１．「ソフトウェア・プロセス・エンジニアリング・シンポジウム2008(SPES2008）」で講演

　IPAは、SECの活動成果の普及啓発のため、7月17日（木）〜18日（金）に開催された「ソフトウェア・プロセス・エンジニアリング・シンポジウム2008（ SPES^*12008）」（主催：JISA^*2 、於：日本科学未来館）に参加し、講演等を行いました。
　オープニング・パネルディスカッション（テーマ：ユーザとベンダにおける信頼性向上の見える化）には、SEC信頼性向上部会部会長 太田氏[株式会社ジャステック　常務取締役]がパネラーとして参加するとともに、テクニカルセッションでは、ＳＥＣ研究員及び企業や大学等から参加している部会メンバが、「情報システム信頼性に関する調査報告」、「非機能要求に対するSECの取り組みについて」、「定量的品質予測のススメ」及び「組込みスキル標準による企業力可視化への挑戦」のテーマで研究成果に関する講演を行いました。
　本シンポジウムのテーマである「プロセス改善による情報システムの信頼性向上−中小規模プロジェクトへのSPI^*3 の展開−」は、情報サービス業の経営者や技術者の関心が非常に高く、各講演で定員を超える申し込みがあり、シンポジウムには2日間で600名（昨年：556名）の参加者がありました。
SPES2008の詳細は、次のURLから参照ください。

http://www.jisa.or.jp/seminar/spes2008/

1. SPES：Software Process Engineering Symposium。
2. JISA(Japan Information Technology Services Industry Association)：社団法人 情報サービス産業協会。
3. SPI: Software Process Innovation。ソフトウェアプロセス改善。

２． 「2007年度ESxR実証実験　トライアル報告書」の公開

　IPAは、2007年度に次の2社でESxR^*4の実証実験を行い、その結果を「2007年度ESxR実証実験　トライアル報告書」として、7月10日（木）に公開しました。なお、本実証実験は、「ESxR 活用トライアル」^*5として、SECの組込み系プロジェクトの成果を、実際の開発現場で、その有効性を評価するため実施したものです。

• 富士フ イルムソフトウエア株式会社 『C言語向けコーディング作法−ESCR^*6 』
  　昨年11月から、品質保証部門が中心となり、ESCRと現在活用を推進している静的解析ツールを相乗活用する最良の方法を検討しました。検討の結果、2008年度から、ソフト開発部門でESCRを適用すべくトライアルを実施することになり、実施計画を作成しました。
• アルパイン株式会社 『組込みソフトウェア向け　開発プロセスガイド−ESPR^*7』
  　昨年7月から3ヶ月間、車載システムの開発プロジェクトにおいて、特に上流工程である基本設計工程とシステム設計工程に対してESPRを適用し、評価しました。本トライアルの結果、ESPRが実用に供しうる事が確認できました。また、本トライアルで明らかとなった追加・補足すべき事項は、ESPR ver2.0 に反映しました。本実証実験の結果は、昨年9月に開催された「SPLC2007^*8併設SECワークショップ」でも発表しています。

　本報告書は、次のURLからご覧ください。

http://sec.ipa.go.jp/reports/20080710b.html

4. ESxR：Embedded System development eXemplar Reference。ESCR、ESPR、ESMR等組込みソフトウェア開発に関する各種ガイドラインの総称。
5. SEC組込み系プロジェクトの成果であるESxRを、実際の企業の開発現場に導入していただき、利用時の評価やご意見、あるいは得られる効果、課題点などをSECにフィードバックしていただく試み。
6. ESCR：Embedded System development Coding Reference。組込みソフトウェア開発向けコーディング作法ガイド。バグの少ないプログラム実装を行うためのコーディングルールを体型的に整理し、良いソースコードの書き方を作法として整理。
7. ESPR：Embedded System development Process Reference。組込みソフトウェア向け開発プロセスガイド。組込みソフトウェア開発に必要な作業を体系的に整理したもの。組込みシステム開発特有の注意点なども整理。
8. SPLC2007：第11回ソフトウェアプロダクトライン国際会議。SPLC：Software Product Line Conference。講演資料は、http://sec.ipa.go.jp/event/2007/20070913.phpで公開。

