情報セキュリティ対策事業


電子政府の構築に向けた信頼性・安全性確保のための基盤技術や、情報セキュリティ分野における基盤的ソフトウェア技術の研究開発の成果です。

 
情報セキュリティ監査支援技術の開発 - 電子政府情報セキュリティ監査向け調査 -
塚田孝則,宮沢徹,日高智美,小野崇,谷口賀英,菅原秀幸(日立ソフトウェアエンジニアリング株式会社)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  電子政府における情報セキュリティ監査実施の必要性が高まっている。このため、国内外の情報セキュリティ監査の現状を調査し、監査人に対する要件、監査の実施手順などをまとめた。また、既存の監査制度や情報システムの脆弱性情報などを基に、電子政府において典型的であると想定される4システムモデルそれぞれについてセルフチェックリストを作成した。
 

システムのセキュリティ評価技術に関する研究開発 
 金子浩之,中村裕司,原慎一郎,宇賀村直紀(社団法人電子情報技術産業協会)
  《概要》      論文(PDF形式)
  ISO/IEC15408に基づくセキュリティ評価をシステムに適用するために、今までの研究成果であるシステム評価技法及び評価用証拠資料の評価・検証を実施した。また、システムのセキュリティ管理要件基準案、及びシステム評価方式基準案を策定し、システムセキュリティ評価手法としてISO/IEC JTC1 SC27 WG3国内委員会に提案した。

成果紹介URL:http://www.ipa.go.jp/security/fy14/evaluation/cc_system/cc_system.html
 

プロセスアセスメント技術を適用したシステムセキュリティ評価技術の開発 - 国際規格のセキュリティアセスメント手法 -
伏見諭,佐藤信也,永木昭市,富川圭子,徳田一見,山田修一(株式会社情報数理研究所)
《概要》    論文(PDF形式)
  製品開発プロセスにおけるセキュリティ能力を判定・改善する国際標準規格SSE-CMM (ISO/IEC21827)に関する調査研究を行い、その考え方の普及および自組織のプロセス改善にパソコン上で利用できる自己評価用ドキュメント及びアセッサ育成用ドキュメント(入門コース、アセッサ訓練コース)を作成した。

成果紹介URL:http://www.ipa.go.jp/security/fy14/evaluation/sse_cmm/sse_cmm.html
 

次世代認証基盤技術の開発 - 未来に生きる電子署名”USDSS” -
佐々木實,佐々木義,田中 勝,棚野 武明(株式会社パンプキンハウス),花岡悟一郎,古原和邦,今井秀樹(東京大学),四方順司(横浜国立大学大学院)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  情報量的安全性に基づく署名方式は、長期的な安全性を提供可能な電子署名技術である。本開発ではこの方式を第三者が実装可能にするため技術仕様書を作成する。更に、電子署名システムの開発者が本システムを容易に組み込めるライブラリを提供すると共に、これを組み込んだアプリケーションを提供する。
 

不正プログラムおよび不正ドキュメントの調査と検索ソフトウェアの開発 - スパイウェア、ハッカーツールを検出・駆除 -
櫻井泰子,鈴木輝,塚本真誠,斉藤純平,金山達來,蛭間久季,渡部章(株式会社アークン)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  既存のセキュリティツールでは検出できないキーロガー、スパイウェア、ハッカーツール等のトロイの木馬を検出・駆除するための対策ソフトウェアです。パターンファイルにより検出した既知の不正プログラムに対して削除・移動・リネームなどの自動処理ができる他、未知のキーロガーをリアルタイムに検出する機能もあります。
 

タイムスタンプ局と証拠記録局の技術開発 - 国内初のDVCSを実装、IETFのタイムスタンププロトコル相互接続試験に参加 -
小松文子(日本電気株式会社),岩西寿之(NEC システムテクノロジー), 島成佳,久保寺範和(日本電気株式会社)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  電子署名文書は、「本人性」と「正当性」が保証されるが、その有効性が保証される期間は公開鍵証明書の有効期限にとどまるという制約がある。これを解決するために、信頼ある時間情報を付与し電子署名付き文書の再検証を可能とすることを実現するためのタイムスタンプ局と証拠記録局(DVCS)を実装した。
 

