HOME >> 情報セキュリティ >> 事業概要 >> 記事

2005(平成17)年度活動報告 - 詳細編 -

2006年12月 6日

独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

電話番号:03-5978-7501までお問い合わせください。

独立行政法人 情報処理推進機構 セキュリティセンター(以下 IPA/ISEC)の2005(平成17)年度の活動について、ここに報告いたします。

目次

1. 情報セキュリティ対策業務

2. 調査・技術開発業務

3. セキュリティ評価・認証活動

4. 暗号技術調査・評価活動

5. 国際関係業務

6.情報セキュリティに関する研究・開発

7.他組織への協力

8.その他

1. 情報セキュリティ対策業務

1.1 情報収集・分析活動

1.1.1 届出の受理

経済産業省告示に基づき、コンピュータウイルス発見届出および不正アクセス届出について受理する業務を行った。

届出受付データの充実、実態のより一層の把握のため、届出制度への定常的な届出協力を広く呼びかけ、新規の協力先を加える等、届出協力体制の強化に努めた。

毎月届出状況をまとめ、報告書を作成し、プレスへの投げ込み発表並びにホームページ等により広く一般に公表している。また、届出を踏まえた注意喚起並びに届出・相談の事例を踏まえた被害の未然防止策についても報告書に盛り込み提供している。

なお、ウイルスの 2005 年 4 月〜 2006 年 3 月の期間の届出件数は 41,607 件、不正アクセスの 2005 年 4 月〜 2006 年 3 月の期間の届出件数は 476 件であった。

1.1.2 観測による情報種集・分析

ネットワーク観測システムによる継続的な情報の収集・分析を行い、状況把握に活用するとともに、2005年2月からはネットワーク経由の不正アクセス状況等の分析結果の公表を開始した。

1.1.3 公開情報の収集

日々報告されるソフトウェア脆弱性情報、情報セキュリティ関連ニュース等に関して情報収集を行った。

1.1.4 情報セキュリティ関連情報の蓄積

セキュリティセンターでは、上記活動により収集した情報セキュリティ関連情報を系統的に整理、電子的に蓄積し、情報の分析や発信等、日々の業務に活用した。

1.2 情報発信・普及啓発活動

1.2.1 緊急対策情報、注意喚起 等の提供

新種ウイルス情報 、脆弱性情報並びにネットワーク観測状況などの情報提供を行い、更に緊急時に於いては緊急対策情報を提供する等、普及啓発に努めた。

2005 年度は、以下 25 件の「緊急対策情報」を発信した。

緊急対策情報
  • Microsoft Word の脆弱性 (MS05-023) について(4月13日)
  • Microsoft Internet Explorer 用の累積的なセキュリティ更新プログラム (MS05-020) について(4月13日)
  • ゴールデンウィーク前に対策を (4月26日)
  • Microsoft Windows の TCP/IP の脆弱性 (MS05-019) について(4月28日)
  • ファイル交換ソフトの使用に注意 〜対策のポイント〜(6月23日)
  • ウェブサイトのセキュリティ対策の再確認を 〜脆弱性対策のチェックポイント〜(6月23日)
  • ドメイン名の登録と DNS サーバの設定に関する注意喚起(6月27日)
  • Microsoft JView プロファイラの脆弱性(MS05-037) について(7月13日)
  • スパイウェアによる被害の防止に向けた注意喚起(8月02日)
  • 夏休み前に対策を(8月04日)
  • Microsoft Internet Explorer 用の累積的なセキュリティ更新プログラム (MS05-038) について(8月10日)
  • Microsoft プラグアンドプレイの脆弱性(MS05-039) について(8月17日)
  • Microsoft 社 Windows の脆弱性(MS05-039)を突いたワームが複数種発生!!(8月19日)
  • Microsoft DirectShow の脆弱性(MS05-050) について(10月12日)
  • Microsoft Internet Explorer 用の累積的なセキュリティ更新プログラム (MS05-052) について (10月12日)
  • Windows の重要な更新(MS05-053) について(11月09日)
  • 「W32/Sober」ウイルスの亜種に関する情報(11月24日)
  • Microsoft 社 Windows の脆弱性 (MS05-051) について(12月20日)
  • 年末年始における注意喚起(12月20日)
  • Windows の重要な更新(MS06-001) について( 1月06日)
  • Microsoft Internet Explorer 用の累積的なセキュリティ更新プログラム (MS05-054) について(2月02日)
  • Windows Media Player の脆弱性(MS06-005) について(2月15日)
  • Microsoft Internet Explorer 用の累積的なセキュリティ更新プログラム(MS06-004) について(2月15日)
  • Winnyによる情報漏えいを防止するために(3月10日)
  • Microsoft Office の重要な更新(MS06-012)について(3月15日)
  • Winnyによる情報漏えいを防止するために(3月30日)

