業種別テクノロジー

政府標準規格

認証および認定

認証および認定の簡素化

Red Hat は、組織における認証および認定プロセスを可能な限り簡素化することに注力しています。政府の多様な要件に準拠するために、以下の情報をお役立てください。

認定

製品 リリース レベル 保護プロファイル プラットフォーム ステータス
JBoss ® Enterprise Application Platform 4.3 EAL2 -- 評価済み
JBoss Enterprise Application Platform 5 EAL4 以上 -- 評価済み
Red Hat JBoss Enterprise Application Platform 6.2 EAL4 以上 -- 評価済み
MetaMatrix Data Services Platform 5.5.3 EAL2 以上 -- 評価済み
Red Hat Certificate System 6 EAL4 以上 CIMC 評価済み
Red Hat Certificate System 8.1 EAL4 以上 CIMC 評価済み
Red Hat Enterprise Linux 4 EAL3 以上 CAPP 評価済み
Red Hat Enterprise Linux 4 EAL4 以上 CAPP 評価済み
Red Hat Enterprise Linux 5 EAL4 以上 CAPP/RBACPP/LSPP 評価済み
Red Hat Enterprise Linux 5 EAL4 以上 KVM による仮想化 評価済み
Red Hat Enterprise Linux 6 EAL4 以上 OSPP(Labeled Security、Advanced Audit、Advanced Management、および仮想化用拡張モジュールを含む) 評価済み
Red Hat Enterprise Linux 6 EAL4 以上 OSPP(Labeled Security、Advanced Audit、Advanced Management を含む) 評価済み
Red Hat Enterprise Linux 6 EAL4 以上 32 ビット、OSPP(Advanced Audit を含む) 評価済み
Red Hat Enterprise Linux 7 EAL4 以上 OSPP v2.0、OSPP v3.9
  • Dell PowerEdge 第 13 世代サーバーファミリー
  • Dell Precision Rack 7910
  • HP DL、BL、ML、SL サーバー G7、Gen8、Gen9 世代(64 ビット Intel Xeon プロセッサー搭載)
  • HP DL、BL、ML、SL サーバー G7、Gen8 世代(64 ビット AMD Opteron プロセッサー搭載)
  • IBM System z(z/Architecture プロセッサー搭載):zEnterprise EC12(zEC12)、zEnterprise BC12(zBC12)、zEnterprise 196(z196)、zEnterprise 114(z114)
  • IBM System p(Power 8 プロセッサー搭載)で Power 3.6 向けの RHEV と PowerVM を使用する実行環境を提供:Big Endian と PowerVM:Power 835 モデル 8286-41A、Little Endian と Power 3.6 向けの RHEV:Power 835 モデル 8284-22A
評価中(ID #BSI-DSZ-CC-0949)

Federal Information Processing Standard 140-2(FIPS 140-2)

Federal Information Processing Standard 140-2 は、暗号化ツールが指定のアルゴリズムを適正に実装していることを保証します。 Red Hat カスタマーポータルには、FIPS 140-2 に関する多くの記事があります。NIST CMVP の Web サイトでは、FIPS 140-2 認定の全一覧を確認できます。Red Hat で認定されているのは次のとおりです。

