公開日: 2002年10月1日 | 最終更新日: 2003年2月18日
トピック
概要
はじめに
Common Criteria (共通基準) の利点
Windows 2000 の Common Criteria (共通基準) 認定
Windows 2000 の Common Criteria (共通基準) 認定に向けた取り組み
まとめ
その他のリソース
概要
セキュリティは、適切なソフトウェア コードの作成と高品質なテストに始まり、セキュリティ上の脆弱性の識別、適正化、および修正を行うプロセスを経て、公認の標準に基づいた第三者による監査へと進んでいきます。そのためマイクロソフトは、新たな CCITSE (Common Criteria for Information Technology Security Evaluation : 情報テクノロジ セキュリティ評価のための共通基準) に基づいた中立的評価対象として、Windows 2000 系列のオペレーティング システムを提出しました。
1999 年に国際標準として批准された Common Criteria (共通基準) は、「C2」評価で知られる米国の TCSEC や、欧州の ITSEC といった従来の評価方式に代わる評価です。Common Criteria (共通基準) を採用する各国は、セキュリティ強化された IT 製品の利用促進、顧客の購入決定時の IT 製品評価の支援、および IT 製品のセキュリティに対する顧客信頼強化への貢献に役立つと確信しています。
この文書では、Common Criteria (共通基準) の概要、認定の利点、認定された Microsoft Windows 2000 シナリオ、および Common Criteria (共通基準) 評価に基づいた安全な Windows 2000 環境の構成と管理に役立つリソースをご紹介します。
はじめに
Common Criteria (共通基準) セキュリティ評価プロセスとは?
米国連邦政府は、コンピュータ システムのセキュリティを判定する一連の評価基準を支持しており、多数の政府機関と民間企業が、指定されたこの評価基準を満たすシステムのみを購入しています。知名度のある米国 TCSEC (Trusted Computer Systems Evaluation Criteria : 信用されるコンピュータ システム評価基準) の「C2」評価は、このような基準のひとつです。TCSEC に相当する欧州の ITSEC (Information Technology Security Evaluation Criteria : 情報技術セキュリティ評価基準) にも、同等の評価が規定されています。米国 TCSEC と欧州 ITSEC は、いずれも更新されています。技術の高度化と国際的な評価標準に対するニーズの高まりに伴い、各国のグループが ISO (International Organization for Standardization : 国際標準化機構) を通じて協力し、CCITSE (Common Criteria for Information Technology Security Evaluation : 情報テクノロジ セキュリティ評価のための共通基準) と呼ばれる新たなセキュリティ評価プロセスを立案しました。この文書ではこれを略し、「Common Criteria (共通基準) 」と表記します。
Common Criteria (共通基準) に基づいて、製品のクラス (オペレーティング システムなど) がセキュリティ機能要求を規定する「保護プロファイル」の要件に対して評価されます。保護プロファイルは、セキュリティ要件を満たすことが期待されるオペレーティング システム、ファイアウォール、スマート カード、およびその他の製品への適用に向けて開発されたものです。たとえば、CAPP (Controlled Access Protection Profile : 制御されたアクセス保護プロファイル) は、従来の C2 評価要件に代わってオペレーティング システムに適用されます。Common Criteria (共通基準) は、評価対象製品に対して、一連の EAL (Evaluation Assurance Levels : 評価保証レベル) も規定します。EAL 認定が高いほど、製品のセキュリティ機能が適切で効率的に動作する確実性が増します。
Common Criteria (共通基準) は 1999 年に標準として批准されましたが、テスト要件が厳密で時間を要するため、その当時提出されたオペレーティング システムのテスト結果のみが現在提供されることになります。先頃完了した Microsoftョ Windows 2000 のテストの結果、Windows 2000 は認定を達成しました (EAL 4 + 修正対応のシステム化 (Flaw Remediation))。Windows 2000 の認定は、最も広範に及ぶ実際のシナリオと、これまで達成されなかった高レベルの評価に及んでいます。
Common Criteria (共通基準) の意義
Common Criteria (共通基準) の存在は、IT システムの使用、展開、および管理に関わるすべての人に影響を与えます。
まず Common Criteria (共通基準) は一定レベルの品質保証を可能にします。一貫して厳密および中立に検証された評価要件を、IT 購入時に適用できるからです。品質が保証されることで、顧客が導入する製品の質が向上すると共に、「広告の真実性」を確実に高めることができます。Common Criteria (共通基準) を通じて認定されたすべての製品に、一切のセキュリティ脆弱性がないという意味ではありませんが、より高いレベルのセキュリティが製品に保証されることは確かです。