また、新種ウイルス、脆弱性に関して注意喚起を行った。特に、新規に発見された脆弱性情報については、継続的な情報発信を行った。

新種ウイルス情報
  • W32/Mytobの亜種(4月12日)
  • W32/Zotob(8月18日)
  • W32/IRCbot(8月18日)
  • W32/Bobaxの新しい亜種(8月19日)
脆弱性に関する注意喚起
  • ウェブサイトのセキュリティ対策の再確認を 〜脆弱性対策のチェックポイント〜(6月23日)
  • ドメイン名の登録と DNS サーバの設定に関する注意喚起(6月27日)
  • JCE 1.2.1 の証明書期限切れに関する注意喚起(7月8日)
1.2.2 相談対応

ウイルス、不正アクセス、その他情報セキュリティに関する様々な問い合わせにつき、電話・電子メールによる相談対応を行った。 2005 年度は約 7,800 件について対応した。

また、問い合わせ対応に関する効率化を図るために、システム化の範囲・要件等を整理し、次年度に予定する開発の準備を行なった。

1.2.3 セミナー・講演

情報セキュリティ対策に関し、次のイベントの企画・協力にあたった。

  • 情報セキュリティセミナー

    2005年9月27日(火)より2006年3月24日(金) までの期間に、全国 16ヶ所(札幌、秋田、仙台、蕨、東京、浜松、袋井、名古屋、四日市、敦賀、京都、神戸、広島、高松、北九州、福岡および那覇)において、計40回のセミナーを開催した。これは、 経済産業省および日本商工会議所との共催によるものである。通算 3,599 名の参加があった。

  • IPAX 2005

    2005年5月18日(水)より 5月20日(金)の 3 日間、 IPA が開催した「IPAX 2005」においては、セキュリティセンターで行った開発 2 テーマについて実施者に協力を依頼し、プレゼンテーションを行った。

  • 第6回 ICCC 2005 in TOKYO

    2005年9月28日(水)、29日(木)の 2 日間、 第6回国際コモンクライテリア会議(6th ICCC 2005 in TOKYO)を、IPA主催のもとに東京全日空ホテルにて開催した。本国際会議は、今回日本で初めて開催し、2日間で約450人(うち外国より約150名、24ケ国・地域)の参加があった。

  • ウェブアプリケーション開発者向けセキュリティ実装講座

    ウェブアプリケーション開発者向けセキュリティ実装講座を2006年02月28日、04月04日の2回開催し、約 180 名の参加があった。

  • 重要インフラ事業者向け情報セキュリティセミナー

    重要インフラ事業者向け情報セキュリティセミナーを2006年03月23日に開催し、約 140 名の参加があった。

  • IPA Cryptography Forum 2005

    「IPA Cryptography Forum 2005」と題し、イスラエルのシャミア教授を招待し、キャッシュ攻撃についての講演を2005年12月2日に開催した。

  • CC関連セミナー

    ISO/IEC 15408(CC) 基礎講座 を2005年05月31日、07月14日、2006年02月22日の3回、 ISO/IEC 15408(CC) ST作成基礎講座 を2005年06月14日、11月16日の2回、ISO/IEC 15408(CC) 評価証拠資料作成講座を2005年06月07日、07月26日、10月21日の3回、計 8 回開催し、約 350 名の参加があった。 3.1.3.1 参照。

1.2.3 海外の情報セキュリティ関連文書の翻訳

政府や企業の経営者、セキュリティ担当者などが、自組織の情報セキュリティ対策を向上させることに役立つ資料として、世界的に評価の高い海外の情報セキュリティ関連文書等の翻訳・調査研究をNRIセキュアテクノロジーズ(株)と共同で行い、成果を公表した。

1.3 脆弱性情報取扱い関連業務

1.3.1 ソフトウェア脆弱性情報の届出受付・分析および開示

2004年7月7日、経済産業省は「ソフトウエア等脆弱性関連情報取扱基準」を制定するとともに、脆弱性関連情報の届出の受付機関として IPA、脆弱性関連情報に関して製品開発者への連絡及び公表に関わる調整機関として有限責任中間法人JPCERTコーディネーションセンター (JPCERT/CC)を指定した。 これを受け、IPA ではソフトウエア製品及びウェブアプリケーションの脆弱性に関わる情報の届出の受付を行った。

