JIS X 5004:1991 開放型システム間相互接続の基本参照モデル―安全保護体系 | ページ 8

36
X 5004-1991 (ISO 7498-2 : 1989)
A.4.10 物理的安全保護,人的安全保護 物理的安全保護機構は,十分な保護を確保するために必要にな
る。物理的安全保護は費用が高くつくため,他の(費用の少なくて済む)技法を使用することで,必要と
なる費用を最小限に抑える試みがしばしばなされる。すべてのシステムは,最終的には,ある種の物理的
安全保護と,システムを操作する操作員の信頼性を頼みとするが,物理的安全保護及び人的安全保護につ
いて検討することはOSIの適用範囲外とする。適切な動作を確保し,操作員の責任を明示するために操作
手順を規定すべきである。
A.4.11 信頼できるハードウェア及びソフトウェア エンティティが正しく機能しているという確信を得る
ためにとられる方法には,形式的な証明方法,検証と確認,試みられた既知の攻撃の検出とログ,及び安
全な環境の中で信頼できる操作員がエンティティを構築することがある。エンティティの動作中,例えば,
保守又はレベルアップの実行中に,安全保護を脅かすような改変がエンティティに対して偶発的に又は故
意に加えられることのないようにするための予防策も必要である。安全保護が維持されているときは,シ
ステム内の幾つかのエンティティも,正しく機能していると信頼しなければならない。信頼を確立する方
法については,OSIの適用範囲外とする。
                                       図1 直接署名機構

――――― [JIS X 5004 pdf 36] ―――――

                                                                                             37
                                                                    X 5004-1991 (ISO 7498-2 : 1989)
                                       図2 調停署名機構

――――― [JIS X 5004 pdf 37] ―――――

38
X 5004-1991 (ISO 7498-2 : 1989)
           附属書B(参考)        本体7.における安全保護サービス及び
                          安全保護機構の位置付けの正当性
B.1 概要 この附属書では,本体7.が示す各層に確認された安全保護サービスを提供する理由を幾つか取
り上げる。本体6.1.1で確認される安全保護の層構成のための原則によって,この選択手順が決定される。
  一般通信において安全保護による効果が異なっているとみなされる場合,例えば,第1層及び第4層に
おけるコネクション機密性は,特定の安全保護サービスを複数の層が提供する。それにもかかわらず,現
存するOSIデータ通信の機能,例えば,マルチリンク手順,多重化機能,コネクションレス型サービスを
コネクション型サービスに機能拡充するための様々な手段を考えるとき,そして,これらの伝送機構を動
作可能にしようとするとき,安全保護の効果が異なっているとみなすことはできなくても,特定のサービ
スを別の層で提供できるようにすることが必要になってくる。
B.2 同位エンティティ認証
  第1層及び第2層 : 提供しない。同位エンティティ認証は,これらの層では有用とはみなされない。
  第3層 : 提供できる。個々のサブネットワークと,経路選択用,及び/又はネットワーク間で提供でき
る。
  第4層 : 提供できる。第4層における終端システム間の認証は,コネクションの開始前及びそのコネク
ションの持続期間中に,複数のセションエンティティを相互に認証する働きをする。
  第5層 : 提供しない。第4層及び/又はより上位の層で提供すること以外の利点はない。
  第6層 : 提供しない。ただし,暗号機構は,応用層でこのサービスを支援できる。
  第7層 : 提供できる。同位エンティティ認証は,応用層で提供するほうがよい。
B.3 データ発信元認証
  第1層及び第2層 : 提供しない。データ発信元認証は,この二つの層では有用とはみなされない。
  第3層及び第4層 : 提供できる。データ発信元認証は,次のとおり,第3層の中継時若しくは経路選択
時,及び/又は第4層において,終端間で提供することができる。
(a) コネクション確立時の同位エンティティ認証とコネクションの持続期間中の暗号化に基づく継続的な
    認証を組み合わせることによって,事実上,データ発信元認証サービスが提供されることになる。
(b) (a)のサービスが提供されない場合でも,暗号化に基づくデータ発信元認証は,この二つの層に既に位
    置付けられているデータ完全性機構よりもほんの少しだけ高い水準で提供することができる。
  第5層 : 提供しない。第4層又は第7層でそれを提供すること以外の利点はない。
  第6層 : 提供しない。ただし,暗号機構は,応用層でこれを支援できる。
  第7層 : 提供できる。おそらく,プレゼンテーション層の各機構と併用される。
B.4 アクセス制御
  第1層及び第2層 : アクセス制御機構では,利用可能な終端ファシリティがないので,OSIの全プロト
コルに適合するシステムの第1層及び第2層ではこの機構を提供することはできない。