電子政府セキュリティ相互運用支援技術の開発 - ChallengePKI2002プロジェクト -
石垣陽(セコムトラストネット株式会社),稲田龍(富士ゼロックス情報システム株式会社),漆島賢二(セコムトラストネット株式会社),澤野弘幸(オレンジソフト株式会社), 篠田和幹(名古屋工業大学), 島岡政基,林田秀和(セコムトラストネット株式会社),増田健作(富士ゼロックス情報システム株式会社),松本泰,村山麻子(セコムトラストネット株式会社),安田直義(NPO日本ネットワークセキュリティ協会(JNSA)・株式会社ディアイティ),吉田裕之(セコムトラストネット株式会社),若山公威(名古屋工業大学)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  政府認証基盤(GPKI)で採用されているブリッジモデルは、高度な相互運用技術が要求され、GPKI対応アプリケーション開発の妨げになっている。そこで本プロジェクトでは、(1) GPKIに関わる仕様・標準の解説、(2)GPKIのテスト環境とテストケース、(3)アプリケーション開発の参考となるサンプル実装、の3つを開発・公開した。
 

次世代OpenPGP Public Keyserver(OpenPKSD) - 次世代OpenPGP Public Keyserver を担うフリーソフトウェアOpenPKSD -
鈴木裕信(株式会社エスアールエー先端技術研究所)
  《概要》 概要図(PDF形式) 論文(PDF形式)
  OpenPKSDは、次世代のOpenPGP Public Keyserverを担うために開発されたフリーソフトウェアで、インターネット上で最も利用されているOpenPGP仕様の暗号ツールPGPやGPGの公開鍵を交換するためのサーバである。
OpenPKSDのソースコード、資料、および鍵サーバサービスについての情報はopenpksd.orgサイト(http://openpksd.org)より入手可能である。
 

署名ソフトウエアに対する全数探索型耐タンパー性評価ツールの開発 - ソフトウエアの耐タンパー性に関する盲点と対処法 -
松本勉(横浜国立大学大学院),中村豪一,村瀬一郎(株式会社三菱総合研究所)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  機密データを内部において扱うソフトウエアについては、その機密データの守秘性という耐タンパー性が重要である。署名ソフトウェアの耐タンパー性評価法として、ソフトウエアの実行過程で計算機内部に現れるデータに関してすべて機密データあるかどうかをチェックするというランタイムデータ全数探索法を取り上げ、それに基づく耐タンパー性評価ツールを開発することで、普及している署名ソフトウエアの耐タンパー性を検証した。代表的なJCEプロバイダが署名生成ソフトウエアとして低い耐タンパー性しか持たないこと、さらに、その原因がJDK中のBigIntegerの耐タンパー性の低さにあること、これらの結果を得た。また、機密データを扱うソフトウエアの実装方法や攻撃者に関して分析し、ソフトウエアの耐タンパー性への影響について考察した。
 

アクセス制御機構の機能不全を検出・検証するシステム - Webシステムのアクセス制御の欠陥を検証 -
芝田幸彦,高山慎一,Malyshev Dmitri,加藤努(株式会社ソフテック),木下信(有限会社キュート),蔀憲司(株式会社SRA),高木浩光(独立行政法人産業技術総合研究所)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  電子商取引サイトや電子政府などでサービスされるWebシステムには堅牢なセキュリティが求められるが、実際にはアクセス制御機構の機能不全が原因による欠陥を持つシステムが多数存在する。本案件では、Webシステムのアクセス制御機構の機能不全による欠陥を半自動で効率的に検証可能なシステムの開発を行った。
 

素数生成アルゴリズムの調査開発 - 暗号学的に高信頼高効率な情報システムを実現 -
酒井康行,高島克幸(三菱電機株式会社)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  RSA暗号等、現在利用されている公開鍵暗号は素数の数学的性質に安全性の基礎をおいている。 素数の確実かつ高速な生成は高信頼/高効率なシステムには必須である。我々は素数生成アルゴリズムに関して詳細な調査を実施し、素数判定/生成ならびに素数を実際の暗号鍵に用いた時の安全性判定を行うソフトウエアを開発した。
 