IPAに届出された脆弱性のうち、一般に広く利用されている技術・製品にかかわるもので、海外製品開発者のソフトウェアに影響があるものは、 JPCERT/CCを通じて海外のCSIRTとのパートナーシップに基づき、海外製品開発者も含めて調整を行い、修正・回避方法を作成している。

2005年度のソフトウェア製品の脆弱性については、IPAへの届出は123件あり、このうち2005年度にIPAとJPCERT/CCが共同運用する脆弱性対策情報ポータルサイトJVN(JP Vendor Status Notes)で公表した脆弱性は44件であった。ウェブアプリケーションの脆弱性については、296件の届出があり、2005年度中に修正完了した脆弱性が175件、修正されたページのうち、25件についてウェブサイトの運営者からの依頼によりIPAが修正確認の作業を実施した。

四半期毎に届出状況をまとめ、プレス記事を発表するとともにホームページで広く一般に公表している。

また、「情報セキュリティ早期警戒パートナーシップ」枠組みの周知及び参加企業拡大を図り、JPCERT/CCとの共催により、情報通信、金融、航空、鉄道、電力、ガス、政府・行政サービス(地方公共団体を含む)、医療、水道、物流等の重要インフラ事業者等を対象とし、事業継続性計画や法的問題、重要インフラ事業者における対応事例等、国際的な情報に係る重要インフラ防護等の動向等を紹介する「重要インフラ事業者向け情報セキュリティセミナー〜国内外での情報セキュリティ対策への取り組みについて〜」(3月23日)を開催した(重要インフラ関係者を中心に86社137名が参加) 。

1.3.2.普及啓発

2005年度は、41件の脆弱性関連情報の調査分析結果をWeb上で公表した。
「Apache Tomcatにおけるリクエスト処理に関する脆弱性」については、問題を修正し、本脆弱性を解消する修正プログラムを作成し公表した。

脆弱性軽減のための情報発信として、サイト上で発生しうる問題に対し、適切なウェブサイトを構築するための資料「安全なウェブサイトの作り方」を作成した。
またコンピュータウイルス・不正アクセス・脆弱性に関する情報や一般に公開された情報を基に、「情報セキュリティ早期警戒パートナーシップ」に参画する関係者のほか、情報セキュリティ分野における研究者、実務担当者等の参画を得て構成した「情報セキュリティ検討会」で、社会的影響の大きさからセキュリティ上の10大脅威を選び、脅威を分析し、今後の対策を検討して「情報セキュリティ白書2006年版」を編集し公表した。

1.3.3 「情報システム等の脆弱性情報の取扱いに関する研究会」の運営

IPAが運営している「情報システム等の脆弱性情報の取扱いに関する研究会」を開催するとともに、同研究会の下に「組込みソフトウエアWG」を設置し、年度内に以下の成果を含む「情報システム等の脆弱性情報の取扱いに関する調査報告書」を取り纏めた。

  • 「組込みソフトウェアを用いた機器におけるセキュリティ」
  • 「組込みソフトウェアのセキュリティ〜機器の開発等における40のポイント〜」
  • 「情報セキュリティ早期警戒パートナーシップガイドライン改定」
ページトップへ

2 調査・技術開発業務

2.1 調査活動

公募および随意契約により調査を実施した。これら調査には、情報セキュリティに関する政策を支援するための調査、社会的実態を把握するための調査及び技術的な調査が含まれる。

公募による調査は、次のとおり。

(1) 情報セキュリティに関する新たな脅威に対する意識調査

近年、コンピュータウイルスだけでなく、フィッシング詐欺やスパイウェア、ボット等、新たな脅威が出現し、被害を生じさせています。
このような状況を受け、PC インターネット利用者に対して、これらの脅威に対する正しい認知や理解、またトラブルを防ぐための対策およびトラブル発生時の対応等、適切な情報提供、普及啓発活動が求められています。

本調査は、このような課題に対し、PC インターネット利用者へのウェブアンケートを通じて、新たな脅威に対する認知度、理解度、対策の実施状況等の実態を把握し、IPA が行なう情報セキュリティに関する対策情報の発信、普及啓発等の活動に役立てることを目的として実施しました。

(2) TCP/IPに係る既知の脆弱性に関わる調査

コンピュータをはじめとしたインターネットに接続する電子機器には、インターネットの標準的な通信手順を実現するためのTCP/IPソフトウェアが組み込 まれています。近年では、一般のユーザが利用する情報家電や携帯端末などの電子機器にも使われるようになり、TCP/IPソフトウェアは広く利用されてい ます。

