業界別テクノロジー

政府: 標準

認証および認定

認証および認定の簡素化

Red Hat は、お客様の認証および認定プロセスを可能な限り簡素化するために取り組んでいます。政府の多様な要件に準拠するために、以下のリソースをご活用ください。

認定

製品 リリース レベル 保護プロファイル プラットフォーム ステータス
JBoss ® Enterprise Application Platform 4.3 EAL2 -- 評価済み
JBoss Enterprise Application Platform 5 EAL4+ -- 評価済み
Red Hat JBoss Enterprise Application Platform 6.2 EAL4+ -- 評価中 (ID #BSI-DSZ-CC-0909) Q1 CY14
MetaMatrix Data Services Platform 5.5.3 EAL2+ -- 評価済み
Red Hat Certificate System 6 EAL4+ CIMC 評価済み
Red Hat Certificate System 8.1 EAL4+ CIMC 評価済み
Red Hat Enterprise Linux 4 EAL3+ CAPP 評価済み
Red Hat Enterprise Linux 4 EAL4+ CAPP 評価済み
Red Hat Enterprise Linux 5 EAL4+ CAPP/RBACPP/LSPP 評価済み
Red Hat Enterprise Linux 5 EAL4+ 、KVM による仮想化 評価済み
Red Hat Enterprise Linux 6 EAL4+ OSPP (Labeled Security、Advanced Audit、Advanced Management、および仮想化用拡張モジュールを含む) 評価済み
Red Hat Enterprise Linux 6 EAL4+ OSPP (Labeled Security、Advanced Audit、Advanced Management を含む) 評価済み
Red Hat Enterprise Linux 6 EAL4+ 32 ビット、OSPP (Advanced Audit を含む) 評価済み
Red Hat Enterprise Linux 7 EAL4+ OSPP v2.0、OSPP v3.9
  • Dell PowerEdge 第 13 世代サーバーファミリー
  • Dell Precision Rack 7910
  • HP DL、BL、ML、SL サーバー G7、Gen8、Gen9 世代 (64 ビット Intel Xeon プロセッサー搭載)
  • HP DL、BL、ML、SL サーバー G7、Gen8 世代 (64 ビット AMD Opteron プロセッサー搭載)
評価中 (ID #BSI-DSZ-CC-0949)

Federal Information Processing Standard 140-2 (FIPS 140-2)

Federal Information Processing Standard 140-2 は、暗号化ツールがアルゴリズムを適切に実装していることを保証するものです。Red Hat カスタマーポータルに FIPS 140-2 に関連する記事が多数掲載されています。NIST CMVP の Web サイトでは、FIPS 140-2 認定の完全なリストを確認できます。Red Hat で認定されているのは次のとおりです。

製品 コンポーネント バージョン 認定番号 ステータス
Red Hat Enterprise Linux 4 NSS 3.11.4 #815 認定、レベル 1
Red Hat Enterprise Linux 4 NSS 3.11.4 #814 認定、レベル 2
Red Hat Enterprise Linux 4 NSS (Freebl) 3.12.4 #1293 認定、レベル 1
Red Hat Enterprise Linux 4 NSS 3.12.4 #1280 認定、レベル 2
Red Hat Enterprise Linux 5 Kernel Cryptographic API "1.0" #1387 認定、レベル 1
Red Hat Enterprise Linux 5 libgcrypt "1.0" #1305 認定、レベル 1
Red Hat Enterprise Linux 5 NSS 3.11.4 #815 認定、レベル 1
Red Hat Enterprise Linux 5 NSS 3.11.4 #814 認定、レベル 2
Red Hat Enterprise Linux 5 NSS (Freebl) 3.12.4 #1293 認定、レベル 1
Red Hat Enterprise Linux 5 NSS 3.12.4 #1280 認定、レベル 2
Red Hat Enterprise Linux 5 OpenSSH Client "1.0" #1385 認定、レベル 1
Red Hat Enterprise Linux 5 OpenSSH サーバー "1.0" #1384 認定、レベル 1
Red Hat Enterprise Linux 5 OpenSSL "1.0" #1320 認定、レベル 1
Red Hat Enterprise Linux 5 Openswan "1.0" #1386 認定、レベル 1
Red Hat Enterprise Linux 6 Kernel Cryptographic API "2.0" #1901 認定、レベル 1
Red Hat Enterprise Linux 6 Disk Volume Cryptographic API "2.0" #1933 認定、レベル 1
Red Hat Enterprise Linux 6 libgcrypt "2.0" #1757 認定、レベル 1
Red Hat Enterprise Linux 6 OpenSSH Client "2.0" #1791 認定、レベル 1
Red Hat Enterprise Linux 6 OpenSSH サーバー "2.0" #1792 認定、レベル 1
Red Hat Enterprise Linux 6 OpenSSL "2.0" #1758 認定、レベル 1
Red Hat Enterprise Linux 6 Openswan "2.0" #1859 認定、レベル 1
Red Hat Enterprise Linux 6 NSS (Freebl) 3.12.9.1 #1710 認定、レベル 1
Red Hat Enterprise Linux 6 NSS 3.12.9.1 #1837 認定、レベル 1

