HOME >> 情報セキュリティ >> 事業概要 >> 記事

2004(平成16)年度活動報告 - 詳細編 -

2005年 8月22日

独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

電話番号:03-5978-7501までお問い合わせください。

独立行政法人 情報処理推進機構 セキュリティセンター(以下 IPA/ISEC)の2004(平成16)年度の活動について、ここに報告いたします。

目次

1. 情報セキュリティ対策業務

2. 調査・技術開発業務

3. セキュリティ評価・認証活動

4. 暗号技術調査・評価活動

5. 国際関係業務

6.情報セキュリティに関する研究・開発

7.他組織への協力

8.その他

1. 情報セキュリティ対策業務

1.1 情報収集・分析活動

1.1.1 届出の受理

経済産業省告示に基づき、コンピュータウイルス発見届出および不正アクセス届出について受理する業務を行った。

届出受付データの充実、実態のより一層の把握のため、届出制度への定常的な届出協力を広く呼びかけ、新規の協力先を加える等、届出協力体制の強化に努めた。

毎月届出状況をまとめ、報告書を作成しプレス記事の投げ込み発表並びにホームページ等により広く一般に公表している。

なお、ウイルスの 2004 年 4 月〜 2005 年 3 月の期間の届出件数は 58,959 件、不正アクセスの 2004 年 4 月〜 2005 年 3 月の期間の届出件数は 625 件であった。

1.1.2 観測による情報種集・分析

ネットワーク観測システムによる継続的な情報の収集・分析を行い、状況把握に活用するとともに、2005年2月からはネットワーク経由の不正アクセス状況等の分析結果の公表を開始した。

1.1.3 公開情報の収集

日々報告されるソフトウェア脆弱性情報、情報セキュリティ関連ニュース等に関して情報収集を行った。

1.1.4 情報セキュリティ関連情報の蓄積

セキュリティセンターでは、上記活動により収集した情報セキュリティ関連情報を系統的に整理、電子的に蓄積し、情報の分析や発信等、日々の業務に活用した。

1.2 情報発信・普及啓発活動

1.2.1 緊急対策情報、注意喚起 等の提供

新種ウイルス情報 、脆弱性情報並びにネットワーク観測状況などの情報提供を行い、更に緊急時に於いては緊急対策情報を提供する等、普及啓発に努めた。

2004 年度は、以下 19 件の「緊急対策情報」を発信した。

緊急対策情報
  • 「W32/Netsky」ウイルスの亜種(Netsky.Q)に関する情報(4月6日)
  • Windows RPC/DCOMの複数の脆弱性について(4月14日)
  • Outlook ExpressとInternet ExplorerのMHTML URLプロセスの脆弱性について(4月16日)
  • Cisco IOS における SNMP メッセージ処理の脆弱性について(4月22日)
  • ゴールデンウィーク前に対策を(4月26日)
  • Microsoft SSL ライブラリの脆弱性についての注意喚起 (4月26日)
  • Windows 製品群における複数の脆弱性について(5月 5日)
  • 新種ワーム「W32/Sasser」に関する情報(5月 7日)
  • CVS サーバーのバッファオーバーフローの脆弱性について(6月10日)
  • 【注意喚起】Microsoft IIS の SSL ライブラリの脆弱性について(6月28日)
  • IIS 4.0 の重要な脆弱性について(7月14日)
  • Windows showHelp および HTMLヘルプの脆弱性について(7月14日)
  • Windows タスクスケジューラの脆弱性について (7月14日)
  • Internet Explorer の複数の脆弱性 (MS04-025) について(8月2日)
  • Microsoft Internet Explorer 用の累積的なセキュリティ更新プログラム (MS04-038) について(10月13日)
  • Microsoft Windows シェルの脆弱性 (MS04-037) について(10月13日)
  • Microsoft Windows のセキュリティ更新プログラム (MS04-032) について(10月13日)
  • Microsoft Internet Explorer 用の累積的なセキュリティ更新プログラム (MS04-040) について(12月 2日)
  • 年末年始警報(12月14日)

また、新種ウイルス、脆弱性に関して注意喚起を行った。特に、新規に発見された脆弱性情報については、継続的な情報発信を行った。

新種ウイルス情報
  • W32/Netskyの亜種(Netsky.Q)(4月6日)
  • W32/Sasser(5月7日)
  • W32/Zafiの亜種(6月16日)
  • W32/Mydoomウイルスの亜種(8月17日)
脆弱性に関する注意喚起
  • Cisco IOS における SNMP メッセージ処理の脆弱性について(4月22日)
  • Windows製品群における複数の脆弱性について(5月5日)
  • CVS サーバーのバッファオーバーフローの脆弱性について:更新(6月10日 )
  • 【注意喚起】Microsoft IIS の SSL ライブラリの脆弱性について( 6月28日)
  • Apple 社の Mac OS X に複数の脆弱性( 1月26日)             など
1.2.2 相談対応

