11
X 5004-1991 (ISO 7498-2 : 1989)
5.3.7.3 ある種の安全保護ラベルを運ぶデータは,安全保護方針によって,一部のサブネットワーク,中
継又はリンクの通過を禁じられる。コネクションの起動側(又はコネクションレス型データ単位の送信側)
は,特定のサブネットワーク,中継又はリンクを回避することを要求する経路選択警告を発生することが
できる。
5.3.8 公証機構 二つ以上のエンティティの間でやりとりされるデータについての特性,例えば,そのデ
ータの完全性,発信元,時刻,あて先などは,公証機構によって保証することができる。この保証は,通
信を行うエンティティが信頼する,しかも要求された保証を立証可能な方法で提供するために必要な情報
を保有する第三者である公証機関が与えるものである。通信の各インスタンスは,公証機関が提供するサ
ービスに適するようにディジタル署名,暗号化及び完全性保証の機構を利用する。このような公証機構が
呼び出されると,通信保護されたインスタンス及び公証機関を介して通信エンティティ間でデータが転送
される。
5.4 はん(汎)用的な安全保護機構 ここでは,様々なサービスに固有でない幾つかの機構について規
定する。7.においても,これらの機構がどの層において提供されるかという明確な記述はない。このはん
(汎)用的な安全保護機構の中には,安全保護管理の概念とみなすことのできるものも幾つかある(8.参
照)。このはん(汎)用的な安全保護機構の重要性は,一般に,要求される安全保護水準に直接的に関連す
る。
5.4.1 信頼できる機能
5.4.1.1 安全保護機構の適用範囲を広げたり,又はその有効性を確立したりするためには,信頼できる機
能を使用しなければならない。安全保護機構を直接提供したり,安全保護機構に対するアクセスを提供し
たりする機能は,信頼できるものでなければならない。
5.4.1.2 この機能を実現するハードウェア及びソフトウェアに対する信頼を確保する手段は,この規格の
範囲外とするが,感知された脅威の度合い及び保護しようとする情報の価値によって異なる。
5.4.1.3 この手段は,一般に,費用がかかるため,実施するのは困難である。安全保護とは関連しない機
能から提供し,しかもそれと独立にすることが可能なモジュールで安全保護機能を実現できるようなアー
キテクチャを選択すれば,この機能を実現するのに伴う諸問題を最小限に抑えることができる。
5.4.1.4 保護機能が適用される層に関するアソシエーションの保護措置は,別の手段によって,例えば,
信頼できる適切な機能によって講じなければならない。
5.4.2 安全保護ラベル データ項目で構成される資源には,例えば感受性を示す目的で,その資源に関連
付けられた安全保護ラベルが付く。転送中のデータと一緒に適切な安全保護ラベルを伝えることがしばし
ば必要になる。安全保護ラベルは,転送されるデータに関連する追加データである場合及び暗に示される
場合がある。例えば,データを暗号化する特定のかぎの使用によって示される場合と,発生元や経路のよ
うなデータの状況によって示される場合とである。明示的な安全保護ラベルは,正しく検出できるように
明確に識別でき,しかも,対応するデータに確実に結び付けなければならない。
5.4.3 事象検出
5.4.3.1 安全保護に関連する事象の検出といった場合,安全保護が明らかに侵犯されている事象の検出を
含むが,順当なアクセス(すなわちログオン)などの正常な事象の検出を含むこともある。安全保護に関
連した事象は,安全保護機構をはじめとするOSIの範囲内のエンティティによって検出できる。どんな事
象を取り扱うかの指定は,事象処理管理(8.3.1参照)が行う。安全保護に関連した種々の事象を検出する
際には,次の措置を一つ以上取る。
(a) 事象の局所的な報告
――――― [JIS X 5004 pdf 11] ―――――
12
X 5004-1991 (ISO 7498-2 : 1989)
(b) 事象の遠隔報告
(c) 事象のログの取得(5.4.3参照)
(d) 回復動作(5.4.4参照)
安全保護に関連した事象の例を次に示す。
(a) 特定の安全保護の侵犯
(b) 特定の選択された事象
(c) 発生回数の計数のあふれ
5.4.3.2 この領域での標準化を行う際には,事象の報告及びログに関連する情報の転送,並びに事象の報
告及びログの転送に使用される構文定義及び意味定義を考慮する。
5.4.4 安全保護監査証跡
5.4.4.1 安全保護監査証跡には,後続の安全保護監査を可能にすることによって,安全保護に対する違反
