HOME >> 情報セキュリティ >> 事業概要 >> 記事

2003(平成15)年度活動報告 - 詳細編 -

2004年 5月28日

独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

電話番号:03-5978-7501までお問い合わせください。

独立行政法人 情報処理推進機構は2004年1月より独立行政法人となるとともに、 セキュリティセンター(以下 IPA/ISEC)でも、 組織体制を変更しました。

目次

1. 情報セキュリティ対策業務

2. 調査・技術開発業務

3. セキュリティ評価・認証活動

4. 暗号技術調査・評価活動

5. 国際関係業務

6.他組織への協力

7.その他

ページトップへ

1. 情報セキュリティ対策業務

1.1 情報収集・分析活動

1.1.1 届出の受理

経済産業省告示に基づき、コンピュータウイルス発見届出および不正アクセス届出について受理する業務を行った。

届出受付データの充実、実態のより一層の把握のため、届出制度への定常的な届出協力を広く呼びかけ、新規の協力先を加える等し、届出協力体制の強化に努めた。

毎月届出状況をまとめ、報告書を作成しプレス記事の投げ込み発表並びにホームページ等により広く一般に公表している。

なお、ウイルスの 2003 年 4 月〜 2004 年 3 月の期間の届出件数は 21,096 件、不正アクセスの 2003 年 4 月〜 2004 年 3 月の期間の届出件数は 434 件であった。

1.1.2 実験・技術分析

内部のテスト環境において、コンピュータウイルス感染・発病の再現性、ソフトウェア脆弱性攻略の再現性等について実験し、コード解析を含むセキュリティ分析を行った。

また、ネットワーク観測システムによる継続的な情報の収集・分析を行い、状況把握に活用した。

1.1.3 公開情報の収集

日々報告されるソフトウェア脆弱性情報、情報セキュリティ関連ニュース等に関して情報収集を行った。

1.1.4 情報セキュリティ関連情報の蓄積

セキュリティセンターでは、上記活動により収集した情報セキュリティ関連情報を系統的に整理、電子的に蓄積し、情報の分析や発信等、日々の業務に活用した。

1.2 情報発信・普及啓発活動

1.2.1 緊急対策情報、注意喚起 等の提供

新種ウイルス情報 、脆弱性情報並びにネットワーク観測状況などの情報提供を行い、更に緊急時に於いては緊急対策情報を提供する等、普及啓発に努めた。

2003 年度は、以下 10 件の「緊急対策情報」を発信した。

緊急対策情報
  • Windows のメッセンジャサービスの脆弱性について (10 月 21 日 )
  • Microsoft Exchange Server の脆弱性について (10 月 23 日 )
  • Windows Workstation サービスの脆弱性について (11 月 13 日 )
  • PKI における RFC 3280 の UTF8String 問題についての注意喚起 (12 月 3 日 )
  • 「W32/Mydoom」ウイルスに関する情報(1月29日)
  • マイクロソフト社のASN.1 ライブラリの脆弱性について(2月16日)
  • 新種ワーム「W32/MSBlaster」に関する情報(8月12日) (2月25日)
  • Pingパケットを放つ新種ワーム「W32/Welchia」に関する情報(8月19日) (2月25日)
  • 「W32/Netsky」ウイルスの亜種に関する情報(3月 3日)
  • 「W32/Netsky」ウイルスの亜種 (Netsky.Q) に関する情報(3月29日)

