第１章　調査の概要

アクセス制御機能に関する技術研究開発

の状況等に関する調査

調査報告書

平成 15 年 12 月

目 次

第１章 調査の概要 １

１．調査の目的 １ ２．調査対象と調査方法 １ ３．調査内容 １ ４．送付、回収状況 １

第２章 調査結果（アンケート結果） ２

１．回答企業・大学の属性 ２ ２．現在、取り組んでいる分野 ４ ３．今後、取り組んでいく分野 ６ ４．今後、最も力を入れていく分野 ８ ５．現在、製品（実用）化されているアクセス制御機能 10 ６．今後、製品（実用）化を見込んでいるアクセス制御機能 12

第３章 調査結果（個別分野のポイントとりまとめ） 14

１．ヒアリング結果

14

暗号（カオス暗号、矢崎総業株式会社）

14

認証（バイオメトリクス）（音声セキュリティ技術開発、株式会社アニモ）

16

認証（双方向サービスにおける分散協調型情報保護、東京理科大学理工学部 情報科学科武田研究室）

19

ネットワークセキュリティ（URL フィルタリングソフト InterSafe、 アルプス システム インテグレーション株式会社）

22

ネットワークセキュリティ（DDoS 攻撃に耐性のある VPN 技術に関する 研究、近畿大学理工学部情報学科）

25

不正侵入対策（認証監視型ゲートウェイ、山形大学工学部情報科学科平中 研究室）

27

セキュリティマネジメント（IP ネットワークにおける障害対応およびセキ ュリティ管理に関する研究、株式会社ルートレック・ネットワークス）

29

セキュリティマネジメント（情報セキュリティポリシー遵守管理システム

｢Policy Guardian｣、富士通関西中部ネットテック株式会社）

32

セキュリティマネジメント（パソコンの情報保護）（FENCE-G（フェン スガード）、株式会社富士通ビー・エス・シー）

35

ウイルス対策ツール（Proventia M シリーズ、Internet Security Systems,Inc.）

37

２．個別事例一覧表

41

（１）暗号技術・製品（例：アルゴリズム、ライブラリ）

41

（２）認証

43

（３）ネットワークセキュリティ

48

（４）不正侵入対策

51

（５）セキュリティマネジメント

52

（６）ウイルス対策ツール

55

（７）セキュリティサービス関連

56

付属資料 58

１．調査票 58 ２．集計表 65

第１章 調査の概要

１．調査の目的

不正アクセス行為の禁止等に関する法律において、国家公安委員会は、アクセス制御 機能を有する特定電子計算機の不正アクセス行為からの防御に資するため、毎年少なく とも１回、アクセス制御機能に関する技術の研究開発の状況を公表するものとされてい る。 本調査は、現在の研究開発の状況や製品化（実用化）されているアクセス制御機能等 を把握することにより、不正アクセス行為からの防御に関する知識を普及させ、今後の 資料として活用しようとするものである。

２．調査対象と調査方法

調査対象は、アクセス制御機能に関する技術の研究開発を行っていると思われる企業 や大学から無作為に 500 件抽出した。 調査方法は、調査対象に対して調査票を送付し、期日までに回答を求める｢郵送調査｣ 方式を採用した。（調査期間：平成 15 年 9 月 12 日∼10 月 10 日）

３．調査内容

巻末の付属資料にある調査票｢アクセス制御機能に関する技術研究開発及び実用化（製 品化）の状況調査｣のとおりである。 本調査で対象としたアクセス制御機能分類を以下に示す。 大分類 小分類 暗号 暗号技術、暗号化ソフト 認証 ワンタイムパスワード、ICカード、バイオメトリクス、 PKI、アクセスコントロール（シングルサインオン含む） ネットワークセキュリティ ファイアウォール、VPN、フィルタリング、 コンテンツセキュリティ 不正侵入対策 侵入検知（IDS）、追跡 セキュリティマネジメント ログ解析、資産管理、情報保護、セキュリティ情報管理 ウィルス対策ツール ウィルス対策ソフト セキュリティサービス関連 セキュリティ診断、不正アクセス監視、ウィルス等監視、 認証サービス、セキュリティコンサルティング

４．送付、回収状況

送付数 回収数 回収率(％) 企業 326 63 19.3 大学 174 28 16.1

第２章 調査結果（アンケート結果）

１．回答企業・大学の属性

（１）研究開発に携わっている人数

7.9 17.5 11.1 28.6 3.2 4.8 27.0 7.1 10.7 28.6 3.6 39.3 30.8 6.6 3.3 28.6 7.7 15.4 7.7 10.7 0 10 20 30 40 50 0人 1∼5人未満 5∼10人未満 10∼50人未満 50∼100人未満 100人以上 無回答 全体(N=91) 企業(N=63) 大学(N=28) (%) （SA)

（２）年間の研究開発費

44.0 6.3 1.6 25.4 6.3 22.2 38.1 7.1 3.6 21.4 7.1 57.1 17.6 5.5 24.2 1.1 1.1 6.6 3.6 0 10 20 30 40 50 60 0万円 ∼100万円未満 100万∼500万円未満 500万∼1000万円未満 1000万∼5000万円未満 5000万∼1億円未満 1億円以上 無回答 全体(N=91) 企業(N=63) 大学(N=28) (%) （SA)

（３）年間売上（全体）

41.8 3.2 1.6 1.6 3.2 14.3 22.2 27.0 27.0 17.9 75.0 18.7 17.6 9.9 2.2 1.1 1.1 7.7 7.1 0 20 40 60 80 0万円 ∼1000万円未満 1000万∼5000万円未満 5000万∼1億円未満 1億∼10億円未満 10億∼50億円未満 50億円以上 無回答 全体(N=91) 企業(N=63) 大学(N=28) (%) （SA)

（４）年間売上（アクセス制御機能関連）

48.4 3.2 4.8 7.9 9.5 20.6 17.5 1.6 34.9 21.4 78.6 1.1 12.1 14.3 6.6 5.5 3.3 8.8 0 20 40 60 80 0万円 ∼1000万円未満 1000万∼5000万円未満 5000万∼1億円未満 1億∼10億円未満 10億∼50億円未満 50億円以上 無回答 全体(N=91) 企業(N=63) 大学(N=28) (%) （SA)

２．現在、取り組んでいる分野

○アクセス制御機能に関する技術研究開発に取り組んでいる企業・大学

は、70 であり、回答数の 76.9％を占める。

○研究開発の取り組み事例が最も多いアクセス制御機能は、｢認証技術｣で

あり、全体の約半数を占める。次いで多い順に、｢ネットワークセキュ

リティ（47.3％）｣、｢暗号技術（38.5％）｣、｢セキュリティマネジメ

ント（34.1％）｣となっている。

○企業と大学の取り組みを比較すると、企業では、｢ネットワークセキュ

リティ｣や｢認証技術｣に関する取り組みが、また、大学では、｢認証技術｣

や｢暗号技術｣に関する取り組みが盛んである。さらに、企業では、｢セ

キュリティマネジメント｣や｢セキュリティサービス関連｣についても、

平成 14 年度調査に比べて、技術研究開発の取り組みが広がってきてい

る。

7.7 50.8 55.6 39.7 44.4 42.9 27.0 17.5 7.9 17.5 46.4 28.6 35.7 10.7 10.7 14.3 7.1 35.7 23.1 16.5 27.5 33.0 34.1 38.5 47.3 49.5 28.6 0 10 20 30 40 50 60 認証技術 ネットワークセキュリティ 暗号技術 セキュリティマネジメント セキュリティサービス関連 不正侵入対策 ウイルス等対策ツール その他 技術開発に取り組んでいない 全体(N=91) 企業(N=63) 大学(N=28) (%) （MA)

