最終更新日：2002年 6月10日

平成13年度 IPA/ISEC 活動報告

情報処理振興事業協会
セキュリティセンター
IPA/ISEC
isec-info@ipa.go.jp

情報処理振興事業協会セキュリティセンター（IPA/ISEC）は、今年度 2001年 5月に組織体制を再構築し、情報セキュリティ関連事業を実施して まいりました。ここに報告いたします。

詳細編も用意してあります。ご覧ください。

概要編 （詳細編） 目次 1. 情報セキュリティ対策業務 1.1. 調査活動 1.2. 情報収集・分析活動 1.3. 技術調達活動 1.4. 情報発信・啓発活動 2. 情報セキュリティ基盤整備業務 2.1. セキュリティ評価・認証活動 2.2. 暗号技術調査・評価活動 2.3. 重要インフラストラクチャ防護活動 2.4. 情報セキュリティ政策支援 2.5. 他の組織への協力活動 3. その他 3.1. 国際交流

1. 情報セキュリティ対策業務 （詳細編）

情報セキュリティ関連の情報・技術を調査／情報収集・分析・情報発信する業務を行っている。今年度においては、下記の事項を実施した。

1.1. 調査活動 （詳細編）

「情報セキュリティ関連の調査・開発に関する公募」を行い、 請負契約を締結した組織体において各種調査を実施した。

1. 情報セキュリティの現状に関する調査 （採択： 株式会社三菱総合研究所）
2. PKI 関連相互運用性に関する調査 （採択： NPO 日本ネットワークセキュリティ協会）
3. アノマリー検出技術に関する調査
4. 携帯端末機器のセキュリティに関する調査 （採択： 金沢工業大学 情報工学科 千石研究室）
5. セキュリティ関連APIの調査 （採択： アトミック・タンジェリン株式会社）
6. 各国電子政府および PKI プロジェクトの調査 （採択： 財団法人 日本情報処理開発協会）
7. 耐タンパ、テンペスト、バイオメトリクス技術に関する調査
8. 情報セキュリティの実態調査 （採択： KPMGビジネスアシュアランス株式会社）
9. オペレーティングシステムのセキュリティ機能拡張の調査 （採択： 日立ソフトウェアエンジニアリング株式会社）

上記「3. アノマリー検出技術に関する調査」、「7. 耐タンパ、テンペスト、バイオメトリクス技術に関する調査」については、採択に至らなかった。

1.2. 情報収集・分析活動 （詳細編）

IPA/ISEC 内部において、研究員が下記の情報収集・分析を行っている。

• コンピュータウイルス／不正アクセスの届出受付・分析
• 日々の情報セキュリティ関連ニュースの収集・分類
• セキュリティ脆弱性情報の収集・分析

1.3. 技術調達活動 （詳細編）

昨年度に引き続き「電子政府情報セキュリティ技術開発事業」の一環として、技術を調達した。

平成12年度から継続して実施しているプロジェクトは下記のとおり。

• W3C 勧告準拠の XML 署名技術開発とリファレンス提供（採択： 日本電気株式会社 NEC ソリューションズ）
• 電子政府情報セキュリティ技術支援に関する調査と技術開発（採択： 株式会社三菱総合研究所）
• セキュリティポリシー策定・運用支援ナレッジマネジメントシステムの開発（採択： 株式会社日本総合研究所）

今年度も「電子政府情報セキュリティ技術開発」の提案公募を行い、下記の新規プロジェクト を実施した。

• GPKI 対応電子メールソフトのためのプラグイン開発（採択： 株式会社オレンジソフト）
• データ分散保存システム（採択： ジャパンデータコム株式会社）
• 不正プログラムおよび不正ドキュメントの調査と検索ソフトウェア開発（採択： 株式会社アークン（採択時： コニックス株式会社））
• 広域セキュリティ管理のためのセンサアレイシステムの技術開発（採択： NTT データ株式会社 東北支社、協働： 株式会社 サイバー・ソリューションズ、東北大学 電気・情報系大学院 根元研究室、会津大学）
• 電子申請業務における X.509 属性証明書を用いた資格確認技術の開発（採択： 日立ソフトウェアエンジニアリング株式会社）
• タイムスタンプ局と証拠記録局の技術開発（採択： 日本電気株式会社 NEC ソリューションズ）
• XML 暗号標準のリファレンス実装（採択： 財団法人 情報処理相互運用技術協会）

