Embed Size (px)
Citation preview
評価用資料
「コンピュータセキュリティ早期警戒体制の整備事業」
資料 12
2
目 次
1.事業の目的・政策的位置付けの妥当性………………………………………1 (1)事業に対する国の関与……………………………………………………1 (2)事業目的・政策的位置付け………………………………………………1
2.研究開発等の目標の妥当性……………………………………………………3 (1)概要…………………………………………………………………………3 (2)研究開発目標………………………………………………………………7
3.成果、目標の達成度の妥当性………………………………………………21 (1)成果………………………………………………………………………21 (2)目標の達成度……………………………………………………………32
4.事業化、波及効果についての妥当性……………………………………….41 (1)事業化…………………………………………………………………….41 (2)波及効果………………………………………………………………….43
5.研究開発マネジメント・体制・資金・費用対効果等の妥当性………….45 (1)研究開発計画…………………………………………………………….45 (2)研究開発実施者の実施体制・運営…………………………………….48 (3)資金配分………………………………………………………………….54 (4)費用対効果……………………………………………………………….57 (5)変化への対応…………………………………………………………….59
1
1.事業の目的・政策的位置付け (1)事業に対する国の関与 コンピュータウイルス、不正アクセス、脆弱性※1、ボット※2等に代表されるIT
への脅威(情報セキュリティ上の問題)は多様化・高度化する傾向にあり、「IT
を安心して利用可能な環境」を構築するためには、官民が連携して情報セキュリテ
ィ対策を推進することが必要である。
企業については、基本的な対策のレベルは全体的に向上しつつあるものの、グロ
ーバルに活動している企業とそうでない企業、大企業と中小企業の間で格差が存在
している。また、競争力強化等の視点から情報セキュリティ対策を戦略的に捉えよ
うとする企業が多くない中、一部において負担感等も増加しつつあり、対策が形骸
化するおそれもある。個人については、全体の対策実施率は向上しつつあるが、全
く対策を講じていない者も一定割合存在しており、かつ、属性によって意識や行政
実態等に差異がある。
横断的基盤については、脅威への国際対応体制、IT製品等や組織のマネジメン
トに関する評価制度が徐々に充実・強化されつつあるが、関連基準等の整理、国際
的な評価基盤の整備、情報の収集・分析能力等が十分でない可能性がある。
情報セキュリティ対策は費用対効果が見えにくいこと、脆弱性等への対応は製品
開発者の利益に直結しない上に、そもそも製品開発者が脆弱性等に気付きにくいこ
と等から、本分野については民間の自主的な取組だけでは十分な効果が期待できな
い。情報セキュリティ対策を民間の自主的な対応のみに委ねた場合、民間における
情報セキュリティ対策は不十分なものとなり、結果として、経済社会活動の基盤と
なっているIT全体の安全性・信頼性が大きく損なわれ、我が国経済社会活動全体、
ひいては安全保障にも悪影響を及ぼす可能性が高い。また、緊急時対応の仕組みは、
各国における適切な能力を有する機関に政府が委託するなどして実施している。よ
って国が施策を講じることが必要である。
※1脆弱性:ソフトウェア等において、コンピュータウイルス、コンピュータ不正アクセス等の
攻撃により機能や性能を損なう原因となり得る、安全性上の問題箇所。
※2ボット:「ロボット」から作られた造語で、ある種のプログラム(ボットプログラム)を埋め
込まれたコンピュータを指す。ボットプログラムを埋め込まれたコンピュータは、攻撃者の命
令に基づき、情報詐取、迷惑メール送信等の様々な活動を行う。
(2)事業目的・政策的位置付け ①目的 ITを利用する環境には、ソフトウェア等が持つ安全性に関する弱点(脆弱性)
を狙ったコンピュータウイルスや不正アクセスなどの脅威が常に存在している。特
2
に、近年では、攻撃の「見えない化」が進みつつあり、パソコンの中に気付かれな
い形で忍びこみ、悪意ある者の命令を受け迷惑メールの送信や情報を盗み出すとい
った事例(ボット)や、いわゆるフィッシングといった利用者の銀行口座番号等を
騙し取る事例等、金銭を目的とした「新たな脅威」も発生している。
このような脅威は、一旦感染すると直ちに情報を盗み出されるなどのおそれがあ
るため、ITを安心して利用するためには、個々の利用者や企業が適切な対策を行
わなければならない。情報セキュリティに関する脅威は、対策が講じられると当該
対策を上回る新たな脅威が常に発生するために最新の対策を行いつづける必要が
ある。このため、コンピュータウイルス、不正アクセス、脆弱性、ボット等の情報
セキュリティの問題に関する最新情報を収集・調査し、対策情報を適切に公表して
いくことが求められている。情報セキュリティ対策に関して必要な情報を提供する
とともに、対策実施に関する普及・啓発を行うことにより、情報セキュリティ問題
による被害の抑制・未然防止を目指す。
②政策的位置付け 本事業は、政府全体の情報セキュリティ政策の3カ年計画である「第1次情報セ
キュリティ基本計画」(平成18年2月情報セキュリティ政策会議決定)に基づき、
毎年度策定されている「セキュア・ジャパン2006」(平成18年6月情報セキ
ュリティ政策会議決定)及び「セキュア・ジャパン2007」(平成19年6月情
報セキュリティ政策会議決定)に位置付けられている。また、「セキュア・ジャパ
ン2006」及び「セキュア・ジャパン2007」は、「IT新改革戦略」(平成1
8年1月IT戦略本部決定)に基づき策定される「重点計画2006」(平成18
年7月IT戦略本部決定)及び「重点計画2007」(平成19年7月IT戦略本
部決定)や「経済財政運営と構造改革に関する基本方針2006」(平成18年7
月閣議決定)及び「経済財政改革の基本方針2007」(平成19年6月閣議決定)
にも位置づけられる重要施策の一つである。
3
2.研究開発等の目標の妥当性等 (1)概要 (1-1)早期警戒体制の整備 ①不正アクセス行為等対策業務 Ⅰ.不正アクセス対策支援・未然防止促進事業 不正アクセス対策支援では、日本国内のサイトに関する不正アクセス行為等によ
るインシデントに関して、
ア.国内外からのインシデント報告の受付と対応活動の仲介支援
イ.国内外関連組織との連携体制強化及び普及啓発(機能構築支援や運営体制
の整備及び運用支援)
ウ.不正アクセス行為等の観測(インターネット定点観測)・分析及び国内外
関連組織との情報連携
エ.上記結果に基づいた注意喚起の公開、早期警戒情報の発信
等の事業を行う。
Ⅱ.脆弱性情報流通の枠組み構築事業 脆弱性関連情報等の流通や製品開発ベンダーにおける対策活動支援を促進する
枠組み等を構築するために、
ア.国内外からの脆弱性関連情報の流通・調整と対策活動の仲介・支援
イ.国内外関連組織との脆弱性関連情報調整スキームの整備・開発・運用
ウ.脆弱性情報の優先度判定・対処機能の研究開発及び運用
エ.国内外関連組織との連携体制強化及び普及啓発
を行う。
Ⅲ.ボット対策推進事業 ボット対策推進事業は、ボットネットを利用した不正な行為による被害の拡大を
防止するため、以下の作業を遂行する。
ア.ボットを検体(プログラム)として収集
イ.検体の分析、並びに駆除ツール及び対策情報(以下、「対策情報」という)
の作成(駆除ツールの作成については、民間事業者によるサービス提供の
障害となることがないよう、原則として、ボットの収集時において民間事
業者が市場に提供している対策ソフト又は駆除ツールでは対策ができない
ものを対象とする。)
ウ.感染ユーザへの告知、及び駆除の推奨
4
エ.ボットに関する詳細分析情報の作成、及び公開(対策情報の一般公開を含
む。)、等を行う
②ウェブアプリケーションのセキュリティガイドライン策定に関する調査研究 電子政府、電子自治体、ネットバンキング、電子商取引などの様々なサービスが、
ウェブアプリケーションとして構築される動きが急激に拡大しつつある。しかし、
ウェブアプリケーションのアクセス制御機能は、統一された安全規格があるわけで
なく、各サイトで個別にその都度設計・実装が行われており、その安全性は、シス
テムの発注者が仕様書に安全基準を正しく盛り込めるか、あるいは受注者が自主的
に正しい設計・実装を行うかにかかっている。
我々のこれまでの調査で、なりすましアクセスを許してしまう欠陥のあるサイト
が実際に数多く運用されていた事実が判明している。こうしたアクセス制御機能の
欠陥(セキュリティ脆弱性)の問題は、発注仕様書の作成、システムの開発、納品
物の検収に携わる各現場の技術者が、安全なアクセス制御に関する正しい知識を持
つ他に解決の道はない。
この研究は、実運用サイトに存在した欠陥の原因を分析し、正しい設計・実装の
ための技術情報を事例に基づいて公表することで、同じ欠陥が繰り返し生産される
事態を防止することを目的とするとともに、ウェブアプリケーションに関する公的
な安全基準として利用可能であるよう配慮したガイドラインを作成、提案すること
を目的としている。
③脆弱性関連情報共有に関する実証実験 企業活動がITに依存している今日、情報システムのユーザー企業(以下「ユー
ザー企業」という)では、システムへの修正ソフトウェアの導入によって、既存の
システムの運用に悪影響を及ぼす事例(システム更新に係る副作用)が生じており、
企業活動そのものへの影響が大きくなってきているものの、これらの問題に係る情
報の共有の仕組みが存在しないため、適切な対応に困難を来している。
このため、本事業では、公表された脆弱性情報や対策方法の周知・注意喚起、対策
手段のテスト方法や適用を通じて得たシステムへの副作用に係る情報をユーザー
企業やSIer(情報システム保守・運用事業者)、情報提供機関(IPA、JP
CERT/CC)、ソフトウェアベンダが対話型で情報共有できる環境を確立する。
これにより、早期警戒ネットワークの構築、副作用に係る情報に関するソフトウェ
アベンダの対応促進策を具現化し、ユーザーサイドとサプライサイドの円滑な情報
交換及び交流を通じた対応の迅速化に向けたモデルケースとなることを目指す。
本事業では、脆弱性関連情報共有に関する電子掲示板の実証実験を行い、その効
果及び課題を明らかにする。
5
(1-2)普及広報活動 ④インターネット安全教室等 今日、パソコンやインターネットは社会の至るところに浸透し、多くの人々がそ
の恩恵を受けている一方で、一般のインターネット利用者がコンピュータウイルス、
不正アクセス等の脅威にさらされる機会も増加している。
全てのユーザがインターネットを介して接続される状況に於いて、情報セキュリ
ティを考えた場合、通信事業者や企業が情報セキュリティに対しての万全の体制を
実施したとしても、インターネットを利用する一般のユーザの情報セキュリティに
対するリテラシーが低い場合には、社会として脆弱性をかかえることになる。従っ
て、一般のユーザがインターネットの危険性に気付き、それに適切に対応すること
は必要不可欠なことと言える。
このような状況のもと、2003年10月に産業構造審議会情報セキュリティ部
会において策定された「情報セキュリティ総合戦略」、2006年2月に情報セキ
ュリティ政策会議において策定された「第1次情報セキュリティ基本計画」等にお
いて、一般利用者向けの普及啓発並びに情報セキュリティ人材の育成が重要な政策
の一つとして位置付けられている。
「インターネット安全教室」は、こうした状況を踏まえ、家庭や学校からインタ
ーネットにアクセスする一般の利用者を対象に、情報セキュリティに関する基礎知
識を学習できるセミナー及び関連する普及広報活動を全国各地の関係機関と協力
して実施し、一般利用者が情報セキュリティに関する基礎知識を習得できる機会を
提供する。それと共に、全国各地で情報セキュリティに関わる活動をしている団
体・NPOなどを発掘・育成し、地域に密着した普及啓発活動を行えるようなサポ
ートを行う。
情報セキュリティ教育の試行と人材育成等に関する調査では、情報セキュリティ
を背景として利用するビジネスが社会に浸透するに伴い、情報セキュリティ人材の
確保・育成の必要性が認識されているが、いまだ情報セキュリティ分野は学問とし
ての体系が確立されているとは言えず、体系だった情報セキュリティ人材育成が行
われ難い環境にある、という背景から、情報セキュリティ教育の課題を整理し教育
を試行、また指導者が自力でも教材を作成できる手引書を用意することにより、大
学等の高等教育機関における体系的な情報セキュリティ人材育成の実施を促進す
る。また、情報セキュリティ分野では、講師となる人材が不足している現状を踏ま
え、講師を育成・確保する方策等を検討し、情報セキュリティ人材育成施策の進め
方に関する提言等を行う。
セキュリティリテラシーベンチマークツールの策定・普及では、組織における一
般的なIT利用者を対象として、基礎的な情報セキュリティ知識やリテラシー向上
の目的として、インターネット上で短時間で実施できるテストを受講すると自己の
6
理解度をセルフチェックできるようなサイトを構築し、情報セキュリティの普及啓
発活動を行う。
⑤CHECK PC! キャンペーン ITが国民生活・社会経済活動に深く浸透していく中で、インターネットの利用
者がコンピュータウイルスへの感染、不正アクセス、フィッシング等の被害に遭遇
する危険性は高まっている。このような状況を踏まえ、TVCM、専用ホームペー
ジ等を通じて国民に情報セキュリティ対策の重要性を訴える。
⑥フィッシング対策協議会 ITが社会のあらゆる分野に浸透し、誰もが容易にインターネットに接続できる
ようになっている。このような状況の下、個人がインターネットを介してサイバー
犯罪の被害に遭う危険性はますます高まっている。特に金融機関やオンラインショ
ップなどからの電子メールを装い、個人情報等を返信もしくは入力させることを通
じ、金銭を詐取する行為、いわゆるフィッシングの被害は、世界的に広まりつつあ
り、米国における被害額は年間1,000億円以上とも言われている。
わが国におけるフィッシングの被害は、現時点では小規模にとどまっているもの
の、一般利用者のフィッシングに対する認識が十分であるとは言い難く、米国等諸
外国のように被害が拡大する前に、一般利用者のフィッシング対策を促進すること
が不可欠である。
本事業は、フィッシングの攻撃対象となり得る事業者又はその団体、防御手段を
提供し得る事業者などが、フィッシングに関する情報を共有し、適切な対策を講ず
るとともに、一般利用者を含めた注意喚起等を行うことを目的として設立された
「フィッシング対策協議会」の事務局として協議会を運営し、フィッシングに関す
る情報収集・提供、動向分析、技術的対策の検討などを行うことを目的とする。
また、フィッシングに関する情報を提供し、注意喚起を図るため、フィッシング
情報の収集及び収集した情報の分析を行うとともに、情報提供・共有のためのフィ
ッシング対策協議会システムの運用・保守を行う。
7
(2)研究開発等目標 (2-1)早期警戒体制の整備 ①不正アクセス行為等対策業務 Ⅰ.不正アクセス対策支援・未然防止促進事業 EメールおよびWebを通じた企業間の情報のやりとりはもとより、さまざまな行政
サービス、個人のショッピングなどといった経済活動もネットワーク上に移行しつ
つあり、インターネットが社会基盤の一部を構成しているといっても過言ではない
昨今、ネットワーク利用の拡大は反面、さまざまなセキュリティ問題をも引き起こ
している。その土壌となる原因のひとつは、コンピュータにあまり詳しくない利用
者が増え、そういった利用者を標的とし、コンピュータを悪用した不正が成功する
可能性が高まったことであり、もうひとつは、高度なネットワークを支えるシステ
ムが複雑化したため、脆弱性のないシステム、すなわち、セキュリティに穴のない
システムを構築し運用することが困難になっていることであるといえる。
脆弱性を悪用した攻撃方法の知識や攻撃ツールでさえもネットワークを通じて
提供、あるいは売買されており、無策のままネットワーク利用を続ければ、社会的
に甚大な被害を招くことになりかねない。
ネットワークを利用するすべての人たちが、さらなる効率化を追求し新しい価値
をつくり出していくためには、
ア.インシデント(情報セキュリティ上問題となり得る事象)が発生した際に、
必要な対処を迅速に行うことにより、被害の拡大を抑止する。
イ.インシデントの発生の状況等の脅威情報を、適切なタイミングで、適切な範
囲の者に、実際の対策につながる形で提供し、被害の未然防止または拡散防
止を図る。
ことが必要となる。
表1.各業務の目標
業務内容 目標水準 妥当性・
設定理由・根拠等
国内外からのインシ
デント報告の受付と
対応活動の仲介支援
インシデント報告への対
応支援の効果を向上させ
るため、優先度を考慮した
インシデント対応支援活
動を行う。
インシデント発生から対処までの時間
が長くなればなるほど被害が拡大する
可能性が大きくなることから、具体的な
被害につながる可能性が高い報告につ
いて優先的な対応をすることが望まし
い。
8
国内外関連組織との
連携体制強化及び普
及啓発(機能構築支
援や運営体制の整備
及び運用支援)
インシデントに関する対
応支援活動をより迅速に
行うため、及び情報セキュ
リティ上の脅威に関する
情報をいち早く収集する
ため、各国の窓口 CSIRT や
関係機関との間の連携の
強化を図る。
各組織におけるインシデ
ント対応能力の向上を支
援する。
また、フィッシングサイトの立ち下げ等
の攻撃元に対する停止の働きかけが迅
速に実現できる必要があり、そのような
