Comments
Description
Transcript
サーバ署名に関する規格・事例調査文 献等調査状況(途中報告)
参考資料4 サーバ署名に関する規格・事例調査文 献等調査状況(途中報告) 0 目次 1. ETSI関連文献(リモート署名のレベルと構成例) 2. 米国サービス事例 3. ISO/IEC15408(CC)関連の国内外調査 1 1.ETSI リモート署名の関連ドキュメント 下記はいづれも現時点では非公開ドキュメント 1. EN 319 102 Procedures for Creation and Validation of AdES digital signatures 2. EN 419 221 Security requirements for trustworthy systems managing certificates for electronic signatures (ex TS14167-2 to 4) – パート1~5で構成され、以下が含まれる。 – Protection profiles for secure signature creation device Published End 2013, 2015 – Protection profiles for TSP Cryptographic modules 3. EN 419 261 Security requirements for trustworthy systems managing certificates for electronic signatures (ex TS14167-1) 4. EN 419 241 Security requirements for trustworthy systems supporting server signing (signature generation services) 2 1.ETSI リモート署名のレベル ESI Workshop資料のリモート署名のレベルについて レベル分けについて Level1 – リモート署名の署名者の認証が、システム環境によって強制される。 Level2 – リモート署名の署名者の認証が、署名生成装置によって強制される。 用語 – 2要素認証が必須、適格署名(QCレベル)。 • DTBS Data to be Signed • SAD Signer's Activation Data • SCD Signature Creation Data • Signer‘s SCD Signer's Signature Creation Data • SCDev Signature Creation Device • SCDid Signature Creation Device Identifer • SSA Server Signing Application 3 1.ETSI リモート署名の構成例 ETSI ESI Workshop Barcelona, 14th March 2013 Signing in the Cloud CEN Server signing TS 419 241 part 1 https://docbox.etsi.org/workshop/2013/201303_SIGNATURES_IN_CLOUD/3b-CEN-Server-Signing.pdf 4 1.ETSI リモート署名の構成例 ETSI ESI Workshop Barcelona, 14th March 2013 Signing in the Cloud CEN Server signing TS 419 241 part 1 https://docbox.etsi.org/workshop/2013/201303_SIGNATURES_IN_CLOUD/3b-CEN-Server-Signing.pdf 5 1.ETSI リモート署名の構成例 ETSI ESI Workshop Barcelona, 14th March 2013 Signing in the Cloud CEN Server signing TS 419 241 part 1 https://docbox.etsi.org/workshop/2013/201303_SIGNATURES_IN_CLOUD/3b-CEN-Server-Signing.pdf 6 2.米国のサービス事例 現時点での調査対象の企業及びサービスと以下に示す。 1. DocuSign 2003年設立。米カリフォルニア州サンフランシスコに本社を置き、米国の他9カ国に拠点 を置く。現在、188カ国に5,000万人以上の利用者をかかえる、大手電子署名サービ ス事業者。 2. Barracuda Networks 2003年設立のグローバルITソリューション事業者(米カリフォルニア州キャンプベル本 社)。2013年に電子署名・文書保存サービス事業者SignNowを買収し、 CudaSignとして提供している。 3. Comfact 1988年設立。