これらのTCP/IPソフトウェアは、これまで多くのセキュリティ上の脆弱性が公表されてきました。脆弱性情報が公表されると、それに対応した対策情報 も公表され、機器ごとに脆弱性対策が実装されてきました。これらの脆弱性は、内容を理解するためには高度な技術力を必要としますが、詳細な情報をとりまと めた資料がなく、このため、新たに開発されるソフトウェアにおいて、既に公表されている脆弱性対策が実装されていない場合が数多く見受けられます。

今回の調査報告書は、このような課題に対し、既に公表されているTCP/IPに係る脆弱性について情報を収集分析し、詳細な解説書としてとりまとめたものです。

(3)「企業における情報セキュリティ事象被害額調査」及び「国内におけるコンピュータウイルス被害状況調査」

最新のコンピュータウイルス関連の被害実態及び対策の実施状況を把握し、コンピュータウイルス対策を推進するために、1. 「企業における情報セキュリティ事象被害額調査」及び 2.「国内におけるコンピュータウイルス被害状況調査」を実施しました。

1. 企業における情報セキュリティ事象被害額調査
ウイルスや不正アクセス、情報漏えいといった情報セキュリティ事象が発生した場合、企業に与えるインパクトのひとつとして、どの程度の被害額が発生する のかを調査しました。本調査では、被害額算出モデルを用い、ウイルスによる感染被害が発生した際の、復旧費用・逸失売上を推計し算出しました。また、不正 アクセスにより Web サービスを停止せざるを得なくなった事象や Winny を介した情報漏えい事象については、事象の発生した企業に対してヒアリング等を実施し(計10社)、その状況を取り纏めて推計しました。

2. 国内におけるコンピュータウイルス被害状況調査
1989年度から毎年行っている調査の17回目になり、全国の5,500事業所及び1,061自治体を調査対象として実施しました。2005年1月から 12月の1年間に、ウイルスに感染または発見した状況、ウイルスの名称、種類数、ウイルス対策ソフトの導入状況、セキュリティパッチの適用状況、組織的な 管理状況などを調査しています。また、本調査では、インターネットの新しい脅威としてスパイウェアに関する被害の有無及び対策の状況についても調査しました。

この他に「情報システム等の脆弱性情報の取扱いに関する調査」等の調査を行った。

2.2 技術開発活動

公募により以下の技術開発を実施した。

(1) 情報セキュリティ対策ベンチマークシステムの開発

2005年8月、「企業における情報セキュリティガバナンスのあり方に関する研究会」(経済産業省商務情報政策局長の私的研究会)が2005年3月に取りまとめた「情報セキュリティ対策ベンチマーク」に基づき、企業のセキュリティ対策の取組状況を自己採点できるシステムをIPAのWebサイト上に公開しました。

2005年度は、ユーザインターフェースの改良およびデータベースとの連携強化等を行い、利用者へのサービス向上を図ることを目的にシステム開発を行いました。

ページトップへ

3 セキュリティ評価・認証活動

3.1 セキュリティ評価・認証制度関連の活動

電子政府のセキュアな基盤構築に資するため 2001 年 4 月に創設された「セキュリティ評価・認証制度」( ISO/IEC 15408 準拠)の推進・普及啓発、及び評価技術の調査研究等を実施した。

本制度に係る評価機関はベンダー等の申請に基づきセキュリティ評価を実施する。認証機関は、評価機関の承認、及び評価機関からの評価結果を検証し認証を行う認証事業の実施にあたる。

日本は 19 番目の CCRA 参加国として、 2003 年 10 月 31 日に参加した。 2004 年 4 月に認証機関が製品評価技術基盤機構( NITE )から IPA に移管され、業務を開始した。

3.1.1 セキュリティ評価・認証制度の推進
3.1.1.1 ITセキュリティ評価・認証制度推進者会議( CCWG )の運営

セキュリティ評価・認証制度関係有識者からなる作業グループについて事務局運営にあたり、国際的な相互承認を視野に入れた、制度・仕組みの再点検・改善を行った。

3.1.1.2 制度の見直し

セキュリティ評価・認証制度の利用者の利便性向上およびより一層の普及を図るため、以下の改善を行った。

  • 制度運用の改善を進め認証書発行までの期間を着実に短縮
  • 申請者の利便性向上のための認証業務の電子申請受付開始
  • 複雑化していた体系(31規程)を抜本的に改訂し、12規程4要領に整理

また、セキュリティ評価・認証制度に基づく認証については、2002年3月の運用開始時に「当面無料」で実施することとされ、現在に至るまで無償で実施してきたが、受益者負担の原則に基づき、2005年4月より一部(保証継続、各種認証書・報告書再発行)、10月より認証申請等すべての有料化を開始した。