製品 コンポーネント バージョン 認定番号 ステータス
Red Hat Enterprise Linux 4 NSS 3.11.4 #815 認定済み、レベル 1
Red Hat Enterprise Linux 4 NSS 3.11.4 #814 認定済み、レベル 2
Red Hat Enterprise Linux 4 NSS(Freebl) 3.12.4 #1293 認定済み、レベル 1
Red Hat Enterprise Linux 4 NSS 3.12.4 #1280 認定済み、レベル 2
Red Hat Enterprise Linux 5 Kernel Cryptographic API 1.0 #1387 認定済み、レベル 1
Red Hat Enterprise Linux 5 libgcrypt 1.0 #1305 認定済み、レベル 1
Red Hat Enterprise Linux 5 NSS 3.11.4 #815 認定済み、レベル 1
Red Hat Enterprise Linux 5 NSS 3.11.4 #814 認定済み、レベル 2
Red Hat Enterprise Linux 5 NSS(Freebl) 3.12.4 #1293 認定済み、レベル 1
Red Hat Enterprise Linux 5 NSS 3.12.4 #1280 認定済み、レベル 2
Red Hat Enterprise Linux 5 OpenSSH クライアント 1.0 #1385 認定済み、レベル 1
Red Hat Enterprise Linux 5 OpenSSH サーバー 1.0 #1384 認定済み、レベル 1
Red Hat Enterprise Linux 5 OpenSSL 1.0 #1320 認定済み、レベル 1
Red Hat Enterprise Linux 5 Openswan 1.0 #1386 認定済み、レベル 1
Red Hat Enterprise Linux 6 Kernel Cryptographic API 2.0 #1901 認定済み、レベル 1
Red Hat Enterprise Linux 6 Disk Volume Cryptographic API 2.0 #1933 認定済み、レベル 1
Red Hat Enterprise Linux 6 libgcrypt 2.0 #1757 認定済み、レベル 1
Red Hat Enterprise Linux 6 OpenSSH クライアント 2.0 #1791 認定済み、レベル 1
Red Hat Enterprise Linux 6 OpenSSH サーバー 2.0 #1792 認定済み、レベル 1
Red Hat Enterprise Linux 6 OpenSSL 2.0 #1758 認定済み、レベル 1
Red Hat Enterprise Linux 6 Openswan 2.0 #1859 認定済み、レベル 1
Red Hat Enterprise Linux 6 NSS(Freebl) 3.12.9.1 #1710 認定済み、レベル 1
Red Hat Enterprise Linux 6 NSS 3.12.9.1 #1837 認定済み、レベル 1
Red Hat Enterprise Linux 6 OpenSSL 3.0 #2441 認定済み、レベル 1
Red Hat Enterprise Linux 6 OpenSSH サーバー 3.0 #2446 認定済み、レベル 1
Red Hat Enterprise Linux 6 OpenSSH クライアント 3.0 #2447 認定済み、レベル 1
Red Hat Enterprise Linux 6 NSS 3.14.3-22 #2564 認定済み、レベル 2
Red Hat Enterprise Linux 6 Kernel Cryptographic API 3.0 #2582 認定済み、レベル 1
Red Hat Enterprise Linux 7 OpenSSL 4.0 #2441 認定済み、レベル 1
Red Hat Enterprise Linux 7 OpenSSH サーバー 4.0 #2630 認定済み、レベル 1
Red Hat Enterprise Linux 7 OpenSSH クライアント 4.0 #2633 認定済み、レベル 1
Red Hat Enterprise Linux 7 libgcrypt 4.0 #2657 認定済み、レベル 1

USGv6(DOD IPv6)

Red Hat Enterprise Linux 5 および 6 は、米国防総省(DOD)の IPv6(Internet Protocol version 6)要件に置き換わった USGv6 で認定されています。

IPv6 Ready logo phase 2

RHEL 5.3 以降 RHEL 6.0 以降
コアプロトコル:ホスト 認定済み 認定済み
コアプロトコル:ルーター 認定済み
IPsec:End-Node 認定済み 認定済み
SNMP:Agent-Host 認定済み
DHCPv6:サーバー 認定済み

US government version 6(USGv6)テスト済み製品リスト *

RHEL 5.6 以降 RHEL 6.0 以降
Basic(Conf:v1.2, IOP:v1.1) 認定済み 認定済み
SLAAC(Conf:v1.1, IOP:v1.1) 認定済み 認定済み
Basic(Conf:v1.2, IOP: v1.1) 認定済み 認定済み
ESP(Conf:v1.0, IOP:v1.1) 認定済み
IKEv2(Conf:v1.1、IOP:v2.0) 認定済み
IPSECv3(Conf:v1.2、IOP:v1.2) 認定済み