コーディネーションのためには、攻撃元
の国や組織等において対策を行える立
場にある者との連携を強化しておくこ
とが重要であるため。
外部からの攻撃が、経済的利得を目的と
して、特定の情報資産をねらって行われ
るようになってきたこと、組織の内部の
者によって引き起こされるインシデン
トが増加する傾向にあることから、各組
織が自らインシデントを検知し、対応で
きる能力を備えることが必要になって
きているため。
不正アクセス行為等
の観測(インターネ
ット定点観測)・分
析及び国内外関連組
織との情報連携
自らが運用しているイン
ターネット定点観測によ
る情報収集以外の、脅威情
報収集源の確保、収集した
情報の分析能力の向上
インシデントの発生が不特定多数に対
する全国的なものから、ターゲットを定
めてカスタマイズしたものに変化して
いることから、定点観測の網から漏れる
攻撃が増加しているため、脅威を正しく
把握するための多様な情報源の確保が
必要となるため。
上記結果に基づいた
注意喚起の公開、早
期警戒情報の発信
広く一般向けの注意喚起
情報とは別に、一般に公開
すると攻撃を誘発する可
能性のある機微な事項を
含んだ情報を提供するこ
とが必要となる対象先と
の連絡体制の確立、対象先
ごとにカスタマイズした
情報提供体制の整備
攻撃が特定の資産をねらって対象組織
ごとにカスタマイズした方法で行われ
るようになって来ていることから、イン
ターネットを利用して一般向けのサー
ビスを提供している組織や、情報社会の
基盤を支える組織等に対しては、一般に
公開するとリスクがあるような機微な
脅威情報についても、適切なタイミング
で、具体的な対策実施につながる形で提
供していく必要があるため。
9
Ⅱ.脆弱性情報流通の枠組み構築事業 近年、ソフトウエア等の脆弱性は、コンピュータ不正アクセスやコンピュータウ
イルス等の攻撃に悪用されるケースが増加しており、IT 社会の安全性を脅かすイン
シデントの主要な原因となっている。また脆弱性の特性として
ア.脆弱性の情報の取扱いには慎重さが要求される
本来、関係者内で適切に共有され対策が策定されるべき脆弱性の情報が、
適切に扱われず放置されたり、対策がない段階で暴露されたりすることによ
り、大きな被害をもたらす危険性が指摘されている。
イ.脆弱性の公表から攻撃方法の出現までの期間が短縮
ソフトウエア等の脆弱性の公表から exploit コードやコンピュータウイル
ス等攻撃方法の出現までの期間が急速に短縮しつつある。例えば、2003 年2
月に韓国のネットワークをダウンさせた「SQL Slammer」の場合、脆弱性の
対策方法の公表からワームの発生までに約半年の期間を要したが、2003 年 8
月に国内で猛威を振るった「MS Blaster」の場合、脆弱性の対策方法が公表
されてからわずか 3週間強でワームが発生した。
ウ.2006 年に全世界で報告された脆弱性の数は 8,000 件にのぼり、調整機関に
とっても、システム管理者にとっても、限られたリソースで、公開される大
量の脆弱性情報を適切に分析、優先度をつけて対応することは非常に困難に
なっている。
上記背景から、ソフトウエア等の脆弱性関連情報の調整、流通事業は、事業概要
で述べた点を重点項目業務として注力することで、脆弱性への対応が適切に実施さ
れることを目的にする。
脆弱性の重要度・優先度は、脆弱性の該当製品の利用者範囲、該当製品が提供す
るサービス、攻撃の難易度などによって評価される。脆弱性調整機関である
JPCERT/CC が、登録製品開発者情報、テクニカルキーワードの集約を実施している。
JPCERT/CC 脆弱性情報の調査・分析
調整優先度判定
国内から
海外からの
脆弱性
IPA
CERT/CC
CPNI
脆弱性
脆弱性
スキーム解説
調査・対応依頼
本枠組みの整備・連携体制の強化・普及啓発活動
10
それに加え、ソフトウエア製品の利用者範囲や、当該製品のサービスについて情報
を集約して把握することで、①調整機関における脆弱性ハンドリング時の優先度が、
一貫して評価できるようになり、②実際の攻撃が発生した際の、インパクト評価、
注意喚起範囲の迅速な判断が行えるようになる、ことを目標とする。
また、ソフトウエア等の脆弱性の重要度・優先度等に係る製品開発者やユーザー
に対する情報提供の充実を目標として、関連情報流通業務を実施する。
ソフトウエア等の脆弱性の重要度・優先度等は、利用者の環境によって異なる上、
脆弱性情報に対して取るべき対策や、その意思決定プロセス、判断基準は、各組織
によって異なる。そのため、脆弱性の重要度や優先度情報は、利用者の環境情報を
考慮した上で分析し、ユーザーにおける具体的な対策に関する意思決定を支援でき
る形で提供することが有効である。JPCERT/CC では、①脆弱性情報公開の際、当該
脆弱性のインパクト分析を行い、その評価値の発信を行うとともに、②各ユーザー
組織がクライアントサイトにて各組織の固有情報を入力すると、その組織にとって
の重要度や取るべき対策を推論して提示する脆弱性情報対応意思決定支援手法を
開発し、提供する。
これにより、ユーザー組織において、優先度が高く対応が必須な脆弱性について、
漏れなく、迅速に、効率よく対策にかかる意思決定ができるようになることを目標
とする。
表2.各業務の目標
業務内容 目標水準 妥当性・
設定理由・根拠等
ソフトウエア等の脆弱性関
連情報の調整、流通業務
「ソフトウェア等脆弱性関連
情報取扱基準」に基づく製品開
発者と関連機関との、適切な脆
弱性情報の対応。
より適切な脆弱性関連情報の
公開
調整業務の効率化
ユーザーへの有益な情報の発
信
脆弱性を安全かつ適切に
開発者に調整、対策情報を
作成することはもちろん、
ユーザーがパッチを適用
してはじめて対策がなさ
れることから、情報公開に
当たっては、ユーザーが効
率よく脆弱性対応ができ
るような情報発信が求め
られる。
11
Ⅲ.ボット対策推進事業 ア.目標設定の背景
2004 年以前においては、コンピュータウイルスやワームによる大規模インシデン
トの発生により多数の被害が報告され、情報セキュリティ上の重要な問題と認識さ
れていたが、2004 年 4 月の Sasser ワームを最後に、全国的な規模でのウイルス・
ワームの大感染は報告されていない。
一方で、2004 年の 7 月に発生した大量のスパムメール送信事件(メールのあて先(ユ
ーザ名)が総当りであったたこと、また、メールの送信元アドレスが偽装されていたことから、大量のエラー
メールが ISP のメールサーバに送られ、大きな負荷をかけたもの。これらのメールは、数百~数千のソース IP
アドレスから送信されていることなど、従来の第三者中継を利用するスパムとは明らかに異なる様態であっ
た。)は、ボットネットを利用して行われたものであることが確認され、その後の調
査により、ボットネットは、スパムメールの送信に利用されるだけでなく、DDoS 攻
撃や、感染活動も行うことが確認された。
平成 16 年度に行った調査により、ボットは、ウイルスやワームとには本質的に
異なる脅威であることが判明した。すなわち、ワームやウイルスは、あらかじめプ
ログラムされた活動を行うプログラムであることから、プログラムを解析すること
で動作や脅威を予測し、対策を行うことができるが、ボットネットは、
①ボットに感染したコンピュータには特段の異常を発生させず(潜在化)、
②攻撃者が、ボットに感染しているコンピュータに任意の指令を任意のタイミ
ングで送信し、第三者への攻撃をさせることができ、
③ボットネットを利用してボットの自身の更新を行うことができる点
が大きく異なっている。
また、上記③のように、ボットネットを利用してボット自身の更新を容易に行う
ことができることから、多くの亜種が存在し、商用で提供されているウイルス対策
ソフトを利用していても、最新の亜種については、検知、検出が容易ではないとい
う問題も明らかになった(平成 16 年度に実施した調査では、収集した検体数の 90%
をアンチウイルスソフトで検知することができたが、種類に着目すると、わずか 23%
しか検出できなかった。)。
このような、商用で提供されているセキュリティ対策製品を利用していても防ぐ
ことが困難なボットによる被害の拡大の脅威に対応するため、国(総務省と経済産
業省が協同)の事業として、ボット対策推進事業を行うこととした。
12
【ボットの概要】
※DDoS(Distributed Denial
of Service:分散サービス妨
害)
13
イ 研究開発目標(体制)
Copyright© 2007 JPCERT/CC All rights reserved. 46
総務省・経済産業省共同によるボット対策プロジェクト
CCC(サイバークリーンセンター)
(( トレンドマイクロトレンドマイクロ ))
サイバークリーンセンター(https://www.ccc.go.jp/ )
Copyright© 2007 JPCERT/CC All rights reserved.
