T.ソフトウェア・エンジニアリング・センター(SEC)
|
|
1. 「定量データに基づくプロジェクト診断支援ツール」の一般公開
|
|
(担当所長:鶴保、担当副所長:牧内)
SECは、12月25日(火)に、ソフトウェア開発プロジェクトに係るプロジェクトマネージャや品質管理者、ユーザ企業のIT責任者が、インターネットを介して利用できる「定量データに基づくプロジェクト診断支援ツール」を公開しました。これは、2005年からSECが発行している、大手ベンダ企業の開発事例を収集・分析した「ソフトウェア開発データ白書 2006」の千五百件近い収録データを使用するもので、白書の事例データと比較して自社プロジェクトの相対的な位置付けを評価するツールです。本ツールの利用者は、Webから開発プロジェクトの規模、工数、工期、開発言語などプロジェクトのデータを入力することにより、自社のプロジェクトの工期が適切であるか、短くて危険であるかなどプロジェクトの状況やその他の特性を把握することができます。これにより、ベンダ企業のみならずユーザ企業も、ツールが提供する標準値と自社のデータを比較することで開発システムの生産性、開発期間などの評価を行うことができます。その結果、ユーザ企業とベンダ企業は開発計画の合意形成やプロセス改善において、客観的かつ定量的なデータに基づいた対話が可能になります。
なお、本システムの開発にあたっては、ソフトウェア開発データの提供元である(社)情報サービス産業協会(JISA*1)及び(社)日本情報システム・ユーザー協会(JUAS*2)の会員企業の意見を取り入れました。公開前には、SECの「定量データ分析部会」に参画している(株)日立製作所、日本ユニシス(株)、NECソフト(株)など15社が実証実験を行いました。また、みずほ情報総研(株)などJUAS会員企業 28社も試用しています。
ツールは、SEC Webサイト(http://sec.ipa.go.jp/)より利用者登録をするだけで利用できます。SECは、今後も、各種ツールなどの開発を継続的に行ない、開発成果の紹介・普及に努めます。
(*1)JISA:Japan Information Technology Services Industry Association
(*2)JUAS:Japan Users Association of Information Systems
|
|
|
2.フラウンホーファー協会実践的ソフトウェア工学研究所(IESE)と見積り技術及びプロセス改善に関する共同研究を実施
|
|
(担当所長:鶴保、担当副所長:牧内)
SECは、ドイツのフラウンホーファー協会実験的ソフトウェア・エンジニアリング研究所(IESE*3)と見積り技術及びプロセス改善に関する共同研究を実施します。
IESEとは、2004年11月16日(火)に、包括的共同研究覚書(Agreement on Collaborative Research)を締結(契約期間 3年)し、毎年共同研究を行っていました。今般、包括的共同研究覚書の契約期間を2008年11月まで1年延長し、今後の研究テーマとしてIESEの見積り技術及びプロセス改善に関する研究について共同研究を実施することで合意しました。具体的には、CoBRA*4見積り評価手法の実証実験、OSR*5見積り手法の機能追加の検討、プロセス改善実証実験、QIP*6の適用検討などです。これら共同研究の成果は広く公開し、産業界における見積り技術及びプロセス改善の促進に役立てる予定です。
SECは、今後も、ソフトウェア・エンジニアリングに関する各種手法について、産業界への導入を視野に入れた活動を実施します。
(*3)IESE:Institute for Experimental Software Engineering
(*4)CoBRA(Cost Estimation, Benchmarking, and Risk Assessment)法:少数の過去プロジェクトデータと経験豊富なプロジェクトマネージャの知識を組み合わせて、見積りモデルを構築する手法。
(*5)OSR(Optimized Set Reduction)法:過去のプロジェクトデータが大量にある場合に、見積時に考慮すべきデータ項目について分析し、精度の高くなるデータセットを探索的手法により特定する手法。
(*6)QIP(Quality Improvement Paradigm):プロセス改善効果測定手法
|
|
|
|
U.セキュリティセンター
|
|
1.「情報セキュリティに関する新たな脅威に対する意識調査」の報告書を公開(資料1)
|
|
(担当理事:占部、担当センター長:山田)
IPAは、12月4日(火)に、インターネット利用者を対象とした「情報セキュリティに関する脅威に対する意識調査(2007年度第1回)」の報告書を公開しました。
本調査は、情報セキュリティに関する被害状況、脅威に対する認知度や対策の実施状況の実態を把握し、IPA が行なう情報セキュリティに関する対策、普及啓発などの活動に役立てることを目的として、7月6日(金)〜9日(月)にかけて、15歳(高校生)以上のPCインターネット利用者を対象に、Webアンケートにより実施しました。有効回答数は5,160人(男性 50%、女性 50%、平均年齢 40歳)でした。