次に、Common Criteria (共通基準) プログラムによって、豊富な情報が顧客にもたらされ、評価済み製品の実際の導入と展開において、セキュリティを高めることができます。ベンダは Common Criteria (共通基準) の提供する機会を利用することで、顧客がよりセキュリティ保護された IT システムを構築できるよう支援することができます。
以降、この文書では、Common Criteria (共通基準) の利点、さらに Windows 2000 ファミリで実行される特定の評価の詳細について説明し、結論として、評価者が提供する情報を利用することで、顧客の実際の構成計画と導入計画をどのように向上できるかを示します。
Common Criteria (共通基準) の利点
均一な IT セキュリティ標準によって共通性のある保証が得られ、「評価済みのセキュリティ強化された IT 製品の利用が促進される」と認識した 14 か国の国々1 が、Common Criteria (共通基準) を採用しています。また、Common Criteria (共通基準) が IT 製品のセキュリティに対する顧客の信頼向上に貢献し、評価と認定プロセスの「効率性と費用効果も高める」2点も認識されています。2
意思決定のための情報を顧客に
Common Criteria (共通基準) によって、顧客は複数の方法で意思決定のための情報を得られます。
特定の要件を Common Criteria (共通基準) の一貫した共通標準と比較し、求めるセキュリティ レベルを判断することができます。
特定の製品がセキュリティ要件を満たしているかを容易に判断できます。Common Criteria (共通基準) は、適正であると評価された製品のセキュリティ機能に関する詳細なレポートを作成するよう認定機関に要求しているので、顧客はこれらのレポートを利用して、競合 IT 製品の関連するセキュリティを判断することができます。
Common Criteria (共通基準) の評価はベンダではなく、独立したテスト研究所で実施されるため、顧客の信頼に足る評価と言えます。購入時のベンチマークとしての利用も増加しており、一例として、米国国防総省は先頃、Common Criteria (共通基準) によって評価されたシステムのみを、使用する計画を発表しました。
Common Criteria (共通基準) は国際標準なので、世界中で事業展開する顧客がその共通した基準を利用し、現地でのセキュリティ ニーズに対応した製品の選択に役立てることができます。
ベンダによる安全な IT 製品の構築支援
Common Criteria (共通基準) には一連のセキュリティ標準が詳細に示されており、ベンダと顧客の両方が理解できる IT 製品のセキュリティ「用語」を有効に作成できます。ベンダは、製品が合格した Common Criteria (共通基準) 評価を説明することで、製品に含まれたセキュリティ機能の説明にこの用語を利用できます。同様に顧客は、この用語を使用して、セキュリティ ニーズを特定および伝達できるので、ベンダはそのニーズに合わせた製品設計が可能になります。
さらに、Common Criteria (共通基準) 用語によって、次のような方法で IT 製品を構築できます。つまり、ベンダの製品が特定のセキュリティ要件を満たすことを簡単に実証できると共に、公平な第三者によって製品のセキュリティ評価を実行できる評価プロセスが可能になるのです。
Windows 2000 の Common Criteria (共通基準) 認定
マイクロソフトは当初から Common Criteria (共通基準) をサポートし、採用しており、Common Criteria (共通基準) 評価を行う公認の独立系評価会社である SAIC (Science Applications International Corporation) に Windows 2000 の評価を提出しました。マイクロソフトと SAIC は以前から協力関係にあり、SAIC が Windows NTョ 4.0 と SQL Server 2000 の C2 評価を行いました。
SAIC は、CAPP (先に述べた一連の C2 評価要件に代わるもの) を使用して徹底的なテストを行い、Windows 2000 ファミリが Common Criteria (共通基準) の「EAL 4 + 修正対応のシステム化 (Flaw Remediation)」 評価に値すると判断しました。
次の点を参考にすると、7 段階のうち EAL 4 がどの位置に当たるのか理解できます。Common Criteria (共通基準) のドラフトによると、EAL 5 ~ 7 が特別なセキュリティ エンジニアリング技法で構築された製品の評価対象となります。つまり、一般的にこのレベルは商用配布を念頭において構築された製品にはほとんど当てはまりません。したがって、EAL 5 ~ 7 の要件への適合が要求される特別に構築された製品でない限り、EAL 4 が最高レベルであることを示しています。Windows 2000 のように、EAL 4 に加え「修正対応のシステム化 (Flaw Remediation)」要件を満たすには、開発者/ベンダの構築した修正対応のシステム化に、セキュリティの欠陥追跡、誤り訂正動作の検出、および誤り訂正動作情報のユーザーへの配信について記述されている必要があります。Microsoft Security Response Center は Windows 2000 においてその役割を果たします。
SAIC は、「Windows 2000 の Common Criteria (共通基準) EAL 4 の評価は、これまでに SAIC の Common Criteria (共通基準) テスト研究所で実施した中で、技術とプロジェクト管理の両面から見て最もやりがいのある評価プロジェクトだった。」とコメントしています。
