Red Hat Enterprise Linux のセキュリティ認証

Common Criteriaは第三者によるIT製品のセキュリティを公正に認定する機関です。一連のセキュリティ要件への準拠に関して、IT製品の分析とテストを行っています。

実際の製品はベースレベル、すなわちEvaluated Assurance Level（EAL）に照らして評価されます。汎用オペレーティングシステムについては、これらの レベルは1～4の4段階があります。4は最も厳格で綿密な審査が行われます。

この評価は、米国政府の安全保障政策指令、NSTISSP（National Security Telecommunications and Information Systems Security Policy）#11に準拠 しています。このポリシーでは、国家安全保障システムで使用される製品については、第三者機関によるセキュリティ認定を受けていることが要件とさ れます。

Common Criteria（CC）は、技術製品のセキュリティと保証を評価するために全世界の政府や組織で使用されている、国際的に認められたISO標準規格（ ISO/IEC 15408）です。CCは、セキュリティ要件を規定し、製品を評価するための基準を定義します。CCは、IT専門家や政府機関を含むさまざまな場所でミッションクリティカルソフトウェアの認証として広く認められています。

Red Hat Enterprise Linux 5は、複数の異なるプラットフォームでControlled Access Protection Profile（CAPP）のほか、Labeled Security Protection Profile（LSPP）およびRole Based Access Control Protection Profile（RBAC）についてEAL 4+認定を与えられています。これらのプロファイルは、レベル3のDirector of Central Intelligence Directive（DCID）6/3の要件をサポートします。この要件はTop Secret and Below Interoperability（TSABI）に必要な措置を含め、インテリジェンス関連の情報セキュリティ措置を規定します。

これらの評価は、Red Hat Enterprise Linux 5が、これまで一握りのプロプライエタリなOSでしか達成されなかったセキュリティレベルに到達している ことを意味します。それらのプロプライエタリシステムは、Red Hat Enterprise Linux 5と異なり、従来、トラステッドバージョンと標準バージョンの 両方について別々にハードウェアおよびアプリケーションの認定が必要でした。

当社製品、Red Hat Enterprise Linuxについては、Red Hat Enterprise Linux v.4/Red Hat Enterprise Linux v.5がCC EAL4の認証を受けています。また、Red Hat Enterprise Linux v.3がCC EAL3の認証を受けています。
これによりISO15408認証を受けたこととなります。