電子政府情報セキュリティ基盤技術開発(平成12年度)

IPAでは、情報セキュリティ研究開発の成果をフリ−ソフトウェアなどとしてWeb上で公開し、その成果の普及に努めています。
各テーマに関する詳しい内容や成果については、下記にある報告書またはリンク先をご覧下さい。
本技術開発は、2003年度までに行政手続きを電子化する電子政府の推進において情報セキュリティ面が制約要因とならないよう、電子政府における情報セキュリティ確保のための基盤技術の開発を行うことを目的として、公募によって採択され実施されたものです。

 
●W3C勧告準拠のXML署名基盤技術開発とリファレンス提供
実施機関: 開発者:日本電気株式会社  
概要: XML署名は、デジタル経済の進展とXMLの普及に伴い、電子署名付文書のデファクト標準となることが極めて有望とされている。また、政府が推進する電子政府アプリケーションにおいても、電子署名として国際標準のXML署名フォーマットが採用されることが期待されている。
電子署名付フォーマットが標準化されていない場合、電子署名付文書の構造は各アプリケーション固有の構造となり、電子署名ライブラリも個別に作られることになり、電子商取引が普及する際の大きな問題となる。
また、電子政府においては、今後の申請業務の多様化と民間電子商取引との連携、および、海外政府との公文書交換等の適用場面の広がりを考えると、マルチベンダ環境での電子署名の使用は避けられない。現状では、XMLパーサの非互換により各社の署名付与、検証システム間の相互運用性がないことが問題になっている。
このシステムは、電子政府における情報セキュリティ確保の一環として、電子文書の改竄防止を保証する技術を実証し、標準化を目指す。電子政府システムや民間の電子商取引システム等で標準的に使用可能な、XML 署名基盤技術(API、電子署名基盤ソフト、取扱説明書等)を開発し、その妥当性を検証するものである。
このシステムにより、電子署名ライブラリのデファクト標準化を図るとともに、民間の範となる方式を示すことで広く民間を含むXML署名文書の相互運用性を確保し、電子商取引の普及を促進できるようになる。 		報告書
(226KB)
pdf

ソフトウェア ダウンロード
 
●長期保存文書のための電子署名期限延長技術開発
実施機関: 電子文書長期保存技術検討コンソーシアム  
概要: 電子政府では、電子化される申請や調達に関する書類の真正性を保証するために、公開鍵証明書に基づく電子署名が用いられるが、現在、公開鍵証明書には、数ヶ月乃至数年という有効期限が存在するほか、証明書記載事項変更/新規証明書使用開始/秘密鍵の危殆化などの理由による失効および電子署名に用いる暗号技術の脆弱化などによる公開鍵証明書の有効性について問題点等が指摘されている。
公開鍵証明書には有効期間が存在するため、有効期間外または証明書の失効時刻以降ではデジタル署名による電子文書の真正性を保証することができないこととなる。検証時点で署名の有効性を確認し、タイムスタンプを付けることで、後にこの署名が署名時点から検証時点までに有効であったということを証明する。それをもって有効期限を過ぎた時点でもその署名有効であると見なすことが長期保存の極めて効果的な方策の一つといえる。
このシステムは、紙が有している原本性の保証と同様に、電子化された文書の真正性を長期間維持するための電子署名の有効期限延長技術(電子署名延長技術)を開発する。本電子署名延長技術は、自己が作成したもの、他人が作成したものによらず、オリジナルの署名の有効性を第三者が容易に検証可能であるような完結したデータを生成/管理し、それを検証者の手元に容易に提供できる機能を具備することにより、電子文書の長期にわたる真正性を確保する上で生じる課題を克服すると共に電子文書の利便性を供することとなる。 		報告書
(42KB)
pdf
 
●電子政府情報セキュリティ技術支援に関する調査と技術開発
実施機関: 株式会社三菱総合研究所  
概要:  政府部門(中央省庁)に不足している情報セキュリティ対策機能を抽出する作業を行った。各省庁におけるニーズをヒアリング調査し、米国における類似組織の状況を調査した。わが国の中央政府においては、インシデント対応(CSIRT)機能、情報セキュリティ情報を交換するための機構が不足していることが明らかにされた。
 報告書
(125KB)
pdf
 
●システムのセキュリティ評価技術に関する研究開発
実施機関: (社)電子情報技術産業協会  
概要: システムのセキュリティ評価に関しては、製品単体に比べて構成が複雑なためにセキュリティ評価作業が膨大になりやすく、セキュリティ評価の適用が困難であった。
この評価技術開発は、システムとしての特徴的なセキュリティ問題を抽出することによって、実効性が少ない評価項目の削減とシステムとして必要な評価項目の強化をはかり、システム向けの実用的なセキュリティ評価技法を開発しようとするものである。
この評価技術開発を通して、システム向けの新しい保証パッケージ(セキュリティ評価項目のセット)を開発した。また、この保証パッケージに基づいて実際のシステムを対象に試行評価を行い、保証パッケージの有効性を検証した。
この評価技術開発に伴い、電子政府向けシステムのセキュリティ評価に適用できるプロテクションプロファイル(PP)を開発した。このPPは、海外のセキュリティ評価機関によって評価を受け、内容の正当性を確認した。
さらに、これらの開発活動を通して得られた知見を反映して、昨年度の開発技術であるセキュリティ評価支援ツールの改良を行った。
 報告書
(162KB)
pdf
 