* Red Hat の USGv6 テスト済みデバイスのリスト

DISA セキュリティ技術導入ガイド(STIG:Secure Technical Implementation Guidelines)

すべての DOD システムは、実装する前に STIG 要件を満たしている必要があります。以下は、STIG 要件を満たす上で役立つガイダンス資料のリストです。

製品 アドバイス ステータス
JBoss Enterprise Application Platform 4 -- --
JBoss Enterprise Application Platform 5 NIST NVD JBoss のチェックリストは、今後の STIG のベースとなります。 ドラフト版。「SCAP Security Guide」セクションをご覧ください。
Red Hat JBoss Enterprise Application Platform 6 -- 開発中。「SCAP Security Guide」セクションをご覧ください。
Red Hat Enterprise Linux 4 RHEL 5 ドラフト版ガイドラインを使用してください。どちらのガイドラインにも追加の作業が必要です。 最終版
Red Hat Enterprise Linux 5 http://iase.disa.mil/stigs/os/unix-linux/Pages/red-hat.aspx ドラフト版
Red Hat Enterprise Linux 6 -- SCAP Security Guide」セクションをご覧ください。

FISMA(連邦情報セキュリティマネジメント法:Federal Information Security Management Act)

すべての連邦機関は FISMA に準拠する必要があり、Red Hat はそのプロセスを可能な限り簡素化するよう取り組んでいます。USGCB の内容の確認から始めると良いでしょう。

FedRAMP

FedRAMP は、FISMA プロセスをクラウドプロバイダー向けに変更したものです。FISMA の場合と同様に、コンプライアンスに関して不明な点がある場合は、まず USGCB をお読みください。また、Red Hat 認定クラウドプロバイダープログラムにご興味がある場合は、ぜひお問い合わせください。

ICD 503 / NSSI 1253、DOD Instruction 8500.2

Intelligence Community Directive 503 は、国家安全保障システムを認定するためのシステムについて説明したものです。同様に、DOD Instruction(国防総省指令)8500.2 は、防衛システムの要件を説明したものです。ICD 503(そして NIST 800-53)の要件への適合に関するガイダンスは SCAP-Security-Guide プロジェクトにあります。

NISPOM 第 8 章

第 8 章の要件への適合に関するガイダンスは、NISPOM(National Industrial Security Program Operating Manual)第 8 章ナレッジベースの記事に記載されています。

第 508 条アクセシビリティ

第 508 条により、政府機関が所有するソフトウェアは身体障害を持つ人でも利用できるようにすることが義務付けられています。Red Hat では、以下に示す完全な VPAT(Voluntary Product Accessibility Templates)により、この要件に対応しています。

製品 バージョン VPAT
Red Hat Enterprise Linux 4 RHEL 4 用 VPAT
Red Hat Enterprise Linux 5 RHEL 5 用 VPAT
Red Hat Enterprise Linux 6 RHEL 6 用 VPAT
Red Hat Enterprise Linux 7 RHEL 7 用 VPAT
Red Hat Network Satellite Server 5 RHN Satellite Server 5 用 VPAT
Red Hat Network Satellite Server 6 RHN Satellite Server 6 用 VPAT
Red Hat JBoss Enterprise Application Platform 6 JBoss EAP 6.0 用 VPAT
Red Hat OpenShift 3 Red Hat OpenShift 3
Red Hat CloudForms 3 Red Hat CloudForms 3
Red Hat Gluster Storage 3 Red Hat Gluster Storage 3

米国陸軍の CoN 認証(Certificate of Networthiness)

Army Networthiness(NW)は、あらゆるシステム、アプリケーション、デバイスについて、サポート性、持続可能性、相互運用性、および連邦、DOD、陸軍の規制と指令への準拠を判断する運用評価を提供します。Army Regulation AR 25-1 のパラグラフ 6-3(c)は、LandWarNet(LWN)のハードウェアやソフトウェアに接続する前にすべての活動に対して、CON 認証を得ている必要があると規定しています。

