科学技術・学術審議会 研究計画・評価分科会 安全・安心科学技術委員会（第9回）配付資料 ［資料3］

セキュリティセンターの活動について

平成１９年６月１２日

独立行政法人 情報処理推進機構（IPA）

セキュリティセンター

三角育生

http://www.ipa.go.jp/security/

資料

３

科学技術・学術審議会 研究計画・評価分科会 安全・安心科学技術委員会（第９回）H19.６.12

ＩＰＡセキュリティセンター

情報システムの安全性

ぜい

弱性対

策

ウイ

ル

ス

・不

正

アク

セス

対

策

セキ

ュ

リ

テ

ィ

評価・

認

証

暗号技術

人材育成

普及啓発

調査研究・分析・技術開発

ウイルス･不正アクセス対策

•

経済産業省の告示に基づき届出受付・情報発信

•

相談対応及び調査研究

ウイルス届出件数の年別推移 1,127 668 755 2,391 2,035 3,645 11,109 24,261 20,352 17,425 52,151 54,174 44,840 16,126 （5ヵ月分） 0 10,000 20,000 30,000 40,000 50,000 60,000 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007

年

件数 独立行政法人 情報処理推進機構 セキュリティセンター

ワンクリック不正請求相談件数推移

185 205 316 83 80108 165 138 174 168 131161 210 211 159 204 223 236 155 130 233 287

0

50

100

150

200

250

300

350

8

月

₁₀

月 12

月

₂

月

₄

月

₆

月

8

月

10

月

12

月

2

月

4

月

件数

独立行政法人 情報処理推進機構 セキュリティセンター

2005

2006

2007

ウイルス・不正アクセス対策

今月の呼びかけ：

「そのアプリケーションソフトには、セキュリティホールはありませんか？ 」

―セキュリティホール対策は、オペレーティングシステム(OS)だけではない！

―

今月の呼びかけ：「オンラインゲームのパスワードを盗むスパイウェアに注意！！」

－オンラインゲームを狙ったウイルスが大量に出回っています－

２００７年６月公表

２００７年１月公表

不正請求画面の例

今月の呼びかけ：

「 警告画面を無視していませんか？ 」

― 不正プログラムを取り込まないために、警告が出たら先に進まないこと！！ ―

２００７年４月公表

脆弱性関連情報流通の基本枠組み

「情報セキュリティ早期警戒パートナーシップ」

脆弱性関連

情報届出

対応状況の

集約，公表

日の調整等

対策方法

等公表

発見者

脆弱性関連

報告された

情報の

内容の確認

【受付機関】

IPA

公表日の決定，

海外の調整機

関との連携等

JPCERT

/CC

【調整機関】

脆弱性関連

情報通知

ユーザ

政府

企業

個人

ソ

フ

ト

ウ

エ

ア

製

品

の

脆

弱

性

ウ

ェ

ブ

サ

イ

ト

の

脆

弱

性

脆弱性関連

情報届出

脆弱性関連情報通知

ウェブサイト

運営者

検証，対策実施

個人情報漏

洩時は事実

関係を公表

①製品開発者及びウェブサイト運営者による脆弱性対策を促進

②脆弱性関連情報の放置・危険な公表を抑制

③個人情報等重要情報の流出や重要システムの停止を予防

【期待効果】

製品開

発

者

シス

テ

ム

導

入

支

援

者

セキュリティ

対策推進

協議会 等

IPA

JPCERT/CC

対策情報ポータル

（JVN）

脆弱性（ぜいじゃくせい）：セキュリティ上の弱点

_{経済産業省告示に基づく取組み}

ぜい弱性対策

36 123 37 34 33 13 ₇₁ 19 66 102 43 55 73 85 57 97 88 95 9 7 4 5 5 4 1 9 4 5 2 9 6 1 4 0 1 7 4 2 5 9 6 4 5 0 7 5 6 4 8 4 4 7 4 9 4 3 4 3 7 9 2 7 7 6 6 1 2 1 1 0 20 40 60 80 100 120 140 2005/1Q 2005/2Q 2005/3Q 2005/4Q 2006/1Q 2006/2Q 2006/3Q 2006/4Q 2007/1Q 四 半 期 件 数 0 100 200 300 400 500 600 700 800 900 累 計 件 数 ソフトウエア製品に関する届出 ウェブサイトに関する届出 ソフトウエア製品に関する届出（累計） ウェブサイトに関する届出（累計）

