業種別テクノロジー

政府: 基準

認証および認定

認証および認定の簡素化

Red Hat は、お客様の認証および認定プロセスができるだけ簡単になるように取り組んでいます。政府の多様な要件に準拠するために、以下のリソースをご活用ください。

認定

製品 リリース レベル 保護プロファイル プラットフォーム ステータス
JBoss ® Enterprise Application Platform 4.3 EAL2 -- 評価済み
JBoss Enterprise Application Platform 5 EAL4+ -- 評価済み
Red Hat JBoss Enterprise Application Platform 6.2 EAL4+ -- 評価中 (ID #BSI-DSZ-CC-0909) Q1 CY14
MetaMatrix Data Services Platform 5.5.3 EAL2+ -- 評価済み
Red Hat Certificate System 6 EAL4+ CIMC 評価済み
Red Hat Certificate System 8.1 EAL4+ CIMC 評価済み
Red Hat Enterprise Linux 4 EAL3+ CAPP 評価済み
Red Hat Enterprise Linux 4 EAL4+ CAPP 評価済み
Red Hat Enterprise Linux 5 EAL4+ CAPP/RBACPP/LSPP 評価済み
Red Hat Enterprise Linux 5 EAL4+ KVM による仮想化 評価済み
Red Hat Enterprise Linux 6 EAL4+ OSPP (Labeled Security、Advanced Audit、Advanced Management、および仮想化用の拡張モジュールを含む) 評価済み
Red Hat Enterprise Linux 6 EAL4+ OSPP (Labeled Security、Advanced Audit、Advanced Management を含む) 評価済み
Red Hat Enterprise Linux 6 EAL4+ 32 ビット、OSPP (Advanced Audit を含む)、 Northrop Grumman 社製ペイロード制御エレメント (PCE) サーバー 309-C20213 評価中 (ID #BSI-DSZ-CC-0924)

Federal Information Processing Standard 140-2 (FIPS 140-2)

Federal Information Processing Standard 140-2 は、暗号化ツールがアルゴリズムを適切に実装していることを保証するものです。Red Hat カスタマーポータルに FIPS 140-2 に関連する記事が多数掲載されています。NIST CMVP の Web サイトでは、すべての FIPS 140-2 認定の一覧を確認できます。Red Hat 認定は以下の通りです。

製品 コンポーネント バージョン 認定番号 ステータス
Red Hat Enterprise Linux 4 NSS 3.11.4 #815 認定、レベル 1
Red Hat Enterprise Linux 4 NSS 3.11.4 #814 認定、レベル 2
Red Hat Enterprise Linux 4 NSS (Freebl) 3.12.4 #1293 認定、レベル 1
Red Hat Enterprise Linux 4 NSS 3.12.4 #1280 認定、レベル 2
Red Hat Enterprise Linux 5 Kernel Cryptographic API "1.0" #1387 認定、レベル 1
Red Hat Enterprise Linux 5 libgcrypt "1.0" #1305 認定、レベル 1
Red Hat Enterprise Linux 5 NSS 3.11.4 #815 認定、レベル 1
Red Hat Enterprise Linux 5 NSS 3.11.4 #814 認定、レベル 2
Red Hat Enterprise Linux 5 NSS (Freebl) 3.12.4 #1293 認定、レベル 1
Red Hat Enterprise Linux 5 NSS 3.12.4 #1280 認定、レベル 2
Red Hat Enterprise Linux 5 OpenSSH Client "1.0" #1385 認定、レベル 1
Red Hat Enterprise Linux 5 OpenSSH サーバー "1.0" #1384 認定、レベル 1
Red Hat Enterprise Linux 5 OpenSSL "1.0" #1320 認定、レベル 1
Red Hat Enterprise Linux 5 Openswan "1.0" #1386 認定、レベル 1
Red Hat Enterprise Linux 6 Kernel Cryptographic API "2.0" #1901 認定、レベル 1
Red Hat Enterprise Linux 6 Disk Volume Cryptographic API "2.0" #1933 認定、レベル 1
Red Hat Enterprise Linux 6 libgcrypt "2.0" #1757 認定、レベル 1
Red Hat Enterprise Linux 6 OpenSSH Client "2.0" #1791 認定、レベル 1
Red Hat Enterprise Linux 6 OpenSSH サーバー "2.0" #1792 認定、レベル 1
Red Hat Enterprise Linux 6 OpenSSL "2.0" #1758 認定、レベル 1
Red Hat Enterprise Linux 6 Openswan "2.0" #1859 認定、レベル 1
Red Hat Enterprise Linux 6 NSS (Freebl) 3.12.9.1 #1710 認定、レベル 1
Red Hat Enterprise Linux 6 NSS 3.12.9.1 #1837 認定、レベル 1