ウイルス、不正アクセス、その他情報セキュリティに関する様々な問い合わせにつき、電話・電子メールによる相談対応を行った。 2004 年度は約 14,000 件について対応した。

また、問い合わせ対応に関する効率化を図るために、システム化の範囲・要件等を整理し、次年度に予定する開発の準備を行なった。

1.2.3 セミナー・講演

情報セキュリティ対策に関し、次のイベントの企画・協力にあたった。

  • 情報セキュリティセミナー

    2004年10月1日(金)より2005年2月14日(月) までの期間に、全国 16ヶ所(東京、京都、北九州、岡山、札幌、高知、浦安、盛岡、名古屋、会津若松、仙台、大阪、宮崎、松戸、金沢および那覇)において、計27 回のセミナーを開催した。これは、 経済産業省および日本商工会議所との共催によるものである。通算 3,254 名の参加があった。

  • IPAX Spring 2004

    2004年5月11日(火)より 5月14日(金)の 4 日間、 IPA が開催した「IPAX Spring 2004」においては、セキュリティセンターで行った開発 3 テーマについて実施者に協力を依頼し、展示を行った。

  • IPAX Autumn 2004

    2004年9月9日(木)、10日(金)の2日間、 IPA が開催した「IPAX Autumn 2004」において、特別講演、パネル討論、および セキュリティセンターで行った開発及び協力機関 3社に協力を依頼し、展示した。

  • CC関連セミナー

    IT セキュリティ評価及び認証セミナー を2004年 10月29日、2005年 3月 4日の2回、
    ISO/IEC 15408(CC) 基礎講座 を2004年5月19日、6月16日、8月27日、2005年3月2日の3回、 ISO/IEC 15408(CC) ST作成基礎講座 を2004年10月7日、10月21日、2005年2月16日3回、ISO/IEC 15408(CC) 評価証拠資料作成講座を2005年3月25日に1回、計 10 回開催し、約 500 名の参加があった。 3.1.3.1 参照。

1.3 脆弱性情報取扱い関連業務

1.3.1 ソフトウェア脆弱性情報の届出受付・分析および開示

IPAが運営している「情報システム等の脆弱性情報の取扱いに関する研究会」にて、脆弱性の発見から、対策の策定・公表に至るまでの関連情報の取扱いのあり方について検討した結果を、2004年4月に研究会報告書として公表するとともに、経済産業省に対して提言した。

これを踏まえ、7月7日、経済産業省は「ソフトウエア等脆弱性関連情報取扱基準」を制定するとともに、脆弱性関連情報の届出の受付機関として IPA、脆弱性関連情報に関して製品開発者への連絡及び公表に関わる調整機関として有限責任中間法人JPCERTコーディネーションセンター (JPCERT/CC)を指定した。

これを受け、IPA では組織内の体制を整備し、2004年7月 8日からソフトウエア製品及びウェブアプリケーションの脆弱性に関わる情報の届出の受付を開始した。
IPAに届出された脆弱性のうち、一般に広く利用されている技術・製品にかかわるもので、海外製品開発者のソフトウェアに影響があるものは、 JPCERT/CCを通じて海外のCSIRTとのパートナーシップに基づき、海外製品開発者も含めて調整を行い、修正・回避方法を作成している。

ソフトウェア製品の脆弱性については、IPAへの届出は44件あり、このうち2004年度にIPAとJPCERT/CCが共同運用する脆弱性対策情報ポータルサイトJVN(JP Vendor Status Notes)で公表した脆弱性は17件であった。 ウェブアプリケーションの脆弱性については、211件の届出があり、2004年度中に修正完了した脆弱性が91件、運用で回避した脆弱性が4件、問題のあるページを削除したものが8件であった。 修正されたページのうち、44件についてウェブサイトの運営者からの依頼によりIPAが修正確認の作業を実施した。

四半期毎に届出状況をまとめ、プレス記事を発表するとともにホームページで広く一般に公表している。

1.3.2.普及啓発

脆弱性軽減のための情報発信として、ショッピングサイトの運営者が、サイト上で発生しうる問題に対し、適切に対策ができるようにするための注意事項「消費者向け電子商取引サイトの運用における注意点」、
また、システム構築事業者向けに「Java セキュリティポリシーの独自設定に関する注意喚起」、JVNに公表した脆弱性の図解資料を公表した。