IPA 全体で実施した「一括公募」の中で採択された下記の情報セキュリティ関連プロジェクトが進行中である。

• 次世代 OpenPGP パブリックキーサーバー（採択： 株式会社 SRA 先端技術研究所、協働： 鈴木裕信）

「情報セキュリティ関連の調査・開発に関する公募」を行い、下記の新規プロジェクト を実施した。

• 15. セキュアメーリングリストサーバーの開発（採択： 富士ゼロックス株式会社）

　

1.4. 情報発信・啓発活動 （詳細編）

IPA/ISEC の情報発信戦略を策定、掲載した。 IT ユーザと IT ベンダーの双方に向けて、対策実践情報と緊急対策情報を提供している。今年度方針は下記のとおりであった。

1. Webサーバーによる情報発信を重視する。

2. ストリーミングサービスを試行する。

3. 相談対応（ヘルプデスク）を効率化する。

4. セキュリティセンター（ISEC）のプレゼンス（認知度）を高める。

5. 情報セキュリティ関連情報の公開ポリシーについて検討する。

6. 経営管理者層を聴衆として想定するセミナーを開催する。

1.4.1. 実践対策情報

活動計画どおり、web サーバーによる情報発信を重視してきた。

「情報セキュリティ関連の調査・開発に関する公募」の一環で、コンテンツの提案公募も下記の項目について実施した。

• 10. PKI 関連技術に関するコンテンツ （採択： PKI関連技術コンテンツ創作フォーラム(主幹： NTTコムウェア 株式会社））
• 11. セキュアプログラミングに関するコンテンツ （採択： セントラル・コンピュータ・サービス株式会社）
• 12. モバイル／リモートアクセスに関するコンテンツ
• 13. エンタープライズネットワークのセキュリティに関するコンテンツ
• 14. セキュアな Webサーバーの構築と運用に関するコンテンツ （採択： 株式会社ラック）

上記「13. エンタープライズネットワークのセキュリティに関するコンテンツ」については、応募がなかったため実施していない。ただし、「14. セキュアなWebサーバーの構築と運用に関するコンテンツ」の実施において、大企業を想定したインターネットサーバーを設置するサブネット（DMZ）のセキュリティ対策を含むよう留意している。

上記「12. モバイル／リモートアクセスに関するコンテンツ」については、「リモートアクセスのセキュリティに関するコンテンツ作成」として再公募した（採択： 株式会社三菱総合研究所 ビジネスソリューション事業部、協働： エム・アール・アイ システムズ 株式会社）。

ストリーミングサービスを IPA 内部で試行実験中である。「情報セキュリティセミナー」相当の内容（スライドと音声）を提供できることを目標としている（2001年12月に IPA の回線容量拡大工事は完了したところである）。

1.4.2. 緊急対策情報

日本国内において広域に情報セキュリティリスクが顕在化する兆候があるときに、遅滞なく対策情報を提供するように努めている。 緊急対策情報は、IPA/ISEC のトップページ右上に掲載され、常に重要度の高い情報から順に並ぶ状態を維持している。

1.4.3. 情報セキュリティ関連情報の公開ポリシー検討

内部研究会において検討中である。 内容的には、脆弱性情報の公開ポリシーと、相互運用可能性実験結果の公開ポリシーについて研究中である。報告書を年度末に公開することを目標としている。

1.4.4. セミナー、講演関連

方針どおり、経営管理者層を聴衆として想定したセッションを「情報セキュリティセミナー」において講演した。 その中で、情報セキュリティは単独技術や特定の製品で確保できる性格のものではなく、1）これらは一連のリスク管理プロセスである、2）組織体の方針としてのセキュリティポリシー立案が必要である、3）経営資源の確保が必要であるという3点を強調した。

