C2セキュリティという評価はもう無意味なのでしょうか

わたしは零細事業所のパソコン係りをしています。
他にパソコンのセットなど出来る人がいないので、選定など任されてしまっています。
昨今の多発する物騒なネット事件で、にわか管理者！？として事業所の安全を一身に背負い荷が重い状態です。

大急ぎの付け焼き刃でいろいろ本を買い込んだり、自分なりの猛勉強をしてるつもりですが当然のごとく歯が立ちません。

心構えとしてまったく無頓着、ではないつもりですが、色々な情報を見聞きするたびに振り回されてしまう状態です。

こんなレベルですので、自分がきちんと真理を学べるまでのあやふやな期間は、お任せで自動的にある程度守ってくれるようなシステムでないと責任が取れないと思っています。

そこで気になるのが、C２認証のシステムですが、マイクロソフト製品が連日被害に遭って、マックファンの方々はあざ笑います。
追い討ちをかけるように、独立調査機関の評価で、並みいるC２認証システムをおさえてMacOSXが最高の安全評価と御墨付きを与えられたりしているのを見ると、C２というのは一体なんだろう？とも思ってしまいました。

その一方で、Macが素人におまかせで良い一体どんな防御システムを装備しているのか、それも明らかには表示されていないので（明らかにしたら狙われてしまうからという理由の単なる企業秘密なんでしょうか？？）私としては信じて良い根拠がわかりません。

アメリカ超大国の国防にかかわる認証と聞きましたので、政治や利権などに左右されず純粋に技術力を厳しく評価したものだと思うのですが、その実体というのはかなりマユツバ的な背景があるのでしょうか？

No.1 回答者： sinobu_wednesday 回答日時： 2005/09/05 14:39

C2セキュリティ評価というのが実際のところどのようなものなのか詳細は知らないのですが、「バグがなければ鉄壁のシステム」というようなものには何の価値もありません。

WindowsシステムがC2セキュリティ評価をもらったといっても、それは「バグを計算に入れず」「十分に知識と経験のある技術者によって運用された場合」にどの程度のセキュリティレベルを達成しうるかという評価に過ぎないことに留意すべきでしょう。
つまり、Windowsシステムの最近の脆弱性は、ほとんどがC2評価をもらった以後に発覚したシステムのバグに起因していることが第一の問題、かつWindowsサーバ群を運用する技術者にセキュリティに関する十分な知識を持たない人がいるということが第二の問題だと思います。

発見されたバグについて適切なパッチを実行する、かつ未知のバグの影響を受けないようシステムを十分にセキュリティの高い状態に置くことにより、第一の問題については解決を図ることが可能です。また、セキュリティに関する十分な知識をもったエンジニアが構築・運用を担当することは第二の問題の解決法でもあります。このような状態に置かれたWindowsサーバは、私は他のサーバOSに対し脆弱性の点で見劣りがするとは考えません。
しかし、これらのどちらかが（あるいは両方が）欠けると、Windowsサーバを安全に運用することはほとんど不可能と言って良いとも思います。

では、X Server（MacOSXのサーバ版）やSolaris、LinuxなどのサーバOSがどうかと言えば、結局のところ、上記の第一・第二の問題から逃れられるということはありません。つまるところ十分な知識のあるエンジニアが最新の注意を払わねば、セキュリティ的に高い状態にシステムを維持することなど不可能だということです。

Windowsサーバとその他のサーバの違いを敢えて挙げるとすれば、X Server、Solaris、LinuxなどのサーバOSは、知識のないエンジニアには全く歯が立たないが、Windowsサーバは何とかなってしまう場合があるということでしょうか。それが故に、インターネットの世界では管理の不行き届きのWindowsサーバが数多く見られ、度重なる報道でも明らかなようにWindowsサーバに関するセキュリティ事故が後を絶ちません。それはWindowsサーバの本質的な脆弱さというより、むしろ運用・管理する側の問題とも言えます。

