平成14年度 活動報告 - 詳細編 -
最終更新日:2003年 6月9日
情報処理振興事業協会
セキュリティセンター
目次
1. 情報セキュリティ対策業務
1.1 情報収集・分析活動
情報収集
セキュリティセンターでは、日々報告されるソフトウェア脆弱性情報、情報セキュリティ関連ニュース等を情報収集した。
届出受理
「ウイルス・不正アクセス対策グループ」は、経済産業省告示に基づいて、コンピュータウイルス発見届出および不正アクセス届出について受理する業務を行った。
実験・技術分析
セキュリティセンターでは、内部のテスト環境において、コンピュータウイルス感染・発病の再現性、ソフトウェア脆弱性攻略の再現性等について実験し、コード解析を含むセキュリティ分析を行った。
情報セキュリティ関連情報の蓄積
セキュリティセンターでは、上記の活動によって収集した情報セキュリティ関連情報を系統的に整理し、電子的に蓄積した。
1.2. 情報発信・啓発活動
1.2.1. 公募による啓発コンテンツ作成
セキュリティセンターは、以下の4つの啓発コンテンツ作成を公募により実施し、成果を公開した。
大規模ユーザとインテグレーターを対象とした啓発コンテンツ
大規模サイトのネットワークにおいては、運用時に膨大な数のエンドユーザすべてに良好な情報セキュリティ対策の実践を期待することは難しいため、ネットワークシステム設計段階において、あらかじめ技術的に情報セキュリティ対策機能をもたせる必要があると考えられている。
大規模サイトの IT 部門が、大規模サイトのネットワークで必要となるセキュリティとその実現方法を正しく理解し、IT 戦略の短期・中期・長期計画の中でのセキュリティ対策導入を検討するための啓発コンテンツを作成・公開することにより、大規模サイトの情報セキュリティの向上に資することを目的とする。
(2) インターネットサーバーの安全性向上策に関する調査(アベイラビリティ確保)
昨今、インターネットサーバーを構成するソフトウェアや、サイトのネットワーク帯域に対して、サービス妨害攻撃等が行われ社会的な問題となっている。サイトの規模に応じて、適切なサービス妨害対策等のアベイラビリティ向上策を確立することが重要性であると考えれれる。
インターネットサーバーに関するハイ アベイラビリティ技術の現状と、その技術開発動向について調査を行い、各サイトの規模に応じた対策構築モデルの明示を含むサイト管理・構築者向け啓発コンテンツの作成を行った。
(トラステッドOS利用とセキュアWebプログラミング)
本調査は、以下の 2つの調査項目からなる。
a) セキュアプログラミングに関する調査
サーバーにおいて、Java言語によるアプリケーションの開発が増加している。Java言語の開発プラットホームの1つであるJava 2 Enterprise Edition(J2EE)を例として、特にインターネットサーバーのアプリケーションを開発する時に注意すべき、セキュアな設計と実装に関するノウハウをまとめた。
平成13年度に作成した「セキュア・プログラミング講座」を発展・拡充するもの。
b) セキュリティ強化OSを利用したインターネットサーバー構築に関する調査
平成13年度に実施した「オペレーティングシステムのセキュリティ機能拡張の調査」の成果を踏まえ、セキュリティ強化OSを用いた、安全性の高いインターネットサーバーを構築するにあたり、理想的な設定・運用方針について具体的なガイドラインとしてまとめた。本ガイドラインには、商用(Trusted Solaris)とフリー(SELinux)のセキュリティ強化OSでの設定・運用の比較を記載することにより、ユーザーの選択の幅を広げることができる。
小規模組織体ユーザおよび個人ユーザを対象とした啓発コンテンツ
(1) SOHO・家庭向けのセキュリティ
平成12年度に「小規模サイト管理者向けセキュリティ対策マニュアル」を作成した。しかし時間の経過に伴って陳腐化してしまった部分があるので改訂することとした。
1.2.2. Web アクセスの状況
(単位:ページビュー)
| 2002年 4月 | 2,498,785 | 2002年 5月 | 3,430,055 | 2002年 6月 | 2,649,042 |
|---|---|---|---|---|---|