3.1.2 情報収集・国際連携

認証事業に係る情報収集や国際的な連携を推進した。

2005 年 9 月、国際会議 ICCC(International Common Criteria Conference) に参加し、セキュリティ評価・認証制度に関して、国際的な相互承認協定 CCRA の動向、最新の評価技術動向、各国政府機関・民間各業界での適用状況等について情報収集及び意見交換を実施した。

また、国際的な相互承認協定(CCRA:Common Criteria Recognition Arrangement)の運営を統括する最上位の委員会である管理委員会(Management Committee)及び下位の委員会等において、評価基準改訂作業に参画し、参加各国と制度面、技術面での円滑な連携及び国際貢献を図った。

  • 2005年6月5日〜 6月11日 ES/CC開発会議出席(CCRA定期会議 オランダ)
  • 2005年9月21日〜9月27日 MC/ES/CC開発会議出席(CCRA定期会議 日本)

その他、韓国のCCRA加盟を支援するため、韓国KISAと情報交換を実施した。

3.1.3 普及啓発活動
3.1.3.1 CC関連セミナーの開催

わが国におけるセキュリティ評価・認証制度に関する認知度の向上を図るため、ホームページ、パンフレット、展示会等による関連情報の提供及び各種セミナーを下記の通り開催した。

ISO/IEC 15408(CC) 基礎講座 、 ISO/IEC 15408(CC) ST作成基礎講座 、ISO/IEC 15408(CC) 評価証拠資料作成講座を下記の通り、計 8 回開催し、約 250 名の参加があった。

  • CC基礎講座(1日コース、定員40名、IPA)
    • 日程:2005年5月31日
    • 日程:2005年7月14日
    • 日程:2006年2月22日
  • ST作成講座(1日コース、定員40名、IPA)
    • 日程:2005年6月14日
    • 日程:2005年11月16日
  • 評価証拠資料作成講座(1日コース、定員40名、IPA)
    • 日程:2005年6月7日
    • 日程:2005年7月26日
    • 日程:2005年10月21日
3.1.3.2 「コモンクライテリア プロフェッショナル」登録制度の運用

コモンクライテリア(CC)の制度普及、技術者育成のため、認証・評価機関で業務を行っている認証者・評価者がCC技術者として広く認知されるよう「コモンクライテリア プロフェッショナル」登録制度を運用した。
2005年度は15人をコモンクライテリア プロフェッショナルとして登録し、計49名となった。

3.1.3.3 国際会議「6th ICCC2005」 開催

国際会議「第6回国際コモンクライテリア会議」を、東京全日空ホテルにて、当機構主催により、我が国で初めて開催した。2日間で約450人(うち外国より約150名、24ケ国・地域)が参加し、成功裏に終了した。

3.1.4 セキュリティ評価技術調達活動

「情報セキュリティ技術開発事業」の一環として、下記を実施した。

(1) 個人情報処理システム用セキュリティターゲット

個人情報・機密情報の漏洩、不正アクセスなどのセキュリティ問題を防ぐには、脅威・脆弱性の認識、総合的なセキュリティ対策を実施することが肝要である。この課題に対しては、"ISO/IEC 15408(CC: Common Criteria):情報セキュリティ評価基準(以下、CCという)"の考え方に基づいて情報システムを設計・実装することが有効と考えられ、特にセキュリティ目標を記載したセキュリティターゲット(セキュリティ設計仕様書。以下、STという)が中心的な役割を担っている。
本STは、個人情報処理システムを対象としたモデルシステムを想定している。このサンプルSTを公開し広く普及させることにより、ST作成者の負担軽減、STの高品質化を図ることを目的に作成した。

ページトップへ

4 暗号技術調査・評価活動

4.1. CRYPTREC(暗号技術評価プロジェクト)の運営

2004年度に引き続いて、独立行政法人情報通信研究機構と共に CRYPTREC (暗号技術評価プロジェクト)活動を実施した。

2005 年度は引き続き、暗号技術監視委員会とその下部組織の暗号技術調査 WG 、及び暗号モジュール委員会にて、リストに掲載された暗号技術の安全性を継続的に確認するとともに、暗号モジュールの安全性確保を目的として、暗号モジュールの評価基準・試験基準の調査検討を行う等にあたり、当該年度の活動を取りまとめた報告書を作成した。

  • 暗号技術監視委員会
    • 第1回委員会:2005年06月20日
    • 第2回委員会:2006年03月08日
  • 暗号モジュール委員会
    • 第1回委員会:2005年06月02日
    • 第2回委員会:2005年10月14日
    • 第3回委員会:2005年12月16日
    • 第4回委員会:2006年01月27日
    • 第5回委員会:2006年02月23日