●プロセスアセスメント技術を適用したシステムセキュリティ評価技術の開発
実施機関: 株式会社情報数理研究所  
概要: 情報セキュリティ評価技術に関しては、個々のIT製品に対するセキュリティ評価技術は国際規格「ISO/IEC 15408 情報技術セキュリティ評価基準」により確立されているが、システム全体のセキュリティ評価技術は同規格により理論的にはカバーされているが、現実的には困難な課題であり未完成であるのが現状である。
この技術開発は、米国において実績のあるソフトウェアプロセスアセスメント(改善・判定)技術である CMM(Capability Maturity Model)をセキュリティプロセスに適用した SSE-CMM (Systems Security Engineering - CMM)の考え方を一つの模範として、日々変化するセキュリティに対する脅威等に対応したシステム保守・運用時における継続的なセキュリティ確保を目指して電子政府システムの情報セキュリティ確保に必須であるシステム全体のセキュリティ評価技術の開発を行うものである。
これにより開発される我が国のシステム開発・運用実態に適合したセキュリティ評価技術を、電子政府システムの調達基準等に利用することにより、よりセキュアな電子政府の基盤を構築することができる。
 報告書
(82KB)
pdf
 
●自動パッチ配布・適用・管理技術に関する調査
実施機関: 株式会社東芝 情報・社会システム社  
概要: 最新のパッチを当てることは単純な作業ではなく、最新のOSのパッチを当てたことによって、それまで動いていたアプリケーションが動作しなくなるといった事例は数多い。それぞれのソフトウェアのパッチは、他のソフトウェアへの影響がないことを検証した上で当てなければならない。こうした理由により、パッチを当てる作業は複雑であり、そのため、パッチが正しく当たらない(当てられない)ことによりセキュリティホールを埋められず攻撃にさらされ続けているシステムが多い。
パッチ適用作業の自動化及び関連情報管理システムの開発に関し、そのフィージビリティスタディを実施した。調査内容は下記の通りである。:
(1) 実際に提供される OS 及びミドルウェアのパッチの調査
 パッチ自動化可能範囲と要件、自動化されない部分への対応方法等の考察と、負荷軽減の度合の分析。
(2) 既存のパッチ適用もしくはバージョンアップツールの調査
 既存パッチ適用システム等と想定するパッチ適用自動化システムの比較分析。
(3) 調査対象以外の環境への応用可能性の分析
 想定するパッチ適用自動化システムでカバー可能な対象に関する分析。
これらの調査・分析により、既存のシステムと当該パッチ適用自動化システムでは実現方式やカバー範囲などにはそれぞれのシステムにより特色があり想定するシステムと一致するようなものはないとの結果が示されたが、パッチ適用負荷の軽減という命題に対しては、当該システムで想定しているパッチ適用可否情報の取り扱いや実現方式の優位性の判断、適用範囲の拡張性の面で課題が残った。
 報告書
(33KB)
pdf
 
●セキュリティポリシー策定・運用支援ナレッジマネジメントシステムの開発
実施機関: 株式会社日本総合研究所  
概要: セキュリティ対策の基本方針を定めるものとして、セキュリティポリシーが必要不可欠と考えられている。しかし、セキュリティポリシー策定・運用の分野では、対象となる検討範囲が多岐に及ぶことから策定にあたって多くのノウハウを必要とし、また運用についても膨大な資料の整合性を保つための労力が必要とされている。そこで、これらにかかる作業の負荷を低減することが期待されている。
本開発では、「セキュリティポリシー(関連規程文書)策定」、及び「個別のセキュリティ対策(運用)」について、既存のエキスパートシステム及び文書管理システムの機能を活用した支援システムを実現し、セキュリティポリシーの策定に要する作業負担を軽減し、効率的なポリシー運用によるセキュリティの向上を目的とするものである。
本年度はナレッジマネジメントシステム開発に先立ち、文書ジェネレータにおける基礎入力となる「セキュリティポリシーの雛形」を策定し、セキュリティポリシー雛型の策定時における論点と判断基準を整理し、知識ベースの参考資料となる「セキュリティポリシー策定論点集」を作成した。また、システム開発のうち以下に示す 4つの独立した機能につき内部設計レベルまでを実施した。
・セキュリティ情報受け渡しフォーマット設計
・セキュリティ対策エキスパート機能設計
・セキュリティ関連規程・文書ジェネレータ機能設計
・セキュリティ関連規程・文書管理機能設計
 報告書
(99KB)
pdf
 
●Crypto-APIの開発
実施機関: 三菱電機株式会社  
概要: 電子政府や電子調達などの電子政府システムの多くは、PKI(公開鍵基盤)に基づいて構築されようとしている。これらの電子政府システムの開発・保守性及び相互運用性を高めるために、電子政府対応の利用者側認証システム構築に用いられる PKI ライブラリの標準仕様を確立することが重要である。
また、電子政府認証基盤用の暗号を利用可能とするとともに、今後のより良い暗号に容易に切り替えられる仕組み等が必要である。
本プロジェクトでは、これらのニーズに応えるような PKI ライブラリの標準的 API 仕様を開発し広く公開して行くことを目標としている。平成 12年度は、PKI ライブラリのモデル化、セキュリティ機能要件検討及びアーキテクチャ設計を経て、PKIライブラリの機能設計を実施した。
 報告書
(143KB)
pdf

問い合わせ/IPA セキュリティセンター
E-mail: isec-info@ipa.go.jp