１． SEC主催セミナー（エンタプライズ系及び組込み系４テーマ）を福岡で開催

　SECは、エンタプライズ系及び組込み系プロジェクトに係る事業成果の普及啓発のため、1月14日（水）と15日（木）の2日間、福岡市（富士通株式会社 九州R＆Dセンター）でSEC主催セミナーを開催しました。本セミナーは、四部構成で行い、延べ270名と多くの皆様にご参加いただきました。なお、本セミナーの開催にあたり、富士通九州ネットワークテクノロジーズ株式会社様にご協力いただきました。

No	開催日	セミナーテーマ	参加者数
第一部	1月14日（水）午前	ETSS導入の実際とSECの取り組み	44名
第二部	1月14日（水）午後	プロジェクト『見える化』	73名
第三部	1月15日（木）午前	ソフトウェア開発の見積り	81名
第四部	1月15日（木）午後	定量的品質予測のススメ	72名
合計			270名

• 第一部「ETSS導入の実際とSECの取り組み」では、ETSS^*1導入の効果、課題、課題解決への取り組みを実際の導入事例等を交えてご説明しました。またETSS導入促進についてSECの今後の取り組みについてもご紹介しました。
• 第二部「プロジェクト『見える化』」は、既刊のSEC BOOKS「ＩＴプロジェクトの『見える化』」の上流工程編、中流工程編、下流工程編及び総集編でご紹介している手法について、開発における見える化の全体像を説明するとともに、プロジェクトを失敗させないためのポイントをご紹介しました。また、EPMツール^*2の機能や活用事例もご紹介しました。
• 第三部「ソフトウェア開発の見積り」では、様々な見積り方法やテストにおける見積り方法及び見積りの考え方をご説明しました。また、既刊の「ソフトウェア開発見積りガイドブック」、「ソフトウェア改良開発見積りガイドブック」及び「ソフトウェアテスト見積りガイドブック」の解説も行いました。
• 第四部「定量的品質予測のススメ」では、前半に、「定量データ分析部会」で作成した資料“定量的品質予測のススメ”に基づき、企業で実践されているソフトウェアの品質予測の具体的な方法及びノウハウをご紹介し、後半のパネルセッションでは、議論を通して定量的品質予測の重要性や実践方法をご紹介しました。

　SEC主催セミナーは、広く全国のIT産業に携わる方々にSECの事業を知っていただくことを目指し、東京を始め、全国各地で開催しています。今後、平成19年度及び20年度前半の成果を中心に、3月まで、新潟、北海道、仙台、関西で開催する予定です。各セミナーの詳細は、次のURLで順次ご案内しております。

http://sec.ipa.go.jp/index.html

■ ご参考： 2008年度SEC主催セミナー開催状況

	セミナーテーマ	開催地	開催回数	開催月
組込み系	「プロジェクトマネジメントガイド〔計画書編〕」解説	大阪	1回	6月
	「開発プロセスガイド Ver2.0」解説	大阪	1回	6月
	コーディング作法ガイド[C言語版]	大阪、長野	2回	6月、8月
	SEC流品質作りこみESQR	東京	1回	12月
	ETSS導入の実際とSECの取り組み	福岡	1回	1月
エンタプライズ系	プロジェクト「見える化」	東京、福岡	2回	11月、1月
	ソフトウェア開発データ白書	東京	1回	11月
	定量的品質予測のススメ	東京、福岡	2回	11月、1月
	ソフトウェア開発の見積り	東京、福岡	2回	11月、1月
総参加者数： 699名 開催回数：13回

1. ETSS(Embedded Technology Skill Standards)：組込み技術スキル標準。
2. EPM(Empirical Project Monitor)ツール：ソフトウェア開発プロジェクト可視化ツール。プロジェクト進捗データの自動収集及び分析を行うツール。

２． 「第７回クリティカルソフトウェアワークショップ」の開催

　SECは、情報システムの信頼性向上に向けた取組みの一環として、1月14日（水）〜15日（木）に学士会館（東京・神田神保町）にて独立行政法人 宇宙航空研究開発機構との共催で「第7回クリティカルソフトウェアワークショップ」を開催しました。信頼性向上に向けたSEC活動成果の講演も含め、産学官から様々な講師の方にご講演いただき、14日（水）は162名、15日（木）は179名が参加され、2日間の総参加者数は341名と非常に盛況のうちに終了しました。
　特に、15日（木）の午後に行われた、マサチューセッツ工科大学のNancy Leveson教授による特別チュートリアルでは、信頼性と安全性の違いや、システムの観点から捉えたアクシデントモデル・プロセス（STAMP^*3）、STAMPをベースとしたハザード分析技術（STPA^*4）についてご講演いただき、非常に有意義な時間となりました。
　本ワークショップの詳細は、次のURLをご覧ください。

http://stage.tksc.jaxa.jp/jxithp/seminar/WOCS2009_top.html

3. STAMP ：Systems-Theoretic Accident Model and Processes
4. STPA ：STamP-based Analysis

３． 電子政府調達官向けの研修を実施

　SECは、1月21日（水）に九段合同庁舎で実施された中央省庁のIT調達部門担当官向け「第３回調達管理�Uコース」研修において、「開発技法、見積・積算の検証技法の解説」をテーマに講義を行いました。
　この研修は、総務省行政管理局が主催し、各省庁からＩＴ調達部門の担当官が参加する3日間コースの研修として開催されたもので、今回は10名が受講しました。このコースでは、ＩＰＡから、SECのほか、セキュリティセンター及びオープンソフトウェア・センターも講義を行いました。
　SECは、中央省庁の調達にあたってはソフトウェアエンジニアリング手法を活用するよう働きかけているところであり、今回の研修では、SEC BOOKS「ソフトウェアライフサイクルプロセス共通フレーム^*5 2007」及び「ソフトウェア開発見積ガイドブック」を用いた講義を行い、SEC成果を用いた具体的な技法を解説しました。
　SECは、今後も同様の研修事業に協力し、活動成果の広範な普及を図る方針です。