また、新種ウイルス、脆弱性に関して注意喚起を行った。特に、新規に発見された脆弱性情報については、継続的な情報発信を行った。

新種ウイルス情報
  • W32/Fizzer(5 月 14 日 )
  • W32/Bugbear の亜種 (6 月 9 日 )
  • W32/Sobig の亜種 (Sobig.F)(8 月 22 日 )
  • W32/Swen(9 月 22 日 )
  • W32/Sobig の亜種(別名: W32/Palyh ) (5 月 28 日 )
  • W32/Mimail の亜種 (12 月 3 日 )
  • W32/Bagle(1 月 21 日 )
  • W32/Mydoom(1 月 29 日 )
  • W32/Bagle の亜種 (2 月 18 日 )
  • W32/MSBlaster (8 月 12 日 ) (2 月 25 日 )
  • W32/Welchia(8 月 19 日 ) (2 月 25 日 )
  • W32/Netsky の亜種 (3 月 3 日 )
  • W32/Bagle の新しい亜種 (3 月 22 日 )
脆弱性に関する注意喚起
  • Linux カーネルに、 root 権限を奪われる脆弱性( 1 月 6 日)
  • Cisco 製品の H.323 メッセージ処理に脆弱性 ( 1 月 14 日)
  • MDAC 機能のバッファオーバーランの脆弱性 (MS04-003) ( 1 月 14 日)
  • Symantec の Norton Internet Security および Norton Antispam に脆弱性( 3 月 22 日)など
1.2.2 相談対応

ウイルス、不正アクセス、その他情報セキュリティに関する様々な問い合わせにつき、電話・電子メールによる相談対応を行った。 2003 年度は約 18,000 件について対応した。

また、問い合わせ対応に関する効率化を図るために、システム化の範囲・要件等を整理し、次年度に予定する開発の準備を行なった。

1.2.3 セミナー・講演

情報セキュリティ対策に関し、次のイベントの企画・協力にあたった。

  • 情報セキュリティセミナー

    2003 年 10 月 8 日 ( 水 ) より 10 月 30 日 ( 木 ) までの期間に、全国 8 ヵ所(札幌、仙台、大阪、名古屋、松山、埼玉、福岡および岡山)において、計 8 回のセミナーを開催した。これは、各経済産業局との共催によるものである。通算 1,156 名の参加があった。

  • IPA Autumn

    2003年9月29日(月)より 9月30日(火)の 2 日間、 IPA が開催した「IPAX Autumn 2003」においては、パネル展示を行った。

  • IPA Winter

    2004年1月 21日(水)に IPA が開催した「IPAX Winter 2004」において、セキュリティセンターで行った開発 4 テーマについて実施者に協力を依頼し、展示を行った。

  • IT セキュリティ評価及び認証セミナー

    2003年 7月 11日、 9月 26日、 12月12日、 2004年2月27日の計 4 回開催し、合計 259 名の参加があった。 3.1.3.1 参照。

  • CRYPTREC 暗号技術評価報告会 (2002 年度 )

    2003年5月22日(木)に通信・放送機構との共催により開催し、 250名の参加があった。 暗号技術評価報告会 (2002年度) 開催報告

1.3 脆弱性情報取扱い関連業務

1.3.1 「情報システム等の脆弱性情報の取扱いに関する研究会」の運営

情報システムを構成するソフトウェアの脆弱性に起因するインシデントの発生が後を絶たない状況に対処するため、「情報システム等の脆弱性情報の取扱いに関する研究会」を設置した。当該研究会およびその 2 つのワーキンググループにおいて、脆弱性情報の届出から公表に至るまでの包括的な脆弱性情報の取扱いプロセスを検討し、 IPA が脆弱性情報の届出受付、分析、開示等を実施することなどを盛り込んだ報告書をとりまとめた。

2003 年度に研究会は準備会を含め 4 回、ワーキンググループはそれぞれ 4 回を開催した。

1.3.2 同業務に関する体制の整備

脆弱性分析を行うための体制として「情報セキュリティ技術ラボラトリー」を 2004 年 1 月に設置し、 2004 年度以後の活動本格化のための計画の立案、業務手順等の検討にあたった。

ページトップへ

2 調査・技術開発業務

2.1 調査活動

公募および随意契約により調査を実施した。これら調査には、情報セキュリティに関する政策を支援するための調査、社会的実態を把握するための調査及び技術的な調査が含まれる。またその他に、戦略的な観点による調査も実施した。

2.1.1 政策を支援するための調査

公募による調査は、次のとおり。

(1) 各国バイオメトリクスセキュリティ動向の調査

バイオメトリクス認証応用は、オープンな環境におけるセキュリティ技術として変貌しつつある。このような状況にあって、バイオメトリクス技術に関する標準化の重要性は、相互運用可能性の確保や、調達判断等を睨んだ認証精度の評価方法の確立といった観点から、より高まっている。また、国内事情に合せた法整備、利用者にバイオメトリクス認証の本質を理解してもらい安心して利用してもらうための施策展開、現状製品の技術レベルおよび将来動向を的確に把握した上での政策展開の重要性も増している。

