1. Manuals
  2. Brands
  3. Xerox Manuals
  4. Printer
  5. D110
  6. Manual

Xerox D110 Manual

Hide thumbs Also See for D110:
Table of Contents

Advertisement

Quick Links

Download this manual See also: User Manual
2
Xerox D110/D125 Copier/Printer
セキュリティターゲット
Version 1.1.7

Advertisement

Table of Contents
loading

Related Manuals for Xerox D110

Summary of Contents for Xerox D110

  • Page 1 Xerox D110/D125 Copier/Printer セキュリティターゲット Version 1.1.7...
  • Page 2 - 更新履歴 - № 更新日 バージョン 更新内容 2011 年 10 月 07 日 1.0.0 初版 2012 年 01 月 12 日 1.0.1 誤記修正 2012 年 02 月 03 日 1.0.2 誤記修正 2012 年 02 月 21 日 1.0.3 誤記修正 2012 年 03 月 02 日 1.0.4 誤記修正...

  • Page 3: Table Of Contents

    - 目次 - ST 概説 (ST Introduction) ..........1 ST 参照 (ST Reference) ..............1 1.1. TOE 参照 (TOE Reference) ............. 1 1.2. TOE 概要 (TOE Overview) ............. 1 1.3. TOE 種別および主要セキュリティ機能 (TOE Type and Major Security Features) ... 1 1.3.1.
  • Page 4 拡張コンポーネント定義 (Extended Components Definition) ..30 FPT_FDI_EXP Restricted forwarding of data to external interfaces ..30 5.1. セキュリティ要件 (Security Requirements) ........ 32 セキュリティ機能要件 (Security Functional Requirements) ...... 35 6.1. Class FAU: Security Audit ............... 38 6.1.1. Class FCS: Cryptographic Support ........... 46 6.1.2.
  • Page 5 - 図表目次 - 図 1 TOE の想定する利用環境 ..................4 図 2 MFD 内の各ユニットと TOE の論理的範囲 ..............7 図 3 プライベートプリントと親展ボックスの認証フロー ..............10 図 4 MFD 内の各ユニットと TOE の物理的範囲 ..............14 図 5 保護資産と保護対象外資産 .................. 21 Table 1 TOE が提供する機能と機能種別 ................2 Table 2 TOE が想定する利用者役割...
  • Page 6 Table 36 Security Management Functions Provided by TSF ......... 84 Table 37 セキュリティ保証要件 ..................91 Table 38 セキュリティ機能要件とセキュリティ対策方針の対応関係 ..........92 Table 39 セキュリティ対策方針によるセキュリティ機能要件根拠 ............ 94 Table 40 セキュリティ機能要件コンポーネントの依存性 ............. 99 Table 41 TOE セキュリティ機能とセキュリティ機能要件の対応関係 ..........104 Table 42 セキュリティ属性の管理 ................. 109 Table 43 基本機能へのアクセス制御...

  • Page 7: St 概説 (St Introduction)

    2012 年 07 月 18 日 発行日: 作成者: 富士ゼロックス株式会社 1.2. TOE 参照 (TOE Reference) 本節では TOE の識別情報を記述する。 TOE は Xerox D110 Copier/Printer, Xerox D125 Copier/Printer として動作する。TOE は以下 の TOE 名とバージョンで識別する。 TOE 名: Xerox D110/D125 Copier/Printer ・Controller+PS ROM Ver. 1.201.1 ・IOT ROM Ver.

  • Page 8: Table 1 Toe が提供する機能と機能種別

    [Media Print]のボタンは操作パネルに現れない。 1.3.1.3. TOE の使用法と主要セキュリティ機能 (Usage and Major Security Features of TOE) TOE の主な使用法を以下に示す。 ・ コピー機能と操作パネル機能により、操作パネルからの一般利用者の指示に従い、IIT で原稿を読み込 み IOT より印刷を行う。 またコピー蓄積機能として再出力用データの IOT への印刷と同時保存、および 再出力用保存が可能である。 ・ 同一原稿の複数部のコピーが指示された場合、IIT で読み込んだ文書データは、一旦 MFD の内部ハー ドディスク装置に蓄積され、指定部数回、内部ハードディスク装置から読み出されて印刷される。  - 2 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 9 カストマーエンジニアが TOE のセキュリティ機能に関する設定の参照および変更をできなくするシステム管 理者の設定機能である。 (6) セキュリティ監査ログ機能 いつ、誰が、どのような作業を行ったかという事象や重要なイベント(例えば障害や構成変更、ユーザー操 作など)を、追跡記録するための機能である。 (7) 内部ネットワークデータ保護機能 内部ネットワーク上に存在する文書データ、ジョブフロー、親展ボックス、セキュリティ監査ログデータおよび TOE 設定データ(TSF データ)といった通信データを保護する機能である。 一般的な暗号化通信プロトコル(SSL/TLS, IPSec, SNMPv3, S/MIME)に対応する。 (8) インフォメーションフローセキュリティ機能 外部インターフェースと内部ネットワーク間における許可されない通信を制限する機能である。 (9) 自己テスト機能 TOE の TSF 実行コードおよび TOE 設定データ(TSF データ)の完全性を検証するための機能である。  - 3 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 10: Toe 利用環境 (Environment Assumptions)

    LDAP サーバー Kerberos サーバー 一般利用者 カストマー システム エンジニア 管理者 図 1 TOE の想定する利用環境 1.3.3. TOE 以外のハードウェア構成とソフトウェア構成 (Required Non-TOE Hardware and Software) 図-1 に示す利用環境の中で TOE は MFD であり、下記の TOE 以外のハードウェアおよびソフトウェアが存 在する。  - 4 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 11 ハードウェア/OS は汎用の PC またはサーバーであり、MFD は LDAP プロトコルを用いて、LDAP サーバー から識別認証情報の取得を行う。また利用者役割としての SA 情報を取得する。 (7) Kerberos サーバー ハードウェア/OS は汎用の PC またはサーバーであり、MFD は Kerberos プロトコルを用いて、Kerberos サーバーから識別認証情報の取得を行う。。 (1)、(2)の一般利用者クライアントとシステム管理者クライアントの OS は Windows XP、Windows Vista、Windows 7 とする。  - 5 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 12: Toe 記述 (Toe Description)

    TOE assets and establishing related の責任者または管理者。 security policies. カストマーエンジニア カストマーエンジニア専用のイン ターフェースを使用して、TOE の機器動作設定を行う者。 1.4.2. TOE の論理的範囲 (Logical Scope and Boundary) TOE の論理的範囲はプログラムの各機能である。 図 2 に TOE の論理的構成を記述する。  - 6 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 13: 図 2 Mfd 内の各ユニットと Toe の論理的範囲

    図 2 MFD 内の各ユニットと TOE の論理的範囲 Channel には以下の 4 つのタイプがある。 a) Private Medium Interface 複数の利用者が同時にアクセスすることのできない操作パネルやローカルインターフェース。 b) Shared Medium Interface 複数の利用者が同時にアクセスすることのできるネットワーク等のインターフェース。 c) Original Document Handler ハードコピーの User Document Data を TOE に転送するメカニズム  - 7 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 14: Table 3 Toe の基本機能

