2007年4月

4月のＩＰＡの活動（2007年4月）

１．ソフトウェア・エンジニアリング・センター（ＳＥＣ）

1-1． 「信頼性評価指標（試行版）」の公開

（担当所長：鶴保、担当副所長：牧内）

IPAは、経済産業省と連携して、同省が2006年6月に公開した「情報システムの信頼性向上に関するガイドライン」に従い、情報システムの企画・開発・保守・運用プロセスにおける信頼性を確保するための取組み状況を診断する「信頼性評価指標 (試行版)」を策定しました。

同指標は、利用対象者（ユーザ企業、ベンダ企業）及び評価単位（プロジェクト単位、組織（企業）単位）ごとに４種類が用意されています。利用者は、それぞれ50問程度の質問に答えることによって、信頼性を確保する対策を十分講じているかどうかについて自己評価を行うことが可能となります。

IPAでは、利用者の利便性に配慮し、同指標をExcelファイル形式にて、4月27日（金）に公開しました。また、2008年3月末を目途に、「信頼性ベンチマークシステム ^*1 (仮称)」を開発し、運用を開始する予定です。

今後も、ソフトウェアの信頼性向上に向けて、積極的な取り組みを継続します。

(*1)信頼性ベンチマークシステム：「信頼性評価指標」をベースとして、その評価結果をIPAが収集。それを統計的に処理することで、利用者が、自己水準の相対的な位置関係を確認できるシステム。

1-2．地域におけるSEC活動成果の普及

（担当所長：鶴保、担当副所長：牧内）

SECは、ソフトウェア・エンジニアリング活動成果を地域にも普及させるため、4月11日（水）、AP大阪（大阪市中央区）にて、セミナー「組込みソフトウェア開発向けプロセスとマネジメント解説」を開催しました。当日は、ソフトウェア開発企業を中心に75名の来場者があり、熱心な質問が続出し、SECの活動成果への関心の高さがうかがえました。

また、4月19日（木）には、小樽商科大学札幌サテライト（札幌市中央区）にて、ソフトウェア開発に関する「プロセス改善セミナー」を開催し、札幌市近郊のIT関連企業等の方々に対して、SECの活動成果の紹介を行いました。

日本のソフトウェア開発力強化のため、今後もセミナー開催等により、地域におけるSEC活動成果普及を図ります。

セミナーの概要については、次のURLをご覧ください。

https://sec.ipa.go.jp/seminar/index.php

２．セキュリティセンター

2-1． 「暗号モジュール試験及び認証制度」正式運用開始

（担当理事：仲田、担当センター長：三角）

IPAは、 2007年4月1日から、電子政府推奨暗号リスト^*2 等に示された暗号アルゴリズムがソフトウェアやハードウェアへ適切に実装されているかどうかの試験等を行う暗号モジュール^*3 試験及び認証制度(以下、「JCMVP^*4 」という。)の正式運用を開始しました。

JCMVPとは、暗号化機能、署名機能等の「承認されたセキュリティ機能^*5 」が、正しく暗号モジュールに実装されていることを確認すると共に、その中に含まれる鍵やID、パスワード等の重要情報のセキュリティが確保されていることを試験、認証する制度で、暗号モジュールのセキュリティ要求事項を定めたISO/IEC 19790の国際一致規格であるJIS X 19790を採用しています。

運用に当たって、中立機関であるIPAは、この標準規格に基づいて適切に認証を行います。また当分の間、試験機関としての業務を行う予定です。

正式運用に向け、2006年6月から試行運用を始めており、2007年3月30日に最初の暗号モジュール製品の試験及び認証業務を完了しました。認証された製品は、Web上で「暗号モジュール認証製品リスト」として公開しています。

