セキュリティセンター全体編

１．  背景と課題

　近年のインターネットの急激な拡大・普及に伴いコンピュータとコンピュータネットワークは、電話やファックスに代わる日常のコミュニケーションツールとして、新聞雑誌、テレビに代わる情報メディアとして、あるいは企業間、企業−消費者間の商取引の場として企業活動や日常生活に定着しつつある。  
　こうした高度情報化の進展は、既存産業の生産性を向上させることはもとより、新しいビジネスを生み出すことによって日本経済の構造改革を推進するための原動力の一つとして期待されている。
 しかし、一方では、電子メール機能を悪用したコンピュータウイルスの流行、ホームページの改竄、個人情報の漏洩といった事件に見られるように、国、企業、個人の情報とその情報を処理しているコンピュータを取り巻く脅威が増加している。
 今後、コンピュータで処理・蓄積される個人情報、企業機密がますます増加し、インターネットなどのコンピュータネットワークを利用した商取引がなお一層盛んになること、情報システムによって管理運営される社会インフラが更に多くなることを考えると、情報セキュリティの確保は極めて重要な課題となっている。  

２．  セキュリティセンターの活動基本方針

• 情報セキュリティに関して、広く国内外の情報を収集し、民間や政府機関に対して、信頼できる情報報の提供を行う。

• 情報セキュリティに関わる諸活動において、民間ではやらないこと、あるいは民間ではできないこと に取り組み、また将来民間でやれることについては先導的な役割を果たす。

３．  セキュリティセンターの活動骨子

　情報セキュリティへの意図的脅威に対する管理的（規約、ルール、モラル等）、システム的（技術、製品等）な対策を講ずるための情報収集、調査研究、研究開発及び成果の普及、啓発を行う。

３−１ 情報収集・調査研究

　情報セキュリティに対する被害の現状、意図的脅威とその影響、国内外の技術的動向、市場動向等の情報収集及び調査研究を行い、適切な対策を講じるための情報として提供する。

３−２ 研究開発・技術開発

　情報セキュリティ分野における基盤的ソフトウェア技術等の研究開発を行い、広く成果を公開する。

３−３ 普及啓発

　一般論としての情報セキュリティに対する脅威の原需要と対策、個別ユーザ環境での脅威の分析と対策を纏めたセキュリティ基本計画書の作成、機能と品質が保証されたセキュリティ製品を使用したシステムの構築／運用等、適切な対策の実施を促進させるための啓発を行う。

４．  現状の課題

４−１ ウイルス対策の民間企業との連携

　ウイルス対策関連企業のビジネスが既に立ち上がり、定常化している状況において、届出機関としての役割を民間に移行していくことも含めて、体制の見直しを検討する必要がある。

４−２ 不正アクセス対策に関する啓発

　不正アクセス対策は、技術的側面に目が行きがちであるが、最大のセキュリティホールは人間であり、人間系を含めて対策を考える必要がある。

４−３ 不正アクセス対策技術・組織の強化

　不正アクセス技術の一般化、高度化、社会影響力の増大に対応した技術の開発及び対応組織力の強化が必要である。

４−４ 暗号技術の利用促進

　暗号技術そのもののメカニズムの理解を促進させると共に、暗号技術の利用の仕方の啓発が必要である。

４−５ セキュリティ評価・認証の必要性の認識

　セキュリティ評価／認証に関して、ユーザが必要性を十分に認識していなく、また、ベンダーも必要性を認識しつつも、コストアップにつながる評価／認証に積極的に対応できる状況になく、普及啓発　活動の強化が必要である。
　また、制度が必要となった時に速やかに立ち上がれるように準備をしていく必要がある。

５．  重点分野とその活動結果

　平成１１年度の活動の重点分野とその活動結果を以下にまとめる。

５−１ 全般

• 情報セキュリティ対策の必要性と対策の啓発活動の強化
• 情報セキュリティ全般の情報を個別事業の枠を越えて網羅的に調査し、様々な手段で積極的に提供
• 研究開発案件の公募での提案採択による実施及び評価マニュアルに従った評価の実施

５−２ ウイルス対策

• 新種のウイルスに関する速やかな情報提供

　ＩＰＡに届出されたウイルス被害について分析、集計を行い、その被害状況について、毎月プレス発表及びＩＰＡホームページで情報公開を行った。
　また、被害届出状況の定期的な公表以外にも、新種のウイルスや２０００年問題に便乗したいわゆる「Ｙ２Ｋウイルス」への対応等、緊急対応が必要とされるものに対しては、臨時に注意事項をＩＰＡホームページで情報公開し、注意の勧告を行った。