  • BIND query大量送信によるTCP SYN_SENT状態遷移時の
    サーバリソース消費に関する問題の分析結果(10月22日)
  • LDAPサーバの更新機能におけるバッファオーバーフローの脆弱性(1月12日)
  • msearch におけるディレクトリトラバーサル(3月9日)
  • Tomcat におけるサービス拒否の脆弱性(3月14日)
  • Norton AntiVirusでネットワーク共有ファイルの編集時にOS異常終了(3月30日)
  • Norton AntiVirusで不正なファイルのスキャン時にOS異常終了(3月30日)
1.3.3 「情報システム等の脆弱性情報の取扱いに関する研究会」の運営

上記の届出受付の運用実績を踏まえ、2004年12月より「情報システム等の脆弱性情報の取扱いに関する研究会」及び「脆弱性情報取扱いガイドラインワーキンググループ」にて、脆弱性関連情報の取扱範囲、脆弱性の情報開示、情報セキュリティ早期警戒パートナーシップの認知度向上、取扱いプロセスに係る課題などについて検討し、報告書を取りまとめた。

2004 年度には、ワーキンググループ 4 回、研究会1回を開催した。

ページトップへ

2 調査・技術開発業務

2.1 調査活動

公募および随意契約により調査を実施した。これら調査には、情報セキュリティに関する政策を支援するための調査、社会的実態を把握するための調査及び技術的な調査が含まれる。またその他に、戦略的な観点による調査も実施した。

2.1.1 政策を支援するための調査

公募による調査は、次のとおり。

(1) 電子政府システムにおけるアクセス制御要件に関する調査

中央省庁における行政文書の管理業務をシステム化する際に、的確なアクセス制御を実現するために、アクセス制御に関する各種の関連事項を整理し、統一的に 論じておくことは、今後の電子政府の進展のためには必要不可欠なことである。

本調査研究では、行政文書の管理業務をシステム化する際に検討すべき アクセス制御要件について、体系的な整理、検討を行った。

この他に、「バイオメトリクス評価に関する調査」、「欧州及びドイツにおける電子署名法及びタイムスタンプ技術に関する調査」等の調査を行った。

2.1.2 社会的実態を把握するための調査

公募による調査は、次のとおり。

(1) 国内・海外におけるコンピュータウイルス被害状況調査

最新のコンピュータウイルス関連の被害実態及び対策の実施状況を把握し、コンピュータウイルス対策を推進するために、毎年度実施している「コンピュータウイルス被害(国内/海外)」を行った。

国内は全国の 4,000 事業所及び 1,000 自治体を、海外は米国、ドイツ、韓国、台湾、オーストラリアの 5 カ国において、各国 5,000 事業所を対象とし、 2004年1月から12月の1年間に、ウイルスに感染または発見した状況、ウイルスの名称、種類数、ウイルス対策ソフトの導入状況、管理体制などを調査した。

この他に、「情報セキュリティスキルマップの普及促進に向けた調査研究」等の調査を行った。

2.1.3 技術的調査

公募による調査は、次のとおり。

(1) PKI における UTF8String 問題に関する調査

PKI ( Public Key Infrastructure :公開鍵暗号基盤)において使われるデジタル証明書の様式として X.509 バージョン 3 の様式が採用されている。この中の諸項目について、インターネット標準文書である RFC 3280 は、「 2004 年 1 月 1 日以降は UTF8String 型で文字列を保持すること」と規定している。 既存の PrintableString 等のエンコードによる文字列と、今般の UTF8String による文字列の間には、外見上の差異は無いが、システムが処理するときには、両者は、全く別のデータ形態となる。

UTF8String は、文字コードにおける Unicode の系譜に属するエンコード仕様である。 Unicode の文字コードと、他の日本語の文字コードとの間では、「マッピングテーブル」と呼ばれる変換表を参照することになる。 UTF8String と既存の PrintableString 等の間の関係も、理論的には、マッピングテーブルを用いて変換可能であるが、処理が重くなるので、 PKI を構成する多くのシステムによる採用を期待することは、困難である。 このような問題は、日本語を含む多くのアジア圏の言語に存在するはずであり、この導入に伴う影響は大きい。また、これまでの標準化活動における議論が不十分であったので、実質的に採用が延期されている状況にある。