スウェーデンのヨーテボリに本社を置く。欧州の法律を順守する高い信頼 性を保証する電子署名サービス、ProSale Signingを提供する。 1. https://www.docusign.com/ 2. https://www.cudasign.com/; https://www.barracuda.com/company/index; https://www.barracuda.com/news/press_release/82#.VqHGEiorLIU 3. https://www.comfact.com/Product/Signing/ 7 2.米国のサービス事例 公開文献調査の結果を以下に示す。 対象企業 DocuSign CudaSign ProSales サーバー DocuSignのクラウドサーバー あるいは、 顧客保有のサーバー Barracudaのクラウドサー バーあるいは、 顧客保有のサーバー 不明 セキュリティ モジュール Software Security Module (SSM)あるいはHardware Security Module(HSM)を利 用するオプションがある。 SSMあるいはHSMを利用する HSMを利用するオプションが オプションがある。 ある。 利用者確認 コード(SMS・電子メールなど で送付)、電話認証、秘密の質 問、第三者発行の電子証明、 SNSへのサインイン情報、現在 地のGPS情報 など パスワードおよび、SMSなど コード(SMS・電子メールな で送付されたコードを用いる2 どで送付)、PKI証明書、 Eid2(スウェーデンの電子 段階認証 など 電子メールアドレス、IPアド ID)などを利用した2段階認 レス、タイムスタンプなども、 証 など 記録される。 8 3.サーバ署名への機能追加について サーバ署名への機能追加の観点から文献調査の結果(一部)を報告する。 ・海外のセキュリティ要求仕様(PP: Protection Profile)の必須機能等 ・国内のセキュリティ実装仕様(ST: Security Target)の非機能要件等 海外文献から 1. 海外のCA-PP(要求仕様)では、リカバリ機能のサポートが必須。 記述内容)特権ユーザの不正利用やリモートユーザの行為によってサーバ署名(評価対象ソフトウェア(TOE))のセキュリティ機能に影響が ないことを示すためにAudit Recordが必須である。 2. 海外:「ID とクレデンシャル情報管理の標準プロテクションプロファイル」では、詳細な識別情報とクレデンシャル情報属性を定義できる機能が必須。 記述内容)利用者になりすまし(リプレイアタック)への対策として、権限付与とアクセス制御を提供するために、保存されたクレデンシャル情報を 保護が必須である。 国内文献から 1. 国内の評価事例では、ログ生成機能を提供するシステムと提供しないシステムが存在する。(評価対象にはないだけであり、提供している可能性は有) 2. 鍵のバックアップ機能の記載はない(現時点の調査範囲では)。 3. 設置環境は運用・環境への要求事項。 記述例)「TOEが動作するハードウェアは、TOEを管理する組織の責任者によって入退管理が可能な安全な場所に設置、管理されなければならない。 また、サーバおよびHSMは施錠可能なサーバラックに配置し、直接的な操作から保護されなければならない。」 4. ネットワークへの対策についても運用・環境への要求事項。 記述例)「CAサーバとセキュアルーム外との通信は、すべてファイアウォールサーバを通して行わなければならない。そのファイアウォールサーバには、 SSL及びTLS以外の通信を排除し、DOS攻撃からも保護されるよう設定されなければならない。」 9 3.前述3の本調査対象文献について 海外のセキュリティ要求仕様を調査するためにNIAPのPP、国内の状況を調査するために、 STを調査した。以下に調査文献を示す。 なお、以降にメールインタビュー調査を結果を踏まえ、CEN等の文献も調査する予定。 認証番号 供給者 C0135 株式会社 日立製作 IT製品(PKI) 所 C0028 C0025 C0013 TOE種別 セキュリティ機能要件/TOEセキュリティ機能 ・データ保護機能 ・データ改ざんチェック機能 ・識別・認証機能 ・監査機能 日本電信電話株式会 IT製品(認証局機能) ・申請書認証機能 社 ・操作者認証機能 ・申請者アクセス制御機能 ・運用支援機能 ・履歴管理機能 株式会社 日立製作 IT製品(電子申請基盤ソフト ・セッション管理サービス 所 ウェア) ・レシート管理サービス ・配信サービス ・アプリケーション動作支援サービス(ログ管理) ・セッション管理サービス運用管理 ・レシート管理サービス運用管理 ・配信サービス運用管理 株式会社 日立製作 IT製品(認証局機能) ・監査機能 所 ・暗号機能 ・アクセス制御機能 ・識別・認証機能 ・CA情報管理機能 TOEの名称/TOEのバー ジョン 証明書検証サーバ 