本調査と平成 14 年度調査の経年比較

0

10

20

30

40

50

60

0

10

20

30

40

50

60

本

調

査

平成14年度調査

■ 企業 ▲ 大学 （％） （％） ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ 認証技術 認証技術 ｾｷｭﾘﾃｨﾏﾈｼﾞﾒﾝﾄ ｾｷｭﾘﾃｨｻｰﾋﾞｽ関連 暗号技術 暗号技術 不正侵入対策 不正侵入対策 ｳｲﾙｽ等 対策ﾂｰﾙ ｳｲﾙｽ等 対策ﾂｰﾙ その他 その他 ｾｷｭﾘﾃｨﾏﾈｼﾞﾒﾝﾄ ｾｷｭﾘﾃｨｻｰﾋﾞｽ関連 ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ ○縦軸の％は、本調査における、全体の回答企業数（もしくは大学数）に占める当該アクセス制 御機能の選択企業数（もしくは大学数）の割合を表す。 ○横軸の％は、平成 14 年度調査における、全体の回答企業数（もしくは大学数）に占める当該 アクセス制御機能の選択企業数（もしくは大学数）の割合を表す。 ○上記について、本調査と平成 14 年度調査における割合が等しい場合は、表中の斜線上にプ ロットされるが、斜線の位置より上の方にあるプロットは、平成 14 年度調査から本調査にか けて、取り組みが進展したものである。一方、斜線の位置より下の方にあるプロットは、平成 14 年度調査から本調査にかけて、取り組みが後退したものである。

３．今後、取り組んでいく分野

○今後、取り組んでいく分野についてみると、全体では、｢ネットワーク

セキュリティ｣が 56.0％と最も高く、次いで、｢セキュリティマネジメ

ント（45.1％）｣、｢認証技術（41.8％）｣、｢暗号技術（35.2％）｣の

順となっている。

○企業と大学を比較すると、企業は、｢ネットワークセキュリティ｣や｢セ

キュリティマネジメント｣、｢認証技術｣、｢セキュリティサービス関連｣

といった分野に満遍なく注力している。一方、大学では、｢ネットワー

クセキュリティ｣が他の分野より大きく抜きん出ており、一極集中の傾

向がうかがえる。

13.2 52.4 52.4 46.0 38.1 44.4 28.6 17.5 14.3 9.5 64.3 28.6 32.1 28.6 10.7 14.3 10.7 17.9 12.1 16.5 29.7 34.1 35.2 41.8 45.1 56.0 32.1 0 10 20 30 40 50 60 70 ネットワークセキュリティ セキュリティマネジメント 認証技術 暗号技術 セキュリティサービス関連 不正侵入対策 ウイルス等対策ツール その他 無回答 全体(N=91) 企業(N=63) 大学(N=28) (%) （MA)

本調査と平成 14 年度調査の経年比較

0

10

20

30

40

50

60

70

80

0

10

20

30

40

50

60

70

_{80 (%)}

(%)

企業 大学

本

調

査

平成14年度調査

ﾈｯﾄﾜｰｸ ｾｷｭﾘﾃｨ 認証技術 認証技術 ｾｷｭﾘﾃｨ ﾏﾈｼﾞﾒﾝﾄ ｾｷｭﾘﾃｨｻｰﾋﾞｽ関連 暗号技術 暗号技術 ｾｷｭﾘﾃｨｻｰﾋﾞｽ関連 ｳｲﾙｽ等対策ﾂｰﾙ 不正侵入対策 不正侵入対策 その他 ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ ｾｷｭﾘﾃｨﾏﾈｼﾞﾒﾝﾄ ｳｲﾙｽ等対策ﾂｰﾙ その他 ○縦軸の％は、本調査における、全体の回答企業数（もしくは大学数）に占める当該アクセス制 御機能の選択企業数（もしくは大学数）の割合を表す。 ○横軸の％は、平成 14 年度調査における、全体の回答企業数（もしくは大学数）に占める当該 アクセス制御機能の選択企業数（もしくは大学数）の割合を表す。 ○上記について、本調査と平成 14 年度調査における割合が等しい場合は、表中の斜線上にプ ロットされるが、斜線の位置より上の方にあるプロットは、平成 14 年度調査から本調査にか けて、取り組みが進展したものである。一方、斜線の位置より下の方にあるプロットは、平成 14 年度調査から本調査にかけて、取り組みが後退したものである。

４．今後、最も力を入れていく分野

○今後、最も力を入れていく分野についてみると、全体では、｢ネットワ

ー ク セ キ ュ リ テ ィ ｣ が 23.1 ％ と 最 も 高 く 、 次 い で 、 ｢ 認 証 技 術

（14.3％）｣、｢セキュリティマネジメント（12.1％）｣、｢セキュリテ

ィサービス関連（8.8％）｣の順となっている。

○大学では、｢ネットワークセキュリティ｣に関する技術研究開発に向けた

動きが今後一段と加速していくものと期待される。

7.7 15.9 17.5 14.3 11.1 4.8 3.2 3.2 7.9 22.2 39.3 7.1 7.1 3.6 3.6 3.6 7.1 25.0 23.1 3.3 3.3 4.4 8.8 12.1 14.3 23.1 3.6 0 10 20 30 40 50 ネットワークセキュリティ 認証技術 セキュリティマネジメント セキュリティサービス関連 ウイルス等対策ツール 暗号技術 不正侵入対策 その他 無回答 全体(N=91) 企業(N=63) 大学(N=28) (%) （SA)

本調査と平成 14 年度調査の経年比較

0

10

20

30

40

0

10

20

30

40 (%)

(%)

企業 大学

本

調

査

平成14年度調査

ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ 認証技術 認証技術 ｾｷｭﾘﾃｨﾏﾈｼﾞﾒﾝﾄ ｾｷｭﾘﾃｨｻｰﾋﾞｽ関連 暗号技術 暗号技術 ｾｷｭﾘﾃｨ ｻｰﾋﾞｽ関連 ｳｲﾙｽ等 対策ﾂｰﾙ 不正侵入 対策 不正侵入対策 その他 ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ ｾｷｭﾘﾃｨ ﾏﾈｼﾞﾒﾝﾄ ｳｲﾙｽ等 対策ﾂｰﾙ その他 ○縦軸の％は、本調査における、全体の回答企業数（もしくは大学数）に占める当該アクセス制 御機能の選択企業数（もしくは大学数）の割合を表す。 ○横軸の％は、平成 14 年度調査における、全体の回答企業数（もしくは大学数）に占める当該 アクセス制御機能の選択企業数（もしくは大学数）の割合を表す。 ○上記について、本調査と平成 14 年度調査における割合が等しい場合は、表中の斜線上にプ ロットされるが、斜線の位置より上の方にあるプロットは、平成 14 年度調査から本調査にか けて、取り組みが進展したものである。一方、斜線の位置より下の方にあるプロットは、平成 14 年度調査から本調査にかけて、取り組みが後退したものである。

５．現在、製品（実用）化されているアクセス制御機能

○現在、製品（実用）化されているアクセス制御機能についてみると、全

体では、｢認証技術｣が 33.0％と最も高く、次いで高い順に、｢暗号技術

（26.4％）｣、｢セキュリティマネジメント（26.4％）｣、｢ネットワー

クセキュリティ（24.2％）｣となっている。平成 14 年度調査に比べて、

着実に製品（実用）化が進んでいるアクセス制御機能は、｢セキュリテ

ィマネジメント｣や｢ネットワークセキュリティ｣、｢セキュリティサービ

ス関連｣である。

○大学では、｢実用（製品）化されているものはない｣が 78.6％を占める。

3.3 9.9 47.6 36.5 38.1 34.9 27.0 14.3 11.1 4.8 9.5 6.3 3.6 78.6 17.9 30.8 7.7 9.9 18.7 24.2 26.4 26.4 33.0 0 20 40 60 80 認証技術 暗号技術 セキュリティマネジメント ネットワークセキュリティ セキュリティサービス関連 不正侵入対策 ウイルス等対策ツール その他 実用（製品）化されて いるものはない 無回答 全体(N=91) 企業(N=63) 大学(N=28) (%) （MA)

