製品選択の助けとなるか――認証制度とセキュリティへの取り組み：プロダクト＆ソリューション（2/2 ページ）

[敦賀松太郎，ITmedia]

製品選択のガイドとなりうる認証制度

　こうした取り組みに加え、日立が注力しているのが、第三者による製品認証制度「ISO/IEC15408」の取得である。ISO/IEC15408は、製品の利用環境を想定した脅威分析に基づき、セキュリティの機能設計や開発プロセスを評価するもので、認証された製品は、必要なセキュリティ機能が実装されていると判断することができる。企業における製品の導入の一助にもなり得る。

JP1/Base 認証サーバの認証書

　日立では、ミドルウェア製品について積極的にISO/IEC15408の認証取得を推進しているという。実際、HiRDB、uCosminexus Application Server、EUR Form Client、HiCommand Suite Common Component、JP1/Baseの認証サーバなどが、ISO/IEC15408を取得している。官公庁や政府機関では、認証済み製品を使うことが推進されているが、単に取得することだけが目的になってはならない。

「日立では製品セキュリティ・ライフサイクルという観点から、欠陥修正プロセス（ALC_FLR）を加える形で取り組んでいます。ISO/IEC15408では、EAL1から7まで7段階の品質保証レベルが定められていますが、EAL1は機能設計が必要な要件でデザインされているか、その通りに稼働するかというレベルです。EAL4は機能設計から構造設計、ソースコードまでの一貫性、脆弱性に対する取り組みについて評価される厳しいレベルです。また、ALC_FLR.1は製品の運用フェーズで新たなセキュリティ問題が発生したとき、製品を修正するプロセスを持っているかどうかを認証するものです。日立は、こうした認証制度を利用することで、オープンミドルウェア製品が世の中の水準を満たしているとアピールしたいと考えています」（栗田氏）

　日立は、2007年4月から正式運用が始まった「暗号モジュール評価制度」にも着目しているという。これは、情報漏洩を防止する暗号化機能について、第三者認証によってお墨付きを与えようという仕組みだ。今後は、ISO/IEC15408と暗号モジュールの評価制度の両方を意識しながら、ミドルウェア製品の開発・保守を行っていくという。