セキュリティ

ビジネスグリッド

その他

ＰＫＩにおけるＵＴＦ８Ｓｔｒｉｎｇ問題に関する調査

特定非営利活動法人日本ネットワークセキュリティ協会

報告書　【参考】

【概要】

文字コードにおけるunicodeの系譜に属するエンコード仕様であるUTF8string（Unicode Transfer Format 8 の文字列に由来する）が、デジタル証明書において使われることとされた。しかし、従来の方法間における文字列比較ロジックを確立しなければ、デジタル証明書上の項目の検証ができないという問題があり、これを「PKI における UTF8String 問題」と呼んでいる。本調査の目的は、上記の問題を解決することにある。なお、本報告書は、異なる複数の読者層（専門技術者）に向けて書かれている。

アクセス制御に関するセキュリティポリシーモデルの調査

株式会社日立製作所

報告書　【参考】

【概要】

本調査は、セキュリティポリシーモデルに関する基本的な理論やその発展ならびに適用事例を調査し、体系的に提示することによって、システム設計や研究開発のための基礎情報を提供することを目的とした、セキュリティポリシーモデルとその数理論理学的な記述のサーベイである。

暗号の危殆化に関する調査

株式会社三菱総合研究所

報告書　【参考】

【概要】

暗号の危殆化問題について、システム上の影響や技術的・制度的対策、法律上の問題に関する検討は未だ殆どなされていない。そのため、暗号が危殆化した際には、社会的な混乱が予想される。 そこで、本調査では主として電子政府において使用される暗号が危殆化した際の影響、法律上の問題について分析を行い、技術的・制度的対策に関する検討の結果を示した。

欧州及びドイツにおける電子署名法及びタイムスタンプ技術に関する調査

独フラウンホーファーSIT研究所

報告書　【参考】

【概要】

我が国の情報セキュリティの向上のため、欧州、その中でも特に進んでいるドイツの欧州及びドイツの電子署名法の状況を調査した。併せて、PKI(Public Key Infrastructure)関連プロジェクトの状況を調査した。また、正確な時刻とともにデジタル文書に電子署名を付すタイムスタンプサービスについて、要件があるかをドイツ連邦政府の各機関にインタビューした。さらに、タイムスタンプベンダー／プロバイダーにも、事業計画をインタビューした。

各国の情報セキュリティ投資に対するインセンティブに関する調査

株式会社アイ・ビ−・ティ

報告書　【参考】

【概要】

情報セキュリティに対する投資促進に有効な政策・施策を検討する資料とするため、企業・組織および個人の情報セキュリティ投資を促進するためのインセンティブとなりうる政策・施策につき、アメリカ、ヨーロッパ、アジア各地域にわたる海外の事例を調査した。

韓国における情報セキュリティ政策に関する調査

株式会社アイ・ビ−・ティ

報告書　【参考】

【概要】

わが国の情報セキュリティ政策の検討に資するため、強力な情報通信インフラの上で世界最高水準のスマートかつオープンで効率的な電子政府基盤を完成し、北東アジア情報化ハブ拠点を目指す韓国における国家情報保護政策および情報セキュリティ施策について具体的な実態を調査した。

強制的アクセス制御に基づくWebサーバーに関する調査・設計

株式会社SRA先端技術研究所

報告書　【参考】

【概要】

インターネット環境で運用されるWeb サーバー・システムにおいて、オペレーティング・システムによる強制的アクセス制御を有効活用するためには、オペレーティング・システムと調和的にアクセス制御を実現するWeb サーバーの実現が不可欠である。本プロジェクトは、中央省庁等で利用されるインターネット Webサーバー・システムを想定し、オペレーティング・システムによる強制的アクセス制御機構を有するWeb サーバー・システムの実現を目指すものである。本調査により、 Web サーバーに適したセキュリティ・ポリシー・モデルを明らかにした。

