今回は、独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)の普及グループリーダー 石井 茂 氏に、情報セキュリティ機関としてのIPA/ISECの役割を聞いた。取材は、石井 氏を中心に、同セキュリティセンター次長 小森 聡氏と戦略企画部広報グループグループリーダー横山 尚人氏にも話を聞いた。
IPA/ISEC
http://www.ipa.go.jp/security/
独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC) 普及グループリーダー 石井 茂 氏 |
●IPAセキュリティセンターの主な活動
「ソフトウェア等脆弱性情報の届出受付・分析及び開示」
IPA/ISECでは、脆弱性対策として脆弱性の分析や対策の策定、普及啓発資料の提供などを行っています。脆弱性分析を行うための体制としては、2004年1月から「情報セキュリティ技術ラボラトリー」を設置し、本格的に活動を開始しています。
2004年7月には、経済産業省の告示を踏まえ、ソフトウェアの脆弱性情報を適切に流通させるための仕組みとして、JPCERT/CCと共同で「情報セキュリティ早期警戒パートナーシップ」の運用を開始しました。IPAは受付機関としての役割を担い、ソフトウェア製品及びウェブアプリケーションの脆弱性関連情報の届出を受け付けています。
脆弱性関連情報の届出件数は、受け付けを開始した2004年7月8日からの累計で、ソフトウェア製品に関するものが560件、Webアプリケーションに関するものが1,035件、合計1,595件になります(2007年9月21日の状況)。ソフトウェア製品の脆弱性関連情報は、JPCERT/CCと共同運用している脆弱性対策情報ポータルJVN(Japan Vulnerability Notes)で公開し、脆弱性対策の普及促進を図っています。
さらにIPAでは、JVNの情報などを基にした幅広い脆弱性対策情報データベース「JVN iPedia」を構築しており、登録件数が2007年8月末で4000件を超えています。
届出を受理する基準ですが、ソフトウェア製品は国内外から広く受け付け、Webサイトは基本的に国内の会社が運営しているものとしています。
脆弱性関連情報の届出を検証する専門の部隊を組織して、現在では10数人体制で運用しています。検証している部屋には、他のIPA関係者ですら入室できないようにして、情報を管理しています。
Japan Vulnerability Notes
http://jvn.jp/
IPAの発行する公報啓発資料 |
●IPA/ISECの存在を知らない人にこそ、情報を届ける必要がある
ワンクリック不正請求やセキュリティ対策ソフトの押し売りなどに対応するためには、IPAの存在すら知らない人たちにこそ必要な情報を届ける必要があります。
IPA/ISECでは、全国の商工会議所などと連携して、毎年全国各地で「情報セキュリティセミナー」を開催しています。コースは「基礎コース」、「マネジメントコース」、「技術コース(標準)」、「技術コース(専門)」の4種類に分かれており、きめ細かくセキュリティ対策の普及に努めています。
●見える化で広くわかりやすく伝える
IPAでは各事業の成果を幅広く活用していただくために、自己診断、可視化を実現する「見える化」ツールの開発に力を注いでいます。現在、セキュリティセンターでは、企業や組織の「情報セキュリティ対策ベンチマーク」と「セキュリティ要件検討ツール」等を提供しています。
「情報セキュリティ対策ベンチマーク」は、情報セキュリティ対策の取り組み状況に関する評価項目25問と、企業プロフィールに関する評価項目15問の計40問に答えるだけで、他社と比較した自社のセキュリティレベルを診断できるツールです。2005年8月4日の公開日から現在までに蓄積された診断データ件数は4,514件で、診断件数の累計は10,104件になります。(2007年5月31日現在)
「セキュリティ要件検討ツール」は、情報システムの導入現場におけるセキュリティポリシーや運用環境を入力することで、どういったセキュリティ要件を作ればよいかがわかるツールです…
【取材・執筆:株式会社トライコーダ 上野 宣 (http://www.tricorder.jp/)】
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec