Tab navigation
Common Criteria セキュリティー認定
PDFを見るにはAdobe® Reader®が必要です。
Adobe Reader
パブリック・ネットワークの他に例を見ない成長および増加するネットワーク上の脅威により、ITがお客様の企業でセキュアであることの信頼性が必要となっています。しかし、どうすればいいのでしょうか?見解が偏らない第三者評価機関からの評価基準の普遍的なセットに基づいて業界認定を通じて
IT の信頼性を評価します。
Common Criteria は、国際的に認められた ISO 規格であり、政府およびその他の組織がテクノロジー製品のセキュリティーと保証を評価するのに使用されます。この
Common Criteria のもとで、各フィーチャーに対して厳格な基準 (セキュリティー機能およびセキュリティー上のぜい弱性への対応など)
に従って製品を評価します。
7レベルの評価
政府および商用の事業体の範囲内で要求される各種セキュリティー・レベルを満足するように設計された 7レベルの評価があります。Evaluation Assurance Level (EAL) が高いほど、認定される製品に期待できるセキュリティー保証レベルが高くなります。
- EAL-1 この製品とその資料を調査して整合性の有無をチェックします。そのためには、その資料が主張していることをその製品が行っているかどうかを明らかにします。
- EAL-2 評価を通じてその製品の構造をテストします。これには、製品の設計履歴とテスト方法が含まれます。
- EAL-3 開発者のテスト結果を独自に検証して設計段階にある製品を評価します。さらに、ぜい弱性に対する開発者による検証、開発環境上の制御内容、およびこの製品の構成管理を評価します。
- EAL-4 製品の開発とインプリメンテーションをさらに一層詳細に分析します。このレベルの達成には、より大きなセキュリティー・エンジニアリング・コストが必要になる可能性があります。
- EALs5-7 特にリスクが高い環境に対して、設計過程およびインプリメンテーションにおけるさらに一層の手順の順守性、アタックの取り扱い、誰も気が付かないような侵入経路を阻止する製品能力の分析が必要とされます。米国では、合衆国政府として National Security Agency (NSA) が EAL 5-7 に対する評価を行う必要があります。
主な製品の認定
2006年9月4日 - System z9 ECとBCがEAL5 認定を達成(US)
2003年3月14日にIBM eServer™System zR 900 が、EAL5セキュリティー認定を受賞した最初のサーバーとなりました。この過去
3 年間に、System z 800、z990、z890、および新規の z9 Enterprise ClassとBusiness Classがこのエリート・グループのランク付けに入りました。System
z™アーキテクチャーの設計により、システム上の論理区画間で情報が流れないようにして、機密データまたは重要データが単一の区画境界の範囲外には漏れないことを保証しました。この
EAL5 のランク付けにより、機密データを含む z/OS、z/VM、および Linux ベースの多くのアプリケーション(給与、人事、e-commerce、ERP、および
CRM システムなど)を、お客様が 1 つの System z™サーバー上で稼働できるという確信を持てるようになるはずです。
z/OSR V1.7が、これでCAPPとLSPPに対してEAL4+でセキュリティー認定されました
Common Criteriaセキュリティー認定のEAL3+を受けたほんの1年後の2006年3月2日に、RACF オプション機能を持った z/OS
V1.7 が Controlled Access Protection Profile (CAPP) と Labeled Security Protection
Profile (LSPP) に対して EAL4+ を達成しました。この名誉ある認定により、z/OS V1.7 が長期間の厳格なテスト・プロセスを通過し、ISO
が許可した規格に準拠することをお客様に保証しています。EAL4+ 認定の達成により、ミッション・クリティカル業務および指揮管理業務に対して政府および諸官庁が
z/OSを今後採用することができるようになります。
Common Criteria 評価保証レベル 4 に対する認定には、広範囲なテストにより裏づけられて、製品の設計と開発方法論に関して徹底した分析が必要となります。EAL4
認定は、現在、次の国 (米国、カナダ、オーストラリア、ニュージーランド、フランス、ドイツ、フィンランド、ギリシャ、イスラエル、イタリア、オランダ、ノルウェー、スペイン、英国)