| 2002年 7月 | 2,744,544 | 2002年 8月 | 2,096,988 | 2002年 9月 | 1,913,916 |
| 2002年10月 | 2,590,067 | 2002年11月 | 2,256,203 | 2002年12月 | 2,141,141 |
| 2002年 1月 | 2,254,045 | 2002年 2月 | 1,898,238 | 2002年 3月 | 2,174,099 |
1日あたりで最もアクセス数が多かった日は、2002年5月7日(196,239ページビュー)であった。
1.2.3. 情報セキュリティ啓発活動
セキュリティセンターでは、以下のイベントに関して企画・講演を行った。
(1) 情報セキュリティセミナー
2002年10月15日(火)より12月5日(木)までの期間に、全国13ヵ所(東京、仙台、大阪、福岡、熊本、名古屋、新潟、沖縄、広島、金沢、札幌、埼玉および高松)において、のべ16回のセミナーを開催した。これは、各経済産業局との共催によるものである。通算1,719名の参加があった。
(2) IPA Autumn
2002年10月8日(火)より10月9日(水)の2日間、IPA が開催した「IPA Autumn」において、セキュリティセンターは2セッションの講演を行った。合計260名の参加があった。
(3) IPA Winter
2002年1月24日(金)に IPA が開催した「IPA Winter」においては、主テーマに「ユビキタス時代の情報セキュリティ」を掲げた。セキュリティセンターはこのイベントに全面的な支援を行った。セキュリティセンターによる3セッションの講演に合計1,171名の参加があった。
- 講演資料: IPA Winter
(4) IT セキュリティ評価および認証セミナー
合計4回のセミナーを開催した(2002年 7月12日、9月27日、12月6日、2003年1月24日)。通算343名の参加があった。(3.1.4.1 参照。)
(5) CRYPTREC 暗号技術評価報告会(2001年度)
2002年4月16日に通信・放送機構との共催により開催した。300名の参加があった。
1.2.4. 相談対応等
「ウイルス・不正アクセス対策グループ」は、電話・E-mailによる相談対応を行った。また、問い合わせ対応に関して効率化を図るため、以下の公募を行った。
1.3. 「 緊急対策情報」発信業務
セキュリティセンターは、14年度に以下の10件の「緊急対策情報」を発信した。
2. 調査・技術調達業務
2.1. 調査活動
公募により実施した調査が大部分である。公募による調査には、情報セキュリティに関する政策を支援するための調査、社会的実体を把握するための調査、および技術的な調査が含まれる。
2.1.1. 政策を支援するための調査
公募による調査は次のとおり。
(1) OECD情報セキュリティガイドライン見直しに関する調査
2002年は「OECD情報セキュリティガイドライン」について5年ごとの見直しの年であったので、経済産業省による当該ガイドラインの見直しに関する活動を支援する調査を実施した。
(2) 情報セキュリティ監査支援技術の開発(調査)
電子政府について、情報セキュリティ監査の必要性を認識し、関連する調査を実施した。この調査の過程における検討は、経済産業省「情報セキュリティ監査研究会」における電子政府を対象とした部分に反映されている。
(3) 情報セキュリティ監査制度に関する調査
期中に経済産業省において「情報セキュリティ監査研究会」を開催することが決定し、上記の調査に加えて、民間を含む広い視野で支援するための調査を行った。
(4) 情報セキュリティプロフェッショナル育成に関する調査研究
経済産業省における「ITスキルスタンダード政策」と整合する「情報セキュリティプロフェッショナル」についてのスキルマップ作成、人材に関する受給実態調査および人材育成策に関する調査を行った。本活動は、来年度に継続する予定である。
2.1.2. 社会的実体を把握するための調査
公募による調査は次のとおり。
(1) 情報セキュリティの実態に関する調査
毎年度実施している「コンピュータウイルス被害(国内/海外)」と昨年度より実施している「情報セキュリティインシデント」および「セキュリティマネジメント」に関する実態調査を統合して実施した。
(2) 情報セキュリティビジネスに関する調査