国内・海外におけるコンピュータウイルス被害状況調査

三井情報開発株式会社

報告書（国内におけるコンピュータウイルス被害状況調査）

報告書（海外におけるコンピュータウイルス被害状況調査）

【参考】

【概要】

最新のコンピュータウイルス関連の被害実態及び対策の実施状況を把握し、コンピュータウイルス対策を推進するために、国内及び海外5カ国・地域を対象とした調査を行った。

情報システム等の脆弱性情報の取扱いに関する調査

株式会社三菱総合研究所

報告書

【概要】

情報セキュリティスキルマップの普及促進に向けた調査研究

特定非営利活動法人日本ネットワークセキュリティ協会

報告書　【参考】

【概要】

本調査研究では、2002年度、2003年度調査において作成した、情報セキュリティに関係する技術項目を網羅的にリストアップしたスキルマップを、実場面で活用できるように、 ケーススタディでの課題・運用上でのポイントをヒアリングしながら、実場面での活用についてガイドラインをまとめた。

セキュリティ脅威とその対策方針のパッケージ化のための調査研究

GAMMA Security Systems Limited

報告書　【参考】

【概要】

ISO/IEC 15408 に基づく IT 製品やシステムの評価のためには、そのセキュリティ目標を記載したセキュリティターゲット ( 以下、 ST と記載 ) の作成が必須である。この ST では、評価の対象となる IT 製品やシステムのセキュリティ脅威を抽出し、対応するセキュリティ対策を策定することが求められているが、この作業は評価を受ける開発者にとって多大な負荷になっている。

少ない負荷で、短期間に ST 作成とその評価ができるようにするために、セキュリティ脅威とその対策方針に関わる記載内容をパッケージ化した。 ST 作成者は、このパッケージから妥当なセキュリティ脅威を選択し、 IT 製品やシステム固有の情報を規定の記載形式のパラメタに挿入することによって、容易に、正確なSTを作成することができる。

電子政府システムにおけるアクセス制御要件に関する調査

ケーピーエムジービジネスアシュアランス株式会社

報告書　【参考】

【概要】

中央省庁における行政文書の管理業務をシステム化する際に、的確なアクセス制御を実現するために、アクセス制御に関する各種の関連事項を整理し、統一的に 論じておくことは、今後の電子政府の進展のためには必要不可欠なことである。

本調査研究では、行政文書の管理業務をシステム化する際に検討すべき アクセス制御要件について、体系的な整理、検討を行った。

ハードウェアに関わるセキュリティ評価の調査研究

電子商取引安全技術研究組合

報告書　【参考】

【概要】

IT製品・システムのセキュリティ評価基準である ISO/IEC 15408 (CC: Common Criteria) は、論理的セキュリティ機能を中心として構成されており、物理的セキュリティ機能に関わる記述が十分でない。そのため、ハードウェアによるセキュリティ機能を併せ持つ IC カードなどの評価において、開発者、評価者に不便が生じている。本調査では、ハードウェアセキュリティ機能のカテゴリに入る各種攻撃とその対抗手段の実例を調べ、それらに対する CC/CEM の記述不足点を明らかにした。さらに、ハードウェアセキュリティ機能に携わる開発者、評価者へのガイドとなることを目指し、CC/CEM 補足案を作成した。

バイオメトリクス評価に関する調査

セコム株式会社

報告書　【参考】

【概要】

最近のバイオメトリクス認証の応用状況は、局所的な入退室管理などでの利用から、多国間でのセキュリティ確保のためパスポートへの指紋採用が拡大すると共に、日常生活でのIT化の拡大に伴い、銀行のATMでは、「手のひら静脈認証」が開始されるなど、更に拡大するものと思われる。

このような利用範囲の拡大に伴い、バイオメトリクス製品を安心して利用するための、バイオメトリクス製品の精度評価が重要となっていている。

このため、わが国における精度評価制度を検討するに当たり、技術及び政策的課題を整理すると共に、精度評価に必要となる評価用データベース化のための仕組みについて、海外での状況を踏まえ、取りまとめを行った。