5. ソフトウェアライフサイクルプロセス共通フレーム：システム開発及び取引の明確化を目的に、システムの企画から要件定義、開発、運用、保守に至る一連の作業プロセスを体系化・構造化し、用語の統一やその業務内容を明確にしたソフトウェアライフサイクルプロセスの国際標準「ISO/IEC 12207(JIS X 0160）」を日本の状況に合わせたもの。

４． 「第3回要求シンポジウム」の開催

　SECは、要求・アーキテクチャ領域活動の成果普及のため、一昨年、昨年に引き続き、1月23日（金）に霞ヶ関プラザホール（東京都千代田区）にて株式会社NTTデータとの共催で「第3回要求シンポジウム」を開催しました。
　今回のシンポジウムでは、機能要求と非機能要求に関する発注者と受注者の間のコミュニケーションを活性化し、両者の認識のズレをなくす手段・方法や明確に要求仕様を定義する方法について実践的な指針となる研究成果の紹介や議論が行われました。また、SECからは、発注者ビューガイドラインをさらに洗練すべく活動している「機能要件の合意形成技法WG」の進捗報告の講演を行いました。
　本シンポジウムの参加者を募集したところ受付開始から3日程度で満席となり、本分野の関心の高さが伺えました。また、最終的には145名の参加者があり、盛況のうちに終了しました。

５． フラウンホーファー協会実験的ソフトウェア工学研究所（IESE）と共同研究を実施

　SECは、ドイツのフラウンホーファー協会実験的ソフトウェア工学研究所（IESE^*6）と見積り技術、プロセス改善、IT投資評価及びソフトウェアの品質予測手法に関する共同研究を実施します。
　IESEとは、2004年11月16日（火）に、包括的共同研究覚書（Agreement on Collaborative Research）を締結(契約期間 3年)し、また、契約期間終了後も期間延長し、毎年共同研究を行っていました。今般、包括的共同研究覚書の契約期間を2009年11月まで1年延長し、今後の研究テーマとして、IESEの見積り技術、プロセス改善、IT投資評価及び品質予測手法に関する研究について共同研究を実施することで合意しました。具体的には、CoBRA^*7見積り評価手法のツール化検討、OSR^*8見積り手法の機能追加の検討、QIP^*9 によるプロセス改善実証実験、GQM^*10のIT投資効果測定への適用、HyDEEP品質予測手法^*11の適用検討などです。これら共同研究の成果は広く公開し、産業界における見積り技術及びプロセス改善の促進に役立てる予定です。
　SECは、今後も、ソフトウェアエンジニアリングに関する各種手法について、産業界への導入を視野に入れた活動を実施します。

6. IESE：Institute for Experimental Software Engineering
7. CoBRA(Cost Estimation, Benchmarking, and Risk Assessment)法：少数の過去プロジェクトデータと経験豊富なプロジェクトマネージャの知識を組み合わせて、見積りモデルを構築する手法。
8. OSR（Optimized　Set Reduction）法：過去のプロジェクトデータが大量にある場合に、見積時に考慮すべきデータ項目について分析し、精度の高くなるデータセットを探索的手法により特定する手法。
9. QIP(Quality Improvement Paradigm)：プロセス改善効果測定手法。
10. GQM(Goal Question Metrics)：目標達成のメトリクスを定義するためのトップダウン的方法。
11. HyDEEP品質予測手法：CoBRA法に基づく品質予測手法。

１． ソフトウェア等の脆弱性関連情報に関する届出状況[2008年第4四半期（10月〜12月）]（資料１）

　IPA及びJPCERT/CC^*12は、1月26日（月）に、2008年第4四半期（10月〜12月）の脆弱性関連情報の届出状況^*13をとりまとめ、公表しました。
　今四半期は、ソフトウェア製品に関するもの60件、ウェブアプリケーション（ウェブサイト）に関するもの1,430件、合計1,490件の届出がありました。届出受付開始（2004年7月8日）からの累計は、ソフトウェア製品に関するもの861件、ウェブサイトに関するもの3,514件、合計4,375件で、ウェブサイトに関する届出が全体の約5分の4を占めています。
　届出は年々増加しており、届出受付開始から今四半期までの１業務日あたりの届出件数は4.00件（第3四半期は2.79件）となりました。届出件数は、受付開始から4年間（2004年第3四半期〜2008年第2四半期）で累計が2,300件に達しましたが、その後、急増し、半年間（2008年第3四半期〜第4四半期）で4,300件に達しました（約9割増）。これは、前四半期からDNSキャッシュポイズニング、SQLインジェクション及びクロスサイトスクリプティングの脆弱性に関する届出が激増しているためです。
　今四半期に届出のあったウェブサイトに関する脆弱性の種類の内訳は、クロスサイトスクリプティング^*14が44％、DNS情報の設定不備（DNS^*15キャッシュポイズニング^*16の脆弱性）が24％、SQLインジェクション^*17が16％、ファイルの誤った公開が3％、HTTPレスポンス分割^*18が2％等となっています。
　今四半期にソフトウェア製品の脆弱性の修正を完了したものは22件(累計337件)です。また、ウェブサイトの脆弱性の修正を完了したものは201件(累計1,334件)です。届出受付開始からの累計は1,671件となりました。