一昨年度に実施した「情報セキュリティビジネス」に関する実態調査と同様の調査を、「情報セキュリティ評価」に関するニーズ調査等と統合して実施した。
2.1.3. 技術調査
公募による技術調査は次のとおり。
(1) 本人認証技術の現状に関する調査
本人認証技術及びその周辺技術の現状に関して包括的な調査を行い、個々の技術の関連を明らかにし、それぞれの技術がどのような要求に適用できるかをまとめ、現行の諸システムにおける問題点の指摘と、技術の適用方法に関する提言を行う。
(2) WebDAV システムのセキュアな設定・運用に関する調査
Webを利用した有望な双方向性サービスのひとつとしては、特定のメンバーによって同一の文書を協同して作成できるサービスが考えられるが、それを実現するための技術としてWebDAV(ウェブダブ:Web Distributed Authoring and Versioning)と呼ばれる技術が有望視されている。
セキュアな WebDAVシステムを開発するために必要となるアクセス権管理を中心に、フィジビリティスタディ等を行い、設定方法を総括する等により利用を促進するとともに、今後の技術開発の必要性について調査を行った。
(3) インターネット情報インフラ防護のための技術調査
近年、インターネット基盤システムの重要な構成要素に対して、そのセキュリティ脆弱性を攻略した攻撃やサービス妨害攻撃が行われ、社会的な問題となりつつある。これらの脅威の増大は、いわゆるサイバーテロの可能性および潜在的な影響範囲の拡大を意味している。
インターネットにおける情報通信の要となる情報集合点に関する情報通信技術仕様を分析し、それらの利用状況、脅威に対する影響範囲を技術的根拠に基づいて把握するとともに、講じられるべき運用の改善策および技術開発を要する分野を明らかにした。
(4) オープンソースソフトウェアのセキュリティ確保に関する調査
オープンソースソフトウェア(以下、OSS)の特徴を考慮し、OSSの利用者(SIベンダー等を含む)の立場から、OSS を安全に利用するための技術的項目および方策的項目について調査を実施し、OSS利用者のためのガイドを作成することを目的とした。
この他に、オペレーティングシステムのアクセスコントロールに関する各種セキュリティポリシーモデル等に関する調査を行った。
2.2. 技術調達活動
公募により以下の技術開発を実施した。
今年度採択案件
(1) 電子政府情報セキュリティ相互運用支援技術の開発
我が国の「政府認証基盤(GPKI)」においては、ブリッジCAモデルという「マルチドメイン PKI」が採用されている。マルチドメインPKIにおいては、CAサーバー等の主要な構成要素は複数のベンダーによって提供されて構築される混在環境となる。PKI及びGPKIのアプリケーションを本番環境に近い環境で動作させるための環境と、PKI及びGPKIの相互運用問題の有無・内容を検証するツールが提供されることが求められていた。
(2) Webメールシステムのための S/MIME アプレット開発
Webメールシステムは、通信のプロトコルとしてHTTPを利用している。Webサーバー、Webブラウザ等のソフトウェアは、SSL/TLSに対応しているので、Webメールのシステム構築においても、SSL/TLSを利用して通信路のセキュリティを確保する試みがある。しかし、SSL/TLSの場合、サーバーとクライアントの間におけるHTTP通信を暗号化することができるに留まる。よって、転々と伝達されるメールシステムにおいては、全体の経路の一部において通信を保護しても、残る部分においてセキュリティが確保されない。また、サーバー上においてはクライアントからの暗号化された通信も、復号される。
そこで、S/MIME プロトコルに基づく Webメールシステムを開発し、電子メールメッセージの守秘性を確保できるようにするとともに、真正性を検証可能とするとともに、ICカード等のセキュリティトークンを利用可能とするために開発を行った。これらの機能を、移植性の高いJavaのアプレットと WindowsプラットフォームにおけるJNI(Java Native Interface)の形態で開発した。
(3) アクセス制御機構の機能不全を検出・検証するシステム
