届出の受理

経済産業省告示に基づき、コンピュータウイルス発見届出および不正アクセス届出について受理する業務を行った。

届出受付データの充実、実態のより一層の把握のため、届出制度への定常的な届出協力を広く呼びかけ、新規の協力先を加える等、届出協力体制の強化に努めた。

毎月届出状況をまとめ、報告書を作成しプレス記事の投げ込み発表並びにホームページ等により広く一般に公表している。

なお、ウイルスの 2004 年 4 月〜 2005 年 3 月の期間の届出件数は 58,959 件、不正アクセスの 2004 年 4 月〜 2005 年 3 月の期間の届出件数は 625 件であった。

観測による情報収集・分析

ネットワーク観測システムによる継続的な情報の収集・分析を行い、状況把握に活用するとともに、2005年2月からはネットワーク経由の不正アクセス状況等の分析結果の公表を開始した。

公開情報の収集

日々報告されるソフトウェア脆弱性情報、情報セキュリティ関連ニュース等に関して情報収集を行った。

情報セキュリティ関連情報の蓄積

セキュリティセンターでは、上記活動により収集した情報セキュリティ関連情報を系統的に整理、電子的に蓄積し、情報の分析や発信等、日々の業務に活用した。

緊急対策情報、注意喚起 等の提供

新種ウイルス情報 、脆弱性情報並びにネットワーク観測状況の提供などの情報提供を行い、更に緊急時に於いては緊急対策情報を提供する等、普及啓発に努めた。

2004 年度は、19 件の「緊急対策情報」を発信した。

また、新種ウイルス、脆弱性に関して注意喚起を行った。特に、新規に発見された脆弱性情報については、継続的な情報発信を行った。

相談対応

ウイルス、不正アクセス、その他情報セキュリティに関する様々な問い合わせにつき、電話・電子メールによる相談対応を行った。 2004 年度は約 14,000件について対応した。

また、問い合わせ対応に関するサービス向上、効率化のために、夜間・休日など問い合わせに対応できる「問い合わせ自動対応システム」を開発し、試行運用を行った。試行開始の11月から3月の間で、約4,000件について対応した。

セミナー・講演

情報セキュリティ対策に関し、4つのイベントの企画・協力にあたった。

• 情報セキュリティセミナー
• IPAX Spring 2004
• IPAX Autumn 2004
• CC関連セミナー

ソフトウェア脆弱性情報の届出受付・分析および開示

2004年7月7日、経済産業省は「ソフトウエア等脆弱性関連情報取扱基準」を制定するとともに、脆弱性関連情報の届出の受付機関として IPA、脆弱性関連情報に関して製品開発者への連絡及び公表に関わる調整機関として有限責任中間法人JPCERTコーディネーションセンター （JPCERT/CC）を指定した。
これを受け、IPA では組織内の体制を整備し、2004年7月 8日からソフトウエア製品及びウェブアプリケーションの脆弱性に関わる情報の届出の受付を開始した。

四半期毎に届出状況をまとめ、プレス記事を発表するとともにホームページで広く一般に公表している。

また、脆弱性の低減に資するため、技術開発・調査研究を行い、調査分析結果をホームページを通じて公表した。また、文部科学省および総務省の公募に応募・採択され、技術開発・調査開発を行った。

普及啓発

脆弱性軽減のための情報発信として、ショッピングサイトの運営者が、サイト上で発生しうる問題に対し、適切に対策ができるようにするための注意事項「消費者向け電子商取引サイトの運用における注意点」、
また、システム構築事業者向けに「Java セキュリティポリシーの独自設定に関する注意喚起」などの資料を公表した。

「情報システム等の脆弱性情報の取扱いに関する研究会」の運営

上記の届出受付の運用実績を踏まえ、2004年12月より「情報システム等の脆弱性情報の取扱いに関する研究会」及び「脆弱性情報取扱いガイドラインワーキンググループ」にて、脆弱性関連情報の取扱範囲、脆弱性の情報開示、情報セキュリティ早期警戒パートナーシップの認知度向上、取扱いプロセスに係る課題などについて検討し、報告書を取りまとめた。