USGv6 (DOD IPv6)

Red Hat Enterprise Linux 5 および 6 は、どちらも USGv6 で認定されています。これは米国防総省 (DOD) の IPv6 (Internet Protocol version 6) 要件に置き換わるものです。詳細は、Red Hat の IPv6 のページを参照してください。

IPv6 Ready logo phase 2 *

RHEL 5.3 以降 RHEL 6.0 以降
Core Protocols: Host 認定 認定
Core Protocols: Router 認定
IPsec: End-Node 認定 認定
SNMP: Agent-Host 認定
DHCPv6: Server 認定

*IPv6 Ready Logo Phase 2 の Web サイト

US government version 6 (USGv6) テスト済み製品リスト *

RHEL 5.6 以降 RHEL 6.0 以降
Basic (Conf: v1.2、IOP: v1.1) 認定 認定
SLAAC (Conf: v1.1、IOP: v1.1) 認定 認定
Addr Arch (Conf: v1.2、IOP: v1.1) 認定 認定
ESP (Conf: v1.0、IOP: v1.1) 認定
IKEv2 (Conf: v1.1、IOP: v2.0) 認定
IPSECv3 (Conf: v1.2、IOP: v1.2) 認定

*Red Hat, Inc の USGv6 テスト済みデバイスのリスト

DISA セキュリティ技術導入ガイド (STIG: Secure Technical Implementation Guidelines)

DOD システムはすべて、実装する前に STIG 要件を満たしている必要があります。以下は、STIG 要件を満たすうえで役立つガイダンス文書の一覧です。

製品 ガイダンス ステータス
JBoss Enterprise Application Platform 4 -- --
JBoss Enterprise Application Platform 5 NIST NVD JBoss のチェックリストは、今後の STIG のベースとなります。 ドラフト。「SCAP Security Guide」セクションを参照してください。
Red Hat JBoss Enterprise Application Platform 6 -- 開発中。「SCAP Security Guide」セクションを参照してください。
Red Hat Enterprise Linux 4 UNIX General スクリプトまたは RHEL 5 ドラフトガイダンスのいずれかを使用できます。どちらのガイダンスでも追加の作業が必要です。 最終
Red Hat Enterprise Linux 5 http://iase.disa.mil/stigs/os/unix/red_hat.html ドラフト
Red Hat Enterprise Linux 6 -- 開発中、ETA 2012 年 11 月。「SCAP Security Guide」セクションを参照してください。

FISMA (連邦情報セキュリティマネジメント法: Federal Information Security Management Act)

すべての連邦機関は FISMA に準拠する必要があり、Red Hat はそのプロセスを可能な限り簡素化するよう取り組んでいます。まずは USGCB のコンテンツをお読みください。

FedRAMP

FedRAMP は、FISMA プロセスをクラウドプロバイダー向けに変えたものです。FISMA の場合と同様に、コンプライアンスの問題に対処するには、まずは USGCB をお読みください。また、Red Hat 認定クラウドプロバイダープログラムにご興味のある方は、ぜひお問い合わせください。

ICD 503 / NSSI 1253、DOD Instruction 8500.2

Intelligence Community Directive 503 は、国家安全保障システムを認定するためのシステムについて説明したものです。同様に、DOD Instruction (国防総省指令) 8500.2 は、防衛システムの要件を記述したものです。ICD 503 (および、これに伴って NIST 800-53) への適合に関するガイダンスは、SCAP-Security-Guide (SCAP セキュリティガイド) プロジェクトに記載されています。

NISPOM 第 8 章

第 8 章の要件への適合に関するガイダンスは、NISPOM (National Industrial Security Program Operating Manual) 第 8 章ナレッジベースの記事に記載されています。

第 508 条アクセシビリティ

第 508 条により、政府機関が所有するソフトウェアは身体障害を持つ人でも利用できるようにすることが義務付けられています。Red Hat では、以下に示す完全な自主的製品アクセシビリティテンプレートにより、この要件に対処しています。

製品 バージョン VPAT
Red Hat Enterprise Linux 4 RHEL 4 用 VPAT
Red Hat Enterprise Linux 5 RHEL 5 用 VPAT
Red Hat Enterprise Linux 6 RHEL 6 用 VPAT
Red Hat Network Satellite Server 5 RHN Satellite Server 5 用 VPAT
Red Hat JBoss Enterprise Application Platform 6 JBoss EAP 6.0 用 VPAT
Red Hat JBoss Portal 6.1 JBoss Portal 6.1 用 VPAT

