調査資料


2002年度にIPAで行った調査および啓発資料の成果です。

 

OECD情報セキュリティガイドライン見直しに関する調査 
佐藤能行,冨田高樹,佐久間敦(株式会社富士総合研究所)
  《概要》      論文(PDF形式)
  OECDによる情報セキュリティガイドラインが2002年8月に改訂されたことを踏まえて、見直しの経緯や新ガイドラインの概要等についてまとめた。あわせて、新ガイドラインに基づく我が国の実施方策案、新ガイドラインの普及施策ならびに2003年以降のOECDワークプログラムへの提案の論点について整理した。

成果報告URL:http://www.ipa.go.jp/security/fy14/reports/oecd/guideline.html
 


システムの信頼性向上に関する調査−ソフトウェア工学的アプローチ&失敗学的アプローチ− 
 - 大規模社会システム信頼性向上の実態調査 -
福浩邦,笹島三佳代(株式会社富士通総研)
  《概要》      論文(PDF形式)
  本調査は、大規模社会システムを運用開発する組織が、信頼性向上を目的としてどのような工学技法を活用しているか調査し、情報システムの信頼性を向上させるための技法活用のあり方を明らかにしようとするものである。
 

 
我が国のソフトウエアプロセス改善の状況に関する調査 
石谷靖,西村俊之,小林慎一(株式会社三菱総合研究所)
  《概要》      論文(PDF形式)
  本調査では、国内の企業に対してSPI活動における現況及び国等の施策への要望についてヒアリング調査を実施した。調査結果に基づき、活動にあたっての課題を企業の特性等と対比して分析し、課題への対策として想定される施策をまとめ、我が国におけるSPI活動の普及促進を目的とした施策の検討の資とする。
 


セキュアなインターネットサーバー構築に関する調査 - セキュアなインターネットサーバー構築指針 -
上野修一,水上友宏(日立ソフトウェアエンジニアリング株式会社),岡野直樹,井原修一,島田秋雄(サン・マイクロシステムズ株式会社)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  高いセキュリティを確保したインターネットサーバーの構築を支援する調査報告書を2つの観点からまとめました。1つは、J2EEを用いたセキュアなWEBアプリケーション開発のための啓発資料で、もう1つはセキュリティ強化OSであるTrusted SolarisおよびSecurity-Enhanced Linuxを利用したインターネットサーバー構築のためのガイドラインです。

成果紹介URL:http://www.ipa.go.jp/security/fy14/contents/trusted-os/guide.html
 


インターネットサーバーの安全性向上策に関する調査 - インターネットサーバーのDoS攻撃対策 -
石川利隆,勝田光弘,谷口里江,塚田孝則,堤俊之,堀江謙一(日立ソフトウェアエンジニアリング株式会社)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  サービス妨害攻撃の対策を含んだ、インターネットサーバーに関するハイアベイラビリティ技術(正規利用可能性を確保する技術)の現状と技術開発動向について調査を行った。また、Webサイトの規模に応じた対策の構築モデルを明示し、サイト管理者・構築者向けの啓発資料の作成を行った。
 


インターネット情報インフラ防護のための技術調査 - 危ういインターネットの基盤サービス -
太田耕平,阿部勝久,グレン マンスフィールド キニ(株式会社サイバー・ソリューションズ), 藤井章博(宮城県立宮城大学)
  《概要》      論文(PDF形式)
  本調査は、広く普及し、多くの管理者やアプリケーションによって、暗黙のうちに信頼されているインフラサービスについて調査を実施した。IRR、DNS、ディレクトリサービスについて、これらに期待されているようなセキュリティ上の配慮が十分になされていないことを示した。さらに、このようなサービスを運用するにあたっての技術的、組織的なあるべきすがたについて提言し、広域・インフラサービスの運用指針を示した。
 


オープンソースソフトウェアのセキュリティ確保に関する調査 
女部田武史,桐原憲昭,大田俊介(株式会社日本総合研究所)
  《概要》      論文(PDF形式)
  本調査は、オープンソースソフトウェア(Open Source Software:以下 OSS)の特徴を考慮し、OSS の利用者の立場から、OSSを安全に利用するための技術的項目および方策的項目について調査を実施し、OSS利用者のためのガイドを作成することを目的として実施したものである。