３． 「2008年版　組込みソフトウェア産業実態調査報告書」の公表

　 IPAは、経済産業省と連携して実施した「2008年版 組込みソフトウェア産業実態調査」を7月15日（火）に公表しました。
　本調査は、我が国の組込みソフトウェア産業の実態を把握するために、組込みソフトウェアに係る全ての企業を対象として、2003年度から毎年行っているもので、我が国の組込みソフトウェアに係る産業政策や国際競争力強化策を立案するための基礎資料となります。
　調査の結果、組込みソフトウェア開発規模は、約3兆5,100億円（昨年：約3兆2,700億円、7.5％増）となり、拡大しています。組込みソフトウェア技術者の推定人数は、約24万2千人（昨年：約23万5千人、3.1％増）です。
　一方、経営者及び事業責任者向けのアンケート調査で不足していると回答した組込みソフトウェア開発者数の合計は、8万8千人（昨年：9万9千人)と、調査開始以来、初めて減少しました。不足率も、36.4％（昨年：42.1％）と2年続けての減少となっています。
　本調査報告書は、次のURLからご覧ください。

http://sec.ipa.go.jp/reports/20080715.html

４． 経済産業省の調達で「共通フレーム2007」を活用

　2007年度SEC研究成果である、「共通フレーム^*92007」が、経済産業省の調達契約に係る入札公告（7月10日付け公告）の外注仕様書に引用されました。
　「共通フレーム2007」が引用されたのは、入札公告「企業活動基本調査システムの脆弱性対応検証分析」に係る外注仕様書の作業内容のうちで作業範囲を定義する部分です。「共通フレーム2007」は、ソフトウェア開発とその取引の適正化に向け、それらのベースとなる作業項目の1つ1つを定義して標準化したものであり、「プロセスの可視化」、「共通の言葉」、「共通の物差し」となることでITを取り巻くプロセスに関連する課題解決を支援します。
　今回、経済産業省の調達契約に係る入札公告の外注仕様書に「共通フレーム2007」が引用されたことは、システム調達において「共通フレーム2007」が普及しつつあることの表れといえます。

9. 共通フレーム：システム開発及び取引の明確化を目的に、システムの企画から要件定義、開発、運用、保守に至る一連の作業プロセスを体系化・構造化し、用語の統一やその業務内容を明確にしたソフトウェア・ライフサイクル・プロセスの国際標準「ISO/IEC 12207(JIS X 0160）」を日本の状況に合わせたもの。

１．脆弱性対策情報データベースJVN iPediaの登録状況[2008年第2四半期（4月〜6月）] （資料１）

　IPAは、7月8日（火）に、脆弱性対策情報データベース「JVN iPedia（http://jvndb.jvn.jp/）」（ジェイブイエヌ　アイ・ペディア）の登録状況［2008年第2四半期（4月〜6月）］をとりまとめ、発表しました。
　「JVN iPedia」は、国内のソフトウェア製品開発者が公開している脆弱性対策情報、脆弱性対策情報ポータルサイト「JVN^*10」 で公表した情報及び米国国立標準技術研究所「NIST^*11」 の脆弱性データベース「NVD^*12」 が公開している情報の中から、日本国内で使用されている製品に関する情報を収集し、2007年4月から公開しています。IPAでは、製品開発者あるいは利用者が現在の脆弱性の傾向を把握し、脆弱性対策を推進することを促すために、今四半期より「JVN iPedia」の登録状況を分析し、四半期毎に公表することとしました。
　今四半期の登録件数は、国内製品開発者から収集したもの8件、JVNから収集したもの24件、NVDから収集したもの266件、合計298件でした。公開開始（2007年4月25日）からの累計は、国内製品開発者から収集したもの52件、JVNから収集したもの472件、NVDから収集したもの4518件、合計5042件で、今四半期で5,000件を超えました。
　今四半期にアクセスの多かった脆弱性対策情報は、「Lhaplus におけるバッファオーバーフローの脆弱性」、「Mozilla Firefox におけるクロスサイト・スクリプティング の脆弱性」、「Adobe Reader/Acrobat における複数の脆弱性」、「Microsoft Excel におけるメモリ破壊の脆弱性」等です。