    者が MFD の操作パネルから原稿を読み取り後に自動的に一般利用者クライア ント、FTP サーバー、Mail サーバー、SMB サーバーへ転送する機能である。 操作パネル機能は一般利用者、システム管理者、カストマーエンジニアが MFD 操作パネル機能 の機能を利用するための操作に必要なユーザーインターフェース機能である。 CWIS 機能 CWIS 機能は、一般利用者が一般利用者クライアントの Web ブラウザを介して 操作する機能である。、 またシステム管理者は、システム管理者クライアントの Web ブラウザからシステム 管理者の ID とパスワードを入力して MFD に認証されると、システム管理者セキュ リティ管理機能により TOE 設定データ(TSF データ)にアクセスしてデータを更新す ることが出来る。  - 8 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 15 TOE は、許可された特定の利用者だけに MFD の機能を使用する権限を持たせるために、操作パネル、 および CWIS からユーザーID とユーザーパスワードを入力させて識別認証する機能を有する。 認証が成功した利用者のみが下記の機能を使用可能となる。 a) 本体操作パネルで制御される機能 コピー機能、スキャン機能、ネットワークスキャン機能、親展ボックス操作機能、プリンター機能(プリ ンタードライバでの認証管理の設定が条件であり印刷時に操作パネルで認証する) b) CWIS で制御される機能 機械状態の表示、ジョブ状態・履歴の表示、親展ボックスからの文書データ取出し機能、ファイル 指定によるプリント機能 セキュリティ機能としてのユーザー認証機能は、攻撃者が正規の利用者になりすまして内部ハードディスク 装置内の文書データを不正に読み出すことを防ぐ機能であり、上記の認証により制御される機能中の ・本体操作パネルから認証する場合の蓄積プリント機能(プライベートプリント機能)および親展ボックス操 作機能 ・CWIS から認証する場合の親展ボックスからの文書データ取出し機能(親展ボックス操作機能)、 CWIS からのファイル指定による蓄積プリント機能(プライベートプリント機能)がセキュリティ機能に該当す る。 プライベートプリント機能、親展ボックス機能、ジョブフロー機能の認証フローを図 3 に示す。  - 9 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 16 ドを入力し、認証されるとユーザーID に対応したプリント待ちのリストだけが表示される。利用者はこのリス トから印刷指示、または削除の指示が可能となる。  親展ボックス操作機能 図 3 には図示されていない IIT から親展ボックスにスキャンデータおよびコピーデータを格納することが可能 である。 スキャンデータまたはコピーデータを親展ボックスに格納するには、利用者が MFD の操作パネルからユーザ ーID とユーザーパスワードを入力させて、認証されるとコピー機能およびスキャン機能の利用が可能になり、 操作パネルからコピー蓄積またはスキャン指示をすることにより IIT が原稿を読み取り、内部ハードディスク 装置に蓄積する。 登録されたユーザーID ごとの個人親展ボックスは、利用者が操作パネルまたは CWIS からユーザーID と パスワードを入力すると MFD は内部に登録されたユーザーID とパスワードが一致するかをチェックし、一致 した場合のみ認証が成功しボックス内のデータを確認することが可能となり、取出しや削除、編集の操作  - 10 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 17 また本 TOE はシステム管理者クライアントから Web ブラウザを通じて CWIS 機能により、認証されたシステ ム管理者のみに、CWIS 機能により下記のセキュリティ機能の参照と設定を行う権限を許可する。 ・ 機械管理者 ID とパスワードの設定 ;機械管理者のみ可能 ・ SA、一般利用者 ID の参照と設定およびパスワード設定 ;本体認証時のみ ・ システム管理者認証失敗によるアクセス拒否機能の参照と設定 ・ ユーザーパスワード(一般利用者と SA)の文字数制限機能の参照と設定 ;本体認証時のみ ・ 監査ログ機能の参照と設定 ・ SSL/TLS 通信機能の参照と設定 ・ IPSec 通信機能の参照と設定  - 11 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 18 (8) インフォメーションフローセキュリティ機能 本 TOE は、外部インターフェースと内部ネットワーク間における許可されない通信を制限する機能を有す る。 (9) 自己テスト機能 本 TOE は、TSF 実行コードおよび TOE 設定データ(TSF データ)の完全性を検証するための自己テスト 機能を実行することが可能である。 1.4.2.3. セキュリティ機能を有効にするための設定 (Settings for the Secure Operation) 1.4.2.2 のセキュリティ機能を有効にするためにシステム管理者は TOE に以下の設定をすることが必要であ る。  ハードディスク蓄積データ上書き消去機能  - 12 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 19 [有効]に設定  On Demand Overwrite 機能 [有効]に設定  ユーザー認証機能 [本体認証]または[外部認証]に設定  蓄積プリント機能 「プライベートプリントに保存」に設定  オートクリア機能 [有効]に設定  監査ログ機能 [有効]に設定  SNMPv3 通信機能 [有効]に設定  カストマーエンジニア操作制限機能 [有効]に設定  自己テスト機能 [有効]に設定  - 13 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 20: Toe の物理的範囲 (Physical Scope And Boundary)

    IOT ボード Controller+PS ROM は TOE を 意味する 内部ハードディスク装置 図 4 MFD 内の各ユニットと TOE の物理的範囲 MFD はコントローラボード、IIT、IOT、ADF および操作パネルから構成される。 コントローラボードと操作パネルの間は、制御データの通信を行う内部インターフェースで接続されている。 ま コントローラボードと IIT ボードの間、およびコントローラボードと IOT ボードの間は、文書データおよび制御デ ータの通信を行うための、専用の内部インターフェースで接続されている。 コントローラボードは、MFD のコピー機能、プリンター機能、スキャナー機能の制御およびセキュリティ機能のた めの回路基板であり、ネットワークインターフェース(Ethernet)、ローカルインターフェース(USB)を持ち、IIT  - 14 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 21: ガイダンス (Guidance)

    HardCopy Output Handler 1.4.4. ガイダンス (Guidance) 本 TOE を構成するガイダンス文書は以下のとおりである。  Xerox D95/D110/D125 Copier/Printer User Guide  Xerox D95/D110/D125 Copier/Printer System Administration Guide  Xerox D95/D110/D125 Copier/Printer Security Function Supplementary Guide  - 15 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 22: 適合主張 (Conformance Claim)

    Title: 2600.1-SCN, SFR Package for Hardcopy Device Scan Functions, Operational Environment A Package Version: 1.0, dated June 2009 Title: 2600.1-CPY, SFR Package for Hardcopy Device Copy Functions, Operational Environment A Package Version: 1.0, dated June 2009  - 16 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 23: 適合根拠 (Conformance Rational)

    針とは独立しており影響を与えない。その他は内容を変更せずに引用されており、TOE のセキュリティ対策 方針は、PP のセキュリティ対策方針のステートメントより制限的である。  PP で規定している SFR と ST で使用している SFR の関係を Table 14 に示している。 ここで各々の SFR 記述の詳細化、SFR の追加内容を記述している。 Common Access Control SFP の文書データの登録操作の追加は、アクセスを許可された利用者に 制限しており、FDP_ACC.1/FDP_ACF.1 は PP より制限的である。  - 17 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 24 セキュリティ機能要件根拠は、説明を日本語で記述している。 追加された TOE 対策方針と SFR に関しては追加の説明をしている。その他は PP の要求している内容を 記述しており保証されていることを記述している。  PP で規定している SAR は内容を変更せずに PP の要求している内容を記述している。 故に本 ST は 2600.1, Protection Profile for Hardcopy Devices, Operational Environment A に論証適合している。  - 18 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 25: セキュリティ課題定義 (Security Problem Definition)