JCMVPについては、次のURLをご覧ください。

http://www.ipa.go.jp/security/jcmvp/index.html

(*2) 総務省及び経済産業省が、2003年2月20日に発表した、「電子政府」における調達のための推奨すべき暗号のリスト。

(*3)暗号アルゴリズムが適切に実装された製品で、ソフトウェア、ハードウェア等で実現されたものをいう。

(*4)Japan Cryptographic Module Validation Program

(*5)電子政府推奨暗号リストを基に、本制度の認証機関によって承認された暗号アルゴリズム。

2-2．「ＩＰＡ組込みセキュリティワークショップ」の開催

（担当理事：仲田、担当センター長：三角）

4月6日（金）、セキュリティセンターは、明治記念館（東京新宿区）において、「IPA組込みセキュリティワークショップ」を開催しました。

暗号技術の世界的権威者であるイスラエルワイツマン研究所のシャミア(Adi Shamir）教授のほか、高木 剛教授(公立はこだて未来大学）、鵜飼　裕司氏（米eEye社）、及び大場信弥氏（電子商取引技術研究組合 顧問）等、内外から組込みセキュリティ技術にかかわる第一人者を招へいしました。内容としては、組込みシステムでの脆弱性の実態と対策例、組込みシステム向けの暗号技術に関する最新動向、組込みシステムが直面する脅威（攻撃技術）の動向等に関する講演を行いました。本件のアンケート調査の結果では、「期待以上」又は「期待通り」との回答が77.9％を占めました。

なお、当日は定員100名に対して114名の来場者があり、大盛況のうちに終了することができました。

2-3．ソフトウェア等の脆弱性関連情報に関する届出状況[2007年第1四半期（1月〜3月）] （資料１）

（担当理事：仲田、担当センター長：三角）

IPAとJPCERT/CC^*6（有限責任中間法人JPCERTコーディネーションセンター）は、4月19日（木）、2007年第1四半期（1月〜3月）の脆弱性関連情報の届出状況をとりまとめ、発表しました。

今四半期は、ソフトウェア製品に関するもの36件、ウェブサイトに関するもの95件、合計131件の届出がありました。近年、増加傾向にある１就業日あたりの届出件数は1.95件となり、2件に近づいています。2004年7月8日に脆弱性関連情報の届出受付を開始してからの累計は、ソフトウェア製品に関するもの455件、ウェブサイトに関するもの844件、合計1,299件で、ウェブサイトに関する届出が3分の2となっています。

2007年2月22日から、共通脆弱性評価システムCVSS^*7を用いたソフトウェア製品の深刻度評価を開始しました。IPA では、CVSS の「基本評価基準(Base Metrics)」を用い、CVSS 基本値(Base Score)を算出し、脆弱性そのものの特性についての評価を行います。今四半期、JVN^*8 で公表した28 件のソフトウェア製品の脆弱性の中に、深刻度が高いレベルIII（危険）が1 件、レベルII（警告）が2 件ありました。

※ＩＰＡは、ウェブサイトの運営者から要請があれば、セキュリティホールが確実に修正されたかどうか確認を行っています。

(*6)JPCERT/CC：Japan Computer Emergency Response Team Coordination Center

(*7)CVSS：Common Vulnerability Scoring System。CVSSについては、次のURLをご覧ください。http://www.ipa.go.jp/security/vuln/SeverityCVSS.html

(*8)JVN：JP Vendor status Notes。IPA とJPCERT/CC が共同で運営している脆弱性対策情報ポータルサイト(http://jvn.jp/)

2-4． 情報セキュリティ教本の出版

（担当理事：仲田、担当センター長：三角）

セキュリティセンターは、企業・学校・政府機関・団体等の情報セキュリティ担当者、責任者、部門長、経営者などを対象に、組織としての情報セキュリティ対策をできるだけ具体的に、わかりやすく解説した「情報セキュリティ教本−組織の情報セキュリティ対策実践の手引き−」を刊行しました。

情報セキュリティに関わる主要な基準・対策を網羅しており、情報セキュリティ担当者・責任者の「教科書」として、また「ハンドブック」として最適です。

http://www.ipa.go.jp/security/publications/kyohon/index.html

３．ソフトウェア開発

3-1． 「自治体におけるOSS活用に向けての導入実証連絡会議」を開催

（担当理事：仲田、担当センター長：田代）

IPAは、4月25日（水）、2006年度「自治体におけるオープンソースソフトウェア活用に向けての導入実証」の連絡会議を開催しました。

本連絡会議は、2007年度実証事業の展開に結びつけることを目的とし、一般からの参加者やマスコミ関係者を含む85名の参加を得て実施されました。

第１回連絡会議^*9 は、1月16日に、2006年度事業に参加した４つの自治体・企業が参加し、導入実証事業内容について中間報告を行いました。今回の第２回は、終了した2件の成果公開と、実施中の2件の実証事業の状況の公表に加えて、IPAがテーマ型公募などで実施した事業成果を紹介しました。

