1.1 背景

　近年のインターネットの急激な拡大・普及にともなって、世界中のコンピュータが１つのネットワークに繋がるようになり、あらゆる情報の入手や、BtoB、BtoC間での様々な電子商取引も、インターネットを利用して行われるようになってきました。インターネットを利用することにより、利便性が高まる一方で、国、企業、個人の情報と情報を扱うコンピュータが、悪意ある人やプログラムによる脅威にさらされており、そこにセキュリティリスクが発生しています。

1.2. 沿革

1988年末	我が国において、初めてコンピュータウイルス事件が報道された。
1990年 4月	通商産業省より「コンピュータウイルス対策基準」が告示。 コンピュータウイルスに関する被害拡大防止と再発を防ぐための情報の届け出機関として ＩＰＡ が指定された。
1991年10月	ＩＰＡ内にコンピュータウイルス対策室が設置された。
1995年 7月	通商産業省より「コンピュータウイルス対策基準」 が改訂告示された。
1996年 8月	通商産業省より「コンピュータ不正アクセス対策基準」 が告示された。 不正アクセスに関する被害拡大防止と再発を防ぐための情報の届け出機関として ＩＰＡ が指定された。
1996年10月	コンピュータセキュリティ対策室が設置された。
1997年1月	セキュリティ センター（IPA/ISEC）が設立され、発足 した。（セキュリティ関連の問題が相互に密接な関わりをもって生じてきていることや、これらへの技術的対応が一層高度になってきたため、情報セキュリティ施策を一元的に展開する体制として発足 した。）当センター内に、ウイルス対策室、不正アクセス対策室、暗号技術調査室及び企画室を設置した。
1998年 5月	セキュリティ評価タスクフォース（CCTF）を設置した。 日本におけるセキュリティ評価技術の確立を目指す活動を実施する組織体制を整備。 CCTFでは、「情報技術セキュリティ評価基準(ISO/IEC15408)」に準拠して、評価する技術を開発。
1999年 7月	セキュリティ評価・認証室を設置した。 セキュリティ評価・認証制度の実施に必要な組織体制、規程類等の検討を開始。
2000年 4月	通商産業省の「情報セキュリティ政策実行プログラム」に基づいて、電子政府情報セキュリティ対策技術開発事業として、電子 政府を目指すシステムの構築で使うためのセキュリティ技術開発、 セキュリティ評価・認証関連活動等を開始。
2000年 5月	TAO（通信・放送機構） と協力して暗号技術評価プロジェクト CRYPTREC を開始。
2001年 5月	IPA セキュリティセンター内部の組織を変更。 情報セキュリティ関連情報を、より効果的かつ効率的に集積・処理するための組織変更。 経済産業省によるセキュリティ評価・認証制度の創設、 IPA にて認証調査業務を開始。
2002年 4月	IPA セキュリティセンター内部の組織を変更。
2004年 1月	独立行政法人 情報処理推進機構へ改組。 IPA セキュリティセンター内部の組織を変更。 情報セキュリティ認証室を設置した。 情報セキュリティ技術ラボラトリーを設置した。 情報システムの脆弱性の検証・解析、脆弱性をつく攻撃手法の分析・対処策の策定等の機能を強化。 普及グループを設置した。 情報セキュリティに係る普及啓発、情報提供及び国際的なセキュリティ関連組織との協調・連携を強化。
2004年 4月	セキュリティ評価・認証制度の認証機関としての業務が、独立行政法人製品評価技術基盤機構 (NITE) より IPA に移管され、認証事業を開始。
2004年 7月	経済産業省より「ソフトウエア等脆弱性関連情報取扱基準」 が告示された。 ソフトウエア製品及びウェブアプリケーションの脆弱性関連情報の受付機関として ＩＰＡ が指定され、届出の受付を開始した。
2007年 4月	暗号モジュール試験及び認証制度の 暗号モジュール認証機関として認証業務を正式に開始。
2007年 7月	情報セキュリティ分析ラボラトリー準備室を設置した。
2008年 4月	情報セキュリティ分析ラボラトリーとして分析業務を正式に開始した。

1.3. ミッション

IPA セキュリティセンター（IPA/ISEC）は、わが国において情報セキュリティ対策の必要性・重要性についての認識を啓発・向上し、具体的な対策実践情報・対策手段を提供するとともに、セキュアな情報インフラストラクチャ整備に貢献することをミッションとしています。

1.4. 活動の手段

情報セキュリティに関して、現状に関する情報収集を行い、市場において実施されていない、もしくは、リスクが大きく実施できない内容に関して、研究開発及び研究開発を行い、その結果をホームページ、セミナーその他の手段によって組織や個人に情報を提供しています。