調査の結果、情報セキュリティに関する被害状況では、「全く知らない差出人から大量にメールが送られてきた」が24.5%で最も多く、迷惑メールが大量に発信されている状況が推測されます。次いで多かった回答は「コンピュータ・ウイルスに感染した」が17.3%であり、コンピュータ・ウイルスに遭遇するケースも多数発生している状況です。ワンクリック不正請求に関しては、「HP 閲覧中に、契約した覚えのない料金の支払いを要求するメッセージが表示された」や「覚えのない料金の支払いを要求するメールが送られてきた」といった経験がある人は、それぞれ8.7%、6.3%でした。そのうち、支払いを行った経験がある人は3.8%存在し、金銭的被害が発生している状況が明らかになりました。
情報セキュリティに関する事象の認知度では、「コンピュータ・ウイルス」や「スパイウェア」などの脅威については、約9割以上が言葉を聞いたことがあるという状況に比べ、「ボット*7」、「標的型(スピア型)攻撃*8」については、6割以上の人が言葉を聞いたことはないとの回答であり、コンピュータ・ウイルスやスパイウェアなどに比べ認知されていないことが判明しました。
報告書全文は次のURLで公開しています。
http://www.ipa.go.jp/security/fy19/reports/ishiki01/index.html
(*7)ウイルスの一種で、コンピュータに感染し、そのコンピュータを、ネットワークを通じて外部から操ることを目的として作成されたプログラム。
(*8)特定の組織や個人を狙って行われる攻撃。
|
|
|
2.「情報セキュリティ対策ベンチマーク バージョン3.0」を公開(資料2)
|
|
(担当理事:占部、担当センター長:山田)
IPAは、2005年8月より公開している「情報セキュリティ対策ベンチマーク」を大幅に改訂し、多様なニーズやISMS*9認証基準が新基準JIS Q 27001:2006*10になったことへの対応を図り、バージョン3.0として新たにサービスを開始しました。また、英語版(Ver.3.0)も同時に公開しました。
「情報セキュリティ対策ベンチマーク」は、2005年に経済産業省が公表した「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」*11の提言に基づき、IPAがWebベースのシステムとして開発した、組織の情報セキュリティ対策状況を自己診断するツールです。
本改訂では、8月24日(金)に経済産業省より公表された「情報セキュリティガバナンス施策ツールの改訂について」で示された新基準への対応や、業種や企業規模による比較をレーダーチャートで表示するなど利用されている方々のご要望に基づき便利な機能を追加しました。
「情報セキュリティ対策ベンチマーク」は、次のURLで公開しています。
http://www.ipa.go.jp/security/benchmark/
(*9)ISMS(Information Security Management System):情報セキュリティマネジメントシステム
(*10)「JIS Q 27001:2006」:ISMS適合性評価制度における認証基準。
(*11)企業の情報セキュリティガバナンス確保のために求められる対策を検討・提示することを目的として公表(http://www.meti.go.jp/policy/netsecurity/sec_gov-TopPage.html)。
|
|
|
3.民間初の暗号モジュール試験機関を承認〜試験業務を民間へ移管〜(資料3)
|
|
(担当理事:占部、担当センター長:山田)
IPAは、12月7日(金)に、暗号モジュール*12試験及び認証制度(JCMVP*13)で初の民間の暗号モジュール試験機関として、(株)電子商取引安全技術研究所(ECSEC Lab.*14) 評価センターを承認しました。
IPAは、2007年4月1日(日)から電子政府推奨暗号リスト*15などに示された暗号アルゴリズムが暗号モジュールに適切に実装されていることを確認し、暗号鍵やID、パスワードなど重要情報のセキュリティが確保されていることを試験及び認証する制度「JCMVP」を運用してきました。
これまで、IPAは、暗号モジュール認証機関と暗号モジュール試験機関を兼務してきましたが、民間の暗号モジュール試験機関の承認に伴い、暗号モジュール試験の新規申込受付は、12月28日(金)午後5時をもって終了します。
なお、既にIPAで受付済みの暗号モジュール試験業務は、上記期限を過ぎた後も引き続きIPAが行います。
暗号モジュール試験及び認証制度(JCMVP)の詳細は、次のURLをご覧ください。
http://www.ipa.go.jp/security/jcmvp/
(*12)暗号アルゴリズムが適切に実装された製品で、ソフトウェア、ハードウェアなどで実現されたもの。