• 継続的なウイルスに関する届出、相談受付、動向調査

　昨年度に引き続き、「ウイルス１１０番」において、電話、電子メールによりウイルス対策に関する相談対応を行った。
　また、過去の相談対応実績よりＦＡＱを作成し、ＩＰＡのホームページで公開する等、届出、相談の受付体制の強化を図った。

• ウイルス対策関連企業等との連携強化による、各社のウイルス対策活動支援

　　　（１）国内企業との連携強化

　国内ウイルスワクチン販売企業と新種ウイルス等について情報交換を行うほか、ホームページのリンク等を通じてウイルス対策関連企業との連携強化に努めた。
　また、業界等に対するウイルス対策活動支援の方針を検討し、共同イベントの開催や、業界団体設置の可能性について打診した結果、協力が得られる旨の前向きな回答が得られた。

　　　（２）海外企業との連携強化

　海外のウイルス対策機関と連携強化を図るため、国内の被害届出状況及び国内外のアンケートによる実態調査の報告書を英訳し、海外のウイルス対策機関に情報提供を行った。
　また、以下の海外のカンファレンスへの参加や、ウイルス対策ソフトベンダー企業へ訪問し、情報収集、意見交換等を行い、積極的に交流を図った。

• ＶｉｒｕｓＢｕｌｌｅｔｉｎ’９９（カナダ）参加、Symantec社（米国）訪問

• ＥＩＣＡＲ２０００（ベルギー）参加、Sophos社（英国）訪問

５−３ 不正アクセス・サイバーテロ対策

• 不正アクセス対策の必要性の啓発の強化

　ビジネスショウ’９９ＴＯＫＹＯへの出展、セミナーの開催、論文執筆を通じて、より積極的に不正アクセス対策の必要性について啓発活動を行った。
　また、海外の技術資料の翻訳を行うとともに、過去の相談対応実績よりＦＡＱを作成し、ＩＰＡホームページにおいて広く情報を公開した。

• 継続的な不正アクセスに関する届出、相談受付と、JPCERT/CC との役割分担を明確化

　ＩＰＡに届出された不正アクセスに関する被害について分析、集計を行い、その被害状況について、毎月プレス発表及びＩＰＡホームページで情報公開を行うとともに、分析した被害届出、相談内容については、今後の啓発活動への反映、行政へのフィードバックを行えるように努めた。

• 不正アクセス対策に関する人的、組織的ネットワークの強化

　セキュリティ業界の技術者と連携を図るため、技術ミーティングを行うとともに、国際的なネットワーク作りの一環として、ＩＥＴＦのｉｄｗｇへの参加を行った。

• 不正アクセス対策に関しての全般的な情報収集と、侵入検知、ログ調査、脆弱性データベース共有、セキュリティマネジメント調査

　不正アクセスの手口技術の多様性と、その対策技術の複雑性から常に最新情報を収集する必要があるため、本年度も国内外のコンファレンスへ参加することにより最新情報を収集した他、マスメディア、ホームページを通じて常時情報の収集を行った。
　また、不正アクセス対策に関する調査について、本年度はログの活用方法に関する調査、ソーシャル・エンジニアリングの実態調査、無制限アクセス法に関する調査を行った。

• 侵入検知技術の研究開発

　不正アクセス対策において大きな柱である侵入検知に関し、3年前より実施を行っていたモバイルエージェント技術を使った侵入検知システムの研究開発について、本年度はビジネスショウ、IPA技術発表会において紹介を行い、成果の普及に努めた。

• サイバーテロ対策に関する調査、対策技術研究開発と危機管理の研究

 　既に社会の重要インフラとして位置付けられているネットワークシステムは、その故障、破壊により社会活動を壊滅的状況に陥れる危険性があり、その最も脅威とするところは今後増加されるであろうサイバーテロにあると考えられる。
　ＩＰＡではこうした状況を鑑み、重要インフラ防御の観点からサイバーテロに関する情報の収集と、重要インフラを構成している制御システムに関して脆弱性調査、対策技術の研究を行った。なお、本活動に関連し、「大規模プラント・ネットワーク・セキュリティ対策委員会」をサポートし、本委員会を情報収集、対策検討と啓発の場とした。
　また、危機管理機構の確立が重要という考えに基づき、行政の取り組みに対し協力を行った。