    User Function Data are the ジョブフロー スキャン文書の処理を行うために、 information about a user’s スキャナー設定情報や変換フォーマ document or job to be ット、データの配信方法/配信先な processed by the TOE. ど一連の処理の流れ(手順)を、あ らかじめ機器に設定したもの。 親展ボックス 内部ハードディスク装置に作成さ れ、スキャナー機能およびコピー機 能により読み込まれた文書データを 蓄積する論理的なボックス。  - 19 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 26: Table 5 Tsf データに関する保護資産

    Functions perform MFD の機能 許可された特定の利用者だけが processing, storage, and TOE のコピー機能、プリンター機 transmission of data that 能、スキャナー機能等を使用するこ may be present in HCD とが可能。 products. These functions are used by SFR packages.  - 20 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 27: 脅威エージェント (Threats Agents)

    Persons who are not permitted to use the TOE who may attempt to use the TOE. b) Persons who are authorized to use the TOE who may attempt to use TOE  - 21 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 28: 脅威 (Threats)

    Users will be authorized to use the TOE only as permitted by the TOE Owner P.SOFTWARE.VERIFICATION To detect unintentional malfunction of the TSF, procedures will exist to self-verify executable code in the  - 22 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 29: 前提条件 (Assumptions)

    TOE in accordance with those policies and procedures. A.ADMIN.TRUST Administrators do not use their privileged access rights for malicious purposes.  - 23 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 30: セキュリティ対策方針 (Security Objectives)

    O.AUDIT_ACCESS.AUTH The TOE shall ensure that audit records can be ORIZED accessed in order to detect potential security violations, and only by authorized persons.  - 24 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 31: 運用環境のセキュリティ対策方針 (Security Objectives For The Environment)

    The TOE Owner shall ensure that audit logs are reviewed at appropriate intervals for security violations or unusual patterns of activity. OE.INTERFACE.MANAGED The IT environment shall provide protection from unmanaged access to TOE interfaces.  - 25 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 32: セキュリティ対策方針根拠 (Security Objectives Rationale)

                        A.USER.TRAINING                      - 26 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 33: Table 13 セキュリティ課題定義に対応するセキュリティ対策方針根拠

    O.USER.AUTHORIZED establishes user persons. identification and authentication as the T.PROT.ALT basis for authorization. OE.USER.AUTHORIZED establishes responsibility of the TOE Owner to appropriately grant authorization. T.CONF.DIS TSF Confidential O.CONF.NO_DIS protects D.CONF from  - 27 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 34 TOE. O.AUDIT_ACCESS.AUTHORIZED enables the analysis of audit logs only by authorized users to detect potential security violations for the TOE.  - 28 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 35 Administrators. purposes. Administrators are aware of and OE.USER.TRAINED establishes A.USER.TRAINING trained to follow responsibility of the TOE Owner to provide security policies and appropriate User training. procedures.  - 29 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 36: 拡張コンポーネント定義 (Extended Components Definition)

    Definition of the role(s) that are allowed to perform the management activities. b) Management of the conditions under which direct forwarding can be allowed by an administrative role. c) Revocation of such an allowance.  - 30 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 37 The TSF shall provide the capability to restrict data receivedon [assignment: list of external interfaces] from being forwarded without further processing by the TSF to [assignment: list of external interfaces].  - 31 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 38: セキュリティ要件 (Security Requirements)

    Shared Job Flow sheet すべての利用者が共有して使用できるジョブフロー。 Used document data MFD の内部ハードディスク装置に蓄積された後、利用が終了しファ stored in the internal イルは削除されるが、内部ハードディスク装置内にはデータ部は残 存している状態の文書データ。 一般利用者(U.NORMAL)、SA が MFD のコピー機能、プリンタ Document data ー機能、スキャナー機能を利用する際に、MFD 内部を通過する全 ての画像情報を含むデータを、総称して文書データと表記する。 Security Audit Log いつ、誰が、どのような作業を行ったかという事象や重要なイベント (例えば障害や構成変更、ユーザー操作など)を、追跡記録された データ。  - 32 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 39 General User identifier、SA identifier、Key Operator identifier の総称である General User identifier 一般利用者(U.NORMAL)を識別認証するためのユーザーID SA を識別認証識別するためのユーザーID SA identifier Key Operator identifier 機械管理者を識別認証するためのユーザーID User identifier for each コピー機能、プリンター機能、スキャナー機能に対応したアクセス可 function 能なユーザー情報、使用制限の情報 Owner identifier of 親展ボックス、プライベートプリント内の文書データに対応したアクセ D.DOC ス可能なユーザー情報  - 33 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 40 TOE 設定データ(TSF データ)であり、SA 認証のためのパスワード Data on SA Password 情報 Data on General user ID TOE 設定データ(TSF データ)であり、一般利用者 (U.NORMAL)識別のための ID 情報。 TOE 設定データ(TSF データ)であり、一般利用者 Data on General user (U.NORMAL)認証のためのパスワード情報 Password  - 34 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 41: セキュリティ機能要件 (Security Functional Requirements)

    Data on Auto Clear 能の有効/無効およびクリア時間の情報、および CWIS のオート クリア機能の有効/無効の情報。 TOE 設定データ(TSF データ)であり、自己テスト機能の有効/無 Data on Self Test 効の情報。 TOE 設定データ(TSF データ)であり、レポート出力機能の設定 Data on Report Print 情報。 6.1. セキュリティ機能要件 (Security Functional Requirements) 本 TOE が提供するセキュリティ機能要件を以下に記述する。  - 35 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 42: Table 14 機能要件一覧

    この SFR の追加により D.FUNC の作 FDP_ACC.1 (g) Subset access control 成、登録の Access Control SFP を TOE にあわせて記述している。 Attributes、Operations、Access FDP_ACF.1(a) Security attribute based Control rule は PP の記述を引用し、 access control さらに TOE にあわせて Delete、Modify  - 36 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 43 TOE にあわせて割付している。 FIA_USB.1 User-subject binding この SFR の追加によりセキュリティ機能の FMT_MOF.1 Management of security functions behaviour 設定を、システム管理者だけに限定す る。 セキュリティ属性の管理役割を TOE にあ FMT_MSA.1(a) Management of security FMT_MSA.1(b) attributes わせて割付している。  - 37 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 44: Class Fau: Security Audit

    Audit data generation Hierarchical to: No other components. Dependencies: FPT_STM.1 Reliable time stamps FAU_GEN.1.1 The TSF shall be able to generate an audit record of the following auditable events:  - 38 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 45: Table 15 Auditable Events Of Toe And Individually Defined Auditable Events

    FCS_CKM.1 None a) Minimal: Success and - - failure of the activity. b) Basic: The object attribute(s), and object value(s) excluding any sensitive information (e.g. secret or private keys).  - 39 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 46 Mailbox. FDP_ACF.1(f) User name, job information, and success/failure regarding access to Mailbox. User name, job information, and success/failure regarding execution of Store Print.  - 40 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 47 Unsuccessful use of the authentication mechanism; b) Basic: All use of the authentication mechanism. c) Detailed: All TSF mediated actions performed before authentication of the user.  - 41 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 48 > FMT_MSA.1(c) administrator, values of security FMT_MSA.1(d) changes in attributes. FMT_MSA.1(e) registration data FMT_MSA.1(f) (ID, password, FMT_MSA.1(g) access right) of system administrator, and deletion of system administrator  - 42 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 49 Test and the test TSF self tests and the result results of the tests. Minimal FTA_SSL.3 Log-in timeout None a) Minimal: Termination < > from remote. required of an interactive session  - 43 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 50 FAU_GEN.2 User identity association Hierarchical to: No other components. Dependencies: FAU_GEN.1 Audit data generation FIA_UID.1 Timing of identification FAU_GEN.2.1 For audit events resulting from actions of identified users, the  - 44 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 51 The TSF shall be able to [selection, choose one of: prevent, detect] unauthorized modifications to the stored audit records in the audit trail. [selection, choose one of: prevent, detect] - prevent FAU_STG.4 Prevention of audit data loss  - 45 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 52: Class Fcs: Cryptographic Support

    [assignment: cryptographic key sizes] that meet the following: [assignment: list of standards]. [assignment: list of standards] - none [assignment: cryptographic key generation algorithm] - the Fuji Xerox’s standard method, FXOSENC [assignment: cryptographic key sizes] - 256bits FCS_COP.1 Cryptographic operation ...

  • Page 53: Class Fdp: User Data Protection

    - Delete the document except for data in Mailbox and his/her own Private Print documents - R1 - R2 - Register the document U.USER - R3 data to the Mailbox  - 47 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 54: Table 17 Sfr Package Attributes

    - User identifier - Owner identifier of D.DOC - Owner identifier of D.FUNC +SMI Indicates data that is transmitted or received over a shared-medium interface. - none  - 48 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 55: Table 18 Function Access Control Sfp

    Access control rule Copy - User identifier - Copy operation from U.USER When the user (F.CPY, F.SCN, - User identifier for control panel identifier for F.DSR) each function the function  - 49 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 56 [assignment: list of subjects, objects, and operations among subjects and objects covered by the SFP] - the list of subjects, objects, and operations among subjects and objects covered by the PRT Access Control SFP in Table19.  - 50 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 57: Table 20 Scn Access Control Sfp

    D.FUNC matches the user identifier of D.DOC, execution of Job Flow sheet is permitted. FDP_ACC.1 (e) Subset access control Hierarchical to: No other components. Dependencies: FDP_ACF.1 Security attribute based access control  - 51 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 58: Table 21 Cpy Access Control Sfp

    [assignment: list of subjects, objects, and operations among subjects and objects covered by the SFP]. - the list of subjects, objects, and operations among subjects and objects covered by the DSR Access Control SFP in Table  - 52 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 59: Table 22 Dsr Access Control Sfp

    [assignment: list of subjects, objects, and operations among subjects and objects covered by the SFP]. - the list of subjects, objects, and operations among subjects and objects in Table 23  - 53 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 60: Table 23 D.func Operation List

    [assignment: rules governing access among controlled subjects and controlled objects using controlled operations on controlled objects]. - rules specified in the Common Access Control SFP in  - 54 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 61 [assignment: access control SFP] - TOE Function Access Control SFP in Table 18 [assignment: list of subjects and objects controlled under the indicated SFP, and for each, the SFP-relevant security  - 55 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 62 The TSF shall explicitly deny access of subjects to objects based on the following additional rules: [assignment: rules, based on security attributes, that explicitly deny access of subjects to objects].  - 56 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 63 19 governing access among Users and controlled objects using controlled operations on controlled objects. FDP_ACF.1.3(c) The TSF shall explicitly authorize access of subjects to objects based on the following additional rules: [assignment: rules,  - 57 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 64 The TSF shall enforce the following rules to determine if an operation among controlled subjects and controlled objects is allowed: [assignment: rules governing access among controlled subjects and controlled objects using controlled operations on controlled objects].  - 58 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 65 [assignment: access control SFP] - CPY Access Control SFP in Table 21 [assignment: list of subjects and objects controlled under the indicated SFP, and for each, the SFP-relevant security  - 59 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 66 - none FDP_ACF.1 (f) Security attribute based access control Hierarchical to: No other components. Dependencies: FDP_ACC.1 Subset access control FMT_MSA.3 Static attribute initialization  - 60 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 67 FDP_ACF.1.4 (f) The TSF shall explicitly deny access of subjects to objects based on the following additional rules: [assignment: rules, based on security attributes, that explicitly deny access of  - 61 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 68 The TSF shall explicitly authorize access of subjects to objects based on the following additional rules: [assignment: rules, based on security attributes, that explicitly authorize access of subjects to objects].  - 62 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 69: Class Fia: Identification And Authentication

    [assignment: range of acceptable values]] unsuccessful authentication attempts occur related to [assignment: list of authentication events]. [assignment: list of authentication events]  - 63 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 70 - [assignment: positive integer number] FIA_AFL.1.2 (b) When the defined number of unsuccessful authentication attempts has been [selection: met, surpassed], the TSF shall [assignment: list of actions]. [selection: met, surpassed] - met  - 64 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 71 No other components Dependencies: FIA_UAU.1 Timing of authentication FIA_AFL.1.1 (d) The TSF shall detect when [selection: [assignment: positive integer number], an administrator configurable positive integer within [assignment: range of acceptable values]]  - 65 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 72 Verification of secrets Hierarchical to: No other components. Dependencies: No dependencies. FIA_SOS.1.1 The TSF shall provide a mechanism to verify that secrets (SA password and U.NORMAL password when local authentication  - 66 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 73 The TSF shall require each user to be successfully identified before allowing any other TSF-mediated actions on behalf of that user. FIA_USB.1 User-subject binding Hierarchical to: No other components. Dependencies: FIA_ATD.1 User attribute definition  - 67 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 74: Class Fmt: Security Management

    [selection: determine the behavior of, disable, enable, modify the behavior of] - disable, enable, modify the behavior of [assignment: list of functions] -List of security functions in Table 24  - 68 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 75: Table 24 List Of Security Functions

    SFP(s)] to restrict the ability to [selection: change default, query, modify, delete, [assignment: other operations]] the security attributes [assignment: list of security attributes] to [assignment: the authorized identified roles].  - 69 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 76: Table 25 Security Attributes And Authorized Roles

    Owner identifier of D.FUNC query, delete, U.NORMAL, SA (Personal Job Flow sheet, creation Personal Mailbox) Owner identifier of D.FUNC query, delete Key Operator (Personal Job Flow sheet, Personal Mailbox)  - 70 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 77: Table 26 Security Attributes And Authorized Roles(Function Access)

    Key operator identifier modify Key Operator SA identifier query, modify U.ADMINISTRATOR delete, creation General user identifier query, modify U.ADMINISTRATOR delete, creation User identifier for each query, modify U.ADMINISTRATOR function  - 71 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 78: Table 27 Security Attributes And Authorized Roles(Prt)

    Owner identifier of D.DOC (own query, delete, U.USER document data in Private Print) creation Owner identifier of D.DOC (all query, delete U.ADMINISTRATOR document data in Private Print)  - 72 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 79: Table 28 Security Attributes And Authorized Roles(Scn)

    U.ADMINISTRATOR delete,creation Owner identifier of D.DOC (own query, delete, U.USER document data in Mailbox) creation Owner identifier of D.DOC (all query, delete Key Operator document data in Mailbox)  - 73 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 80 [assignment: the authorized identified roles]. - none FMT_MSA.1 (f) Management of security attributes Hierarchical to: No other components. Dependencies: [FDP_ACC.1 Subset access control, or FDP_IFC.1 Subset information flow control] FMT_SMR.1 Security roles  - 74 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 81: Table 29 Security Attributes And Authorized Roles(Dsr)

    Owner identifier of D.FUNC query, delete, U.NORMAL, SA (Personal Job Flow sheet, creation Personal Mailbox) Owner identifier of D.FUNC query, delete Key Operator (Personal Job Flow sheet, Personal Mailbox)  - 75 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 82: Table 30 Security Attributes And Authorized Roles(D.func)