(*13)JCMVP:Japan Cryptographic Module Validation Program
(*14)ECSEC Lab.:Electronic Commerce Security Technology Laboratory
(*15)総務省及び経済産業省が共同で開催する暗号技術検討会などで、暗号を公募の上、 客観的に評価し、2003年2月20日(木)に発表された、「電子政府」における調達のための推奨すべき暗号のリスト。
|
|
|
4.「SIPに係る既知の脆弱性に関する調査報告書」を公開(資料4)
|
|
(担当理事:占部、担当センター長:山田)
IPAは、12月5日(水)に、インターネットに接続する電子機器の情報セキュリティ対策を推進するため、IP電話などの通信プロトコルであるSIP*16に関する脆弱性の調査報告書を公開しました。
本報告書は、一般に公表されているSIPに関する既知の脆弱性情報を収集分析し、詳細な解説書としてまとめたものです。具体的には、SIP/SDP*17やRTP/RTCP*18、コーデック*19などに係る脆弱性の詳細と、開発者向けの実装ガイド、ソフトウェアや機器を利用する運用者や利用者向けの運用ガイドを記載しています。
報告書全文は次のURLで公開しています。
http://www.ipa.go.jp/security/vuln/documents/vuln_SIP.pdf
(*16)SIP(Session Initiation Protocol): IP電話やテレビ電話などのリアルタイム通信において、セッションの開始、変更、終了などの操作をおこなうことができる汎用のセッション制御プロトコル。
(*17)SIP(Session Initiation Protocol)/SDP(Session Description Protocol)に係る脆弱性:通信メッセージの漏えい、なりすまし、改ざん、パスワード解析など、SIPのプロトコルそのものに関するもの。
(*18)RTP(Real-time Transport Protocol)/RTCP(RTP Control Protocol)に係る脆弱性:音声、画像などマルチメディアデータの盗聴、なりすましなど、RTPのプロトコルそのものに関するもの。
(*19)コーデックに係る脆弱性:音声、ビデオなどの符号化方式そのものに関するもの。
|
|
|
5.米国国立標準技術研究所(NIST)との定期会議を実施
|
|
(担当理事:占部、担当センター長:山田)
IPAは、米国のセキュリティ関係機関であるNIST*20との定期会議を、11月29日(木)、30日(金)の両日にわたり、米国NISTにおいて開催しました。今回の定期会議では、暗号技術、CMVPや脆弱性データの研究及び運用状況について意見交換を行いました。具体的なテーマは以下のとおりです。
(1)暗号技術関係
・ 次期ハッシュ関数及び今後の標準暗号の開発計画
・ 量子暗号研究開発とその標準化
・ 電力解析実験に関する提案
(2)CMVP*21関連(暗号モジュール試験及び認証制度関連)
・ FIPS*22140-3関連
・ JCMVP運用に基づく情報交換など
(3)脆弱性データベース関連
・ SCAP*23の技術仕様であるCPE*24に関する意見交換・協議
・ NISTのNVD*25とIPAのJVN iPedia*26に関する情報交換
(4)NIST Risk Management Frameworkについて
なお、次回は、2008年秋に開催する予定です。
(*20)NIST(National Institute of Standards and Technology):国立標準技術研究所
(*21)CMVP(Cryptographic Module Validation Program):NISTの暗号モジュール評価プログラム
(*22)FIPS(Federal Information Processing Standards) :連邦情報処理規格
(*23)SCAP(Security Content Automation Protocol) :脆弱性対策の分野での機械化処理プロトコル (http://nvd.nist.gov/scap.cfm)
(*24)CPE(Common Platform Enumeration) :SCAPの技術仕様のひとつで製品識別子を規定する。
(*25)NVD(National Vulnerability Database) :NISTが運営する米国の脆弱性データベース (http://nvd.nist.gov/)
(*26)JVN(Japan Vulnerability Notes) iPedia:脆弱性対策情報データベース (http://jvndb.jvn.jp/)
|
|
|
|
V.ソフトウェア開発
|
|
1.ソフトウェアライセンシングと知財問題に関するシンポジウムを開催
|
|
(担当理事:占部、担当センター長:田代)