サイバークリーンセンタープロジェクトの概要
ボット対策システム運用G
(T-ISAC-J ━ ISP各社)
ボット対策プログラム解析G
(JPCERT/CC ━ トレンドマイクロ社)
ボット感染予防推進G
(IPA ━ セキュリティベンダ5社)
The Internet
The Internet
駆除ツールを作成(CCCクリーナー)
検体を提供
駆除ツールの動作確認
感染ユーザー感染ユーザー
共同ポータル(駆除ツール提供サイト)共同ポータル
(駆除ツール提供サイト)
BOT検体を解析
BOT検体を収集
おとりコンピュータ(ハニーポット)おとりコンピュータ(ハニーポット)
駆除ツール提供
ISPからBOT感染通知ISPオペレータISPオペレータ
BOTを検知・駆除
パターンファイルを各セキュリティベンダのアンチウイルスソフト製品に反映
一般ユーザー一般ユーザー
アンチウイルスソフト製品を購入したユーザへ還元
BOT検体をアーカイブ化
14
本事業は、平成18年度から平成20年度までの3ヵ年の計画で実施するもので
あり、平成18年度においては、JPCERT/CC はボットプログラム解析解析グループ
として参画し、以下の作業等を実施した。
ア.関係機関間における事業の運営方針の決定
イ.事業運用スキームの設計及び事業を実施するために必要となるインフラシ
ステムの設計、開発、テスト、運用
ウ.感染ユーザ等に配布する駆除ツールの仕様検討・設計・開発・テスト
エ.感染ユーザへの通知・駆除ツールの配布の試験運用のための、ボットプロ
グラムの解析及びその結果の駆除ツールへの反映(平成18年12月から
1月)
オ.感染ユーザへの通知・駆除ツールの配布の本格運用のための、ボットプロ
グラムの解析及びその結果の駆除ツールへの反映k(平成19年2月から)
カ.ボットプログラムの解析・分析
表3.各業務の目標
業務内容 目標水準 妥当性・
設定理由・根拠等
インフラシステムの設計、開
発、運用
平成19年2月の施行運用開
始に間に合うよう、関係機関間
でボット検体、解析結果、駆除
ツール等のやりとり、工程管理
を円滑に実施できるようにす
る環境(システム)の構築、テ
ストを終え、実際に関係者間の
作業フローが円滑にまわるこ
と。
収集されたボット検体の
解析、駆除ツールへの反
映、駆除ツール配付機関、
その他の関係者間での作
業を開始することが事業
全体の目的であり、プロジ
ェクトの運用開始までに
インフラシステムの開発
が完了していることが必
須であるため
ボット駆除ツールの設計、開
発、提供
平成18年12月の施行運用
開始に間に合うよう、配付する
駆除ツールの仕様の設計、開発
を完了すること
試行運用で得られたツールの
要改善点の反映を本格実施ま
でに行うこと
プロジェクトの運用開始
までに感染者等に配布す
る駆除ツールが完成して
いることが、事業目的達成
のために不可欠であるた
め
15
ボットプログラムの解析、駆除
ツールへの反映
1週間ごとの駆除ツールの更
新が可能となるよう、解析フロ
ー、解析結果の駆除ツールへの
反映フローを構築、運用する。
新たに捕獲されるボット
検体に迅速に対応するた
め、駆除ツールの更新期間
をなるべく短くする必要
があるため。
ボットプログラムの解析環境
の構築、詳細解析(環境構築及
び解析の実施)
プロジェクトの本格実施に間
に合うよう、駆除ツールを提供
する前提としての解析を実施
するための解析環境を構築し、
また、収集されたボット検体の
うち、その詳細を検討する必要
があるものの選定基準等の検
討のため、詳細解析及び傾向分
析を実施する。
プロジェクトの運用まで
に駆除ツールの提供が可
能となるよう、その前提と
なる解析環境を構築し、ま
た、19年度以降の本格解
析作業の方向性を検討す
るための分析を行う必要
があるため
16
②ウェブアプリケーションのセキュリティガイドライン策定に関する調査研究 本研究開発目標は、ウェブアプリケーションの脆弱性の現状を分析した上で、セ
キュリティ要件本編、技術編、留意事項から成るサイト運営者の発注ガイドライン
を策定することである。
この目標の妥当性及び設定理由・根拠は、脆弱性の実態が明らかになっておらず、
かつ発注者が利用可能なガイドラインが存在しないため、適切であると考えられる。
Ⅰ.脆弱性分析技術 ウェブアプリケーションのセキュリティガイドライン策定の必要性を示すため、
現実に存在したウェブアプリケーションの脆弱性およびウェブサイトの脆弱性に
ついて公開情報を中心に収集、分析を行い、ウェブアプリケーションの脆弱性の現
状を把握することを目的とする。CVE や JVM といった脆弱性情報データベースの分
析、これまでに問題となった脆弱性の詳細を調べることで、優先的に対処すべき脆
弱性、その発生原因を考察し、ガイドラインの各項目の要求度合い(必要性)を判
断する一材料とする。
さらには以下のウェブアプリケーション脆弱性に関して、脆弱性を解消するため
の対策についても調査するものとする。
クロスサイトスクリプティング(XSS)/クロスサイトリクエストフォージェリ
(CSRF)/Cookie 改竄/ダイナミック URL/SQL インジェクション/バッファオ
ーバーフロー/メモリーリーク等
この目標の妥当性及び設定理由・根拠は、ウェブアプリケーションの脆弱性実態
が把握されていないため、適切であると考えられる。
Ⅱ.安全なウェブアプリケーション構築のためのガイドライン作成 発注者が取り揃えるべき文書に係わるガイドラインを策定する。ガイドラインの
内容は、本編(セキュリティ要件と契約に係わる事項)、技術編(脆弱性の実態を
含む)、留意事項(開発現場の声を含む)から構成されることを想定している。
ガイドライン策定においては以下の点に留意するものとする。
・ウェブアプリケーション設計現場の実情を調査し、その結果を踏まえて、無
理のない現実的な設計例(実際に発注の現場で使えるもの)を示すこととする。
・正しい設計の例は複数示すことで、ウェブアプリケーションの用途により必
要となるセキュリティレベルの強度に応じた設計の事例を選択できるように
する。また、実装における現実とのトレードオフを考慮した上でも選択できる
ようにする。
この目標の妥当性及び設定理由・根拠は、安全なウェブアプリケーションのガイ
ドラインの発注は存在していないため、適切であると考えられる。
17
③脆弱性関連情報共有に関する実証実験
表4.要素技術の目標
要素技術 目標 妥当性・
設定理由・根拠等
情報セキュリティに
関する情報共有の促
進
情報共有ニーズ、具
体的方法の把握
ニーズの把握や具体的方法を検証することに
よって、情報共有体制整備の有効性を確認する
ため
脆弱性情報等の共有
に関する電子掲示板
の有効性及び課題の
把握
容易、かつ速やかな情報共有を図ることが可能
な電子掲示板を活用し、その利用における有効
性と課題を把握することによって、的確な情報
共有手法を検討するため
18
(2-2)普及広報活動 ④インターネット安全教室等
表5.要素技術の目標
要素技術 目標 妥当性・
設定理由・根拠等
普及啓発用教材の作成 地域で啓発活動を行う場合の教材不足
の問題解決として
安全教室の開催 普及啓発活動が行われていない地域で
教室を開催することにより普及啓発の
拡大を図る、また、既開催地での継続開
催を増やすことにより、地域で教室に参
加できる機会を拡大する
普及啓発イベントの開
催
情報セキュリティの情報に接する機会
の少ない人々を含む幅広い層の人々に
知識を習得する機会を提供する
インターネット安全教
室
全国連絡会議の開催と
運営サポート
各地域で継続開催できるようなサポー
トを行い、地域間の連携や自立的な運営
を促す。また、地域での講師不足の声に
こたえ講師育成のトレーニングを開催
する
情報セキュリティ教育
の試行
情報セキュリティ人材育成の方策検討
のため、産学連携によるカリキュラムの
構築と講座を試行する
情報セキュリティ教育
の試行と人材育成等に
関する調査 情報セキュリティ人材
育成方策に関する提言
情報セキュリティ教育の普及と地域間
格差緩和の目的のため、指導者向け手引
き書の作成と遠隔教育によるセキュリ
ティ教育の実践を行い、今後への提言を
する
セキュリティリテラシ
ーベンチマークツール
の策定・普及
サイトの構築と普及広
報の実施
無償で利用でき自己診断できるセルフ
チェックサイトが無いためサイトを構
築する、また、その普及広報を行い利用
者数を増やす
19
⑤CHECK PC! キャンペーン 政府の情報セキュリティ政策の基本方針である「第1次情報セキュリティ基本計
画」の年度計画にあたるセキュア・ジャパン2006では、全国規模での広報啓発・
情報発信の継続的な実施に関する施策として位置付けられている。さらに、2月2
日の情報セキュリティの日関連行事として、国民に情報セキュリティの重要性を訴