※IPAは、ウェブサイトの運営者からの要請により、届出された脆弱性が確実に修正されたかどうか確認しています。

12. JPCERT/CC(Japan Computer Emergency Response Team Coordination Center)：有限責任中間法人 JPCERTコーディネーションセンター。
13. ソフトウェア等の脆弱性関連情報に関する届出制度：経済産業省告示に基づき、2004年7月より開始。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者等の関連組織との調整を行っている。
14. クロスサイトスクリプティング（XSS、CSS：Cross-site Scripting）：ウェブページから入力されたデータをHTMLページへ埋め込む動的なウェブページ生成処理において、入力データのスクリプト（HTMLタグの）無効化が不適切である場合、生成されたウェブページを閲覧したユーザのブラウザで、入力データにスクリプトが混入されていれば、そのスクリプトが実行されてしまう脆弱性。
15. DNS(Domain Name System)：人間が識別しやすい記号を組み合わせた一意のドメイン名（www.ipa.go.jp等）とインターネット上でのデータ通信で使用されるIPアドレスと呼ばれるサーバ毎に割り振られた重複のない識別番号との対応を管理する仕組。
16. キャッシュポイズニング(Cache Poisoning)：「DNSキャッシュサーバ」がドメイン名からIPアドレスを知るため、「DNSコンテンツサーバ」に問い合わせた時、回答を受け取る時点で、攻撃者から送られた偽のIPアドレスを受け取ってしまい、ユーザを悪意のあるサイトに誘導することになる脆弱性。
17. SQLインジェクション[SQL（Structured Query Language ）Injection]：データベースと連携したウェブアプリケーションが、データベースへの問合わせ(Query)命令文を入力フォームの内容から組み立てて生成する場合、適切な実装が行われていないと、入力データに埋め込まれた（Injection）SQL文によりデータベースに不正な操作が行われ、データの改ざんや情報漏洩等が発生する脆弱性。
18. HTTPレスポンス分割（HTTP Response Splitting）：ユーザがブラウザからWebサーバに要求を出した場合、Webサーバからの応答であるヘッダ（HTTP応答ヘッダ）が改ざんされ、偽のサイトに誘導されるなどの攻撃を受ける。正規のヘッダに、キャリッジリターン・ラインフィード(CR+LF)シーケンスを混入させることで2つのヘッダに分割し、2番目のヘッダに、偽サイトのURLなど攻撃のための情報が挿入される。

２． 脆弱性対策情報データベースJVN iPediaの登録状況[2008年第4四半期（10月〜12月）]（資料２）

　IPAは、脆弱性対策情報データベース「JVN iPedia（http://jvndb.jvn.jp/）」（ジェイブイエヌ　アイ・ペディア）の登録状況［2008年第4四半期（10月〜12月）］をとりまとめ、1月28日（水）に公表しました。
　今四半期の登録件数は、国内製品開発者から収集したもの6件、JVN^*19から収集したもの67件、NVD^*20から収集したもの440件、合計513件でした。公開（2007年4月25日）からの累計は、国内製品開発者から収集したもの68件、JVNから収集したもの584件、NVDから収集したもの5,208件、合計5,860件となりました。
　今四半期に登録した脆弱性の種類^*21で、件数の多い上位は、「認可・権限・アクセス制御の脆弱性」（CWE-264）が61件、「クロスサイトスクリプティング」（CWE-79）が52件、「不十分な入力確認」（CWE-20）が51件、「バッファエラー」（CWE-119）が49件、「リソース管理の問題」（CWE-399）が48件、「SQLインジェクション」（CWE-89）が33件、「数値処理の問題」（CWE-189）が27件、「情報漏洩」（CWE-200）が23件などとなっています。
　今四半期にアクセスの多かった脆弱性対策情報は、「複数の DNS実装にキャッシュポイズニングの脆弱性」、「Movable Type^*22におけるクロスサイトスクリプティングの脆弱性」、「hisa_cart^*23 における情報漏洩の脆弱性」、「Internet Explorer における CDO^*24 によるダウンロードのダイアログボックス回避の脆弱性」、「MyNETS^*25 におけるクロスサイトスクリプティングの脆弱性」などです。