    Table 30 Security Attributes and Authorized Roles(D.FUNC) Security Attributes query, modify, Roles delete, creation Key operator identifier modify Key Operator SA identifier query, modify U.ADMINISTRATOR delete, creation General user identifier query, modify U.ADMINISTRATOR delete, creation  - 76 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 83: Table 31 Initialization Property

    [assignment: the authorized identified roles] - none FMT_MSA.3 (b) Static attribute initialization  - 77 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 84 [assignment: access control SFP, information flow control SFP] - PRT Access Control SFP in Table 19 [selection, choose one of: restrictive, permissive, [assignment: other property]] - [assignment: other property] - Initialization property in Table 32  - 78 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 85: Table 32 Initialization Property

    [assignment: the authorized identified roles] - none FMT_MSA.3 (e) Static attribute initialization Hierarchical to: No other components. Dependencies: FMT_MSA.1 Management of security attributes FMT_SMR.1 Security roles  - 79 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 86 FMT_MSA.3.2 (f) The TSF shall allow the [assignment: the authorized identified roles] to specify alternative initial values to override the default values when an object or information is created.  - 80 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 87: Table 33 Initialization Property

    The TSF shall restrict the ability to [selection: change default, query, modify, delete, clear, [assignment: other operations]] the [assignment: list of TSF data] to [assignment: the authorized identified roles].  - 81 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 88: Table 34 Operation Of Tsf Data

    U.ADMINISTRATOR Protection Data on Customer Engineer query, modify U.ADMINISTRATOR Operation Restriction Data on Hard Disk Data query, modify U.ADMINISTRATOR Encryption Data on Hard Disk Data query, modify U.ADMINISTRATOR Overwrite  - 82 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 89: Table 35 Operation Of Tsf Data

    Data on General user ID query, modify, delete, U.ADMINISTRATOR creation Data on General user modify U.ADMINISTRATOR , Password U.NORMAL FMT_SMF.1 Specification of Management Functions Hierarchical to: No other components.  - 83 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 90: Table 36 Security Management Functions Provided By Tsf

    FCS_COP.1 Management of data on Hard Disk There are no management Data Encryption activities foreseen. FDP_ACC.1(a) There are no management FDP_ACC.1(b) activities foreseen. FDP_ACC.1(c) FDP_ACC.1(d) FDP_ACC.1(e) FDP_ACC.1(f) FDP_ACC.1(g)  - 84 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 91 Management of actions to be taken in the event of an FIA_AFL.1(d) Reason: The function is fixed and is authentication failure. not managed. FIA_ATD.1 none a) If so indicated in the  - 85 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 92 FMT_MSA.1(f) specified values. FMT_MSA.1(g) FMT_MSA.3(a) none a) managing the group of roles FMT_MSA.3(b) Reason: The role group is only a that can specify initial values;  - 86 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 93 Configuring the actions that Network Data Protection. require trusted channel, if supported. FPT_FDI_EXP.1 none a) Definition of the role(s) that Reason: The role and transfer are allowed to perform the  - 87 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 94: Class Fpt: Protection Of The Tsf

    [assignment: list of external interfaces] - any external interfaces [assignment: list of external interfaces] - any Shared-medium interfaces FPT_STM.1 Reliable time stamps Hierarchical to: No other components. Dependencies: No dependencies.  - 88 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 95 The TSF shall provide authorised users with the capability to verify the integrity of [selection: [assignment: parts of TSF], TSF]. [selection: [assignment: parts of TSF] - [assignment: parts of TSF] - TSF executable code in program ROM  - 89 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 96: Class Fta: Toe Access

    [assignment: list of functions for which a trusted channel is required]. [assignment: list of functions for which a trusted channel is required]. - communication of D.DOC, D.FUNC, and D.CONF over any Shared-medium Interface  - 90 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 97: セキュリティ保証要件 (Security Assurance Requirements)

    Security problem definition ASE_TSS.1 TOE summary specification ATE_COV.2 Analysis of coverage ATE_DPT.1 Testing: basic design ATE: Tests ATE_FUN.1 Functional testing ATE_IND.2 Independent testing - sample AVA: Vulnerability AVA_VAN.2 Vulnerability analysis assessment  - 91 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 98: セキュリティ要件根拠 (Security Requirement Rationale)

    FDP_ACF.1 (d)              FDP_ACF.1 (e)               - 92 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 99 FMT_MSA.3 (f)              FMT_MSA.3 (g)               - 93 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 100: Table 39 セキュリティ対策方針によるセキュリティ機能要件根拠

    O.AUDIT.LOGGED は TOE の使用・セキュリティに係わるイベントのログを作成・ 維持し、権限のない不正な漏洩・改ざんを防ぐ対策方針である。 本セキュリティ対策方針を実現するためには、 FAU_GEN.1 により監査対象イベントに対してセキュリティ監査ログデータが生成さ れる。 ただし下記の機能要件は示す理由により監査は不要である。 FAU_STG.4:監査ログデータの総件数は固定であり格納、更新は自動的に処理 O.AUDIT.LOGGED される。 (監査イベントの記録と FCS_CKM.1:暗号鍵生成の失敗は起動時にエラーとなる 認可されたアクセス) FCS_COP.1:暗号化の失敗はジョブステータスとして取得される FMT_MSA.3:デフォルト値、ルールの変更は無い FAU_GEN.2、FIA_UID.2 により各監査対象事象を、その原因となった利用者の 識別情報に関連付ける。 FPT_STM.1 により TOE の持つ高信頼なクロックを用いて、監査対象イベントと共 にタイムスタンプが監査ログに記録される。 以上のセキュリティ機能要件により対策方針を満たすことができる。 O.SOFTWARE.VERIFIED は TOE 自身の実行コードの自己検証の手順を提 O.SOFTWARE.VER  - 94 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 101 O.USER.AUTHORIZED は TOE の使用を許可する前に、使用者がセキュリティ ポリシーに従って権限を付与されており、その認証と識別を求める対策方針である。 本セキュリティ対策方針を実現するためには、 FDP_ACC.1(b)、FDP_ACF.1(b)によりユーザー識別認証を実施することで、許 可された利用者のみに基本機能の操作を許可する。 O.USER.AUTHORI FIA_AFL.1(a)により機械管理者認証の認証失敗時に、FIA_AFL.1(b)により SA の認証失敗時(本体認証時)に認証失敗によるアクセス拒否回数分の認証に (一般利用者と管理者 失敗した場合、電源 OFF/ON が必要になり、連続した攻撃を防ぐ。 の TOE 使用の認可) FIA_AFL.1 (c)により一般利用者認証時の認証失敗時に、FIA_AFL.1 (d)に より SA 認証時の認証失敗時(外部認証時)に、“パスワードが正しくない”旨のメッ セージを表示して、パスワードの再入力を要求する。 FIA_ATD.1、FIA_USB.1 により機械管理者役割、SA 役割、一般利用者役割 を維持することにより、許可された利用者のみにサブジェクトを割り当てる。  - 95 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 102 FTP_ITC.1 により TOE と IT プロダクト間の内部ネットワーク上を流れる User Document Data を脅威から保護するために、通信データ暗号化プロトコルに対応 する。 以上のセキュリティ機能要件により対策方針を満たすことができる。 O.DOC.NO_ALT は、TOE を権限のない不正な改ざんから User Document Data を守る対策方針である。 O.DOC.NO_ALT, 本セキュリティ対策方針を実現するためには、 (利用者文書データの FDP_ACC.1(a)、FDP_ACF.1(a), FIA_UID.2 によりユーザー識別を実施する 不正改ざん保護) ことで、許可された利用者のみに、User Document Data の操作を許可する。 FMT_MSA.1(a)によりセキュリティ属性の問い合わせ、改変、削除、作成を管理  - 96 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 103 本セキュリティ対策方針を実現するためには、 FIA_UID.2 によりユーザー識別を実施することで、許可されたシステム管理者だけ に、TSF Data の操作を許可する。 FMT_MOF.1 によりセキュリティ機能の動作や停止、および機能の設定は、システム O.PROT.NO_ALT, 管理者だけに限定しているので、システム管理者だけに制限される。 (TSF データの不正改 FMT_MTD.1(a)によりセキュリティ機能の機能設定は、システム管理者だけに限 定しているので、TOE 設定データ(TSF DATA)の改変は、システム管理者だけに制 ざん保護) 限される。 FMT_MTD.1(b)により一般利用者 ID の設定は、システム管理者と所有者に限 定している。 FMT_SMF.1 により TOE セキュリティ機能の管理機能の設定を、システム管理者へ 提供する。 FMT_SMR.1 により機械管理者、SA、システム管理者、一般利用者の役割は維  - 97 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 104 監査ログデータおよび D.CONF を脅威から保護するために、通信データ暗号化プロ トコルに対応する。 以上のセキュリティ機能要件により対策方針を満たすことができる。 O.AUDIT_STORAGE.PROTECTED は監査記録を権限のないアクセス・削除・ 変更から守る対策方針である。 本セキュリティ対策方針を実現するためには、 FAU_STG.1 により監査ログファイルに格納されているセキュリティ監査ログデータを、 O.AUDIT_STORAG 不正な削除や改変から保護する。 E.PROTECTED FAU_STG.4 により監査ログが満杯になった時に、最も古いタイムスタンプで格納さ れた監査ログを上書き削除して、新しい監査イベントを、監査ログファイルへ格納す る。 以上のセキュリティ機能要件により対策方針を満たすことができる。 O.AUDIT_ACCESS.AUTHORIZED は監査記録が権限のある者によっての み、潜在的なセキュリティ違反を検知する為に分析されるようにする対策方針であ O.AUDIT_ACCESS る。 .AUTHORIZED 本セキュリティ対策方針を実現するためには、 FAU_SAR.1 により許可されているシステム管理者は、監査ログファイルからのセキュ リティ監査ログデータの読み出し機能を提供する。  - 98 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 105: 依存性の検証 (Dependencies Of Security Functional Requirements)