• 中央省庁ホームページ改ざん事件に関する対応

　平成１２年１月２４日の科学技術庁のホームページ改ざんに始まり、総務庁、総務庁統計局、運輸省へとその被害が拡大した中央省庁ホームページ改ざん事件に対し、内閣官房安全保障危機管理室より通産省、郵政省、防衛庁、警察庁とともにＩＰＡも協力依頼を受け、被害に遭った省庁の状況ヒアリングとアドバイス及び全省庁へのガイドラインの提示、緊急セミナーを実施する等、全面的に協力を行った。

５−４ 暗号技術

• 情報セキュリティ対策の手段のひとつとしての暗号技術の利用に関する啓発活動

　情報セキュリティセミナーにおいて、暗号一般に関する入門的な内容の講演を行い、暗号技術の重要性の理解と啓発に努めた。

• 情報収集、調査研究

　本年度は、昨年度まで実施してきた以下の情報収集、調査研究を継続発展させるとともに、国際協調、政府調達仕様の政策課題に対する調査研究を新たに追加し、実施を行った。
　なお、ＩＳＯ暗号登録^（※）については、調査研究の一環として登録窓口業務と問い合わせ対応を継続して行った。

• 暗号強度評価；
  　「スマートカードの安全性評価」
• 量子計算機；
  　「量子計算機の研究動向」
• 公開鍵基盤（ＰＫＩ）；
  　「電子署名・認証技術の適用分野と利用技術に関する調査」
• 暗号技術に関する国際協調問題；
  　「暗号技術に係る政策動向調査」
  　「アジア地域における暗号技術動向と普及に関する調査」
• 暗号・認証に係わる政府調達仕様の標準化案の作成；
  　「政府調達暗号・認証製品の調達基準調査研究」
• 暗号登録の受け付け^（※）

• 研究開発・技術開発

　暗号応用分野の研究開発により新しい分野の開拓と産業振興に寄与するため、本年度は以下の４テーマの研究、技術開発を行った。

• 電子投票システムの研究開発
• ネットワーク向けインフォメーションハイディング技術開発
• 暗号強度評価技術の開発
• モバイル環境におけるアタック防御及び不正利用防止の技術開発
  

５−５ セキュリティ評価・認証

• 日本におけるセキュリティの評価、認証制度構築のための調査研究

　欧米５カ国との相互承認に向けて、順次国内システムを構築。当面、国際標準をベースとしたセキュリティ評価・認証の国内制度を立ち上げるため、制度文書案の作成を行った。
　また、平成１２年度からセキュリティの試行評価の実施ができるように、評価技術を確立して、ドキュメントとして纏めるとともに、評価機関立ち上げ及び運用に必要となる規定、規則案及びマニュアル案の作成も併せて行った。
　さらに、ＣＣ（Common Criteria）のＪＩＳ化委員会に参加し、セキュリティ評価基準に関する国内標準の作成に協力した。

• 海外のセキュリティ評価・認証制度の情報収集

　セキュリティ評価・認証を実施している各国、特に１９９８年１０月に相互承認の合意を結んだ国に重点を置いて制度に関する情報収集を行った。
　また、標準化されていない評価手法について、その国際標準化に向けた動向の調査、検討を行った。
　なお、本年度は、欧米諸国におけるセキュリティ評価・認証制度、評価技術運用状況の調査、情報収集を行うため、以下のフォーラム等へ参加を行った。

• NISSC'99（米国）、米国NIST訪問、I4 Forum 38（米国）

• セキュリティ評価関連会議出張報告

• I4 Forum 39（米国）

• 評価申請を前提としたソフトウェア開発支援、及び、評価コスト低減のためのツール等の開発

　セキュリティ評価のための期間やコストを低減するため、セキュリティ設計評価支援ツールの研究開発を行い、本ツールによる開発及び評価結果と従来手法による開発及び評価結果の一致性や効率について、検証を行った。

　

６．研究開発及び調査

６−１ 研究開発

　情報セキュリティ分野における基盤的ソフトウェア技術等の研究開発について、開発テーマの公募を実施、以下の５テーマを採択し、研究開発を行っている。

• 投票所方式による電子投票システム

• 不正アクセスの高感度検出及びグローバル警戒機器に関する研究

• 分散コンピューティング環境におけるログ管理・解析に関する研究

• 簡易認証機能を持つ追跡可能型ウイルス対策システム

• 政府調達情報セキュリティ標準（基準）の策定

６−２ 調査

　情報セキュリティに対する被害の現状、意図的脅威とその影響、国内外の技術的動向、市場動向等の情報収集を行い、広く情報提供を行うため、本年度は主に以下の調査を行った。

