2003(平成15)年度活動報告
2004年 5月28日
独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)
独立行政法人 情報処理推進機構は2004年1月より独立行政法人となるとともに、 セキュリティセンター(以下 IPA/ISEC)でも、 組織体制を変更しました。
目次
1. 情報セキュリティ対策業務
- 1.1 情報収集・分析活動
- 1.2 情報発信・普及啓発活動
- 1.3. 脆弱性情報取扱い関連業務
2. 調査・技術開発業務
- 2.1 調査活動
- 2.2 技術開発活動
3. セキュリティ評価・認証活動
- 3.1. セキュリティ評価・認証制度関連の活動
- 3.2. 情報セキュリティ・アシュアランス関連の活動
4. 暗号技術調査・評価活動
- 4.1. CRYPTREC (暗号技術評価プロジェクト)の運営
- 4.2. 暗号技術に関する監視活動
- 4.3. 暗号モジュールの安全性確保に関する活動
5. 国際関係業務
6.他組織への協力
7.その他
1. 情報セキュリティ対策業務(詳細編)
1.1 情報収集・分析活動 (詳細編)
情報収集
セキュリティセンターでは、日々報告されるソフトウェア脆弱性情報、情報セキュリティ関連ニュース等を情報収集した。
届出の受理
経済産業省告示に基づき、コンピュータウイルス発見届出および不正アクセス届出について受理する業務を行った。
届出受付データの充実、実態のより一層の把握のため、届出制度への定常的な届出協力を広く呼びかけ、新規の協力先を加える等し、届出協力体制の強化に努めた。
毎月届出状況をまとめ、報告書を作成しプレス記事の投げ込み発表並びにホームページ等により広く一般に公表している。
なお、ウイルスの 2003 年 4 月〜 2004 年 3 月の期間の届出件数は 21,096 件、不正アクセスの 2003 年 4 月〜 2004 年 3 月の期間の届出件数は 434 件であった。
実験・技術分析
内部のテスト環境において、コンピュータウイルス感染・発病の再現性、ソフトウェア脆弱性攻略の再現性等について実験し、コード解析を含むセキュリティ分析を行った。
また、ネットワーク観測システムによる継続的な情報の収集・分析を行い、状況把握に活用した。
公開情報の収集
日々報告されるソフトウェア脆弱性情報、情報セキュリティ関連ニュース等に関して情報収集を行った。
情報セキュリティ関連情報の蓄積
セキュリティセンターでは、上記活動により収集した情報セキュリティ関連情報を系統的に整理、電子的に蓄積し、情報の分析や発信等、日々の業務に活用した。
1.2 情報発信・普及啓発活動 (詳細編)
緊急対策情報、注意喚起 等の提供
新種ウイルス情報 、脆弱性情報並びにネットワーク観測状況の提供などの情報提供を行い、更に緊急時に於いては緊急対策情報を提供する等、普及啓発に努めた。
2003 年度は、10 件の「緊急対策情報」を発信した。
また、新種ウイルス、脆弱性に関して注意喚起を行った。特に、新規に発見された脆弱性情報については、継続的な情報発信を行った。
相談対応
ウイルス、不正アクセス、その他情報セキュリティに関する様々な問い合わせにつき、電話・電子メールによる相談対応を行った。 2003 年度は約 18,000 件について対応した。
また、問い合わせ対応に関する効率化を図るために、システム化の範囲・要件等を整理し、次年度に予定する開発の準備をなった。
セミナー・講演
情報セキュリティ対策に関し、5つのイベントの企画・協力にあたった。
1.3 脆弱性情報取扱い関連業務 (詳細編)
「情報システム等の脆弱性情報の取扱いに関する研究会」の運営
情報システムを構成するソフトウェアの脆弱性に起因するインシデントの発生が後を絶たない状況に対処するため、「情報システム等の脆弱性情報の取扱いに関する研究会」を設置した。当該研究会およびその 2 つのワーキンググループにおいて、脆弱性情報の届出から公表に至るまでの包括的な脆弱性情報の取扱いプロセスを検討し、 IPA が脆弱性情報の届出受付、分析、開示等を実施することなどを盛り込んだ報告書をとりまとめた。
2003 年度に研究会は準備会を含め 4 回、ワーキンググループはそれぞれ 4 回を開催した。
同業務に関する体制の整備
脆弱性分析を行うための体制として「情報セキュリティ技術ラボラトリー」を 2004 年 1 月に設置し、 2004 年度以後の活動本格化のための計画の立案、業務手順等の検討にあたった。
2 調査・技術開発業務 (詳細編)