03-00 認証年月日 2007/12/26 EAL2 Trust-CANP V8.0i 2005/7/7 EAL2 アプリポーター Security Kit 2005/4/28 バージョン 01-00 EAL2 Enterprise Certificate Server Set 01-01-A EAL3 2004/8/3 Tech Type Profile Name CC Ver. Short Name Sponsor Approval Date Certificate Authority Protection Profile for Certification Authorities Version 1.0 3.1 PP_CA_v1.0 NSA 2014/5/16 Enterprise Security Management Enterprise Security Management Identity and Credential Management 3.1 Version 2.1 PP_ESM_ICM_V2.1 NSA 2013/11/21 10 3.海外文献1:CA-PPの脅威と機能(抜粋) Threat(脅威) Objective(セキュリティ機能) O.TOE_ADMINISTRATION T.PRIVILEGED_USER_ERROR O.AUDIT_PROTECTION, O.AUDIT_LOSS_RESPONSE, O.SESSION_LOCK O.SYSTEM_MONITORING, T.UNDETECTED_ACTIONS O.AUDIT_PROTECTION, O.AUDIT_LOSS_RESPONSE セキュリティ機能 O.RECOVERY O.AUDIT_LOSS_RESPONSE 内容 The TOE will have the capability to store and recover to a previous state at the direction of the administrator (e.g., provide support for archival and recovery capabilities). TOEは、管理者の指示により以前の状態を保持し、回復する(例えば、アーカイブおよびリカバリ機能のサポー ト)。 The TOE will respond to possible loss of audit records when audit trail storage is full or nearly full by restricting auditable events. TOEは、監査証跡の保存量が上限に達するまたは監査可能なイベントの制限量に達するときに、監査レコードの 損失を通知する。 O.AUDIT_PROTECTION The TOE will protect audit records against unauthorized access, modification, or deletion to ensure accountability of user actions. 脅威 内容 T.PRIVILEGED_USER_ERROR A privileged user or non-person entity(NPE) improperly exercises or adversely affects the TOE, resulting in unauthorized services, ineffective security mechanisms, or unintended circumvention of security mechanisms. T.UNDETECTED_ACTIONS TOEは、ユーザアクションの説明責任を確保するため監査レコードを不正アクセス、変更、削除から保護する。 特権ユーザまたは非人物の実体(NPE)の不適切な行使または許可されていないサービス、無効セキュリティ機 構、またはセキュリティ機構の意図しない回避の結果、TOEに影響を与える。 Remote users or external IT entities may take actions that adversely affect the security of the TOE. リモートユーザまたは外部ITエンティティの行為によって、TOEのセキュリティに影響を与える。 11 3.海外文献2:IDとクレデンシャル情報管理PPの脅威と機能(抜粋) 前提条件・脅威 対策方針 A.ENROLLMENT ― クレデンシャル情報の割り当ての OE.ENROLLMENT ― 運用環境は、クレデンシャル情 前に、利用者の識別情報を確認する定義された登録プ 報の割り当ての前に、利用者の識別情報を確認する定 ロセスが存在すること。 義された登録プロセスを提供すること。 