4.2. 暗号技術に関する監視活動

電子政府推奨暗号リスト掲載の暗号技術等に関する継続的な監視を行うとともに、下記の国際学会に参加し、最新の研究動向を調査分析した結果を、暗号技術監視委員会及び暗号技術検討会で報告した。

  • 5月22日-26日 EUROCRYPT 2005
  • 6月20日-22日 MAPTIC
  • 6月23日-24日 ECRYPT Workshop on Hash Functions
  • 8月11日-12日 SAC 2005
  • 8月14日-18日 CRYPTO 2005
  • 10月31日-11月1日 NIST CRYPTOGRAPHIC HASH WORKSHOP
  • 11月11日 FMSE 2005
  • 12月4日-8日 ASIACRYPT 2005
  • 12月10日-12日 4th INDOCRYPT
  • 12月14日-16日 CANS
  • 2月13日-17日 CT-RSA
  • 3月15日-17日 FSE 2006

ハッシュ関数の危殆化の影響等について調査し、どのような対策を取るべきかについて、技術面から本格的検討を開始するため、暗号技術監視委員会の下に署名・認証技術調査WG、ハッシュ関数WGを立ち上げた。

  • 署名・認証技術調査WG
    • 第1回WG 2005年04月25日
    • 第2回WG 2005年06月08日
    • 第3回WG 2005年07月06日
    • 第4回WG 2005年12月28日
    • 第5回WG 2006年02月24日
  • ハッシュ関数WG
    • 第1回WG 2005年04月25日
    • 第2回WG 2005年06月08日
    • 第3回WG 2005年07月06日
    • 第4回WG 2005年12月28日
    • 第5回WG 2006年02月24日

4.3. 暗号モジュールの安全性確保に関する活動

4.3.1 暗号モジュールの評価基準及び試験基準の作成

米国政府調達基準であるセキュリティ要件 FIPS 140-2 及びその試験要件である DTR ( Derived Test Requirements for FIPS PUB 140-2 )だけである。米国とカナダは FIPS 140-2 をベースに、暗号モジュールに対するセキュリティ要件の国際標準化を ISO/IEC に提案し、第 1 フェーズとして、 FIPS 140-2 をなるべくそのまま生かす形で標準化する方向で検討が進んでおり、 2006年4月にはIS 化される見込みである。

一方、我が国においては、2003年4月に暗号モジュール委員会を新設し、ISO/IEC等の国際標準の動向を注視しつつ、わが国の暗号モジュールセキュリティ要件及び試験要件の検討を継続して行っている。

そこで、日本において適用可能な要件を検討し、 基準類の策定作業を行うとともに、日本での管理作業の効率化のために、米国・カナダで運用されている暗号モジュール試験要件及び運用ガイダンスの内容、並びにわが国で作成した 暗号モジュール試験要件の内容をデータベース化し、認証機関や試験機関、暗号製品ベンダ等が、基準情報の管理や編集(基準管理者のみ)、閲覧や印刷、検索等を行えるシステムの開発を行った。

(1) 暗号モジュール検証ツールの開発

2003年度に引き続き、電子政府推奨暗号が実装された暗号モジュールの動作検証を行う検証ツールの開発を行った。
2003度は、検証ツールのプロトタイプと、デファクトとなっている暗号の中でもコアとなる暗号に対する検証機能を開発した。
2004度は、残りのデファクト暗号に対する検証機能の開発と、発注先以外のベンダーによる検証ツールの保守・機能追加を可能にするガイドブックの作成を行った。
本開発により,電子政府推奨暗号の多くに対して暗号モジュール検証を行うことが可能となった。

(2) 暗号モジュール試験基準データベースの開発

基準類の策定作業及び管理作業の効率化のために、米国・カナダで運用されている暗号モジュール試験基準及び運用ガイダンスの内容、並びにわが国で作成した暗号モジュール試験基準の内容をデータベース化し、認証機関や試験機関、暗号製品ベンダ等が、基準情報の管理や編集(基準管理者のみ)、閲覧や印刷、検索等を行えるシステムの開発を行った。

また、電子政府システムにおいて高い安全性を維持・確率するためには、数学的な安全性評価が不可欠であり、そのためにストリーム暗号の代数攻撃に対する安全検証方法についての研究を行う必要がある。
暗号アルゴリズム評価の実現のために、 フランスのFaugere氏が提案した、グレブナー基底計算アルゴリズムにおいては現在(2004年9月)世界最速のF4,F5アルゴリズムを、IPAの所有する暗号技術監視用グリッドコンピュータへ実装するプログラムの開発を行った。