なお、講演終了後に情報交換会を実施し、自治体へのOSS導入や普及について活発な意見交換が行われました。

(*9)第1回連絡会議の資料については、次のURLをご覧ください。

http://www.ipa.go.jp/software/open/ossc/2006/stc/jichitai_report1.pdf

3-2． 2007年度（第1期）のソフトウェア開発支援事業の公募結果

（担当理事：仲田、担当部長：藤橋）

1月26日（金）より公募しました2007年度（第1期）のソフトウェア開発支援事業は、下記のとおり多数の応募がありました。応募案件は、現在審査中であり、5月中に採択する予定です。なお、2007年度（第2期）ソフトウェア開発支援事業は、現在公募しております。

＜公募受付状況＞

申請件数

3-3． 債務保証実績の拡大

（担当参事：小林、担当部長：藤橋）

2006年度の債務保証実績は、2,751百万円（前年度比102.8％。以下同じ。）となり、2000年度以降最大を記録しました。　

特に、新技術債務保証は、767百万円（128.8％）となり、1996年度の制度創設以来最大を記録しました。

代位弁済実績は、4件、82百万円となり、前年度に比べると、件数は3件、金額は20百万円減少しました。債務保証実績が拡大する中で、審査力の強化により不良資産の発生を抑え、2.31％と極めて低い代位弁済率（代位弁済額／期中月末平均残高）を確保しました（前年度3.83％）。

以上の結果、2006年度末の債務保証残高は、3,493百万円（110.1％）となり、前年度末の3,172百万円に比べると321百万円の増加となりました。このうち、2006年度末の新技術債務保証残高は、1,174百万円であり、2005年度末残高736百万円から438百万円増加しております。

平均審査日数については、ユーザの利便性を確保するため目標の20日以下に向けて努力した結果、2006年度は、19.5日（前年度21.8日）となり目標を達成しました。

3-4． 地域金融機関との提携商品を拡充

（担当参事：小林、担当部長：藤橋）

IPAと株式会社百五銀行（頭取：前田　肇）は、情報処理産業の育成及び中小企業のIT化支援について提携し、その一環としてIPAの債務保証付無担保融資商品「百五ITサポートローン」を開発しました。三重県に本店を置く金融機関との提携は、百五銀行がはじめてです。

また、提携融資商品について地域金融機関と連携強化を図り、全国を網羅する体制を確立しました。

なお、2006年度の提携商品に係る債務保証実績は、31件、766百万円となっております。

４．ＩＴ人材育成

4-1． 「ＩＴスキル標準フォーラム２００７in大阪」の開催

（担当理事：松村、担当センター長：小川）

4月13日（金）、大阪全日空ホテル（大阪市北区）において、「ＩTスキル標準フォーラム２００７in大阪」を開催しました。

前半は、牧田孝衞氏（松下電器産業（株) 情報システム担当 役員 IT革新本部副本部長）から自社の人材育成施策の紹介と加藤正和氏（（株）オージス総研 代表取締役社長）からITスキル標準の自社活用事例の説明がありました。その後、引き続き、「高度ITプロフェッショナル人材育成」のテーマで、IPA藤原理事長も加わった3氏による鼎談を行いました。

後半は、IPAがIT人材育成の一環として推進する、「ITスキル標準」、「組込みスキル標準」及び「情報システムユーザースキル標準（UISS^*10 ）」の紹介及び活用方法の説明、さらに「情報処理技術者試験」の動向を説明しました。

参加人数は、定員200名のところ290名となり、注目度の高いフォーラムとなりました。

なお、講演内容及び鼎談については、次のＵＲＬをご覧ください。

http://www.ipa.go.jp/jinzai/itss/news/forum2007osaka.html

(*10)UISS：Users' Information Systems Skill Standards

4-2． 「平成19年度春期情報処理技術者試験」情報処理技術者試験の実施（資料２）（資料３）

（担当理事：仲田、担当参事：澁谷）

4月15日（日）、平成19年度春期情報処理技術者試験が、全国62試験地303会場において実施されました。応募者数265,601名（前年同期比24,669人減、△8.5％）に対して受験者数は174,854名（前年同期比10,466人減、△5.6％）であり、受験率は65.8％（前年度同期：63.8％）となりました。

