JIS X 5004:1991 開放型システム間相互接続の基本参照モデル―安全保護体系 | ページ 6

26
X 5004-1991 (ISO 7498-2 : 1989)
(b) 選択した事象の監査証跡をログに記録するか否かの決定
(c) 選択した監査記録の遠隔地からの収集
(d) 安全保護監査報告の準備
8.3.3  安全保護回復管理 安全保護回復管理は,次の処理を行ってもよい。
(a) 実際に発生したか又は発生すると予測される安全保護侵犯に対処するために使用する運用規則の保守
(b) システムの安全保護に対する明白な侵犯の遠隔地への報告
(c) 安全保護管理主体間の相互動作
8.4   安全保護機構管理機能
8.4.1  かぎ管理 かぎ管理は,次の処理を行ってもよい。
(a) 要求される安全保護の水準にかなう間隔で適切なかぎを生成する。
(b) アクセス制御の要件に従って,どのエンティティが各かぎを受け取るべきかを決定する。
(c) 実開放型システムのエンティティのインスタンスに対して,安全な方法でかぎを利用できるようにす
    るか又はかぎを配送する。
  幾つかのかぎ管理機能は,OSI環境以外で実行されると解釈される。このようなかぎ管理機能は,信頼
できる手段によるかぎの物理的配送を含む。
  アソシエーションの期間中に使用するための作業かぎの交換は,通常の層プロトコル機能である。かぎ
配送センタにアクセスするか,又は管理プロトコルを介して事前にかぎを配送することによって,作業か
ぎを選択してもよい。
8.4.2  暗号化管理 暗号化管理は,次の処理を行ってもよい。
(a) かぎ管理との相互動作
(b) 暗号化パラメタの設定
(c) 暗号化操作のための同期
  暗号機構が存在することは,かぎ管理及び暗号化アルゴリズムを参照するために,共通の手法を使用す
ることを意味する。
  暗号化によって提供される保護の度合いは,OSI環境のどのエンティティが独立にかぎを所有するかに
よって決まる。この決定は,一般に,安全保護体系,とりわけかぎ管理機構が行う。
  暗号化アルゴリズムの登録の使用又はエンティティ間の事前の合意によって,共通な暗号化アルゴリズ
ムを得ることができる。
8.4.3  ディジタル署名管理 ディジタル署名管理は,次の処理を行ってもよい。
(a) かぎ管理との相互動作
(b) 暗号化パラメタ及び暗号化アルゴリズムの設定
(c) 通信しているエンティティ間及び場合によっては第三者との間のプロトコルの使用
    参考 一般に,ディジタル署名管理と暗号化管理とは,著しく類似している。
8.4.4  アクセス制御管理 アクセス制御管理は,(パスワードを含む)安全保護属性の配送,又はアクセ
ス制御一覧若しくは資格リストの更新を行ってもよい。アクセス制御管理はまた,通信を行っているエン
ティティとアクセス制御サービスを提供する他のエンティティとの間のプロトコルを使用してもよい。
8.4.5  データ完全性管理 データ完全性管理では,次の処理を行ってもよい。
(a) かぎ管理との相互動作
(b) 暗号化パラメタ及び暗号化アルゴリズムの設定
(c) 通信を行っている各エンティティ間のプロトコルの使用