1.5 組織体制

>> 現行組織体制

2.1. 情報セキュリティ対策の情報サービス

2.1.1. 情報セキュリティに関する啓発と対策実践情報の提供

IPA/ISEC では、パブリックサービスとして、情報セキュリティに関するリスクと対策に関する啓発、情報発信を行っています。我々の web ページには、各ポータルサイトからのリンクをはじめ、日々各サイトからのリンク依頼が寄せられ、多くの人がアクセスしています。 このサイトが、情報セキュリティに関する情報のポータルサイトとなって、情報セキュリティに関する情報を必要としている人々に的確な情報を提供できるように努力しています。（情報発信戦略）
また、啓発活動として、毎年全国約 10 カ所で情報セキュリティセミナーを開催しています。
さらに、国内外のウイルス被害の実態、不正アクセス対策技術動向、等の調査報告書や、情報セキュリティ全般に対する現状と今後の動向等に関する報告書をまとめて IPA/ISEC の web ページで公開しています。
また、より充実した情報セキュリティに関する情報を発信できるよう、国内や海外の関係機関と連携し、意見交換や共同研究を進めています。

2.1.2. コンピュータウイルス、不正アクセスに関する届出受理と相談対応

FAX、e-mail等により被害の届出を受け付けており、件数及び被害の概要と対策を、毎月プレス発表しています。ウイルス被害に関しては、2004 年には、大量メール送信型のウイルスの多発、次々に出現するウイルスの亜種、ユーザの情報を盗もうとする悪質なウイルスの増加により 52,000 件を越える過去最大の届出がありました。この内容は新聞各紙及び各報道機関のホームページに掲載されています。
また、相談電話、e-mailにより、毎月 750 件程度の相談に個別に対応し、相談内容は FAQ としてまとめて web ページで公開しています。
さらに、インターネットから一方的に送られてくる不正なアクセスを観測することで、ワームやボットによるコンピュータの脆弱性を狙った攻撃の分析や、意図不明なアクセスの解析を行い、その結果を web ページで公開しています。

2.1.3. 情報セキュリティ対策調査・技術調達と成果の普及

情報セキュリティを確保するために必要となる基盤技術やソフトウェアの調査及び研究開発を行い、web ページで成果を公開しています。

2.1.4. ソフトウェア脆弱性情報の届出受付・分析および開示

ソフトウェアの脆弱性に起因するインシデントの発生は後を絶ちません。そのような状況に対処するため、2003年度に「情報システム等の脆弱性情報の取扱いに関する研究会」を設置し、脆弱性情報の届出から公表に至るまでの包括的な脆弱性情報の取扱いプロセスを検討し、それに基づいた脆弱性分析を行なうための体制として、2004年1月に「情報セキュリティ技術ラボラトリー」を設置し、2004年度から本格的に活動を開始しています。
2004年7月から、脆弱性関連情報の届出を受付け、ウェブアプリケーションの脆弱性についてはウェブサイト運営者への脆弱性関連情報の通知や修正の確認等を、ソフトウエア製品の脆弱性については届出内容に基づく検証を実施し、調整機関への脆弱性関連情報の通知や対策情報の公表等を行っています。 このほかに、届出状況を取りまとめ、webページで公表しています。

2.2. セキュアな情報インフラストラクチャの促進

2.2.1. 暗号技術調査・評価事業

電子政府において安全なシステムを構築するためには、利用する暗号のアルゴリズムやモジュールに対する安全性、効率性を確保することが不可欠です。電子政府での利用が期待される暗号技術に対する性能等を、技術的・専門的見地から客観的に評価し、これらの評価結果を政府において暗号技術を利用する際の参考となるように 電子政府推奨暗号リストとして取りまとめ 、その安全性を継続して確認しています。
また、暗号モジュールの安全性を確保するために、 暗号モジュールの評価基準及び試験基準の作成や暗号実装関連技術等の調査・検討を行っています 。現在、 NICT( 情報通信研究機構）と協力して CRYPTREC プロジェクトを進行しています。

2.2.2. 情報セキュリティ認証事業

ISO/IEC 15408 に基づいた情報セキュリティ評価・認証制度 (JISEC) は、情報システムやそれを構成する機器・ソフトウェアが、セキュリティの観点から想定した仕様通りに設計され、その設計が正しく実装されているかを、「情報技術セキュリティ評価基準 (ISO/IEC15408) 」に準拠して、第三者 ( 評価機関 ) が評価し、公的な機関 ( 認証機関 ) がその評価結果を認証する制度です。
情報セキュリティ認証事業では、認証機関として本制度を運営し、セキュリティ評価に係る開発者や評価者のために ISO/IEC15408 、セキュリティターゲット作成の手引などの資料を公開しています。
なお、 2004 年 4 月、本制度の認証業務が、独立行政法人製品評価技術基盤機構 (NITE) より IPA に移管され、認証機関としての業務を行っています。

2.2.3. 暗号モジュール認証事業

ISO/IEC 19790等 に基づいた暗号モジュール試験及び認証制度(JCMVP) は、暗号モジュールが、その内部に格納するセキュリティ機能並びに暗号鍵及びパスワード等の重要情報を適切に保護していることを、第三者 ( 暗号モジュール試験機関 ) が試験し、公的な機関 ( 暗号モジュール認証機関 ) がその試験結果を認証する制度です。
暗号モジュール認証事業では、暗号モジュール認証機関として本制度を運営し、暗号モジュール試験に係る開発者や試験者のために必要な資料を公開しています。

2.2.4. 重要インフラストラクチャ情報セキュリティ対策

政府の情報セキュリティ対策を総合的に推進するために内閣官房に設置された情報セキュリティ対策推進室で行っている各省庁の情報セキュリティ対策に係る技術的な調査、助言に協力しています。