4月のIPAの活動(2011年4月)
IPA情報発信第84号の内容
T.今月のトピックス
U.セキュリティセンター
- 1.コンピュータウイルス・不正アクセスの届出状況(4月分)
- 2.「ヤマハルーターシリーズ」におけるセキュリティ上の弱点(脆弱性)の注意喚起
- 3.脆弱性対策情報データベース「JVN iPedia」の機能強化
- 4.中小企業におけるクラウドサービスの安全利用に向けた文書の公開
- 5.「2010年度 自動車の情報セキュリティ動向に関する調査」報告書の公開
V.ソフトウェア・エンジニアリング・センター(SEC)
- 1.「SEC journal第24号」の発行
- 2.「Agile Japan 2011」への出展
- 3.SEC特別セミナー「消費者機械の安全に関する最新動向」の開催
- 4.SECセミナー「アジャイル型開発と共通フレーム」の開催
- 5.「ITコーディネータが見た中小企業等におけるクラウドサービス利用上の課題・導入実態」の公開
- 6.「俊敏かつ柔軟なシステム開発を可能にするアジャイル型開発を推進するための活動成果」の公開
W.IT人材育成
X.「IPAグローバルシンポジウム2011」の開催中止
T.今月のトピックス
1.「安全なウェブサイトの作り方 改訂第5版」の公開
〜携帯電話向けウェブサイトを開発する上での注意点を追加〜
(担当理事:仲田、担当センター長:矢島)
IPAは、ウェブサイトの開発者・運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 改訂第5版」を4月6日(水)に公開しました。改訂版の主な変更点は、携帯電話向けウェブサイト(以下、「携帯サイト」という。)に関する注意点を追加したことです。
携帯サイトには、携帯IDを用いたいわゆる「かんたんログイン」機能などセキュリティ上特有の留意点があり、かねてから問題が指摘されていました。これに関連して2010年10月には、宅配便サービスの顧客向け携帯サイトで個人情報漏えい事故が発生しています。
これを受け、ウェブサイトの開発者・運営者に対して携帯サイト特有の問題とその対処方法への理解を促すため、この事故の原因となった携帯IDの問題をはじめとした携帯サイト開発上の注意点4項目をまとめ、改訂第5版として公開しました。
「安全なウェブサイトの作り方 改訂第5版」の詳細については、次のURLをご覧ください。
http://www.ipa.go.jp/security/vuln/websecurity.html
2.SECBOOKS「高信頼化ソフトウェアのための開発手法ガイドブック」の発行
(担当所長:松田、担当副所長:立石)
IPAは、3月28日(月)に「高信頼化ソフトウェアのための開発手法ガイドブック」を発行しました。
情報システムは、ITの進展により国民の生活に直結する社会インフラを支える存在となっています。その一方で、情報システムの構成要素であるソフトウェアは、開発量の増大、機能の複雑化、コスト削減や開発期間短縮の要求など、高信頼化に向けて対応すべき課題が顕在化しています。
本書は、ソフトウェアの高品質化に向けた手法や取組み事例について、以下の2部構成で解説しています。
・ 第1部「総論」:予防活動や検知活動に関わる手法や技法について解説
・ 第2部「事例集」:先導的な高信頼化の取組みを行なっているベンダーおよびユーザー7社の取組み事例の概要について紹介
「高信頼化ソフトウェアのための開発手法ガイドブック」の詳細および購入方法については、次のURLをご覧ください。
http://sec.ipa.go.jp/publish/tn10-005.html
3.「中小ITベンダー人材育成優秀賞」の応募受付開始
(担当理事(本部長):田中、担当センター長:網野)
IPAは、表彰制度「中小ITベンダー人材育成優秀賞」の今年度表彰分の応募受付を4月26日(火)から7月4日(月)の期間で開始しました。
本賞は、以下のような取組みを行っている中小ITベンダー企業を選定し、その事例を広く紹介することにより、中小ITベンダーの活性化を図り、日本のIT力向上およびグローバルなIT人材の競争力強化に貢献することを目的としています。
・ スキル標準*1を活用して経営戦略に即したIT人材育成を組織的に実践している。