という訳ですので、

> こんなレベルですので、自分がきちんと真理を学べるまでのあやふやな期間は、お任せで自動的にある程度守ってくれるようなシステムでないと責任が取れないと思っています。

という質問者さんであれば、厳しいようですがWindowsサーバを使おうとX Serverを使おうと、セキュリティ的に満足のいく状態を維持することは難しいでしょう。そういう意味では大差はないように思います。
一番良いのは信頼と経験のある専門業者（SIer）にセキュリティまで含めて管理させることだと思いますが、それが予算的に難しい場合は、まずは可能な限り守備的なネットワークを組む（各種セキュリティを安全側に倒す）ことで、少しでもセキュリティの状態を高めることが大事だと思います。

> アメリカ超大国の国防にかかわる認証と聞きましたので、政治や利権などに左右されず純粋に技術力を厳しく評価したものだと思うのですが、その実体というのはかなりマユツバ的な背景があるのでしょうか？

少なくとも「素人が運用しても鉄壁の防御を誇れるのかどうか」ということを認証しているのではない、ということでしょうか。そういう意味ではこれらの政府系のセキュリティ評価が実際的な意味を持たないことは明白でしょうし、少なくとも私はWindowsサーバがC2評価をもらったことがサーバOS導入の決め手となったという事例を聞いたことはありません。

この回答への補足

お礼を投稿送信したあとで、うっかり書き忘れたなあ！と思った感想を書かせてくださいませ＾＾；

パソコンが家電と同じ感覚で大衆化してくれたのは素晴らしい文化革命ですが、
インターネット接続の手軽さ、便利さの裏に必要な知識、というのは、まさに
交通事故防止の道交法の理解や一定の運転技術を求められる公道の自動車運転
とそっくりの状態ですね！

今では小中学校でパソコンのリテラシー教育が行なわれていると聞きますので
すっかり塔が立ってからパソコンをはじめた私などとは違って幼時から心構え
もきちんとできる素地が養われて結構なことだと思います＾＾
でも、「知らなかった、じゃ済まされない社会事件」に知らずに加担しかねな
いセキュリティ教育については、早晩、ISPに申し込みをするにあたっては、

自動車免許と同じようなインターネット接続免許証、のような制度が各個人に
も求められざるを得なくなる時代がやってきそうですね・・・

補足日時：2005/09/05 20:35

この回答へのお礼

早々にこんなにご丁寧なご回答をいただき、どうもありがとうございます！

この数日間は、Linuxクラッカー迎撃完全ガイドという参考書が私の教科書になってるんですが、UNIX由来のように裸から管理者が作っていくシステムで説明を受けると、なるほどなあ！と難しいながらも理屈の成り立ちを理解するのはすんなりと納得いきますね。

「ちょっとパソコンをやってみよう」という志は積極的だけど知識が乏しい初心者だとか、「今どきパソコンできなきゃ就職できないし」という後ろ向きの動機が多い一般向けの商用OSだとブラックボックスで「Windowsは危ないの？Macなら安全なの？じゃあ何が働いてくれてるの？」という疑問がふつふつとわだかまりとなってきます＾＾；

非常に関心を持っているのは、マック用マルウエアの作成は限り無く不可能に近い技術上の困難がある、とか、マックに不正侵入することがこれまた限り無く不可能に近い、という理由が、どこで聞いて回っても妖精や小人が守ってくれているような煙巻き情緒論なところが、早く真相を究明したいと課題にしています。

ファンが世界一を誇る当のアップル社のサーバーがSolarisだったりするので、何だかなあ、という気持ちになります。

本当に有り難うございました！

お礼日時：2005/09/05 19:19

No.2 ベストアンサー 回答者： xcrOSgS2wY 回答日時： 2005/09/05 18:02

C2とかB1とかのセキュリティレベルは「OSの仕様」が満たすべきセキュリティ仕様を文書化したもので、その内容は公開されています（DoD 5200.28-STD）。