成果紹介URL:http://www.ipa.go.jp/security/fy14/reports/oss_security/
 


情報セキュリティプロフェッショナル育成に関する調査研究 
安田直義(特定非営利活動法人日本ネットワークセキュリティ協会),神田義則(ネットワークリスクマネジメント協会),佐久間敦(株式会社富士総合研究所)
  《概要》      論文(PDF形式)
  電子政府の本格稼働やIT経済社会が進展する中、情報セキュリティの重要性がますます高まっている。しかしながら、情報セキュリティに関する高度な技術、知識、分析能力等を有する人材の不足が大きな問題となっている。このような状況を踏まえ、情報セキュリティに関する人材育成を促進することを目的として、「情報セキュリティプロフェッショナル育成に関する調査研究」を実施し、情報セキュリティに関する人材の能力を客観的に評価するためスキルマップを作成するとともに、地方企業等における人材育成策についての提案をとりまとめた。

成果紹介URL:http://www.ipa.go.jp/security/fy14/reports/professional/ikusei-seika-press.html
 


ユーザ企業IT動向調査 - 変わりつつある情報システム投資の実態 -
細川泰秀,三木徹(社団法人日本情報システム・ユーザー協会)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  ユーザ企業各社は積極的に情報システム投資へ取組んでいるが、自社にとっての最適な情報システム投資規模がわからない、情報システム投資に対する評価が十分に行われていない等、様々な課題を抱えている。本調査では、アンケートおよびインタビューにより情報システム投資の実態を明らかにするとともに、今後の情報システム投資へ向けての提案を行っている。

成果紹介URL:http://www.ipa.go.jp/SPC/report/useritsurvey/
 


ソフトウェア開発における顧客満足度評価方法の調査 
木村香代子,西山直樹,長澤良次(株式会社構造計画研究所)
  《概要》      論文(PDF形式)
  ソフトウェア開発の評価のひとつとして顧客満足度評価があるが、その評価方法は確立したものではない。本調査では、顧客満足度の評価項目および評価尺度を明らかとすることにより、ソフトウェア開発においてユーザ及びベンダーが成功事例と納得するケースを導く指標を作ることを目的としている。

調査報告書(PDF形式)
 


情報セキュリティ監査制度に関する調査 - 情報セキュリティ監査制度の普及に向けて -
村主俊彦,菅谷光啓(エヌ・アール・アイセキュアテクノロジーズ株式会社)
  《概要》      論文(PDF形式)
  情報全般と情報システムからなる情報資産のセキュリティレベルの向上を図る手段としての情報セキュリティ監査を日本において普及させるために求められる視点や考え方を以下の調査を通して明らかにした。

* 欧米における政府機関を対象とした情報セキュリティ監査の実施状況
* 情報システムを対象とした既存の監査基準
* 欧米における情報セキュリティ監査実施主体のあり方

成果紹介URL:http://www.ipa.go.jp/security/fy14/reports/audit/committee.html
 


情報セキュリティビジネスに関する調査 
板垣克彦,中原隆一,仲谷光弘,宮脇啓透,藤木保崇,宮脇訓晴,小野彰(株式会社日本総合研究所)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  情報セキュリティビジネスの実態およびITセキュリティ評価・認証制度に関する市場予測の調査結果を報告する。情報セキュリティビジネスの実態調査では5年間の日米市場予測(金額)、各ビジネス分野の成功・失敗要因の抽出、および課題を整理した。ITセキュリティ評価・認証制度に関する市場予測調査では、他制度との比較から同評価認証制度の課題と対策への提言を行うとともに市場予測(件数)を行った。
 


