Windows NT の C2 評価と証明

この記事は、以前は次の ID で公開されていました: JP93362
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。


概要
C2 とは、セキュリティ システムの動作を定義する一連のセキュリティ ポリシーの総称です。C2 の評価プロセスと証明プロセスは、別個のものです。1995 年 8 月現在、Windows NT Server and Workstation Version 3.5C2 は、国家安全保障局 (NSA) により C2 のセキュリティ評価を与えられ、Evaluated Products List (EPL) に登録されています。

Windows NT Server and Workstation Version 3.51 は、英国の同様の評価プロセスにより、E3/F-C2 のセキュリティ評価を与えられています。

注 : これは、Windows NT が C2 証明を得たことを意味するものではありません (これまで C2 証明を得たオペレーティング システムはありません)。証明は、ハードウェア、ソフトウェア、およびオペレーティング システムが使用される環境を含めて、サイト全体に与えられるものです。C2 証明を獲得できるかどうかは各サイトに依存します。
詳細
A、B、C、および D レベルのセキュリティ製品の要件については、National Computer Security Center (NCSC) 発行の『Trusted Computer System Evaluation Criteria (TCSEC)』を参照してください。同書は、国家安全保障局が策定したセキュリティ ガイドライン "レインボ シリーズ" の一冊であり、一般には『オレンジ ブック』という名前で知られています。セキュリティ レベル要件の解釈は、時の流れと共に変化します。評価期間中、ベンダ各社は、『オレンジ ブック』に示されたセキュリティ ポリシーの概念と自社が実装したシステムが詳細まで一致しているかどうかについて、国家安全保障局と互いの見解を交換します。ベンダ側には、要件が満たされているという証拠を提出する義務があります。

Microsoft は、評価プロセスにおいて Windows NT の一部のコンポーネントを評価の対象から外しました。これは、そのコンポーネントが一定の評価を獲得できそうになかったからではありません。国家安全保障局の負担を軽減し、時間を節約するためです。しかも、MS-DOS や Windows on Windows (WOW) は Win32 アプリケーションとして扱われるべきものであり、Trusted Computer Base (TCB) の一部として評価対象にする必要はありません。Windows NT でのネットワーキングは、『Trusted Network Interpretation』、通称、『レッド ブック』の内容に準拠する必要はありません。ネットワーキングは別のサブシステムと考えられるため、『オレンジ ブック』にのみ準拠すればよいわけです。追加または変更されたコンポーネントとその他のハードウェア プラットフォームについては、後日、"RAMP" プロセスで評価を受けることができます。

C2 の概要

C2 のセキュリティ ポリシーは、Discretionary Access Control (DAC) と呼ばれています。Windows NT は、システムのユーザーが次の作業を行うという前提の下で実装されたものです。

  • オブジェクトを所有する
  • 自分が所有するオブジェクトの保護については、自分が制御権を持つ
  • アクセス関連のすべての操作に対して責任を負う
C2 レベルでは、処理データの機密度という観点でセキュリティを分類しているわけではありません。(B レベルでは、別個のセキュリティ分類システムが確立され、運用されていますが、その分類の趣旨が示されているわけではありません。)

たとえば、Windows NT では、すべてのオブジェクト (ファイル、クリップボード、ウィンドウなど) には所有者がいて、所有者は自らのオブジェクトに対するアクセス権をほかのユーザーに付与できます。各ユーザの作業の様子はシステムによって追跡 (監査) されており、管理者はその情報を利用できます。つまり、システム管理者は、ユーザーによるオブジェクトへのアクセスの様子を、アクセス成否にかかわらず追跡できます。

C レベルと B レベルでのセキュリティの大きな違いは、アクセス制御の概念にあります。C2 (DAC) システムでは、所有者は自らのオブジェクトに対するアクセス権をほかのユーザーに与えることに関して、絶対的な決定権を持ちます。一方、B レベル、つまり Mandatory Access Control (MAC) システムでは、オブジェクトには所有者の決定権とは別にセキュリティ レベルが定義されています。たとえば、"secret" とマークされているオブジェクトのコピーを受け取ったとします。この場合、そのコピーを参照するためのアクセス権をほかのユーザーに与えることはできません。"secret" 属性をクリアするかどうかの決定権は、ユーザーにではなくシステムにあります。MAC には、"データのラベル付け" という概念があります。このラベルはシステムにより、データ オブジェクトに割り当てられるものであり、ユーザーがこれを変更することはできません (システム制御と監査など、特定の場合を除く)。管理者は、どのユーザーのオブジェクトにもアクセスできますが、それには若干のプログラミングが必要な場合もあります (つまり、ユーザー インターフェイスからこの機能を直接利用できるわけではありません)。

FAQ、製品評価リストのコピー、TCSEC のコピー、その他のドキュメントなど、このプロセスに関する詳細情報は次の NCSC の Web サイトで入手できます。 http://www.radium.ncsc.mil.
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 93362 (最終更新日 2000-10-05) をもとに作成したものです。

プロパティ

文書番号:93362 - 最終更新日: 02/27/2014 15:54:04 - リビジョン: 2.1

  • Microsoft Windows NT Workstation 3.5
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Server 3.5
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • kbnosurvey kbarchive kbhowto KB93362
フィードバック