USGv6 (DOD IPv6)

Red Hat Enterprise Linux 5 および 6 は、どちらも USGv6 で認定されています。これは米国防総省 (DOD) の IPv6 (Internet Protocol version 6) 要件に置き換わるものです。詳細は、Red Hat の IPv6 のページをご覧ください。

IPv6 Ready logo phase 2 *

RHEL 5.3 以降 RHEL 6.0 以降
Core Protocols: Host 認定 認定
Core Protocols: Router 認定
IPsec: End-Node 認定 認定
SNMP: Agent-Host 認定
DHCPv6: Server 認定

*IPv6 Ready Logo Phase 2 の Web サイト

US government version 6 (USGv6) テスト済み製品リスト *

RHEL 5.6 以降 RHEL 6.0 以降
Basic (Conf: v1.2、IOP: v1.1) 認定 認定
SLAAC (Conf: v1.1、IOP: v1.1) 認定 認定
Addr Arch (Conf: v1.2、IOP: v1.1) 認定 認定
ESP (Conf: v1.0、IOP: v1.1) 認定
IKEv2 (Conf: v1.1、IOP: v2.0) 認定
IPSECv3 (Conf: v1.2、IOP: v1.2) 認定

* Red Hat, Inc の USGv6 テスト済みデバイスのリスト

DISA セキュリティ技術導入ガイド (STIG: Secure Technical Implementation Guidelines)

DOD システムはすべて、実装する前に STIG 要件を満たしている必要があります。以下は、STIG 要件を満たす上で役立つガイダンス文書のリストです。

製品 ガイダンス ステータス
JBoss Enterprise Application Platform 4 -- --
JBoss Enterprise Application Platform 5 NIST NVD JBoss のチェックリストは、今後の STIG のベースとなります。 ドラフト版。「SCAP Security Guide」セクションをご覧ください。
Red Hat JBoss Enterprise Application Platform 6 -- 作成中。「SCAP Security Guide」セクションをご覧ください。
Red Hat Enterprise Linux 4 UNIX General スクリプトまたは RHEL 5 ドラフトガイダンスのいずれかを使用できます。どちらのガイダンスでも追加の作業が必要です。 最終版
Red Hat Enterprise Linux 5 http://iase.disa.mil/stigs/os/unix-linux/Pages/red-hat.aspx ドラフト版
Red Hat Enterprise Linux 6 -- 作成中、ETA 2012 年 11 月。「SCAP Security Guide」セクションをご覧ください。

FISMA (連邦情報セキュリティマネジメント法: Federal Information Security Management Act)

すべての連邦機関は FISMA に準拠する必要があり、Red Hat はそのプロセスを可能な限り簡素化するために取り組んでいます。まずは USGCB のコンテンツをお読みください。

FedRAMP

FedRAMP は、FISMA プロセスをクラウドプロバイダー向けに変更したものです。FISMA の場合と同様に、コンプライアンスの問題に対処するには、まずは USGCB をお読みください。また、Red Hat 認定クラウドプロバイダープログラムにご興味がある場合は、ぜひお問い合わせください。

ICD 503 / NSSI 1253、DOD Instruction 8500.2

Intelligence Community Directive 503 は、国家安全保障システムを認定するためのシステムについて説明したものです。同様に、DOD Instruction (国防総省指令) 8500.2 は、防衛システムの要件を説明したものです。ICD 503 (および、これに伴って NIST 800-53) への適合に関するガイダンスは、SCAP-Security-Guide (SCAP セキュリティガイド) プロジェクトに記載されています。

NISPOM 第 8 章

第 8 章の要件への適合に関するガイダンスは、NISPOM (National Industrial Security Program Operating Manual) 第 8 章ナレッジベースの記事に記載されています。

第 508 条アクセシビリティ

第 508 条により、政府機関が所有するソフトウェアは身体障害を持つ人も利用できるようにすることが義務付けられています。Red Hat では、以下に示す完全な自主的製品アクセシビリティテンプレートにより、この要件に対処しています。

製品 バージョン VPAT
Red Hat Enterprise Linux 4 RHEL 4 用 VPAT
Red Hat Enterprise Linux 5 RHEL 5 用 VPAT
Red Hat Enterprise Linux 6 RHEL 6 用 VPAT
Red Hat Network Satellite Server 5 RHN Satellite Server 5 用 VPAT
Red Hat JBoss Enterprise Application Platform 6 JBoss EAP 6.0 用 VPAT
Red Hat JBoss Portal 6.1 JBoss Portal 6.1 用 VPAT

米国陸軍の CoN 認証 (Certificate of Networthiness)

Army Networthiness (NW) は、あらゆるシステム、アプリケーション、デバイスについて、サポート性、持続可能性、相互運用性、および連邦、DOD、陸軍の規制と指令への準拠を判断する運用評価を提供します。Army Regulation (米国陸軍規則) AR 25-1、6-3(c) 項には、すべてのアクティビティは、ハードウェアまたはソフトウェアを LandWarNet (LWN) に接続する前に、Certificate of Networthiness (CoN) を取得する必要があると記載されています。

Army NW は、アプリケーションまたはシステムが陸軍のエンタープライズネットワークを使用する能力または価値があるかどうかを判断し、エンタープライズライセンス契約を確立して使用することによって、陸軍による標準ベースラインの確立という目標の達成を支援します。

NW は、ソフトウェアおよびハードウェアが勝手にデプロイされるのを防ぐために開発されました。また、LWN に接続するアプリケーションやハードウェアの相互運用性を確保したり、それらのアプリケーションやハードウェアによって新たな脅威が生じてネットワーク上の他のシステムに損害を与えることがないことを保証したりする手段ともなります。

CoN は、以下に挙げる LandWarNet 上の IT 資産を実装、使用、または管理するあらゆる組織に適用されます。

  • すべてのアプリケーション (COTS を含む)
  • すべての GOTS (Government Off-The-Shelf) ソフトウェア
  • すべての Web サービス
  • コラボレーションツールおよびサービス
  • 戦術システム
  • 新規システム、レガシーシステム、および実装済みシステム

CoN 認証を取得したソフトウェアのリストは、Army's Networthiness Program の Web サイト (AKO ログインが必要) に掲載されています。

USGCB (US Government Configuration Baseline: 米国政府共通設定基準)

USGCB は、ソフトウェア製品における最低限のセキュリティ設定を示したものです。Red Hat は、このガイダンスに関してさまざまな米国政府機関と密接に協力してきました。このガイダンスは、機関別およびプログラム別ガイダンスを導入する入口として最適です。

製品 コンテンツ ステータス
Red Hat Enterprise Linux 5 USGCB のコンテンツおよび設定ツールは、NIST から入手できます。 ドラフト版
Red Hat Enterprise Linux 6 コンテンツは、Fedora scap-security-guide プロジェクトで現在作成中です。 作成中

SCAP (Security Content Automation Protocol: セキュリティ設定共通化手順)

SCAP は、機械的に読み取り可能な一連の設定要件です。SCAP コンテンツを SCAP ツールに渡すことで、システムのコンプライアンスを監査できます。Red Hat Enterprise Linux 5 および 6 には OpenSCAP ツールが同梱されています。このページの「USGCB (US Government Configuration Baseline: 米国政府共通設定基準)」セクションで Red Hat の SCAP コンテンツのリストを確認できます。

OVAL (Open Vulnerability and Assessment Language: セキュリティ検査言語)

OVAL は、セキュリティの脆弱性を統一した方法で示すのに役立つ、セキュリティ標準です。Red Hat は、2002 年に標準の制定を支援しており、Red Hat 製品セキュリティチームは、Red Hat のすべてのセキュリティアドバイザリーの OVAL コンテンツを発行しています。詳細は、Red Hat 製品セキュリティの OVAL FAQ をご覧ください。

CVE (Common Vulnerability Enumeration: 共通脆弱性タイプリスト)

CVE は、ソフトウェアに存在する既知の弱点を共通の識別子で識別できるようにします。CVE データベースは MITRE によって管理されます。Red Hat 製品に対して CVE が発行されている場合、Red Hat はベンダーステートメントを同梱して、その脆弱性の修正方法に関する情報を提供します。詳細は、Red Hat カスタマーポータルの「How do I know if a CVE name affects a Red Hat Enterprise Linux package? (CVE 名が Red Hat Enterprise Linux パッケージに影響を与えるかどうか知る方法)」をご覧ください。

IAVA (Information Assurance Vulnerability Alerts: 情報保証の脆弱性警告)