累計件数

ソフトウエア

製品

届出

４５５件

脆弱性公表

１７０件

ウエブサイト

届出

８４４件

修正完了

４５６件

２００４年７月～２００７年３月末

安全なウエブサイトの作り方

セキュア･プログラミング講座

組込みシステムのセキュリティ

・・・

ITセキュリティ評価・認証制度

ＮＩＴＥ

独立行政法人 製品評価技術基盤機構

ＮＩＴＥ

独立行政法人 製品評価技術基盤機構

独立行政法人 情報処理推進機構

独立行政法人情報処理推進機構

認証

（Ｃｅｒｔｉｆｉｃａｔｉｏｎ）

*1 JEITA：社団法人電子情報技術産業協会 、ECSEC ：株式会社電子商取引安全技術研究所 、MHIR ：みずほ情報 総研株式会社

*2 Common Criteria Recognition Arrangement 、CC承認アレンジメント

IT製品、情報システムの ベンダー、提供者など IT製品、情報システムの ベンダー、提供者など

認証報告書

認証報告書

認証書

評価依頼

評価

評価機関の認定

（Ａｃｃｒｅｄｉｔａｔｉｏｎ ） （Ｅｖａｌｕａｔｉｏｎ ） 評価基準 ISO/IEC 15408 CCRA＊2

JEITA、 ECSEC、 MHIR *1

評価報告

申請

対象製品

ハードウェア ＩＣカード ソフトウェア 情報システム

評価機関

認証機関

認定機関

申請者

・国際標準ISO/IEC 15408 (CC:Common Criteria、JIS X 5070)に基づいてIT製品(ソフトウェア、ハードウェア)や

情報システムを評価・認証する制度

－CC承認アレンジメント

（ＣＣＲＡ*）

－

*：Ｃｏｍｍｏｍ Ｃｒｉｔｅｒｉａ Ｒｅｃｏｇｎｉｔｉｏｎ Ａｒｒａｎｇｅｍｅｎｔ

¾ 国際標準ISO/IEC15408セキュリティ評価基準(Common Criteria)

に基づいて評価・認証した認証製品を12ヵ国間で、相互に承認

¾ 日本は、2003年10月に参加

¾ さらに、12ヵ国が認証製品を受入

¾ 我が国ＩＴ製品の国際競争力強化に必須

フランス

（認証国:CAP

*1

_）

2007年5月現在

*1

_{CAP：Certificate authorising participants}

_*2

CCP： Certificate consuming participants

（受入国:CCP

*2

_）

受入れ

日 本

アメリカ

イギリス

ドイツ

ノルウェー

オーストラリア

ニュージーランド

オランダ

カナダ

韓 国

スペイン

イスラエル

ギリシャ

イタリア

フィンランド

スウェーデン

_{オーストリア}

トルコ

ハンガリー

チェコ

シンガポール

インド

デンマーク

電子政府推奨暗号リスト

技術分類

名称

公開鍵暗号

署名

DSA

ECDSA

RSASSA-PKCS1-v1_5

RSA-PSS

守秘

RSA-OAEP

RSAES-PKCS1-v1_5(注1)

鍵共有

DH

ECDH

PSEC-KEM(注2)

共通鍵暗号

64 ビットブロッ

ク暗号(注3)

CIPHERUNICORN-E

Hierocrypt-L1

MISTY1

128 ビットブロッ

ク暗号

3-key Triple DES(注4)

AES

Camellia

CIPHERUNICORN-A

Hierocrypt-3

SC2000

共通鍵

暗号

MUGI

ストリーム暗号

MULTI-S01

128-bit RC4(注5)

その他

ハッシュ関数

RIPEMD-160(注6)

SHA-1(注6)

SHA-256

SHA-384

SHA-512

擬似乱数生成系

(注7)

PRNG based on SHA-1 in ANSI

X9.42-2001 Annex C.1

PRNG based on SHA-1 for general

purpose in FIPS 186-2 (+ change

notice 1) Appendix 3.1

PRNG based on SHA-1 for general

purpose in FIPS 186-2 (+ change

notice 1) revised Appendix 3.1

(注1)SSL3.0/TLS1.0 で使用実績があることから当面の使用を認める。

(注2)KEM（Key Encapsulation Mechanism）-DEM(Data Encapsulation Mechanism)構成における利用を前提 とする。