10. JVN(Japan Vulnerability Notes)：脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPAとJPCERT/CC(有限責任中間法人 JPCERTコーディネーションセンター)が共同で運営しています。(http://jvn.jp/)
11. NIST(National Institute of Standards and Technology)：米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。(http://www.nist.gov/)
12. NVD(National Vulnerability Database)：NISTが運営する脆弱性データベース。(http://nvd.nist.gov/nvd.cfm)

２． ソフトウェア等の脆弱性関連情報に関する届出状況[2008年第2四半期（4月〜6月）] （資料２）

　IPA及びJPCERT/CC^*13 は、7月15日（火）に、2008年第2四半期（4月〜6月）の脆弱性関連情報の届出状況^*14をとりまとめ、発表しました。
　今四半期は、ソフトウェア製品に関するもの69件、ウェブアプリケーション（ウェブサイト）に関するもの208件、合計277件の届出がありました。届出受付開始(2004年7月8日)からの累計は、ソフトウェア製品に関するもの748件、ウェブサイトに関するもの1,575件、合計2,323件で、ウェブサイトに関する届出が全体の3分の2を占めています。
　届出受付開始から今四半期までの１就業日あたりの届出件数は2.38件（第3四半期は2.24件）となりました。特に、2008年第1四半期からウェブサイトに関する届出が増加しています。今四半期に届出のあったウェブサイトの脆弱性は、クロスサイト・スクリプティング^*15が68％、ファイルの誤った公開が18％、SQLインジェクション^*16が4％となっています。
　今四半期にソフトウェア製品の脆弱性の修正を完了したものは15件(累計290件)です。また、ウェブサイトの脆弱性の修正を完了したものは163件(累計978件)です。届出受付開始からの累計は1,268件となりました。

※ IPAは、ウェブサイトの運営者からの要請により、届出された脆弱性が確実に修正されたかどうか確認しています。

13. JPCERT/CC(Japan Computer Emergency Response Team Coordination Center)：有限責任中間法人 JPCERTコーディネーションセンター。
14. ソフトウェア等の脆弱性関連情報に関する届出制度：経済産業省告示に基づき、2004年7月より開始。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っている。
15. 動的にHTML等のページを生成するウェブページで、HTML等のタグのエスケープ処理が不良である場合、標的となるサイトに書かれているスクリプトが別のサイトのURLを含むように記述されており、サイトをまたいで（クロスして）実行される。その結果、クッキーが漏洩したり、ファイルが破壊したりといった被害が発生する。
16. データベースと連携したウェブアプリケーションの多くは、利用者からの入力情報を基にデータベースへのSQL(Structured Query Language)文を組立てている。ここで、SQL文の組立て方法に問題（脆弱性）がある場合、攻撃によってデータベースの不正利用をまねく可能性がある。この脆弱性を悪用した攻撃をSQLインジェクション攻撃と呼んでいる。