本調査と平成 14 年度調査の経年比較

0

10

20

30

40

50

60

0

10

20

30

40

50

_{60 (%)}

(%)

企業

本

調

査

平成14年度調査

ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ 認証技術 ｾｷｭﾘﾃｨﾏﾈｼﾞﾒﾝﾄ ｾｷｭﾘﾃｨｻｰﾋﾞｽ関連 暗号技術 ｳｲﾙｽ等対策ﾂｰﾙ 不正侵入対策 その他 ○縦軸の％は、本調査における、全体の回答企業数（もしくは大学数）に占める当該アクセス制 御機能の選択企業数（もしくは大学数）の割合を表す。 ○横軸の％は、平成 14 年度調査における、全体の回答企業数（もしくは大学数）に占める当該 アクセス制御機能の選択企業数（もしくは大学数）の割合を表す。 ○上記について、本調査と平成 14 年度調査における割合が等しい場合は、表中の斜線上にプ ロットされるが、斜線の位置より上の方にあるプロットは、平成 14 年度調査から本調査にか けて、取り組みが進展したものである。一方、斜線の位置より下の方にあるプロットは、平成 14 年度調査から本調査にかけて、取り組みが後退したものである。

６．今後、製品（実用）化を見込んでいるアクセス制御機能

○今後、製品（実用）化を見込んでいるアクセス制御機能についてみると、

全体では、｢ネットワークセキュリティ｣が 28.6％と最も高く、次いで、

｢認証技術（23.1％）｣、｢セキュリティマネジメント（22.0％）｣、｢セ

キュリティサービス関連（22.0％）｣の順となっている。

○企業では、｢ネットワークセキュリティ｣、｢セキュリティマネジメント｣、

｢セキュリティサービス関連｣が上位を占め、製品（実用）化が最も進ん

でいる｢認証技術｣は４番目に下がる。また、｢ウイルス等対策ツール｣は、

平成 14 年度調査に比べて、企業における製品（実用）化ニーズが大幅

に上昇している。

○大学では、｢ネットワークセキュリティ｣や｢認証技術｣、｢暗号技術｣の製

品（実用）化を見込んでいるところが多い。

3.3 13.2 33.3 25.4 31.7 30.2 20.6 12.7 11.1 3.2 15.9 11.1 17.9 17.9 3.6 14.3 3.6 53.6 17.9 27.5 7.7 9.9 18.7 22.0 22.0 23.1 28.6 3.6 0 10 20 30 40 50 60 ネットワークセキュリティ 認証技術 セキュリティマネジメント セキュリティサービス関連 暗号技術 ウイルス等対策ツール 不正侵入対策 その他 実用（製品）を見込んで いるものはない 無回答 全体(N=91) 企業(N=63) 大学(N=28) (%) （MA)

本調査と平成 14 年度調査の経年比較

0

10

20

30

40

50

0

10

20

30

40

50 (%)

(%)

企業 大学

本

調

査

平成14年度調査

ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ 認証技術 認証技術 ｾｷｭﾘﾃｨﾏﾈｼﾞﾒﾝﾄ _{ｾｷｭﾘﾃｨｻｰﾋﾞｽ関連} 暗号技術 暗号技術 ｾｷｭﾘﾃｨ ｻｰﾋﾞｽ関連 ｳｲﾙｽ等対策ﾂｰﾙ 不正侵入対策 不正侵入対策 その他 ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ ｾｷｭﾘﾃｨﾏﾈｼﾞﾒﾝﾄ ｳｲﾙｽ等 対策ﾂｰﾙ _その他 ○縦軸の％は、本調査における、全体の回答企業数（もしくは大学数）に占める当該アクセス制 御機能の選択企業数（もしくは大学数）の割合を表す。 ○横軸の％は、平成 14 年度調査における、全体の回答企業数（もしくは大学数）に占める当該 アクセス制御機能の選択企業数（もしくは大学数）の割合を表す。 ○上記について、本調査と平成 14 年度調査における割合が等しい場合は、表中の斜線上にプ ロットされるが、斜線の位置より上の方にあるプロットは、平成 14 年度調査から本調査にか けて、取り組みが進展したものである。一方、斜線の位置より下の方にあるプロットは、平成 14 年度調査から本調査にかけて、取り組みが後退したものである。

第３章 調査結果（個別分野のポイントとりまとめ）

１．ヒアリング結果

暗号

研究開発名称：カオス暗号

研究開発団体：矢崎総業株式会社

１．研究開発の目的・ねらい 情報の電子化が進み、重要な情報が盗聴、漏洩、改竄などの危険に晒される現代 において、情報セキュリティの確保を通じて、安心できる IT 社会の構築に寄与する ことを目的とし、コンパクトで頑強・高速な暗号アルゴリズムを開発することで様々 なセキュリティ分野への応用を目指している。 ２．研究開発に至った経緯 情報セキュリティの意識が高まる中、暗号処理による処理速度低下（ストレス） を感じさせない高速な暗号が必要であると考え、1999 年より元上智大学 庄野名 誉教授と共同開発をスタートさせた。 ３．研究開発の内容（特徴） カオスが発生する擬似乱数の質の高さに注目し、下記の 4 つの条件を満たした擬 似乱数発生器の研究開発、及び擬似乱数発生器を利用した暗号の研究開発を行って いる。 矢崎カオス度数分布グラフ 0 50 100 150 200 250 300 350 1 _{10 19 28 37 46 55 64 73 82 91} 100 109 118 127 136 145 154 163 172 181 190 199 208 217 226 235 244 253 値 度数 ・長い周期であること ・再現性があること ・統計的検定に耐えうること ・乱数発生のスピードが速いこと 【矢崎カオスを量子化した度数分布グラフ】 z 偏りがない乱数であることがわかる。 カオス暗号は暗号処理速度の高速化を目標としている為、平文とカオスから得ら れる擬似乱数列を XOR する、いわゆるストリーム暗号方式を採用した。ストリー

ム暗号自体、非常に簡単なアルゴリズムである為、暗号の安全性は乱数の質に依存 する。つまり、上記の 4 つの条件を満たすカオス擬似乱数はストリーム暗号に最 適の乱数アルゴリズムであると言える。 また、カオス暗号アルゴリズムはコンパクトかつ単純である為、組み込み用途 としても有効であり、非常に使い勝手が良いアルゴリズムである。 ４．研究開発の課題 擬似乱数としての質の高さを理論的に証明することは可能であるが、暗号の安 全性の理論的証明に苦慮している。また、ストリーム暗号方式はブロック暗号方 式に比べ、研究が発展途上ということもカオス暗号における安全性の理論的証明 の壁ともなっている。 また、製品化という面から見るとカオス暗号の鍵生成部や鍵配送、鍵の管理方 法も大きな課題と言える。 ５．導入事例・利用イメージ ファイルの暗号化を目的とした商品化は完 了している。これは、USB デバイスを利用す るものである。（商品名：PC GUARD） ６．研究開発の到達目標 現在の研究を発展させ、以下の分野における利用拡大を目指している。 ・無線通信の暗号化 ・インターネット ITS でのセキュリティ ・オープンなネットワーク上での電子商取引 ハードウェア実装による高速化を実現することで、通信のリアルタイム暗号を可 能にすると共に、ストリーム暗号のデファクトスタンダードを目指している。 連絡先 矢崎総業（株） 車載システム開発センター第 4 システム技術開発部 電話：055-965-3355 E-Mail：[email protected]