日常生活に深く関わるようになってきたWebシステムには、堅牢なセキュリティが求められる。しかし、現実には、アクセス制御機構の機能不全が原因の欠陥を持つシステムが多数存在する実態が指摘されている。このような欠陥が存在した場合、ログイン状態を第三者が横取りする「セッションハイジャック攻撃」を許すこととなり、その結果、個人情報の漏洩や、偽の申請、注文を発行されるといった被害が発生する危険性がある。
このようなアクセス制御機構の欠陥をなくすには、システムの受注者が納品前に欠陥がないことを確認し、また、システムの発注者が納品時の検収作業で欠陥がないことを調査する必要がある。従来、このような確認作業は、セキュリティ監査を専門とする外部業者に委託し、十分な経験を積んだ専門技術者によって、手作業で行われてきた。
本開発においては、ログイン機能を持つWebアプリケーションを対象とし、そのアプリケーションのアクセス制御機構にセキュリティ上の脆弱性が潜在していないかを検知・検証するシステムの開発および、この検査システムの能力を確認するため、意図的にアクセス制御機構に欠陥を作りこんだ評価用デモWebサイトの製作を目的とした。
平成13年度採択・継続案件
(1) タイムスタンプ局と証拠記録局の技術開発
平成13年度タイムスタンプ局とともに開発した証拠記録局である「データ検証・認証サーバ(DVCS :Data Validation and Certification Server)」に対し、未実装であったサービスを追加実装し、電子文書の交流における文書証拠性についてPKIを利用した認証技術を補完する機構を提供する。
電子政府認証基盤(GPKI)などのPKIの実用化に伴い、その上で作成・交換される電子署名文書の妥当性を保証することが必要である。このために、PKIに基づく電子署名、認証技術やタイムスタンプ技術をベースにデータ検証・認証サーバシステムを試作することにより、電子署名文書の妥当性を保証する手段(システム)の実現性を検証した。
(2) 次世代 OpenPGP Public Keyserver(OpenPKSD)
PGP Public Keyserverの運用は、世界各地の鍵管理者コミュニティーのボランティアによって支えられており、インターネットメールのセキュリティの確保に貢献しているが、現在稼動中のPGP Public Keyserverは、最新のOpenPGP規格をサポートできていない。また、超大規模な公開鍵データベースとして、処理効率や管理運用の面で大きな問題を有していたことから、鍵管理者コミュニティーにおいて求められていた新たなPGP Public Keyserverを開発した。
(3) 不正プログラムおよび不正ドキュメントの調査と検索ソフトウェアの開発
平成13年度の開発成果により、不正ファイル検索の基本機能を有す実証実験が可能なプロトタイプを作成し、かつ、検索機能の高速化に対して基礎技術を築いた。平成14年度は、調査研究については不正ファイルのサンプリング作業に重点を置き、技術開発については利便性を向上させた実用的ソフトウェアの完成に重点を置いた。
3. セキュリティ評価・認証活動
3.1. セキュリティ評価・認証制度関連の活動
電子政府のセキュアな基盤構築に資するため2001年 4月に創設された「セキュリティ評価・認証制度」(ISO/IEC15408準拠)の推進・普及啓発、国際的な相互承認協定参加への準備、技術的支援、及び評価技術の調査研究等を実施した。
3.1.1. セキュリティ評価技術調達活動
昨年度に引き続き「電子政府情報セキュリティ技術開発事業」の一環として、下記を調達した。
平成13年度採択・継続案件
ISO国際標準であるセキュリティ評価基準ISO/IEC15408(CC(Common Criteria for Information Technology Security Evaluation)と同等。以下、CCという)に基づくITセキュリティ評価は、セキュリティ評価技法CEM(Common Methodology for Information Technology Security Evaluation)に基づいて実施することが、日本を始め各国ITセキュリティ評価・認証制度において定められている。