(注3)新たな電子政府用システムを構築する場合、より長いブロック長の暗号が使用できるのであれば、128 ビッ ト ブロック暗号を選択することが望ましい。

(注4)3-key Triple DES は、以下の条件を考慮し、当面の使用を認める。 1) FIPS46-3 として規定されていること 2) デファクトスタンダードとしての位置を保っていること (注5)128-bit RC4 は、SSL3.0/TLS1.0 以上に限定して利用することを想定している。なお、リストに掲載されて いる別の暗号が利用できるのであれば、そちらを使用することが望ましい。 (注6)新たな電子政府用システムを構築する場合、より長いハッシュ値のものが使用できるのであれば、256ビット 以上のハッシュ関数を選択することが望ましい。ただし、公開鍵暗号での仕様上、利用すべきハッシュ関数が 指定されている場合には、この限りではない。 (注7)擬似乱数生成系は、その利用特性上、インタオペラビリティを確保する必要性がないため、暗号学的に安全 な擬似乱数生成アルゴリズムであれば、どれを利用しても基本的に問題が生じない。したがって、ここに掲載する 擬似乱数生成アルゴリズムは「例示」である。

平成15年2月20日 総務省 経済産業省

暗号モジュール試験及び認証制度

申請者

暗号モジュールの

ベンダ、供給者など

試験機関

認証機関

独立行政法人

情報処理推進機構

運用ガイダンス

FSM

VEドキュメント

試験方法

要求事項

セキュリティポリシ

暗号アルゴリズム

試験報告書

認証報告書

暗号モジュール

認証書

ブロック図

ソースコード

暗号アルゴリズム

暗号モジュール

暗号アルゴリズム

試験

暗号モジュール

試験

暗号アルゴリズム

確認

暗号モジュール

認証

暗号アルゴリズム

試験結果

質問

ファイル

JCATT

回答

ファイル

セキュリティポリシ

暗号アルゴリズム

確認書

ISO/IEC 19790

(JIS X 19790)に

基づく試験

セルフチェックに有用な指標

–

セルフチェックにより、自社の現状と望まれ

る水準との差を把握して、自社と同じタイプ

の企業群の取組状況に基づく指標と推奨さ

れる取り組みを提示。

–

Web上で自社の現状を入力すると、結果を

表示

情報セキュリティ対策ベンチマーク

（自己診断テスト）

調査研究・技術開発

•

広域インターネットトラフィック観測技術

•

ぜい弱性情報提供技術

•

暗号評価技術

•

LSI回路解析技術

•

組込みシステムのセキュリティ関連技術

•

不正プログラム・罠サイト情報提供技術

等

情報セキュリティ分析機能

産業構造審議会情報セキュリティ基本問題委員会報告書（２００７年５月）

グローバル情報セキュリティ戦略

戦略３：国内外の変化に対応するメカニズムの確立

情報セキュリティ分析部門（仮称）の創設

「豊かで強く魅力ある日本経済」の実現を情報セキュリティの側面から支援していく観点か

ら、NISC を始めとする国内関係機関や諸外国の関係機関と連携等しつつ、国内外に散

逸している関連データや研究結果を幅広く収集等し、データの国際比較、収集等したデー

タについての計量的な手法等に基づく分析、分析結果の国内外への情報発信等を行うた

めの核となる組織として、IPA やJPCERT/CC 等の国内関係機関に情報セキュリティ分析

部門（仮称）を創設する。

セキュアジャパン２００７（案） 情報セキュリティ政策会議（２００７年４月２３日）

２００８年度の重点施策の方向性

情報セキュリティ分析部門（仮称）の創設

諸外国の機関とも連携等しつつ、国内外の関連データや研究結果を幅広く収集、分析等

するため、国内の関係機関に情報セキュリティ分析部門（仮称）の創設を図る。

情報セキュリティ事象被害調査

（２００６．１１公表）

•

コンピュータ･ウイルス被害

アンケート調査：５,５００企業あて送付

１,２０６社から有効回答 （21.9%)