――――― [JIS X 5004 pdf 26] ―――――

                                                                                             27
                                                                    X 5004-1991 (ISO 7498-2 : 1989)
    参考 データ完全性のために暗号化技法を使用する場合,データ完全性管理と暗号化管理は,著しく
          類似している。
8.4.6  認証管理 認証管理では,認証を実行することを要求されたエンティティに対して記述情報,パス
ワード又は(かぎ管理を利用して)かぎの配送を行ってもよい。認証管理はまた,通信を行っているエン
ティティと,認証サービスを提供する他のエンティティとの間のプロトコルを使用してもよい。
8.4.7  トラフィックパディング管理 トラフィックパディング管理は,トラフィックパディングに使用す
る運用規則の保守を含んでもよい。トラフィックパディング管理で行ってよい例を次に示す。
(a) あらかじめ指定したデータ転送速度
(b) ランダムデータ転送速度の指定
(c) メッセージ長のようなメッセージの特性の指定
(d) 例えば,時刻及び/又は年月日に応じた指定変更
8.4.8  経路選択制御管理 経路選択制御管理は,特定の基準に関して安全である,又は信頼できると考え
られるリンク又はサブネットワークの定義を行ってもよい。
8.4.9  公証管理 公証管理は,次の処理を行ってもよい。
(a) 公証機関に関する情報の配送
(b) 公証機関と,通信を行っているエンティティとの間でのプロトコルの使用
(c) 複数の公証機関の相互動作

――――― [JIS X 5004 pdf 27] ―――――

28
X 5004-1991 (ISO 7498-2 : 1989)
               附属書A(参考) OSI安全保護に関する予備知識
A.1 背景 この附属書の構成は,次による。
(a)   IS X 5004の内容を関係付けるためのOSI安全保護に関する情報。
(b) 各種安全保護の特色及び要件の安全保護体系における意義に関する予備知識。
  OSI環境における安全保護は,データ処理及びデータ通信の安全保護に限られる。OSI環境における保
護方法が効果を発揮するためには,OSI以外の環境で動作する方法を支援する必要がある。例えば,各シ
ステム間での情報の流れを暗号化してもよいが,システムそのものにアクセスする上で物理的に安全保護
の規制がなければ,暗号化は無意味なものになる。ここで,OSIは,システムの相互接続だけとする。OSI
安全保護方法を効果的に行うためには,OSIの適用範囲外の方法と併用する必要がある。
A.2 安全保護の要件
A.2.1 安全保護とは何か 安全保護という用語は,資産及び資源のぜい(脆)弱性を最小限にするという
意味で使用する。資産とは価値のあるものであり,ぜい(脆)弱性とは,システム又はシステムに含まれ
る情報を侵犯する際に生じ得る弱さのことである。脅威とは,安全保護を侵犯する可能性のことである。
A.2.2 開放型システムにおける安全保護の動機付け 開放型システム間相互接続体系の中で安全保護を増
強するために,一連の規格を制定することが必要である。それは,次の事情による。
(a) データ通信機構によってアクセスし,又は接続するコンピュータに対する社会の依存の度合いが高ま
    っており,これらコンピュータは,種々の脅威から保護する必要がある。
(b) 幾つかの国では,“データ保護”に関する法律が制定されており,それが,システムの供給者にシステ
    ムの完全性及びプライバシの確保を余儀なくさせている。
(c)   SI規格を採用している各種機関は,既存及び将来の安全なシステムのために,OSI規格が必要に応
    じて拡張されることを望んでいる。
A.2.3 何を保護すべきか 一般に,次に挙げるものは保護を要する。
(a) 情報及びデータ(パスワードなどのような安全保護の方法に関連するソフトウェア及び受動的データ
    を含む。)
(b) 通信サービス及びデータ処理サービス
(c) 装置及びファシリティ
A.2.4 脅威 データ通信システムへの脅威には,次のものがある。
(a) 情報及び/又はその他の資源の破壊
(b) 情報の劣化又は改変
(c) 情報及び/又はその他の資源の盗難,抹消,遺失
(d) 情報の開示
(e) サービスの妨害
  脅威は偶発的脅威と意図的脅威とに分類することができ,また,能動的脅威と受動的脅威とに分類する
こともできる。
A.2.4.1 偶発的脅威 偶発的脅威とは,計画的な意図によらずに発生した脅威をいう。現実に発生した偶発
的脅威の例は,システムの故障,誤操作及びソフトウェアのバグがある。