2008年第4四半期の登録件数

情報の収集元	登録件数	累計件数
国内製品開発者	6件	68件
JVN	67件	584件
NVD	440件	5,208件
合 計	513件	5,860件

19. JVN(Japan Vulnerability Notes)：脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開。IPAとJPCERT/CCが共同で運営。(http://jvn.jp/)
20. NVD(National Vulnerability Database)：NIST(National Institute of Standards and Technology：米国国立標準技術研究所)が運営する脆弱性データベース。(http://nvd.nist.gov/nvd.cfm)
21. 脆弱性の種類：登録した脆弱性対策情報は、CWE（共通脆弱性タイプ一覧：Common Weakness Enumeration）で分類している。CWEについては、「共通脆弱性タイプ一覧CWE概説」（http://www.ipa.go.jp/security/vuln/CWE.html）をご覧ください。
22. Movable Type：シックス・アパート株式会社が提供しているウェブログシステム。
23. hisa_cart：株式会社久長電機が提供しているショッピングサイト構築のための「ショッピングカート」モジュール。
24. CDO (Collaboration Data Objects)：Microsoft Windows製品群に組み込まれている開発者向けCOM（Component Object Model）オブジェクト群。インターネットメッセージの作成、操作、送信などに使用される。
25. MyNETS：Usagi Project が提供するオープンソースの SNS (ソーシャルネットワーキングサービス) 構築ソフト。

３． コンピュータウイルス・不正アクセス届出状況(1月分)（資料３）

　IPAは、2009年1月のコンピュータウイルス・不正アクセスの届出状況を取りまとめ、2月3日（火)に公表しました。公表内容の概要は次のとおりです。

1. コンピュータウイルス届出概要
   　1月のウイルスの検出数^*26は、約15.9万個と、12月の約17.3万個から8.0%の減少となりました。また、1月の届出件数^*27は、1,860件となり、12月の1,795件から3.6%の増加となりました。
2. 不正アクセス届出概要
   　1月の届出件数は10件（12月：10件）であり、そのうち何らかの被害のあったものは7件でした。不正アクセスに関連した相談件数は29件（うち3件は届出件数としてもカウント。12月の相談件数は38件）であり、そのうち何らかの被害のあった件数は13件でした。
3. 相談受付状況
   　1月の相談総件数は960件（12月：839件）でした。そのうち『ワンクリック不正請求』に関する相談が243件（12月：194件）、『セキュリティ対策ソフトの押し売り』行為に関する相談が11件（12月：13件）、Winny に関連する相談が8件（12月：6件）、などでした。
4. インターネット定点観測の状況
   　インターネット定点観測(TALOT2)によると、2009年1月の期待しない（一方的な）アクセスの総数は10観測点で131,296件、総発信元^*28は41,171ヵ所ありました。平均すると、1観測点につき1日あたり132の発信元から424件のアクセスがあったことになります。
5. 今月の呼びかけ
   　「 パソコンの脆弱性、解消されていますか？ 」
   　 　― あなたのパソコンはウイルスに狙われています！ ―
   　 IPA のインターネット定点観測システム TALOT2において、1月に入ってから急増したアクセスが観測されています。これは2008年10月にマイクロソフトから緊急発表された、Windows の脆弱性（MS08-067）を狙ったアクセスであった可能性があります。この脆弱性を突いて攻撃を行うウイルスが、複数確認されています。特に2008年12月末にはUSB メモリなどへの感染機能が追加された新しいウイルス（Downadup.B）が発見されています。今回のアクセスの急増の原因は、この機能追加されたウイルスが猛威をふるい、感染したパソコンから他のパソコンを攻撃するアクセス総数が増加したことであった可能性があります。お使いのパソコンをウイルスに感染させないために、ウイルス対策・脆弱性対策の確実な実施が必要です。

　届出の詳細は、次の URLからご覧ください。

　コンピュータウイルス・不正アクセスの届出状況[1月分]

http://www.ipa.go.jp/security/txt/2009/02outline.html

　別紙1_コンピュータウイルスの届出状況について［詳細］

http://www.ipa.go.jp/security/txt/2009/documents/virus-full0902.pdf

　別紙2_コンピュータ不正アクセスの届出状況について［詳細］

http://www.ipa.go.jp/security/txt/2009/documents/crack-full0902.pdf

　別紙3_インターネット定点観測（TALOT2）での観測状況について

http://www.ipa.go.jp/security/txt/2009/documents/TALOT2-0902.pdf

26. 検出数：届出者から寄せられたウイルスの発見数（個数）。
27. 届出件数：同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1 日何個検出されても届出 1 件としてカウントしたもの。
28. 総発信元：TALOT2 にアクセスしてきた発信元の総数。同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合でも、発信元数は1としてカウント。

４． 「TCP/IPに係る既知の脆弱性検証ツール」を機能拡張して公開 （資料４）
　　〜脆弱性の再発防止のため、TCP/IP実装製品の開発者向けに無償貸出〜

　IPAは、インターネットに接続する電子機器の情報セキュリティ対策を推進するため、インターネットの標準的な通信手順であるTCP/IP^*29を実装する製品の開発者向けに、「TCP/IPに係る既知の脆弱性検証ツール」^*30の機能拡張を行い、1月8日（木）からCD-ROMでの無償貸出を開始しました。また、合わせて、「TCP/IPに係る既知の脆弱性に関する調査報告書」の改訂を行い、改訂第4版を同日公開しました。
　本ツールは、新たに開発されるソフトウェアで、これまで公表されている対策が実装されずに脆弱性が「再発」するケースがあることから、これを防止するため開発され、2008年2月6日（水）に、初めて公開しました。今回の機能拡張により、調査報告書の改訂第4版に記載している25項目の脆弱性のうち、IPv4^*31環境で19項目、IPv6^*32環境で5項目の脆弱性を体系的に検証できます。
　TCP/IPを実装する製品開発者は、本ツールを使用することにより、検証対象機器の脆弱性検証を自動実行し、脆弱性の有無を簡易判定できます。また、脆弱性の判断のための確認ガイドを参照することにより、脆弱性の有無の正確な判断ができます。 ツールの貸出方法など詳細は、次のURLの「1.検証ツールの貸出方法」をご覧ください。

