近年、企業や官公庁、重要インフラにおけるIT製品やシステムへの依存度が高まっており、導入するシステムあるいは製品個々のセキュリティ品質の向上が急務となっています。
また、IT投資促進を目的に導入された「中小企業情報基盤強化税制」や、内閣官房情報セキュリティセンターが政府機関におけるセキュリティ確保を目的に作成した「政府機関の情報セキュリティ対策のための統一基準」等、セキュリティを重視した制度も整いつつあり、一定のセキュリティ基準を満たす製品のニーズが社会的に高まっております。
このような社会の動向を受け、企業や官公庁、重要インフラで使用されるミドルウェア製品に対して、国際的なセキュリティ評価基準であるISO/IEC 15408、および暗号モジュールのセキュリティ機能への国内規格であるJCMVP(JIS X 19790)の認証取得を進めています。
「政府機関の情報セキュリティ対策のための統一基準」においては、システム構築におけるISO/IEC 15408、およびJCMVPの認証を取得した製品の導入が強く推奨されており、また「中小企業情報基盤強化税制」においては、ISO/IEC 15408の認証を取得した製品の活用が、税制上の優遇措置を受けるための主な条件となっています。
なお「中小企業情報基盤強化税制」の概念や、対象となる製品の基準に関しては、日立のIT(情報・通信)総合サイトに詳細情報がありますので、こちらをご参照ください。
ISO/IEC 15408とは、IT製品及びシステムに対して、セキュリティに関連する機能が適切に設計され、かつ確立された手段によって設計が正しく実装されていることを評価するための国際標準規格です。
ISO/IEC 15408では、製品の利用環境を想定した脅威分析に基づいたセキュリティ機能設計や開発プロセス等が、統一された基準によって評価されます。これにより必要なセキュリティ機能が確実に実装されていることを判断するための指標となります。
またISO/IEC 15408には、国際的な相互承認の枠組み(CCRA)が適用されており、日本で認証を取得したIT製品及びシステムはCCRAに加盟した欧米各国でも日本と同様の認証実績が適用されます。ISO/IEC 15408の認証を取得したIT製品及びシステムには、カタログやマニュアル等に右のようなマークが記載されます。
日立ミドルウェア製品に対するISO/IEC 15408の認証取得状況は次の通りです(2012年6月現在)。
お知らせ
2012年5月21日、HiRDB Server Version 9 (Linux版) 09-01 に対して、EAL2+ALC_FLR.2の認証を取得しました。
| 製品名 | 取得状況 | 評価保証レベル | 製品詳細情報 |
|---|---|---|---|
| HiRDB Server Version 9 09-01 |
取得済 (2012/05/21) |
EAL2+ALC_FLR.2 | HiRDB [データベース管理] |
| HiRDB/Parallel Server Version 8 08-04 |
取得済 (2009/07/27) |
EAL4+ALC_FLR.1 | |
| HiRDB/Single Server Version 8 08-04 |
取得済 (2009/06/29) |
EAL4+ALC_FLR.1 | |
| HiRDB/Parallel Server Version 8 08-01 |
取得済 (2007/05/30) |
EAL1 | |
| HiRDB/Single Server Version 8 08-01 |
取得済 (2007/05/30) |
EAL1 | |
| HiRDB/Single Server Version 7 07-03 |
取得済 (2008/06/30) |
EAL4+ALC_FLR.1 | |
| HiRDB/Parallel Server Version 7 07-03 |
取得済 (2006/11/22) |
EAL1 | |
| HiRDB/Single Server Version 7 07-03 |
取得済 (2006/11/22) |
EAL1 | |
| Hitachi Command Suite Common Component 7.0.1-00(*1) |
取得済 (2011/08/15) |
EAL2+ALC_FLR.1 | Hitachi Command Suite [ストレージ運用管理] |
| Hitachi Storage Command Suite Common Component 6.0.0-01(*1) |
取得済 (2008/12/24) |
EAL2+ALC_FLR.1 | |
| HiCommand Suite Common Component 05-51-01(*1) |
取得済 (2007/05/30) |
EAL2+ALC_FLR.1 | |
| HiCommand Suite Common Component 05-70-01(*1) |
取得済 (保証継続) (2007/12/26) |
||
| uCosminexus Application Server 08-00 |
取得済 (2009/08/21) |
EAL2+ALC_FLR.1 | Cosminexus [クラウドサービスプラットフォーム] uCosminexus Application Server (アプリケーションサーバ) |
| uCosminexus Application Server 07-00 |
取得済 (2007/03/22) |
EAL2+ALC_FLR.1 | |
| DocumentBroker Server Version 3 03-11 |
取得済 (2008/04/25) |
EAL1+ASE_OBJ.2, ASE_REQ.2,ASE_SPD.1(*3) |
Cosminexus [クラウドサービスプラットフォーム] uCosminexus DocumentBroker (文書管理基盤) |
| JP1/Base 認証サーバ 08-10 (Windows版)(*2) |
