マイクロソフトは2002年10月29日,国際標準化機構(ISO)が設定する情報機器のセキュリティ評価基準であるISO 15408の共通基準認定(Common Criteria Certification,CC認定)をWindows 2000が取得したと発表した。同社によれば,CC認定を取得したオペレーティング・システムは,Windows 2000が初めてだとしている。
Windows 2000が取得したCC認定の評価保証レベル(EAL:Evaluation Assurance Level 4)は,「EAL4+欠陥修正(ALC FLR.3:Systematic Flaw Remediation)」。情報処理振興事業協会(IPA)の資料によれば,EAL4は7段階評価で上から4段目に当たり(数字が多いほど評価が高い),“民需品が備えるべき評価保証レベル”を満たすという。なおEAL5以上は,軍用の情報機器や,PKI(Public Key Infrastructure)認証局の基幹機能(鍵生成・保管など)に使用される情報機器に求められる評価である。
Windows 2000の評価テストは,米Science Applications International Corporation(SAIC) が担当し,ソース・コード・レベルのテストを実施した。CC認定は全米情報保証パートナーシップ(NIAP:National Information Assurance Partnership)が授与した。マイクロソフトは,Windows XP ProfessionalやWindows .NET Server 2003でも,CC認定の取得を目指している。
(中田 敦=日経Windowsプロ)
