Software Security Assurance

Oracle Software
Security Assurance

外部の安全性評価

安全性の評価は、独立していますが認定を受けた機関が、商業施設、政府や軍事機関に対し、IT製品とシステムの安全性の保証を提供するプロセスです。このような評価、そしてそれらが基としている基準は、ITの購入者と販売者が等しく許容できる信頼のレベルを確立する助けとなります。さらに、安全性評価の基準と評価値は、ITの安全性の必要条件の簡潔な表記として使うことができます。ITの安全性評価には2つの重要な構成要素があります。評価の実施に対する基準、そして、誰がどのようにこのような評価を公式に行い管理するのかについての計画や手法です。

オラクルは国際的に認められた2つの安全性評価基準に参加しています。

1. Common Criteriaは、ITセキュリティ製品のセキュリティ機能および性能を評価するための共通のアプローチ定義である国際的な枠組み(ISO/IEC15408)です。認定された製品とは、認定された認証機関が、ITセキュリティ評価の分野の中で有力な独立した評価機関によってCommon CriteriaとCommon Methodologyの要件に適うと評価したことを認めたものです。

2. FIPS 140-2は米国とカナダによって共同で許可されたプログラムです。米国ではCMVP (Cryptographic Module Validation Program)経由でNIST(National Institute of Standards and Technology)によって管理されており、カナダでは、カナダ政府のCommunications Security Establishment(CSEC)によって管理されています。

詳細については、Oracle テクノロジー・ネットワーク上のSecurity Evaluationsのサイトをご覧ください。現在進行中のOracleセキュリティ評価、および完了したOracle安全性評価のマトリックスについては、Oracle Security Evaluations Statusを参照してください。

オラクルの安全性評価に関するお問い合わせは seceval_us@oracle.com までお願いします。

安全性の恩恵

  • 独立した検証-認定された評価機関からの、製品の安全性の主張に対する安全性評価
  • 標準的かつ独立した保障措置-それぞれのベンダーの安全性の主張は、標準の保証措置に対して評価されます。
  • 製品のエンハンスメント-安全性評価は、認証されたソリューションにより、安全性の全体に渡る設計と実装において改善へつなげる事ができます。
  • 構造的な脆弱性の特定-安全性評価は、構造的な脆弱性の特定へつなげる事ができます。

さらに詳しく