の検出及び調査を行えるようにする安全保護機構が備わっている。安全保護監査とは,システム制御が十
分に行われているかどうかを試験すること,確立された方針及び操作手順との適合性を確認すること,損
傷の査定作業を補助すること,並びに制御方法又は方針手順に変更が指示された場合それを推奨すること
を目的としてシステムのレコード及びアクティビティを独自に検討し,検査することとする。安全保護監
査を行うには,安全保護監査証跡にある安全保護関連情報を記録し,安全保護監査証跡から得られる情報
を解析して報告することが必要である。こうしたログ又は記録を行うことも安全保護機構とみなせるので,
5.4.4で規定する。解析及び報告を行うのは,安全保護管理機能とする(8.3.2参照)。
5.4.4.2 安全保護監査証跡情報の収集は,安全保護に関連する記録すべき事象の種類(例えば,安全保護
に対する明らかな侵犯,又は操作の順当な完了)を指定することで,様々な要件に応じることができる。
安全保護監査証跡の存在を明示しておけば,安全保護侵犯のおそれのある幾つかの原因を抑止できる。
5.4.4.3 OSI安全保護監査証跡では,どのような情報を選択してログをとるべきか,どのような条件のも
とで情報のログをとるべきか,並びに安全保護監査証跡情報のやりとりに使用する構文及び意味の定義を
考慮に入れる。
5.4.5 安全保護の回復
5.4.5.1 安全保護の回復 安全保護の回復は,事象処理機能,事象管理機能などの各種機構から発行され
る要求を扱い,一群の運用規則に基づいて回復処置を行う。このような回復処置には,次の種類がある。
(a) 即時回復処置
(b) 一時回復処置
(b) 長期回復処置
例 即時回復処置では,コネクションの切断などによって,動作を即時に中断できる。
一時回復処置では,エンティティを一時的に無効化できる。
長期回復処置では,エンティティを“ブラックリスト”に入れたり,かぎを変更したりできる。
5.4.5.2 標準化の対象には,回復処置のプロトコル,安全回復管理のプロトコルなどがある(8.3.3参照)。
5.5 安全保護サービスと安全保護機構の関連性のまとめ 表1は,機構単体,又はその機構と他の機構
との組合せを挙げ,そのうちのどれが各サービスの提供に適合するかを示す。表1は,サービスと機構と
の関連性を概観するものであって,定義ではない。表1で取り上げるサービス及び機構については,5.2
及び5.3で規定する。この種の関連性については,6.で詳細に規定する。
――――― [JIS X 5004 pdf 12] ―――――
13
X 5004-1991 (ISO 7498-2 : 1989)
表1 安全保護サービスと安全保護機構との関連
安全保護サービス 安全保護機構
暗 デ ア デ 認 ト 経 公
号 ィ ク ー 証 ラ 路 証
ジ セ タ 交 フ 選
タ ス 完 換 ィ 択
ル 制 全 ッ 制
署 御 性 ク 御
名 パ
デ
ィ
ン
グ
同位エンティティ認証 Y Y ・ ・ Y ・ ・ ・
データ発信元認証 Y Y ・ ・ ・ ・ ・ ・
アクセス制御 ・ ・ Y ・ ・ ・ ・ ・
コネクション型機密性 Y ・ ・ ・ ・ ・ Y ・
コネクションレス型機密性 Y ・ ・ ・ ・ ・ Y ・
選択フィールド機密性 Y ・ ・ ・ ・ ・ ・ ・
トラフィックフロー機密性 Y ・ ・ ・ ・ Y Y ・
回復機能のあるコネクション型完全性 Y ・ ・ Y ・ ・ ・ ・
回復機能のないコネクション型完全性 Y ・ ・ Y ・ ・ ・ ・
選択フィールドコネクション型完全性 Y ・ ・ Y ・ ・ ・ ・
コネクションレス型完全性 Y Y ・ Y ・ ・ ・ ・
選択フィールドコネクションレス型完全性 Y Y ・ Y ・ ・ ・ ・
否認不可発信 ・ Y ・ Y ・ ・ ・ Y
否認不可送達 ・ Y ・ Y ・ ・ ・ Y
備考 Y : その機構は,その機構単位又は他の機構との組合せで使用する。
・ : その機構は使用できない。
6. 安全保護サービス,安全保護機構及び層の関連性
6.1 安全保護の層構成の原則
6.1.1 各層に対する安全保護サービスの割当て,及びサービスを割り当てられた各層への安全保護機構の
設置の定義は,次の原則による。
(a) サービスを実現するための代替方法の数を最小限にする。
(b) 二つ以上の層で安全保護サービスを提供し,それによって安全なシステムを構築することが認められ
るようにする。
(c) 安全保護に必要な追加機能は,既存のOSI機能と不必要に重複しない。