える施策として登録されている。
このような状況を踏まえ、本キャンペーンを通じ、どの程度、国民に情報セキュ
リティ対策の重要性を訴え、行動喚起させるかを目標にしている。具体的には、広
報活動で使用する媒体に個別の目標を設定し、その達成の度合いで広報活動の有効
性を測定する。
表6.要素技術の目標
要素技術 目標水準 妥当性・
設定理由・根拠等
広報用ホームページの
アクセス数30万件
ポスター配布数 1
万部
CHECK PC!キャ
ンペーン
リーフレット配布数
50万部
広報用ホームページへのアクセス数等
については、初年度の実績、予算や波及
効果を検討し、算出。
⑥フィッシング対策協議会
表7.要素技術の目標
要素技術 目標 妥当性・
設定理由・根拠等
(1)フィッシングに
関する情報収集・提
供
・フィッシング対策
の普及啓発強化期間
における協議会ホー
ムページ(HP)アクセ
ス数の向上(定常時
50%up)
・国民に対して、フィッシング手口の紹
介、注意喚起等積極的な普及啓発をする
ことにより被害の抑止につながることか
ら、普及啓発強化期間を設定し、情報提
供の主な手段である HP におけるアクセ
ス数向上を目標に選定
20
(2)フィッシング動
向分析
フィッシング動向を
分析したレポートの
掲載(月次)
巧妙化・変化するフィッシングの動向随
時監視し、分析結果を定期的に掲載する
ことによって会員や一般国民に対し情報
共有することができ、被害の抑制につな
がるため。
(3) 技術・制度的対
応の検討
フィッシングに対す
る技術・制度面の検
討を行うワーキング
グループを設置し、
課題の把握を行う
フィッシング対策には、手口等の普及啓
発に加えて、技術的対策の有効性や制度
的課題の整理が必要なため。
(4)海外機関との連
携
Anti-Phishing
Working Group※ 1
(APWG)との連携強
化
フィッシングは国境をまたいで行われ、
被害の抑制には、国内外の関係機関との
素早い情報収集が不可欠であるため。
※1 www.antiphishing.org/ 2003年に米国で設立されたフィッシング対策のワーキング・グループ。フィッシングに関する情報をサイトで公開するとともに,啓蒙活動などを行っている。
21
3.成果、目標の達成度の妥当性 (1)成果 (1-1)早期警戒体制の整備 ①不正アクセス行為等対策業務 Ⅰ.不正アクセス対策支援・未然防止促進事業
表8.各業務の成果
業務内容
国内外からのインシデント報告の受付
と対応活動の仲介支援
国内外関連組織との連携体制強化及び
普及啓発(機能構築支援や運営体制の整
備及び運用支援)
インシデント報告への対応支援の効果を向上さ
せるため、国内の利用者が被害を受ける可能性
につながる案件についてプライオリティをあげ
た対応を実施するとともに、報告の内容が不十
分である場合には独自の調査をすることにより
対応する等、対応支援の範囲を拡大した。
日本からの対応依頼についてプライオリティを
あげて対応してもらえる関係を構築するため、
FIRST や APCERT 等の国際 CSIRT コミュニティに
おいて理事や事務局の活動を積極的に行うとと
もに、2国間の MOU 締結を推進した。
また、アジア地域の National-CSIRT が未整備の
地域に対する機能構築支援や、国内の組織内
CISRT 構築支援活動を行うチームを構成し、支援
活動を強化した。
不正アクセス行為等の観測(インターネ
ット定点観測)・分析及び国内外関連組
織との情報連携
他のインターネット定点観測事業を行っている
組織との情報連携活動を強化するとともに、国
内外の脅威情報を収集し、分析を行うチームを
構成し、情報のモニタリングを強化し、多層的
な情報源の確保と分析能力の向上を図った。
成果
22
上記結果に基づいた注意喚起の公開、早
期警戒情報の発信
攻撃が特定の資産を狙って対象組織に特化した
形で行われるケースが深刻化したことから、広
く社会全体に向けて注意を促す必要がある場合
に発信する注意喚起情報や一般に向け情報源と
して公開しているウィークリーレポートに加
え、情報社会の基盤を支えるサービスを提供す
る事業を行っている者等に対しては、一般に公
開すると攻撃を誘発する等のリスクがある情報
であっても、(情報の取扱いに関して事前に約束
を結んだ上で、)提供することができる枠組み
(早期警戒情報の提供)を構築(事前登録ベー
ス)し、情報の提供を開始した。
23
Ⅱ.脆弱性情報流通の枠組み構築事業
表9.各業務の成果
業務内容
ソフトウエア等の脆弱性関連情報の調整、流
通業務
調整業務の効率化
実際の調整案件が多い個人開発者の登録が
スムースにできるように、登録項目の見直し
等、現状に見合った製品開発者 POC 登録プロ
セスを実施して、個人開発者の協力が得られ
やすい体制を整備し、調整開始のプロセスの
効率化を図った。
オープンソフトウェアベンダーへの啓発活
動、POC 登録促進を強化、POC 登録に関する
問題などについて、議論を重ねた
VRDA の利用、市場データの活用により、調
整案件についてより精緻な優先順位付けが
できる体制は整った。
脆弱性関連情報の公開
脆弱性情報のアドバイザリー作成の際、イン
パクト、攻撃経路、攻撃の難易度といった分
析値と、回避策の提供等の内容の充実化を実
施した
ポータルサイト(JVN)のリニューアルによ
り、脆弱性の影響範囲や回避策の提供等、ア
ドバイザリーの内容の充実化 とユーザーイ
ンターフェースの改善を実施。
ユーザーへの有益な情報の発信
VRDA (脆弱性対応意思決定支援システム)手
法の開発と論文を執筆。ユーザーが、独自の
システム環境と脆弱性対応ポリシーに照ら
して、各脆弱性の対策意思決定を行う手法を
開発。
成果
24
Ⅲ.ボット対策推進事業
表10.各業務の成果
業務内容
インフラシステムの設計、開発、運用
関係機関間でボット検体、解析結果、駆除ツ
ール等のやりとり、工程管理を円滑に実施で
きるようにする環境(システム)の構築、テ
ストを終え、本格運用時に問題なく、運用を
開始することができた。
ボット駆除ツールの設計、開発、提供
平成18年12月の施行運用開始に間に合う
よう、配付する駆除ツールを提供することが
できた。また、試行運用中の改善点を反映し
た修正版の駆除ツールを本格運用までに提供
することができた。
下図の駆除ツール起動ページ参照。
ボットプログラムの解析、駆除ツールへの反
映
本格運用において、週間ごとの駆除ツールの
更新が実施できた。
本格運用においては、目標の2.5倍以上に
ついて解析及び駆除ツールへの反映ができ
た。
ボットプログラムの解析環境の構築、詳細解
析(環境構築及び解析の実施)
10検体について詳細解析を実施し、静的解
析用ツール、パッキングツール、マルウエア
動作条件抽出、ボットの種類の出現傾向等に
関する調査・研究を実施することができた。
【設計・開発した駆除ツール;CCC クリーナの起動画面】
成果
25
②ウェブアプリケーションのセキュリティガイドライン策定に関する調査研究
Ⅰ.脆弱性分析技術
ウェブアプリケーションは以下のように多階層から構成される。
HardwareOS
Program RuntimeModule
Web Application FrameworkWeb Application
System Library
WebBrowserHTTP Server
図1.ウェブアプリケーションを構成するレイヤ構造
それぞれの階層ごとに各種ソフトウェアが存在し、それぞれに脆弱性が存在する。
本調査では、ハードウェア、オペレーティングシステム、システムライブラリにつ
いては対象外とし、それ以外の階層部分について調査を実施した。
具体的な情報の入手元としてCVE(Common Vulnerabilities and Exposures)2を
調査した。CVEとは、MITREにより維持される、脆弱性リストのことである。発見、
公開される脆弱性にはCVEによりユニークなIDが割り当てられる。脆弱性について
網羅性が高いということから、基本的にはCVEから対応する脆弱性を拾い上げる。
このほかにも、ソフトウェアコンポーネントの開発元が公開している脆弱性情報な
ども調査対象とする。
Ⅱ.安全なウェブアプリケーション構築のためのガイドライン作成 以下の項目について機能要件を策定した。
・ 画面設計
・ ドメイン名
・ SSL の使用
・ cache の禁止
・ CSRF 対策
・ XSS 対策
・ SQL インジェクション対策
・ セッション
2 http://www.cve.mitre.org/
26
・ リダイレクタ
・ cookie の使用
・ URL パラメータ
・ hidden パラメータ
・ 実装
・ パスワード
・ 実装用部品の選択