国際的なバイオメトリクス標準化活動および関連技術の普及に活用するため、 バイオメトリクス関連政策に関する先進国および我が国における最新動向を調査し比較検討を加えた。また、主要製品の現状および将来動向に関しても総合的な検討・分析を行い、 わが国におけるバイオメトリクスセキュリティ関連政策のあり方について提言した。

2.1.2 社会的実態を把握するための調査

公募による調査は、次のとおり。

(1) 国内・海外におけるコンピュータウイルス被害状況調査

最新のコンピュータウイルス関連の被害実態及び対策の実施状況を把握し、コンピュータウイルス対策を推進するために、毎年度実施している「コンピュータウイルス被害(国内/海外)」を行った。

国内は全国の 4,000 事業所及び 1,000 自治体を、海外は米国、ドイツ、韓国、台湾、オーストラリアの 5 カ国において、各国 5,000 事業所を対象とし、 2003 年 1 年間にウイルスに感染または発見した状況、ウイルスの名称、種類数、ウイルス対策ソフトの導入状況、管理体制などを調査した。また IPA が作成したウイルス被害額算出モデルに基づき、 2003 年 1 年間の国内のウイルス感染による被害総額を推計した。

この他に、「情報セキュリティスキルマップ構築の調査研究」、急速に感染を拡大した「 W32/MSBlaster 及び W32/Welchi ウイルス被害に関するアンケート調査」等の調査を行った。

2.1.3 技術的調査

公募による調査は、次のとおり。

(1) 携帯電話Java 環境におけるセキュリティ技術に関する調査

携帯電話端末は、 Java アプリケーションの動作環境を備える等の高機能化を続けており、それらを活用したさまざまなサービスが提供されている。携帯電話端末におけるセキュリティ課題としては、登録されたメールアドレス・電話番号等の情報資産の保護がある。さらに、高機能化や新サービスの提供によって、個人認証のための情報や決済に関係する情報等、保護対象とすべき情報が今後ますます増えることが予想できる。

携帯電話端末におけるセキュリティ設計の観点から、携帯電話用 Java の動作環境におけるセキュリティ確保の状況について調査し、携帯電話端末を使ったアプリケーション開発の場面等で、セキュリティに関する危険を事前に回避するための情報を提供した。

(2) セキュアプロトコルに対する攻撃法等に関する技術調査

将来のセキュアプロトコルの安全性評価に資する基礎的調査として、主要なセキュアプロトコルである SSL/TLS 、 IPsec 、 SSH についての既知の攻撃法の網羅的な調査、ならびに SSL/TLS についてフォーマルメソッドを用いた検証を実施した。

セキュアプロトコルに対する既知の攻撃の全体像が把握され、 形式手法による理論的な安全性評価手法によってカバーできる領域について一定の見通しが得られた。

(3) タイムスタンプ ・プロトコルに関する技術調査

タイムスタンプについての重要性は認識されつつあるが、まだ、実際に広く利用される段階には至っていない。その原因として、まだ安定したサービスが立ち上がっていないことに加え、どのような場合にタイムスタンプを必須とするか、またどのように利用するか、またタイムスタンプ・トークンをどのように検証するかに関して、技術者の間に理解が進んでいないことにも一因があると考えられる。

タイムスタンプ技術の利用、および、タイムスタンプ関連アプリケーションの開発に資する技術情報として、タイムスタンプ技術の理解と活用のためのガイドラインとなる解説、タイムスタンプ・プロトコル実装クライアントソフトウェアについての相互運用可能性テスト仕様を示した。

(4) セキュリティAPI に関する技術調査

セキュリティ関連の API を利用するアプリケーション開発者に向けに技術的なガイダンス情報を提供するものである。数多く提供されているセキュリティ API に関する一律的な概要紹介にとどまらず、最新の技術動向を踏まえ、開発に直接役立つ情報を調査整理し、具体例としてサンプルコードを示した。

