本文へジャンプ

ミドルウェア

uVALUE 実業×IT

Hitachi

近年、企業や官公庁、重要インフラにおけるIT製品やシステムへの依存度が高まっており、導入するシステムあるいは製品個々のセキュリティ品質の向上が急務となっています。

また、IT投資促進を目的に導入された「中小企業情報基盤強化税制」や、内閣官房情報セキュリティセンターが政府機関におけるセキュリティ確保を目的に作成した「政府機関の情報セキュリティ対策のための統一基準」等、セキュリティを重視した制度も整いつつあり、一定のセキュリティ基準を満たす製品のニーズが社会的に高まっております。

日立ミドルウェア製品へのセキュリティ評価・認証

このような社会の動向を受け、企業や官公庁、重要インフラで使用されるミドルウェア製品に対して、国際的なセキュリティ評価基準であるISO/IEC 15408、および暗号モジュールのセキュリティ機能への国内規格であるJCMVP(JIS X 19790)の認証取得を進めています。

「政府機関の情報セキュリティ対策のための統一基準」においては、システム構築におけるISO/IEC 15408、およびJCMVPの認証を取得した製品の導入が強く推奨されており、また「中小企業情報基盤強化税制」においては、ISO/IEC 15408の認証を取得した製品の活用が、税制上の優遇措置を受けるための主な条件となっています。

なお「中小企業情報基盤強化税制」の概念や、対象となる製品の基準に関しては、日立のIT(情報・通信)総合サイトに詳細情報がありますので、こちらをご参照ください。

ISO/IEC 15408とは

ISO/IEC 15408とは、IT製品及びシステムに対して、セキュリティに関連する機能が適切に設計され、かつ確立された手段によって設計が正しく実装されていることを評価するための国際標準規格です。

ISO/IEC 15408では、製品の利用環境を想定した脅威分析に基づいたセキュリティ機能設計や開発プロセス等が、統一された基準によって評価されます。これにより必要なセキュリティ機能が確実に実装されていることを判断するための指標となります。

またISO/IEC 15408には、国際的な相互承認の枠組み(CCRA)が適用されており、日本で認証を取得したIT製品及びシステムはCCRAに加盟した欧米各国でも日本と同様の認証実績が適用されます。ISO/IEC 15408の認証を取得したIT製品及びシステムには、カタログやマニュアル等に右のようなマークが記載されます。

CCRAロゴ

日立ミドルウェア製品へのISO/IEC 15408認証取得状況

日立ミドルウェア製品に対するISO/IEC 15408の認証取得状況は次の通りです(2012年6月現在)。

お知らせ

2012年5月21日、HiRDB Server Version 9 (Linux版) 09-01 に対して、EAL2+ALC_FLR.2の認証を取得しました。

[認証取得状況]
製品名 取得状況 評価保証レベル 製品詳細情報
HiRDB Server
Version 9 09-01
取得済new
(2012/05/21)
EAL2+ALC_FLR.2 HiRDB
[データベース管理]
HiRDB/Parallel Server
Version 8 08-04
取得済
(2009/07/27)
EAL4+ALC_FLR.1
HiRDB/Single Server
Version 8 08-04
取得済
(2009/06/29)
EAL4+ALC_FLR.1
HiRDB/Parallel Server
Version 8 08-01
取得済
(2007/05/30)
EAL1
HiRDB/Single Server
Version 8 08-01
取得済
(2007/05/30)
EAL1
HiRDB/Single Server
Version 7 07-03
取得済
(2008/06/30)
EAL4+ALC_FLR.1
HiRDB/Parallel Server
Version 7 07-03
取得済
(2006/11/22)
EAL1
HiRDB/Single Server
Version 7 07-03
取得済
(2006/11/22)
EAL1
Hitachi Command Suite Common Component
7.0.1-00(*1)
取得済
(2011/08/15)
EAL2+ALC_FLR.1 Hitachi Command Suite
[ストレージ運用管理]
Hitachi Storage Command Suite Common Component
6.0.0-01(*1)
取得済
(2008/12/24)
EAL2+ALC_FLR.1
HiCommand Suite
Common Component
05-51-01(*1)
取得済
(2007/05/30)
EAL2+ALC_FLR.1
HiCommand Suite
Common Component
05-70-01(*1)
取得済
(保証継続)
(2007/12/26)
uCosminexus
Application Server
08-00
取得済
(2009/08/21)
EAL2+ALC_FLR.1 Cosminexus
[クラウドサービスプラットフォーム]