で認められています。
写真の左から右へ: Bernd Kowalski (BSI)、Gerald Krummeck (atsec)、Martina Koederitz
(IBM)、Roland Trauner (IBM)、William Penny (IBM)
この評価は、atsec Information Securityが完了させました。atsec は、世界の先端を行くベンダーに依存しないセキュリティー・コンサルティング会社で、Federal
Office for Information Security (BSI) (PDF、589KB) がドイツで公認しています。
2005年にBSI は、IBMのフラグ・シップのオペレーティング・システム z/OS 1.6 (RACF オプション機能付き) に対して EAL3+
認定を授与しました。また、この認定には CAPP と LSPP も含まれています。z/OS 1.5 およびそれ以降 (RACF オプション機能付き)
およびDB2バージョン 8 により、お客様にマルチレベル・セキュリティー (MLS) ソリューションを実現します。
MLSにより、参照を許可されていない情報にアクセスしたり機密扱いから外すことを阻止します。この新機能を使用して、膨大なデータを1つのデータベースに統合化して、各行をタグ付けしてそこに特定レベルの権限を指定します。この場合、権限レベルごとに別個のデータベースを作成する必要はありません。
MLSを使用すると、以下のことが可能になります。
- データの不要な重複を排除または減少させて、インフラストラクチャーを単純化
- ストレージ上でのスペースの節約
- 追加のデータベース管理スタッフの節減
ただし、最も重要なことは、先進的なメインフレーム・セキュリティーを使ってお客様の顧客機密情報を保護していることが分かって、安心していられるということです。お客様企業のセキュリティー・ハブとしてメインフレームを位置付けることほど重要なことはありません。メインフレームには、伝統的にセキュリティー機構が確固として組み込まれており、各データ・エレメントを保護するように設計された広範囲で豊富なセキュリティー能力をお客様に提供します。さらに、MLS
を使用すると、行レベルのアクセス認証、許可、およびトラッキングを厳密に制御する単一のデータベースを作成できます。マルチレベル・セキュリティーは、諸官庁およびオンデマンド業種の間で共用可能な高セキュア・データに対する政府および民間企業の要件に対応できます。
この機能の達成度およびその機能がどれほどマルチレベル・セキュリティー・ストラテジーを強化するかの詳細をダウンロードします(US) (67KB)
z/VM V5.1 が新しい認定を達成
2005年10月26日に、German Federal Office of Information Security (Bundesamt fur
Sicherheit in der Informationstechnik, BSI)は、z/VM V5.1がControlled Access
Protection Profile (CAPP) と Labeled Security Protection Profile (LSPP)
の要件に準拠している旨の認定 (両方共に評価保証レベル 3+) を発行しました。IBM は、z/VM V5.2 (RACF for z/VM
オプション機能付き) を評価して、IT ソリューション用の Common Criteria 規格 (ISO/IEC 15408) の Controlled
Access Protection Profile (CAPP) とLabeled Security Protection Profile (LSPP)
に、評価保証レベル4 (EAL4)で準拠しているかどうかチェックする意向です。
SUSE LINUX の新規認定(US)
2005年 2月15日にIBMとNovellの発表によると、SUSE LINUX Enterprise Server 9 が成功裏に Common
Criteria (CC) 評価完了して新しいレベルのセキュリティー認定 (CAPP/EAL4+) を実現しました。これにより、ミッション・クリティカル業務および指揮管理業務に対して政府および関係機関による
Linux の採用が一層促進されます。また、IBM と Novell は US DoD Common Operating Environment
(COE) 準拠 (軍事関係のコンピューティング製品に対する Defense Information Systems Agency の要求)
を実現しました。