(5) 高トラフィック観測・分析法に関する技術調査

インターネット上のネットワークシステムへの各種サービス妨害攻撃( DoS 攻撃)の脅威は、基本的にはトラフィックの流量に対する不正な操作に起因する。これらの脅威への対処は、トラフィック量を管理する機構における制御対象の量の検出と診断の問題としてとらえることができる。

トラフィックの計測・分析技術に関し、その理論的な背景に基づいて、実証実験および事例研究の成果を踏まえた展望を報告した。

(6) 未知ウイルス検出技術に関する調査

従来の手法とは異なるアプローチによる未知ウイルス検出技術について、技術開発の現状を把握するとともに、有効な検出手法の分析・検討を行った。

初めに、発表された論文や技術情報を元に技術開発の現状を調査し、手法について分類比較等に基づいた分析を行い、さらに、この分析を基に未実現のウイルス検出技術についても検討を行い、プロトタイプ方式の提案と評価実験を行った。

2.2 技術開発活動

公募により以下の技術開発を実施した。

(1) セキュアなデー タ転送のためのS/MIME Web サービスの開発

インターネットにおいて、電子メールメッセージに「エンド to エンド」の安全性を付与する S/MIME プロトコル仕様が要求する処理を実現するために、サーバー側のソフトウェア( Java サーブレット)として実装した。
S/MIME 処理をサーバー側で代理処理する機構を SOAP の Web サービスとして開発したことによって、クライアントのアプリケーション(メーラー)に対して密な結合を要求せずに、柔軟に分散処理を連携することができるようになっている。 したがって、クライアントのアプリケーション(メーラー)としては、 Web メールサーバーを通じて、携帯電話や PDA 等を想定することができる。

本プロジェクトにおいては、この S/MIME Web サービスを利用するクライアントとして、 S/MIME 対応の Web メールシステムもサンプルとして開発した。

(2) アクセス制御機構を有するセキュアWebDAV の開発

インターネットで広く使われる HTTP 通信プロトコルを拡張した WebDAV は、遠隔地の複数のユーザによる文書の協調作成や共有のための技術として注目されている。

本開発では、 WebDAV の基本プロトコル仕様では定義されていないアクセス制御機構として、大規模システムのアクセス制御メカニズムとして注目されるロールベース・アクセス制御( RBAC )を適用した、セキュアな WebDAV システムの設計と実装を行った。

(3) SELinux セキュリティ支援プログラムの開発

Security-Enhanced Linux(SELinux) は、 Linux をベースとした B1 レベル相当のセキュア OS で、きめ細かなアクセス制御をサポートしている。その反面、セキュリティポリシーの設定は複雑で、設定を変更・追加するには通常のテキストエディタを用いて行うしかない。また、ポリシーの設定内容の確認や SELinux が出力するログを解析するアプリケーションも整備されておらず、これらが SELinux の普及の足かせになっているのではないかと危惧される。

本プロジェクトでは、セキュリティポリシーの設定を容易に行うための「セキュリティポリシー設定ツール」、 SELinux が出力するログを解析する「セキュリティログ解析ツール」、セキュリティポリシーの設定内容を監査する「セキュリティ監査ツール」を開発した。

この他に、 2002 年度に開発した「 PKI 相互運用テストスィート」に別途実施した「タイムスタンププロトコルに関する技術調査」を反映させる「『 PKI 相互運用テストスィート』への機能追加開発および関連調査」を実施した。

ページトップへ

3 セキュリティ評価・認証活動

3.1 セキュリティ評価・認証制度関連の活動

電子政府のセキュアな基盤構築に資するため 2001 年 4 月に創設された「セキュリティ評価・認証制度」( ISO/IEC 15408 準拠)の推進・普及啓発、国際的な相互承認参加への準備、技術的支援、及び評価技術の調査研究等を実施した。

本制度に係る評価機関はベンダー等の申請に基づきセキュリティ評価を実施する。認証機関は、評価機関の承認、及び評価機関からの評価結果を検証し認証を行う認証事業の実施にあたる。