uCosminexus Application Server
(アプリケーションサーバ)
uCosminexus
Application Server
07-00
取得済
(2007/03/22)
EAL2+ALC_FLR.1
DocumentBroker Server
Version 3 03-11
取得済
(2008/04/25)
EAL1+ASE_OBJ.2,
ASE_REQ.2,ASE_SPD.1(*3)
Cosminexus
[クラウドサービスプラットフォーム]


uCosminexus DocumentBroker
(文書管理基盤)
JP1/Base 認証サーバ
08-10 (Windows版)(*2)
取得済
(2007/08/30)
EAL2+ALC_FLR.1 JP1
[統合システム運用管理]
EUR Form Client
05-07
取得済
(2006/12/15)
EAL2+ALC_FLR.1 Cosminexus
[クラウドサービスプラットフォーム]


uCosminexus EUR
(帳票ツール)
*1
ストレージ管理ソフトウェア「Hitachi Command Suite (旧: Hitachi Storage Command Suite, JP1/HiCommand」では、セキュリティ機能を提供する共通基盤コンポーネント "Hitachi Command Suite 7.0.1-00"、"Hitachi Storage Command Suite Common Component 6.0.0-01"、"HiCommand Suite Common Component 05-51-01"、および "HiCommand Suite Common Component 05-70-01" にて ISO/IEC 15408の認証を取得しました(評価保証レベル:Evaluation Assurance Level 2(EAL2) + ALC_FLR.1)。

ISO/IEC 15408の認証を取得した「Hitachi Command Suite Common Componet」「Hitachi Storage Command Suite Common Component」「HiCommand Suite Common Component」(以降、HSCCと総称)は、それぞれ以下の製品に共通なセキュリティ機能を提供いたします。

(1) Hitachi Command Suite Common Componet
製品名 バージョン
Hitachi Command Suite Device Manager 05-60 〜 07-01
Hitachi Command Suite Replication Monitor 05-60 〜 07-01
Hitachi Command Suite Tiered Storage Manager 05-50 〜 07-01
Hitachi Command Suite Tuning Manager 07-00

(2) Hitachi Storage Command Suite Common Component
製品名 バージョン
Hitachi Storage Command Suite Device Manager 05-60, 05-70, 05-80, 06-00
Hitachi Storage Command Suite Replication Manager 05-60, 05-70, 05-80, 06-00
Hitachi Storage Command Suite Tiered Storage Manager 05-50, 05-70, 05-80, 06-00
Hitachi Storage Command Suite Global Link Manager 05-60, 05-70, 06-00
Hitachi Storage Command Suite Provisioning Manager 05-60, 05-70, 05-80, 06-00

(3) HiCommand Suite Common Component
製品名 バージョン
JP1/HiCommand Device Manager 05-60
JP1/HiCommand Replication Monitor 05-60
JP1/HiCommand Tiered Storage Manager 05-50
JP1/HiCommand Global Link Availability Manager 05-60
JP1/HiCommand Provisioning Manager 05-60