2.1 調査活動 (詳細編)
公募および随意契約により調査を実施した。これら調査には、情報セキュリティに関する政策を支援するための調査、社会的実態を把握するための調査及び技術的な調査が含まれる。またその他に、戦略的な観点による調査も実施した。
今年度の公募による調査は以下のとおり。
政策を支援するための調査
社会的実態を把握するための調査
この他に、「情報セキュリティスキルマップ構築の調査研究」、急速に感染を拡大した「 W32/MSBlaster 及び W32/Welchi ウイルス被害に関するアンケート調査」等の調査を行った。
技術的調査
2.2 技術開発活動(詳細編)
公募により以下の技術開発を実施した。
この他に、 2002 年度に開発した「 PKI 相互運用テストスィート」に別途実施した「タイムスタンププロトコルに関する技術調査」を反映させる「『 PKI 相互運用テストスィート』への機能追加開発および関連調査」を実施した。
3 セキュリティ評価・認証活動 (詳細編)
3.1 セキュリティ評価・認証制度関連の活動 (詳細編)
電子政府のセキュアな基盤構築に資するため 2001 年 4 月に創設された「セキュリティ評価・認証制度」( ISO/IEC 15408 準拠)の推進・普及啓発、国際的な相互承認参加への準備、技術的支援、及び評価技術の調査研究等を実施した。
本制度に係る評価機関はベンダー等の申請に基づきセキュリティ評価を実施する。認証機関は、評価機関の承認、及び評価機関からの評価結果を検証し認証を行う認証事業の実施にあたる。
日本は 19 番目の CCRA 参加国として、 2003 年 10 月 31 日に参加し、 2003 年 12 月の相互承認協定( CCRA )の国際会議において、 2004 年 4 月に認証機関が製品評価技術基盤機構( NITE )から IPA に移管されることが正式に承認された。
3.1.1 セキュリティ評価・認証制度の推進
- 推進作業部会( WG )の運営
- 認証業務移管に伴う準備作業
3.1.2 調査活動
NITE の認証事業に係る技術的な調査および支援を行った。
- 国際会議 ICCC(International Common Criteria Conference) 参加
- 英国及びドイツの認証機関 訪問
3.1.3 普及啓発活動
- 「 IT セキュリティ評価・認証セミナー」の開催
- 主要国関係機関の調査
3.1.4 普及啓発活動
- 「IT セキュリティ評価及び認証セミナー」の開催
- セミナーによる講演
- プロモーション CD-ROM (ナレーション付スライド)配布
3.2 情報セキュリティ・アシュアランス関連の活動 (詳細編)
ISO/IEC 15408 に基づく「セキュリティ評価・認証制度」を補完する多面的な IA (Information Assurance 情報アシュアランス、情報保証) の仕組み整備に関する調査研究・検討を実施した。
3.2.1 セキュリティ評価技術調達活動
3.2.2 SSE-CMM に関する調査・普及啓発活動
3.2.3 その他調査活動
電子政府における幅広い情報セキュリティ保証の検討活動に資するため、情報収集活動を実施した。
4 暗号技術調査・評価活動 (詳細編)
4.1. CRYPTREC(暗号技術評価プロジェクト)の運営 (詳細編)
昨年度に引き続いて、通信・放送機構と共に CRYPTREC (暗号技術評価プロジェクト)活動を実施した。
2003 年度は、暗号技術監視委員会とその下部組織の暗号技術調査 WG 、及び暗号モジュール委員会を新たに設置し、リストに掲載された暗号技術の安全性を継続的に確認するとともに、暗号モジュールの安全性確保を目的として、暗号モジュールの評価基準・試験基準の調査検討を行う等にあたり、当該年度の活動を取りまとめた報告書を作成した。また、総務省と経済産業省が運営する暗号技術検討会において 2003 年度活動報告を行った。
4.2. 暗号技術に関する監視活動 (詳細編)
電子政府推奨暗号リスト掲載の暗号技術等に関する継続的な監視を行うとともに、下記の国際学会に参加し、最新の研究動向を調査分析した結果を、暗号技術監視委員会及び暗号技術検討会で報告した。
また、 FSE2004 において、日本で開発された電子政府推奨暗号に対する構造的な欠陥を指摘する発表が行われたが、 CRYPTREC での評価結果を引用して、安全である旨の反論を行った。
4.3. 暗号モジュールの安全性確保に関する活動 (詳細編)
暗号モジュールの評価基準及び試験基準の作成