取得済 (2007/08/30) |
EAL2+ALC_FLR.1 | JP1 [統合システム運用管理] |
| EUR Form Client 05-07 |
取得済 (2006/12/15) |
EAL2+ALC_FLR.1 | Cosminexus [クラウドサービスプラットフォーム] uCosminexus EUR (帳票ツール) |
| 製品名 | バージョン |
|---|---|
| Hitachi Command Suite Device Manager | 05-60 〜 07-01 |
| Hitachi Command Suite Replication Monitor | 05-60 〜 07-01 |
| Hitachi Command Suite Tiered Storage Manager | 05-50 〜 07-01 |
| Hitachi Command Suite Tuning Manager | 07-00 |
| 製品名 | バージョン |
|---|---|
| Hitachi Storage Command Suite Device Manager | 05-60, 05-70, 05-80, 06-00 |
| Hitachi Storage Command Suite Replication Manager | 05-60, 05-70, 05-80, 06-00 |
| Hitachi Storage Command Suite Tiered Storage Manager | 05-50, 05-70, 05-80, 06-00 |
| Hitachi Storage Command Suite Global Link Manager | 05-60, 05-70, 06-00 |
| Hitachi Storage Command Suite Provisioning Manager | 05-60, 05-70, 05-80, 06-00 |
| 製品名 | バージョン |
|---|---|
| JP1/HiCommand Device Manager | 05-60 |
| JP1/HiCommand Replication Monitor | 05-60 |
| JP1/HiCommand Tiered Storage Manager | 05-50 |
| JP1/HiCommand Global Link Availability Manager | 05-60 |
| JP1/HiCommand Provisioning Manager | 05-60 |
日立ミドルウェア製品では、ISO/IEC 15408の評価観点として定義されている開発プロセスのうち、「欠陥修正プロセス(ALC_FLR)」を含んだ認証取得を積極的に推進しております。EUR Form Clientは、国産ベンダーとしては初の「欠陥修正プロセス」を含んだ認証取得例となります。
また、国際的にはシステムの基盤となるソフトウェア製品(OS, DBMS等)はALC_FLR.2以上を含む認証取得が主流になっていますが、HiRDB Server Version 9は国産ソフトウェア製品としては初めてALC_FLR.2を含む認証を取得しました。
「欠陥修正プロセス」に基づいた評価では、出荷された製品にセキュリティ上の脆弱性が発見された場合に、製品への影響分析、対策方針の検討、製品の修正、対策状況の通知、対策版製品の提供といった、一連のセキュリティ欠陥修正に関連する対応プロセスの妥当性が評価されます。日立では、対策状況の通知手段としてソフトウェア製品セキュリティ情報ページを公開しています。
昨今、製品セキュリティに関連する情報はWeb等で常に話題となっておりますので、セキュリティ脆弱性への迅速な対応と告知を行い、お客様でのトラブルの事前防止に努めることが必要不可欠と考えています。
そのため日立ミドルウェア製品では、ISO/IEC 15408の認証取得を通じて、セキュリティ機能が適切に設計開発するためのプロセスを評価するのみでなく、万が一セキュリティ上の脆弱性が発見された場合でも適切に対応するための「欠陥修正プロセス」の評価を今後も推進していきます。
また、このような「欠陥修正プロセス」の充実と並行し、一般的なセキュリティ脆弱性検証ソフトウェアや脆弱なソースコードパターンを検出するツールを製品検査プロセスに適用することにより、セキュリティ脆弱性の事前防止にも積極的に取り組んでいます。
JCMVP(Japan Cryptographic Module Validation Program:暗号モジュール試験及び認証制度)とは、暗号モジュールのセキュリティ機能が正しく実装されていることを確認し、鍵などの重要情報のセキュリティが確保されていることを第三者が試験するための基準です。米国の政府調達で採用されているFIPS140-2(米国連邦情報処理規格)が元になっており、国内ではJIS X 19790によって定義されています。
| 暗号モジュール名 | 取得状況 | セキュリティレベル | 承認された 暗号アルゴリズム |
製品詳細情報 |
|---|---|---|---|---|
| Keymate/Crypto JCMVPライブラリ ソフトウェアバージョン:04-00 |
取得済 (2008/04/09) |
1 | ECDSA, RSA, AES, SHS, HMAC, Hash_DRBG in NIST SP800-90 |
Keymate/Crypto [日立暗号ライブラリ] |
| Keymate/Crypto JCMVPライブラリ (Solaris版 及び Windows版) ソフトウェアバージョン:04-00 |
取得済 (2009/01/13) |
1 | ECDSA, RSA, AES, SHS, HMAC, Hash_DRBG in NIST SP800-90 |
Keymate/Crypto [日立暗号ライブラリ] |
Keymate/Crypto Version 4は、JCMVPの認証を取得しました。