(d) 層の独立性が侵犯されないようにする。
(e) 信頼できる機能の総量を最小限に抑える。
(f) あるエンティティが,低位の層にあるエンティティの提供する安全保護機構に依存している場合には,
中間層は,安全保護侵犯が起こり得ないような構成で構築する。
(g) 一つの層の安全保護の追加機能は,できるだけ,自己充足型モジュールの実装も組み込めるような実
現方法で定義する。
(h) この規格は,七つの層をすべて含む終端システムで構成される開放型システム及び中継システムに適
――――― [JIS X 5004 pdf 13] ―――――
14
X 5004-1991 (ISO 7498-2 : 1989)
用する。
6.1.2 安全保護サービスを保証するために,各層におけるサービスの定義を変更できる。ここで,要求さ
れたサービスは,その層か又はそれよりも低位の層で提供されるものである。
6.2 保護された <N> サービスの起動,管理及び利用のモデル ここでは,安全保護管理上の諸問題に
ついて,8.と関連付けて規定する。安全保護サービス及び安全保護機構は,管理インタフェースを通した
管理エンティティ及び/又はサービスの起動によって活性化できる。
6.2.1 通信のインスタンスのための保護機能の確定
6.2.1.1 概要 ここでは,通信のコネクション型インスタンス及びコネクションレス型インスタンスの保
護機能の起動を規定する。コネクション型通信の場合,通常は,コネクション確立の時点で安全保護サー
ビスを要求し,許可される。コネクションレス型サービスを起動する場合は,UNITDATA要求の各インス
タンスについて,保護機能を要求し,許可される。
説明の便宜上,“サービス要求”の用語は,コネクション確立又はUNITDATA要求のいずれかの意味で
使用する。選択データのための保護機能の起動は,選択フィールド保護を要求して行う。例えば,それぞ
れ異なる種類又は水準の保護機能を割り当てた幾つかのコネクションを確立して行う。
この規格は,運用規則に基づく安全保護方針,識別情報に基づく安全保護方針,その両者の混合形の安
全保護方針などの様々な安全保護方針に対応でき,更には,管理主体が課した保護機能,動的に選択され
た保護機能,その両者の混合形の保護機能などのいずれの保護機能にも対応できる。
6.2.1.2 サービス要求 <N> サービス要求があると,その都度, <N+1> エンティティは,必要な安全
保護機能を要求してよい。 <N> サービスは,目的とする安全保護を実現するために,パラメタ及びその
他の関連情報(例えば,感受性及び/又は安全保護ラベル)と併せて安全保護サービスを指定する。
通信の各インスタンスに先立って, <N> 層は,SMIB(8.1参照)にアクセスしなければならない。SMIB
は,管理主体が課し, <N+1> エンティティに対応する保護要件に関する情報を含む。このような管理主
体が課した安全保護要件を満たすためには,信頼できる機能を必要とする。
コネクション型通信のインスタンスの実行中に安全保護機能を取り入れるには,どの安全保護が必要で
あるかを折衝する必要がある。機構及びパラメタを決めるために必要な手順は,独立した手順として実行
してもよいし,また,コネクション確立の際に通常とられる手順の一環として行ってもよい。
折衝を独立した手順として行った場合,決定内容(つまり,目標とする安全保護サービスを提供するた
めに必要な安全保護機構及び安全保護パラメタの種類)は,SMIB(8.1参照)に入力される。
コネクション確立時に通常とられる手順の一部として折衝を行った場合, <N> エンティティどうしで
行った折衝結果は,SMIBに一次的に格納される。折衝に先立って,各 <N> エンティティは,SMIBにア
クセスして,折衝に必要な情報を入手する。
サービス要求が, <N+1> エンティティのSMIBに登録されている管理主体の課した要件に反する場合
には, <N> 層はそのサービス要求を拒否する。
<N> 層はまた,目標とする安全保護を達成するために必要であるとSMIBに定義されている安全保護
サービスを,要求された安全保護サービスに付け加える。
<N+1> エンティティが,目標とする安全保護サービスを指定しない場合, <N> 層は,SMIBに基づ
く安全保護方針に従うものとする。この場合は, <N+1> エンティティのために,SMIBに定義されてい
る範囲内で,省略時の安全保護機能を使用して通信を行ってもよい。
――――― [JIS X 5004 pdf 14] ―――――
15
