 |
| プレスリリース |
|
|
米ノベル、SUSE LINUXとIBM eServerで 高度なLinuxセキュリティ認定の取得を発表 |
|
|
|
|
|
|
これは米国ノベル社より1月21日(米国時間)に発表されたプレスリリースの抄訳です。 2004年1月23日Novell, Inc. ノベル株式会社 米ノベル、SUSE LINUXとIBM eServerで 高度なLinuxセキュリティ認定の取得を発表 EAL3+認定をLinux OSとして初めて獲得 指揮制御系統に求められるCOE基準にも準拠 ネットビジネスソリューションの先進企業、米国ノベル社(以下ノベル、米国ユタ州プロボ)は、米IBMとノベルのSUSE LINUXビジネス部門(以下、SUSE LINUX)が、米国国防総省の指揮制御系統やその他の国の政府機関におけるLinux採用をさらに推進する動きとして、SUSE LINUXのセキュリティおよびオペレーションに関する新たな認定を取得したと発表しました。 IBM eServer上で動作するSUSE LINUX Enterprise Server 8(Service Pack 3)は、情報セキュリティの評価基準であるThe Common Criteria for Information Security Evaluation(以下CC)の認定を取得し、CAPP/EAL3+と一般に呼ばれている制御アクセス保護プロファイル(Controlled Access Protection Profile)への準拠を達成しました。 昨年8月にIBMとSUSE LINUXはLinuxに関する最初のセキュリティ認定を取得したことを発表しましたが、今回はこれを大幅に上回る成果となります。昨年8月の発表は、IBM eServer xSeriesラインでEAL2+認定を取得したことに関するものでしたが、今回はiSeries、pSeries、zSeries、さらにAMD Opteronを採用したシステムを含む、IBM eServer製品ラインのすべてを対象とし、CAPP/EAL3+認定を取得しました。 Linuxを対象としたCAP/EAL3+は、Linuxセキュリティ認定について、機能要件と保証要件の双方でEAL2+を超えた認定基準を設けています。SUSE LINUX Enterprise Server 8では、セキュリティに関して重要な事象を監査する監査サブシステムを新たに搭載したことで、EAL3+を達成しました。 IBMとSUSE LINUXはさらに、IBM xSeriesおよびzSeriesとSUSE LINUX Enterprise Server 8との組み合わせが、COE (Common Operating Environment)への準拠を達成したことも発表しました。pSeriesとiSeriesについても2004年の上半期に対応の予定です。これで、SUSE LINUXは単一のパッケージで、CC、COEの双方への準拠を実現した初のLinuxディストリビュータとなりました。これにより、安全な環境で実務アプリケーションを稼働する環境が整います。COEは米国国防総省によって作成された仕様で、指揮制御系統で使われる商用IT製品に関する機能や相互接続性の要件が定められています。 米国サンディエゴにおける陸・海・空軍戦闘システムセンターのウイリアム・ウルフ氏は、「CC認定は我々の環境におけるセキュリティ関連製品に不可欠です。LinuxでEAL3+認定が得られたことは、我々のエンドユーザに対し、柔軟でコスト効率の高いソリューションの提供するにあたっての新しい可能性が広がることから、非常に喜ばしく思います」と話しています。 IBMのLinux担当ゼネラルマネージャー、ジェームズ・ストーリングズ氏は、「SUSE LINUXとの今回の発表は、政府機関におけるLinuxの急速な台頭をさらに加速するカギとなる展開であると考えています。当社のサーバ製品群がCC認定を取得したことで、オープンソースソフトウェアのセキュリティと品質が改めて実証されました。また、軍事の根幹を成す指揮制御系統に要求される運用環境基準を満たしたことで、Linuxは今や他のOSと同じ土俵に立ったと言えると思います」と話しています。 今回の評価作業は、独立系セキュリティコンサルティング企業として世界を代表する1社であるドイツのアトセック・インフォメーション・セキュリティ社(atsec information security、以下アトセック)により実施され、ドイツ連邦情報セキュリティオフィス(BSI)に正式認可されました。 SUSE Linuxのセキュリティ責任者であるローマン・ドラフトミューラーは、「EAL3+認定を取得したことは、SUSEの力を改めて明確に実証するものです。