擬似乱数検証ツールの調査開発 - 優良な乱数による安全なPKI実現のために -
丹羽朗人,小池正修,栃窪孝也,福島茂之,熊給英洋,小阪和宏,松岡賢(株式会社東芝 e-ソリューション社)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  電子政府の実現のためには、暗号や電子署名が必要である。一般に暗号や電子署名では擬似乱数が広く用いられるため、乱数検定が必要になる。そこで本調査開発では、乱数に関する文献及び評価ツールを調査した。また各検定法の関連を解析し、乱数を検定する上で必要最低限な検定法のミニマムセットを求め、その実装を行った。
 

セキュアなWebメールシステムのためのS/MIMEアプレット開発 - Webメールシステムのセキュリティを確保する -
澤野弘幸,日比野洋克,陳c旻(株式会社オレンジソフト)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  HTTP通信により実現される、Webメールシステムでは、SSLを利用することで、Webサーバとクライアントの間は安全です。しかし、Webサーバから外部では、メールメッセージ自体にセキュリティ機能が必要になります。S/MIMEアプレットは、メールメッセージに、暗号と電子署名によるセキュリティを提供します。
 

メディアスティックシステムにおける個人情報保護及び セキュリティ確保のための実用化開発
 - 権限分散と固定乱数を利用した新セキュリティ方式をメディアスティックシステムに導入 -
宮内淑子,中西崇文(メディアスティック株式会社),北川高嗣(筑波大学)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  本稿では、メディアスティックシステムを対象とした個人情報保護およびセキュリティ対策について示す。本方式は、ネットワーク上の取引情報およびメディアスティックサーバ内の取引情報漏洩を防止、および個人情報漏洩を防止する。特に、外のアタッカーによる攻撃はもちろんサーバ管理者や社員など内部の不正者による取引情報・個人情報の漏洩防止も対象としている。
 

OECD情報セキュリティガイドライン見直しに関する調査 
佐藤能行,冨田高樹,佐久間敦(株式会社富士総合研究所)
  《概要》      論文(PDF形式)
  OECDによる情報セキュリティガイドラインが2002年8月に改訂されたことを踏まえて、見直しの経緯や新ガイドラインの概要等についてまとめた。あわせて、新ガイドラインに基づく我が国の実施方策案、新ガイドラインの普及施策ならびに2003年以降のOECDワークプログラムへの提案の論点について整理した。

成果報告URL:http://www.ipa.go.jp/security/fy14/reports/oecd/guideline.html
 

セキュアなインターネットサーバー構築に関する調査 - セキュアなインターネットサーバー構築指針 -
上野修一,水上友宏(日立ソフトウェアエンジニアリング株式会社),岡野直樹,井原修一,島田秋雄(サン・マイクロシステムズ株式会社)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  高いセキュリティを確保したインターネットサーバーの構築を支援する調査報告書を2つの観点からまとめました。1つは、J2EEを用いたセキュアなWEBアプリケーション開発のための啓発資料で、もう1つはセキュリティ強化OSであるTrusted SolarisおよびSecurity-Enhanced Linuxを利用したインターネットサーバー構築のためのガイドラインです。

成果紹介URL:http://www.ipa.go.jp/security/fy14/contents/trusted-os/guide.html
 

インターネットサーバーの安全性向上策に関する調査 - インターネットサーバーのDoS攻撃対策 -
石川利隆,勝田光弘,谷口里江,塚田孝則,堤俊之,堀江謙一(日立ソフトウェアエンジニアリング株式会社)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  サービス妨害攻撃の対策を含んだ、インターネットサーバーに関するハイアベイラビリティ技術(正規利用可能性を確保する技術)の現状と技術開発動向について調査を行った。また、Webサイトの規模に応じた対策の構築モデルを明示し、サイト管理者・構築者向けの啓発資料の作成を行った。
 