(3) ストリーム暗号安全性検証用グレブナー基底計算プログラムの開発

電子政府システムにおいて高い安全性を維持・確率するためには、数学的な安全性評価が不可欠となっている。そのため、ストリーム暗号の代数攻撃に対する安全検証方法についての研究を行う必要がある。

近年の内外における研究結果を見ると、全ての代数攻撃はグレブナー基底の話に帰着することが証明されている。このような状況から、代数攻撃に対する安全性検証を行うにあたり、グレブナー基底計算アルゴリズムの開発を行うことが不可欠である。

暗号アルゴリズム評価の実現のために、 フランスのFaugere氏が提案した、グレブナー基底計算アルゴリズムにおいては現在(2004年9月)世界最速のF4,F5アルゴリズムを、IPAの所有する暗号技術監視用グリッドコンピュータへ実装するプログラムの開発を行った。

4.3.2 評価用標準プラットフォームの開発準備

暗号処理装置の実行時の漏洩情報、すなわち、外部から計測可能な情報(例えば、計算時間や電力消費量など)等の情報を利用して、秘密情報の解析を行う様々な攻撃手法が近年提示されている。現在の FIPS 140-2 には、これらの攻撃に対する基準は規定されていないが、特に IC カードに対しては、大きな脅威となりうることが報告されており、数年後には規格の中に取り込まれる可能性が高い。この領域に関しては、わが国において主体的に技術研究を行い、成果を国際標準に反映することが求められている。

従来、この種の研究結果についてオープンな議論が行われることは少なかった。評価基準の策定および研究開発の活性化にあたっては、同一環境で実験を行った結果についてオープンに議論可能な、評価用の標準プラットフォーム環境の構築が急務である。

今年度は、標準プラットフォームの要求仕様を決定した。

4.3.3 調査

電子政府、電子商取引において基盤技術として利用される暗号の安全を確保するため、以下の調査を行った。

(1) 暗号の危殆化に関する調査

電子政府、電子商取引において暗号は基盤技術として利用されている。しかし、計算機の進歩等の研究開発の進展により、いくつかの暗号については近い将来に 危殆化するものと予想されている。暗号が危殆化すると、電子署名の証拠性に疑義が発生し、電子政府における公文書、電子商取引における契約等の信頼性が揺 らぐと考えられる。
このような暗号の危殆化問題について、システム上の影響や技術的・制度的対策、法律上の問題に関する検討は未だ殆どなされていない。そのため、暗号が危殆化した際には、社会的な混乱が予想される。
そこで、本調査では主として電子政府において使用される暗号が危殆化した際の影響、法律上の問題について分析を行い、技術的・制度的対策に関する検討の結果を示した。

(2) イスラエルにおける暗号関連動向調査
  • 実施企業: イスラエルGlobalConn社

暗号分野における著名な研究者を有するイスラエルにおける情報セキュリティの動向を知ることは、世界の動向を知る上でも有用な情報となりうる。ま た、暗号監視活動の中でも特に暗号が危殆化した場合の対策については調査を開始したばかりの状態であり、イスラエルにおける対策に関する情報が得られれ ば、今後の対策立案においても有益な情報となりうる。

 本調査は、以上の背景をふまえ、イスラエルにおける、暗号の危殆化に対する制度、技術的対応、電子署名、タイムスタンプなどの法的、技術的状況などに関して調査し、とりまとめた。

4.3.4 「情報セキュリティと VLSI 技術に関する研究会」の設置・運営

暗号モジュールに対する攻撃法およびその対策の検討にあたっては LSI 動作解析技術分野の知識が必須となる。同分野と暗号分野の研究者・技術者との相互理解の醸成、人脈形成、技術課題の明確化及び共同研究の設定を目的に、「情報セキュリティと VLSI 技術に関する研究会」を設置し、合同ワークショップを6月4日、7月15日、東京大学において開催した。さらに、その成果は9月10日の集積回路研究会において発表された。

ページトップへ

5 国際関係業務

諸外国の情報セキュリティ関連組織からの情報収集と意見交換を行い、情報セキュリティに関する国際的な連携のための関係構築に努めた。米国NISTとの定期会議を開催し、情報セキュリティに関する情報交換を行った。
また、韓国KISAと定期協議を開き、情報セキュリティに関する共同研究を進めることが合意された。さらに、IPAとドイツ Fraunhofer/SITとが中心となり、日独ワークショップを開催した。:

訪問:

来訪:

参画している国際的団体:

  • ISO/IEC JTC 1 SC 27 (国内委員会: 社団法人情報処理学会 情報規格調査会 SC 27)
  • CCRA (Common Criteria Recognition Arrangement)
  • GBDe (Global Business Dialogue on e-Commerce)
  •  I-4 (International Information Integrity Institute)
  • EICAR (European Institute for Computer Anti-Virus Research)
  • AVAR ( Association of anti Virus Asia Researchers )
  • TOG (The Open Group) Security フォーラム
ページトップへ

6 情報セキュリティに関する研究・開発

情報通信システム(機器および網)のセキュリティ事故やサイバー攻撃に対する早期警戒システム(「分析と共有」)を構築するための技術開発、ならびにプライバシーに関する検討を行うための文部科学省 科学技術振興調整費による研究プロジェクト「セキュリティ情報の分析と共有システムの開発」に参画した。
本プロジェクトは、府省横断的な研究連携体制および大規模な研究テストベッドの構築を行い、我が国の情報セキュリティの研究開発体制を確立する。それらの成果を有機的に連携させ、大学における人材育成と教育、国による制度化、業界団体などへのフィードバックなどの手法で研究成果を適宜社会へ展開することなど通じて、国家レベルでの情報セキュリティの安全性確保のための体制を構築する。
本プロジェクトのうち、IPAが行っているテーマおよび概要は以下のとおり。

(1) 異常検知技術の開発

  • 接続属性に基づく異常検出方式の研究:
    インターネット上に配したセンサーボックスのTCPポートへのアクセスの内容について、その属性情報に基づき異常を検出する方法を確立し、実用化を図る。

(2) 脆弱性分析と克服のための技術開発

  • 脆弱性分析と克服のための技術開発:
    脆弱性検出精度を向上することを目的に、広く利用されているオープンソースソフトウェアの中から、共通の検査対象サンプルとして選定し、各種方法・ツールによる検査結果の比較を行い、精度向上と操作性向上を図る。
  • 組込みソフトウェアのセキュリティ評価に関する研究:
    組込みソフトウェアのセキュリティ要求基準と、その検査手法に関する研究を行う。
  • コンポーザビリティ概念に基づくセキュアプロトコルの評価に関する研究:
    セキュアプロトコルの標準化の際に必要となる安全性評価のフレームワークを確立することを目標とし、コンポーザビリティ概念に基づくセキュアプロトコルの評価手法を研究する。

(3) 脆弱性情報流通基盤および脆弱性情報利活用技術

  • 脆弱性情報収集基盤および脆弱性情報利活用技術:
    国内サイトのニーズに適合するように脆弱性情報および脆弱性対策情報を流通させる基盤として、情報蓄積・共有方式および情報公開、情報加工形式、検索方式のプロトタイピングを経て、実用化を図る。

また、総務省公募「電子政府に用いられるOSのセキュリティ品質評価方法の確立に向けた調査研究」を受託し、調査研究を行った。

ページトップへ

7 他組織への協力

標準化活動への参加 :

情報セキュリティマネジメントガイドラインの標準化を検討する ISO/IEC JTC 1/SC 27/WG 1 国内委員会において国内産業界の意見集約を行う作業で主導的な役割を果たし、国際会合に参画して日本のコメントが採択された。

暗号アルゴリズムの標準化を検討する ISO/IEC JTC 1/SC 27/WG 2 国内委員会の成果として、2004 年10月のブラジル会合などの審議を経て、国産暗号5技術が標準化候補として残された。

関係機関との協力・連携 :

内閣官房情報セキュリティ対策推進室の緊急対応支援チーム( NIRT )の活動を支援した。

財団法人 国際情報化協力センター(CICC)より、ミャンマーの政府関係者、産業界関係者、大学関係者の情報セキュリティに関する啓発を目的としたセミナーへの講師派遣依頼があり、ミャンマーの首都ヤンゴンにて情報セキュリティに関する講演を行った。

委員会・研究会等への参加 :

  • 情報セキュリティ総合戦略策定研究会
  • JIPDEC ISMS適合性評価制度運営委員
  • 日本規格協会 INSTAC セキュリティWG1委員
ページトップへ

8 その他

当IPA/ISECのWeb サイトアクセス状況:

(単位:ページビュー)

2005年 4月 1,754,204 2005年 5月 1,786,315 2005年 6月 1,891,323
2005年 7月 1,812,778 2005年 8月 1,795,245 2005年 9月 1,657,257
2005年10月 1,853,651 2005年11月 1,809,789 2005年12月 1,890,645
2006年 1月 1,972,573 2006年 2月 2,049,559 2006年 3月 2,525,396

2005年度の月平均アクセス数は、1,899,895/月 であった。

ページトップへ