顧客のユーザ企業のセキュリティ部門から,EAL3に準拠しているかどうかの問い合わせが来た事があります.
EAL3とは情報セキュリティに関する国際標準規格"Common Criteria Certification"の評価保証レベルだそうで,政府機関が民間企業の製品を選定する際に利用しているものなのだそうです.
Common CriteriaはISO/IEC 15408と同等との事.日本だとJIS X 5070で定義されている様です.
EALはEvaluation Assurance Levelの略で,EAL1からEAL7まであるという事で,商用ソフトウェアが取得できるレベルだとEAL4が最高なのだそうです.
調べるとSuSE LinuxとかWindows 2003はEAL4認定なのだとか.
この対応部門で利用しているOSでいうと,RedHat Enterprise Linux(RHEL)は,Ver3がELA3で,Ver4がEAL4,Ver5はEAL4+の認定を受けている事が判りました.
情報基盤強化税制に関わるISO認証の取得について むかし,WindowsNT4のMCSEを取得した時に勉強したのですっかり忘れたのですが,"C2レベルセキュリティ"というのがあって,このC2がCommon Criteriaでしょうね. その頃にそのモードに設定すると,まずネットワークドライバが削除されるというような堅牢性だったようです.
RedHatが認定されているからといって,何もしないでもそうなっているわけでもなく,セキュリティ部門には一次回答として「認定OSを使っているが設定はしていない」としておきました. 必須要件でもなかったので,今の所それ以上にはなっていませんが.
しかし,調べてみたのですが設定方法についてなにかまとめられている資料は見当たらない様です.
あまりニーズは無いのでしょうか.
とりあえずrhel-eal3.bashというスクリプトをauditdの監査機能の中で見つけたので,これを読み解いてみると判るかもしれません.