届出の受理

経済産業省告示に基づき、コンピュータウイルス発見届出および不正アクセス届出について受理する業務を行った。

届出受付データの充実、実態のより一層の把握のため、届出制度への定常的な届出協力を広く呼びかけ、新規の協力先を加える等、届出協力体制の強化に努めた。

毎月届出状況をまとめ、報告書を作成しプレス記事の投げ込み発表並びにホームページ等により広く一般に公表している。

なお、ウイルスの 2005 年 4 月〜 2006 年 3 月の期間の届出件数は 41,607 件、不正アクセスの 2005 年 4 月〜 2006 年 3 月の期間の届出件数は 476 件であった。

観測による情報収集・分析

ネットワーク観測システムによる継続的な情報の収集・分析を行い、状況把握に活用するとともに、ネットワーク経由の不正アクセス状況等の分析結果の公表を開始した。

また、事前にTALOT2に変化が現れる可能性があるとき(平成17年8月15日等）は関係機関に情報を迅速に提供できる体制をとり対応。

公開情報の収集

日々報告されるソフトウェア脆弱性情報、情報セキュリティ関連ニュース等に関して情報収集を行った。

情報セキュリティ関連情報の蓄積

セキュリティセンターでは、上記活動により収集した情報セキュリティ関連情報を系統的に整理、電子的に蓄積し、情報の分析や発信等、日々の業務に活用した。

緊急対策情報、注意喚起 等の提供

新種ウイルス情報 、脆弱性情報並びにネットワーク観測状況の提供などの情報提供を行い、更に緊急時に於いては緊急対策情報を提供する等、普及啓発に努めた。

2005 年度は、25 件の「緊急対策情報」を発信した。

また、新種ウイルス、脆弱性に関して注意喚起を行った。特に、新規に発見された脆弱性情報については、継続的な情報発信を行った。

相談対応

ウイルス、不正アクセス、その他情報セキュリティに関する様々な問い合わせにつき、電話・電子メールによる相談対応を行った。 2005 年度は約 7,800件について対応した。

また、問い合わせ対応に関する サービス向上、効率化のために、夜間・休日など問い合わせに対応できる「問い合わせ自動対応システム」を本格活動を開始し、約4,700件について対応した。 国民生活センター等の協力のもとに作成した、ワンクリック詐欺の対応方法の資料を「 FAX 応答機能」により発信する等、サービスの向上を実現した。

セミナー・講演

情報セキュリティ対策に関し、4つのイベントの企画・協力にあたった。

• 情報セキュリティセミナー
• 第6回 ICCC 2005 in Tokyo
• IPAX 2005
• ウェブアプリケーション開発者向けセキュリティ実装講座
• 重要インフラ事業者向け情報セキュリティセミナー
• IPA Cryptography Forum 2005
• CC関連セミナー

海外情報セキュリティ関連文書の翻訳

政府や企業の経営者、セキュリティ担当者などが、自組織の情報セキュリティ対策を向上させることに役立つ資料として、世界的に評価の高い海外の情報セキュリティ関連文書等の翻訳・調査研究をNRIセキュアテクノロジーズ(株)と共同で行い、成果を公表した。

ソフトウェア脆弱性情報の届出受付・分析および開示

経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」に基づき、脆弱性関連情報の届出の受付機関として、ソフトウエア製品及びウェブアプリケーションの脆弱性に関わる情報の届出を受付け、四半期毎に届出状況をまとめ、プレス記事を発表するとともにホームページで広く一般に公表した。

なお、2005年度末時点での届出受付状況は、ソフトウエア製品の脆弱性関連情報が123件、 ウェブアプリケーションの脆弱性関連情報が296件、計419件であった。

また、脆弱性の低減に資するため、技術開発・調査研究を行い、調査分析結果をホームページを通じて公表した。また、文部科学省および総務省の公募に応募・採択され、技術開発・調査開発を行った。

普及啓発

脆弱性軽減のための情報発信として「Apache Tomcatにおけるリクエスト処理に関する脆弱性」については、問題を修正し、本脆弱性を解消する修正プログラムを作成、また、「安全なウェブサイトの作り方」などの資料を公表した。