OSSセンターは、12月21日(金)に、KKRホテル東京(大手町)において「ソフトウェアライセンシングと知財問題に関するシンポジウム」を開催しました。当日は、各企業の法務関係者をはじめ約210名の参加があり、世界的な第一人者からの講演と活発な意見交換が行われました。
2007年6月に、GPL(GNU General Public License)の新版であるversion 3(以下、GPL v3*27)が公開されました。また、欧州においても独自のOSSライセンスであるEUPL(European Union Public License)*28 v1.0が2007年1月に公開されました。本シンポジウムでは、オープンなソフトウェアの活用において重要となる課題についての理解を深めることを狙いとしてGPL v3の起草者であるエベン・モグレン教授、EUPL起草メンバであるフィリップ・ローラン氏、及び国内の有識者による講演(モグレン教授については、直前にビデオと電話による発表と質疑に変更。)が行われました。
GPL v3の日本語翻訳資料及び本シンポジウムでの講演資料は、次のURLからダウンロードすることができます(12月27日午後公開予定)。
http://ossipedia.ipa.go.jp/legalinfo/
IPAは、モグレン教授が主宰する非営利組織SFLC*29との相互協力協定(MCA*30)のもとに、今後、GPL v3の解説書などを整備し、順次公開していく予定です。
(*27)GPL v3:GPLv2を大幅に改定し、2007年6月末に発行されたOSSライセンス。GPL v2はLinuxなど多数のOSSが採用。
(*28)EUPL:ECのDG Enterprise and Industryにより策定された欧州独自のOSSライセンス
(*29)SFLC: Software Freedom Law Center
(*30)MCA: Mutual Cooperation Agreement
|
|
|
2.2006年度自治体導入実証の成果報告書を刊行
|
|
(担当理事:占部、担当センター長:田代)
OSSセンターは、2006年度「自治体におけるオープンソースソフトウェア活用に向けての導入実証」の事業成果を、「自治体にオープンソースソフトウェアを導入しよう 〜システム基盤編〜」として発刊しました。対象テーマ及び自治体は、以下の通りです。
・ 「山形県庁文書管理システム導入実証実験」
・ 「栃木県二宮町および周辺市町におけるOSSデスクトップの導入と広域連携基盤の整備」
・ 「公共施設予約システムによるOSS導入実証」(千葉県市川市)
・ 「大分県庁基盤システムでのオープンソースソフトウェア活用に向けての導入実証」
なお、本年度はこの成果を受け、島根県松江市、宮崎県延岡市、秋田県、静岡済生会総合病院、新潟県上越市において、システム構築・運用手法、ユーザサポート手法などをテーマに、実証実験を実施中です。
|
|
|
3.第6回 IPA開発支援ソフトウェア製品 JCSSA向け説明会を開催(資料5)
|
|
(担当理事・部長:占部)
IPAは、12月6日(木)に、第6回 IPA開発支援ソフトウェア製品説明会を(社)日本コンピュータシステム販売店協会(JCSSA*31)の協力を得て、開催しました。今回は、「2007年度製品発表会」と銘打ち、2007年度中小 ITベンチャー支援事業及び次世代ソフトウェア開発事業の成果物から、5製品に関するプレゼンテーションを行い、JCSSA会員企業の方々に紹介しました。今回は、過去最多の参加者になるなど盛況のうちに実施されました。
JCSSA会員の5社10名、及びその他の販売店関連企業9社11名と、出展企業側を含め39名の参加があり、いくつかの個別商談に発展するものと期待されます。
(*31)JCSSA:Japan Computer System Seller Association
|
|
|
4.一般債務保証の新規引受の停止
|
|
(担当理事・部長:占部、担当参事:小林)
IPAの債務保証には、一般債務保証と新技術債務保証がありますが、このうち一般債務保証は、昨年12月24日(日)の「独立行政法人情報処理推進機構の組織・業務全般の見直しについて」(経済産業省決定)を受け、2008年3月末で新規の引受を停止します。これに伴い、一般債務保証の申込は、金融機関、IPAの手続きに要する時間を見込んで、2008年1月末までにお願いいたします。
なお、2008年3月末までに一般債務保証を受けた方は、その保証に付けられた期限まで(原則最高3年)保証が継続しますので、ぜひ債務保証制度をご利用ください。
また、新技術債務保証につきましては、2008年4月以降も従来どおりに取り扱いいたします。
一般債務保証の新規引受の停止に伴う申請手続きの詳細は、次のURLをご覧ください。
http://www.ipa.go.jp/software/hosyo/osirase20071213.html
|
|
|
|
W.IT人材育成
|
| |
1.未踏ソフトウェア創造事業「未踏ソフトウェア創造事業オフ会」の開催
|
|
(担当理事・部長:占部)