各ソフトウェアの前提製品のバージョンの組み合わせは各製品マニュアルでご確認ください。

認証取得の対象はHSCCであり、ストレージ管理ソフトウェア「Hitachi Command Suite (旧:Hitachi Storage Command Suite, JP1/HiCommand)」全体または各単体製品ではありません。詳しくは、弊社営業までお問い合わせください。
*2
JP1/Baseのユーザー管理機能である認証サーバにおいて認証を取得しました。
*3
CC V3.1では、EAL1にASE_OBJ.2, ASE_REQ.2, ASE_SPD.1の各評価項目を追加することにより、想定した運用環境の下で想定した脅威に適切に対抗するようにセキュリティ設計がなされている(すなわち、セキュリティの基本設計が妥当である)ことが評価・認証されます。
なお、V3.1より前のCCにおけるEAL1評価では、セキュリティの基本設計の妥当性について、V3.1のEAL1+ASE_OBJ.2, ASE_REQ.2, ASE_SPD.1と同等の評価がなされています。

日立ミドルウェア製品のセキュリティ脆弱性対応(ISO/IEC 15408の欠陥修正プロセス)に対する取り組み

日立ミドルウェア製品では、ISO/IEC 15408の評価観点として定義されている開発プロセスのうち、「欠陥修正プロセス(ALC_FLR)」を含んだ認証取得を積極的に推進しております。EUR Form Clientは、国産ベンダーとしては初の「欠陥修正プロセス」を含んだ認証取得例となります。

また、国際的にはシステムの基盤となるソフトウェア製品(OS, DBMS等)はALC_FLR.2以上を含む認証取得が主流になっていますが、HiRDB Server Version 9は国産ソフトウェア製品としては初めてALC_FLR.2を含む認証を取得しました。

「欠陥修正プロセス」に基づいた評価では、出荷された製品にセキュリティ上の脆弱性が発見された場合に、製品への影響分析、対策方針の検討、製品の修正、対策状況の通知、対策版製品の提供といった、一連のセキュリティ欠陥修正に関連する対応プロセスの妥当性が評価されます。日立では、対策状況の通知手段としてソフトウェア製品セキュリティ情報ページを公開しています。

昨今、製品セキュリティに関連する情報はWeb等で常に話題となっておりますので、セキュリティ脆弱性への迅速な対応と告知を行い、お客様でのトラブルの事前防止に努めることが必要不可欠と考えています。

そのため日立ミドルウェア製品では、ISO/IEC 15408の認証取得を通じて、セキュリティ機能が適切に設計開発するためのプロセスを評価するのみでなく、万が一セキュリティ上の脆弱性が発見された場合でも適切に対応するための「欠陥修正プロセス」の評価を今後も推進していきます。

また、このような「欠陥修正プロセス」の充実と並行し、一般的なセキュリティ脆弱性検証ソフトウェアや脆弱なソースコードパターンを検出するツールを製品検査プロセスに適用することにより、セキュリティ脆弱性の事前防止にも積極的に取り組んでいます。

JCMVPとは

暗号モジュール試験及び認証制度(JCMVP)

JCMVP(Japan Cryptographic Module Validation Program:暗号モジュール試験及び認証制度)とは、暗号モジュールのセキュリティ機能が正しく実装されていることを確認し、鍵などの重要情報のセキュリティが確保されていることを第三者が試験するための基準です。米国の政府調達で採用されているFIPS140-2(米国連邦情報処理規格)が元になっており、国内ではJIS X 19790によって定義されています。

日立ミドルウェア製品へのJCMVP認証取得状況

日立ミドルウェア製品に対するJCMVPの認証取得状況は次の通りです(2012年6月現在)。

[認証取得状況]
暗号モジュール名 取得状況 セキュリティレベル 承認された
暗号アルゴリズム
製品詳細情報
Keymate/Crypto JCMVPライブラリ
ソフトウェアバージョン:04-00
取得済
(2008/04/09)
1 ECDSA, RSA,
AES, SHS, HMAC,
Hash_DRBG in
NIST SP800-90
Keymate/Crypto
[日立暗号ライブラリ]
Keymate/Crypto JCMVPライブラリ
(Solaris版 及び Windows版)
ソフトウェアバージョン:04-00
取得済
(2009/01/13)
1 ECDSA, RSA,
AES, SHS, HMAC,
Hash_DRBG in
NIST SP800-90
Keymate/Crypto
[日立暗号ライブラリ]

関連機関