・ その取組みがIT業界の産業構造の変革に対応している。
・ その結果、企業組織全体が活性化されている。
「中小ITベンダー人材育成優秀賞」の募集内容・応募方法などの詳細については、次のURLをご覧ください。
http://www.ipa.go.jp/about/press/20110426_2.html
- スキル標準:各種ITサービスの提供や利用に必要とされる能力を明確化、体系化した指標。ITSS(ITスキル標準)、UISS(情報システムユーザースキル標準)、 ETSS(組込みスキル標準)の3種がある。
U.セキュリティセンター
1.コンピュータウイルス・不正アクセスの届出状況(4月分)
(担当理事:仲田、担当センター長:矢島)
IPAは、2011年4月のコンピュータウイルス・不正アクセスの届出状況を取りまとめ、5月9日(月)に公開しました。公開内容の概要は、以下のとおりです。
(1) コンピュータウイルス届出概要
4月のウイルスの検出数*2、届出数*3は、以下のとおりです。
| 検出数: | 約 2.6万個 | (前月 | 約2.4万個 | 、前月比 6.9%の増加) |
| 届出数: | 1,138件 | (前月 | 985件 | 、前月比 15.5%の増加) |
(2) 不正アクセス届出概要
4月の不正アクセス届出の概要は、以下のとおりです。
| 不正アクセス届出件数: | 5件 | (前月6件) |
| 内、何らかの被害のあったもの: | 5件 | (前月 6件) |
| 不正アクセスに関連した相談件数: | 38件 | (前月45件) |
| 内、何らかの被害のあったもの: | 10件 | (前月10件) |
(3) 相談受付状況
4月の受付総件数は、1,608件(前月:1,723件)となりました。
主な内訳は、以下のとおりです。
| 「ワンクリック請求」に関する相談: | 455件 | (前月:466件) |
| 「偽セキュリティソフト」に関する相談: | 6件 | (前月: 7件) |
| 「Winny」に関連する相談: | 13件 | (前月: 22件) |
(4) インターネット定点観測状況
4月のインターネット定点観測、全10観測点での状況は、以下のとおりです。
| 期待しない(一方的な)アクセスの総数 | 194,413件 | (前月 246,123件) | |
| 延べ発信元数*4 | 71,935ヵ所 | (前月 83,923ヵ所) | |
| 1観測点、1日あたりの平均アクセス数 | 648件 | (前月 794件) | |
| 発信元 | 240ヵ所 | (前月 271ヵ所) |
(5) 今月の呼びかけ
「災害情報に便乗した罠(わな)に注意!」
東日本大震災に便乗し、被災者や災害情報に敏感になっている方などをだまそうとしたり、ウイルス感染させたりすることを目的とした罠メールが確認されています。以下のURLなどを参考にして、どのような手口の罠メールが存在するのかを理解し、慎重に対応するようにしてください。
http://plaza.rakuten.co.jp/ipablog/diary/201103250000/
(IPA セキュリティブログ)
コンピュータウイルス・不正アクセス届出状況(4月分)の詳細については、次のURLをご覧ください。
http://www.ipa.go.jp/security/txt/2011/05outline.html
- 検出数:届出者から寄せられたウイルスの発見数(個数)。
- 届出数:同じ届出者から寄せられた届出の内、同一発見日で同一種類のウイルスの検出が複数ある場合は、1日何個検出されても届出1件としてカウントしたもの。
- 延べ発信元数:TALOT2の各観測点にアクセスしてきた発信元を単純に足した数を便宜上、延べ発信元数とする。ただし、同一発信元から同一の観測日・観測点・ポートに複数アクセスがあった場合は、発信元数を1ヵ所としてカウント。
2.「ヤマハルーターシリーズ」におけるセキュリティ上の弱点(脆弱性)の注意喚起
(担当理事:仲田、担当センター長:矢島)
IPAは、「ヤマハルーターシリーズ」におけるセキュリティ上の弱点(脆弱性)に関する注意喚起を4月11日(月)に公表しました。