しかし、現状のCC及びCEMは主としてIT製品のセキュリティ評価を想定したものであり、実環境で運用されるITシステムへ適用する場合、さまざまな問題が発生する。ISOにおいても運用システムのセキュリティ評定については検討が開始された段階である。
このような背景のもとに進められた本研究開発(3ヵ年)の最終年度である本年度は、今までの成果であるシステム評価技法及び評価用証拠資料の評価・検証を実施し、システムのセキュリティ管理要件基準案、及び評価方式基準案を策定するとともに、システムセキュリティ評価手法としてISO/IEC JTC1 SC27 WG3に提案した。
3.1.2. セキュリティ評価・認証制度の推進活動
(1) 認証事業の技術的調査・支援
政府は、電子政府のセキュアな基盤構築に資するため、評価基準に基づく「セキュリティ評価・認証体制」を2001年度から創設し、運営を開始した。本制度に係る認証機関は、独立行政法人 製品評価技術基盤機構(NITE)が担当し、評価機関の承認、及び評価機関からの評価結果を検証し認証を行う認証事業を実施する。評価機関はベンダ等の申請に基き、セキュリティ評価を実施する。IPAは、NITEの認証事業に係る技術的な調査および支援を行った。
(2) 推進作業部会(WG)
セキュリティ評価・認証制度関係の有識者からなる作業グループ(IPAが事務局)にて、国際的な相互承認参加を視野に入れて、制度・仕組みの再点検を行った。
3.1.3. 調査活動
セキュリティ評価・認証制度に関しては、国際的な相互承認(CCRA)に参加している欧米諸国において進行中である。相互承認参加を視野に入れて、日本で創設された制度運営の参考に供するため、これら主要国における制度、評価技術を調査した。
(1) 第3回ICCC会議および第14回CITSS会議
2002年5月13-17日(カナダ/オタワ)において開催された第3回 ICCC会議(International Common Criteria Conference)、および、第14回CITSS会議(Canadian Information Technology Security Symposium)に参加した。セキュリティ評価・認証制度に関して、国際的な相互承認(CCRA)の動向、最新の評価技術動向、各国政府機関・民間各業界での適用状況等について情報収集及び意見交換を実施した。
(2) 主要国関係機関の調査
先進事例として米国及びカナダの認証機関、評価機関と面談を行い、業務内容(事業規模、組織、要員等)について情報収集及び意見交換を実施した。(2002年5月、9月)
3.1.4. 普及啓発活動
我が国でのセキュリティ評価・認証制度についての認知度は、まだまだ低いのが現状である。この制度を広く普及させ、積極的な利用を促進する為、ホームページ、パンフレット、展示会等による関連情報の提供及び各種セミナーを下記の通り開催した。
3.1.4.1. 「ITセキュリティ評価及び認証セミナー」の開催
ITセキュリティ製品の開発者、調達者をはじめITセキュリティに関心のある方を対象として、概要紹介セミナー(半日、定員100名)を下記の通り開催した。
3.1.4.2. 展示会における展示・講演
IPA Autumn(2002年10月 9日開催)及びIPA Winter(2003年 1月24日開催)において、関連情報の展示、パンフレット配布、情報セキュリティ評価・認証を中心として「情報セキュリティ確保のための規格と制度」の講演を行った。
3.1.4.3. 国際会議における講演
The Open Group Conference in San Francisco, USA(2003年2月3日-7日、サンフランシスコにて開催)において、基調講演「日本の情報セキュリティ−現状と政策−」(2003年2月3日)を行った。
3.2. 情報セキュリティ・アシュアランス関連の活動
ISO/IEC 15408に基づく「セキュリティ評価・認証制度」を補完する多面的な IA (Information Assurance 情報アシュアランス、情報保証:下記<注>参照)の仕組み整備に関する調査研究・検討を実施した。
<注> IA (Information Assurance)について:情報保証 (Information Assurance: IA) は大量の情報を取り扱うための技法で、軍隊などの大きな組織で使用されおり、組織で取り扱う情報が、改変を受けることなく伝送され、計算されるように手段を講じることある。情報セキュリティは、全体的な情報保証(IA)活動の一部 (主要部分であるが) として位置付けており、従来の情報セキュリティという概念をさらに広げたものである。