本人認証技術の現状に関する調査 
大鐘博子(セコムトラストネット株式会社),松本泰(セコム株式会社IS研究所),鈴木優一(エントラスト・ジャパン株式会社),池野修一,佐藤永子,高田直幸,渡並智,長峯隆,林慶司,福士和義,石垣陽(セコム株式会社IS研究所)
  《概要》      論文(PDF形式)
  本プロジェクトでは、(1)研究・開発者等に、本人認証技術全般(バイオメトリクス、ICカード、各種暗号クレデンシャル、電子署名等)に関わる包括的な情報を提供し、(2)電子政府における本人認証の課題を広く世に示す。本報告書によって、電子政府における有効な認証モデルの開発が促進されることを期待する。

成果紹介URL:http://www.ipa.go.jp/security/fy14/reports/authentication/index.html
 


情報セキュリティの実態に関する調査 - 国内外のコンピュータウイルス被害の実態 -
岡田修, 野口修一,加藤智子,五十嵐義明,中野浩介(三井情報開発株式会社)
  《概要》      論文(PDF形式)
  本調査は昨年度からの継続調査で、「情報セキュリティマネジメントの実態」、「国内におけるコンピュータウイルス被害状況調査」及び「海外におけるコンピュータウイルス被害状況調査」の各テーマについて、内外の企業・事業所へのアンケート調査を実施し、最新の情報セキュリティの実態を把握した。さらにアンケート調査で把握したデータをもとに、昨年度の「被害額算出モデル」の精度を上げ、2002年1月から12月の1年間を対象に国内におけるコンピュータウイルスによる被害総額を算出した。

成果紹介URL:http://www.ipa.go.jp/security/fy14/reports/current/servey.html
 


暗号モジュール評価に関する国内ニーズ調査 
中山裕之(株式会社NTTデータ経営研究所)
  《概要》      論文(PDF形式)
  国内の暗号モジュール製品の開発元および販売窓口の大半は,需要側における調達要件化を国内の暗号モジュール評価・認証制度への対応の条件としている.今後、政府調達と民間調達での認証取得の要件化が進むことを仮定した場合,5年後の国内の暗号モジュール評価・認証制度の潜在的な申請需要は25件になると予測した.
 


WebDAVシステムのセキュアな設定・運用に関する調査 - セキュアなWebの運用と今後の技術開発にむけて -
株式会社SRA先端技術研究所
  《概要》    概要図(PDF形式) 論文(PDF形式)
  本調査は、セキュアな WebDAV システムを開発するために必要となるアクセス権管理を中心に、フィジビリティスタディ等を行い、より安全な運用のための設定方法を総括すると同時に、今後の技術開発の必要性について検討した。これは単なる運用マニュアルではないが、WebDAVに関連する仕様の簡便なリファレンス、およびApache2.0とSSLをベースとしたセキュアなWebDAVの運用ガイドラインとしても有用である。

成果紹介URL:http://www.ipa.go.jp/security/fy14/reports/webdav/index.html
 


暗号アルゴリズムの実装方式とリスク分析に関する調査 
門野健治,原田勝利,中山美紀(株式会社レッドサイレン・テクノロジー),Ruth Tara,Douglas Dickson(RedSiren, Inc.)
  《概要》      論文(PDF形式)
  米国等においてCCとCMVPの運用に関する調査を行い、日本への暗号評価制度導入に対する提言をまとめた。複数暗号実装方式の事例調査を行い、単一実装との差異分析を行って複数実装の脅威低減に関する提言をまとめた。米国における暗号実装技術の最新動向を調査し、日本での暗号モジュール評価制度運営に対する提言をまとめた。

成果紹介URL:http://www.ipa.go.jp/security/fy14/crypto/implementation/risk_anal.html
 


オープンソースソフトウェアのライセンス契約問題に関する調査 
柳沢茂樹,上村哲弘(財団法人ソフトウェア情報センター)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  Linuxを中心とするオープンソースソフトウェアのビジネスによる利用が広まっているが、そのライセンス契約であるGPLには不明確点が多く、ビジネスによる利用の障害となっている。本調査ではGPLの法的問題を整理し、その解釈及び利用のためのガイドラインを提示し、ビジネスによるオープンソースソフトウェア利用の一助とすることを目的とした。