３． 暗号技術に関する報告書の公開

1. 「CRYPTREC^*17 Report 2007」 の公開
   　IPAは、7月4日（金）に、「電子政府推奨暗号リスト」の評価及び改訂等を行っている「暗号技術監視委員会^*18」 と「暗号モジュール委員会」 の2007年度活動報告書「CRYPTREC Report 2007」を公開しました。
   　「電子政府推奨暗号リスト」は、「電子政府」における調達のための推奨すべき暗号のリストです。2000年度から3年間、CRYPTRECで暗号技術を評価・検討し、2003年2月に公表されました。2003年度からは、「暗号技術検討会」（総務省及び経済産業省主催）の下に設置された「暗号技術監視委員会」及び「暗号モジュール委員会」において、CRYPTRECとして、電子政府推奨暗号の安全性の評価・監視、暗号モジュール評価基準等の策定が行われています。
   　報告書は、次のURLからご覧ください。
   　 http://www.ipa.go.jp/security/enc/CRYPTREC/fy19/cryptrec20080703_report01.html
2. ハッシュ関数の安全性評価手法開発のための調査告書を公開 （資料３）
   　現在、電子認証等で使用されるハッシュ関数^*20 で広く利用されている「SHA-1^*21」 の安全性の低下が指摘され始めています。そのため、米国国立標準技術研究所「NIST」は、2012 年を目標に、SHA-1に替わる新たなハッシュ関数を公募しており、世界的に活発な研究開発活動が展開されています。
   　そこで、IPAは、ハッシュ関数の安全性に関して的確な情報提供を行うため、安全性評価手法の開発を目指し、ハッシュ関数の脆弱性や評価手法等の調査、ツール化の検討、課題の抽出など初期検討のための調査を行い、7月18 日（金）に報告書を公開しました。
   　報告書は、次のURLからご覧ください。
   　http://www.ipa.go.jp/security/fy19/reports/Secure_Hash_Evaluation/index.html
3. 「MD5 の安全性の限界に関する調査研究」報告書の公開（資料４）
   　 IPAは、ハッシュ関数の1つであるMD5^*22が、解析技術の進歩により安全性の低下が指摘されていることから、被害の発生・拡大を未然に防止することを目的に、使い続けた場合の危険性の調査や当面の対応策の検討等を行い、7月25日（金）に報告書を公開しました。
   　本調査研究では、MD5を電子メールのパスワード確認に使用しているAPOP 方式の電子メールシステムとAPOP^*23 の脆弱性を突く攻撃サーバーを構築し、パスワード解読の可否、パスワードの強度を実証するとともに、当面の対応策検討とその有効性の確認等を行いました。
   　報告書は、次のURLからご覧ください。
   　http://www.ipa.go.jp/security/fy19/reports/MD5/index.html
4. 「安全な暗号鍵のライフサイクルマネージメントに関する調査」報告書の公開（資料５）
   　 IPAは、暗号鍵の生成から廃棄まで、ライフサイクルを考慮した管理手法の策定・確立を目指し、安全な暗号鍵の管理に関する技術動向、政策動向、標準化動向等の調査報告書とガイドライン（案）を作成し、7月25日（金）に公開しました。
   　 報告書及びガイドライン（案）は、次のURLからご覧ください。
   　http://www.ipa.go.jp/security/fy19/reports/Key_Management/index.html

17. CRYPTREC(Cryptography Research and Evaluation Committees)：暗号技術評価プロジェクト(http://www.cryptrec.go.jp/)。
18. 「暗号技術監視委員会」：電子政府推奨暗号の安全性の監視等を実施。
19. 「暗号モジュール委員会」：暗号モジュールの評価基準及び試験基準の作成や暗号実装関連技術等の調査・検討を実施。
20. ハッシュ関数(hash function)：任意長のデータから一定長のデータ生成する演算手法。生成したデータは、「ハッシュ値」と呼ばれる。ハッシュ関数が安全な場合、ハッシュ値から元のデータを再現することはできない。また、同じハッシュ値を持つ異なるデータを作成することは極めて困難とされている。データの送受信で、送信側データ及び受信側データのハッシュ値を比較すれば、途中での改ざんの有無をチェックできる。なお、電子認証等で利用されるハッシュ関数は、特に「暗号学的ハッシュ関数」と呼ばれる。
21. SHA-1(Secure Hash Algorithm 1)：1995年に米国連邦情報処理標準FIPS 180-1（Secure Hash Standard）として制定されたハッシュ・アルゴリズム。
22. MD5：Message Digest 5
23. APOP ：Authenticated Post Office Protocol