日本は 19 番目の CCRA 参加国として、 2003 年 10 月 31 日に参加し、 2003 年 12 月の相互承認協定( CCRA )の国際会議において、 2004 年 4 月に認証機関が製品評価技術基盤機構( NITE )から IPA に移管されることが正式に承認された。

3.1.1 セキュリティ評価・認証制度の推進
3.1.1.1 推進作業部会( WG )の運営

セキュリティ評価・認証制度関係有識者からなる作業グループについて事務局運営にあたり、国際的な相互承認を視野に入れた、制度・仕組みの再点検を行った。

3.1.1.2 認証業務移管に伴う準備作業

認証業務の移管に伴い、 2004 年 4 月からの業務実施に必要な準備を行った。また、 2 月末から 3 月初旬に業務移管に関する関係者への説明会を 2 回実施した。

3.1.2 調査活動

IPA は、NITE の認証事業に係る技術的な調査および支援を行った。

2003 年 9 月、国際会議 ICCC(International Common Criteria Conference) に参加し、セキュリティ評価・認証制度に関して、国際的な相互承認協定 CCRA の動向、最新の評価技術動向、各国政府機関・民間各業界での適用状況等について情報収集及び意見交換を実施した。会議のあと、自国の制度を立上げ準備中のスウェーデンの認証機関、フランス及びオランダの評価機関を訪問し、情報交換及び先進事例としてICカードの評価方法等に関してヒアリング調査した。

また、 2004 年 3 月英国及びドイツの認証機関を訪問し、認証業務の有料化等に関する調査を行うと共に、 2005 年に日本で開催が予定されている国際会議( ICCC: International Common Criteria Conference )主催についての予備的調査を行った。

3.1.3 普及啓発活動

わが国におけるセキュリティ評価・認証制度に関する認知度の向上を図るため、ホームページ、パンフレット、展示会等による関連情報の提供及び各種セミナーを下記の通り開催した。

3.1.3.1 「IT セキュリティ評価及び認証セミナー」の開催

IT セキュリティ製品の開発者、調達者をはじめ IT セキュリティに関心のある人を対象として、 NITE と共催で「 IT セキュリティ評価・認証セミナー」(定員 100 名)を下記 4 回開催し、制度の意義及び概要、評価基準 (ISO/IEC 15408) 、手続き、評価作業の実際について紹介を行った。

  • 2003 年 7 月 11 日(東京)
  • 2003 年 9 月 26 日(大阪)
  • 2003 年 12 月 12 日(東京)
  • 2004 年 2 月 27 日(東京)
3.1.3.2 講演

総務省主催政府調達者向けセミナー( 9 月)、情報セキュリティセミナー( 10 月)等においてセキュリティ評価・認証制度の説明・紹介を行った。

3.1.3.3 配布

セキュリティ評価・認証制度を平易に説明したプロモーション CD-ROM (ナレーション付スライド)を作成し、セミナー、展示会及び関係機関(評価機関など)を通じて配布を行った。

3.2 情報セキュリティ・アシュアランス関連の活動

ISO/IEC 15408 に基づく「セキュリティ評価・認証制度」を補完する多面的な IA (Information Assurance 情報アシュアランス、情報保証:下記<注>参照 ) の仕組み整備に関する調査研究・検討を実施した。

<注>
IA (Information Assurance) について:情報保証 (Information Assurance: IA) は大量の情報を取り扱うための技法で、軍隊などの大きな組織で使用されおり、組織で取り扱う情報が、改変を受けることなく伝送され、計算されるように手段を講じることある。情報セキュリティは、全体的な情報保証 (IA) 活動の一部 ( 主要部分であるが ) として位置付けており、従来の情報セキュリティという概念をさらに広げたものである。

3.2.1 セキュリティ評価技術調達活動

「電子政府情報セキュリティ技術開発事業」の一環として、下記を実施した。

(1) 定量的セキュリティ測定 手法および支援ツールの開発

システムの開発及び運用プロセスにおけるセキュリティ対策の実施度合いを「定量的な尺度」(メトリックス)で評価することにより、総合的なセキュリティ水準を向上(確保・維持・監査)し、信頼性の高い電子政府の構築及び運用に資するため、定量的セキュリティ測定手法及びデータ収集解析支援ツールを開発した。