http://www.ipa.go.jp/security/vuln/vuln_TCPIP_Check.html

　また、調査報告書の改訂第4版は、次のURLをご覧ください。

http://www.ipa.go.jp/security/vuln/vuln_TCPIP.html

29. TCP/IP：Transmission Control Protocol / Internet Protocol
30. 「TCP/IPに係る既知の脆弱性検証ツール」初版： (http://www.ipa.go.jp/security/vuln/200802_vuln_TCPIP_Check.html)。2008年2月6日公開。
31. IPv4：Internet Protocol Version 4
32. IPv6：Internet Protocol Version 6

５． 最新のセキュリティ情報を提供する「セキュリティ情報RSSポータルシステム」を公開（資料５）

　IPAは、多数のウェブサイトに散在する情報セキュリティに関する最新情報を一元的に検索できる「セキュリティ情報RSSポータルシステム」を開発し、1月9日（金）に公開しました。
　本システムでは、IPAで事前に審査及び検討した信頼度の高いサイトを対象にセキュリティ情報を発信している代表的なウェブサイトのRSS^*33データを一定周期でアクセスし、関連する情報を収集及び分類して本システムのデータベースに登録します。利用者は、本システムに登録されたセキュリティ情報を検索することで、複数のセキュリティ情報サイトにアクセスすることなく、必要なセキュリティ情報や情報元のURLを容易に知ることができます。また、過去30 日間の記事で、出現回数の多いキーワードを上位10個抽出しホットキーワードとして表示できる機能を利用して、最近注目されているセキュリティ用語を早期に知ることもできます。
　今後、更に多くのウェブサイトを登録することにより、利用者により幅広く有益な情報を提供できるよう、整備を行っていきます。なお、本システムは、次のURLからご利用いただけます。

http://isec-rss.ipa.go.jp/

33. RSS(RDF Site Summary)：Webサイトの見出しや要約などのメタデータを構造化して記述するXMLベースの標準フォーマット。正確には、RSSのバージョンでフォーマットやフルネームが異なる。RSS 0.9 (RDF Site Summary)、RSS 0.91 (Rich Site Summary)、RSS 1.0 (RDF Site Summary)、RSS 2.0 (Really Simple Syndication)。

６． 「暗号モジュール試験及び認証制度」における試験機関を新たに承認（資料６）

　IPAは、1月13日（火）に、財団法人 日本品質保証機構 関西試験センターを、「暗号モジュール^*34試験及び認証制度(JCMVP^*35)」における暗号モジュール試験機関として承認しました。
　IPAは、2007年4月1日（日）から電子政府推奨暗号リスト^*36などに示された暗号アルゴリズムがハードあるいはソフトウェア製品の暗号モジュールに適切に実装されていることを検証し、暗号鍵やID、パスワードなど重要情報のセキュリティが確保されていることを認証する制度「JCMVP」を運用してきました。
　試験機関は、製品ベンダなど申請者から依頼された暗号モジュールが規定のセキュリティ要件に満足しているかを試験する機関で、独立行政法人 製品評価技術基盤機構による試験機関としての認定を経て、IPAが審査の結果、適切と判断した場合、承認されます。
　IPAは、2007年12月7日（金）に民間で初の暗号モジュール試験機関として株式会社電子商取引安全技術研究所 評価センターを承認しており、今回の承認で、試験機関は、従来のIPA セキュリティセンター（認証機関兼試験機関）と合わせて3機関となりました。これにより、今後、暗号モジュール試験の実施体制がより充実していくことが期待されます。
　本制度の詳細は、次のURLをご覧ください。

http://www.ipa.go.jp/security/jcmvp/

34. 暗号アルゴリズムが適切に実装された製品で、ソフトウェア、ハードウェアなどで実現されたもの。
35. JCMVP：Japan Cryptographic Module Validation Program （JCMVPは、IPAの登録商標です。）
36. 総務省及び経済産業省が共同で開催する暗号技術検討会などで、暗号を公募の上、 客観的に評価し、2003年2月20日（木）に発表された、「電子政府」における調達のための推奨すべき暗号のリスト。

７． 「暗号モジュール試験及び認証制度」に「暗号アルゴリズム確認制度」を追加（資料７）

　IPAは、1月16日（金）に、「暗号モジュール試験及び認証制度(JCMVP)」で暗号モジュール認証の一部であった暗号アルゴリズム実装確認が独立して実施できるよう、 新たに「暗号アルゴリズム確認制度」を追加しました。
　従来の制度では、暗号モジュールに暗号アルゴリズムが適切に実装されていることと、暗号モジュールがセキュリティ要求事項（暗号鍵管理、自己テストなど）を満足していることの2種類の確認を試験機関が実施し、その結果を認証機関であるIPAが検証し、適正な場合に暗号モジュール認証書を発行しています。このうち暗号アルゴリズムの実装確認については、幅広い製品に対して実装の確認できることから、ベンダ及びJCMVP関係者以外からも、独立した実施の要望が寄せられており、今回新たに「暗号アルゴリズム確認制度」を追加しました。なお、本確認制度で認証された製品には、「暗号アルゴリズム確認書」が発行されます。
　今回の制度追加によって、JCMVPが幅広く利用し易くなり、今後、IT製品に搭載された暗号機能の信頼性向上に繋がっていくことが期待されます。JCMVPの詳細は、次のURLをご覧ください。