    のため、FIA_UAU.1 への依存性は満たされる。 FAU_SAR.1 FAU_GEN.1 ― Audit review FAU_SAR.2 Restricted audit FAU_SAR.1 ― review FAU_STG.1 Protected audit trail FAU_GEN.1 ― storage FAU_STG.4 Prevention of audit FAU_STG.1 ― data loss  - 99 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 106 FDP_ACF.1 (c) FDP_ACC.1(c) Security attribute ― FMT_MSA.3(c) based access control FDP_ACF.1 (d) FDP_ACC.1(d) Security attribute ― FMT_MSA.3(d) based access control FDP_ACF.1 (e) FDP_ACC.1e) ― Security attribute FMT_MSA.3(e)  - 100 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 107 FIA_USB.1 FIA_ATD.1 ― User-subject binding FMT_MOF.1 Management of FMT_SMF.1 ― security functions FMT_SMR.1 behavior FMT_MSA.1(a) FDP_ACC.1(a) Management of FMT_SMF.1 ― security attributes FMT_SMR.1 FMT_MSA.1(b) FDP_ACC.1(b) ― Management of FMT_SMF.1  - 101 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 108 FMT_MSA.3(e) FMT_MSA.1(e) Static attribute ― FMT_SMR.1 initialization FMT_MSA.3(f) FMT_MSA.1(f) Static attribute ― FMT_SMR.1 initialization FMT_MSA.3(g) FMT_MSA.1(g) Static attribute ― FMT_SMR.1 initialization FMT_MTD.1 FMT_SMF.1 ― Management of TSF FMT_SMR.1  - 102 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 109: セキュリティ保証要件根拠 (Security Assurance Requirements Rationale)

    EAL 3 is augmented with ALC_FLR.2, Flaw reporting procedures. ALC_FLR.2 ensures that instructions and procedures for the reporting and remediation of identified security flaws are in place, and their inclusion is expected by the consumers of this TOE.  - 103 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 110: Toe 要約仕様 (Toe Summary Specification)

             FIA_AFL.1(a)          FIA_AFL.1(b)           - 104 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 111       FPT_STM.1          FPT_TST.1          以下では各 TOE セキュリティ機能に関して概要と対応するセキュリティ機能要件について説明する。  - 105 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 112: ハードディスク蓄積データ上書き消去機能(Tsf_Iow)

    (2) FCS_COP.1 Cryptographic operation (暗号操作) TOE は内部ハードディスク装置に文書データを蓄積する際に、起動時に暗号鍵生成(FCS_CKM.1)に より生成した 256 ビット長の暗号鍵と FIPS PUB 197 に基づく AES アルゴリズムとにより文書データの 暗号化を行う。 また蓄積した文書データを読み出す場合も同様に、起動時に生成した 256 ビット長の 暗号鍵と AES アルゴリズムにより復号化を行う。 7.1.3. ユーザー認証機能(TSF_USER_AUTH) ユーザー認証機能は、許可された特定の利用者だけに MFD の機能を使用する権限を持たせるために、操 作パネル、利用者クライアントの CWIS からユーザーID とユーザーパスワードを入力させて識別認証する機  - 106 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 113 ザでも MFD 本体の電源の切断/投入まで認証操作は受け付けなくなる。 (2) FIA_AFL.1(b) Authentication failure handling (認証失敗時の取り扱い) TOE はシステム管理者モードへアクセスする前に、システム管理者の認証を行うが、認証時の認証失敗 対応機能を提供している。 本体認証時に SA の ID 認証失敗を検出しアクセス拒否回数で設定されている 5 回の連続失敗に達す ると、操作パネルでは電源切断/投入以外の操作は受け付けなくなり、Web ブラウザでも MFD 本体の電 源の切断/投入まで認証操作は受け付けなくなる。 (3) FIA_AFL.1(c) Authentication failure handling (認証失敗時の取り扱い)  - 107 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 114 (8) FIA_UAU.7 Protected authentication feedback(保護されたフィードバック) TOE はユーザー認証時に、パスワードを隠すために、パスワードとして入力された文字数と同数の`*`文 字を、操作パネルや Web ブラウザに表示する機能を提供する。 (9) FIA_USB.1 User-subject binding(利用者・サブジェクト結合) TOE は認証された ID から機械管理者、SA および一般利用者の役割をサブジェクトに割り当てる。 (10) FMT_MSA.1(a)、FMT_MSA.1(b)、FMT_MSA.1(c)、FMT_MSA.1(d)、 FMT_MSA.1(e)、FMT_MSA.1(f)、FMT_MSA.1(g) Management of security attributes(セキュリティ属性の管理) TOE は Table 42 の通り、セキュリティ属性の操作をユーザー認証機能により識別認証された利用者に 制限する。  - 108 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 115: Table 42 セキュリティ属性の管理

    応する所有者識別情報 (11) FMT_MTD.1(a)、FMT_MTD.1(b) Management of TSF data (TSF データの管理) FMT_SMF.1 Specification of Management Functions (管理機能の特定) TOE は認証された正当な利用者のみに、パスワードを設定するユーザーインターフェースを提供する。 機械管理者のパスワード設定は機械管理者に、SA のパスワード設定は機械管理者と SA に、一般利用 者のパスワード設定は、システム管理者と一般利用者本人に制限される。 (12) FMT_SMR.1 Security roles(セキュリティ役割) TOE は機械管理者、SA、システム管理者および一般利用者の役割を維持し、その役割を正当な利用 者に関連付けている。  - 109 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 116: Table 43 基本機能へのアクセス制御