T.INSUFFATR ― 割付管理者がTOEを利用して権限付 与とアクセス制御を利用できるほど十分に詳細な認証 O.IDENT ― TOE は 割付管理者へ、詳細な識別情報 情報、クレデンシャル情報、及び属性を定義できず、 とクレデン シャル情報属性を定義できる能力を提供す 不当なアクティビティを許したり正当なアクティビ ること。 ティを禁止したりするような他のESM製品のふるまい が引き起こされてしまうおそれが ある。 T.RAWCRED ― 悪意のある利用者が、他の利用者に なりすますためにリプレイされるおそれのあるクレデ ンシャル情報を取得するために、保存されたクレデン シャル情報データへ直接アクセスしようとするおそれ がある。 O.PROTCRED ― TOEは、保存されたクレデンシャル 情報を保護できること。 O.ROBUST ― TOEは、認証中に攻撃者が本物の利用 者になりすます能力を低減するメカニズムを提供する T.WEAKIA ― 悪意のある利用者が、認証クレデンシャ こと。 ル情報の力ずくの推定によりTSFから不法に認証され OE.ROBUST ― 運用環境は、認証中に攻撃者が本物の るおそれがある。 利用者になりすます能力を低減するメカニズムを提供 すること。 12 3.国内事例1:C0028の運用・環境情報(抜粋) 前提条件・脅威 TOEは、ログファイルに対して改ざんまたは削除を検出す SO.AUDIT_DATA ることが可能でなければならない。 TOEが動作するために必要なハードウェアは、入退管理さ れている場所に設置され、直接的な物理攻撃から保護され A.PHYSICAL_PROTEC ているものとする。また、サーバおよびHSMは施錠可能な T サーバラックに配置し、直接的な操作から保護されている ものとする。 HSMにてセキュアに管理されるCAの秘密鍵は、ハード A.HSM ウェアの直接的な物理攻撃によって暴露、改ざんされない ものとする。 正当な操作者が所有するICカードは、所有者が正当である A.IC_CARD ことを確認できる情報を提供するものとする。 対策方針(セキュリティ機能以外) TOEの生成するログは、改ざんや消去の検出が可能な状態 P.AUDIT_DATA で記録されなければならない。 TOEが動作するハードウェアは、TOEを管理する組織の責 任者によって入退管理が可能な安全な場所に設置、管理さ SOE.PHYSICAL_PROT れなければならない。また、サーバおよびHSMは施錠可能 ECT なサーバラックに配置し、直接的な操作から保護されなけ ればならない。 SOE.HSM SOE.IC_CARD A.FIREWALL CAサーバとセキュアルーム外との通信は、SSLもしくは TLS以外の通信を排除でき、DOS攻撃からも保護されてい SOE.FIREWALL るものとする。 A.NETWORK CAサーバとCAO端末間の通信路の情報は、改ざんの無い ものとする。 A.OPERATOR 操作者は、信頼されるものであり、ガイダンス文書に従っ てCAの運用を行い、・自己の所有するICカードを他人に SOE.OPERATOR 使わせない・操作の途中、認められた操作者以外の者に CAO端末を操作させないものとする。 A.ADMIN CA管理者は、細心の注意を払ってCAの運用を行い、誤っ SOE.ADMIN た操作を行わないという点でも信頼できるものとする。 P.MANAGEMENT TOEを管理する組織の責任者は、予め組織内部セキュリ ティポリシーを決定し、実施すること。 P.RA_TRUST TOEを管理する組織の責任者は、CAと同等のセキュリティ ポリシーを実施しているRAを登録すること。 P.PASSWORD TOEを管理する組織の責任者及びCA管理者は、CAに関す るパスワードの安全性を保てるように、パスワードの運用 SOE.PASSWORD 規則を定め、実施すること。 SOE.NETWORK SOE.MANAGEMENT CAの秘密鍵は、FIPS140-2レベル3相当のHSMによって保 護されなければならない。 ICカードは、PINによって操作者が所有することを確認後、 正当である証拠を提供しなければならない。 CAサーバとセキュアルーム外との通信は、すべてファイア ウォールサーバを通して行わなければならない。そのファ イアウォールサーバには、SSL及びTLS以外の通信を排除 し、DOS攻撃からも保護されるよう設定されなければなら ない。 CAサーバとCAO端末間の通信はSSLを用いなければならな い。 TOEを管理する組織の責任者は、操作者に信頼される人を 選定し、ガイダンス文書に従うことを周知しなければなら ない。操作者は、自己の所有するICカードの紛失、ICカー ドのPINの漏洩に注意し、操作の途中、認められた操作者 以外の者にCAO端末を操作させないようにしなければなら ない。 TOEを管理する組織の責任者は、細心の注意を払ってCAの 運用を行い、誤った操作を行わないという点でも信頼でき るCA管理者を選定しなければならない。 