SUSE LINUX、IBM、アトセックの3社による密接な相互協力と、セキュリティ評価におけるアトセックの広範な経験により、顧客は、Linux市場において特別な存在であるIBMプラットフォーム全般でセキュリティ上の確信を得ることができるようになりました」と話しています。 CCは、国際的なISO標準(ISO/IEC 15408)であり、米国連邦政府その他の機関によって、技術製品のセキュリティや保証要件の評価に利用されています。CCでは、標準的なセキュリティ要件を定め、これに基づく厳格な基準が定義されていて、製品はこの基準に照らして評価されます。CCはミッションクリティカル・ソフトウェアの認定として、ITプロフェッショナルや公的機関、一般企業顧客に広く認知されています。 CCでは、製品は開発環境、セキュリティ機能、セキュリティ上の脆弱性への対応、セキュリティ関連資料、製品テストなど、様々な側面から厳格な基準に基づいて評価されます。IBM eServerシステム上で稼動するSUSE LINUX Enterprise Server 8 の認定にあたって、アトセックはSUSE LINUXがどのように製品を開発し、テストし、メンテナンスしているかを評価し、同社におけるソフトウェアのセキュリティ問題への対処手順を調査しました。 ドイツ連邦情報セキュリティオフィス(BSI)のプレジデントであるウドゥ・ヘンブレヒト氏は、「BSIでは、IT製品を対象としたITセキュリティ認定の増加が、ITセキュリティ全体における大きな進歩を意味するものと考えています。同時に、認定はIT製品の品質に好ましい影響を与えています。また、今回のSUSE LINUX Enterprise Server 8の認定取得は、オープンソース製品のITセキュリティ認定の基準として、CCが確かに利用可能であることを示してくれました」と語っています。 IBMでは、Linuxを安全で産業の実務において利用可能なOSとして開発し、認定を取得していくことに注力しています。これは、IBMとSUSE LINUXが共同で、さらに高度なセキュリティ認定であるCAPP/EAL4+を、SUSE LINUXとIBM eServerの全製品ラインの組み合わせで今年中に取得する計画であることにも表われています。 IBMはLinux以外にも、同社の代表的仮想化技術製品であるz/VMについて、2004年中にCC認定を取得する計画です。z/VMはラベルドセキュリティ保護プロファイル(LSPP)と制御アクセス保護プロファイル(CAPP)の2つについて、EAL3+レベルの認定を受ける予定です。メインフレーム顧客はz/VMで、単一のIBM zSeriesサーバ上で、数十から数百といった数のLinux OSインスタンスを起動できます。また、z/OSの将来リリースでも、CAPP/EAL3とLSPP/EAL3+レベルの認定を受けることになっています。 IBMのミドルウェア製品群も、LinuxにおけるCC認定を受けています。IBM Directory ServerとTivoli Access Managerはともに、CC認定を取得済みです。他のIBMソフトウェア製品も、評価プロセスを開始するための準備を進めています。現在の認定取得状況については、http://www-3.ibm.com/security/standards/st_evaluations.shtmlをご覧ください。 ◇ IBMについて IBMは世界最大の情報技術企業であり、企業における革新の支援において80年間にわたりリーダーシップを発揮しています。IBM全社およびIBMビジネスパートナー各社の活動を通じ、同社は、顧客が規模の大小を問わず、eビジネスの新たな世界を最大限に活用できるよう、幅広いサービス、ソリューション、技術を提供しています。IBMとLinuxについて詳しくは、http://www.ibm.com/linux/をご覧ください。 ◆ノベルについて ノベルは、あらゆるビジネスネットワークが安全でシームレスに連携する仕組みを「one Net」と定義し、これを支える4つのソリューション分野として、Novell Nsure(セキュア・アイデンティティ・マネジメント:アイデンティティに基づくセキュリティ管理)、Novell exteNd(Webアプリケーション開発/Webサービス)、Novell Nterprise(クロスプラットフォーム・ネットワークサービス)、そしてNovell Ngage(コンサルティングサービス)のネットビジネスリューションを展開しています。また、オープンソース・コミュニティを積極的に支援し、XimianとSUSEによるサーバからデスクトップまでの包括的な企業向けLinuxソリューションとサービスを提供しています。ノベルは情報障壁のない世界を実現する「one Net」を事業ビジョンとして掲げており、顧客企業が高いセキュリティと経済性の下に、自社の情報を新たな価値に変換していくための支援をしています。 以上 |
|
|
|