3.2.1. セキュリティ評価技術調達活動
昨年度に引き続き「電子政府情報セキュリティ技術開発事業」の一環として、下記のものを調達した。
平成13年度採択・継続案件
プロセスアセスメント技術を適用したシステムセキュリティ評価技術の開発
ベンダーの製品開発プロセスにおけるセキュリティ能力を評価する技術・制度(ISO/IEC 21827 SSE-CMM)を確立し、ISO/IEC 15408に基づく製品の評価とSSE-CMMによる開発プロセスの評価をうまく組合せ、補完させることにより、安全性・信頼性の高い電子政府の構築のみならず、日々変化するセキュリティに対する脅威等に対応したシステム保守・運用時における継続的なセキュリティ確保に資することを目的とする。
本年度は、昨年度迄の成果を踏まえ、アセッサ(評価者)育成用ドキュメント(入門コース、訓練コース)及び自らのセキュリティエンジニアリング能力を診断・改善するためにパソコン上でWebブラウザを介して利用できる自己診断用ドキュメントを作成した。
3.2.2. SSE-CMM の調査活動
SSE-CMM の普及団体であるISSEA(International Systems Security Engineering Association)を中心にSSE-CMMに関する技術情報、国際規格化動向等を収集し、わが国における適用の仕組み整備に係る準備・検討活動を行った。
3.2.3. SSE-CMM の普及啓発活動・ISSEA会長との情報交換会(2002年 8月 7日)・IPA Winter(2003年 1月24日開催)において、SSE-CMMの紹介展示を行った。
3.2.4. その他の調査活動
電子政府における幅広い情報セキュリティ保証の検討活動に資するため、情報収集活動を実施した。
(1) GovSec (Government Security)会議(2002年 7月23日〜25日)
米国政府機関の情報及び物理セキュリティに焦点をあてた製品・サービス・ソリューション・ガイドライン等に関する最新情報の収集及び意見交換を実施した。米国NISTやGSA(総務省)等の政府機関が共催。
(2) FIAC (Federal Information Assurance Conference)会議(2002年10月29日〜31日)
IA (Information Assurance 情報アシュアランス)に関する米国政府のサービス・プログラム、最新技術動向、ケーススタディー等について情報収集及び意見交換を実施した。NIST、NSAを含む約10の米国政府機関が共催。
4. 暗号技術調査・評価活動
4.1. 暗号技術評価活動
昨年度に引き続いて、通信・放送機構と共に CRYPTREC (暗号技術評価委員会)活動を実施した。2000年度より実施してきた暗号技術評価の成果として電子政府で利用可能な暗号技術を選定し、それを基に2003年 2月、総務省および経済産業省は電子政府推奨暗号リストを公開した。それに伴い、本リストに掲載された暗号の仕様書一覧をCRYPTRECホームページ上に公開した。
また、電子政府推奨暗号策定のために、国内外の専門家に暗号技術の評価を依頼した評価報告書を公開した。
さらに2002年度の活動報告として、暗号技術評価報告書(2002年度版)を作成、公開すると共に、2003年 5月22日に活動報告会を開催した。
4.2. 暗号技術調査活動
公募により調査・開発主体を採択し
今年度採択案件
(1) 次世代認証基盤技術の調査・開発
現在利用されている電子署名の安全性は、素因数分解や離散対数問題などの計算困難とされている数学的問題の困難性に依拠しており、現時点において、本質的な攻撃方法は、存在していない。しかし、このような計算量的な困難性を仮定した電子署名方式に対し、計算機および計算アルゴリズムの進歩による将来における安全性への不安が指摘されている。
本開発は、長期間の安全性が保障されない既存の「計算量的安全性に基づく電子署名システム」に代わる電子署名システムとして、長期間の安全性が保障された「情報量的安全性に基づく電子署名システム」を提供することを目的とする。
