NTTデータは、オープンソースソフトウェア（OSS）のデータベース管理システムPostgreSQL及びその運用モデルで、セキュリティ評価の国際規格であるISO/IEC 15408に基づくITセキュリティ認証を取得した。OSSのデータベース管理システムでは世界で初めての認証取得となる。

エンタープライズ分野におけるセキュアなシステム構築にあたり、ISO/IEC 15408に適合したミドルウェアが望まれているという背景を受け、NTTデータは４月11日より認証取得版PostgreSQLを公開している。

ISO/IEC 15408に基づくITセキュリティ評価及び認証制度

ISO/IEC15408は、情報技術に関連した製品やシステムが適切に設計され、正しく実装されているかを評価するセキュリティ評価の国際標準規格。日本においても2001年ISO/IEC 15408に基づいた認証制度である「ITセキュリティ評価及び認証制度注1」が創設され、独立行政法人情報処理推進機構（IPA）により制度の運営がなされている。

現在、情報セキュリティの重要性の高まりを背景として、各省庁のシステム調達においてISO/IEC 15408に基づき評価・認証された製品の利用が推奨されている。また、ITセキュリティ認証を取得した製品は、平成18年４月１日から平成20年３月31日まで経済産業省によって実施される「情報基盤強化税制注2」を適用する際の要件となっていることから大きな注目を集めている。

PostgreSQLでの認証取得

NTTデータでは、OSSであるPostgreSQLのセキュリティ関連の機能を強化するとともに、セキュアな運用ガイドラインを規定し、昨年9月にISO/IEC 15408に基づくITセキュリティ認証の申請を行った。その後情報処理推進機構による審査を経て、今回認証を取得するに至ったもの。これまでOSSでITセキュリティ認証を取得しているのは基本ソフト（OS）製品だけであり、OSSのデータベース管理システムでは世界で初めての認証取得となる。

PostgreSQLは、オープンソース・コミュニティであるPostgreSQL Global Development Teamによって主に開発が進められている。NTTデータでは、PostgreSQL及びその運用モデルで第三者機関による評価プロセスを満たした認証を取得することで、エンタープライズ分野におけるOSSへの信頼を高め、さらなる利用促進を図るのが狙い。

認証取得したPostgreSQL

認証を取得したPostgreSQLは、PostgreSQL 8.1をベースに、パスワード認証、監査ログ表示・閲覧機能等を強化してセキュリティ評価基準に適合するよう構成したもので、Linux用の実行形式プログラム及びPostgreSQLのセキュアな運用のガイドラインを含んでいる（認証版PostgreSQLの認証情報はIPAのITセキュリティ認証製品リスト注3を参照されたい。）

---

今回、ITセキュリティ認証を取得したPostgreSQL認証版の実行形式プログラム、運用ガイドラインおよび技術情報等は、エンタープライズ分野におけるPostgreSQLの更なる利用促進を目的として、下記で公開している。

公開URL：http://www.nttdata.co.jp/services/postgreSQL/

 

• 注1　独立行政法人情報処理推進機構（IPA）のWebサイト：
  http://www.ipa.go.jp/security/jisec
  （ITセキュリティ認証について：http://www.ipa.go.jp/security/jisec/pamph.html）
• 注2　経済産業省のWebサイト：http://www.meti.go.jp/policy/it_policy/zeisei/index.html
• 注3　IPAの認証製品リスト：http://www.ipa.go.jp/security/jisec/cert_list.html