「ヤマハルーターシリーズ」は、ヤマハ株式会社が提供するルーター製品です。「ヤマハルーターシリーズ」には、IPパケットの処理に問題があり、サービス運用妨害(DoS)状態となるセキュリティ上の弱点(脆弱性)が存在します。この弱点が悪用されると、当該製品を停止または再起動されてしまう可能性があります。対応策は、以下のサイトで提供されている修正済みファームウェアに更新することです。
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVN55714408.html
「ヤマハルーターシリーズ」におけるセキュリティ上の弱点(脆弱性)の詳細については、次のURLをご覧ください。
http://www.ipa.go.jp/about/press/20110411.html
3.脆弱性対策情報データベース「JVN iPedia」の機能強化
〜新たに脆弱性の統計情報を出力する機能や利便性を向上する機能を追加〜
(担当理事:仲田、担当センター長:矢島)
IPAは、脆弱性対策情報データベース「JVN iPedia」(ジェイブイエヌ アイ・ペディア)に、脆弱性の統計情報を出力する機能や利便性を向上する機能を追加し、4月21日(木)に公開しました。
主な機能強化項目は、以下のとおりです。
・ 統計情報機能の追加
・ 新着情報を表示するFlashツールの提供
・ 利便性向上および国際化推進
脆弱性対策情報データベース「JVN iPedia」の機能強化の詳細については、次のURLをご覧ください。
http://www.ipa.go.jp/about/press/20110421.html
4.中小企業におけるクラウドサービスの安全利用に向けた文書の公開
〜「クラウドサービス安全利用の手引き」と「情報開示の参照ガイド」を作成・提供〜
(担当理事:仲田、担当センター長:矢島)
IPAは、中小企業によるクラウドサービスの安全利用に向けた文書を作成し、4月25日(月)に公開しました。
クラウドサービスは、ITに多くの経営資源を割けない中小企業にとって利用価値が高いと考えられる一方、クラウドサービスをどの業務にどのように活用すべきか、また、セキュリティはどのように、どの程度まで確保すべきかなど自社単独では企画や判断が難しい部分があります。
このような状況を踏まえ、IPAは、中小企業などがクラウドサービスを安全に利用することを目的とした「クラウドサービスの安全利用の手引き」とクラウド事業者が情報開示する際に参考となる「情報開示の参照ガイド」をまとめ、公開しました。
「中小企業におけるクラウドサービスの安全利用に向けた文書」の詳細については、次のURLをご覧ください。
http://www.ipa.go.jp/about/press/20110425.html
5.「2010年度 自動車の情報セキュリティ動向に関する調査」報告書の公開
〜6件のセキュリティ上の脅威(問題点)を指摘〜
(担当理事:仲田、担当センター長:矢島)
IPAは、自動車の制御系システムの情報セキュリティ対策事例、電気自動車に関する脅威と対策などについて、「2010年度 自動車の情報セキュリティ動向に関する調査」報告書として取りまとめ、4月26日(火)に公開しました。
自動車の情報セキュリティに関する事件*5の発生防止を目的として行われた車載ソフトウェアに関する調査では、車載ソフトウェアの高機能化が進む一方で、脆弱性も顕在化していることが明らかになりました。
今後普及が見込まれる電気自動車について行われた脆弱性に関する調査では、「モータをスタートさせない」など新たに9項目の攻撃手法があることを確認しました。
本報告書では、自動車の情報セキュリティ上の脅威を低減させるために以下の4つのポイントをまとめました。
・ 車載ソフトウェアの高機能化に伴い顕在化する脆弱性への対応
・ スマートフォンなどを介して外部から自動車にアクセス可能となる場合の危険性の認識
・ 自動車内部の車載システム間の相互通信時のセキュリティの確保
・ エンジン車に比べ、電気自動車で増加する脅威の検討
「2010年度 自動車の情報セキュリティ動向に関する調査」報告書の詳細については、次のURLをご覧ください。
http://www.ipa.go.jp/about/press/20110426.html