広くこの問題の存在を公知のものし、 認証局向けに移行指針を提言するため、本調査を行った。また、開発者の実装を検証可能とするためにテスト仕様を設計した。

(2) アクセス制御に関するセキュリティポリシーモデルの調査

セキュリティポリシーモデルに対する要求及びその重要性は今日なお増大しており、様々な 提案や研究が各国で活発に行われ、多数の論文や開発プロジェクトが存在している。しかしながら、最近の成果を含めた網羅的な調査報告は希少であり、研究成 果のシステム設計への適用や、新たな研究開発を推進するために必要な基礎情報が不足している。

本調査は、システム設計や研究開発のための基礎情報を提供することを目的とし、セキュリティポリシーモデルに関する基本的な理論やその発展ならびに適用事例を調査し、体系的に提示することによって、セキュリティポリシーモデルとその数理論理学的な記述のサーベイである。

(3) 強制的アクセス制御に基づく Web サーバーに関する調査・設計

インターネット環境で運用される Web サーバー・システムにおいて、オペレーティング・システムによる強制的アクセス制御を有効活用するためには、オペレーティング・システムと調和的にアクセス制御を実現する Web サーバーの実現が不可欠である。

Web サーバーに適したセキュリティ・ポリシー・モデルを明らかにすることを目的に本調査を行うとともに、中央省庁等で利用されるインターネット Web サーバー・システムを想定し、オペレーティング・システムによる強制的アクセス制御機構を有する Web サーバー・システムの実現を目指した設計を行った。

2.2 技術開発活動

公募により以下の技術開発を実施した。

(1) ログ管理ポリシーに基づいたログ管理/監査ツールの開発

高度なセキュリティ対策を実施するためにはログ情報の管理が必要不可欠になるが、計算機やアプリケーションから出力されるログの種類は多様かつ膨大 である。その一方で現状では、効率的な管理手法や汎用的なシステムが提供されていないことから、管理上の難易度が高く、実際にはその対応が大きく立ち遅れ ている。

本プロジェクトは、ログ管理を実践するために PDCA サイクルの各ステージで必要となる、管理ポリシーの策定、実施手順の平準化、ログ出力・収集の確認、調査・分析などの効率化を実現するためのソフトウェア開発を行った。

ページトップへ

3 セキュリティ評価・認証活動

3.1 セキュリティ評価・認証制度関連の活動

電子政府のセキュアな基盤構築に資するため 2001 年 4 月に創設された「セキュリティ評価・認証制度」( ISO/IEC 15408 準拠)の推進・普及啓発、技術的支援、及び評価技術の調査研究等を実施した。

本制度に係る評価機関はベンダー等の申請に基づきセキュリティ評価を実施する。認証機関は、評価機関の承認、及び評価機関からの評価結果を検証し認証を行う認証事業の実施にあたる。

日本は 19 番目の CCRA 参加国として、 2003 年 10 月 31 日に参加した。 2004 年 4 月に認証機関が製品評価技術基盤機構( NITE )から IPA に移管され、業務を開始した。

3.1.1 セキュリティ評価・認証制度の推進
3.1.1.1 推進作業部会( WG )の運営

セキュリティ評価・認証制度関係有識者からなる作業グループについて事務局運営にあたり、国際的な相互承認を視野に入れた、制度・仕組みの再点検を行った。

3.1.1.2 制度の見直し

セキュリティ評価・認証制度の利用者の利便性向上およびより一層の普及を図るため、以下の改善を行った。

  • ISO/IEC 15408 による認証の取得を表す CC マーク、 JISEC マークの使用条件の緩和
  • 英語版認証書の発行申請の受付開始
  • 認証済み製品のバージョンアップ製品に関する簡易な認証制度(保証継続)の導入

また、セキュリティ評価・認証制度に基づく認証については、2002年3月の運用開始時に「当面無料」で実施することとされ、現在に至るまで無償で実施してきたが、受益者負担の原則に基づき、一部(保証継続、各種確認書・報告書再発行)の有料化を2005年4月1日より開始するための検討を行った。
英文認証書発行については、2004年11月より有料化実施を開始した。

3.1.2 情報収集・国際連携

認証事業に係る情報収集や国際的な連携を推進した。

2004 年 9 月、国際会議 ICCC(International Common Criteria Conference) に参加し、セキュリティ評価・認証制度に関して、国際的な相互承認協定 CCRA の動向、最新の評価技術動向、各国政府機関・民間各業界での適用状況等について情報収集及び意見交換を実施した。

