virtualization.info 日本語

VMware社は2004年12月、「ESX 2.5」と「VirtualCenter 1.2」をCommon Criteria（コンピュータセキュリティの国際標準）に提出し、その後2年間にわたってEvaluation Assurance Level（EAL）2を取得してきた。

同社は「VMware Infrastructure 3」も提出し、「EAL 4+」を今週取得した。

製品が入念に設計され、テストされ、審査されていることを意味するEAL4+は、Common Criteriaのランクの上位に分類されるものの1つだ（最高はEAL7）が、実際のところ、認定された値は、特定のクラスのソリューションの機能性とセキュリティレベルを検証する「Protection Profile（保護プロファイル）」という参照モデルや、ベンダーが用意した定義資料で、特定のソリューションのセキュリティ特性を解説する「Security Target（セキュリティターゲット）」と比較して初めて重要な意味を持つ。
これらの保護プロファイルは業界団体によって書かれたもので、セキュリティターゲットはこれらの1つ以上をテンプレートとして使うことができる。

たとえば、Microsoft社は「Windows 2000」を認証するため、「Operating System」保護プロファイルをリファレンスモデルにしたセキュリティターゲットを提出した。
これらの資料によると、同OS（セキュリティパッチの一切ないもの）は2005年にEAL4+に格付けされている。

今現在、ハイパーバイザーや仮想インフラ用の保護プロファイルはないので、VMware社ではセキュリティターゲットを何の束縛もなく自由に具体化することができており、同社が提供した定義で認証を受けている。
このことで認定が無益なものになるとは限らないが、EALのランキングだけで安全な製品だとは言えなくなる。

VMware社では既にVI 3.5を提出し、同じEAL4+認定を取得している。