12月18日(火)に、富士ソフト アキバプラザ(東京秋葉原/一般向け公開)にて、古川 享PM(プロジェクトマネージャ)主宰のもと、未踏ソフトウェア創造事業開発者の参加希望者や、経済界・実業界の有識者が集まり、率直な意見交換などを行う場として「未踏ソフトウェア創造事業オフ会」が開催されました。
当日は、約80名が参加し、古川PMによる基調講演、パネルディスカッション(テーマ:「すごいもの」はどのように生まれ巣立っていくのか)及び5名の開発者による開発成果プレゼンテーションが行われました。会場内では、開発者同士や有識者も交えた活発な意見交換が行われ、開発者からは、「開発成果を一般ユーザに広く使用してもらうためにどうするか、起業化へのヒント、起業した開発者が如何に事業展開を行っていくかなど、開発者が現在抱いている課題を把握することができ、開発・事業化意欲の良い刺激になった。人的ネットワークの形成を図る良い機会となった。」などの意見が多く聞かれました。また、多くの方々の参加を得て、活発な交流が図られ、盛況のうちに終了しました。
|
|
|
2.平成19年度秋期情報処理技術者試験の高度試験合格者発表
|
|
(担当理事:今清水、担当参事:川口)
IPA 情報処理技術者試験センターは、12月17日(月)、平成19年度秋期情報処理技術者試験[10月21日(日)実施]の高度試験*32の合格者を発表しました。
秋期の高度試験としては、ソフトウェア開発技術者試験と情報セキュリティアドミニストレータを除き、全試験区分で現行試験制度開始(平成13年度)以来、過去最高の合格率となりました。(平成18年度秋期平均20.9%に対して平成19年度秋期平均21.4%)
合格発表までの期間は57日と、昨年の秋期試験と同様、過去最短となりました。今後も、利用者の利便性向上に努めていきます。
応募者・受験者・合格者の推移については、次のURLをご覧ください。
http://www.jitec.jp/1_07toukei/suii_hyo.pdf
また、同日、初級システムアドミニストレータ試験及び基本情報技術者試験の「採点講評」を公表しました。詳細は、問題冊子や解答例と併せて、次のURLからご覧ください。
http://www.jitec.jp/1_04hanni_sukiru/mondai_kaitou_2007h19.html
(*32)システムアナリスト、プロジェクトマネージャ、アプリケーションエンジニア、テクニカルエンジニア(ネットワーク)、ソフトウェア開発技術者、上級システムアドミニストレータ及び情報セキュリティアドミニストレータ
|
|
|
3.「情報処理技術者試験 新試験制度の手引」の公表(資料6)
|
|
(担当理事:今清水、担当参事:川口)
IPA 情報処理技術者試験センターは、12月25日(火)、情報処理技術者試験の新試験制度の「最終報告書」を公表しました。
IPAは、「産構審人材育成WG」*33の報告書「高度IT人材の育成をめざして」(平成19年7月公表)の中で示された試験制度改革の方向性を踏まえ、18人の委員で構成される「新試験制度審議委員会」を設置し、11月まで6回にわたり新試験制度の具体化について議論を行いました。検討結果は、9月7日(金)に、「中間報告書」として公表し、パブリックコメントを実施しました。「最終報告書」では、パブリックコメントを踏まえて、制度設計への反映など多くの改善を行っています。
なお、新試験制度での試験は、平成21年度春期試験から実施します。
新試験制度の詳細については、次のURLをご覧ください。
http://www.jitec.jp/1_00topic/topic_20071225_shinseido.html
(*33)産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ
|
|
|
4.第4回アジア共通統一試験の実施(資料7)
|
|
(担当理事:今清水、担当参事:川口)
10月28日(日)にアジア6ヶ国*34による「第4回アジア共通統一試験*35」が実施され、各国において合格発表が行われました。
本試験は、日本の情報処理技術者試験制度を導入したものであり、IPAは試験問題の提供、試験問題作成支援、応募者管理や採点管理を含む運用システムの提供などの協力を行っております。この試験は、共通の基準で受験者を評価し、相互に合格者の認定を行うことにより、アジアにおける質の高いIT人材の確保を図ることを目的としています。
今回6ヵ国の受験者の合計は前回(1,406名)を401人上回る1,807名となり、合格者は252名(マレーシアは未集計の為除く)となりました。
IPAは引き続き、アジア共通統一試験実施の支援を行っていく予定です。
(*34)アジア6ヶ国:フィリピン、タイ、ベトナム、ミャンマー、マレーシア、モンゴルが参加。
(*35)アジア共通統一試験:同一日の、同一時間に、同一問題を使用して実施する6ヶ国共通の統一情報処理技術者試験で、年2回実施。内容は基本情報技術者試験相当。
|
|
|
| |
|
以上 |
最新情報
ページトップへ