マイクロソフトは10月30日,Windows 2000がセキュリティ認定を取得したことを明らかにした。同社は「実環境における広範なシナリオを対象とするものであり,OSとしては初の取得となる」というが,今回の認定取得をもって「Windows 2000はセキュアなOS」と考えることはできない。ユーザーとしては,従来通りパッチを適用するとともに,セキュアな設定を施さなければならない。

「OSで初めてCC認定を取得」

 米Microsoftは米国時間10月29日,Windows 2000において,ITセキュリティ評価のための共通基準「CCITSE」によって定義された「CC 認定」を取得した(関連記事)。そしてマイクロソフトはそのことを伝えるニュース・リリースを10月30日に公開した

 CCITSEとは「Common Criteria for Information Technology Security Evaluation」の略であり,CC 認定とは「Common Criteria Certification」の略で,「コモン・クライテリア」や「共通基準認定」と呼ばれることもある。CCとは,製品やシステムのセキュリティ品質を客観的に評価するための基準(Criteria)であり,CC認定とは対象製品(システム)がある一定の基準をクリアしていることを認定するものである。

 なお,情報技術セキュリティ評価基準の国際規格であるISO/IEC 15408 とCC認定は同じ内容である。ISO 15408は欧米の主要国で構成されるCCプロジェクトで開発された「Common Criteria, Version 2.1」が基になっている。そして,CCプロジェクトとISO/IEC 15408の標準化を担当する「ISO/IEC JTC1/SC27/WG3」は協力関係にある。ただし,CC認定は全米情報保証パートナーシップ(NIAP:National Information Assurance Partnership)から受けることになる(CC認定やISO/IEC 15408の詳細については,情報処理振興事業協会のページなどを参照のこと)。

 上記のニュース・リリースだけではなく,11月7日には「Windows 2000 が Common Criteria 認定を取得」というページも公開した。このページでは,ニュース・リリース以外に関連ドキュメントとして下記の6点を挙げている。ただし,残念ながらすべて英語である。

  1. プレスパス: Common Criteria に共通なものはない
  2. Common Criteria FAQ
  3. Common Criteria ホワイト ペーパー
  4. Common Criteria による構成ユーザーズ ガイドの評価
  5. Common Criteria による構成管理者ガイドの評価
  6. Common Criteria セキュリティ構成ガイド

 マイクロソフトが公開したニュース・リリースなどの要点は以下のようにまとめられるだろう。これらを見る限りでは,Windows 2000がセキュリティ的に非常に優れた製品であることを連想させる。

  1. オペレーティング・システムとして初めてCC 認定を取得
  2. 今回,Windows 2000が取得したのはCC 認定の「評価保証レベル4(EAL4: Evaluation Assurance Level 4)+欠陥修正(ALC FLR.3: Systematic Flaw Remediation)」
  3. 実環境におけるシナリオを対象にした最高レベルのセキュリティ評価を獲得
  4. Windows XP Professionalおよび Windows .NET Server 2003に対するCC 認定を得るためのプロセスも既に開始済み

 もちろん,うのみにすることはできない。特に筆者としては「デフォルトのWindows 2000でもCC 認定を取得できるセキュリティ・レベルなのだろうか。CC認定レベルにするには,特別なService Packやパッチを適用する必要があるのだろうか」,「そもそもCC 認定取得は,セキュリティ強度が高いことを表すのだろうか」――の2点を疑問に思った。これらについて,公開ドキュメントを基に探ってみた。

特別なパッチは存在せず

 なぜ「CC認定レベルにするには,特別なService Packやパッチを適用する必要があるのだろうか」と思ったかといえば,NT 4.0においてセキュリティ評価基準をクリアするには,特別なパッチが必要だったからだ。

 米Microsoftは1999年12月2日に,Windows NT Server/Workstation 4.0で「C2セキュリティ・レベル」を獲得したことを明らかにした。C2レベルとは,米NSA(National Security Agency:米国家安全保障局)が作成したシステム評価基準「TCSEC」(Trusted Computer System Evaluation Criteria,別名「オレンジ・ブック」)で定義される評価レベルの一つである。TCSECにおける評価レベルには,高い順にA,B3,B2,B1,C2,C1,Dがある。

 1999年12月よりも前から「Windows NTのセキュリティはC2レベル」と言われていたが,C2レベルを獲得していたのは,実はWindows NT 3.5であり,Windows NT 4.0はこのときまで獲得していなかった(関連記事)。

 199年12月にC2レベルを獲得したといっても,デフォルトのNT 4.0はC2レベルではない。C2レベルにするためには「C2 update」という特別なパッチを適用する必要がある。C2レベルにするには,まずNT4.0 SP6aを適用し,その後C2 updateを適用し,さらに,「Microsoft Windows NT 4.0 C2 Configuration Checklist」に沿った設定を施す必要がある。

 Windows 2000にも「C2 update」のようなパッチは存在するのだろうか。答えはFAQ「Windows 2000 Common Criteria Certification - Frequently Asked Questions」(英語)にあった。FAQには,CC 認定を受けた環境が「Windows 2000 SP3 とHotfix Q326886 を適用した Windows 2000 Professional/Server/Advanced Server」と明記されていた。

