署名者の私的情報によって署名が行わ
れたかどうかの判定を行う。
――――― [JIS X 5004 pdf 8] ―――――
9
X 5004-1991 (ISO 7498-2 : 1989)
5.3.2.3 署名機構において最も重要な特色は,署名者の私的情報を使用しなければ署名が行えないことで
ある。したがって,署名が確認されると,私的情報の唯一の保有者が署名を行ったことの証明を第三者(例
えば,裁判所又は調停機関)にいつでも示すことができる。
5.3.3 アクセス制御機構
5.3.3.1 アクセス制御機構では,エンティティのアクセス権を判定し,実施するために,エンティティ又
はそのエンティティに関する情報(例えば,既知のエンティティ集合の帰属関係など)の認証された識別
子又はそのエンティティの資格を利用することができる。エンティティが,許可されない資源を利用した
り,又は許可された資源を誤ったアクセスによって利用したりしようとすると,アクセス制御機構がその
資源の利用を拒否し,更に場合によっては,警告を発生させたり及び/又は発生した警告を安全保護監査
証跡の一部として記録したりする目的でそのことを通知することもある。コネクションレス型データ伝送
に対するアクセスの拒否の通知が発信元に対して行われるとすれば,それはあくまで発信元でアクセス制
御が行われた結果である。
5.3.3.2 アクセス制御機構は,例えば次のうちの一つ以上の利用に基づいてもよい。
(a) 同位エンティティのアクセス権を保持するアクセス制御情報ベース。この情報は,許可センタ又はア
クセスされるエンティティで保持されるもので,アクセス制御一覧,階層構造の行列又は分散構造の
行列の形式をとる。このことは,同位エンティティ認証が保証されていることを前提とする。
(b) アクセス中のエンティティの許可の証拠として所有し,提示するパスワードなどの認証情報。
(c) エンティティ又は資源にアクセスする権利の証拠として所有し,提示する資格。
備考 資格は,偽造できないものであって,しかも信頼できる手段で伝えられなければならない。
(d) ラベルがエンティティに関連づけられたときに,通常,安全保護方針に従ってアクセスを許可又は拒
否するのに用いる安全保護ラベル。
(e) アクセスを試みた時刻。
(f) アクセスを試みた経路。
(g) アクセスの持続時間。
5.3.3.3 アクセス制御機構は,アソシエーションの終端及び/又はその中間点で適用することができる。
発信元又は中間点でのアクセス制御は,発信元が受信側と通信すること,及び/又は要求された通信資
源を使用することを許可されているかどうかを判定するために使う。コネクションレス型データ転送の受
信側における同位レベルのアクセス制御機構の要件は,発信元があらかじめ知っていなければならなく,
更に,安全保護管理情報ベースにも記録されなければならない(6.2及び8.1参照)。
5.3.4 データ完全性機構
5.3.4.1 データ完全性については,二つの見方がある。一つは,単一のデータ単位又はフィールドの完全
性,もう一つは,一連のデータ単位又はフィールドの完全性である。単一のデータ単位又はフィールドの
完全性サービスを提供せず,一連のデータ単位又はフィールドの完全性サービスだけを提供するのは実用
的でないが,異なる機構を利用してこの2種類の完全性サービスを提供するのが一般的である。
――――― [JIS X 5004 pdf 9] ―――――
10
X 5004-1991 (ISO 7498-2 : 1989)
5.3.4.2 単一のデータ単位の完全性の判定を行う際には,発信元エンティティで行われる処理及び受信側
エンティティで行われる処理の二つの処理が行われる。発信元エンティティは,データそのものの関数の
値をデータ単位に付加する。この値は,ブロック検査符号又は暗号検査値のような補足的な情報であって,
それ自体が暗号化されていてもよい。受信側エンティティは,適切な値を生成し,それを受信した値と比
較して,データが転送中に改変されていないかどうかを調べる。この機構だけでは,単一のデータ単位の
再使用を防止できない。OSIにおけるある層で改ざんが検出されると,その層又はそれよりも高位の層で
回復動作が(例えば,再送又は誤り訂正によって)行われることになる。
5.3.4.3 コネクション型データ転送の場合,データ単位の順序の完全性を保護する(つまり,データの転
送順序の乱れ,データの喪失,データの再使用,データの挿入又はデータの改変がないように保護する)
ためには,順序の番号付け,時刻印又は暗号化連鎖などの何らかの明示的な順序付けを更に行う必要があ
る。
5.3.4.4 コネクションレス型データ転送の場合,時刻印を採用することで,個々のデータ単位が再使用さ
れないようにする保護機能の限定的な形態が提供される。
5.3.5 認証交換機構
5.3.5.1 認証交換の技法を次に幾つか挙げる。
(a) パスワードなどの認証情報を利用する。これは,発信元エンティティが提供し,受信側エンティティ
が検査する。
(b) 暗号化技法
(c) エンティティの特性及び/又は所有物を利用する。
5.3.5.2 同位エンティティ認証を提供するために,この認証交換機構を <N> 層に組み込むことができる。
この機構がエンティティの認証に成功しないときは,コネクションを拒否又は終了し,更に場合によって
は,安全保護監査証跡への登録及び/又は安全保護管理機関への通知が行われたりすることもある。
5.3.5.3 暗号化技法を採用すると,“ハンドシェーク”プロトコルとこの技法を組み合わせて,データの
再使用を防止する(つまり,最も新しい情報であることを保証する)ことができる。
5.3.5.4 認証交換技法の選択は,その技法の使用環境によって決まる。多くの場合,認証交換技法は,次
のものと併用する。
(a) 時刻印及び同期した時計
(b) 2方向ハンドシェーク(片方向認証用)及び3方向のハンドシェーク(相互認証用)
(c) ディジタル署名及び/又は公証機構による否認不可サービス
5.3.6 トラフィックパディング機構 トラフィックパディング機構を使用して,トラフィック解析に対す
る様々なレベルの保護を提供することができる。この機構が有効になるのは,トラフィックパディングが
機密性サービスによって保護されている場合だけに限られる。
5.3.7 経路選択制御機構
5.3.7.1 経路は,動的に選択してもよいし,また,物理的に安全なサブネットワーク,中継又はリンクだ
けを使用するという事前取決めによって選択してもよい。
5.3.7.2 終端システムは,継続的な改ざんが生じていることが分かった場合,ネットワークサービスの提
供者に対し,別の経路によるコネクションの確立を指示してもよい。
――――― [JIS X 5004 pdf 10] ―――――
次のページ PDF 11
JIS X 5004:1991の引用国際規格 ISO 一覧
- ISO 7498-2:1989(IDT)
JIS X 5004:1991の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.100 : 開放型システム間相互接続(OSI) > 35.100.01 : 開放型システム間相互接続一般
JIS X 5004:1991の関連規格と引用規格一覧
- 規格番号
- 規格名称
- JISX5003:1987
- 開放型システム間相互接続の基本参照モデル
- JISX5006:1991
- 開放型システム間相互接続の基本参照モデル―管理の枠組み