http://www.ipa.go.jp/security/jcmvp/　

８． 「DNSキャッシュポイズニング対策」の資料を公開（資料８）
　　　　　〜DNS^*37の役割と関連ツールの使い方〜

　IPAは、「DNSキャッシュポイズニング^*38の脆弱性」に関する届出が多数寄せられる状況が継続していることから、これらの脆弱性対策を促進するため「DNSキャッシュポイズニング対策」の資料を、1月14日（水）より公開しました。
　本脆弱性に関しては、2008年7月に複数のDNSサーバ製品の開発ベンダから対策情報が公開^*39されましたが、本脆弱性を悪用した攻撃コードが公開されていたため、2008年7月24日（木）に、IPAは、ウェブサイト運営者へ向けて緊急対策情報^*40を発行しました。しかし、その後も、「実際に運用されているウェブサイトのDNSサーバに対策が実施されていないのではないか？」という旨の届出^*41が激増したため、2008年9月18日（木）^*42及び2008年12月19日（金）^*43の2回にわたり、注意喚起を行いました。注意喚起の公表後、本脆弱性の届出件数は減少傾向にありますが、12月にも126件（届出件数最大は、9月で273件）の届出がありました。
　本資料は、「DNSキャッシュポイズニングの脆弱性」の対策を更に促進することを目的に作成したもので、DNSの役割とその仕組み、DNSキャッシュポイズニング対策の検査ツールの使用方法や、DNSの適切な設定方法に関する情報等を簡潔にまとめています。本資料が、「DNSキャッシュポイズニングの脆弱性」対策の促進に寄与することが期待されます。
　本資料は、次のURLから参照ください。

http://www.ipa.go.jp/security/vuln/DNS_security.html

37. DNS(Domain Name System)：人間が識別しやすい記号を組み合わせた一意のドメイン名（www.ipa.go.jp等）とインターネット上でのデータ通信で使用されるIPアドレスと呼ばれるサーバ毎に割り振られた重複のない識別番号との対応を管理する仕組。
38. DNSキャッシュポイズニング(Cache Poisoning)：「DNSキャッシュサーバ」は、「DNSコンテンツサーバ」に問合せてドメイン名からIPアドレスを知ることになります。また、問い合わせた内容を一時保存する機能も持っています。本脆弱性は、「DNSキャッシュサーバ」が、「DNSコンテンツサーバ」からの回答を受け取る時点で、攻撃者から送られた偽のIPアドレスを受け取ってしまい、ユーザを悪意のあるサイトに誘導することになるものです。
39. 脆弱性対策情報データベースJVN iPedia「複数の DNS 実装にキャッシュポイズニングの脆弱性」を参照下さい。
    （http://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-001495.html）
40. 複数の DNS 製品の脆弱性について：http://www.ipa.go.jp/security/ciadr/vul/20080724-dns.html
41. 届出：ソフトウェア等の脆弱性関連情報に関する届出制度による。経済産業省告示に基づき、2004年7月より開始。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っている。
42. DNSキャッシュポイズニングの脆弱性に関する注意喚起：http://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html
43. DNSサーバの脆弱性に関する再度の注意喚起：http://www.ipa.go.jp/security/vuln/documents/2008/200812_DNS.html

９． 脆弱性対策情報収集ツール「MyJVN」の英語版を公開（資料９）
　　　　〜国内外の脆弱性対策情報の拡充と国際協力のさらなる強化を目指す〜

　IPAは、脆弱性対策情報データベース「JVN iPedia」（ジェイブイエヌ　アイ・ペディア）の英語版を利用者が更に効率的に活用できるよう、脆弱性対策情報収集ツール「MyJVN」（マイ・ジェイブイエヌ）の英語版を、1月15日（木）より公開しました。
　「MyJVN」は、「JVN iPedia」に登録された多数の情報の中から、利用者が自身に関係する情報のみを効率的に収集するツールで、日本語版を2008年10月23日（木）に公開しました。また、国内外の脆弱性対策情報の拡充と国際協力の強化のため、2008年5月21日（水）に「JVN iPedia」の英語版を公開しました。英語版の情報提供は、2008年12月末時点で、約400件となっています。
　「MyJVN」が「JVN iPedia」の英語版情報を直接扱うことにより、英語圏の利用者も、「JVN iPedia」から情報を迅速に収集することが可能となります。また、海外の製品開発者に、日本国内の脆弱性関連情報の取り組みへの理解を促し、海外の製品開発者からの情報提供増加に寄与することが期待されます。
　「JVN iPedia」及び「MyJVN」は、次のURLからご覧ください。
　　（JVN iPedia 英語版）　　 http://jvndb.jvn.jp/en/
　　（JVN iPedia 日本語版）　http://jvndb.jvn.jp/
　　（MyJVN 英語版）　　　　　http://jvndb.jvn.jp/en/apis/myjvn/
　　（MyJVN 日本語版）　　 　http://jvndb.jvn.jp/apis/myjvn/