米国陸軍の CoN 認証 (Certificate of Networthiness)

Army Networthiness (NW) は、あらゆるシステム、アプリケーション、デバイスについて、サポート性、持続性、相互運用性、および連邦、DOD、陸軍の規制と指令への準拠を判断する運用評価を提供します。Army Regulation (米国陸軍規則) AR 25-1、6-3(c) 項には、すべてのアクティビティは、ハードウェアまたはソフトウェアを LandWarNet (LWN) に接続する前に、Certificate of Networthiness (CoN) を取得する必要があると記載されています。

Army NW は、アプリケーションまたはシステムが陸軍のエンタープライズネットワークを使用する能力または価値があるかどうかを判断し、エンタープライズライセンス契約を確立して使用することによって、陸軍による標準ベースラインの確立という目標の達成を支援します。

NW は、ソフトウェアおよびハードウェアが勝手にデプロイされるのを防ぐために開発されました。また、LWN に接続するアプリケーションやハードウェアの相互運用性を確保したり、それらのアプリケーションやハードウェアによって新たな脅威が生じてネットワーク上の他のシステムに損害を与えることがないことを保証したりする手段ともなります。

CoN は、以下に挙げる LandWarNet 上の IT 資産を実装、使用、または管理するあらゆる組織に適用されます。

  • すべてのアプリケーション (COTS を含む)
  • すべての GOTS (Government Off-The-Shelf) ソフトウェア
  • すべての Web サービス
  • コラボレーションツールおよびサービス
  • 戦術システム
  • 新規システム、レガシーシステム、および実装済みシステム

CoN 認証を取得したソフトウェアのリストは、Army's Networthiness Program の Web サイト (AKO ログインが必要) に掲載されています。

USGCB (US Government Configuration Baseline: 米国政府共通設定基準)

USGCB は、ソフトウェア製品における最低限のセキュリティ設定を示したものです。Red Hat は、このガイダンスに関してさまざまな米国政府機関と密接に協力してきました。これは、機関別およびプログラム別ガイダンスを導入するにあたって、最適な出発点となります。

製品 コンテンツ ステータス
Red Hat Enterprise Linux 5 USGCB のコンテンツおよび設定ツールは、NIST から入手できます。 ドラフト
Red Hat Enterprise Linux 6 コンテンツは、Fedora scap-security-guide プロジェクトで積極的に開発されています。 開発中

SCAP (Security Content Automation Protocol: セキュリティ設定共通化手順)

SCAP は、機械的に読み取り可能な一連の設定要件です。SCAP コンテンツを SCAP ツールに渡すことで、システムのコンプライアンスを監査することができます。Red Hat Enterprise Linux 5 および 6 には OpenSCAP ツールが同梱されています。このページの「USGCB (US Government Configuration Baseline: 米国政府共通設定基準)」セクションで Red Hat の SCAP コンテンツのリストを確認できます。

OVAL (Open Vulnerability and Assessment Language: セキュリティ検査言語)

OVAL は、セキュリティの脆弱性を統一した方法で示すのに役立つ、セキュリティ標準です。Red Hat は、2002 年に標準の制定を支援しており、Red Hat 製品セキュリティチームは、Red Hat のすべてのセキュリティアドバイザリーの OVAL コンテンツを発行しています。詳細は、Red Hat 製品セキュリティの OVAL FAQ を参照してください。

CVE (Common Vulnerability Enumeration: 共通脆弱性タイプ一覧)

CVE は、ソフトウェアに存在する既知の弱点を共通の識別子で識別できるようにします。CVE データベースは MITRE によって管理されます。Red Hat 製品に対して CVE が発行されている場合、Red Hat はベンダーステートメントを同梱してその脆弱性の修正方法に関する情報を提供します。詳細は、Red Hat カスタマーポータルの「How do I know if a CVE name affects a Red Hat Enterprise Linux package? (CVE 名が Red Hat Enterprise Linux パッケージに影響を与えるかどうかを知る方法)」を参照してください。

IAVA (Information Assurance Vulnerability Alerts: 情報保証の脆弱性警告)

IAVA は、CVE と同様、DOD の職員にシステムのセキュリティ保護に関する指示を与えるものです。DISA の IAVM-to-CVE マッピングは非常に役立つでしょう。