インターネット情報インフラ防護のための技術調査 - 危ういインターネットの基盤サービス -
太田耕平,阿部勝久,グレン マンスフィールド キニ(株式会社サイバー・ソリューションズ), 藤井章博(宮城県立宮城大学)
  《概要》      論文(PDF形式)
  本調査は、広く普及し、多くの管理者やアプリケーションによって、暗黙のうちに信頼されているインフラサービスについて調査を実施した。IRR、DNS、ディレクトリサービスについて、これらに期待されているようなセキュリティ上の配慮が十分になされていないことを示した。さらに、このようなサービスを運用するにあたっての技術的、組織的なあるべきすがたについて提言し、広域・インフラサービスの運用指針を示した。
 

オープンソースソフトウェアのセキュリティ確保に関する調査 
女部田武史,桐原憲昭,大田俊介(株式会社日本総合研究所)
  《概要》      論文(PDF形式)
  本調査は、オープンソースソフトウェア(Open Source Software:以下 OSS)の特徴を考慮し、OSS の利用者の立場から、OSSを安全に利用するための技術的項目および方策的項目について調査を実施し、OSS利用者のためのガイドを作成することを目的として実施したものである。

成果紹介URL:http://www.ipa.go.jp/security/fy14/reports/oss_security/
 

情報セキュリティプロフェッショナル育成に関する調査研究 
安田直義(特定非営利活動法人日本ネットワークセキュリティ協会),神田義則(ネットワークリスクマネジメント協会),佐久間敦(株式会社富士総合研究所)
  《概要》      論文(PDF形式)
  電子政府の本格稼働やIT経済社会が進展する中、情報セキュリティの重要性がますます高まっている。しかしながら、情報セキュリティに関する高度な技術、知識、分析能力等を有する人材の不足が大きな問題となっている。このような状況を踏まえ、情報セキュリティに関する人材育成を促進することを目的として、「情報セキュリティプロフェッショナル育成に関する調査研究」を実施し、情報セキュリティに関する人材の能力を客観的に評価するためスキルマップを作成するとともに、地方企業等における人材育成策についての提案をとりまとめた。

成果紹介URL:http://www.ipa.go.jp/security/fy14/reports/professional/ikusei-seika-press.html
 

情報セキュリティ監査制度に関する調査 - 情報セキュリティ監査制度の普及に向けて -
村主俊彦,菅谷光啓(エヌ・アール・アイセキュアテクノロジーズ株式会社)
  《概要》      論文(PDF形式)
  情報全般と情報システムからなる情報資産のセキュリティレベルの向上を図る手段としての情報セキュリティ監査を日本において普及させるために求められる視点や考え方を以下の調査を通して明らかにした。

* 欧米における政府機関を対象とした情報セキュリティ監査の実施状況
* 情報システムを対象とした既存の監査基準
* 欧米における情報セキュリティ監査実施主体のあり方

成果紹介URL:http://www.ipa.go.jp/security/fy14/reports/audit/committee.html
 

情報セキュリティビジネスに関する調査 
板垣克彦,中原隆一,仲谷光弘,宮脇啓透,藤木保崇,宮脇訓晴,小野彰(株式会社日本総合研究所)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  情報セキュリティビジネスの実態およびITセキュリティ評価・認証制度に関する市場予測の調査結果を報告する。情報セキュリティビジネスの実態調査では5年間の日米市場予測(金額)、各ビジネス分野の成功・失敗要因の抽出、および課題を整理した。ITセキュリティ評価・認証制度に関する市場予測調査では、他制度との比較から同評価認証制度の課題と対策への提言を行うとともに市場予測(件数)を行った。
 

本人認証技術の現状に関する調査 
大鐘博子(セコムトラストネット株式会社),松本泰(セコム株式会社IS研究所),鈴木優一(エントラスト・ジャパン株式会社),池野修一,佐藤永子,高田直幸,渡並智,長峯隆,林慶司,福士和義,石垣陽(セコム株式会社IS研究所)
  《概要》      論文(PDF形式)
  本プロジェクトでは、(1)研究・開発者等に、本人認証技術全般(バイオメトリクス、ICカード、各種暗号クレデンシャル、電子署名等)に関わる包括的な情報を提供し、(2)電子政府における本人認証の課題を広く世に示す。本報告書によって、電子政府における有効な認証モデルの開発が促進されることを期待する。