Army NW は、アプリケーションやシステムが陸軍のエンタープライズネットワークを使用する能力、または価値があるかどうかを特定し、エンタープライズライセンス契約を確立して使用することによって、陸軍の標準ベースラインの確立という目標の達成を支援します。

NW は、ソフトウェアおよびハードウェアの管理されていないデプロイを防ぐために開発されました。また、LWN に接続するアプリケーションやハードウェアの相互運用性を確保したり、それらのアプリケーションやハードウェアによる新たな脅威によって、ネットワーク上の他のシステムに損害を与えることがないことを保証したりする手段ともなります。

CoN は、以下に挙げる LandWarNet 上の IT 資産を実装、使用、または管理するすべての組織に適用されます。

  • すべてのアプリケーション(COTS を含む)
  • すべての GOTS(Government Off-The-Shelf)ソフトウェア
  • すべての Web サービス
  • コラボレーションツールおよびサービス
  • 戦術システム
  • 新規システム、レガシーシステム、および実装済みシステム

CoN 認証を取得したソフトウェアのリストは、Army's Networthiness Program の Web サイト(AKO ログインが必要)に掲載されています。

USGCB(US Government Configuration Baseline:米国政府共通設定基準)

USGCB は、ソフトウェア製品における最低限のセキュリティ設定を示したものです。Red Hat は、このガイダンスに関してさまざまな米国政府機関と密接に協力してきました。このガイダンスは、機関別およびプログラム別ガイダンスを導入する入口として最適です。

製品 コンテンツ ステータス
Red Hat Enterprise Linux 5 USGCB のコンテンツおよび構成ツールは、NIST から入手できます。 ドラフト版
Red Hat Enterprise Linux 6 コンテンツは、Fedora scap-security-guide プロジェクトで現在作成中です。 作成中

SCAP(Security Content Automation Protocol:セキュリティ設定共通化手順)

SCAP は、機械的に読み取り可能な一連の設定要件です。SCAP コンテンツを SCAP ツールに渡すことで、システムのコンプライアンスを監査できます。Red Hat Enterprise Linux 5 および 6 には OpenSCAP ツールが同梱されています。このページの「USGCB(US Government Configuration Baseline:米国政府共通設定基準)」セクションで、Red Hat の SCAP コンテンツのリストを確認できます。

OVAL(Open Vulnerability and Assessment Language:セキュリティ検査言語)

OVAL は、統一した方法でセキュリティの脆弱性を示すのに役立つ、セキュリティ標準です。Red Hat は、2002 年に標準の制定を支援しており、Red Hat 製品セキュリティチームは、Red Hat のすべてのセキュリティ勧告の OVAL コンテンツを発行しています。詳細は、Red Hat 製品セキュリティの OVAL FAQ をご覧ください。

CVE(Common Vulnerability Enumeration:共通脆弱性タイプリスト)

CVE は、ソフトウェアに存在する既知の弱点を共通の識別子で識別できるようにします。CVE データベースは MITRE によって管理されています。Red Hat 製品に対して CVE が発行されている場合、Red Hat はベンダーステートメントを同梱して、その脆弱性の修正方法に関する情報を提供します。詳細は、Red Hat カスタマーポータルの How do I know if a CVE name affects a Red Hat Enterprise Linux package?(CVE 名が Red Hat Enterprise Linux パッケージに影響を与えるかどうか知る方法)を参照してください。

IAVA(Information Assurance Vulnerability Alerts:情報保証の脆弱性警告)

IAVA は、CVE と同様、DOD の職員にシステムのセキュリティ保護に関する指示を与えるものです。DISA の IAVM-to-CVE マッピングはとても役立つでしょう。