――――― [JIS X 5004 pdf 28] ―――――

                                                                                             29
                                                                    X 5004-1991 (ISO 7498-2 : 1989)
A.2.4.2 意図的脅威 意図的脅威は,簡単に利用できる監視ツールを利用して行う普通の試験から,システ
ムに関する専門的な知識による複雑な脅威までを含む。意図的脅威が実現される場合,それは攻撃とみな
してもよい。
A.2.4.3 受動的脅威 受動的脅威は,それが発生しても,システムに格納されている情報は改変されず,シ
ステムの動作及び状態が変わらないような脅威をいう。通信回線を使って転送中の情報を観察するために
受動的盗聴が行われた場合,受動的脅威が発生したといえる。
A.2.4.4 能動的脅威 システムを脅かす能動的脅威が発生すると,システムに格納されている情報が変わっ
たり,システムの状態又は動作に変化が生じたりする。無許可の利用者がシステムの経路選択表を故意に
変更した場合は,能動的脅威の一例である。
A.2.5 幾つかの特殊な攻撃 データ処理及びデータ通信の環境にある種の影響を及ぼす攻撃を次に幾つか
挙げて,簡単に説明する。A.2.5.1A.2.5.8では,“許可された”,“許可されない”という用語を使用する。
許可とは権利を与えるという意味とする。この定義は二つの意味を含む。一つは,権利はある動作(例え
ば,データのアクセス)を実行する権利のこととする。もう一つは,そうした権利は,ある種のエンティ
ティ,人物又はプロセスに与えられるということである。許可された振舞いは,(取り消されることがない)
権利が与えられている動作を実行することとする。許可という概念については,A.3.3.1で詳しく記述する。
A.2.5.1 偽装 偽装は,あるエンティティが別のエンティティになりすますこととする。偽装は,普通,他
の幾つかの種類の能動的攻撃,特にメッセージの再使用及び改変と一緒に用いられる。例えば,妥当な認
証手順が実行された後で,認証手順を入手し,再使用することができる。許可されているが特権をほとん
ど与えられていないエンティティは,そうした特権をもつエンティティになりすますことによって,不足
分の特権を入手するために偽装を用いることがある。
A.2.5.2 再使用 再使用は,許可されない結果を生じるために,メッセージの全部又は一部が反復されると
きに発生する。例えば,認証情報を含んでいる有効なメッセージを,別のエンティティが(認証されてい
ない)自己を認証させるために再使用することがある。
A.2.5.3 メッセージの改変 メッセージの改変は,データ伝送の内容が気付かれないうちに変更され,その
ために許可されない結果が生じた場合に発生する。例えば,“John Smithに機密のファイルaccountsを読み
取ることを許可する”が,“Fred Brownに機密のファイルAccountsを読み取ることを許可する”に変更さ
れた場合などは,メッセージの改変に該当する。
A.2.5.4 サービスの妨害 サービスの妨害は,エンティティが特定の機能を実行できなくなったり,又はエ
ンティティが他のエンティティに対して特定機能を実行することを妨げるような働きをしたりしたときに
発生する。この攻撃は,例えば,エンティティがすべてのメッセージを抑止したとき,又は特定の目的が
あるとき,エンティティが安全保護監査サービスのような特定のあて先に向けられたすべてのメッセージ
を抑止するときなどが一般的である。この攻撃が発生すると,上の例で示したように,トラフィックを抑
えたり又は新たにトラフィックを生成したりすることがある。特に,他の中継エンティティから受信した
状態報告に基づいて経路選択判断を行う中継エンティティがネットワーク内にある場合に,ネットワーク
の動作を停止するメッセージを発行することがある。
A.2.5.5 部内者の攻撃 部内者の攻撃は,システムの正当な利用者の,意図的ではない振舞い方又は無許可
の振舞いによって発生する。最もよく知られたコンピュータ犯罪に,システムの安全保護を危なくした部
内者の攻撃があった。部内者の攻撃に対する防護方法としては,次のものがある。
(a) 係員を入念に調査する。
(b) ハードウェア,ソフトウェア,安全保護方針及びシステム構成を調査し,それらが正しく動作する(“信