    文書データ)および操作パネルからの利用者クライアント、FTP サ ーバー、Mail サーバー、SMB サーバーへのスキャンデータ送信が 許可される。 プリンター機能、親 機能に対応する利用者識別情報と利用者識別情報が一致し 展ボックス操作 た場合、利用者クライアントからのプリントデータをプライベートプリ ントへ保存、プリントデータ内の文書データの印刷、親展ボックス 内文書データの取り出し/編集(*1)が許可される。 TOE は Table 44 に示すとおり、利用者データへの操作を識別認証された利用者に制限する。 Table 44 利用者データへのアクセス制御 利用者データ 許可される操作と規則 利用者 D.DOC に対応する所有者識別情報と利用者識別情報が一 ジョブ実行中の文 機械管理者 書データ 致した場合、コピー、スキャン、プリントのジョブ実行中の文書デー タの削除の操作が許可される。  - 110 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 117 D.DOC(親展ボックス内の所有文書データ)に対応する所有者 識別情報と利用者識別情報が一致した場合、親展ボックス内 の所有文書データの登録、取り出し/編集(*1)、削除が許可さ れる。 識別認証されたシステム管理者は、On Demand Overwrite 機械管理者 機能により D.DOC(親展ボックス内のすべての文書データ)の削 除が許可される。 D.DOC(プライベートプリント内のすべての文書データ)に対応す プライベートプリン 機械管理者 ト内の文書データ る所有者識別情報と利用者識別情報が一致した場合、プライ ベートプリント内のすべての文書データの印刷、削除が許可され る。 D.DOC(プライベートプリント内の所有文書データ)に対応する所 一般利用者 有者識別情報と利用者識別情報が一致した場合、プライベート プリント内の所有文書データの印刷、削除が許可される。 識別認証されたシステム管理者は、On Demand Overwrite 機械管理者 機能により D.DOC(プライベートプリント内のすべての文書データ) の削除が許可される。  - 111 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 118 実行が許可される。 D.DOC(親展ボックス内の所有スキャン文書データ)に対応する 所有者識別情報と利用者識別情報が一致した場合、ジョブフロ ーのマニュアル実行により親展ボックス内の所有スキャン文書デー タの取り出し、送信が許可される。 TOE は Table 44 に示すとおり、ユーザー認証機能により親展ボックス、プライベートプリント、ジョブフローの 操作を認証された利用者に制限する。  蓄積プリント機能(プライベートプリント機能) MFD で「プライベートプリントに保存」の設定を行うと、利用者が利用者クライアントのプリンタードライバで 認証管理を設定した状態でプリント指示をする場合、印刷データをビットマップデータに変換(デコンポー ズ)してプライベートプリントとしてユーザーID ごとに分類して内部ハードディスク装置に一時蓄積する。また CWIS からユーザーID とパスワードを入力し、認証後に利用者クライアント内のファイル指定によりプリント 指示をする場合も同様にユーザーID ごとのプライベートプリントとして内部ハードディスク装置に一時蓄積 される。 利用者は一時蓄積されたプリントデータを確認するために、MFD の操作パネルからユーザーID とパスワー ドを入力し、認証されるとユーザーID に対応したプリント待ちのリストだけが表示される。利用者はこのリス  - 112 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 119: システム管理者セキュリティ管理機能 (Tsf_Fmt)

    (1) FMT_MOF.1 Management of security functions behaviour(セキュリティ機能のふるま いの管理) FMT_MTD.1(a)、FMT_MTD.1(b) Management of TSF data (TSF データの管理) FMT_SMF.1 Specification of Management Functions (管理機能の特定) TOE は識別認証されたシステム管理者のみに、下記の TOE セキュリティ機能に関係する TOE 設定デー タ(TSF データ)の参照と設定変更、および各機能の有効/無効を設定するユーザーインターフェースを提  - 113 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 120 ・ SA、一般利用者の ID 設定を参照し、ID とパスワードの設定を行う ・ システム管理者認証失敗によるアクセス拒否設定を参照し、有効/無効、拒否回数の設定を行う ・ ユーザーパスワード(一般利用者と SA)の最小文字数制限を参照し設定を行う ;本体認証時のみ ・ セキュリティ監査ログ機能の設定を参照し有効/無効の設定を行う (有効時は、監査ログをタブ区切りのテキストファイルで、システム管理者クライアント PC 上にダウンロードす ることが可能。) ・ 内部ネットワークデータ保護機能の SSL/TLS 通信の設定を参照し、有効/無効および詳細情報の設定 を行う ・ 内部ネットワークデータ保護機能の IPSec 通信の設定を参照し、有効/無効および詳細情報の設定を 行う ・ 内部ネットワークデータ保護機能の SNMP 通信の設定を参照し、有効/無効および詳細情報の設定を  - 114 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 121: カストマーエンジニア操作制限機能 (Tsf_Ce_Limit)

    FMT_MTD.1(a) Management of TSF data (TSF データの管理) FMT_SMF.1 Specification of Management Functions (管理機能の特定) TOE は認証されたシステム管理者のみに、操作パネルと CWIS からカストマーエンジニア操作制限機能に 関する TOE 設定データ(TSF データ)の参照と設定変更(機能の有効/無効)のためのユーザーインターフ ェースを提供する。 またこの機能により要求されるセキュリティ管理機能を提供する。 (2) FMT_SMR.1 Security roles (セキュリティ役割) TOE はシステム管理者の役割を維持し、その役割をシステム管理者に関連付けている。 7.1.6. セキュリティ監査ログ機能(TSF_FAU) セキュリティ監査ログ機能は、システム管理者によりシステム管理者モードで設定された「監査ログ設定」に従  - 115 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 122: Table 45 監査ログのデータ詳細

    Overwriting started Scheduled Image Successful/Failed Overwriting finished Self Test Successful/Failed ユーザー認証 Login Successful, Failed(Invalid UserID), Failed(Invalid Logout Password), Failed Login/Logout Locked System Administrator Authentication (失敗回数も保存) Detected continuous Authentication Fail 監査ポリシー変更  - 116 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 123 TOE は定義された監査対象イベントを監査ログファイルへ記録する時に、その原因となった利用者の識別 情報に関連付けて記録している。 (3) FAU_SAR.1 Audit review (監査レビュー) 監査ログに記録されたすべての情報を、読み出せることを保証する。 また”テキストファイルとして保存する”という名称のボタンがあり、この機能によりセキュリティ監査ログデータを、 タブ区切りのテキストファイルとして、ダウンロードすることが出来る。 セキュリティ監査ログデータをダウンロー ドする時は、Web ブラウザを利用する前に、SSL/TLS 通信を有効に設定されていなければならない。 (4) FAU_SAR.2 Restricted audit review(限定監査レビュー) 監査ログの読み出しを、認証されたシステム管理者のみに限定する。 監査ログへのアクセスは、システム管理者が Web ブラウザのみ使用可能で、操作パネルからアクセスするこ とは出来ない。 システム管理者が Web ブラウザを通して TOE へログインしていなければ、システム管理者  - 117 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 124: 内部ネットワークデータ保護機能(Tsf_Net_Prot)