プロジェクト

関連プロジェクト

OpenSCAP
OpenSCAP は、SCAP コンテンツを実行するためのツールです。同プロジェクトは、Red Hat Enterprise Linux に同梱された OpenSCAP ツールの上に位置するものです。
SCAP Workbench
SCAP Workbench は、SCAP コンテンツを簡単に作成および編集できるインタフェースです。
scap-security-guide
scap-security-guide は、Red Hat とそのお客様、および多くの政府機関の協力で、共通で管理可能な Red Hat Enterprise Linux の SCAP コンテンツを開発するために作成されました。このプロジェクトでは Red Hat Enterprise Linux 6 向けの USGCB コンテンツを作成しています。このコンテンツを OpenSCAP などのツールで使用して、システムを監査したり、コンテンツをセキュリティの強化された正式なドキュメントに変換したりすることができます。Red Hat は、このガイダンスが DOD 向けの RHEL 6 SRG(STIG)の基礎となることを目指しています。
Aqueduct
Aqueduct は、Red Hat がスポンサーを務めるプロジェクトです。多様なセキュリティ体制に一括適用可能な、bash スクリプトと Puppet マニフェストの共通プールを作成しています。たとえば、DISA STIG 要件または SAS-70 要件のいずれかに、パスワードの最低文字数が確実に使用されるようにするコードなどがあります。これらは「STIG a RHEL box in 5 minutes(5 分で RHEL システムに STIG)」ガイドで有名です。
認証可能な Linux Implementation Platform(CLIP)
CLIP ツールは、Tresys のプロジェクトです。マシンを容易に再設定して、多様な認証および認定体制に適合できるようにします。

コミュニティ

役立つコミュニティ

gov-sec
Red Hat がスポンサーを務める gov-sec コミュニティは、米国政府のセキュリティ専門家向けの投稿が管理されているメーリングリストです。
Military Open Source ワーキンググループ
Mil-OSS は、DOD 内のオープンソースを支持する人々のコミュニティです。Red Hat と提携はしていませんが、Red Hat の多くの社員がメンバーとして積極的に活動しています。このページの情報にご興味がある場合は、このグループに参加することをお勧めします。詳細は、Mil-OSS の Web サイトをご覧ください。
カスタマーポータル
Red Hat のお客様は、Red Hat カスタマーポータルからさまざまなセキュリティ情報、掲示板、およびナレッジベース記事にアクセスすることができます。
Red Hat アカウントチーム
Red Hat は単に製品を販売するだけではありません。常にお客様を支援いたします。セキュリティ、コンプライアンス、または設定要件についてご質問がございましたら、地域の営業担当者やソリューションアーキテクトにお気軽にお問い合わせください。

コモンクライテリア

情報保証製品に関する国際的に認められた認証(コモンクライテリア)

FAQ

コモンクライテリアとは?

コモンクライテリア(CC)とは、コンピュータのセキュリティソフトウェアを認証するための国際規格 (ISO/IEC 15408)です。保護プロファイルを使用して、コモンクライテリアによって定められた要件を満たす水準でコンピュータシステムを保護できます。各国政府によって設定された Common Criteria Recognition Arrangement(コモンクライテリア承認協定)には、26 カ国が署名をしています。これにより、各国は他の国の認証を承認します。

米国では、National Information Assurance Partnership(NIAP)がコモンクライテリアを所管しています。他の国にも CC の機関が存在します。各機関は CC のラボを認定し、このラボで実際に製品評価を行います。CC の機関がベンダーとラボから提供された証拠を基にして認証を行うと、その認証は国際的に承認されます。

承認された認証には、特定の保証レベルが与えられます。これは、簡単に言うと認証の強度を表します。ある認証について、EAL2 よりも EAL4 の方が信頼性が高いことになります。一般的に、何が保証されているか、保護プロファイルがどれであるかではなく、保証のレベルに注意が払われます。

CC 認証は、ソフトウェアとハードウェアの設定の具体的なセットを対象にしています。ソフトウェアのバージョン、およびハードウェアのモデルとバージョンが重要です。これらが異なっていると、認証に違反することになります。

FAQ の詳細を読む