１０． 「CRYPTRECシンポジウム2009」開催のご案内

　IPAは、2月18日（水）の午後１時から虎ノ門パストラルホテル（東京都港区）で「CRYPTRECシンポジウム2009〜電子政府推奨暗号リスト改訂に向けて〜」を、独立行政法人 情報通信研究機構と共同で開催します。
　CRYPTREC^*44は、2013年度に電子政府推奨暗号リストの改訂を予定しており、2009年度から暗号技術の公募を実施します。そこで、暗号リスト改訂と暗号技術公募を暗号技術に関係されている方々などに広く認知していただくため本シンポジウムを開催することといたしました。
　本シンポジウムでは、「電子政府推奨暗号リスト」、「リスト改訂スキーム」及び「暗号技術の公募」に関する講演と「公募対象カテゴリを中心とした暗号技術の動向」及び「日本の暗号研究と電子政府推奨暗号の今後」についてのパネルディスカッションを予定しています。
　 申込み方法、プログラム等詳細につきましては、次のURLをご覧ください。なお、申込の締切りは、2月10日（火）です。

http://www.ipa.go.jp/security/event/2008/crypt-sympo2009/

44. CRYPTREC(Cryptography Research and Evaluation Comittees)：電子政府推奨暗号の安全性を評価・監視し、暗号モジュール評価基準等の策定を検討するプロジェクト。総務省及び経済産業省が共同で開催する暗号技術検討会と、独立行政法人情報通信研究機構及びIPAが共同で運営する暗号技術監視委員会及び暗号モジュール委員会で構成。

１．「第2回地方自治体における情報システム基盤の現状と方向性の調査」成果を公開

　オープンソフトウェア・センターは、1月19日（月）に、「第2回地方自治体における情報システム基盤の現状と方向性の調査」の調査報告書を公開しました。
　本報告書は、以下の各項目についての調査結果とそれらに基づく施策提言として「自治体の類型化と各類型に対応した施策の検討」と「オープンな標準及びOSSの普及に向けた課題と対応」をまとめたものです。

• 情報システム基盤の現状と今後の方向性
• 地方自治体における情報システムの導入実態と今後の方向性
• OSSおよびオープンな標準の採用プロセス、調達プロセス、運用に関わる課題
• OSSおよびオープンな標準の採用に関するベストプラクティス
• 調達ガイドラインに関する認知度・取組みの把握
• 地域産業を育成するにあたってのOSS およびオープンな標準の活用状況

　「地方自治体における情報システム基盤の現状と方向性の調査」の詳細については、次のURLをご覧ください。

(第1回)　http://www.ipa.go.jp/software/open/ossc/download/jichitai_report.pdf

(第2回)　http://www.ipa.go.jp/software/open/ossc/download/2_jichitai_report.pdf

２．「第2回オープンソースソフトウェア活用ビジネス実態調査」成果を公開

　オープンソフトウェア・センターは、我が国のOSS活用ITソリューション市場の現状と将来展望の定点観測を目的とした「第2回オープンソースソフトウェア活用ビジネス実態調査」の調査報告書を2月3日（火）に公開しました。
　本調査では、第1回調査に引き続き、全国のソフトウェア会社や情報処理サービス会社等4,729社にアンケート調査票を送付し、802社から有効回答を得て、うち20社にヒアリングを実施するなど、包括的かつ網羅的にOSS活用ビジネスの実態を明らかにしました。調査事項は、各企業のOSS活用状況、メリットとデメリット、普及阻害要因（人材、サポート、ライセンス等）、OSS技術者、売上高、今後の事業見込み、利用OSSの種類、OSS活用ビジネスの変化等です。また、有効回答の集計結果を踏まえて、OSS活用ビジネスの市場規模の試算を行いました。
　「オープンソースソフトウェア活用ビジネス実態調査」の詳細については、次のURLをご覧ください。

(第1回)　http://www.ipa.go.jp/software/open/ossc/seika_0608.html

(第2回)　http://www.ipa.go.jp/software/open/ossc/seika_0803.html

３．「2008年度OSSモデルカリキュラム導入実証事業」の追加公募を実施

　IPAは、1月30日(金)から、OSSモデルカリキュラムの有効性評価と導入促進を図るため、「2008年度OSSモデルカリキュラム導入実証に関する委託契約」に係る追加公募（企画競争）を実施します[公募期間：1月30日（金）〜3月27日（金）]。本事業では、大学・高専等におけるIT系の教育機関を対象として、「OSSモデルカリキュラムV1^*45」の導入促進を図るとともに、開発された教材等をオープンコースウェアとして、広く公開して、OSS技術教育の普及を目指しています。
　IPAは、2007年9月に公開した「OSS技術教育のためのモデルカリキュラムに関する調査報告書」、2008年3月に公開した「OSS基本知識の学習オリエンテーション及び学習ガイダンス」に引き続き、同10月に公開した「OSS応用知識の学習オリエンテーション及び学習ガイダンス」に基づいて、「OSSモデルカリキュラムV1」を策定し、2008年10月に公開したところです。「OSSモデルカリキュラムV1」は、次のURLからダウンロードすることができます。

http://www.ipa.go.jp/software/open/ossc/seika_0605_2.html

　「2008年度OSSモデルカリキュラム導入実証に関する委託契約」の追加公募については、次のURLをご覧ください。

http://www.ipa.go.jp/software/open/ossc/2008/hrd/koubo3.html

45. OSSモデルカリキュラムV1：大学等の高等教育機関やIT研修機関において、OSS技術教育の導入を容易に行えるよう、OSS関連技術を27に分類し、OSS基本知識（全26科目）とOSS応用知識（全27科目）に体系化したもので、標準的なシラバスと学習ガイダンスを提供し、既存のカリキュラムと整合をとりながら、部分的に導入しても使えるようになっている。