認証（バイオメトリクス）

研究開発名称：音声セキュリティ技術開発

研究開発団体：株式会社 アニモ

１．研究開発の目的・ねらい 収録された音声を基にした情報処理技術は、従来その書き起しによるテキスト（意 味情報）に対してしか行うことはできなかった。しかし音声には、意味情報以外にも 非常に有用な情報が含まれている。例えば「誰が話しているか」、「この声は誰の声か」、 「どんなニュアンスで話しているか」といった非言語情報である。 本研究開発では、音声 DB（通話録音、放送コンテンツ、さらには犯罪等における捜 査）に対する音声･音響的側面からの検索技術（話者による検索、音による検索）を確 立し、話者による検索技術が社会セキュリティの実現に対して寄与することを目的と している。 ２．研究開発に至った経緯 音声による話者の照合技術として、1996 年に日本で始めて銀行にて、テレフォン バンキングサービスにおける本人認証手段として、キーワード方式の音声認証技術 （VoiceGATE-II）を実用化して以来、当社はその認識率の向上や適用プラットフォー ム の 拡 大 に 努 力 し て き た 。 さ ら に フ リ ー ワ ー ド 方 式 の 音 声 照 合 技 術 を 商 品 化 （VoiceSync-II）してきた。フリーワード方式は、当初、本人認証技術の一環として 開発を進めてきたが、話者識別技術への展開も十分に可能であると考えた。 ３．研究開発の内容（特徴） 音声による話者認識技術としては、照合技術に加えて、識別（誰が話しているかを 検出する）技術が考えられる。本研究開発は、声によって話者を識別することを可能 とするという点で、従来に無い検索技術（音声検索）を提供できる。 本システムは、あらかじめ発話された音声データを元にその話者の個人特徴モデル を作成し、話者モデル DB を作成する。話者検索を行う場合には、入力された音声デ ータを分析し、登録された話者モデル DB との尤度計算により、話者候補のリストを 出力するものである。本システムの特徴としては、以下の点である。 • • • 非常に短い音声で識別可能（登録約 20 秒、検索約 5 秒） テキスト独立型（どんな内容を話していてもよい） 言語に依存せず、外国人に対しても適用可能

本システムは、複数の話者による会話録音に対して、話者セグメンテーション（ど の部分をどの話者が話しているかを区分けする）、話者クラスタリングを行うことも可 能である。 ４．研究開発の課題 音声による話者認識の研究開発においての課題は、声を発する「人」による部分と 声を収録･伝達する「チャンネル」による部分がある。人が発する｢声｣という面で言え ば、意図的にまたは意図せずにある範囲の中で声は変わり得ると言う点である。また、 「チャンネル」の問題は、物理的に異なった周波数特性を持つマイク環境、携帯電 話といった圧縮技術を多用する通信路、さらに雑音の重畳といった音声データへのば らつきに関する影響を如何に少ないモデルで扱えるようにするかと言う点である。 ５．導入事例・利用イメージ 現在のところ個々の検索技術の研究開発をおこなっており、今後典型的な音声デー タベースを保有している企業・機関との協力体制を進めて、運用において必要とされ る精度の考え方、検索の仕方・手法について知見を得ていく。想定される利用イメー ジとしては、放送局におけるデジタルアーカイブの管理、企業におけるクレーマの管 理、公安関係における人物検索を想定している。 ６．研究開発の到達目標 将来は、音声による人物 DB を構築し、音声による人物認証を行えるようなシステ ムを構築したい。本システムにより、個人を証明したいバイオメトリクス認証局の音 声分局として、自己を音声で証明したい場合（電話の先からの認証、遠隔地からの認 証）を容易に行えるようになる。さらには指紋と同様に許可された音声登録リストを 活用することにより、犯罪時の被疑者の洗出しといった犯罪捜査への活用も提案した い。 このような人物認証・人物検索システムを提供することにより、社会セキュリティ の確保に是非寄与したい。

連絡先

株式会社 アニモ 技術本部 電話：045-663-8640

認証

研究開発名称：双方向サービスにおける分散協調型情報保護

研究開発団体： 東京理科大学理工学部情報科学科武田研究室

１．研究開発の目的・ねらい 電子メールや文書変換サービス等、クライアント／サーバ型で提供されるサービス において、サーバと送受信する情報自体をサーバから秘匿することは困難だが、プラ イバシーへの配慮や情報漏えいを防止したい要求がある。 本稿では、複数のサーバの連携協調により一つのサービスを構成することで、個々 のサーバへの情報集中を防止し、情報統合の未然防止を可能とするモデルを紹介する。 提案モデルの適用により、個々のサーバの管理者は、利用者毎の詳細な個人情報の取 得が困難になり、利用者のプライバシーに配慮したサービス運営が可能となる。また、 単一の管理者が顧客に関する情報の全てを掌握することを防止することで、情報漏え いを予防し、サービス運営の管理リスクの軽減と情報セキュリティの向上をもたらす。 ２．研究開発に至った経緯 電子メールのようなクライアント／サーバ型の会話サービスにおいて、メールサー バの管理者は、利用者が送受信した電子メールの全てを監視・閲覧することが可能で ある。このような重大な危険性が存在しながら、これまでこの事実は暗黙の了解とさ れてきた。通信の秘匿は暗号により保持されるが、実際にメールを暗号化して送信す ることは少ない。共通鍵では、事前に相手と暗号に用いる鍵の授受が必要、公開鍵で は、公開鍵と本人との対応を保障する機構が必要であり、敷居が高いからである。さ らに、メーリングリスト等では、上述の条件を満たすことは事実上不可能に近い。 ３．研究開発の内容（特徴） 提案モデルは、（A）機能毎分割、（B）同機能選択、（C）権限認証、で構成される。 （A）サービスを、それぞれが依存しない機能単位に分割する。各サーバは、利用者の 情報のうち、自らが提供する機能に関する情報だけが送受信され、複合サービスにお ける情報統合によるプライバシー侵害を防止できる。（B）分割したサービスの内、メ ッセージ交換や文書変換等、同機能のサービスを選択利用できるサービスについて、 サーバを複数設置し利用者が選択的に利用できるようにする。例えば複数のチャット サーバを選択利用できれば、各サーバが収集できる会話情報は全体の一部分となる。 さらに、複数の通信経路を同時・選択的に利用できる環境を整備することで、ネット ワーク上での閾値暗号の利用が可能となる。閾値暗号は、共通鍵方式や公開鍵方式と

異なり、暗号化断片に復号情報を埋め込むことで、事前に相手方との鍵の授受の必要 が無く暗号化通信が可能という利便性がある。（C）各サーバの認証には、公開鍵基盤 を応用した、「権限」に基づく認証機構を整備する。この認証機構により、実世界の次 のような状況がネットワーク上で実現される。実社会の、映画館（サーバ）、チケット の売店（チケット発行局）、客（利用者）に例示すると、映画館は観覧券の所持を認証 し、客がいつ、どの映画を観たか把握できるが、誰が観たかを知らない。売店は誰に チケットを販売したかを把握するが、チケットがどのように利用されたかを知らない。 サーバ位置問合せ PS MS MR C C メッセージの流れ サーバ位置 プレゼンス機能 メッセージ送受信 ト

