NTTデータは4月11日,ISO/IEC15408セキュリティ認証を取得したPostgreSQLを無償公開した。NTTデータがセキュリティ設定を強化し認証の申請,取得した。オープンソースのデータベース管理システムがISO/IEC15408セキュリティ認証を取得するのは世界で初めてという。
ISO/IEC 15408は国際的なセキュリティ基準。経済産業省ではISO/IEC 15408認証を取得した製品に対し,2007年4月から2009年3月末まで税制優遇措置を実施している。具体的には,基準取得価額に対する税額控除( 10% )又は特別償却( 50% )のいずれかを受けることができる。また省庁の調達においても,ISO/IEC 15408認証製品の利用が推奨されている。
PostgreSQLの開発はオープンソース・コミュニティであるPostgreSQL Global Development Teamが行っている。しかしISO/IEC 15408の取得には費用のほかセキュリティを確保するための組織体制が必要になるなど,コミュニティによる取得は難しい。そのためNTTデータが改良し,独立行政法人情報処理推進機構(IPA)に認証を申請していた(関連記事)。Linux OS本体ではすでに例があるが,オープンソースのデータベース管理システムでのISO/IEC15408認証取得は世界初という。
公開したPostgreSQLは,バージョン8.1.5をベースにNTTデータが改良したものの実行版(バイナリ)。ISO/IEC 15408認証の対象はソースコードではなく実行ファイルになるため,ソースコードではなくバイナリ(具体的にはRPMファイル)を公開している。実行環境はRed Hat Enterprise Linux AS4 for x86。
セキュリティの強化が行われたのはパスワード認証,監査ログ表示・閲覧機能。これらの改良はソースコードとしてコミュニティにフィードバックされているという。評価保障レベルは最も基本的なEAL1。
NTTデータはPostgreSQLを「ゆうちょくらぶ」の会員管理システムなど大規模システムに活用している。またクラスタリング・ソフト「PostgresForest」や全文検索ツール「Ludia」など,PostgreSQLを拡張するオープンソース・ソフトウエアを開発し無償公開している。PostgreSQL関連以外にも,運用管理ツールのHinemos,セキュアOSのTOMOYO Linuxなどのオープンソース・ソフトウエアを開発し無償公開している。
◎関連資料
◆PostgreSQL 認証版ダウンロードページ
