HOME >> IPAについて >> 事業成果報告集 >> 2008年度(平成20年度)成果報告集 >> 調査(セキュリティ)

調査(セキュリティ)

「2008年 国内における情報セキュリティ事象被害状況調査」報告書
株式会社三菱総合研究所
報告書  
「概要」
コンピュータウイルス等の情報セキュリティ事象による被害が社会に大きな影響を及ぼしており、防止策及び被害時の適切な対応方策の策定、並びに普及は非常に重要な課題となっている。
本調査は、このような状況を踏まえ、組織における最新の情報セキュリティ関連事象の被害実態や対策の実施状況を把握し、情報セキュリティ対策を推進していくことを目的として実施した。
「2008年度第1回 情報セキュリティに関する脅威に対する意識調査」報告書
「2008年度第2回 情報セキュリティに関する脅威に対する意識調査」報告書
株式会社野村総合研究所
第1回報告書 第2回報告書  
「概要」
近年、コンピュータウイルスだけでなく、スパイウェア、ボット、標的型攻撃等、様々な脅威が存在し、被害を生じさせている。
このような状況を受け、PC インターネット利用者に対して、これらの脅威に対する正しい認知や理解、またトラブルを防ぐための対策およびトラブル発生時の対応等、適切な情報提供、普及啓発活動が求められている。
本調査は、このような課題に対し、PC インターネット利用者へのウェブアンケートを通じて、脅威に対する認知度、対策の実施状況等の実態を把握し、IPA が行なう情報セキュリティに関する対策情報の発信、普及啓発等の活動に役立てることを目的として実施した。
「IC旅券用プロテクションプロファイル」に関する調査報告書
報告書  
「概要」
現在、我が国の次期IC旅券には、国際民間航空機関(ICAO)が策定したIC旅券の国際標準で必須とされているデータ改ざん防止機能と、オプションである盗聴防止機能が搭載されているが、新たにクローン防止機能である能動認証が将来加わる可能性がある。
本調査では、現在のIC旅券のセキュリティ機能に、能動認証を追加した次世代IC旅券のためのセキュリティ機能及び使用環境の要件を調査し、次世代IC旅券用プロテクションプロファイル(典型的なセキュリティ要件を想定したセキュリティ基本設計書の雛形)及びその解説書としてまとめた。
 ※本プロテクションプロファイルは、評価認証制度において認証されたものではない。
SIPに係る既知の脆弱性に関する調査報告書 改訂第2版
株式会社ユビテック
株式会社ソフトフロント
報告書  
「概要」
本調査報告書は、一般に公表されているSIPの既知の脆弱性情報を収集・分析し、解説書としてまとめたものである。SIPに関連する22項目の脆弱性の詳細と、発見の経緯や現在の動向、開発者向けの実装ガイド、ソフトウェアや機器を利用する運用者や利用者向けの運用ガイドを記載している。
今回の改訂第2版では、SIP/RTPの暗号化に関して、TLSの不適切な利用や、SRTPで用いる共通鍵を交換する場合の問題などの調査を実施した。また、近年報告されているSIP/RTP管理用のWebインターフェースのSQLインジェクション脆弱性やクロスサイト・スクリプティング脆弱性に関して調査を実施した。
TCP/IPに係る既知の脆弱性に関する調査報告書 改訂第4版
株式会社ラック
報告書  
「概要」
本調査報告書は、一般に公表されているTCP/IPの既知の脆弱性情報を収集・分析し、解説書としてまとめたものである。TCP/IPのプロトコルに関連する25項目の脆弱性の詳細と、発見の経緯や現在の動向、開発者向けの実装ガイド、ソフトウェアや機器を利用する運用者や利用者向けの運用ガイドを記載している。それぞれ、IPv4環境だけではなく、IPv6環境での問題も記載している。
今回の改訂第4版では、IP関連の脆弱性として、1999年頃から公表され現在でも注意が必要な「IPヘッダオプションのデータ長が0のパケットの問題」、2007年に公表された「IP経路制御機能(ソース・ルーティング機能)によりサービス不能状態に陥る問題」に関して調査を実施した。
イスラエルにおける情報セキュリティ関連動向調査報告書
報告書  
「概要」
テーマ1:「イスラエルにおけるボットに対する取組み状況調査」
ボットによる被害は世界的に拡大しているが、海外における詳しい被害実態を、日本から把握することは困難である。そこで、セキュリティ産業が盛んであるイスラエルにおいて、ボット対策の現状等について調査を実施した。又、イスラエルにおけるボットに対する調査・研究実績、セキュリティ製品の動向についても調査を実施した。
 