プロジェクト

関連プロジェクト

OpenSCAP
OpenSCAP は、SCAP コンテンツを実行するためのツールです。同プロジェクトは、Red Hat Enterprise Linux に同梱された OpenSCAP ツールの上に位置するものです。
SCAP Workbench
SCAP Workbench は、SCAP コンテンツを簡単に作成および編集できるインターフェースです。
scap-security-guide
scap-security-guide は、Red Hat、お客様、および多数の政府機関が協力して、Red Hat Enterprise Linux 用の管理可能な一連の共通 SCAP コンテンツを開発しています。同プロジェクトでは、Red Hat Enterprise Linux 6 用 USGCB コンテンツに積極的に取り組んでいます。このコンテンツを OpenSCAP などのツールで使用して、システムを監査したり、コンテンツをセキュリティが強化された正式なドキュメントに変換したりできます。Red Hat は、このガイダンスが DOD 向けの RHEL 6 SRG (STIG) のベースとなることを目指しています。
Aqueduct
Aqueduct は、Red Hat がスポンサーを務めるプロジェクトです。多様なセキュリティ体制に一括適用できる、Bash スクリプトと Puppet マニフェストの共通プールを作成しています。たとえば、DISA STIG 要件または SAS-70 要件のどちらにも、パスワードの最低文字数が確実に使用されるようにするコードなどがあります。これらは「STIG a RHEL box in 5 minutes (5 分で RHEL システムに STIG)」ガイドで有名です。
Certifiable Linux Implementation Platform (CLIP)
CLIP ツールは、Tresys のプロジェクトであり、マシンを簡単に再設定して、多様な認証および認定体制に適合できるようにします。

コミュニティ

役立つコミュニティ

gov-sec
Red Hat がスポンサーを務める gov-sec コミュニティは、米国政府のセキュリティ専門家向けの投稿が管理されているメーリングリストです。
Military Open Source ワーキンググループ
Mil-OSS は、DOD 内のオープンソースファンのコミュニティです。Red Hat には属していませんが、Red Hat の多くの社員がメンバーとして積極的に活動しています。このページの情報にご興味をお持ちの方は、このグループに参加することをお勧めします。詳細は、Mil-OSS の Web サイトをご覧ください。
カスタマーポータル
Red Hat のお客様は、Red Hat カスタマーポータルからさまざまなセキュリティ情報、掲示板、およびナレッジベース記事にアクセスすることができます。
Red Hat アカウントチーム
Red Hat は単に製品を販売するだけではありません。常にお客様を支援いたします。セキュリティ、コンプライアンス、または設定要件についてご質問がございましたら、地域の営業担当者やソリューションアーキテクトにお気軽にお問い合わせください。

コモンクライテリア

コモンクライテリア : 情報保証製品に関する国際的に認められた認定

FAQ

「評価中」の製品を使用できますか?

連邦政府機関は、NSTISSP No. 11 に基づき、米国が承認した保護プロファイルを使用して認定された製品を選択する必要があります。該当する製品がない場合は、別のプロファイルに基づいて認定されたものを使用できます。それもない場合は、その製品が評価中であることを確認する必要があります。プロセスのわかりやすい説明については、こちらを参照してください。

弊社はコモンクライテリアのプロセスを何度も通過してきましたが、「評価中」の製品は、その響きほど不確実なものではありません。評価中の場合、最終的には認定が得られると確信しています。単に時間の問題です。評価中の製品の承認に関して問題が発生した場合は、弊社からお客様の DAA にお話しさせていただきます。

すぐに導入する必要がありますが、いつ認定されるのか配です。

Red Hat では、お客様が使い慣れているバージョンの Red Hat® Enterprise Linux® を可能な限り簡単にお使いいただけるようにしています。現在のサブスクリプションを所有しているお客様は、どのバージョンの製品でもお使いいただけます。そのため、今すぐサブスクリプションをご購入いただくと、現在認定されているバージョンを実装でき、認定された場合は最新バージョンに移行できます。追加のコストは一切かかりません。

NIAP の Web サイトで Red Hat の認定が見つからないのはなぜですか。

Red Hat Enterprise Linux 6 は、BSI により、OS Protection Profile において保証レベル 4+ (EAL4+) 認定を取得しています。これは、コモンクライテリア相互承認協定に基づく NIAP による認定に相当します。相互承認に関する詳細は、CCRA の Web サイトを参照してください。このサイトには、相互の評価を認め合うメンバー国のリストが掲載されています。