• 「情報セキュリティセミナー」実施報告

1.4.5. 相談対応関連

各種チャネルで相談に対応している（専用電話／FAX／電子メール）。

2. 情報セキュリティ基盤整備業務 （詳細編）

2.1. セキュリティ評価・認証活動 （詳細編）

• 「セキュリティ評価・認証制度」（ISO/IEC 15408準拠、2001年4月創設）の推進・普及啓発、国際的な相互承認協定参加への準備、技術的支援、及び評価技術の調査研究。
• 多面的なIA (Information Assurance　情報アシュアランス)の仕組みの検討。

2.1.1. セキュリティ評価技術調達活動

昨年度に引き続き「電子政府情報セキュリティ技術開発事業」の一環として、下記の評価技術を調達した。

• システムのセキュリティ評価技術に関する研究開発（採択： 社団法人電子情報技術産業協会（採択時： 社団法人日本電子工業振興会））
• プロセスアセスメント技術を適用したシステムセキュリティ評価技術の開発（採択： 株式会社情報数理研究所）

電子政府向けプロテクションプロファイル(PP)として、下記のものを作成した。

• 電子政府向け情報提供システム PP、電子申請システムPP、電子調達システムPP
• 電子政府向け電子認証サーバPP
• PKIスマートカードPP
• 多用途セキュアシステムLSIチップのPP

2.1.2. セキュリティ評価・認証制度の推進活動

• 推進作業部会（WG）
• 認証機関における認証業務支援
• CEMの標準情報(TR)化

2.1.3. セキュリティ評価・認証制度の調査活動

2.1.4. 普及啓発活動

• 「ITセキュリティ評価及び認証制度並びにST評価・確認業務に係るベンダ説明会」の開催
• ITX2001におけるセキュリティ評価・認証の活動発表

2.1.5. その他関連調査活動

• SSE-CMM の調査
• SSE-CMM の普及・啓発活動
• その他の調査

2.2. 暗号技術調査・評価活動 （詳細編）

2.2.1. 暗号技術評価活動

平成13年度 暗号技術評価委員会全体活動が進行中である。

「平成13年度暗号技術の公募」を行った。

2.2.2. 暗号技術調査活動

「暗号技術関連の調査に関する公募」において下記の調査を公募した。

1. 暗号技術活用ガイドラインに関する調査
2. 暗号技術要件に関する海外事例調査
3. 暗号技術要件に関する国内調査

「暗号技術評価・調査事項に係る公募」において下記の調査を公募した。

• CC の MR 加盟国における暗号モジュール評価の実態調査調査
• 量子暗号技術の研究・開発動向に関する調査

2.2.3. 暗号技術調達活動

平成12年度から継続して実施している下記のプロジェクトがある。

• Crypto-API の開発（採択： 三菱電機株式会社）

IPA 全体で実施した「一括公募」の中で採択された下記の 暗号技術関連プロジェクトが進行中である。

• 署名ソフトウェアに対する全数探索型耐タンパー性評価ツール（採択： 株式会社 三菱総合研究所、協働：横浜国立大学 大学院 環境情報研究院）
• 情報量的安全性に基づく暗号インフラの開発（採択： 株式会社パンプキンハウス、協働： 東京大学 生産技術研究所 第三部 今井研究室）

2.3. 重要インフラストラクチャ防護活動（詳細編）

経済産業省 保安院管轄の電力業界、ガス業界における内閣「重要インフラのサイバーテロ対策に係る特別行動計画」の推進のため、勉強会に講師として参画し た。

2.4. 情報セキュリティ政策支援 （詳細編）

経済産業省の情報セキュリティ政策を支援した。

• OECD セキュリティガイドライン研究会
• 産学連携における情報セキュリティプロフェッショナル育成に関する調査研究

2.5. 他の組織への協力活動 （詳細編）

他の組織によって主導されている、わが国における情報セキュリティ基盤整備活動に協力した。

• 内閣官房情報セキュリティ対策推進室への協力
• 国際標準化活動（ ISO/IEC JTC1/SC27 ）への協力

3. その他 （詳細編）

3.1. 国際交流（詳細編）

情報セキュリティ組織を訪問し、意見交換を行った。また国内で開催された国際会議に出席した。

Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.