TOEを管理する組織の責任者は、組織内部セキュリティポ リシーを作成し、そのポリシーに基づいたガイダンス文書 を作成する。その上でCA管理者、CA操作者、監査人を適 切に指導しポリシーを実施させ、RAを登録する際もポリ シーに従わなければならない。 TOEを管理する組織の責任者及びCA管理者はパスワードの 安全性を保てるように、TOEの運用に関連するパスワード の運用規則を定め、実施しなければならない。 13 3.国内事例2:C0135の運用・環境情報(抜粋) 前提条件・脅威 対策方針(セキュリティ機能以外) CVSマシン、HSM及びファイアウォールは、セキュ リティエリア内に設置しなければならない。 A.CVS_MACHINE(C CVSマシン、ファイアウォール及びHSMはシステム セキュリティエリアは、システム管理者のみ入室でき VSマシンの設置) 管理者のみが入退出できるエリアに設置される。 OM.S_AREA_CONTROL(セキュリティエリアの入退 るよう入退室管理を行い、不正な物理的アクセスから 室制限) 保護しなければならない。 CVSを運用する組織の長は、システム管理者及びCVS 操作員に対してTOEのセキュリティに関する教育を十 A.OPERATOR(人的 システム管理者及びCVS操作員は、TOEのセキュリ OM.OPERATOR(人的資源に関する規定) 分に実施し、保護対象資産への不正な操作、及び、自 資源) ティに対する不正及び秘密情報の漏洩を行わない。 身が保持する秘密情報の漏洩を行うことのない信頼で きる人物を配置する。 A.CVS_R_ACCESS( CVSマシン上のOSにより提供されるリモートログイ CVSマシン上のOSへのリモートからのログインはで CVSマシンへのリ OM.R_LOGIN(CVSマシンへのリモートログイン) ンのためのサービスである、Rlogin、Telnet、SSH、 きない。 モートアクセス) Rsh、FTPを全て停止した状態で稼動する。 A.CVS_NETWORK(CDMZセグメント及び内部セグメントとインターネッ DMZセグメントは、ファイアウォールを介してイン VSマシンのネット トそれぞれとの間は、目的としたもの以外のアクセス OM.CONNECT(接続規定) ターネットに接続しなければならない。等 ワーク設定) を全て拒否する。 A.CLIENT(利用者側 CVSを運用する組織は、一般利用者に対し、証明書検 一般利用者は、証明書検証結果署名を検証できる利用 OM.CLIENT(利用者側クライアントプログラムの設置 クライアントプログ 証結果署名を検証できる利用者側クライアントプログ 者側クライアントプログラムを設置する。 規定) ラムの設置) ラムの設置を指導する。 システム管理者は、CVS操作員証明書及びCVS操作員 SSLクライアント認証の場合、CVS操作員が管理端末 A.ADMIN_SSL(CVS OM.ADMIN_SSL(CVS操作員証明書・CVS操作員秘 秘密鍵を、CVS操作員にのみ提供する。CVS操作員は、 からTOEにアクセスするためのCVS操作員証明書は、 操作員証明書の使用) 密鍵の提供に関する規定) 以下の条件を満たすPINをCVS操作員秘密鍵に付与し CVS操作員のみが使用できる。 て、CVS操作員証明書とともに管理端末に登録する。 CVS秘密鍵の生成・破棄等の処理については、IT環境 として提供されるHSMがTOEからの指示によって実 インターネット上の悪意者が、ネットワーク上でTOE OE.HSM(HSMによる暗号操作) 現する。 T.MAN_IN_THE_MI の証明書検証結果応答を取得し、改ざんして一般利用 DDLE(中間者攻撃) 者へ送信することによって、一般利用者が、不正な証 証明書検証結果署名の検証処理については、IT環境と OE.CLIENT(利用者側クライアントプログラムによる 明書検証結果応答を受信するかもしれない。等 して提供される利用者側クライアントプログラムに 証明書検証結果応答の検証) よって実現する。 CVS操作員認証にSSLクライアント認証を利用する場 OE.ADMIN_MACHINE(管理端末マシン上のOSによ 合、以下の処理についてはIT環境として提供される管 るCVS操作員秘密鍵の管理) 理端末マシン上のOSによって実現する。 不正な利用者が、管理端末マシン上のOSからTOEに CVS操作員認証にベーシック認証を利用する場合、 T.UNAUTH_ACCESS アクセスし、保護対象資産を改ざんするか、あるいは Apacheは、設定された「CVS操作員が管理端末から (不正なアクセス) 削除することで、正当な証明書検証結果応答の送信を OE.HTTPD_BASIC(Apacheのベーシック認証による TOEをアクセスするために必要なCVS操作員のユーザ 行うことができなくなるかもしれない。 識別・認証) ID・パスワード」を用いて、Apache上で、CVS操作 員が管理端末からTOEをアクセスする場合のCVS操作 員の識別・認証を実現する。 OM.SETTING(設置規定) 14