日本の情報セキュリティ機関の現状−情報処理推進機構セキュリティセンター(IPA/ISEC) (2) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.21(土)

日本の情報セキュリティ機関の現状−情報処理推進機構セキュリティセンター(IPA/ISEC) (2)

特集 特集

ITインフラの普及とインターネットに蔓延する脅威の深刻化によって、単に情報システムのみならず、教育や法律、政策とも連携した、情報セキュリティへの官民一体となった取り組みが必要とされている。本企画では、官公庁や財団法人、公共性の高い企業の研究所等のうち、セキュリティに特化した組織や部署を横断的に取材、連載記事として、広く企業のセキュリティ担当者向けに、それぞれのセキュリティ機関の役割をわかりやすく紹介します。

今回は、独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)の普及グループリーダー 石井 茂 氏に、情報セキュリティ機関としてのIPA/ISECの役割を聞いた。取材は、石井 氏を中心に、同セキュリティセンター次長 小森 聡氏と戦略企画部広報グループグループリーダー横山 尚人氏にも話を聞いた。


IPA/ISEC
http://www.ipa.go.jp/security/

独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC) 普及グループリーダー 石井 茂 氏

●IPAセキュリティセンターの主な活動
「ソフトウェア等脆弱性情報の届出受付・分析及び開示」

IPA/ISECでは、脆弱性対策として脆弱性の分析や対策の策定、普及啓発資料の提供などを行っています。脆弱性分析を行うための体制としては、2004年1月から「情報セキュリティ技術ラボラトリー」を設置し、本格的に活動を開始しています。

2004年7月には、経済産業省の告示を踏まえ、ソフトウェアの脆弱性情報を適切に流通させるための仕組みとして、JPCERT/CCと共同で「情報セキュリティ早期警戒パートナーシップ」の運用を開始しました。IPAは受付機関としての役割を担い、ソフトウェア製品及びウェブアプリケーションの脆弱性関連情報の届出を受け付けています。

脆弱性関連情報の届出件数は、受け付けを開始した2004年7月8日からの累計で、ソフトウェア製品に関するものが560件、Webアプリケーションに関するものが1,035件、合計1,595件になります(2007年9月21日の状況)。ソフトウェア製品の脆弱性関連情報は、JPCERT/CCと共同運用している脆弱性対策情報ポータルJVN(Japan Vulnerability Notes)で公開し、脆弱性対策の普及促進を図っています。

さらにIPAでは、JVNの情報などを基にした幅広い脆弱性対策情報データベース「JVN iPedia」を構築しており、登録件数が2007年8月末で4000件を超えています。

届出を受理する基準ですが、ソフトウェア製品は国内外から広く受け付け、Webサイトは基本的に国内の会社が運営しているものとしています。

脆弱性関連情報の届出を検証する専門の部隊を組織して、現在では10数人体制で運用しています。検証している部屋には、他のIPA関係者ですら入室できないようにして、情報を管理しています。

Japan Vulnerability Notes
http://jvn.jp/

IPAの発行する公報啓発資料

●IPA/ISECの存在を知らない人にこそ、情報を届ける必要がある

ワンクリック不正請求やセキュリティ対策ソフトの押し売りなどに対応するためには、IPAの存在すら知らない人たちにこそ必要な情報を届ける必要があります。

IPA/ISECでは、全国の商工会議所などと連携して、毎年全国各地で「情報セキュリティセミナー」を開催しています。コースは「基礎コース」、「マネジメントコース」、「技術コース(標準)」、「技術コース(専門)」の4種類に分かれており、きめ細かくセキュリティ対策の普及に努めています。


●見える化で広くわかりやすく伝える

IPAでは各事業の成果を幅広く活用していただくために、自己診断、可視化を実現する「見える化」ツールの開発に力を注いでいます。現在、セキュリティセンターでは、企業や組織の「情報セキュリティ対策ベンチマーク」と「セキュリティ要件検討ツール」等を提供しています。

「情報セキュリティ対策ベンチマーク」は、情報セキュリティ対策の取り組み状況に関する評価項目25問と、企業プロフィールに関する評価項目15問の計40問に答えるだけで、他社と比較した自社のセキュリティレベルを診断できるツールです。2005年8月4日の公開日から現在までに蓄積された診断データ件数は4,514件で、診断件数の累計は10,104件になります。(2007年5月31日現在)

「セキュリティ要件検討ツール」は、情報システムの導入現場におけるセキュリティポリシーや運用環境を入力することで、どういったセキュリティ要件を作ればよいかがわかるツールです…

【取材・執筆:株式会社トライコーダ 上野 宣 (http://www.tricorder.jp/)】

※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×