(D)Instant Message への適用 (E)実装画面

（D）は、提案モデルのインスタントメッセージ（IM）への適用例である。IM を、 利 ４．まとめ 定量的な評価を進め、大規模な運用においての検討課題に取り組んでいる。 本 の研究は、情報処理学会第 65 回全国大会にて学生奨励賞を、インターネッ ト 用者の状態情報を提供するプレゼンス機能 PS、メッセージ送受信機能 MS、MR、 分割されたサーバの利用者からの発見を手助けするサーバ位置提供 REG、に分割した。 （E）は、C1と C2が何件かのメッセージを送り合い会話を交わした場面のスクリーン ショットである。左上は C1の GUI である。その他は PS1、MS1、MS2が把握できた 情報を表示している。プレゼンス情報については PS だけが、メッセージについては MS1、MS2がそれぞれ会話の断片情報を取得していることがわかる。 現在、 手法は、サーバに情報を管理している様々なサービスにおいて有用であると考えら れる。今後、検討課題を克服し、本手法が広く普及する為に必要な条件を整備して行 きたい。 なお、こ コンファレンス 2003 にて研究奨励賞を、それぞれ受賞している。 REG 1 2 情報提供 クライアン チャット 黒板 データ共有 利用者 利用者 利用者 サーバ 発行局 チケット 利用者 (A)【機能毎分割】 (B)【同機能選択】 (C)【権限認証】 暗号断片 暗号断片 サーバ サーバ 利用者 チケット 発行権 チケット チケット (利用権限） チケット を認証 グループウェア チケット _の発行を 依頼

連絡先 理科大学理工学部情報科学科 da.tus.ac.jp/ 東京 武田研究室 小瀬木浩昭 04-7124-1501(ext.3300) URL: http://issoft0.is.no

ネットワークセキュリティ

研究開発名称：URL フィルタリングソフト InterSafe

研究開発団体：アルプス システム インテグレーション（株）

１．研究開発の目的・ねらい ネットワークインフラが発展するにつれ、学校および企業などあらゆる組織でウェ ブ閲覧を中心としたインターネットの利用頻度は非常に高まっている。しかし、有益 な情報収集ができるウェブページが存在する一方で、教育上不適切なアダルトページ やスパイウェアをダウンロードしてしまうようなセキュリティ上危険なページも多数 存在することが深刻な問題となっている。また、業務とは無関係なページへのアクセ スや掲示板への書き込みによる情報漏洩なども問題となっている。 このような問題を解決するために、教育上不適切なページや業務とは無関係なペー ジへのアクセスを、独自に収集した URL データベースに基づいて規制するために URL フィルタリングソフト InterSafe を開発。このソフトを利用することで、インターネ ットを安心して利用することが可能である。 ２．研究開発に至った経緯 教育機関にて、インターネットが利用されはじめた 1997 年に日本で初めてフィル タリングソフトを発売。当初は外国産の製品を総代理店として販売していた。しかし、 教育機関や企業などへ販売実績を重ねるにつれ、フィルタリングデータベースが日本 のページの規制が弱いという声が多く寄せられた。なぜなら、日本で閲覧されるウェ ブは日本語が大半であり、外国で作成されたデータベースは日本のウェブ利用に適合 しにくからである。そこで、日本語のウェブを的確に規制できるフィルタリングデー タベースが必要と考え、今までのフィルタリングビジネスのノウハウを生かした URL 収集専門会社ネットスターを設立。これらのデータベースを利用したフィルタリング 製品 InterSafe を開発し、2000 年に販売開始した。 ３．研究開発の内容（特徴） フィルタリングソフトを導入し、不要もしくは不適切なサイトへのアクセスを規制 することで以下のメリットがある。 ① 教育上不適切なサイトへのアクセスを防止することができる ② 仕事や授業には無関係なサイトへのアクセスを規制することで作業効率を向 上することができる ③ 掲示板やチャットなどへのアクセスを規制することで情報漏洩などのリスク

を軽減できる。 ④ 出会い系サイト規制法や児童ポルノ規制法などのトラブルを未然に防止する ことができる。 製品の特徴は以下の通りである。 (イ) 精度の高い URL データベース URL 収集会社ネットスターにて教員経験者など有識者を中心とした 30 人の専任ス タッフが目視確認を実施して、データベースを作成。日本の文化や社会情勢を意識 した収集および登録を実施しており、現在データベースは 1800 万ページ以上。規 制漏れのないフィルタリングが可能である。 (ウ) 柔軟なフィルタリング設定 各組織の方針に柔軟に対応できるように、時間帯やグループ別にフィルタリングを 簡単な操作で設定できる。 (エ) ログの詳細なレポーティング クライアントがインターネットを利用した時のアクセスした URL やそのジャンル、 および時間帯などをログとして記録し、容易に集計、グラフ化ができる。これによ り組織の利用状況を簡単に把握できる。 (オ) 書き込み規制などの情報セキュリティ対策 掲示板の閲覧を許可しても、書き込みを規制することで情報の閲覧を妨げることな く情報漏洩などの情報発信も規制することが可能。その他、ブラウザバージョンによる アクセス制限なども実現できる。 エラー • 既存のキャッシュサーバにプラグインすることや 独自プロクシとして運用 • ウェブのジャンル（「アダルト」や「掲示板」）ごとに アクセスを禁止するかどうかを、管理者が設定 クライアントは管理者がInterSafeで設定したアクセス ポリシーに基づいて、ウェブアクセスが可能。規制が かけられているウェブにはアクセス不可。 FireWall Internet Internet InterSafe InterSafe 規制対象はSTOPし、規制対象外はスルー • 既存のキャッシュサーバにプラグインすることや 独自プロクシとして運用 • ウェブのジャンル（「アダルト」や「掲示板」）ごとに アクセスを禁止するかどうかを、管理者が設定 クライアントは管理者がInterSafeで設定したアクセス ポリシーに基づいて、ウェブアクセスが可能。規制が かけられているウェブにはアクセス不可。 FireWall Internet Internet InterSafe InterSafe 規制対象はSTOPし、規制対象外はスルー !

４．研究開発の課題 無数のページが新しく生まれたり、消失したりするため、データベースの精度の高 さを維持し続けていくことである。現在、データベースに頼らないレイティング（格 付け）方式や言語検索方式などが存在するが実用的ではない。そのため、結局目視を 中心としたデータベース方式が主流であるため人を中心としたリソースが多くかかっ てしまう。 ５．導入事例・利用イメージ 小・中学高を中心とした教育機関には大半導入されている。近年では情報漏洩の懸 念から官公庁や一般企業への導入が急速にすすんでいる。 ６．研究開発の到達目標 URL の収集の質およびスピードなど URL 収集のアルゴリズムを強化し、より精度 の高いデータベースを作成したい。また、ドキュメントへのアクセスコントロールな ど他のセキュリティ製品と統合し、組織内でのおきるセキュリティ事故をトータルで 防止するソリューションにしていきたい。 連絡先 アルプス システム インテグレーション（株） パッケージソリューション部 電話：03-5499-1331 URL：http://www.alsi.co.jp

ネットワークセキュリティ

研究開発名称：DDoS 攻撃に耐性のある VPN 技術に関する研究

研究開発団体：近畿大学理工学部情報学科

１．研究開発の目的・ねらい

サービス妨害（Denial of Service）攻撃や分散 DoS（Distributed DoS）攻撃によ り、Web サービスを例に挙げるとサービス提供側では必要な情報提供が遮断され、状 況が掴めないユーザからは信用を失うことになり、またサービス利用者側では必要な サービスがオンデマンドで利用できないなど、第三者からの一方的な攻撃により深刻 なダメージを被る。

