Asianux、EAL4のセキュリティ認証取得で政府機関の調達に本腰

ミラクル・リナックスは、Asianux Server 3でEAL4の認証を取得したことを明らかにした。政府機関の調達においても、ようやくほかのOSベンダーと肩を並べて争うことができるようになる。

» 2008年05月29日 00時00分 公開
[ITmedia]

 ミラクル・リナックスは5月27日、同社のLinuxディストリビューション「Asianux Server 3」が、国際セキュリティ評価基準「ISO/IEC 15408 情報技術セキュリティ評価基準」でEAL4の認証を取得したことを明らかにした。

 認証の取得は韓国にあるITセキュリティ認証センターで行い、「Asianux Server 3」と同製品にバンドルされているセキュリティ製品「RedCastle v3」の組み合わせで審査に臨んだ。評価機関では、「特定のハードウェア上で認証を取得したといえる性質の認証ではない」として、どのサーバ上でAS3に対するEAL 4認定を行ったかについては明らかにしていない。

 ISO/IEC 15408 情報技術セキュリティ評価基準は、情報技術セキュリティの観点から、情報技術に関連した製品やシステムが適切に設計され、その設計が正しく実装されているかどうかを7段階のレベルで評価するセキュリティ評価基準。国際標準規格として承認されたセキュリティ規格であるCommon Criteriaをベースにしており、ここで測られる評価保証レベルをEAL(Evaluation Assurance Level)と呼ぶ。

 大手OSベンダーは高いEALの取得に早くから励んでいた。これは、Common Criteria認証が多くの政府機関の調達要件となっていることが理由として挙げられる。Solaris、AIX、HP-UXといった商用UNIX、さらにMicrosoftもWindows 2000は早くからEAL4以上を取得済みであり、Linuxディストリビューターはその対抗上、EAL4以上を取得しなければ競争のスタートラインにも立てなかったのである。

 その後、NovellはSUSE Linux Enterprise Server 9で、Red HatはRed Hat Enterprise Linux 5でそれぞれEAL4+を取得しているが、ミラクル・リナックスはMIRACLE LINUX V4.0でEAL1を取得するにとどまっていた。

 「ISO/IEC 15408」認証を取得した製品には、経済産業省が推進する情報基盤強化税制によって減税が適用されるが、EAL1のMIRACLE LINUX V4.0でもこの措置は受けられることを考えると、今回のEAL4取得の目的は、EAL4以上が調達要件に書かれる政府機関の調達を見据えたものとみるべきだろう。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