3.2.2 SSE-CMM に関する調査・普及啓発活動

組織のセキュリティに関するシステムの開発・運用プロセスの(遂行)能力評価規格(国際基準 ISO/IEC 21827 SSE-CMM : Systems Security Engineering - Capability Maturity Model )の普及団体である ISSEA ( International Systems Security Engineering Association )を中心に SSE-CMM に関する技術情報等を収集すると共に、「定量的な尺度」(メトリックス)について、 ISSEA のメトリックス WG との連携を通じて、より適切な定量的な測定尺度の検討に寄与した。

3.2.3 その他調査活動

電子政府における幅広い情報セキュリティ保証の検討活動に資するため、情報収集活動を実施した。

1) GovSec (Government Security) 会議( 2003 年 7 月)
米国政府機関の情報及び物理セキュリティに焦点をあてた製品・サービス・ソリューション・ガイドライン等に関する最新情報の収集及び意見交換を実施した。米国 NIST や GSA (総務省)等の政府機関が共催。

2) FIAC (Federal Information Assurance Conference) 会議( 2003 年 10 月)
IA (Information Assurance 、情報アシュアランス ) に関する米国政府のサービス・プログラム、最新技術動向、ケーススタディー等について情報収集及び意見交換を実施した。 NIST 、 NSA を含む約 10 の米国政府機関が共催。

ページトップへ

4 暗号技術調査・評価活動

4.1. CRYPTREC(暗号技術評価プロジェクト)の運営

昨年度に引き続いて、通信・放送機構と共に CRYPTREC (暗号技術評価プロジェクト)活動を実施した。

2003 年度は、暗号技術監視委員会とその下部組織の暗号技術調査 WG 、及び暗号モジュール委員会を新たに設置し、リストに掲載された暗号技術の安全性を継続的に確認するとともに、暗号モジュールの安全性確保を目的として、暗号モジュールの評価基準・試験基準の調査検討を行う等にあたり、当該年度の活動を取りまとめた報告書を作成した。また、総務省と経済産業省が運営する暗号技術検討会において 2003 年度活動報告を行った。

  • 暗号技術監視委員会( 2 月 10 日)
  • 暗号技術調査 WG ( 2 月 2 日)
  • 暗号モジュール委員会( 1 月 16 日、 2 月 13 日)
  • 報告書作成(〜 3 月)
  • 暗号技術検討会(総務省、経済省)において活動報告( 3 月 23 日)

4.2. 暗号技術に関する監視活動

電子政府推奨暗号リスト掲載の暗号技術等に関する継続的な監視を行うとともに、下記の国際学会に参加し、最新の研究動向を調査分析した結果を、暗号技術監視委員会及び暗号技術検討会で報告した。

また、 FSE2004 において、日本で開発された電子政府推奨暗号に対する構造的な欠陥を指摘する発表が行われたが、 CRYPTREC での評価結果を引用して、安全である旨の反論を行った。

  • Fast Software Encryption 2004(FSE2004) への参加( 2 月)
  • TCC2004 、 RSA2004 、 PKC2004 への参加( 2 月)

4.3. 暗号モジュールの安全性確保に関する活動

4.3.1 暗号モジュールの評価基準及び試験基準の作成

米国 NIST は、カナダの CSE と共同で、 CMVP ( Cryptographic Module Validation Program )という暗号技術を実装レベルで評価・認証する制度を運用している。

世界的に見ても、現在のところ、暗号モジュールの評価に関して参照可能なものは、米国政府調達基準である FIPS 140-2 及びその試験基準である DTR ( Derived Test Requirements for FIPS PUB 140-2 )だけであり、これら 2 つの資料をベースに、わが国において適用可能な基準を検討し、そのプロトタイプ版を作成した。 さらに、「電子政府情報セキュリティ技術開発事業」の一環として行った下記開発により、暗号モジュール評価ツールの技術仕様およびプロトタイプ版を作成した。