また、国際的な相互承認協定(CCRA:Common Criteria Recognition Arrangement)の運営を統括する最上位の委員会である管理委員会(Management Committee)及び下位の委員会等において、評価基準改訂作業に参画し、参加各国と制度面、技術面での円滑な連携及び国際貢献を図った。

  • 2004年6月20日〜 7月1日 CC開発会議出席(CCRA定期会議 アメリカ)
  • 2004年9月21日〜10月6日 MC/ES/CCIMB/CC開発会議出席(CCRA定期会議 ドイツ)

その他、韓国のCCRA加盟を支援するため、韓国KISAと情報交換を実施した。

3.1.3 普及啓発活動
3.1.3.1 CC関連セミナーの開催

わが国におけるセキュリティ評価・認証制度に関する認知度の向上を図るため、ホームページ、パンフレット、展示会等による関連情報の提供及び各種セミナーを下記の通り開催した。

IT セキュリティ評価及び認証セミナー を2004年 10月29日、2005年 3月 4日の2回、
ISO/IEC 15408(CC) 基礎講座 を2004年5月19日、6月16日、8月27日、2005年3月2日の4回、 ISO/IEC 15408(CC) ST作成基礎講座 を2004年10月7日、10月21日、2005年2月16日3回、ISO/IEC 15408(CC) 評価証拠資料作成講座を2005年3月25日に1回、計 10 回開催し、約 420 名の参加があった。

  • CC基礎講座(1日コース、定員40名、IPA)
    • 日程:2004年5月19日
    • 日程:2004年6月16日
    • 日程:2004年8月27日
    • 日程:2005年3月2日
  • ST作成講座(1日コース、定員40名、IPA)
    • 日程:2004年10月7日
    • 日程:2004年10月21日
    • 日程:2005年2月16日
  • 評価証拠資料作成講座(1日コース、定員40名、IPA)
    • 日程:2005年3月25日
  • 評価認証制度セミナー(半日コース、定員100名、文京GC)
    • 日程:2004年10月29日
    • 日程:2005年3月4日
3.1.3.2 大学講座の担当

工学院大学の「セキュアシステム設計技術者の育成」プログラムの一環として、CC講座(受講生44名)を2004年6月から10月にかけて全14コマ、行った。

3.1.3.3 「コモンクライテリア プロフェッショナル」資格付与制度の創設

コモンクライテリア(CC)の制度普及、技術者育成のため、認証・評価機関で業務を行っている認証者・評価者がCC技術者として広く認知されるよう「コモンクライテリア プロフェッショナル」資格付与制度を創設した。
2004年度は34人をコモンクライテリア プロフェッショナルとして登録した。

3.1.3.4 国際会議「6th ICCC2005」 開催の準備

2005 年9月28日、29日に日本開催が予定されている第6回国際コモンクライテリア会議(6th ICCC2005 in Tokyo: International Common Criteria Conference)主催に向けて、IPA内に準備委員会を設置し、準備を行った。

3..1.4 セキュリティ評価技術調達活動

「情報セキュリティ技術開発事業」の一環として、下記を実施した。

(1) ハードウェアに関わるセキュリティ評価の調査

IT 製品・システムのセキュリティ評価基準である ISO/IEC 15408 (CC: Common Criteria) は、論理的セキュリティ機能を中心として構成されており、物理的セキュリティ機能に関わる記述が十分でない。そのため、ハードウェアによるセキュリティ機 能を併せ持つ IC カードなどの評価において、開発者、評価者に不便が生じているため、ハードウェアセキュリティ機能のカテゴリに入る各種攻撃とその対抗手段の実例を調査し、それらに対する CC/CEM の記述不足点を明らかにした。さらに、ハードウェアセキュリティ機能に携わる開発者、評価者へのガイドとなることを目指し、CC/CEM 補足案を作成した。

(2) セキュリティ脅威とその対策方針のパッケージ化のための調査研究

ISO/IEC 15408 に基づく IT 製品やシステムの評価のために必要な、そのセキュリティ目標を記載したセキュリティターゲット (ST) の作成において、評価の対象となる IT 製品やシステムのセキュリティ脅威を抽出し、対応するセキュリティ対策を策定することが求められているが、この作業は評価を受ける開発者にとって多大な負荷になっている。

少ない負荷で、短期間に ST 作成とその評価ができるようにするため、セキュリティ脅威とその対策方針に関わる記載内容をパッケージ化した。

ページトップへ

4 暗号技術調査・評価活動

4.1. CRYPTREC(暗号技術評価プロジェクト)の運営

2003年度に引き続いて、独立行政法人情報通信研究機構と共に CRYPTREC (暗号技術評価プロジェクト)活動を実施した。

2004 年度は引き続き、暗号技術監視委員会とその下部組織の暗号技術調査 WG 、及び暗号モジュール委員会にて、リストに掲載された暗号技術の安全性を継続的に確認するとともに、暗号モジュールの安全性確保を目的として、暗号モジュールの評価基準・試験基準の調査検討を行う等にあたり、当該年度の活動を取りまとめた報告書を作成した。