成果紹介URL:http://www.ipa.go.jp/security/fy14/reports/authentication/index.html
 

情報セキュリティの実態に関する調査 - 国内外のコンピュータウイルス被害の実態 -
岡田修, 野口修一,加藤智子,五十嵐義明,中野浩介(三井情報開発株式会社)
  《概要》      論文(PDF形式)
  本調査は昨年度からの継続調査で、「情報セキュリティマネジメントの実態」、「国内におけるコンピュータウイルス被害状況調査」及び「海外におけるコンピュータウイルス被害状況調査」の各テーマについて、内外の企業・事業所へのアンケート調査を実施し、最新の情報セキュリティの実態を把握した。さらにアンケート調査で把握したデータをもとに、昨年度の「被害額算出モデル」の精度を上げ、2002年1月から12月の1年間を対象に国内におけるコンピュータウイルスによる被害総額を算出した。

成果紹介URL:http://www.ipa.go.jp/security/fy14/reports/current/servey.html
 

暗号モジュール評価に関する国内ニーズ調査 
中山裕之(株式会社NTTデータ経営研究所)
  《概要》      論文(PDF形式)
  国内の暗号モジュール製品の開発元および販売窓口の大半は,需要側における調達要件化を国内の暗号モジュール評価・認証制度への対応の条件としている.今後、政府調達と民間調達での認証取得の要件化が進むことを仮定した場合,5年後の国内の暗号モジュール評価・認証制度の潜在的な申請需要は25件になると予測した.
 

WebDAVシステムのセキュアな設定・運用に関する調査 - セキュアなWebの運用と今後の技術開発にむけて -
株式会社SRA先端技術研究所
  《概要》    概要図(PDF形式) 論文(PDF形式)
  本調査は、セキュアな WebDAV システムを開発するために必要となるアクセス権管理を中心に、フィジビリティスタディ等を行い、より安全な運用のための設定方法を総括すると同時に、今後の技術開発の必要性について検討した。これは単なる運用マニュアルではないが、WebDAVに関連する仕様の簡便なリファレンス、およびApache2.0とSSLをベースとしたセキュアなWebDAVの運用ガイドラインとしても有用である。

成果紹介URL:http://www.ipa.go.jp/security/fy14/reports/webdav/index.html
 

暗号アルゴリズムの実装方式とリスク分析に関する調査 
門野健治,原田勝利,中山美紀(株式会社レッドサイレン・テクノロジー),Ruth Tara,Douglas Dickson(RedSiren, Inc.)
  《概要》      論文(PDF形式)
  米国等においてCCとCMVPの運用に関する調査を行い、日本への暗号評価制度導入に対する提言をまとめた。複数暗号実装方式の事例調査を行い、単一実装との差異分析を行って複数実装の脅威低減に関する提言をまとめた。米国における暗号実装技術の最新動向を調査し、日本での暗号モジュール評価制度運営に対する提言をまとめた。

成果紹介URL:http://www.ipa.go.jp/security/fy14/crypto/implementation/risk_anal.html
 

大規模サイトのネットワークのセキュリティ - 管理者向けネットワークセキュリティ対策 -
塚田孝則,宮崎博,谷口賀英,宮沢徹,小野崇,鮫島吉喜,高林和子,谷英夫,佐藤毅,菅原秀幸(日立ソフトウェアエンジニアリング株式会社)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  近年、企業の業務でのIT利用が拡大している。しかしながら、ネットワークやセキュリティ技術の変化・多様化によって、IT部門が適切な技術的セキュリティ対策を選択・導入できていない場合も多い。本書は、大規模サイトで適切なセキュリティ対策の導入を検討するための資料として作成した。
 

SOHO・家庭向けの情報セキュリティ - 「不正アクセスは心配だけど、対策方法が分からない」という人のためのマニュアルです -
南孝伸,中村隆美(株式会社デジタルフォレスト)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  不正アクセスが何処にあって、何処からやってくるのか。そして、どのように対策(設定等)をすればよいのかについて、専任の管理者を置くことができないSOHOや一般家庭ユーザ向けに編集されたマニュアルです。インターネットの現状と脅威、各種OSやブラウザ、メールソフト等の設定方法が記載されています。

成果紹介URL:http://www.ipa.go.jp/security/fy14/contents/soho/soho-sec2002-keiji.html