    E-mail の通信、ネットワークスキャンの通信、MIB の通信を保護する機能である。 a) SSL/TLS プロトコル システム管理者によりシステム管理者モードで設定された「SSL/TLS 通信」に従い、内部ネットワーク上を 流れる文書データ、セキュリティ監査ログデータや TOE 設定データ(TSF データ)を保護する一つとして、セ キュアなデータ通信が保証される、SSL/TLS プロトコルに対応している。 TOE が対応する機能により、SSL/TLS サーバーまたは SSL/TLS クライアントとして動作することが出来 る。 また SSL/TLS プロトコルに対応することにより、本 TOE とリモート間のデータ通信は、盗聴や改ざん の両方から保護することが出来る。 盗聴からの保護は、下記の機能により通信データを暗号化することに よって実現する。 なお暗号鍵はセションの開始時に生成され、MFD 本体の電源を切断するか、またはセ ションの終了と同時に消滅する。  - 118 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 125 システム管理者によりシステム管理者モードで設定された「SNMPv3 通信」に従い、ネットワーク管理プロ トコルの SNMP を利用する時の、セキュリティソリューションの一つとして、SNMPv3 プロトコルに対応してい る。 SNMPv3 プロトコルは IETF RFC3414 で規定されているように、データの暗号化のみならず、各 SNMP メッセージを認証するために使用される。 この機能を使用する時は、認証パスワードとプライバシー(暗号化)パスワードの両方を、TOE とリモートサ ーバーの両方にセットアップしなければならない。 またパスワードは共に 8 文字以上で運用しなければなら ない。 SNMPv3 の認証は SHA-1 ハッシュ関数を使用し、また暗号化は CBC -DES を使用する。 なお暗号  - 119 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 126: インフォメーションフローセキュリティ機能(Tsf_Inf_Flow)

    7.1.8. インフォメーションフローセキュリティ機能(TSF_INF_FLOW) インフォメーションフローセキュリティ機能は、external interfaces(外部インターフェース)と Shared-medium interfaces(内部ネットワーク)間における許可されない通信を制限する機能である。 (1) FPT_FDI_EXP.1 Restricted forwarding of data to external interfaces TOE は、外部インターフェースから受け取られるデータを処理なく内部ネットワークへ転送することを制限す る下記能力を提供する。 SMI(内部ネットワーク)との通信制限機能 外部インターフェース USB(デバイス) プリントデータ受信用インターフェースであり、他のインターフェースへ の転送は許可されない。 (注:プリントジョブはプライベートプリントへ蓄積される) Ethernet プリントデータを受信した場合は他のインターフェースへの転送は許 可されない。 他のユーザーデータを利用者クライアントやサーバーから受信するこ とは許可されていなく、転送されることはない。  - 120 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 127: 自己テスト機能(Tsf_S_Test)

    7.1.9. 自己テスト機能(TSF_S_TEST) TOE は、TSF 実行コードおよび TOE 設定データ(TSF データ)の完全性を検証するための自己テスト機能を 実行することが可能である。 FPT_TST.1 TSF testing (TSF テスト) TOE は起動時に NVRAM と SEEPROM の TSF データを含む領域を照合し、異常時は操作パネルにエ ラーを表示する。 ただし監査ログデータ、時計の日時データはこれらには含まれないため異常の検出はしない。 また TOE は起動時に自己テスト機能が設定されていると、Controller ROM のチェックサムを計算し所 定の値と一致するかを確認し異常時は操作パネルにエラーを表示する。  - 121 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 128: St 略語・用語 (Acronyms And Terminology)

    (Serial Electronically Erasable and Programmable Read Only Memory) セキュリティ機能方針(Security Function Policy) セキュリティ機能要件(Security Functional Requirement) 電子メール送信プロトコル(Simple Mail Transfer Protocol) SMTP 機能強度(Strength of Function) セキュリティターゲット(Security Target) 評価対象(Target of Evaluation) TOE セキュリティ機能(TOE Security Function)  - 122 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 129: 用語 (Terminology)

    TOE のユーザー認証を MFD に登録したユーザー情報を使用して認証管理を行う (Local モード。 Authentication) 外部認証 TOE のユーザー認証を外部認証サーバーに登録したユーザー情報を使用して認証 (Remote 管理を行うモード。 Authentication) 上書き消去 内部ハードディスク装置上に蓄積された文書データを削除する際に、そのデータ領 (Hard Disk Data 域を特定データで上書きする事を示す。 Overwrite) On Demand 内部ハードディスク装置上に蓄積された文書データをマニュアル実行、時刻指定実 Overwrite 行により削除し、さらに上書き消去する機能。 ページ記述言語(PDL)で構成された印刷データを解析し、ビットマップデータに変 デコンポーズ機能 換する機能。 デコンポーズ機能により、ページ記述言語(PDL)で構成されたデータを解析し、ビッ デコンポーズ トマップデータに変換する事。  - 123 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 130 MFD が解釈可能なページ記述言語(PDL)で構成されたデータ。 印刷データは、 印刷データ TOE のデコンポーズ機能でビットマップデータに変換される。 MFD を構成するハードウエアユニット間で行われる通信のうち、コマンドとそのレスポ 制御データ ンスとして通信されるデータ。 コピー機能により読み込まれたデータ、およびプリンター機能により利用者クライアン ビットマップデータ トから送信された印刷データをデコンポーズ機能で変換したデータ。 ビットマップデー タは独自方式で画像圧縮して内部ハードディスク装置に格納される。 内部ハードディスク装置からの削除と記載した場合、管理情報の削除の事を示 す。 すなわち、文書データが内部ハードディスク装置から削除された場合、対応す 内部ハードディスク装 る管理情報が削除されるため、論理的に削除された文書データに対してアクセスす 置からの削除 る事は出来なくなる。 しかし文書データ自体はクリアされていない状態となり、文書 データ自体は、新たなデータが同じ領域に書き込まれるまで利用済み文書データと して内部ハードディスク装置に残る。 原稿 コピー機能で IIT からの読み込みの対象となる文章や絵画、写真などを示す。 (Original document)  - 124 – Copyright 2012 by Fuji Xerox Co., Ltd...
  • Page 131 暗号化キーをもとに自動生成される 256 ビットのデータ。 内部ハードディスク装置 暗号鍵 へ暗号化有効時の文書データの保存時に、この鍵データを使用して暗号化を行 う。 ネットワーク 外部ネットワークと内部ネットワークを包含する一般的に使用する場合の表現。 TOE を管理する組織では管理が出来ない、内部ネットワーク以外のネットワークを 外部ネットワーク 指す。 TOE が設置される組織の内部にあり、外部ネットワークからのセキュリティの脅威に 対して保護されているネットワーク内の、MFD と MFD へアクセスが必要なリモートの 内部ネットワーク 高信頼なサーバーやクライアント PC 間のチャネルを指す。 ITU-T 勧告の X.509 に定義されており、本人情報(所属組織、識別名、名前 証明書 等)、公開鍵、有効期限、シリアルナンバ、シグネチャ等が含まれている情報。  - 125 – Copyright 2012 by Fuji Xerox Co., Ltd...

  • Page 132: 参考資料 (References)

    評価方法 2009 年 7 月 CCMB-2009-07-004 [CEM] (平成 21 年 12 月 翻訳第 1.0 版 独立行政法人情報処理推進機構 セキュリティセンター 情報セキュリティ認証室) Title: 2600.1, Protection Profile for Hardcopy Devices, Operational Environment A [PP] Version: 1.0, dated June 2009  - 126 – Copyright 2012 by Fuji Xerox Co., Ltd...

This manual is also suitable for:

D125

Table of Contents