「情報システム等の脆弱性情報の取扱いに関する研究会」の運営

上記の届出受付の運用実績を踏まえ、「情報システム等の脆弱性情報の取扱いに関する研究会」を開催するとともに、同研究会の下に「組込みソフトウエアWG」を設置し、情報セキュリティ早期警戒パートナーシップの見直し、組込みソフトウエアにおける脆弱性の取扱いなどについて検討し、報告書を取りまとめた。

また、社会的影響の大きさからセキュリティ上の10大脅威を選び、脅威を分析し、今後の対策を検討して「情報セキュリティ白書2006年版」を編集し公表した。

3.1.1 セキュリティ評価・認証制度の推進

認証書発行までの期間を短縮し、制度運用の改善を進めている。なお、2005年10月1日から全て有料化するとともに、 情報セキュリティ評価認証制度を利用者にとってわかりやすいものにすべく、これまで複雑化していた体系（31規程）を抜本的に改訂し、12規程4要領に整理した。

情報セキュリティ評価・認証制度について、図や表を用いて表したわかりやすいPR資料を作成し、広報を実施した。 また、ICカードについて、主要ベンダに対し普及活動を実施するなど認証の取得を促進した。

また、認証の取得製品の調達を促すため、政府に対し制度の説明を随時実施した結果、情報セキュリティ政策会議（議長：内閣官房長官）において決定された「政府機関の情報セキュリティ対策のための統一基準（平成17年12月版（全体版初版））」に、情報システムのセキュリティ要件の基本遵守事項・強化遵守事項としてITセキュリティ評価及び認証制度に基づく確認または認証の取得等が盛り込まれた。

ITセキュリティ評価・認証制度推進者会議(CCWG)の運営を行った。その他、システム評価のためのISO/IEC規格策定に向け、働きかけを実施した。

3.1.2 情報収集・国際連携

• 国際会議 ICCC(International Common Criteria Conference) の実施
• 韓国のCCRA加盟への支援

3.1.3 普及啓発活動

• CC関連セミナーの開催
• 「コモンクライテリア プロフェッショナル」登録制度の運用
• 第6回国際コモンクライテリア会議を日本で主催者として開催

3.1.4 セキュリティ評価技術調達活動

• 個人情報処理システム用セキュリティターゲット

暗号モジュールの評価基準及び試験基準の作成

米国とカナダはISO/IEC に対し、米国政府調達基準である暗号モジュールに対するセキュリティ要件FIPS 140-2をベースとした国際規格作成を提案し、2006年4月にISO/IEC 19790として規格化された。さらに、現在、FIPS 140-2に対する試験要件DTR（ Derived Test Requirements for FIPS PUB 140-2 ）に相当する、ISO/IEC 19790版の試験要件ISO/IEC 24759の規格化が進められている。

一方、我が国においては、2003年4月に暗号モジュール委員会を新設し、ISO/IEC等の国際標準の動向を注視しつつ、わが国の暗号モジュールセキュリティ要件及び試験要件の検討を継続して行っている。
そこで、日本において適用可能な要件を検討し、 基準類の策定作業を行うとともに、日本での管理作業の効率化のために、米国・カナダで運用されている暗号モジュール試験要件及び運用ガイダンスの内容、並びにわが国で作成した 暗号モジュール試験要件の内容をデータベース化し、認証機関や試験機関、暗号製品ベンダ等が、基準情報の管理や編集（基準管理者のみ）、閲覧や印刷、検索等を行えるシステムの開発、などを行った。

また、ハッシュ関数の危殆化の影響等について調査し、どのような対策を取るべきかについて、技術面から本格的検討を開始するため、暗号技術監視委員会の下に署名・認証技術調査WG、ハッシュ関数WGを立ち上げた。

なお、今年度は上記を含め、以下の技術調査・開発を行った。

• 暗号モジュール検証ツールの開発
• 実施企業： 三菱電機株式会社

• 擬似乱数検証ツールの調査開発（改修）
• 実施企業： 東芝ソリューション株式会社

• イスラエルにおける暗号関連動向調査
• 実施企業： イスラエルGlobalConn社

そのほか、 暗号モジュール試験及び認証制度が運用されている米国の機関へ要員3名を派遣し、試験・認証要員の養成を行った。