X 5004-1991 (ISO 7498-2 : 1989)
6.2.2 安全保護サービスの提供 6.2.1で規定するように, <N> 層は,管理主体が課した安全保護の要
件と動的に選択した安全保護の要件の組合せを決定後,少なくとも目標とする保護を達成するために,次
のいずれか又は両方を行う。
(a) <N> 層の中で,安全保護機構を直接起動する。
(b) <N-1> 層の安全保護サービスを要求する。この場合, <N> 層で利用可能な信頼できる機能及び/
又は特定の安全保護機構によって,保護の適用範囲を <N> サービスまで広げなければならない。
備考 <N> 層で利用可能な機能が,すべて信頼できるものである必要はない。
このようにして, <N> 層は,要求された保護の達成が可能かどうかを判断する。可能でないときは,
通信のインスタンスは発生しない。
6.2.2.1 保護された <N> コネクションの確立 (<N-1> サービスに依存しない) <N> 層におけるサー
ビスの提供について,次に規定する。
ある種のプロトコルでは,十分な保護を達成するためには,操作の順序が極めて重要となる。
(a) 発信側アクセス制御 <N> 層は,発信側アクセス制御を行うことができる。すなわち,保護された
<N> コネクションの確立を試みることができるかどうかを,SMIBに入っている情報から局所的に決
定してもよい。
(b) 同位エンティティ認証 目標とする保護に同位エンティティ認証が含まれる場合,又はあて先の <N>
エンティティが同位エンティティ認証を要求してくるということが,SMIBに入っている情報から分
かっている場合には,認証交換を行わなければならない。そのために,必要に応じて片方向認証又は
相互認証を行えるように,2方向又は3方向のハンドシェークを行ってもよい。
認証交換は,通常の <N> コネクション確立手順の中に取り入れて行ってもよく,又は <N> コネ
クションから独立して行ってもよい。
(c) アクセス制御サービス あて先の <N> エンティティ又は中間エンティティは,アクセス制御に制限
を課すことがある。遠隔アクセス機構が特定の情報を必要とする場合は,起動側 <N> エンティティ
は, <N> 層プロトコル又は管理通信路を通じて,この情報を提供する。
(d) 機密性 全体的又は選択的な機密性サービスを選択したときは,保護された <N> コネクションを確
立しなければならない。そのことには,適切な作業かぎの設定,及び確立するコネクションの折衝の
ための暗号パラメタの折衝を含む。このことは,認証交換内での事前の取決め又は別のプロトコルに
よって行ってよい。
(e) データ完全性 回復機能をもつか若しくはもたないすべての <N> 利用者データの完全性,又は選択
フィールド完全性を選択した場合は,保護された <N> コネクションを確立しなければならない。こ
のコネクションは,機密性サービスを提供するときに確立するコネクションと同じものであって,認
証サービスを提供できる。保護された <N> コネクションのための機密性サービスに関しても同様と
する。
(f) 否認不可サービス 発信証明による否認不可サービスを選択した場合は,適切な暗号パラメタを設定
するか,又は公証エンティティとの保護されたコネクションを確立しなければならない。
送達証明による否認不可サービスを選択した場合は,(発信証明による否認不可サービスに必要な
パラメタとは別の)適切なパラメタを設定するか,又は公証エンティティとの保護されたコネクショ
ンを確立しなければならない。
備考 暗号パラメタについて合意できなかったり(正しいかぎを所有していないことも含む。),アク
セス制御機構による拒否があったりすると,保護された <N> コネクションを確立できないこ
――――― [JIS X 5004 pdf 15] ―――――
次のページ PDF 16
JIS X 5004:1991の引用国際規格 ISO 一覧
- ISO 7498-2:1989(IDT)
JIS X 5004:1991の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.100 : 開放型システム間相互接続(OSI) > 35.100.01 : 開放型システム間相互接続一般
JIS X 5004:1991の関連規格と引用規格一覧
- 規格番号
- 規格名称
- JISX5003:1987
- 開放型システム間相互接続の基本参照モデル
- JISX5006:1991
- 開放型システム間相互接続の基本参照モデル―管理の枠組み