③脆弱性関連情報共有に関する実証実験 実証実験、アンケート等を通じて以下のような実態把握が出来た。
ア.ユーザーサイドにおける情報共有の実証実験は、試みとして評価している
人が多く、課題も多いものの、今後の継続を期待する意見もあるなど、情報共
有に対する一定のニーズは存在することが分かった。特に、各社の情報セキュ
リティ対策の状況等については情報共有ニーズは高い。
イ.今回の実証実験で、企業側のセキュリティ確保のため、規約の存在にも関
わらず利用者が自由に情報を公開することは困難であることが分かった。規約
をベースにより強制力のある秘密保持の契約(覚書)等を締結すること等によ
り、この障害を回避する必要がある。
ウ.利用者相互の信頼を確保する意味と、「相手が見えない」ことを回避する
意味で、掲示板サイトの他に情報交換会等を行ったほうが良い。
エ.セキュリティ情報という極めて機微な情報のため、参加企業、利用者の信
頼を確保する意味で JUAS 会員に限った限定したメンバーによるサイトとした
ほうが良い。
オ.セキュリティ措置として、ファイヤーウォールの適用、ネットワーク通信
の SSL を用いた暗号化、クロスサイトスクリプティング対応、悪意のある攻撃
のほとんどない LINUX の使用、脆弱性に関する情報が多く取得できセキュリテ
ィホール等の修正対応の早いオープンソースソフトウェアの利用、等を実施し
た結果、セキュリティ上の問題は一切発生しなかった。
など
27
(1-2)普及広報活動 ④インターネット安全教室等 Ⅰ.インターネット安全教室
ア.冊子付き映像コンテンツ等の制作
よりわかりやすい映像付きの冊子教材を制作し、安全教室受講者ならびに希
望者(個人・学校・自治体・団体など)に配付した。平成17~18年で約6
万枚を配付した。また、作成したビデオ映像や冊子ファイルや副教材などのコ
ンテンツをホームページで公開することにより、より多くの人に家庭にいなが
らも学習できるような機会も提供した。
イ.インターネット安全教室の開催
全国各地で「インターネット安全教室」を開催し情報セキュリティ普及啓発
活動を広めた。未開催地域では、各地のNPO・団体・大学・自治体などに協
力を呼びかけ、会場の提供や参加者の募集・告知・事前準備などの協力を求め、
協力が得られた地域で新規に開催した。初回開催の際には、講師・スタッフ派
遣、機材提供、関係団体との調整などを行い、終了後には継続開催のためのノ
ウハウを伝授し、次年度以降の継続的な自主開催に繋げた。
次年度以降の継続開催の際には、講師トレーニングの実施や各種マニュアル
や資料の提供、地域間の相互連携や情報交換の仕組みの提供、ホームページに
よる情報提供などのサポートにより、開催地域の拡大・参加人数の増加などの
成果を得ることができた。
事業開始初年度の平成15年の開催数は11回で参加人数は2069人で
あったが、平成18年度には5574人となり208回の開催と17,068
名の参加となり(下図参照)、47全都道府県での開催という目標を達成する
ことができた。
表11.開催箇所と参加人数の推移
ウ.普及啓発イベントの開催
平成18年に一般利用者向けの情報セキュリティ普及啓発イベントを東京
お台場で開催し、幅広い層の一般利用者に対して情報セキュリティの重要性の
普及啓発を行なった。
2003年度 2004年度 2005年度 2006年度 合計開催箇所 11 28 71 98 208参加人数 2,069 3,581 5,844 5,574 17,068
28
エ.全国連絡会議の開催と運営サポート
各団体がインターネット安全教室を推進できるような取り組みを強化、講師
育成トレーニングの開催や全国の共催団体の担当者が集まって議論する全国
会議の開催、情報共有の場の提供、講師派遣や運営サポートを行行った。その
結果、全国で「インターネット安全教室」を開催する共催団体の数は現在55
団体と拡がりをみせている。
Ⅱ.情報セキュリティ教育の試行と人材育成等に関する調査
情報セキュリティ分野の人材の確保・育成の必要性と、大学等の高等教育機関に
おける情報セキュリティ人材育成の方策検討のため、産学連携によるカリキュラム
の構築を行い、平成17年度には東京電機大学、岡山理科大学で講義を展開、岡山
と東京(工学院大学)でシンポジウムを開催し人材育成についての提言を行った。
平成18年度には情報セキュリティ教育の一層の普及と地域間格差の緩和の目的
のために、指導者向け手引き書の作成と遠隔教育によるセキュリティ教育の実践を
行った。カリキュラムの策定により講師の負担軽減の成果があり、遠隔教育の実施
により講師の偏在、地域格差の是正への今後の対応策として提言を行った。
Ⅲ.セキュリティリテラシーベンチマークツールの策定・普及
情報セキュリティ知識向上のための一助として、組織におけるインターネット利
用者を対象にホームページ上で簡単に情報セキュリティ知識度の自己チェックが
できるツールを策定しその普及啓発を行った。年度末利用者目標1,000名のと
ころ、サイトオープンから3ヶ月で目標数値を上回る1,561名の利用者があっ
た。
29
⑤CHECK PC! キャンペーン キャンペーン終了後に以下の条件で効果測定を実施した。
調査方法 インターネット調査
調査対象者 16~59歳の男女個人
居住地条件 関東地区、関西地区、東海地区
調査数 1,040サンプル
各広告媒体の認知度等は、以下のような結果となった。
表12.各広告媒体の認知度等
認知度 興味度 理解度
テレビCM 67.6% 46.4% 67.7%
新聞広告 12.3% 40.0% -
バナー広告 10.9% 32.7% -
ポスター 8.6% - -
リーフレット 6.1% - -
ホームページ 4.4% - 79.6%
各媒体を通じて、国民に本キャンペーンを認知させることができた。また、認
知のあった回答者に、追加で興味度、理解度について質問をすると、それぞれの
コンテンツについては、「約4割の回答者が興味のある内容であった」と回答をし
ている。また、内容についても、ホームページでは約8割の回答者が「内容を理
解できた」と回答している。
さらに、回答者の約4割の人が、本キャンペーンを通じて情報セキュリティ対策
に関する何かしらの行動をとった(とる予定)という結果が得られており、単なる
認知だけではなく、「行動喚起」というところまできちんとたどり着くことができ
た。
表13.行動喚起
行動 割合
基本的な対策は既に実施済みなので何もしていない(しない予定) 50.6%
何かしらのセキュリティ対策を実施した(する予定) 36.2%
セキュリティ対策を実施しなかった(しない予定) 13.2%
30
さらに、2.(2)で設定をした目標に対して、その実績値を以下の表14に示
す。
表14.共通指標の一覧表
要素技術 広報用ホームページの
アクセス数
ポスター
配布数
リーフレット配
布数
CHECK PC!キャン
ペーン 791,615件 18,396部 878,342部
⑥フィッシング対策協議会
表15.要素技術の目標
要素技術 目標 成果(H17) 成果(H18)
(1)フィッシングに関す
る情報収集・提供
①情報の収集・データベ
ース化
②被害情報全般、会員に
おけるフィッシング取
組状況等の情報収集・提
供
③フィッシングに関す
る注意喚起の実施。定期
的なマスコミ・消費者・
事業者への情報提供
①フィッシングに
関する情報の報告
件数:59 件
フィッシング事例
のデータベース化
件数:16 件
②情報収集・提供
WG にて会員・関連
機関の取組状況報
告を行った。WG 開
催5回。
③
・フィッシング啓
発リーフレット作
成・配布:30,000
部
・朝日新聞(協議会
紹介記事):発行部
数:8,321,934 部
・日本経済新聞広
告企画(啓発記事)
①フィッシング
に関する情報の
報告件数:98 件
フィッシング事
例のデータベー
ス化件数:11 件
②情報収集・提供
WG 開催:3回
③
・普及啓発タスク
フォース開催:4
回
・フィッシング啓
発リーフレット
増 刷 配 布 :
100,000 部
・R25(フリーペー
パ)(啓発広告):
31
夕刊全国版:発行
部数:1,618,603 部
・啓発ポスター作
成・配布:15,880
部
・寄稿:1 件(カー
ドウェーブ誌)
600,000 万部
・サンケイリビン
グ(啓発記事):
約 2,600,000 万
部×2回連載
・ユーザ意識調査
実施:1回
・寄稿:1 件(カ
ードウェーブ誌)
(2)フィッシング動向分
析
①代表的/特徴的手口の
分析と有効対応策の検
討
②代表的/特徴的フィッ
シングに関する対応の
分析・整理
③フィッシング全般の
動向解析
・フィッシング分
析レポートの公開
(毎月発行)
・APWG が作成する
報告書(翻訳)の
協議会 HP への掲
載:9回
・手口の紹介の協
議会 HP 掲載:2回
・フィッシング分