モデルを用いた推計

•

不正アクセス（ＳＱＬインジェクション）及び

Ｗｉｎｎｙを介した情報漏えい被害

ヒアリング等による事例研究（計10社）

情報セキュリティ事象被害調査の結果

（ウイルスによるシステム停止）

•

ウイルス被害による直接の復旧コストは大きくない

•

一旦、ウイルス被害により電子商取引システムや重要シス

テムが停止すると、大きな売上減が発生

（参考）回答企業 1,206社のうち

復旧コスト発生のあった企業数

中小企業

95社

大手・中堅企業

110社

売上減のあった企業数

中小企業

35社

大手・中堅企業

46社

中小企業

（従業員300名未満）

大手・中堅企業

（従業員３００名以上）

被害額

約４．３百万円／社

約１３０百万円／社

２００５年度のケース

情報セキュリティに関する新たな脅威に

対する意識調査

•

ウエブアンケートこれまで３回実施

06年2月、11月、07年3月

（第3回分は公表準備中）

•

毎回５０００名以上の回答（１５歳以上）

2.2 36.4 24.5 17.3 85.0 89.8 23.9 72.8 92.2 12.8 28.2 19.2 27.6 6.1 5.7 7.4 10.1 3.6 21.2 21.8 2.6 6.4 3.5 44.9 10.7 63.8 32.0 34.5 23.8 6.4 1.7 3.4 52.5 2.5 1.0 2.5 0% 20% 40% 60% 80% 100% コンピュータ・ウイルス セキュリティホール フィッシング スパイウェア ボット ファーミング ワンクリック不正請求 セキュリティ対策ソフトの押し売り行為 ルートキット 未認知(言葉を知らない) 認知(事象を知らない) 理解不足(不正解有) 理解(全問正解) (N=5,316) 9.3 44.3 9.0 5.8 31.6 2.9 40.2 8.7 1.1 47.1 6.2 42.3 8.9 3.5 39.1 0 20 40 60 80 100 わからない 実施していない 実施していないが今後は実施予定 家族や知人など が実施 自分自身で実施 全体（N=5,142） 男性（N=2,496） 女性（N=2,646） 34.0 4.6 8.5 45.7 8.0 40.6 2.0 9.0 43.9 5.2 26.8 7.4 8.0 47.7 11.1 0% 20% 40% 60% 80% 100% 自分自身で実施 家族や友人などが実施 実施していないが今後実施予定 実施していない わからない 全体(N=5,287) 男性(N=2,758) 女性(N=2,529) （N=5,287）

パスワードの定期的な更新

[PC保有者全体／性別]

2006.2

2006.11

情報セキュリティに関する事象の理解度

情報セキュリティ水準評価指標の検討

対策

脅威

ITサービス基盤

対策

ITサービス基

盤

脅威

対策

脅威

ITサービス基

盤

検討モデル

バンキング・サービスでの事例

ITサービス基盤

情報セキュリティ脅威

情報セキュリティ対策

1970年

現金自動預入支払サービス（キャッシュ

カード/ATMの利用が前提）

偽造キャッシュカード【偽造キャッシュ

カードによる預金等不正引出率】

2002年

1日当たりの利用限度額引上げ（IC

キャッシュカード利用が前提）

【ICキャッシュカード対応ATM設置率】

ICカード化

【ICキャッシュカード利用率】

ICキャッシュカード盗難

【盗難・偽造ICキャッシュカードによ

る預金等不正引出率】

2004年

1日当たりの利用限度額引上げ（生体認

証用ICキャッシュード・ATMにおける生

体認証が前提）

【生体認証対応ATM設置率】

生体認証導入で本人認証強化

【生体認証用ICキャッシュカード利用

率】

情報セキュリティ水準評価指標の検討

組織・人的対策

マネジメントシステム

リスク分析実施率（企業）

教育・啓発

従業員に対する情報セキュリティ教育実施率（企業）

情報セキュリティの必要性認識率（個人）

監査

情報セキュリティ内部監査実施率（企業）

技術的対策

予防・制御

＜少額決済専用電子マネーの普及状況＞

発行枚数

ICキャッシュカード利用率

デジタル著作権管理（DRM）技術普及率

対策リソース

情報セキュリティ投資

IT関連予算に占める情報セキュリティ投資割合（企業）

IT関連予算に占める情報セキュリティ投資割合（政府）

～情報セキュリティ水準評価指標の例～

•

社会における情報セキュリティ対策に係る取組みの進展度合を体系的、経年的に把握するため、「情

報セキュリティ水準評価指標」の検討を実施

•

・「情報セキュリティ水準評価指標研究会」を設置し、情報セキュリティ水準評価指標を構成する個別

指標の検討指針を示すモデルを提案し、このモデルを活用しつつ、具体的な指標の選定も実施。

独立行政法人 情報処理推進機構

セキュリティセンター（IPA/ISEC）

〒113-6591

東京都文京区本駒込２－２８－８

文京グリーンコートセンターオフィス１６階

ＴＥＬ ０３（５９７８）７５０８

ＦＡＸ ０３（５９７８）７５１８

電子メール [email protected]

ＵＲＬ http://www.ipa.go.jp/security/