また、米国とカナダは FIPS 140-2 をベースに、暗号モジュールに対するセキュリティ要件の国際標準化を ISO/IEC に提案し、第 1 フェーズとして、 FIPS 140-2 をなるべくそのまま生かす形で標準化する方向で検討が進んでいる。この規格のドラフト第 1 版に対して、昨年、 IPA 及び ISO/IEC JTC1 SC27 国内委員会を中心にわが国のコメントを取りまとめ、 1 月発行のドラフト第 2 版でその意見が反映された。

(1) 暗号モジュール検証ツールのための技術仕様の開発

本調査開発は,電子政府推奨暗号などの検証方法を定め,検証機関の早期立ち上げに貢献するものとして (1) 暗号アルゴリズムが実装された暗号モジュールが,暗号アルゴリズムの仕様書通りに実装されているかどうかを検証するための方法の検討, (2) 実際に検証を行うための“検証ツール”の仕様作成, (3) “検証ツールプロトタイプ”の開発,を行った。

4.3.2 評価用標準プラットフォームの開発準備

暗号処理装置の実行時の漏洩情報、すなわち、外部から計測可能な情報(例えば、計算時間や電力消費量など)等の情報を利用して、秘密情報の解析を行う様々な攻撃手法が近年提示されている。現在の FIPS 140-2 には、これらの攻撃に対する基準は規定されていないが、特に IC カードに対しては、大きな脅威となりうることが報告されており、数年後には規格の中に取り込まれる可能性が高い。この領域に関しては、わが国において主体的に技術研究を行い、成果を国際標準に反映することが求められている。

従来、この種の研究結果についてオープンな議論が行われることは少なかった。評価基準の策定および研究開発の活性化にあたっては、同一環境で実験を行った結果についてオープンに議論可能な、評価用の標準プラットフォーム環境の構築が急務である。

今年度は、標準プラットフォームの要求仕様を決定した。

4.3.3 「情報セキュリティと VLSI 技術に関する研究会」の設置・運営

暗号モジュールに対する攻撃法およびその対策の検討にあたっては LSI 動作解析技術分野の知識が必須となる。同分野と暗号分野の研究者・技術者との相互理解の醸成、人脈形成、技術課題の明確化及び共同研究の設定を目的に、「情報セキュリティと VLSI 技術に関する研究会(仮称)」を設置し、第 1 回の合同ワークショップを 3 月 29 日に東京大学において開催した。

ページトップへ

5 国際関係業務

諸外国の情報セキュリティ関連組織からの情報収集と意見交換を行い、情報セキュリティに関する国際的な連携のための関係構築に努めた。 :

訪問:

来訪:

参画している国際的団体:

  • ISO/IEC JTC1 SC27 (国内委員会: 社団法人情報処理学会 情報規格調査会 SC 27)

TOG (The Open Group) Security フォーラム

ページトップへ

6 他組織への協力

標準化活動への参加 :

情報セキュリティマネジメントガイドラインの標準化を検討する ISO/IEC JTC1/SC27/W1 国内委員会において国内産業界の意見集約を行う作業で主導的な役割を果たし、国際会合に参画して日本のコメントが採択された。

暗号アルゴリズムの標準化を検討する ISO/IEC JTC1/SC27/W2 国内委員会において 2004 年 4 月のシンガポール会合に向け、ドラフトに対するテクニカルコメント作成等の準備を行った。

関係機関との協力・連携 :

内閣官房情報セキュリティ対策推進室の専門家チーム及び緊急対応支援チーム( NIRT )の活動を支援した。

委員会・研究会等への参加 :

  • 情報セキュリティ総合戦略策定研究会
  • 情報セキュリティ教育研究会
ページトップへ

7 その他

当IPA/ISECのWeb サイトアクセス状況:

(単位:ページビュー)

2003年 4月 2,083,708 2003年 5月 2,163,610 2003年 6月 1,767,762
2003年 7月 1,765,213 2003年 8月 2,951,245 2003年 9月 2,139,308
2003年10月 2,125,527 2003年11月 1,729,220 2003年12月 1,652,418
2004年 1月 1,510,088 2004年 2月 1,547,545 2004年 3月 1,670,900

2003年度中最も高いアクセスがあった日は、 2003 年 8 月 14 日の 276,727 ページであった。

ページトップへ