 「Hotfix Q326886」とはどういったパッチだろうか。調べてみると,「サポート技術情報 (KB)『JP326886 - [MS02-042] 接続マネージャの問題により権限が昇格する』」で説明されている,最大深刻度が「高」のセキュリティ・ホールを解消する修正パッチであることが分かった。結局,CC認定レベルにするための特別なパッチは存在しないようだ。

【11月14日追記】  特別なパッチは必要ないが,設定を変更する必要はある。具体的には,評価対象のセキュリティ仕様書である「セキュリティ・ターゲット(ST:Security Target)」にのっとって,セキュリティに関する条件を整える必要がある。Windows 2000の場合,そのSTは「the Windows 2000 CommonCriteria Security Target」と呼ばれている。このSTに従ったWindows 2000の導入と設定変更に関するドキュメントは「Microsoft Windows 2000 Security Configuration Guide」(日本語では「Common Criteria セキュリティ構成ガイド」という名称で紹介されている)として公開されている。 【11月14日追記ここまで】

セキュリティ機能の強度が高いわけではない

 それでは次に,CC認定を取得したことが,「Windows 2000のセキュリティ強度が高い」ことを表すのかどうかを調べてみた。結論から言うと,CC 認定とは,「情報システムやそれを構成する機器・ソフトウエアのセキュリティ機能が体系的に設計され,設計通りに実装されているかどうか」をEALと呼ぶ7段階のレベルで保証するだけのものなのである。CC認定を取得しているからといって,他のソフトウエアよりもセキュリティ強度が高いというわけではないのだ。

 CC認定をはじめとする,セキュリティ評価基準については,情報処理振興事業協会(IPA)のページに詳しく記載されている。例えばCC 認定に関しては「セキュリティ評価基準 -- Common Criteria(CC)概要 」に,CC 認定と同等のISO/IEC 15408に関しては「セキュリティ評価・認証(ISO/IEC 15408)に関する FAQ」で解説している。

 IPAのページを読めば,Windows 2000が取得した「EAL4」の“保証レベル”がどの程度か分かる。EAL4は低いほうから数えて4番目のレベルであり,「良好な開発工程に基づく積極的なセキュリティ・エンジニアリング実施により得られる最大の保証レベル」とされている。そして,「中~高程度レベルの独立に保証されたセキュリティが要求され,かつセキュリティに関する追加コストを準備可能なケースに適用」としている。

 さらに,「EAL3またはEAL4は,民需品が備えるべき評価保証レベル(TCSECのC2~B1相当)」で,「EAL5以上は,軍用あるいはそれに準ずる用途向き」と記載されている。

 これらの記述だけでは分かりづらいが,例えば,ぜい弱性に対する抵抗力についてEAL4では,スキルをそれほど持たないユーザーによる攻撃に,評価対象が耐えうるのかを確認するだけなのだ。

 今回のWindows 2000がCC 認定を取得したというニュースは,もちろん重要なステップの一歩であり,マイクロソフトのセキュリティへの積極的な取り組みを示す良いニュースである。しかし,Windows 2000のセキュリティ機能の強度が高いことを示すものではないのである。セキュリティ機能が体系的に設計され,設計通りに実装されていることを示すだけなのだ。ユーザーとしては,従来通り,必要なService Packやセキュリティ・パッチを継続的に適用するとともに,セキュアな設定を施す必要がある。

新ウイルスBridの情報が公開

 TechNet Online セキュリティでは,「Brid に関する情報」「2002 年 10 月 セキュリティ 警告サービス 月刊サマリー」が公開された。

 「Brid に関する情報」は,「MS01-020」のセキュリティ・ホールを悪用するウイルス(ワーム)Bridに関するレポートである。Bridが発病すると,アドレス帳や各種ファイルに書かれたメール・アドレスに対して自分自身のコピーを送信して感染を広げる。特に目新しいウイルスではないので,従来通りのウイルス対策を施していれば何ら問題はない。

 「2002 年 10 月 セキュリティ 警告サービス 月刊サマリー」は,セキュリティ情報をまとめた月例のサマリーである。今回のサマリーでは,前回のコラムで紹介した「プロダクト セキュリティ 警告サービス」メールの重複配信をわびるとともに,同社の無料セミナー「Microsoft Build Secure 3 Days」を紹介している。興味のある読者は,チェックしよう。

Norton Internet Securityのトラブルに関する続報

 アンチウイルス・ベンダーのシマンテックは,前回のこのコラムで紹介した「Norton Internet Security 2003」のトラブルに関する続報を公開した。

 Norton Internet Security 2003において,ウイルスを含まない正常なメールが削除されてしまうというトラブルが発生した。当初原因を究明中としていたが,同ソフトのメモリー管理の不具合が原因であることが明らかとなった。具体的には,大量のメールを連続して受け取った場合に,まれにメモリー管理上の問題が発生し,正常なメールを削除してしまうという。

 このトラブルを解消するプログラムを,2002年11月8日から LiveUpdate で提供するとしている。同製品のユーザーはチェックしておこう。



TechNet Online セキュリティ

Brid に関する情報

2002 年 10 月 セキュリティ 警告サービス 月刊サマリー


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yama@bears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)