  • 暗号技術監視委員会
    • 第1回委員会:2004年6月24日
    • 第2回委員会:2005年2月15日
  • 暗号モジュール委員会
    • 第1回委員会:2004年6月23日
    • 第2回委員会:2004年9月10日
    • 第3回委員会:2004年11月12日
    • 第4回委員会:2004年12月10日
    • 第5回委員会:2005年2月18日

4.2. 暗号技術に関する監視活動

電子政府推奨暗号リスト掲載の暗号技術等に関する継続的な監視を行うとともに、下記の国際学会に参加し、最新の研究動向を調査分析した結果を、暗号技術監視委員会及び暗号技術検討会で報告した。

  • EUROCRYPT2004
  • WOTE'04
  • YACC2004
  • ACISP'04
  • SACO2004
  • CHES2004
  • CRYPTO2004
  • ECRYPTストリーム暗号WS
  • ASIACRYPT2004
  • PKC2005
  • TCC2005
  • FSE2005

CRYPTO2004で発表されたハッシュ関数の衝突発見の後、継続的に研究発表などを監視してきたが、電子政府推奨暗号の一つであるSHA-1の危殆化のきざしを示す研究成果も発表されている。

4.3. 暗号モジュールの安全性確保に関する活動

4.3.1 暗号モジュールの評価基準及び試験基準の作成

米国政府調達基準である FIPS 140-2 及びその試験基準である DTR ( Derived Test Requirements for FIPS PUB 140-2 )だけである。米国とカナダは FIPS 140-2 をベースに、暗号モジュールに対するセキュリティ要件の国際標準化を ISO/IEC に提案し、第 1 フェーズとして、 FIPS 140-2 をなるべくそのまま生かす形で標準化する方向で検討が進んでおり、 2006年4月にはIS 化される見込みである。

一方、我が国においては、2003年4月に暗号モジュール委員会を新設し、ISO/IEC等の国際標準の動向を注視しつつ、わが国の暗号モジュール評価基準及び試験基準の検討を継続して行っている。

そこで、日本において適用可能な基準を検討し、 基準類の策定作業を行うとともに、日本での管理作業の効率化のために、米国・カナダで運用されている暗号モジュール試験基準及び運用ガイダンスの内容、並びにわが国で作成した 暗号モジュール試験基準の内容をデータベース化し、認証機関や試験機関、暗号製品ベンダ等が、基準情報の管理や編集(基準管理者のみ)、閲覧や印刷、検索等を行えるシステムの開発を行った。

(1) 暗号モジュール検証ツールの開発

2003年度に引き続き、電子政府推奨暗号が実装された暗号モジュールの動作検証を行う検証ツールの開発を行った。
2003度は、検証ツールのプロトタイプと、デファクトとなっている暗号の中でもコアとなる暗号に対する検証機能を開発した。
2004度は、残りのデファクト暗号に対する検証機能の開発と、発注先以外のベンダーによる検証ツールの保守・機能追加を可能にするガイドブックの作成を行った。
本開発により,電子政府推奨暗号の多くに対して暗号モジュール検証を行うことが可能となった。

(2) 暗号モジュール試験基準データベースの開発

基準類の策定作業及び管理作業の効率化のために、米国・カナダで運用されている暗号モジュール試験基準及び運用ガイダンスの内容、並びにわが国で作成した暗号モジュール試験基準の内容をデータベース化し、認証機関や試験機関、暗号製品ベンダ等が、基準情報の管理や編集(基準管理者のみ)、閲覧や印刷、検索等を行えるシステムの開発を行った。

また、電子政府システムにおいて高い安全性を維持・確率するためには、数学的な安全性評価が不可欠であり、そのためにストリーム暗号のalgebraic attackに対する安全検証方法についての研究を行う必要がある。
暗号アルゴリズム評価の実現のために、 フランスのFaugere氏が提案した、グレブナー基底計算アルゴリズムにおいては現在(2004年9月)世界最速のF4,F5アルゴリズムを、IPAの所有する暗号技術監視用グリッドコンピュータへ実装するプログラムの開発を行った。