４．情報セキュリティの知識習得を支援するe-Learning 用教材を公開

1. 「暗号技術に関するe-Learning 用教材」の公開 （資料６）
   　IPAは、暗号技術に関する教育環境の整備のため、e-Learning用コンテンツとして、基本的な知識の習得を支援する「初心者向け教材」、及び暗号技術の基礎から応用までの知識と標準化の動向や認証制度などの周辺知識の習得を支援する「初級・中級者向けの教材」を開発し、7月22日（火）に公開しました。
   　両教材は、開発担当者又は調達仕様作成者の自己学習や大学等専門教育での利用を想定しており、理解を深めるための実習用プログラムや理解度を確認するための単元^*24 末テスト、修了テストが付属しています。また、初級・中級者向けの教材は、大学や専門学校等の教員が必要に応じて、簡単にコンテンツの追加が行えるよう考慮しています。
   　本教材は、次のURLからダウンロードできます。
   　http://www.ipa.go.jp/security/fy19/development/e_Learning_Cipher/index.html
2. 「IT セキュリティ評価・認証に関するe-Learning 用教材」の公開 （資料７）
   　IPAは、情報セキュリティ評価・認証制度^*25 の利用に当たって必要となる知識の習得を支援する入門者向けのe-Learning 用教材を開発し、7月22日（火）に公開しました。
   　本教材は、認証された製品を選定し導入をされる調達者、情報セキュリティ製品や情報セキュリティシステムの開発者及び大学等の専門課程で制度に関し授業をされる教員の方々が利用されることを想定し、「開発者（管理者）」、「開発者（実担当者）」、「調達仕様作成者（管理者）」、「調達仕様作成者（実担当者）」及び「大学教員」の5つのタイプに分けて公開しています。
   　本教材は、次のURLからダウンロードできます。
   　http://www.ipa.go.jp/security/fy19/development/e_Learning_CC/index.html

24. カリキュラムの構成単位。
25. 国際標準「ISO/IEC15408 情報セキュリティ評価基準」に基づき、情報システムに関連した製品やシステムが適切に設計され、正しく実装されているかを第三者が評価、認証する制度。

１． 連携プログラム技術評価制度に基づき3製品の「連携プログラム技術評価書」を発行（資料８）

　IPAは、7月28日（月）に、「連携プログラム技術評価制度」 に基づき、技術評価が終了した3製品の「連携プログラム技術評価書^*26」を発行するとともに、各製品の「連携プログラム技術評価書」の写しを公開しました。
　本制度は、情報処理システムの部門間・組織間連携を促進するため創設された制度です。利用者は、公開された評価書を参照することにより、当該プログラムが本制度の要件に適合した標準の連携機能を持つことが確認できます。また、本年4月に改正された「産業競争力のための情報基盤強化税制」（http://www.meti.go.jp/policy/it_policy/zeisei/index.html）により、当該製品を取得した場合、取得価額の7％が法人税から控除されるなどの優遇を受けることができます。
　「連携プログラム技術評価書」の写し及び本制度の詳細は、次のURLから参照ください。

http://www.ipa.go.jp/software/open/ossc/rp/index.html

26. プログラム製品が、平成20年経済産業省告示第60号「独立行政法人情報処理推進機構による部門間・企業間で分断されている情報処理システムの連携に資するプログラムに関する技術上の評価に関する手続を定める告示」に掲げられた技術要件を満たすか否かを評価する制度。IPAが、本年4月1日から運用を開始。告示：http://www.meti.go.jp/press/20080331005/20080331005.html