そこで、本システムでは一方的な攻撃を回避することで様々なサービスにいつでも アクセスでき、そして従来よりも簡便に VPN（Virtual Private Network）を利用で きる技術を開発する。 ２．研究開発に至った経緯 VPN を構築する技術や製品が普及する中で、VPN の導入は難しい、あるいは暗号 化通信をしていたとしても VPN に使用しているポートが狙われると VPN は有効に機 能しないなどの問題点がある。 暗号やそのアプリケーションを中心とするセキュリティソフトウェアの開発を通し て様々な技術を有しており、それらに基づいて有効なシステムが開発できると考えた。 ３．研究開発の内容（特徴） 本システムは二つの要素技術からなる。一つはユーザにとって簡便な VPN で、もう 一つはサービス提供サーバとクライアントアプリケーションを保護するサービスポー ト隠蔽技術である。 通常、VPN を利用する際には、サービス提供を行うネットワーク側には VPN ゲー トウェイアプライアンスの設置が、サービス利用者側には VPN ゲートウェイと接続す るための VPN クライアントソフトウェアの事前インストールが必要となる。本システ ムでは、VPN クライアントソフトウェアはサービス利用時に自動的にダウンロードさ れ、ユーザは Web ブラウザがあれば VPN を利用できるという特徴を持つ。 そして、この VPN クライアントソフトウェアは VPN ゲートウェイと協調動作し、 サービス提供側ではアプリケーションサーバのサービスポートを隠蔽し、サービスに 接続するアプリケーションがサーバに接続するためのポートを動的に変化させること で不用意による DDoS 攻撃の被害を受けずに済む。さらに、従来の VPN では利用す

るポート番号が固定されているが、本システムでは容易にポート番号を変更すること が可能であり、VPN 通信路自身も DDoS 攻撃のトラヒックに遮断されることはない という特徴も持つ。 ４．研究開発の課題 本システムは、VPN クライアントが自動的にダウンロードされるという利点がある が、そのダウンロードされたホストの VPN クライアントにアプリケーションサーバへ のトラヒックを振り向けることが必要となる。事前にクライアントホストの設定を少 し変更すれば現在でも問題なく VPN を利用することができるが、本格的な普及にあた ってはトラヒックのリダイレクトを自動的に実現する機構を開発する必要があると考 えている。 ５．導入事例・利用イメージ 高い安全性と通信サービスの信頼性が必要とされるリモートアクセス VPN やイン トラネット等のあらゆるネットワークで利用されることを想定している。また、本シ ステムは VPN ゲートウェイ、ファイアウォールで通信セッションの履歴すべてを統一 的に保存することができるので、個人情報保護法が制定された現在では、そのような アクセス制御／管理が必要な場面で幅広く利用されることが期待される。 ６．研究開発の到達目標 将来は、アクティブネットワーク技術を利用した高度なネットワークインフラと連 携することで、より広範囲に DDoS 攻撃を防御できるネットワークを構築することを 目指している。 連絡先 近畿大学理工学部情報学科 白石 善明 電話：06-6721-2332(ext. 4605) VPN クライアントをダウンロー アプリケーションサーバ アプリケーション VPN クライアントモジュー VPN ゲ ー ト ウ ェ ファイアウォール 集中攻撃を受けないようにア クセスポートを動的に変更

不正侵入対策

研究開発名称：認証監視型ゲートウェイ

研究開発団体：山形大学工学部情報科学科平中研究室

１．研究開発の目的・ねらい ネットワークの普及により、様々な場所で自由にネットワークに接続できる環境が 整いつつある。例えば、ファーストフード店内で無線 LAN を介して誰でも自由にネッ ト接続が行える Hot Spot の提供や、公共の場所での情報コンセント（無線・有線 LAN） の提供が挙げられる。しかし、これらのサービスを介した攻撃行為や、掲示板への書 き込みによる誹謗中傷行為などのトラブルが問題になってきている。 本研究は、アクセスポイントの設置者と利用者の利便性を損なわず、双方が安全に 利用できるアクセスポイントの構築を目的とする。 ２．研究開発に至った経緯 我々の研究室では、｢なんでもつなぐ｣｢だれでも使える｣ネットワークを実現するため に、さまざまな研究を行ってきている。それらの実現のためには、オープンな場での アクセスポイントのセキュリティーに関する研究が必要であると考え、本研究に着手 した。 ３．研究開発の内容（特徴） フリーなアクセスポイントのサービスを介した攻撃行為や、掲示板への書き込みに よる誹謗中傷行為といった問題は、これらのアクセスポイントの持つ匿名性を悪用し ていると考えられ、問題の解消にはユーザの特定が必要になる。また、アクセスポイ ントを提供する側の責任として、利用ユーザの把握や利用記録を残すなどの必要性も 生じてきている。そのためにはなんらかの形でユーザ認証を行い正規のユーザかを確 認し、さらに認証が成功したユーザの情報を記録することで、問題行為をおこなった ユーザの特定を可能にする必要がある。また、攻撃行為の防止も必要になると考えら れる。 ４．研究開発の課題 利用者側からの視点では、アクセスポイントそのものが信用できるのかという問題 がある。すなわち、無線ＬＡＮと認証ゲートウェイを組み合わせたアクセスポイント の場合、認証ゲートウェイに対して認証用のユーザとパスワードを渡す必要があるた め、悪意のあるものが設置したアクセスポイントであった場合、ユーザの情報を盗ま

れてしまう恐れがある。その心配をなくすためには、エンドツーエンドでの認証と暗 号化を行うことであるが、そうすると、アクセスポイント側では、制限がかけられな くなる。設置側の視点では、誰が使ったのか認証し、記録したいが、ユーザはそれを 望まないかもしれない。利便性を保ったまま、設置者と利用者の双方が、安全なアク セスポイントの構築は、簡単ではない。 ５．導入事例・利用イメージ HotSpot や公共の場所での情報コンセントの提供など、オープンな場所でのアクセ スポイントでの利用が考えられる。飲食店の店内での無線ＬＡＮの提供する場合や、 泊り客向けの温泉街でのホットスポートサービスの提供、ケーブルテレビ会社のユー ザへの付加サービスとして、中心市街地でのホットスポットの提供など、その利用は 広がってきている。 さらに、企業内においても、無線ＬＡＮの基地局を安易に設置するなどによって、 ネットワークへの不正な接続を許してしない、直接内部のネットワークが危険にさら されてしまっているケースが少なくない。企業における無線・有線のアクセスポイン トでの利用が考えられる。 ６．研究開発の到達目標 本システムによって、アクセスポイントの設置者と利用者の双方の利便性を損なわ ず、安全に利用できるアクセスポイントの設置を可能となる。さらに、本研究の認証 監視型ゲートウェイの他に、新しいタイプのＩＤＳ，ファイァウールの検討も進めて おり、それらと一体となったシステムを構築し、攻撃に強い、安全なネットワークの 構築を行うことが目的である。 連絡先 山形大学工学部 情報科学科 武田利浩 住所：〒992-8510 山形県米沢市城南 4-3-16 電話：0238-26-3349 E-mail: [email protected]