(3) ストリーム暗号安全性検証用グレブナー基底計算プログラムの開発

電子政府システムにおいて高い安全性を維持・確率するためには、数学的な安全性評価が不可欠となっている。そのため、ストリーム暗号のalgebraic attackに対する安全検証方法についての研究を行う必要がある。
近年の内外における研究結果を見ると、全てのalgebraic attackはグレブナー基底の話に帰着することが証明されている。このような状況から、algebraic attackに対する安全性検証を行うにあたり、グレブナー基底計算アルゴリズムの開発を行うことが不可欠である。

暗号アルゴリズム評価の実現のために、 フランスのFaugere氏が提案した、グレブナー基底計算アルゴリズムにおいては現在(2004年9月)世界最速のF4,F5アルゴリズムを、IPAの所有する暗号技術監視用グリッドコンピュータへ実装するプログラムの開発を行った。

4.3.2 評価用標準プラットフォームの開発準備

暗号処理装置の実行時の漏洩情報、すなわち、外部から計測可能な情報(例えば、計算時間や電力消費量など)等の情報を利用して、秘密情報の解析を行う様々な攻撃手法が近年提示されている。現在の FIPS 140-2 には、これらの攻撃に対する基準は規定されていないが、特に IC カードに対しては、大きな脅威となりうることが報告されており、数年後には規格の中に取り込まれる可能性が高い。この領域に関しては、わが国において主体的に技術研究を行い、成果を国際標準に反映することが求められている。

従来、この種の研究結果についてオープンな議論が行われることは少なかった。評価基準の策定および研究開発の活性化にあたっては、同一環境で実験を行った結果についてオープンに議論可能な、評価用の標準プラットフォーム環境の構築が急務である。

今年度は、標準プラットフォームの要求仕様を決定した。

4.3.3 調査

電子政府、電子商取引において基盤技術として利用される暗号の安全を確保するため、以下の調査を行った。

(1) 暗号の危殆化に関する調査

電子政府、電子商取引において暗号は基盤技術として利用されている。しかし、計算機の進歩等の研究開発の進展により、いくつかの暗号については近い将来に 危殆化するものと予想されている。暗号が危殆化すると、電子署名の証拠性に疑義が発生し、電子政府における公文書、電子商取引における契約等の信頼性が揺 らぐと考えられる。
このような暗号の危殆化問題について、システム上の影響や技術的・制度的対策、法律上の問題に関する検討は未だ殆どなされていない。そのため、暗号が危殆化した際には、社会的な混乱が予想される。
そこで、本調査では主として電子政府において使用される暗号が危殆化した際の影響、法律上の問題について分析を行い、技術的・制度的対策に関する検討の結果を示した。

(2) イスラエルにおける暗号関連動向調査
  • 実施企業: イスラエルGlobalConn社

暗号分野における著名な研究者を有するイスラエルにおける情報セキュリティの動向を知ることは、世界の動向を知る上でも有用な情報となりうる。ま た、暗号監視活動の中でも特に暗号が危殆化した場合の対策については調査を開始したばかりの状態であり、イスラエルにおける対策に関する情報が得られれ ば、今後の対策立案においても有益な情報となりうる。

本調査は、以上の背景をふまえ、イスラエルにおける、暗号の危殆化に対する制度、技術的対応、電子署名、タイムスタンプなどの法的、技術的状況などに関して調査し、とりまとめた。

4.3.4 「情報セキュリティと VLSI 技術に関する研究会」の設置・運営

暗号モジュールに対する攻撃法およびその対策の検討にあたっては LSI 動作解析技術分野の知識が必須となる。同分野と暗号分野の研究者・技術者との相互理解の醸成、人脈形成、技術課題の明確化及び共同研究の設定を目的に、「情報セキュリティと VLSI 技術に関する研究会」を設置し、合同ワークショップを6月4日、7月15日、東京大学において開催した。さらに、その成果は9月10日の集積回路研究会において発表された。

ページトップへ

5 国際関係業務

諸外国の情報セキュリティ関連組織からの情報収集と意見交換を行い、情報セキュリティに関する国際的な連携のための関係構築に努めた。米国NISTとの定期会議を開催し、情報セキュリティに関する情報交換を行った。
また、韓国KISAと定期協議を開き、情報セキュリティに関する共同研究を進めることが合意された。さらに、IPAとドイツ Fraunhofer/SITとが中心となり、日独ワークショップを開催した。:

訪問:

来訪:

参画している国際的団体:

  • ISO/IEC JTC1 SC27 (国内委員会: 社団法人情報処理学会 情報規格調査会 SC 27)
  • CCRA (Common Criteria Recognition Arrangement)
  • GBDe (Global Business Dialogue on e-Commerce)
  •  I-4 (International Information Integrity Institute)
  • EICAR (European Institute for Computer Anti-Virus Research)
  • AVAR ( Association of anti Virus Asia Researchers )
  • TOG (The Open Group) Security フォーラム
ページトップへ

6 情報セキュリティに関する研究・開発

情報通信システム(機器および網)のセキュリティ事故やサイバー攻撃に対する早期警戒システム(「分析と共有」)を構築するための技術開発、ならびにプライバシーに関する検討を行うための文部科学省 科学技術振興調整費による研究プロジェクト「セキュリティ情報の分析と共有システムの開発」に参画した。
本プロジェクトは、府省横断的な研究連携体制および大規模な研究テストベッドの構築を行い、我が国の情報セキュリティの研究開発体制を確立する。それらの成果を有機的に連携させ、大学における人材育成と教育、国による制度化、業界団体などへのフィードバックなどの手法で研究成果を適宜社会へ展開することなど通じて、国家レベルでの情報セキュリティの安全性確保のための体制を構築する。
本プロジェクトのうち、IPAが行っているテーマおよび概要は以下のとおり。

(1) 異常検知技術の開発

  • 接続属性に基づく異常検出方式の研究:

    インターネット上に配したセンサーボックスのTCPポートへのアクセスの内容について、その属性情報に基づき異常を検出する方法を確立し、実用化を図る。

(2) 脆弱性分析と克服のための技術開発

  • 脆弱性分析と克服のための技術開発:

    脆弱性検出精度を向上することを目的に、広く利用されているオープンソースソフトウェアの中から、共通の検査対象サンプルとして選定し、各種方法・ツールによる検査結果の比較を行い、精度向上と操作性向上を図る。

  • 組込みソフトウェアのセキュリティ評価に関する研究:

    組込みソフトウェアのセキュリティ要求基準と、その検査手法に関する研究を行う。

  • コンポーザビリティ概念に基づくセキュアプロトコルの評価に関する研究:

    セキュアプロトコルの標準化の際に必要となる安全性評価のフレームワークを確立することを目標とし、コンポーザビリティ概念に基づくセキュアプロトコルの評価手法を研究する。

(3) 脆弱性情報流通基盤および脆弱性情報利活用技術

  • 脆弱性情報収集基盤および脆弱性情報利活用技術:

    国内サイトのニーズに適合するように脆弱性情報および脆弱性対策情報を流通させる基盤として、情報蓄積・共有方式および情報公開、情報加工形式、検索方式のプロトタイピングを経て、実用化を図る。

また、総務省公募「電子政府に用いられるOSのセキュリティ品質評価方法の確立に向けた調査研究」を受託し、調査研究を行った。

ページトップへ

7 他組織への協力

標準化活動への参加 :

情報セキュリティマネジメントガイドラインの標準化を検討する ISO/IEC JTC1/SC27/W1 国内委員会において国内産業界の意見集約を行う作業で主導的な役割を果たし、国際会合に参画して日本のコメントが採択された。

暗号アルゴリズムの標準化を検討する ISO/IEC JTC1/SC27/W2 国内委員会の成果として、2004 年10月のブラジル会合などの審議を経て、国産暗号5技術が標準化候補として残された。

関係機関との協力・連携 :

内閣官房情報セキュリティ対策推進室の緊急対応支援チーム( NIRT )の活動を支援した。

財団法人 国際情報化協力センター(CICC)より、ミャンマーの政府関係者、産業界関係者、大学関係者の情報セキュリティに関する啓発を目的としたセミナーへの講師派遣依頼があり、ミャンマーの首都ヤンゴンにて情報セキュリティに関する講演を行った。

委員会・研究会等への参加 :

  • 情報セキュリティ総合戦略策定研究会
  • JIPDEC ISMS適合性評価制度運営委員
  • 日本規格協会 INSTAC セキュリティWG1委員
ページトップへ

8 その他

当IPA/ISECのWeb サイトアクセス状況:

(単位:ページビュー)

2004年 4月 1,752,498 2004年 5月 2,036,418 2004年 6月 2,344,540
2004年 7月 1,705,273 2004年 8月 1,618,212 2004年 9月 1,659,016
2004年10月 1,736,603 2004年11月 1,537,805 2004年12月 1,535,307
2005年 1月 1,344,569 2005年 2月 1,286,660 2005年 3月 1,741,707

2004年度の月平均アクセス数は、1,691,551/月 であった。

ページトップへ