V.ソフトウェア・エンジニアリング・センター(SEC)
1.「SEC journal第24号」の発行
(担当所長:松田、担当副所長:立石)
IPAは、SEC journal第24号を3月31日(木)に発行しました。SEC journalは、2005年1月に創刊号を発行以来、毎年4回、季刊誌として発行しています。
SEC journal第24号の主な掲載記事は、以下のとおりです。
・ 巻頭言:組込みシステム産業振興機構 理事長 宮原 秀夫 氏
・ 所長対談:中央大学総合政策学部 教授 平野 晋 氏
・ 論文:特定デザインパターンに基づく大規模基幹システムのオープン化技法
・ 技術解説:検出漏れの無い割込み干渉検出システムの開発/非機能要求グレード解説
・ SEC成果活用事例紹介:オムロン株式会社
SEC journalは、SECが参加するイベントなどで配布するほか、PDFファイルで公開しています。SEC journalの詳細については、次のURLをご覧ください。
http://sec.ipa.go.jp/secjournal/index.html
2.「Agile Japan 2011」への出展
(担当所長:松田、担当副所長:立石)
IPAは、4月15日(金)に日本アイ・ビー・エム株式会社 本社セミナールーム(東京都中央区)で行なわれた「Agile Japan 2011」(主催:Agile Japan 2011実行委員会)に出展しました。
本イベントは、代表的な非ウォーターフォール型開発手法である「アジャイル型開発」をわが国で普及・促進することを目的として開催されるものです。2009年に第一回を開催し、今回で3回目になります。IPAは、ポスター展示、関連資料などの配布のほか、「ソフトウェア開発に関する標準リファレンスシリーズ(ESxR)」の中の「組込みソフトウェア開発コーディング作法ガイド(ESCR)」についての講演を行ないました。
「Agile Japan 2011」の詳細については、次のURLをご覧ください。
http://sec.ipa.go.jp/events/2011/20110415.html
3.SEC特別セミナー「消費者機械の安全に関する最新動向」の開催
(担当所長:松田、担当副所長:立石)
IPAは、SEC特別セミナー「消費者機械の安全に関する最新動向」を4月19日(火)に文京グリーンコートセンターオフィス(東京都文京区)で開催しました。
IPAは、消費者向け機器の安全安心の確保に向けた新たな仕組みづくりを進めています。「消費者機械」の安全ソフトウェアの技術動向を把握し、国内の産業界と問題点を広く共有することを目的とし、計測自動制御学会(SICE*6)と米国のソフトウェア標準化推進団体OMG*7の協力を得て本セミナーを開催しました。セミナーには約90名が参加し、熱心に聴講していました。
SEC特別セミナー「消費者機械の安全に関する最新動向」の詳細については、次のURLをご覧ください。
http://sec.ipa.go.jp/seminar/2011/20110419.html
4.SECセミナー「アジャイル型開発と共通フレーム」の開催
(担当所長:松田、担当副所長:立石)
IPAは、SECセミナー「アジャイル型開発と共通フレーム」を4月22日(金)にIPA会議室(東京都文京区)で開催しました。
本セミナーでは、代表的な非ウォーターフォール型開発手法としてIPAが普及を進めているアジャイル型開発の内容と、IPAが中心となって取りまとめたソフトウェア開発プロセスを包括的に規定する「共通フレーム」について講演しました。セミナーには約70名が参加し、質疑応答では多くの積極的な意見や質問のやりとりがありました。
SECセミナー「アジャイル型開発と共通フレーム」の詳細については、次のURLをご覧ください。
http://sec.ipa.go.jp/seminar/2011/20110422.html
5.「ITコーディネータが見た中小企業等におけるクラウドサービス利用上の課題・導入実態」の公開
(担当所長:松田、担当副所長:立石)
IPAは、「ITコーディネータが見た中小企業等におけるクラウドサービス利用上の課題・導入実態調査報告書」を3月31日(木)に公開しました。