• 海外におけるコンピュータウイルス被害状況調査

• アジア地域における暗号技術動向と普及に関する調査

• 暗号化／認証機能を持つメーリングリスト・サーバーの実現可能性に関する調査

• 暗号技術に係る政策動向調査

• 電子署名・認証技術の適用分野と利用技術に関する調査

• コンピュータセキュリティインシデントとその対応に関する調査

• セキュリティ評価・認証スキームにおける認証機関の品質システムに関する調査

• 量子計算機の研究動向に関する調査

• 国内におけるソーシャル・エンジニアリングの実態調査

• 情報セキュリティ対策の現状と今後に関する調査

• スマートカードの安全性に関する調査

• WindowsCE上でのウイルスの動作及びJava環境でのウイルスの危険性に関する調査

• 欧米におけるコンピュータへの不正アクセス（クラッキング）と対策の実態調査

７．  成果普及活動

　昨年度に引き続き、情報セキュリティ対策の必要性の啓発を行うとともに、調査研究、研究開発、技術開発された成果の普及に努めた。なお、本年度は西暦2000年問題（以下「Y2K」という。）に便乗した情報セキュリティに関する被害に遭わないための情報提供及び注意の喚起を行った。

７−１ 啓発

　一般ユーザ、システム管理者に対して、情報セキュリティに対する脅威の現状を伝え、対策の必要性、具体的な対策、最新の技術動向を広く啓発するため、本年度は主に以下の活動を行った。

• メディア、ホームページによる啓発活動

• 毎月のコンピュータウイルス被害届出状況、不正アクセス被害届出状況のプレスリリース及びＩＰＡホームページでの公開。

• 情報セキュリティ対策に関する情報のIPAホームページでの提供及び頻繁に問い合わせのある質問をまとめたFAQの公開。

• 情報セキュリティ対策啓発用資料、セミナー配布資料等の電子データのIPAホームページでの公開及び提供。

• Y2K対策として、関連する情報をホームページに掲載し、Y2K問題に便乗した情報セキュリティ被害に遭わないよう注意の喚起を行った。

• 雑誌「ｂｉｔ（情報セキュリティかわら版）」への連載

• 各種新聞、雑誌、テレビ等メディアに対するの取材対応、原稿執筆、情報の提供等。
  （情報を提供した主なメディア）
  読売新聞、毎日新聞、産経新聞、日本経済新聞、日経パソコン、日経バイト、日経ベンチャー、週刊ダイヤモンド、合格情報処理、週刊読売、地方自治コンピュータ、西日本新聞、セキュリティ・ニュース　等。

• 展示会、セミナーによる啓発活動

• ビジネスショウ’９９TOKYOへの出展（東京）

• 情報技術セキュリティ評価基準 ＩＳＯ／ＩＥＣ１５４０８セミナーの開催（東京）

• 第18回 IPA技術発表会の開催（東京）

• 情報セキュリティセミナーの開催（札幌、仙台、横浜、福岡　等全国１２箇所）

• 情報技術セキュリティ評価基準 ＩＳＯ／ＩＥＣ１５４０８セミナー 〜ST作成と開発者に対する要件〜 の開催（東京、大阪、福岡）

• システム管理者向けコンピュータウイルス対策／不正アクセス対策セミナーの開催（東京）。

• 外部の各種セミナー、研修会、委員会への出席、講演

• 啓発用資料の作成

• コンピュータウイルス対策用初心者向けCD-ROM「ウイルス対策スクール」の作成

• ウイルス対策啓発用ビデオの作成

• 不正アクセス対策に関する啓発用パンフレットの刷新

• セキュリティ評価・認証に関する啓発リーフレット、説明資料の作成

• 暗号技術に関する啓発用リーフレットの刷新

７−２ 成果の普及

 　平成10年度に行った事業活動の報告書をIPAホームページで公開し、セキュリティセンターの活動への理解と協力を求めると共に、各種調査報告書、研究開発成果等をホームページで公開、電子データで提供することにより、広く成果の普及を促進させるよう努めた。
　また、IPA技術発表会において、本年度開発テーマの紹介を行った。

• ホームページによる情報提供

• 平成10年度活動報告書の公開

• 各種調査研究報告書、動向調査結果等、成果物の公開及び提供

• IPA技術発表会における平成11年度研究開発テーマの紹介

• 投票所方式による電子投票システム

• 不正アクセスの高感度検出及びグローバル警戒機器に関する研究

• 分散コンピューティング環境におけるログ管理・解析に関する研究

• 簡易認証機能を持つ追跡可能型ウイルス対策システム

• 政府調達情報セキュリティ標準（基準）の策定

９．  実施体制

  組織の体制は下記の図の通り。