IAVA は、CVE と同様、DOD の職員にシステムのセキュリティ保護に関する指示を与えるものです。DISA の IAVM-to-CVE マッピングは非常に役立つでしょう。

プロジェクト

関連プロジェクト

OpenSCAP
OpenSCAP は、SCAP コンテンツを実行するためのツールです。Red Hat Enterprise Linux に同梱された OpenSCAP ツールの上に位置するプロジェクトです。
SCAP Workbench
SCAP Workbench は、SCAP コンテンツを簡単に作成および編集できるインターフェースです。
scap-security-guide
scap-security-guide では、Red Hat、お客様、および多数の政府機関が協力して、Red Hat Enterprise Linux 向けに管理可能な一連の共通 SCAP コンテンツを開発しています。Red Hat Enterprise Linux 6 用 USGCB コンテンツの開発に注力しています。このコンテンツを OpenSCAP などのツールで使用して、システムを監査したり、コンテンツをセキュリティの強化された正式なドキュメントに変換したりすることができます。Red Hat は、このガイダンスが DOD 向けの RHEL 6 SRG (STIG) のベースとなることを目指しています。
Aqueduct
Aqueduct は、Red Hat がスポンサーを務めるプロジェクトです。多様なセキュリティ体制に一括適用可能な、bash スクリプトと Puppet マニフェストの共通プールを作成しています。たとえば、DISA STIG 要件または SAS-70 要件のいずれかに、パスワードの最低文字数が確実に使用されるようにするコードなどがあります。これらは「STIG a RHEL box in 5 minutes (5 分で RHEL システムに STIG)」ガイドで有名です。
Certifiable Linux Implementation Platform (CLIP)
CLIP ツールは、Tresys のプロジェクトです。マシンを簡単に再設定して、多様な認証および認定体制に適合できるようにします。

コミュニティ

役立つコミュニティ

gov-sec
Red Hat がスポンサーを務める gov-sec コミュニティは、米国政府のセキュリティ専門家向けの投稿が管理されているメーリングリストです。
Military Open Source ワーキンググループ
Mil-OSS は、DOD 内のオープンソースファンのコミュニティです。Red Hat と提携はしていませんが、Red Hat の多くの社員がメンバーとして積極的に活動しています。このページの情報にご興味がある場合は、このグループに参加することをお勧めします。詳細は、Mil-OSS の Web サイトをご覧ください。
カスタマーポータル
Red Hat のお客様は、Red Hat カスタマーポータルからさまざまなセキュリティ情報、掲示板、およびナレッジベース記事にアクセスすることができます。
Red Hat アカウントチーム
Red Hat は単に製品を販売するだけではありません。常にお客様を支援いたします。セキュリティ、コンプライアンス、または設定要件についてご質問がございましたら、地域の営業担当者やソリューションアーキテクトにお気軽にお問い合わせください。

コモンクライテリア

コモンクライテリアとは、情報保証製品に関する国際的に認められた認証です

FAQ

「評価中」の製品を使用できますか?

連邦政府機関は、NSTISSP No. 11 に基づき、米国が承認した保護プロファイルを使用して認定された製品を選択する必要があります。該当する製品がない場合は、別のプロファイルに基づいて認定されたものを使用できます。それもない場合は、その製品が評価中であることを確認する必要があります。プロセスのわかりやすい説明については、こちらをご覧ください。

Red Hat はコモンクライテリアのプロセスを何度も通過してきました。過去の経験から、「評価中」の製品は、その響きほど不確実なものではないと言えます。評価中の場合、最終的には認定が得られると確信しています。認定は時間の問題です。評価中の製品の承認に関して問題が発生した場合は、弊社からお客様の DAA にお話しさせていただきます。

すぐにデプロイする必要があるのですが、いつ認定されるのでしょうか。

Red Hat では、お客様が使い慣れているバージョンの Red Hat® Enterprise Linux® を可能な限り簡単にご利用いただけるようにしています。現在のサブスクリプションを所有しているお客様は、どのバージョンの製品でもお使いいただけます。そのため、今すぐサブスクリプションを購入して、現在認定されているバージョンに実装し、最新バージョンが認定されたらそちらに移行していただくことが可能です。追加のコストは一切かかりません。

NIAP の Web サイトで Red Hat の認定が見つからないのはなぜですか。

Red Hat Enterprise Linux 6 は、OS Protection Profile の保証レベル 4+ (EAL4+) 認定を BSI より受けています。これは、コモンクライテリア相互承認協定に基づく NIAP による認定に相当します。相互承認に関する詳細は、CCRA の Web サイトをご覧ください。このサイトには、相互の評価を認め合うメンバー国のリストが掲載されています。