手元の資料（2000年刊）によれば、Windows 2000はC2レベルに準拠しており、Windows NT 4.0はC2レベル準拠を認定されています。

「準拠している」とは仕様を満たしていると「自称」しているという意味（とはいえ、実際には満たしていないと考えるのは難しい：調べて不可であれば信用は大きく傷つくわけですから）で、「認定されている」とは評価テストを受け公式に「準拠」が確認されているという意味です。

また、参照している資料は2000年のものですが、おそらく現在でもWindows 2000はC2認定を受けていないと思います。というのも、（どこで読んだのかは覚えていないのですが）もうDoDのセキュリティレベル認定テストの受け付けは行われていないからです。

これに順ずるものとしてITSECというヨーロッパ主導の団体によるセキュリティレベルの仕様があり、Windows NT 4.0はFC2/E3というレベルを満たしているそうです・・・が、これが「準拠」なのか「認定」なのか、またWindows 2000がどうなのかは分かりません。


このセキュリティ仕様はあくまで「OSの仕様」を確認するもので、例えば「プログラムがメモリの割り当てを要求したとき、割り当てられたメモリの中に他のプログラムが残したデータが含まれないこと」とか「OSが使用する一時ファイルの中にあるユーザデータが他のユーザに読めないこと」とか「特定程度以上の強度のパスワードの設定のみを可能とできること」のようなもの（こんな単純なものばかりではありませんが）です。

ですので、セキュリティレベルが高いことは「高セキュリティ運用を行うために必要な機能を、OSがユーザに提供できる（＝提供できる機能の選択肢を持っている）」という意味であって、「そのOSを使えば自動的に運用が高セキュリティになる」というわけではありません。

またOSにバグが多いか少ないかといったことは、セキュリティレベルからはっきりとは分かりません。（認定テストに通っていれば、目立ったバグがないという程度には分かります。）


なお、DoD 5200.28-STDへのリンクを資料として挙げておきます。

参考資料：
米国防総省の指令「5200.28」（C2やB1といったセキュリティレベルを規定）
http://permanent.access.gpo.gov/websites/dodandm …

5200.28の評価認定規定（・・・だと思う、多分）
http://csrc.ncsl.nist.gov/secpubs/rainbow/std001 …

米国防総省の指令「8500.1」（5200.28の後継指令）
http://permanent.access.gpo.gov/websites/dodandm …

この回答へのお礼

こんばんわ！いつも大変お世話になります！
おかげさまで気絶していたパソコンは、涼しくなったせいか騒ぎがウソのように元気を取り戻しました＾＾
（来年の夏は換気に気をつけます！）

今回もとても実践的でずばり的確なご回答を、本当に有り難うございます！

これはこれは、いろんな規格があるんですね！
はたまた準拠と認定、と、使い分けられていたのには気付きませんでした！
さてはこれまた企業の安全PRとしての慎重に選んだ言葉のあや的戦略も見えかくれしてそうですね・・・

＞＝提供できる機能の選択肢を持っている）」という意味であって

なあるほど！
ずばりすっきり飲み込めました！

＞もうDoDのセキュリティレベル認定テストの受け付けは行われていないからです。

なるほどなるほど！
これで更に謎が解けました！
以前に認定トラステッドOSにどんな種類があるのか質問した事がありましたが、５年前の資料でぷっつり切れていたので、その後はどうなっているんだろう、と追加質問しましたが誰からも解答が寄せられなかったのはこのためだったんですね。

すごい資料も、本当に有り難うございます！
なかなか読めませんが貴重な証拠資料としてプリントして参考書と一緒に綴じて永久保存版にします！

お礼日時：2005/09/05 20:17

No.3 回答者： xcrOSgS2wY 回答日時： 2005/09/05 18:04

すみません、誤字訂正と注釈です：

（訂正）
誤：順ずる
正：準ずる

（注釈）
DoD：Department of Defenceの略で、米国防総省のこと。

この回答へのお礼

（＾＾）いやあ、どうも本当にご親切に恐れ入ります。

お礼日時：2005/09/05 20:19