米国政府調達基準である FIPS 140-2 及びその試験基準である DTR ( Derived Test Requirements for FIPS PUB 140-2 )だけであり、これら 2 つの資料をベースに、わが国において適用可能な基準を検討し、そのプロトタイプ版を作成した。さらに、「電子政府情報セキュリティ技術開発事業」の一環として行った下記開発により、暗号モジュール評価ツールの技術仕様およびプロトタイプ版を作成した。
また、米国とカナダは FIPS 140-2 をベースに、暗号モジュールに対するセキュリティ要件の国際標準化を ISO/IEC に提案し、第 1 フェーズとして、 FIPS 140-2 をなるべくそのまま生かす形で標準化する方向で検討が進んでいる。この規格のドラフト第 1 版に対して、昨年、 IPA 及び ISO/IEC JTC1 SC27 国内委員会を中心にわが国のコメントを取りまとめ、 1 月発行のドラフト第 2 版でその意見が反映された。
今年度、公募により技術調査・開発を行った。:
そのほか、以下の活動を行なった。
- 評価用標準プラットフォームの開発準備
- 「情報セキュリティと VLSI 技術に関する研究会」の設置・運営
5 国際関係業務 (詳細編)
諸外国の情報セキュリティ関連組織からの情報収集、意見交換し、国際協力の可能性を模索した。:
訪問:
- 米国 NIST CSD (Computer Security Division, National Institute of Standards and Technology)
- ドイツ Fraunhofer/SIT ( Instirute for Secure Telecooperation )
- スウェーデン FMV(Swedish Defence Materiel Administration)
- フランス THALES Microelectronics (CEACI)
- 米国 ISSEA(International Systems Security Engineering Association )
- オランダ TNO-TPD (Smartcard Lab)
- シンガポール IDA ( Infocomm Development Authority of Singapore)
- 韓国 KISA (Korean Information Security Agency)
来訪:
- フランス フランス警察(同行:フランス大使館)
- 韓国 ECRC (Electronic Commerce Resource Center)
- 台湾 ICST ( Information and Communication Security Technology Service Center )
- ドイツ Fraunhofer/SIT ( Instirute for Secure Telecooperation )
参画している国際的団体:
- ISO/IEC JTC1 SC27 (国内委員会: 社団法人情報処理学会 情報規格調査会 SC 27)
TOG(The Open Group) Security フォーラム
- I-4 (International Information Integrity Institute)
- EICAR (European Institute for Computer Anti-Virus Research)
- ISSEA (International Systems Security Engineering Association )
- AVAR ( Association of anti Virus Asia Researchers )
6 他の組織への協力活動 (詳細編)
情報セキュリティマネジメントガイドラインの標準化を検討する ISO/IEC JTC1/SC27/W1 国内委員会において国内産業界の意見集約を行う作業で主導的な役割を果たし、国際会合に参画して日本のコメントが採択された。
暗号アルゴリズムの標準化を検討する ISO/IEC JTC1/SC27/W2 国内委員会において 2004 年 4 月のシンガポール会合に向け、ドラフトに対するテクニカルコメント作成等の準備を行った。
また、内閣官房情報セキュリティ対策推進室の専門家チーム及び緊急対応支援チーム( NIRT )の活動を支援した。
7 その他 (詳細編)
当IPA/ISECのWeb サイトアクセス:
2003年度中最も高いアクセスがあった日は、 2003 年 8 月 14 日の 276,727 ページであった。