セキュリティマネジメント

研究開発名称：

IP ネットワークにおける障害対応およびセキュリティ管理に関する研究

研究開発団体：（株）ルートレック・ネットワークス

１．研究開発の目的・ねらい ネットワークのセキュリティ確保に使用されるファイアウォールは、ファイアウォ ールによって分けられたネットワークの外部からの不正な通信から内部ネットワーク を守る事は出来るが、ネットワークの内部同士の不正な通信を検出したりそれを防ぐ ような事は出来ない。数百人以上が利用する規模のネットワークでは、ファイアウォ ールルータによって遮断された外部からの攻撃よりむしろこのようなセキュリティの 薄い内部から内部への攻撃による被害の方が深刻といえる。 このような問題点を解決する方法として、本研究による装置を組織内部のネットワ ークを細分化する各ルータに設置する事で、ルータを通る不正な通信を制限する機能 を持たせる事が出来るようになる。これは一般の安価なルータに、不正な通信を検知 しそれを遮断すると言う高価なファイアウォールルータに近いセキュリティ機能を持 たせ、内部から内部、内部から外部と言った一般のファイアウォールでは管理対象と していない不正な通信を制限する事が出来るようになる。 ２．研究開発に至った経緯 一般の高級なファイアウォールルータの動作は基本的なセキュリティポリシーの設 定動作に加え、不正な通信を検知しそれを動的に遮断すると言う機能を特徴とする。 弊社ではルータの自動制御においては従来より研究開発を進めており、ルータのコ ンソールポートに接続し、ルータを自由に制御出来る装置を有している。この装置に 一般の IDS（Intrusion Detection System：不正侵入検知ツール）の検出した不正ア クセスの情報を与える事で一般的な様々なルータに高級なファイアウォールルータと 同等の機能を持たせる事が出来るのでは無いかと考えた。 ３．研究開発の内容（特徴） 数百人規模が利用するネットワークでは、一般にルータを使ってネットワークを小 さなグループに分けている。本研究による装置（以降「ルータ制御装置」とする）を このルータのコンソールポートへ直接接続し、ルータを通る通信を制御する事により 高価なファイアウォールルータに近いセキュリティ機能を一般のルータに持たせる事 が出来る。また、別の特徴としてルータ管理装置は既存のルータのコンソールポート に外部から接続する方式のため、既存のネットワーク構成に全く変更を加える事無く

設置する事が出来る。 ルータ管理装置の動作は、内蔵の IDS 機能により検出した不正アクセスログを解析 し、その通信の発信元からの通信を遮断する事の出来るアクセスリストをリアルタイ ムで作成する。作成されたアクセスリストはルータ制御装置からシリアルコンソール ポートを通じてルータへ設定される。この動作により以降その不正アクセスを発信し たネットワーク機器からの通信が遮断される。 この IDS 内蔵ルータ制御装置は組織のネットワーク内の各ルータそれぞれに備え付 ける事で組織内の他部署からの不正アクセスも検知および遮断する事が出来るように なる。また、アクセスリストの設定状況や IDS のログ情報を要約し管理者へメール送 信する機能も備えているため組織内の不正アクセスの発信元の特定も容易になる。 エラー! 内部ネットワーク 内 部 サ ブ ネ ッ ト ワークB 内 部 サ ブ ネ ッ ト ワークA IDS 内 蔵 ル ー タ 制 御装置 外部 ネットワーク ルータ IDS 内 蔵 ル ー タ 制 御装置 ルータ フ ァ イ ア ウォール ４．研究開発の課題 従来から IDS の課題となっている誤報の処理。Proxy サーバや DNS サーバなど様々 なネットワーク機器からのアクセスが集中するような機器もそうだが通常のネットワ ーク上の通信に対しても IDS が誤報を挙げる事は少なくない。これらの誤報を完全に 無くす事は不可能と言える。しかしながら、IDS のアラートの検知条件や無視条件等を 工夫する事でかなり少なくする事は可能だと思われる。これらの条件の設定を管理者 の負担にならず簡単に行えるような設定項目および UI を提案する事が課題となってい

る。 ５．導入事例・利用イメージ 現在のところ大学内の大規模ネットワークおいて実証実験をおこなっており、最終 的な実験結果を出すには今年一杯かかるものと思われる。 将来的には企業内の大規模ネットワークの内側のルータそれぞれに接続し、企業内 の部署単位でのセキュリティ確保を行うものと考えられる。 ６．研究開発の到達目標 将来は、複数のルータ制御装置を管理するサーバを開発し、組織内の細かいネット ワーク単位のセキュリティの管理を容易にし、同時にそれぞれのルータ制御装置同士 が情報を共有する事でより高いセキュリティを確保する事が可能になるものと考える。 連絡先 （株）ルートレック・ネットワークス 電話：044-829-4361 URL：http://www.routrek.co.jp/

セキュリティマネジメント

研究開発名称：情報ｾｷｭﾘﾃｨﾎﾟﾘｼｰ遵守管理ｼｽﾃﾑ 「Policy

Guardian」

研究開発団体：富士通関西中部ネットテック株式会社

１．研究開発の目的・ねらい 外部からの侵入よる情報漏えいは、様々なセキュリティシステムにより防御されて きたが、最近のインシデント事例を見ると、組織内部の者による故意あるいは誤操作 による情報漏洩が増加し、情報セキュリティポリシー策定による運用対策など情報 資産利用者の意識向上が急務となってきている。 当システムは、組織内の情報資産利用者に対して、強制的なアクセス制限をかける のではなく、効率的かつ確実に情報セキュリティポリシーを浸透させ、遵守させるこ とによりセキュリティを確保することを目的とする。 ２．研究開発に至った経緯 我々のキービジネスの一つとして、数多くの企業や自治体向けの情報セキュリティ ポリシー策定支援に取り組んできた。この経験から、策定後の運用に不可欠な要素と して啓蒙教育の重要性を痛切に感じ、これをシステム化するに至った。 ３．研究開発の内容（特徴） 本システムは、セキュリティマネジメントの基本であるＰＤＣＡサイクルに従って 運用されることをコンセプトとしている。まず、端末利用者に対するリスク許容値を 決定する。本システムは、全ての端末利用者のネットワーク利用状況を監視し、個人 単位に集計を行い、リスク許容値との比較分析データを出力する。この結果により、 理解度が不足していると思われるカテゴリについて、情報セキュリティポリシー理解 度を確認するテストを生成し、情報資産利用者に対して実施する。このテスト結果を 含めた統計情報を基に、組織全体として情報セキュリティポリシーがどれだけ定着し ているかを把握することができる。また、常に情報セキュリティポリシーから逸脱し たネットワークの利用実態が監視されていることから、不正利用者に対する抑止効果 も期待できる。 本システムを導入することで、情報セキュリティポリシーの浸透度が向上し、さら に状況を可視化することで、次に打つべき対策を早期に検討することができる。

Plan

Do

Check

Action

○情報セキュリティ  ポリシーに従った  クライアントのア  クセス権限やリス  クの許容値を設定  します。 ○ポリシー理解度の  確認テストを作成  します。 ○クライアントの日  々の運用状態を監  視、記録します。 ○リスクの許容値を  超えたクライアン  トを抽出し、その  運用状態を確認し  ます。 ○ポリシーが理解さ  れているかを確認  するテストを実施  します。 ○テスト結果が規定  得点に満たない場  合やその他ポリシ  ーが守られていな  いと判断されるク  ライアントへアク  セス権限の変更を  通知します。