Windows 2000 のその他の評価
Windows 2000 ファミリとして、デスクトップ システム用の Windows 2000 Professional と、Windows 2000 Server ファミリがあります。Windows 2000 は、このような広範な機能と能力を備えているため、CAPP を超えた CC 要件の評価対象として提出されました。その結果、Windows 2000 の以下のような情報保証 (IA) に対応した情報技術 (IT) 製品機能が評価されるに至りました。
重要データの保護対策。暗号化ファイル システム (EFS) は、ローカル システム上の重要データを暗号化し、改ざんや盗用を防止します。EFS 保護機能は、Common Criteria (共通基準) 標準を満たす重要データの保護対策として認定されました。
ディレクトリ サービス。Active Directory は、堅牢な分散型エンタープライズ ディレクトリ サービスです。Active Directory オブジェクトの LDAP によるアクセスと管理が、Common Criteria (共通基準) の評価対象です。Windows 2000 はセキュリティ保護されたディレクトリ アクセスと管理を提供しており、評価要件に適合しています。
仮想プライベート ネットワーク (VPN)。VPN によって、ネットワークを世界に公開しなくても、リモート サーバーおよびユーザーと安全に接続できるようになります。Windows 2000 でサポートする VPN には、L2TP と IPsec という 2 つの業界標準プロトコルを利用する統合クライアントとサーバー サービスがあり、Windows VPN コンポーネントは Common Criteria (共通基準) 標準に準拠していると評価されました。
ソフトウェア署名作成機構。改ざんや妨害のないセキュリティ保護された署名作成システムに限り、デジタル署名の有用性を生かした、完全な保護と認証を実現できます。FIPS (Federal Information Processing Standard) 140-1 には、セキュリティ保護された署名作成に関する要件が説明されています。Windows 2000 は、FIPS 140-1 要件を満たすセキュリティ サービスを提供します。これには、ユーザーの秘密署名キーを保護する強力な暗号化を使用した保護サービスと、FIPS 186-2 準拠の RSA および DSA 署名アルゴリズムが含まれます。
シングル サイン オン。多くの企業が、単一のセキュリティ資格を持った複数のネットワーク システムにユーザーがサイン オンできるようにしたいと考えています。Windows 2000 は、サードパーティの開発者が Windows 2000 の認証サービスを直接利用できるようなアプリケーション プログラミング インターフェイス (API) を提供し、これをサポートしています。保護プロファイル自体には記述されていませんが、シングル サイン オンの機能は評価されたコンポーネントに含まれます。
ネットワーク管理。Windows 2000 には複数の強力なネットワーク管理ツールがあり、システム パフォーマンスとオペレーションを監視および制御する WMI (Windows Management Instrumentation) サービス、セキュリティ ポリシーとアプリケーション ポリシーをネットワーク上のコンピュータに適用する Active Directory のグループ ポリシー エンジンなどがこれに含まれます。Windows 2000 のネットワーク管理ツールは、Common Criteria (共通基準) のネットワーク管理システムとソフトウェアの要件に対して評価されました。
デスクトップ管理。デスクトップ管理サービスによって、企業ネットワーク内のデスクトップ コンピュータに、セキュリティ保護された効率的なポリシー アプリケーションをもたらすことができます。グループ ポリシーが Windows デスクトップに不可欠なサービスを提供していることから、Windows 2000 は Common Criteria (共通基準) のデスクトップ管理製品として評価されました。
Common Criteria (共通基準) によって、Windows 2000 が多目的プラットフォームとして明らかな利点をもたらし、その評価されたコンポーネントは多数の企業ニーズを満たすことがわかります。オペレーティング システムのセキュリティ テクノロジからネットワーク管理セキュリティ、さらには VPN セキュリティに至るまで、Windows 2000 は重要な (そして評価された) 数々の機能をひとつのパッケージで提供します。
Windows 2000 の Common Criteria (共通基準) 認定に向けた取り組み
繰り返しますが、Common Criteria (共通基準) 認定の鍵となる明確な利点のひとつは、セキュリティ保護されたネットワーク環境での Windows 2000 の展開と運用を簡略化するガイダンスが、顧客に提供されることです。その目的達成のため、マイクロソフトは Common Criteria (共通基準) に準拠した評価データを集め、それを実行性のある有効な方法で明らかにできるよう取り組んできました。こうした努力の成果として、ユーザー個々に役立つリソースを公開し、現在のアーキテクチャと構成に役立つ推奨事項とベスト プラクティスを紹介しています。これらのリソースは以下のとおりです。
Windows 2000 Common Criteria (共通基準) 評価された構成 管理者ガイド
