HOME >> IPAについて >> 記事

プレス発表 組込みソフトウェアのセキュリティ対策のポイント集などをとりまとめ、公表
「情報システム等の脆弱性情報の取扱いに関する研究会」報告書の公開について

2006年 5月18日

独立行政法人 情報処理推進機構
セキュリティセンター

 独立行政法人 情報処理推進機構(IPA、理事長:藤原 武平太)は、情報家電など組込みソフトウェアを用いた機器のセキュリティ対策などを推進するために、組込みソフトウェアの生産・販売企業の経営層・管理層を対象にした意識啓発資料や技術者を対象とした開発等における40のポイント集を含む報告書をとりまとめ、公表しました。
 本報告書は、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久 中央大学教授)において、昨年12月から行われた検討の成果です。

 近年、情報家電の普及にともない、組込みソフトウェアが内包するセキュリティ上の弱点箇所(ぜい弱性)が社会に与える影響などへの懸念がひろがりはじめています。 このため、組込みソフトウェアのセキュリティ対策の一層の推進が求められています。

 例えば、情報家電などのユーザは、情報セキュリティに対する認識・知識が十分でありません。また、一旦販売したものについては、ぜい弱性が発見されると製品回収が必要になるケースもあります。 このため、できるだけ製品の販売前に実効性の高い対応策を施しておく必要があります。

 こうした状況を踏まえ「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久 中央大学教授、研究会メンバー表は別添2参照)では、組込みソフトウェア分野やセキュリティの専門家によるワーキンググループを設置して、組込みソフトウェアの生産・販売企業の経営層・管理層と現場技術者のそれぞれに向けた啓発資料について検討を行いました。

 経営層・管理層向けには、脆弱性対策が不十分であった場合の影響等を具体的な事例で示すことに重点をおいた『組込みソフトウェアを用いた機器におけるセキュリティ』を作成しました。また、現場技術者向けには、組込みソフトウェアの各工程における40のポイントを提示した『組込みソフトウェアのセキュリティ 〜機器の開発等における40のポイント〜』を作成しました。 (それぞれ概要は別添1参照)今後の組込みソフトウェアのセキュリティ対策推進に役立つことを期待しています。

 本資料は、昨年12月から開始した「情報システム等の脆弱性情報の取扱いに関する研究会」における検討の成果です。本研究会では、組込みソフトウェアの脆弱性対策推進のための方策検討の他、脆弱性情報の取扱いプロセスの強化策などについても検討し、報告書にとりまとめました。(概要は別添1参照)

啓発資料のダウンロード:

報告書のダウンロード:

添付資料を含むニュースリリースの全文は、以下のPDFファイルをご参照ください

[別添1]

1.経営層向け意識啓発資料『組込みソフトウェアを用いた機器におけるセキュリティ』の概要

 本資料は、組込みソフトウェアを用いた機器(組込み機器)のベンダー経営者を対象として、トラブル事例、ビジネスへのインパクトや対応方策の例を紹介する内容となっている。

  • トラブルとビジネスインパクトの事例(概要)
     コンピュータソフトウェアのように修正プログラムをインターネット経由で配布できない場合に、製品回収し、製品交換し、部品交換などを行うことが必要となることがある。我が国でも回収コストが120億円に達した例がある。この他、海外で携帯電話がウイルス感染し起動できなくなる事例などがある
  • 対処方策例(概要)
     情報家電メーカーが製品のセキュリティ設定の変更方法などを、インターネットを通じてユーザに呼びかけ、同社はその後の製品については企画の基本方針から危険な設定ができないように社として方針、体制を固めた対処例などを示した。

2.技術者向け意識啓発資料『組込みソフトウェアを用いた機器におけるセキュリティ』の概要

 組込みソフトウェアを用いた機器に関するセキュリティ対策の推進は、現場において、十分に理解されることが基本。このため、組込みソフトウェア開発企業の技術者など向けの、組込みソフトウェアのライフサイクルの各工程(企画から廃棄まで)における、管理面、技術面のポイント集を作成した。

「組込みソフトウェアのセキュリティ 〜機器の開発等における40のポイント〜」(抜粋)
  ポイント
企画 ・一般のユーザに馴染みの無い機能または普段使用されることが少ない機能については、特に安全側を意識した設定を行う
設計 ・完成時のセキュリティ検査について観点・項目を整理しておく
実装 ・ネットワーク接続されるインタフェース全てについて、(不正侵入テストを含む)攻撃テストを実施する
運用
(製品化後)		 ・コールセンターが最新のセキュリティに係わる状況を踏まえ適切に対応する
廃棄 ・マニュアルに、ユーザが行うべき機密データの廃棄手順を明記する

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構  セキュリティセンター 山岸(正)・田原
Tel:03-5978-7527
Fax:03-5978-7518
E-mail:電話番号:03-5978-7501までお問い合わせください。

報道関係からのお問い合わせ先

独立行政法人 情報処理推進機構   戦略企画部 広報グループ   横山・佐々木
Tel:03-5978-7503
Fax:03-5978-7510
E-mail:電話番号:03-5978-7501までお問い合わせください。

ページトップへ