成果報告書:http://www.ipa.go.jp/NBP/14nendo/14cho1/030815opensoft.pdf
 


情報セキュリティ監査支援技術の開発 - 電子政府情報セキュリティ監査向け調査 -
塚田孝則,宮沢徹,日高智美,小野崇,谷口賀英,菅原秀幸(日立ソフトウェアエンジニアリング株式会社)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  電子政府における情報セキュリティ監査実施の必要性が高まっている。このため、国内外の情報セキュリティ監査の現状を調査し、監査人に対する要件、監査の実施手順などをまとめた。また、既存の監査制度や情報システムの脆弱性情報などを基に、電子政府において典型的であると想定される4システムモデルそれぞれについてセルフチェックリストを作成した。
 


システムのセキュリティ評価技術に関する研究開発 
 金子浩之,中村裕司,原慎一郎,宇賀村直紀(社団法人電子情報技術産業協会)
  《概要》      論文(PDF形式)
  ISO/IEC15408に基づくセキュリティ評価をシステムに適用するために、今までの研究成果であるシステム評価技法及び評価用証拠資料の評価・検証を実施した。また、システムのセキュリティ管理要件基準案、及びシステム評価方式基準案を策定し、システムセキュリティ評価手法としてISO/IEC JTC1 SC27 WG3国内委員会に提案した。

成果紹介URL:http://www.ipa.go.jp/security/fy14/evaluation/cc_system/cc_system.html
 


プロセスアセスメント技術を適用したシステムセキュリティ評価技術の開発 - 国際規格のセキュリティアセスメント手法 -
伏見諭,佐藤信也,永木昭市,富川圭子,徳田一見,山田修一(株式会社情報数理研究所)
  《概要》      論文(PDF形式)
  製品開発プロセスにおけるセキュリティ能力を判定・改善する国際標準規格SSE-CMM (ISO/IEC21827)に関する調査研究を行い、その考え方の普及および自組織のプロセス改善にパソコン上で利用できる自己評価用ドキュメント及びアセッサ育成用ドキュメント(入門コース、アセッサ訓練コース)を作成した。

成果紹介URL:http://www.ipa.go.jp/security/fy14/evaluation/sse_cmm/sse_cmm.html
 


大規模サイトのネットワークのセキュリティ - 管理者向けネットワークセキュリティ対策 -
塚田孝則,宮崎博,谷口賀英,宮沢徹,小野崇,鮫島吉喜,高林和子,谷英夫,佐藤毅,菅原秀幸(日立ソフトウェアエンジニアリング株式会社)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  近年、企業の業務でのIT利用が拡大している。しかしながら、ネットワークやセキュリティ技術の変化・多様化によって、IT部門が適切な技術的セキュリティ対策を選択・導入できていない場合も多い。本書は、大規模サイトで適切なセキュリティ対策の導入を検討するための資料として作成した。
 


SOHO・家庭向けの情報セキュリティ - 「不正アクセスは心配だけど、対策方法が分からない」という人のためのマニュアルです -
南孝伸,中村隆美(株式会社デジタルフォレスト)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  不正アクセスが何処にあって、何処からやってくるのか。そして、どのように対策(設定等)をすればよいのかについて、専任の管理者を置くことができないSOHOや一般家庭ユーザ向けに編集されたマニュアルです。インターネットの現状と脅威、各種OSやブラウザ、メールソフト等の設定方法が記載されています。

成果紹介URL:http://www.ipa.go.jp/security/fy14/contents/soho/soho-sec2002-keiji.html
 


EVM活用型プロジェクト・マネジメント導入ガイドラインの作成  - すぐに使えるEVMガイドライン -
木野泰伸(日本アイ・ビー・エム株式会社), 西健(株式会社プロシード)
  《概要》    概要図(PDF形式) 論文(PDF形式)
  本ガイドラインでは、EVM適用範囲についてわが国でのITサービス調達の現状に極力合わせた工夫を施し、現調達環境下で実現し得る範囲として、即効性のある具体的なEVM適用ガイドラインを示し、その目的とする効果が最大限発揮され、具体的な導入・実施が無理なく可能となるように配慮した。また、記述も極力そのまま使用できるように、具体的かつ簡潔なガイドラインとした。