析レポートの公
開(毎月発行)
・APWG が作成す
る報告書(翻訳)
の協議会 HP への
掲載:12 回
・手口の紹介の協
議会 HP 掲載:9
回
(3) 技術・制度的対応の
検討
①技術的対策の有効性
や普及策等について検
討
②法律的な対応につい
て検討
- ・技術・制度検討
WG を設置し検討
(5回開催)し、
報告書をとりま
とめた。
(4)海外機関との連携 ①APWG等関係機関
と連携強化を行い先進
事例等を収集
②海外機関との連携の
中で、国境を超えたフィ
ッシング行為に対する
有効な対策を検討
・APWGとの連携MOU
締結
・APWG 会議参加:2
回
・米 CDT (Center
for Democracy
and Technology)
副局長を交えた
意 見 交 換 会 開
催:1回
・APWG 会議参
加:2回
32
(2)目標の達成度 (2-1)早期警戒体制の整備 ①不正アクセス行為等対策業務 Ⅰ.不正アクセス対策支援・未然防止促進事業
表16.目標に対する成果・達成度
要素技術 目標水準
目標の達成
度を測定す
る指標
成果 達成度
国内外からのイ
ンシデント報告
の受付と対応活
動の仲介支援
国内外関連組織
との連携体制強
化及び普及啓発
(機能構築支援
や運営体制の整
備及び運用支援)
対応支援の
迅速化
多国間及び
2国間での
連携先を増
加させる。国
内 組 織 内
CSIRT の構築
支援のフィ
ールドワー
クを通じて、
CSIRT 構築支
援マテリア
ル等を整備
を図る。
プライオリ
ティをつけ
た対応及び
対応方法の
拡大の実現
連携先国の
増加。
国内CSIRTの
増加。構築マ
テリアルの
作成。
インシデント報告への対応支
援の効果を向上させるため、国
内の利用者が被害を受ける可
能性につながる案件について
プライオリティをあげた対応
を実施するとともに、報告の内
容が不十分である場合には独
自の調査をすることにより対
応する等、対応支援の範囲を拡
大した。
日本からの対応依頼について
プライオリティをあげて対応
してもらえる関係を構築する
ため、FIRST や APCERT 等の国
際 CSIRT コミュニティにおい
て理事や事務局の活動を積極
的に行うとともに、2国間の
MOU 締結を推進し、連携強化を
実現した。
ま た 、 ア ジ ア 地 域 の
National-CSIRT が未整備の地
域に対する機能構築支援や、国
内の組織内 CISRT 構築支援活
動を行うチームを構成し、支援
活動を強化した。複数の国内
達成
33
CSIRT の構築支援を行い、構築
支援マテリアルの形にまとめ
た。
不正アクセス行
為等の観測(イン
ターネット定点
観測)・分析及び
国内外関連組織
との情報連携
脅威に関す
る情報源の
確保、拡大、
分析能力の
向上
収集する情
報源の増加、
分析体制の
整備
他のインターネット定点観測
事業を行っている組織との情
報連携活動を強化するととも
に、国内外の脅威情報を収集
し、分析を行うチームを構成
し、情報のモニタリングを強化
し、多層的な情報源の確保と分
析能力の向上を図った。
達成
上記結果に基づ
いた注意喚起の
公開、早期警戒情
報の発信
早期警戒情
報を提供す
る枠組みの
構築、発信の
実施
枠組みが構
築され、情報
の提供を受
ける登録が
行われ、実際
に情報が提
供できるこ
と
攻撃が特定の資産を狙って対
象組織に特化した形で行われ
るケースが深刻化したことか
ら、広く社会全体に向けて注意
を促す必要がある場合に発信
する注意喚起情報や一般に向
け情報源として公開している
ウィークリーレポートに加え、
情報社会の基盤を支えるサー
ビスを提供する事業を行って
いる者等に対しては、一般に公
開すると攻撃を誘発する等の
リスクがある情報であっても、
(情報の取扱いに関して事前
に約束を結んだ上で、)提供す
ることができる枠組み(早期警
戒情報の提供)を構築(事前登
録ベース)し、情報の提供を開
始した。平成18年度は、13
件の発信。
達成
34
Ⅱ.脆弱性情報流通の枠組み構築事業
表17.目標に対する成果・達成度
要素技術 目標水準 目標の達成度を
測定する指標 成果 達成度
ソフトウエア等
の脆弱性関連情
報の調整、流通業
務
脆弱性情報
を日本のベ
ンダに安全
に通知、適切
に情報公開
まで調整す
る
受付、調整機関、
開発者、情報公開
にいたるまでの作
業に支障が生じる
ような問題が生じ
ないこと
日本の脆弱性対応
フレームワーク
は、各国からベス
トプラクティスと
して評価された
達成
脆弱性関連情報
の公開
情報公開ポ
ータルサイ
トのJVNを情
報発信者に
とってより
使いやすく、
ユーザーに
対しては内
容の拡充を
図る
JVN のリニューア
ルによるアクセス
数の向上
脆弱性情報のアド
バイザリー作成の
際、インパクト、
攻撃経路、攻撃の
難易度といった分
析値と、回避策の
提供等の内容の充
実化を実施した。
ポータルサイト
(JVN)のリニュー
アルにより、脆弱
性の影響範囲や回
避策の提供等、ア
ドバイザリーの内
容の充実化 とユ
ーザーインターフ
ェースの改善を実
施。
達成
35
Ⅲ.ボット対策推進事業
表18.目標に対する成果・達成度
要素技術 目標水準 目標の達成度を
測定する指標 成果 達成度
インフラシステ
ムの設計、開発、
運用
プロジェク
トの本格運
用開始まで
にインフラ
システムの
構築が完了
し、プロジェ
クトが稼動
すること
19年2月のプロ
ジェクト開始が実
現でき、参加機関
における作業支障
が生じるような問
題が生じないこと
19年2月に本格
運用が実現でき、
当初設定した業務
フローに従った運
用を行うことがで
きた。
達成
ボット駆除ツー
ルの設計、開発、
提供
プロジェク
トの本格運
用開始まで
に駆除ツー
ルの基盤が
完成するこ
と
提供した駆除ツー
ルが、設定した環
境において対象と
なるボットを駆除
することができる
こと
設定対象となるユ
ーザ環境において
駆除ツールとして
有効に機能してい
ることが確認でき
た。
達成
ボットプログラ
ムの解析、駆除ツ
ールへの反映
本格運用に
おいて1週
間ごとの駆
除ツールの
更新を実現
すること
一定数以上
の検体につ
いて、解析、
駆除ツール
への反映を
行うこと
1週間ごとのツー
ルの更新
本格運用2月で4
00件の検体を解
析し、300件の
検体について駆除
ツールを作成する
こと
駆除ツールの更新
については週に1
回以上、
検体の解析及び駆
除ツールへの半紙
については、目標
の2.5倍以上に
ついて実施するこ
とができた。
達成
36
ボットプログラ
ムの解析環境の
構築、詳細解析
(環境構築及び
解析の実施)
プロジェク
トの本格実
施に間に合
うよう、駆除
ツールを提
供する前提
としての解
析を実施す
るための解
析環境を構
築し、また、
収集された
ボット検体
のうち、その
詳細を検討
する必要が
あるものの
選定基準等
の検討のた
め、試行的に
一部の検体
の詳細解析
及び傾向分
析を実施す
る。
解析環境が構築で
き、駆除ツールが
提供できているこ
と。
詳細解析結果、1
9年度以降の解析
の方向性を定める
ための調査結果等
について参加機関
間で共有できるこ
と
一部の検体につい
て詳細解析を実施
し、静的解析用ツ
ール、パッキング
ツール、マルウエ
ア動作条件抽出、
ボットの種類の出
現傾向等に関する
調査・研究を実施
し、成果を参加機
関間で共有するこ
とができた。
達成
37
②ウェブアプリケーションのセキュリティガイドライン策定に関する調査研究
表19.目標に対する達成度
要素技術 目標水準 目標の達成度を
測定する指標 成果 達成度
脆弱性分析技術 ウェブアプ
リケーショ
ンにおける
脆弱性の原
因と対策を
把握する
ウェブアプリケー
ションにおける脆
弱性の原因を網羅
する
網羅的な成果を得
た
達成
安全なウェブア
プリケーション
ガイドライン作
成
発注者が発
注時に利用
可能なガイ
ドラインを
作成する
ウェブアプリケー
ションのチェック
方法を50以上の項
目により示す
50 以上のチェック
方法を記述した
達成
③脆弱性関連情報共有に関する実証実験
表20.目標に対する成果・達成度
要素技術 目標水準 目標の達成度を
測定する指標 成果 達成度
情報共有ニ
ーズ、具体的
方法の把握
実証実験、アンケ
ート結果
情報共有のニーズ
とともに、メンバ
ー間の信頼性確保
等の課題を把握
達成 情報セキュリテ
ィに関する情報
共有の促進
脆弱性情報
等の共有に
関する電子
掲示板の有
効性及び課
題の把握
実証実験、アンケ
ート結果
電子掲示板の有効
性について一定の
評価を得たが、操
作のしやすさに向
けた改善等課題を
把握
達成
38
(2-2)普及広報活動 ④インターネット安全教室等