４．2008年度第3四半期（10月〜12月）新技術債務保証の状況

　2008年度第3四半期（10月〜12月）の申請件数は11件（前年同期比64.7％）、申請金額は577百万円（前年同期比50.6％）と前年同期と比べ件数及び金額共に減少しました。今四半期の新規債務保証の実行件数は0件（前年同期6件）、内入償還額は104百万円（前年同期比108.3％）でした。また、今四半期の代位弁済は実績なしでした。
　以上の結果、今四半期末の新技術債務保証残高は1,049百万円（前年同期比71.8％）となり、2007年度末残高1,328百万円から279百万円（21.0％）の減少となり、2007年度の11月をピークに減少傾向が続いています。
　平均審査期間は本年度第2四半期で20日を切った後、今四半期においてもそれを継続した結果、今四半期までの平均審査期間は18.6日（前年同期実績20.8日）^*46となりました。2008年度通年平均で20日以下を目標に、引き続き努力します。
債務保証状況の詳細は、次のURLからご覧ください。

http://www.ipa.go.jp/software/hosyo/pdf/20090115q3.pdf

46. 一般債務保証も含めると、2007年度第3四半期の平均審査期間は、19.4日。

１．第２回「産学連携IT人材育成実行ワーキンググループ」の開催

　IPAが文部科学省及び経済産業省とともに事務局を務める第2回「産学連携IT人材育成実行ワーキンググループ」が、1月26日（月）に、IPAで開催されました。
　本ワーキンググループはすでに6回開催されている「産学人材育成パートナーシップ情報処理分科会」等の議論を踏まえ、産学連携による高度IT人材育成を具体化すべく、事業内容、産学の役割分担と協力の方法などを検討するため、産学人材育成パートナーシップ情報処理分科会の下に設置されました。委員は、29名で構成されています。なお、主査は今回、IPAのIT人材育成本部の松田前本部長から田中本部長に交替となっています。
　第2回ワーキンググループでは、前半に、タスクフォースの全体運営について事務局より説明を行いました。後半は、産学人材育成パートナーシップ情報処理分科会で提示された4つの課題別に設置したタスクフォースに分かれ、活発な討議が行われました。各課題に対応したタスクフォースは、以下のとおりです。

1. 教員強化タスクフォース
2. 教材・カリキュラムタスクフォース
3. インターンシップタスクフォース
4. リカレント教育タスクフォース

　各タスクフォースでは、今後、平成21年度に実施する産学連携IT人材育成事業の計画を策定するために議論を重ね、3月中旬を目処に議論の結果をとりまとめる予定です。
　なお本ワーキンググループ及び各タスクフォースでは、個別の企業情報、個人情報等に議論が及ぶ可能性が高いことから、資料等については原則、非公開としています。

２．「2008年度下期未踏IT人材発掘・育成事業」に係る未踏本体「開発者」の公募採択（資料１０）

　「2008年度下期未踏IT人材発掘・育成事業」に係る未踏本体「開発者」の公募を行ったところ、154件の応募がありました。応募内容を9名のプロジェクトマネージャが厳正に審査した結果、23件が採択されました。公募結果は、次のURLをご覧ください。

http://www.ipa.go.jp/jinzai/mitou/2008/2008_2/hontai/k_koubokekka.html

３．「平成21年度春期情報処理技術者試験」の受付開始（資料１１）

　情報処理技術者試験センターは、4月19日（日）に実施される「平成21年度春期情報処理技術者試験」の受付を1月13日（火）から開始しました。今回の試験は、新試験制度^*47に基づき初めて実施するもので、新たに情報技術の基礎知識を問う一般社会人向けの「ITパスポート試験」が行われます。申込みについては、郵便局窓口の他、インターネットによる受付が可能です。

1. 郵便局窓口受付 ： 1月13日（火） 〜 2月9日（月）（消印有効）
2. インターネット受付 ： 1月13日（火）午前10時 〜 2月18日（水）午後8時まで
   ただし、ITパスポート試験、基本情報技術者試験及び初級システムアドミニストレータ試験については、2月19日（木）午後8時まで受付けます。

　試験申込みの詳細は、次のURLをご覧ください。

http://www.jitec.ipa.go.jp/1_01mosikomi/_index_mosikomi.html

47. 新試験制度特集ページ：http://www.jitec.jp/1_00topic/topic_20080422_shinshiken.html

４．政府広報番組で「ITパスポート試験」特集を放送

　「ITパスポート試験」が、政府広報（内閣府提供）番組「峰竜太のナッ得！ニッポン」^*48（ＢＳ朝日）において、2月13日（金）放送の特集テーマとして取り上げられます。
　本番組には、IPAの西垣理事長が出演し、メイン司会者の峰竜太氏とトークを交えながら、「ITパスポート試験」を始めた経緯、目的などを分かりやすくご紹介します。
　なお、本特集は次の時間帯に放送されます。

• 2月13日（金）　午後9時30分〜10時
• 2月15日（日）　午前11時〜11時30分 （再放送）

48. 番組紹介ページ：http://www.bs-asahi.co.jp/nattoku/