米IBMのサーバー「eServer」上で,米Novellの「SuSE Linux Enterprise Server 8(SLES 8)」(Service Pack 3)を動作させたシステムが,セキュリティ評価に関する国際規準「Common Criteria」認定を取得した。IBM社とNovell社のSUSE LINUX事業部門が,米国時間1月21日に発表した。
Common Criteriaでは,製品の開発環境,セキュリティ機能,ぜい弱性への対処法,セキュリティ関連文書,セキュリティ検証などを実施して,IT製品のセキュリティを評価する。今回,eServerとSLES 8が取得したのは,「Controlled Access Protection Profile(CAPP)」の評価保証レベル「Evaluation Assurance Level 3+(EAL3+)」。これにより,政府や米国防総省の業務に向けてLinuxの促進を狙う。
IBM社とドイツのSUSEは,2003年8月にLinux向けに最初のセキュリティ認定を取得した。これは,eServer xSeriesラインで取得したEAL2+レベルの認定だった。今回発表されたCAPP/EAL3+レベルの認定は,eServerのiSeries,xSeries,pSeries,zSeries,そしてOpteronベースのシステムで取得している。
CAPP/EAL3+は,EAL2+認定の評価からさらにLinuxの機能性と信頼性を拡張するもの。SLES 8への監査サブシステムを追加することによって達成した。同サブシステムは,セキュリティに関わる重要なイベントを監査するとともに,ネットワークで転送したデータを保護する。そのほかにも,CAPP/EAL3+認定に向けてより徹底したテストと評価が行なわれた。
両社は,SLES 8とIBM社のxSeriesとzSeriesプラットフォームで米国防総省の「Common Operating Environment(COE)」に準拠することも発表している。COEは,商用IT製品との相互接続性と機能性を評価するもの。これにより,SUSE LINUXは,Common CriteriaとCOEの両方に準拠する初めてのLinuxディストリビューションになるという。IBM社は,pSeriesとiSeriesに関しても同年前半に同基準に準拠させることも明らかにしている。
IBM社は,Novell社との共同IBM/SuSE Linux計画によって,SuSE Linuxを搭載するeServerの全製品ラインでより評価が高いCAPP/EAL4+認定を2005年に取得する計画を立てている。
IBM社は,年内に同社の仮想技術「z/VM」でもCommon Criteria認定の取得を計画している。z/VMは,「Labeled Security Protection Profile(LSPP)」と「Controlled Access Protection Profile(CAPP)」の両方でEAL3+レベルの認定を申請。z/VMは,メインフレーム・ユーザーが1台の「zSeries eServer」で多数のLinuxを動作できるようにする仮想技術。将来「z/OS」をリリースした場合にも,同社は,同製品のCAPP/EAL3とLSPP/EAL3+レベルの認定取得を申請する予定だという。「IBM Directory Server」「Tivoli Access Manager」といった同社のミドルウエア製品についてもCommon Criteria認定をすでに取得している。
◎関連記事
■米Novell,Linuxユーザーを保護するための免責保証プログラムを発表
■米IBMと独SuSE Linux,セキュリティ評価基準のCommon Criteria認定を取得
■独SUSE,「SUSE LINUX Enterprise Server 8」向けサービス・パックをリリース
[発表資料へ]