(2) 擬似乱数検証ツールの調査開発
一般に、暗号や電子署名のアルゴリズムにおいては、擬似乱数が広く用いられるため、擬似乱数技術の実装が必要となる。本調査開発では、乱数に関する文献及び評価ツールを調査し、擬似乱数の評価に有効と思われる検定とそうでないものとを分類する。また、各検定法の関連を理論的に解析し、乱数を検定する上で必要最低限な検定法のミニマムセットを求め、求めたミニマムセットを実装した乱数検定ツールを開発することを目的とする。
(3) 素数生成アルゴリズムの調査開発
現在利用されているほとんどの公開鍵暗号技術は、素数の数学的性質にその安全性の基礎をおいている。
素数生成アルゴリズムに関して詳細な調査を行い、それに基づいて、電子政府セキュリティシステムにおける素数生成法の要件についてまとめた。また、それら要件を満たす素数判定・生成機能ならびに素数を実際の暗号鍵に用いた時の安全性を判定する機能を備えた素数生成ライブラリ及び素数生成統合環境を開発した。
(4) 暗号モジュール評価に関する国内ニーズ調査
海外では、既に、米国NISTとカナダCSEが共同で暗号モジュール評価・認証制度(CMVP)を運用しており、暗号アルゴリズムの実装レベルにおけるセキュリティ評価基準が制定されている。
暗号モジュール評価・認証制度の整備を検討するにあたり、暗号モジュールベンダーを対象とした市場規模と評価機関設置に関する費用対効果を十分に把握するため、暗号モジュール評価に関する国内ニーズ調査を実施した。
(5) 暗号アルゴリズムの実装方式とリスク分析に関する調査
暗号技術の実装に関する暗号モジュール評価・認証制度の整備に向けて、米国・カナダで運用されている暗号モジュール評価・認証制度(CMVP:Cryptographic Module Validation Program)と情報セキュリティ評価・認証制度(CC:Common Criteria)の調査を行い、両制度を統合運用する場合の問題点を分析した。また、複数暗号アルゴリズム実装に関するリスク分析を行い、電子政府システムにおいて複数の暗号アルゴリズムを実装する場合のセキュリティ上の影響について調査した。
平成13年度採択・継続案件
署名ソフトウェアの耐タンパー性評価法としてランタイムデータ全数探索による方法、および、それをツールとしてまとめた耐タンパー性評価ツールを開発することで、署名ソフトウエアの耐タンパー性を向上させることを目的とする。署名ソフトウェアの記述言語はモバイルコード記述言語として最も普及が見込まれるJavaとする。
署名ソフトウエアはPKIに基づく電子認証システムの重要な要素であり、本開発は、署名ソフトウエアの耐タンパー性を向上させることで、PKIに基づく電子認証システムの進展を目指すものである。
、その契約者とともに実施した。
5. 国際業務
諸外国の情報セキュリティ関連組織からの情報収集、意見交換し、国際協力の可能性を模索した。:
訪問:
- 米国NIST CSD(Computer Security Division, National Institute of Standards and Technology)
- オーストラリアAusCERT
参加会議:
- GovSec(Government Security)会議(2002年7月23日〜25日)
- FIAC(Federal Information Assurance Conference)会議(2002年10月29日〜31日)
来訪:
- 韓国ETRI(Electronics and Telecommunications Research Institute)
- ドイツ Fraunhofer SIT
参画している国際的団体:
- ISO/IEC JTC1SC27 (国内委員会: 社団法人情報処理学会 情報規格調査会SC27)
- TOG(Active Loss Preventionフォーラム)
- I-4(International Information Integrity Institute)
6. その他の活動
内閣官房情報セキュリティ対策推進室より「セキュリティ強化ソフトウェアのフィージビリティスタディ業務」を請負い、納入した。
また、内閣官房情報セキュリティ対策推進室の専門調査チーム及び緊急対応支援チーム(NIRT)の活動を支援した。