2004 年度には、ワーキンググループ 4 回、研究会1回を開催した。

政策を支援するための調査

• 電子政府システムにおけるアクセス制御要件に関する調査
• 採択企業：KPMGビジネスアシュアランス株式会社

この他に、「バイオメトリクス評価に関する調査」、「欧州及びドイツにおける電子署名法及びタイムスタンプ技術に関する調査」等の調査を行った。

社会的実態を把握するための調査

• 国内・海外におけるコンピュータウイルス被害状況調査
• 採択企業： 三井情報開発株式会社

技術的調査

• PKI における UTF8String 問題に関する調査
• 採択団体： NPO 日本ネットワークセキュリティ協会

• アクセス制御に関するセキュリティポリシーモデルの調査
• 採択企業：株式会社日立製作所

• 強制的アクセス制御に基づく Web サーバーに関する調査・設計
• 採択企業：株式会社 SRA 先端技術研究所

この他に、「情報セキュリティスキルマップの普及促進に向けた調査研究」等の調査を行った。

3.1.1 セキュリティ評価・認証制度の推進

• 推進作業部会（ WG ）の運営
• 制度の見直し

3.1.2 情報収集・国際連携

• 国際会議 ICCC(International Common Criteria Conference) 参加
• 韓国のCCRA加盟への支援

3.1.3 普及啓発活動

• CC関連セミナーの開催
• 大学講座の担当
• 「コモンクライテリア プロフェッショナル」資格付与制度の創設
• 第6回国際コモンクライテリア会議の2005年日本開催に向け、主催者として開催準備

3.1.4 セキュリティ評価技術調達活動

• セキュリティ脅威とその対策方針のパッケージ化のための調査研究（セキュリティ脅威とその対策方針 パッケージ）
• ハードウェアに関わるセキュリティ評価の調査報告書

暗号モジュールの評価基準及び試験基準の作成

米国政府調達基準である FIPS 140-2 及びその試験基準である DTR （ Derived Test Requirements for FIPS PUB 140-2 ）だけである。米国とカナダは FIPS 140-2 をベースに、暗号モジュールに対するセキュリティ要件の国際標準化を ISO/IEC に提案し、第 1 フェーズとして、 FIPS 140-2 をなるべくそのまま生かす形で標準化する方向で検討が進んでおり、2006年4月にはIS 化される見込みである。

一方、我が国においては、2003年4月に暗号モジュール委員会を新設し、ISO/IEC等の国際標準の動向を注視しつつ、わが国の暗号モジュール評価基準及び試験基準の検討を継続して行っている。
そこで、日本において適用可能な基準を検討し、基準類の策定作業を行うとともに、日本での管理作業の効率化のために、米国・カナダで運用されている暗号モジュール試験基準及び運用ガイダンスの内容、並びにわが国で作成した暗号モジュール試験基準の内容をデータベース化し、認証機関や試験機関、暗号製品ベンダ等が、基準情報の管理や編集（基準管理者のみ）、閲覧や印刷、検索等を行えるシステムの開発、などを行った。

なお、今年度は上記を含め、以下の技術調査・開発を行った。

• 暗号モジュール検証ツールの開発
• 実施企業： 三菱電機株式会社

• 暗号モジュール試験基準データベースの開発
• 実施企業：ＮＴＴエレクトロニクス株式会社

• ストリーム暗号安全性検証用グレブナー基底計算プログラムの開発
• 実施企業：株式会社アイビス

• 暗号の危殆化に関する調査
• 実施企業：株式会社三菱総合研究所

• イスラエルにおける暗号関連動向調査
• 実施企業： イスラエルGlobalConn社

そのほか、以下の活動を行なった。

• 「情報セキュリティと VLSI 技術に関する研究会」の設置・運営