Plan

Do

Check

Action

○情報セキュリティ  ポリシーに従った  クライアントのア  クセス権限やリス  クの許容値を設定  します。 ○ポリシー理解度の  確認テストを作成  します。 ○クライアントの日  々の運用状態を監  視、記録します。 ○リスクの許容値を  超えたクライアン  トを抽出し、その  運用状態を確認し  ます。 ○ポリシーが理解さ  れているかを確認  するテストを実施  します。 ○テスト結果が規定  得点に満たない場  合やその他ポリシ  ーが守られていな  いと判断されるク  ライアントへアク  セス権限の変更を  通知します。 ４．研究開発の課題 ネットワーク上を流れる情報には、様々な種類があり、それぞれ異なる手順や形式 でやりとりされている。これらの情報を解析し、ネットワーク利用状況を分析するに は、それぞれ専用の分析システムを開発しなければならない。 一般に、ネットワーク上を流れる情報を収集および分析するには、膨大な情報を処 理するために高性能な専用のシステムを導入することが多い。最近は、Ｐ２Ｐソフト などでもネットワーク上の通信そのものが暗号化され、ネットワーク利用状況の分析 には高度な技術と高性能なシステムが要求される。利用者毎の利用状況を把握するた めには、いかにして専用のシステムを用いずに情報の収集と分析を行うかが大きな課 題である。 ５．導入事例・利用イメージ 電子商取引や会員向け WEB サービス、e-Japan など、ネットワーク上で各種情報 資産を扱う様々な企業や自治体などで利用できる。特に、顧客情報や個人情報、他社 秘密情報を扱う部門では、情報セキュリティポリシーの遵守が必須であり、このよう な部門でこそ、本システムが本領を発揮すると考えている。 本システムから出力される各種統計情報は、ISMS などの監査帳票の 1 つとして利 用することも考えている。 また、本システムを教育・啓蒙支援システムと捉えると、情報セキュリティマネジ メント以外にも, 品質管理システムなど組織内の規則や規定などを浸透および遵守 させることが重要な分野で同様に利用することができる。 ６．研究開発の到達目標 現在のシステムでは、啓蒙のための手法として、監視とテストが主体となっている が、インシデント発生を「体験」できるシミュレーション機能を加えたい。これによ り、コンテンジェンシー・プランをサポートするツールとしても使用することができ るようになる。また、必要に応じて他のシステムと連携し、ダイナミックな実規制が

可能となる情報セキュリティシステムへの発展も計画している。例えば、アクセスコ ントロールシステムと連携し、情報セキュリティポリシーから逸脱した行動を行った 者に対して、自動的にネットワーク上の情報資産に対する物理的なアクセスを規制で きるようにする。 本システム単体でも、監視対象項目を増やすことや、蓄積された各種統計情報をさ まざまな切り口で視覚化し、多面的に分析できるようにすること、自律的に運用管理 者にアドバイスを行うことなどを考えている。 連絡先 富士通関西中部ネットテック㈱ソリューション統括部 電話： 06-6949-3702 URL：http://www.kcn.fujitsu.com/

セキュリティマネジメント（パソコンの情報保護）

研究開発名称：

FENCE-G（フェンス・ガード）

研究開発団体：（株）富士通ビー・エス・シー

１．研究開発の目的・ねらい “FENCE-G（フェンス・ガード）”は、企業内部の人間によって引き起こされる重 要データの漏洩を防止する。 ２．研究開発に至った経緯 セキュリティの強化は外部からの侵入に対してのみ行われる場合がほとんどで、企 業内部からの漏洩に対しては認識が低いようである。しかし、実際には顧客情報、契 約情報、社内重要文書などの機密性・価値の高い情報が、企業内部の人間によって盗 難される被害が増えている。 ファイル暗号ソフトウェア“FENCE-Pro V2”の開発（2002 年 12 月販売開始） において、 Windows OS のドライバで実現した自動暗号機能（暗号対象のフォルダや ドライブ・ネットワークドライブに保存されるファイルを自動的に暗号化／復号する）の 技術を有しており、この技術を利用して重要データの漏洩を防止、監視することを考 えた。 ３．研究開発の内容（特徴） 情報漏洩防止機能、監視機能を Windows OS のドライバで実現している。 ① 外部デバイスへのアクセス許可／読取専用／禁止ができる 任意の外部デバイスに対するアクセスを管理。FD や USB メモリなどによるファ イルの持ち出しをコントロールする。 ② 印刷機能への許可／禁止ができる ファイル印刷操作を管理。ローカルプリンタ、ネットワークプリンタを問わず、 印刷によるデータの持ち出しをコントロールする。 ③ ネットワークへのアクセス許可／読取専用／禁止ができる 任意のネットワークドライブ／フォルダに対するアクセスを管理。 共有パソコ ンなどを経由したパソコン内のファイルの持ち出しをコントロールする。 ④ 通信ポートアクセスの許可／禁止ができる 任意の通信ポートに対するアクセスを管理。 通信ポート経由（メールや FTP） によるパソコン内のファイルの持ち出しをコントロールする。 ⑤ 上記 4 つの防止機能それぞれに対して "アクセスを許可する"場合、データ持

ち出し操作を記録・収集することができる。 本機能は、特許出願中である。 ４．研究開発の課題 どこまで出力を抑止するかが課題である。すべての出力を抑止することは不可能で ある。導入する企業におけるパソコンのハード面での出力制限も必要である。また、 セキュリティ強度を落とさずにいかに簡単に導入ができ、ストレスを感じさせずに使 いやすさを実現するか、これも課題である。 ５．導入事例・利用イメージ 今年度中に製品化を予定している。 内部データの漏洩を防止したい企業への導入を目指している。 ６．研究開発の到達目標 情報セキュリティに求められる、「いかに機密情報を守るか」だけではなく、そのシ ステムが企業にとって「いかに使いやすいか」、そして「いかに強固か」を目標と考え 研究開発を行っている。 連絡先 （株）富士通ビー・エス・シー 営業本部 営業支援統括部 電話：03-5740-3211 FAX：03-5740-3200 E-Mail：[email protected] URL：http://www.bsc.fujitsu.com/ FD MO Mail FTP File Server P2P Printer デバイス抑止 印刷抑止 ネットワーク抑止 通信抑止 ファイルのコピー ファイルの印刷 ファイルの共有 ファイルの送信 内部の人間によるデータの 不正持ち出しを防止する

ウイルス対策ツール

研究開発名称：Proventia M シリーズ

研究開発団体：Internet Security Systems , Inc.

１．研究開発の目的・ねらい 現在、ネットワークセキュリティ製品は、スタンドアロン製品を各々導入し、管理 を各々行うことが必要である。また、このようなスタンドアロン製品を全て導入して も、被害の発生をくい止めることができていない。こうした現状に対し、１）セキュ リティ投資、運用管理費用を削減する、２）効果的に多様化するセキュリティの脅威 から防御することを目的に開発した。 ２．研究開発に至った経緯 弊社は、脆弱性検査／監査、不正侵入防御のリーダーとして製品やサービスを提供 してきたが、これらの製品を使いこなすためには、豊富な知識や経験が必要である。 昨今、専任のセキュリティ管理者が存在している大企業では、これらの製品を使いこ なしているものの、大企業でも管理者の目が届かない拠点・事業所・支社や中小規模 の企業でのセキュリティ対策が問題視されるようになってきている。このような状況 の中、弊社は、そのユーザニーズをいち早く察知し、弊社の技術と知識を最大限に、 シンプルかつコストを抑えながら、提供していくことが今後重要だと考え、1 つのボッ クスに複数のセキュリティ製品を搭載し、効率よく、シンプルに防御する製品を開発 するに至った。 ３．研究開発の内容（特徴） Proventia M は、ファイアウォール・不正侵入防御機能（IPS）・VPN・アンチウイ ルス・スパムメール（2004 年春提供予定）・コンテンツフィルタリング（2004 年春 提供予定）を 1 つのボックスに全て搭載し、利用するユーザが選択して使用すること ができるマルチセキュリティアプライアンスである。 このマルチセキュリティアプライアンスの特徴は、次の通り。

１） １つの防御エンジン（Synchronous Deep Traffic Inspection）

Proventia M には、ファイアウォール・不正侵入防御機能（IPS）・VPN・アンチウ イルス・スパムメール（2004 年春提供予定）・コンテンツフィルタリングの複数の セキュリティ機能を搭載しているが、オープン・分析／検知・遮断／許可・再アセ ンブル・ルーティング・ログ記録 は、全て１つの防御エンジン（Synchronous