２． 2008年度第1四半期 新技術債務保証の状況

　2008年度第１四半期（4月〜6月）の新規債務保証実績は、26百万円（1件、前年同期比 12.4％）と大幅に減少しました。今四半期の内入償還実績は、89百万円（前年同期比 71.8％）です。また、今四半期中の代位弁済実績は、17百万円（1件）でした。
　以上の結果、今四半期末の保証残高は1,248百万円（前年同期比 99.2％）となり、2007年度末残高1,328百万円から80百万円（約6.0％）減少しています。
　今四半期の平均審査期間は20.3日となりました。2007年度の平均審査期間は21.5日^*27 であったことから短期化しつつありますが、ユーザの利便性を確保するため、2008年度通年平均で20日以下を目標に、引き続き努力します。
　債務保証状況の詳細は、次のURLからご覧ください。

http://www.ipa.go.jp/software/hosyo/pdf/20080717q1.pdf

27. 一般債務保証も含めると、2007年度平均審査期間は、19.9日。

１． 「ITスキル標準プロフェッショナルコミュニティフォーラム2008（IPCF2008）」の開催

　IPAは、7月9日(水) 、「ITスキル標準プロフェッショナルコミュニティフォーラム2008（IPCF^*28 2008）」を開催し、延べ来場者数 521名（昨年：304名）と多数の方に参加いただきました。
　基調講演は、経済産業省情報処理振興課 奥家課長補佐から、「高度IT人材育成の今後の方向性について」のテーマでご講演いただきました。また、ITスキル標準センター　丹羽センター長による「プロフェッショナルコミュニティ活動の現状と今後の方向」の講演及び現在活動中のITスキル標準プロフェッショナルコミュニティ 7委員会^*29 の主査・委員による成果報告を行いました。
　本フォーラムの講演資料は、次のURLで公開しています。

http://www.ipa.go.jp/jinzai/itss/siryou/ipcf2008Data.html

また、プロフェッショナルコミュニティの活動成果は、次のURLを参照ください。

http://www.ipa.go.jp/jinzai/itss/activity/activity.html

28. IPCF：IT Skill Standards Professionals Community Forum。
29. 7委員会：コンサルタント、ITアーキテクト、プロジェクトマネジメント、ITスペシャリスト、アプリケーションスペシャリスト、ITサービスマネジメント及びエデュケーションの7委員会。

２． 平成20年度 IT経営応援隊 「経営者研修会事業」の公募採択

　IPAが日本商工会議所及び特定非営利活動法人ITコーディネータ協会(ITCA^*30 ）と共同で運営しているIT経営応援隊事務局は、「平成20年度IT経営応援隊事業³¹」 の活動の一環として実施する「経営者研修会」の公募を5月30日(金)から6月16日(月)まで実施しました。
　審査の結果、172件の応募から113件（58実施機関、北海道から沖縄まで全国33都道府県で実施）を採択し、7月4日(金)に結果を公表しました。採択プロジェクト等は、次のＵＲＬから参照ください。

http://www.ipa.go.jp/jinzai/ouentai/koubo2008/20080530.html

　また、各研修会の詳細は、IT経営応援隊のホームページ（http://www.itouentai.jp/）で逐次公開いたします。

30. ITCA：IT Coordinators Association。
31. 中小企業等におけるＩＴ経営を促進させ、企業競争力の強化と生産性の向上を図ることを目的に、全国各地での研修事業、IT経営実践事例の収集・普及事業、地域関係機関と連携した中小企業等のIT化支援事業等を行っています。

３． 平成20年度秋期情報処理技術者試験の受付開始

　情報処理技術者試験センターは、10月19日（日）に実施される平成20年度秋期情報処理技術者試験の受付を7月14日（月）から開始しました。申込みについては、郵便局窓口受付の他、インターネットによる受付が可能です。
　願書の受付期間は、次のとおりとなっています。

1. 郵便局窓口受付 ： 7月14日（月） 〜 8月11日（月）
2. インターネット受付 ： 7月14日（月）午前10時 〜 8月19日（火）午後8時
   ただし、基本情報技術者試験と初級システムアドミニストレータ試験については、8月20日（水）午後8時まで受付けます。

　試験申込みの詳細は、次のURLを参照ください。

http://www.jitec.ipa.go.jp/1_01mosikomi/_index_mosikomi.html