テーマ2:「イスラエルにおけるファイル保護技術に関する動向調査」
イスラエルでは、ビジネスの様々な場面でファイル保護技術が使用されている。特に、医療や金融等の分野では、重要な情報を秘匿するための有効な手段として、ファイル保護技術が広く普及している。そこで、イスラエルにおけるファイル保護技術の現状について調査を実施した。
欧州における情報セキュリティ関連動向調査報告書
報告書  
「概要」
テーマ1:「欧州における公開鍵暗号基盤(PKI)の移行計画に関する調査」
現在、世界各国で公開鍵暗号基盤(PKI:Public Key Infrastructure)が広く利用されている。PKIを構築するために使われている暗号技術としては、公開鍵暗号、ハッシュ関数、(擬似)乱数生成がある。これら技術のうち、公開鍵暗号としてはモジュラス1024bitのRSA暗号が主として利用されている。ハッシュ関数としては、SHA-1が主として使用されている。
最近、モジュラス1024bitのRSA暗号とSHA-1に関しては、方式的な寿命が近付いていると認識されており、新しい暗号技術への移行が検討されていると考えられている。欧州各国における移行計画に関しては、我が国からは極めて情報が乏しい状況にあり、我が国における移行計画策定の参考とするため、欧州におけるPKIの移行計画に関して調査を実施した。
 
テーマ2:「欧州委員会における暗号技術に関わる研究開発動向調査」
欧州委員会では、委員会指令に基づき、NESSIE(New European Schemes for Signatures, Integrity and Encryption)、ECRYPT(European Network of Excellence for Cryptology)といった暗号技術に関わるプロジェクトを継続的に実施している。日本の企業・研究者も、これらのプロジェクトに参加し、活動を行っている。しかし、これらのプロジェクトは、欧州における暗号研究者の育成には役立っているものの、その成果が、欧州各国の情報セキュリティ産業の振興に直接的に寄与しているとは言いがたい状況であると考えられる。一方、我が国でも、電子政府推奨暗号リスト改定の検討を開始しており、この一環として、暗号技術の公募を検討しているが、これは即ち、我が国の暗号技術の振興という技術政策の一面を持つ。そこで、欧州における暗号技術の振興を行うに至った背景、及び、今後の動向を調査した。
組込みシステムのセキュリティへの取組みガイド
報告書  
「概要」
開発プロジェクトの開発者・開発責任者・意志決定者(経営層)を対象として、組込みシステム開発関係者のセキュリティ意識向上と、よりセキュアな組込みシステムの実装を行うことを狙いとした、「組込みシステムのセキュリティへの取組みガイド」をまとめた。
自動車と情報家電の組込みシステムのセキュリティに関する調査報告書
株式会社ユビテック
報告書  
「概要」
自動車の機能や構成から外部サーバとの連携までを含めた全体像を把握し、制御系とインフォテインメント系の両面において、「どのような手段」による脅威が発生するかを分析した。また、情報家電に関しても、一般家庭における情報家電の全体像を把握し、自動車と同様に「どのような手段」による脅威が発生するかを分析した。
重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書
株式会社日立製作所
報告書  
「概要」
制御システムの情報セキュリティに関する国内外の動向を調査し、サービス継続を重視した上での適切なセキュリティ対策について検討するため、重要インフラの制御システムに係わる有識者による検討会を設置し、制御システムセキュリティの調査を行った。
「情報システム等の脆弱性情報の取扱いに関する研究会」報告書
株式会社三菱総合研究所
報告書  
「概要」
2008年7月に複数のDNS サーバ製品の開発ベンダーから公表された「DNSキャッシュポイズニングの脆弱性」は幅広い機関が該当したため、「情報セキュリティ早期警戒パートナーシップ」に届出が急増し、2008年8月〜2009年3月のわずか8ヶ月間で届出累計は1,131件に達した。また、「SQLインジェクションの脆弱性」についても、2008年4月〜2009年3月の届出累計は318件に達しており、依然として情報化社会は脆弱な環境であることがうかがえる。
このような状況において、脆弱性対策を促進するための社会制度である「情報セキュリティ早期警戒パートナーシップ」が果たすべき役割は、ますます重要になっている。
そこで、今年度の「情報システム等の脆弱性情報の取扱いに関する研究会」では、そうした先導役としての社会的ニーズを踏まえ、具体的なアプローチや課題、啓発ツール等について議論した。本報告書はその検討を集約したものである。
「情報セキュリティ技術動向調査(2008 年上期)」報告書
「情報セキュリティ技術動向調査(2008 年下期)」報告書
上期報告書 下期報告書  
「概要」
広範な情報セキュリティ分野において、継続的に、かつ、質の高い技術情報を収集し続けるため、半期毎に情報セキュリティ技術動向調査タスク・グループ会合を開催し討議している。2008年度においても2008年上期分および下期分の2回の会合を踏まえて調査報告書をとりまとめた。
「中小企業の情報セキュリティ対策に関する研究会」報告書
報告書  
「概要」
中小企業の情報セキュリティ対策は、「何をすれば良いか分からない」という状況が見られることから、中小企業の情報セキュリティ対策として実施すべき具体的な対策事項を選択抽出し、「中小企業の情報セキュリティ対策ガイドライン」としてまとめた。
「バイオメトリクス・セキュリティ評価に関する研究会」調査報告書
株式会社三菱総合研究所
報告書  
「概要」
「生体認証システムの導入・運用事例集」に事例を追加し、「生体認証導入・運用のためのガイドライン」を最新の動向をふまえた改訂を行った。また、米国の生体認証の第三者評価に関する調査を行った。