――――― [JIS X 5004 pdf 29] ―――――

30
X 5004-1991 (ISO 7498-2 : 1989)
    頼できる機能”という。)一定の確信を得る。
(c) この種の攻撃を検出しやすくするために,監査証跡を利用する。
A.2.5.6 部外者の攻撃 部外者の攻撃には,例えば次の技法が考えられる。
(a) 盗聴(能動的又は受動的な盗聴)
(b) 放出情報の傍受
(c) システムの認可された利用者又は構成要素の偽装
(d) 認証機構又はアクセス制御機構のう(迂)回
A.2.5.7 落とし戸 コマンドが発行された場合,又はあらかじめ定めておいた単一若しくは連続した事象が
発生した場合に,攻撃者に許可されていない効果を生じるような,システムのエンティティの変更を,落
とし戸という。例えば,パスワードの確認機能を変更することで,通常の働きをするだけでなく,攻撃者
のパスワードを正当と認めるようにしてしまうことなどが考えられる。
A.2.5.8 トロイの木馬 トロイの木馬は,システムに導入されるとき,許可された機能ばかりでなく,許可
されない機能までも備えている。メッセージを無許可の通信路にも複製する中継は,トロイの木馬に該当
する。
A.2.6 脅威,危険及びその対策の評価 安全保護機能を導入すると,通常,システムのコストが高くなる
ので,利用することが困難である。したがって,安全なシステムを設計する前に,保護措置を必要とする
個々の脅威を見極めておくほうがよい。これを脅威の評価とする。一つのシステムにぜい(脆)弱な面は
たくさんあるが,攻撃者が機会を逸したり,攻撃者にとって努力及び発覚の危険に値しなかったりするた
めに,攻撃の対象とされるのはそのうちの一部だけである。脅威の評価項目の詳細は,この附属書の対象
とするところではないが,大まかにいうと,次のことを含む。
(a) システムのぜい(脆)弱性を見極める。
(b) ぜい(脆)弱性をねらいとした脅威の発生する可能性を綿密に検討する。
(c) それぞれの脅威が順当に実行された場合にもたらされる結果を評価する。
(d) それぞれの攻撃にかかる費用を概算する。
(e) 考えられる対策を実施するためにかかる費用を算出する。
(f) 妥当とされる安全保護機構を選択する(おそらく,費用対効果の分析を取り入れて行うことになる。)。
  保険の適用など,専門技術によらない対応策をとったほうが,専門技術による安全保護対策よりも費用
効率がよい場合がある。完全な物理的安全保護など,全面的に専門技術による安全保護を実現することは
不可能である。したがって,危険を容認可能な水準まで下げるために十分な攻撃対策費をねん出すること
を目指すのがよい。
A.3 安全保護方針 適切に定義した安全保護方針の必要性,その役割,方針の実施方法及び個々の状況に
適用すべき改善措置について記述する。安全保護方針の概念は,通信システムに適用する。
A.3.1 安全保護方針の必要性及び目的 安全保護は,すべての分野で複雑かつ困難なものである。常識的
にみて十分な解析を行うと,細部で無視できない矛盾が発見される。適切な安全保護方針は,対象とする
組織の最高機関が留意したほうがよいとみなしている事態の諸局面に着目することが望ましい。本質的に
安全保護方針とは,一般的な条件下において,問題とされるシステムの通常の動作期間中に,安全保護の
見地から,どの点が認められ,どの点が認められていないかを示すものとする。方針は通常,詳細でない。
特に重要なことは何かということを述べるだけで,必要な成果を達成するための詳細な具体策を提案しな
い。方針は,安全保護の規定の最も重要性の高い水準を記述する。

――――― [JIS X 5004 pdf 30] ―――――

次のページ PDF 31