PostgreSQLで「ISO/IEC 15408」に基づくITセキュリティ認証がNTTデータにより申請中であることが明らかになった。2007年4月にも認証を取得する見込みで,オープンソースのDBMSとしては世界で初めてになるという。
ISO/IEC 15408は国際的なセキュリティ基準。経済産業省ではISO/IEC 15408の評価・認証製品の利用に対する税制優遇措置を,2007年4月から2009年3月末まで実施する。また省庁の調達において,ISO/IEC 15408に基づき認証された製品の利用を推奨している。
これまでオープンソース・ソフトウエアがISO/IEC 15408を取得した例は,OSではMIRACLE LINUXなどがあるが「オープンソースDBMSでは認証を申請したソフトウエアはなく,世界初となる」という。
PostgreSQLはNTTデータではなくオープンソース・コミュニティであるPostgreSQL Global Development Teamによって開発されている。しかしISO/IEC 15408の取得には費用のほか組織体制が必要になるなどコミュニティによる取得が難しいことから,NTTデータが改良し,認証を取得したファイルを無償公開することにした。
NTTデータはPostgreSQLを「ゆうちょくらぶ」の会員管理システムなど大規模システムに活用している(関連記事)。またクラスタリング・ソフト「PostgresForest」や全文検索ツール「Ludia」など,PostgreSQLを拡張するオープンソース・ソフトウエアを開発し無償公開している。
審査は認証機関となっている独立行政法人 情報処理推進機構(IPA)で行われている。申請中のPostgreSQLは,バージョン8.1.5をベースにNTTデータが改良したもの。ISO/IEC 15408認証の対象はソースコードではなく実行ファイルになるため,具体的にはRPMファイルになる。実行環境はRed Hat Enterprise Linux AS4 for x86。NTTデータはパスワード認証,監査ログ表示・閲覧機能を強化した。これらの強化はソースコードとしてコミュニティにフィードバックされているという。評価保障レベルは最も基本的なEAL1。
NTTデータ基盤システム事業本部オープンソース開発センター技術開発担当部長 田中一男氏は「NTTデータではこれまでオープンソース・ソフトウエアを大規模システムの構築に活用するとともに,PostgresForestやLudia,運用管理ツールのHinemos,セキュアOSのTOMOYO Linuxなどのオープンソース・ソフトウエアを開発し無償公開することによりコミュニティに貢献してきた。今回のような,企業がオープンソース・ソフトウエアのセキュリティ認証を取得する動きが広がってほしい」と話している。
◎関連資料
◆IPAセキュリティセンター セキュリティ評価・認証中リスト