――――― [JIS X 5004 pdf 38] ―――――

                                                                                             39
                                                                    X 5004-1991 (ISO 7498-2 : 1989)
  第3層 : アクセス制御機構は,個々のサブネットワークの要件によって,サブネットワークアクセスの
役割をもつ。ネットワーク層のアクセス機構が中継及び経路選択の役割を行うときは,中継エンティティ
によるサブネットワークへのアクセスの制御と終端システムへのアクセス制御という二つの目的でこの機
構を利用できる。アクセスの単位がかなり粗いときは,ネットワーク層の各エンティティを識別すること
しかできない。
  ネットワークコネクションを確立するためには,サブネットワーク管理主体から費用を請求されること
になる場合がしばしばある。アクセスを制御し,着信課金を選択し,他のネットワーク又はサブネットワ
ーク専用のパラメタを選択することによって,費用を最小限に抑えることができる。
  第4層 : 提供できる。アクセス制御機構は,終端間のトランスポートコネクションの単位で採用するこ
とができる。
  第5層 : 提供しない。第4層及び/又は第7層でそれを提供すること以外の利点はない。
  第6層 : 提供しない。第6層には適切でない。
  第7層 : 提供できる。応用プロトコル及び/又は応用プロセスによって,応用指向アクセス制御ファシ
リティを提供できる。
B.5  <N> コネクションにおけるすべての <N> 利用者データの機密性
  第1層 : 提供できる。透過的に対をなす変換装置を電気的に挿入することによって,物理コネクション
に十分な機密性を与えることができるので,提供される。
  第2層 : 提供できる。ただし,第1層又は第3層における機密性以外の安全保護上の利点は得られない。
  第3層 : 提供できる。個々のサブネットワークにおけるサブネットワークアクセス,及びネットワーク
間の中継と経路選択では提供できる。
  第4層 : 提供できる。個々のトランスポートコネクションは,終端間のトランスポート機構を提供する
ので,セションコネクションの分離を提供できる。
  第5層 : 提供しない。第3層,第4層及び第7層における機密性以外の何の利点も得られない。この層
でこのサービスを提供するのは適切でない。
  第6層 : 提供できる。暗号機構は純粋に構文的な変換を提供するため,提供できる。
  第7層 : 提供できる。より下位の層にある機構と併用することで提供する。
B.6 単一のコネクションレス型 <N> SDUにおけるすべての <N> 利用者データの機密性 この正当性は,
コネクションレス型サービスが提供されない第1層は別として,すべての <N> 利用者データの機密性を
対象とする。
B.7 SDUの <N> 利用者データにおける選択フィールドの機密性 この機密性サービスは,プレゼンテー
ション層における暗号化によって提供され,データの意味に応じて応用層にある機構によって起動される。
B.8 トラフィックフロー機密性 完全トラフィックフロー機密性は,第1層においてだけ達成できる。そ
れは,物理伝送経路に一対の暗号装置を物理的に挿入して行う。この伝送経路は,全2重同期式なので,
暗号装置を挿入すると,すべての伝送が物理的媒体において認識不可能になる。
  この物理層よりも上位の層では,完全なトラフィックフロー安全保護は実現できない。ある層の完全な
SDU機密性サービスと,上位の層の疑似トラフィックの注入を利用することによって,トラフィックフロ

――――― [JIS X 5004 pdf 39] ―――――

40
X 5004-1991 (ISO 7498-2 : 1989)
ー機密性の一部を実現することができる。このような機構は,費用が高くつき,通信及び変換の容量を大
量に消費する。
  トラフィックフロー機密性が第3層で提供されている場合,トラフィックパディング及び/又は経路選
択制御が使用される。安全でないリンク又はサブネットワークであっても,経路選択制御を行えば,ある
範囲のトラフィックフロー機密性を提供できる。しかし,トラフィックパディングを第3層に組み込むと,
ネットワークのより上手な使い方ができることになる。例えば,不要なパディング又はネットワークのふ
くそう(輻輳)を回避して使用する。
  敵に見抜かれないようなやり方で疑似トラフィックを発生させることができれば,ある範囲のトラフィ
ックフロー機密性を応用層に提供することができる。
B.9 <N> コネクションにおけるすべての <N> 利用者データの(誤り回復のある)完全性 第1層及び第
2層 : 第1層及び第2層は,このサービスを提供することができない。第1層には,検出機構又は回復機
構がない。第2層の機構は,ポイントツーポイントでだけ動作し,終端間では動作しない。したがって,
このサービスを提供するのに適しているとはみなされない。
  第3層 : 提供しない。誤り回復機能はどの層でも利用できるわけではない。
  第4層 : 提供できる。これによって,真の終端間のトランスポートコネクションが提供される。
  第5層 : 提供しない。誤り回復機能は第5層に割り当てられた機能ではない。
  第6層 : 提供しない。ただし,暗号機構は応用層でこのサービスを支援できる。
  第7層 : 提供できる。プレゼンテーション層の機構と併用する。
B.10  <N> コネクションにおけるすべての <N> 利用者データの(誤り回復のない)完全性 第1層及び
第2層 : 第1層及び第2層は,このサービスを提供することができない。第1層には検出機構又は回復機
構が位置付けられておらず,第2層機構はポイントツーポイントでしか動作せず,終端間では動作しない。
したがって,このサービスを提供するのに適しているとはみなされない。
  第3層 : 提供できる。個々のサブネットワークにおけるサブネットワークアクセス及びネットワーク間
の中継と経路選択では提供できる。
  第4層 : 提供できる。能動的攻撃を検出すると通信を停止することが認められるような用途では提供で
きる。
  第5層 : 提供しない。第3層,第4層及び第7層におけるデータ機密性以外の利点はない。
  第6層 : 提供しない。ただし,暗号機構は,応用層でこのサービスを支援できる。
  第7層 : 提供できる。プレゼンテーション層にある機構と併用する。
B.11  <N> コネクションで転送される <N> SDUの <N> 利用者データ内における選択フィールドの(誤
り回復のない)完全性 選択フィールドの完全性は,応用層の起動機構と検査機構とともに,プレゼンテ
ーション層の暗号機構によって提供される。
B.12  単一のコネクションレス型 <N> SDUのすべての <N> 利用者データ内の完全性 機能の重複をで
きるだけ少なくするために,コネクションレス型伝送の完全性は,回復機能を備えていない完全性サービ
スの層と同じ層,つまり,ネットワーク層,トランスポート層及び応用層でしか提供されない。この完全
性機構は,ごく限られた効力しかもち得ないが,この機構を実現する必要がある。

――――― [JIS X 5004 pdf 40] ―――――

次のページ PDF 41