IPAは、特定非営利活動法人ITコーディネータ協会と共同して、クラウドコンピューティングの導入におけるソフトウェアエンジニアリング上の課題抽出を主な目的とした調査を実施しました。対象者は、中小企業などのIT化支援サービスを実施する専門家であるITコーディネータで、調査対象2,353名中、749名から有効回答を得ました。
本報告書では、ITコーディネータが担当する地域・中小企業におけるクラウドサービスの導入・活用事例や、導入・活用上の問題や阻害要因を取りまとめました。
「ITコーディネータが見た中小企業等におけるクラウドサービス利用上の課題・導入実態」の詳細については、次のURLをご覧ください。
http://sec.ipa.go.jp/reports/20110331.html
6.「俊敏かつ柔軟なシステム開発を可能にするアジャイル型開発を推進するための活動成果」の公開
(担当所長:松田、担当副所長:立石)
IPAは、「俊敏かつ柔軟なシステム開発を可能にするアジャイル型開発を推進するための活動成果」を4月7日(木)に公開しました。
IPAは、ウォーターフォール型開発およびアジャイル型開発の経験が豊富な実務者、契約に詳しい専門家など、産学官の有識者をメンバーとした「非ウォーターフォール型開発ワーキンググループ」を設置し、アジャイル型開発に関わる様々な課題について検討してきました。
この度、日本におけるアジャイル型開発に適したモデル契約書案2種を含む、同開発の現状と課題をまとめた報告書を公開しました。
「俊敏かつ柔軟なシステム開発を可能にするアジャイル型開発を推進するための活動成果」の詳細については、次のURLをご覧ください。
http://www.ipa.go.jp/about/press/20110407.html
W.IT人材育成
1.「IT人材白書2011」の概要の公開
(担当理事(本部長):田中、担当センター長:網野)
IPAは、「IT人材白書2011〜未来志向の波を作れ 今、求められる人材イノベーション〜」(5月20日(金)発行予定)の概要を4月20日(水)に公開しました。本白書は、IT人材育成事業の一環として、IT関連産業の人材動向、グローバル化への対応、オフショア開発動向、産学におけるIT教育の状況を把握することなどを目的として実施した調査結果に基づくものです。
今回公開した「IT人材白書2011」の主な概要は、以下のとおりです。
・ IT人材の意識と環境
経営者からの人材育成メッセージがIT技術者の約半数にしか届かない一方、多くのIT技術者は、将来のキャリアに不安があってもスキルを磨く行動に至っていない。
・ IT人材のグローバル化
5,000名以下の企業に勤務するIT技術者にとってグローバル化は不安要因。 IT技術者はグローバル化の流れを認識しているが、外国語習得への取組みは低い。
・ オフショア開発
ITベンダーのオフショア開発実績は2009年度初めて前年割れしたが、オフショア開発実施企業の活用意欲は高い。
オフショア開発のコスト削減目標未達成企業では、詳細な仕様書作成をコスト増加要因とする割合が高い。
「IT人材白書2011」の概要の詳細については、次のURLをご覧ください。
http://www.ipa.go.jp/about/press/20110420_2.html
2.第11回アジア共通統一試験の実施
(担当本部長:田中、担当参事:小川)
アジア6ヶ国*8による「第11回アジア共通統一試験*9」が3月27日(日)に実施されました。
本試験の目的は、共通の基準でIT人材を評価することで、アジアにおける質の高いIT人材の確保や流動化を図ることです。本試験は、日本の情報処理技術者試験制度に基づいたものであり、IPAは、試験問題の作成支援、試験問題の提供、試験支援システムの提供などの協力を行っています。
今回は、ITパスポート試験および基本情報技術者試験相当を実施しました。応募者数は1,219名でした(前回1,724名)。IPAは、引き続きアジア共通統一試験の実施を支援していきます。
- アジア6ヶ国:フィリピン、タイ、ベトナム、ミャンマー、マレーシア、モンゴルが参加。
- 第11回アジア共通統一試験:同一日の、同一時間に、同一問題を使用して実施する6ヶ国共通の統一情報処理技術者試験で年2回実施。