前年同期に比べ、テクニカルエンジニア（情報セキュリティ）試験を除く全試験区分で受験率が上昇、全体の受験率も上昇しました。

合格発表日時について、基本情報技術者試験と初級システムアドミニストレータ試験は5月11日（金）正午、その他の試験は6月11日（月）正午の予定となっております。

なお、今回から、「配点割合」と多肢選択式問題の「解答例」は、これまで試験実施の翌日に公表しておりましたが、平成19年度春期試験から試験当日の18時に公表することにいたしました。今後も皆様のご要望にお応えするため、サービス向上に努めてまいります。

4-3． 第３回アジア共通統一試験の実施（資料４）

（担当理事：松村、担当参事：澁谷）

4月1日（日）、アジア5ヶ国^*11 による「第3回アジア共通統一試験^*12 」が実施されました。

本試験は、日本の情報処理技術者試験制度を導入したものであり、ＩＰＡは試験問題の提供、試験問題作成支援、試験支援システムの提供等の協力を行っております。この試験は、共通の基準で受験者を評価し、相互に合格者の認定を行うことにより、アジアにおける質の高いIT人材の確保や流動化を図ることを目的としています。

第2回まで参加していたミャンマーは、直前になって都合により実施が中止となりました。また、受験者数が未着のマレーシアを除く4ヵ国の受験者数は、1,277名となりました。

IPAは引き続き、このアジア共通統一試験実施の支援を行っていく予定です。

(*11) アジア5ヶ国：フィリピン、タイ、ベトナム、マレーシアの4ヶ国に、モンゴルが将来の相互認証を前提にトライアル試験として参加。

(*12) 第3回アジア共通統一試験：同一日の、同一時間に、同一問題を使用して実施する6ヶ国共通の統一情報処理技術者試験で、年2回実施。内容は基本情報技術者試験相当。

4-4． 未踏ソフトウェア創造事業のこれまでの実績及び2007年度第1期採択（資料５）

（担当理事：仲田、担当部長：藤橋）

（１）未踏ソフトウェア創造事業は2000年度から開始され、今年度で７年目を迎えました。これまでの実績についてとりまとめましたので、別添資料をご覧下さい。

（２）未踏ソフトウェア創造事業（本体）2007年度第1期の応募件数は117件でしたが、PM 11人による審査の結果、34件の採択となりました。

PM（プロジェクトマネジャー）紹介

http://www.ipa.go.jp/jinzai/esp/message/2007/mitouPM.html

採択結果

http://www.ipa.go.jp/jinzai/esp/2007mito1/index.html

５．ツール＆データベースカタログを作成

5-1． 「IPAが開発、提供する『見える化』ツール＆データベースカタログ」を作成

（担当理事：松村、担当参事：樋口）

身の回りの様々な機器や重要インフラの制御システムにソフトウェアが活用され、ソフトウェア及び情報システムの安全性や信頼性の確保は極めて重要です。また、高度なネットワーク社会が形成され、時代に合わせた適切な情報セキュリティ対策を行うことが社会的要請となっています。このため、ソフトウェアの効率的な開発手法や優れた開発・評価ツール、知的公共財としての情報データベースへの要望が高まってきました。

IPAはこの要望に応えるべく、「標準」「よりどころ」の提供を目的として、自己診断や性能評価等の「見える化」ツールの開発、及び誰もが情報を活用できるデータベースの構築を進めてまいりました。

このたびこれらのツール、データベースを一覧でご紹介するカタログを作成いたしました。オープンソース関連情報データベース「OSS iPedia」や、組込みコーディング作法ガイド準拠ツール、情報セキュリティ対策ベンチマーク等17のツール、データベース等を掲載しています。今後開発するツール類も適宜改訂を行い掲載していく予定です。

このカタログを、IPAX 2007を始めとした主催イベント、セミナーや出展する外部の展示会等で積極的に配布し、IPAの成果の普及と利用拡大に努めていきます。

以上