https://technet.microsoft.com/ja-jp/library/dd277441.aspxWindows 2000 Common Criteria (共通基準) セキュリティ構成ガイド
https://technet.microsoft.com/ja-jp/library/dd277442.aspxWindows 2000 Common Criteria (共通基準) 評価構成 ユーザーズ ガイド
https://technet.microsoft.com/ja-jp/library/dd277443.aspx
まとめ
マイクロソフトは、製品とサービスのセキュリティ維持に深く関わってきました。その取り組みの一環として、Common Criteria (共通基準) 認定プログラムを強力にサポートしています。その取り組みが直接反映されたのが、Windows 2000 において、商用システムに指定されたセキュリティ要件を満たし、さらにはそれを上回る設計に成功したことです。マイクロソフトの努力は、ある確信に根ざしたものです。それは、Common Criteria (共通基準) の評価と認定システムが国際的に認められた信頼性のある方法を生み出し、それによって顧客が IT 製品のセキュリティを評価し、確信を得られることです。Common Criteria (共通基準) によって明確で堅牢なセキュリティ標準を定義し、独立したセキュリティ評価プロセスを確立することで、利点と効率性が強化され、セキュリティ保護されたコンピューティング環境を個人、企業、および政府にもたらすことができます。
その他のリソース
詳細情報については、以下のリソースを参照してください。
Common Criteria (共通基準) 体系のホーム ページ
https://www.niap-ccevs.org/cc-scheme/CAPP (Controlled Access Protection Profile : 制御されたアクセス保護プロファイル)
https://www.niap-ccevs.org/cc-scheme/pp/PP_OS_CA_V1.d.pdfWindows Common Criteria (共通基準) セキュリティ評価状況の最新情報 (英語)
https://www.microsoft.com/technet/archive/security/prodtech/windows2000/secureev.mspxWindows 2000 Common Criteria (共通基準) 評価された構成 管理者ガイド
https://technet.microsoft.com/ja-jp/library/dd277441.aspxWindows 2000 Common Criteria (共通基準) セキュリティ構成ガイド
https://technet.microsoft.com/ja-jp/library/dd277442.aspxWindows 2000 Common Criteria (共通基準) 評価構成 ユーザーズ ガイド
https://technet.microsoft.com/ja-jp/library/dd277443.aspx
このドキュメントは暫定版であり、このソフトウェアの最終的な製品版の発売時に実質的に変更されることがあります。
このドキュメントに記載されている情報は、このドキュメントの発行時点におけるマイクロソフトの見解を反映したものです。変化する市場状況に対応する必要があるため、このドキュメントは、記載された内容の実現に関するマイクロソフトの確約とはみなされないものとします。また、発行以降に発表される情報の正確性に関して、マイクロソフトはいかなる保証もいたしません。
このドキュメントに記載された内容は情報提供のみを目的としており、明示または黙示に関わらず、これらの情報についてマイクロソフトはいかなる責任も負わないものとします。
お客様ご自身の責任において、適用されるすべての著作権関連法規に従ったご使用を願います。このドキュメントのいかなる部分も、米国 Microsoft Corporation の書面による許諾を受けることなく、その目的を問わず、どのような形態であっても、検索システムへの格納または公開、複製または譲渡することは禁じられています。ここでいう形態とは、複写や記録など、電子的または物理的なすべての手段を含みます。ただしこれは、著作権法上のお客様の権利を制限するものではありません。
マイクロソフトは、このドキュメントに記載されている内容に関し、特許、特許申請、商標、著作権、またはその他の無体財産権を有する場合があります。別途マイクロソフトのライセンス契約上に明示の規定のない限り、このドキュメントはこれらの特許、商標、著作権、またはその他の無体財産権に関する権利をお客様に許諾するものではありません。
© 2002 Microsoft Corporation. All rights reserved.
Microsoft、Active Directory、SQL Server、Windows、および Windows NT は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。
記載されている会社名、製品名には、各社の商標のものもあります。
1 Common Criteria 立案国 (カナダ、フランス、ドイツ、英国、および米国) に、オーストラリア、フィンランド、ギリシャ、イスラエル、イタリア、ニュージーランド、ノルウェイ、スペイン、オランダが加盟調印国として参加しました。
2 『情報技術セキュリティ分野の Common Criteria 承認協定』の序文 (2000 年 5 月) [以下、「協定」] を参照 (2001 年 11 月 21 日現在)。
ページのトップへ