表21.目標に対する成果・達成度
要素技術 目標 目標の達成度を
測定する指標 成果 達成度
普及啓発用
教材の作成
冊子付き映像コン
テンツの制作・配
布
平成17~18年
で約6万枚配付、
また、副教材とし
てチラシ等も配布
した
達成
インターネ
ット安全教
室の開催
全国各地での開催
の拡がり
事業開始初年度か
ら数えて全47都
道府県での開催と
いう目標を達成で
きた。また、延べ
参加者数17,0
00人であり、延
べ開催数は200
回を超えた
達成
普及啓発イ
ベントの開
催
イベントの開催 東京お台場で普及
啓発イベントを開
催、約千人の参加
者があった
達成
インターネット
安全教室
全国連絡会
議の開催と
運営サポー
ト
各地域で継続開催
できるようなサポ
ート講師のトレー
ニングの実施
全国の共催団体数
が55団体となり
自主開催も増加し
た
達成
39
情報セキュ
リティ教育
の試行
東京と地方の複数
箇所での講義を開
催
産学連携によるカ
リキュラムを構築
し、東京では東京
電機大学で講義を
開催、地方では岡
山理科大学で講義
を開催した
達成 情報セキュリテ
ィ教育の試行と
人材育成等に関
する調査
情報セキュ
リティ人材
育成方策に
関する提言
遠隔授業の実施と
アンケートやヒア
リングによる調査
岡山理科大学で遠
隔授業を実施、ま
た、大学関係の有
識者への聞き取り
調査を実施し、教
材作成に関わる手
引き書を含む報告
書を作成した
達成
セキュリティリ
テラシーベンチ
マークツールの
策定・普及
セキュリテ
ィリテラシ
ーベンチマ
ーク
セキュリティリテ
ラシーベンチマー
クサイトを構築し
た
目標利用者数10
000名を上回る
1561名に利用
された
達成
⑤CHECK PC! キャンペーン
表22.目標に対する成果・達成度
要素技術 目標水準 目標の達成度を
測定する指標 成果 達成度
広報用ホー
ムページの
アクセス数
30万件
広報用ホームペー
ジアクセス数
・広報用ホームペ
ージのアクセス数
791,615 件
達成
ポスター配
布数1万部
ポスター配布数 ポスター配布数
18,396 部
達成
CHECK P
C!キャンペー
ン
リーフレッ
ト 配 布 数
50万部
リーフレット
配布数
リーフレット配布
数 878,342 部
達成
40
⑥フィッシング対策協議会
表23.目標に対する成果・達成度
要素技術 目標水準 目標の達成度を
測定する指標 成果 達成度
(1)フィッシング
に関する情報収
集・提供
・フィッシン
グ対策普及
強化期間に
おけるホー
ムページア
クセス数の
向上(定常時
の50%up)
普及啓発キャンペ
ーン期間における
協議会ホームペー
ジへのアクセス数
(H18 上期平均の
1.5 倍)
50,867PV(上期平
均の 2.5 倍)
達成
(2)フィッシング
動向分析
フィッシン
グ動向を分
析したレポ
ートの掲載
(月次)
分析レポート:発行
頻度
毎月作成、HP 掲載 達成
(3) 技術・制度的
対応の検討
フィッシン
グに対する
技術・制度面
の検討を行
うワーキン
ググループ
を設置し、課
題の把握を
行う
WG 開催
報告書とりまとめ
技術・制度検討
WG::5 回
報告書:1件
(フィッシング詐
欺を8段階に整理
し、
各段階の対策と課
題を整理した。ま
た制度的課題を整
理した。)
達成
(4)海外機関との
連携
Anti-Phishi
ng Working
Group ※ 3
(APWG)との
連携強化
APWG 情報入手
APWG への情報提供
APWG と MOU 締結、
APWG 会議出席、
APWG 資料の翻訳、
HP 掲載
一部達成
APWG 情報提供
(発表)は未実
現
→H19年度に実
施
※3 www.antiphishing.org/
41
4.事業化、波及効果についての妥当性 (1)事業化 (1-1)早期警戒体制の整備 ①不正アクセス行為等対策業務 Ⅰ.不正アクセス対策支援・未然防止促進事業 本事業は、インシデントの対応調整、注意喚起、早期警戒情報の発信という活動
であり、民業として行っているものではないが故に、報告が寄せられたり、利用者
への普及啓発活動に引用されたりするものである。
Ⅱ.脆弱性情報流通の枠組み構築事業 本事業は、国の早期警戒事業として実施されているもので、事業化は妥当ではな
い。
Ⅲ.ボット対策推進事業 本事業は、そもそも国の事業として実施することがそもそもの目的であり、「サ
イバークリーンセンター」という名称でポータルサイドを設け、解析結果を反映し
た駆除ツールを一般にダウンロードできるようにしている。
テレビ等のメディアでも取り上げられるなど、多くの利用者が実際にダウンロー
ドして利用している。
②ウェブアプリケーションのセキュリティガイドライン策定に関する調査研究 本研究開発により得られた成果は、以下を想定している。
ア.成果の利用主体
研究開発の成果は、産業技術総合研究所がインターネット上で公開し、政府や
地方自治体等のウェブアプリケーションの構築担当者が、ガイドラインを参照
して発注仕様を作成することを想定している。
イ.事業化に至る期間
2008年度中を目処に事業化を行う。
ウ.問題点の分析と明確な解決策の提示
特になし。
42
③脆弱性関連情報共有に関する実証実験 情報共有に対するニーズは高いものの、脆弱性情報は企業にとって機微情報であ
るため、顔の直接見えない参加者に対する信頼性の確保や情報を投稿することによ
るメリット(Give and Take)等情報共有が活発化する手法についての課題が多い。
そのため、事業化にあたっては、メンバーを限定しつつも情報が活発に集まるよう
な情報を提供することによるリターンが期待できるような手法等今後とも十分な
検討が必要。例えば、信頼性確保のための参加者の交流会の設定や専門性の高いモ
デレーターの活用による一企業では収集が難しい広範な情報収集等が考えられる。
(1-2)普及広報活動 ④インターネット安全教室等 Ⅰ.インターネット安全教室
各地での普及啓発活動の事業化にあたっては、コンテンツ作成の費用、開催費用
の負担、労力の問題等から現時点で事業化の見通しは難しいといえる。今後、コン
テンツ作成費用の捻出や地域でのスポンサーシップの計画など、事業化実現に向け
ての可能性を追求する。
Ⅱ.情報セキュリティ教育の試行と人材育成等に関する調査 経済産業省の委託事業は平成17年度で終了し、活動はNPO法人日本ネットワ
ークセキュリティ協会(JNSA)での、講師育成の検討ならびに「情報セキュリ
ティ事業者連絡会」の活動として継承されている。
Ⅲ.セキュリティリテラシーベンチマークツールの策定・普及 経済産業省の委託事業は平成19年度で終了し、NPO法人日本ネットワークセ
キュリティ協会(JNSA)で今後事業化を検討していく。
⑥フィッシング対策協議会 収集された事例、手口の情報及び WG 等における検討結果は情報セキュリティ事
業者のフィッシング対策製品の開発や機能向上にフィードバックすることが期待
でき、一般国民の被害抑制につながるものと考えられる。
43
(2)波及効果 (2-1)早期警戒体制の整備 ①不正アクセス行為等対策業務 Ⅰ.不正アクセス対策支援・未然防止促進事業 インターネット環境を利用するリスクを低減させ、より安心して利用できる環境
にしていくことにより、経済活動その他の目的での利用が促進され、社会活動の効
率化や、新たな価値創造が行われ易くなるものと考えられる。
Ⅱ.脆弱性情報流通の枠組み構築事業 脆弱性調整、情報公開の制度と枠組みが、信頼を持って運用されていることで、
脆弱性情報の報告が増え、開発者も情報を隠蔽するより、適切に情報を公開するこ
とが、風評と信頼を得ることにつながるという理解が高まっている。
Ⅲ.ボット対策推進事業 ボットを駆除するためのツールの配付だけではなく、駆除ツールを配付している
ポータルサイトにおいて、ツールの利用以外の対策もあわせて紹介しており、コン
ピュータセキュリティに関する関心の向上と対策の普及が期待できる。
②ウェブアプリケーションのセキュリティガイドライン策定に関する調査研究 成果の高度化等に関する波及効果の事例
・イントラネットにおけるガイドラインの利用
・SI 事業者によるガイドラインの利用
・IPA 等セキュリティ普及啓発機関における類似ガイドラインの作成
③脆弱性関連情報共有に関する実証実験 他社における脆弱性対策についての情報は、自己対策の促進や被害の局限化につ
ながる。また、事業実施後に本実証実験の詳細な手法について、外部から問い合わ
せがあるなど、手法や課題等についてはその他の情報共有システム構築の際に参考
となっていると考えられる。
44
(2-2)普及広報活動 ④インターネット安全教室等 Ⅰ.インターネット安全教室
平成15年度に一般向けの情報セキュリティ普及啓発活動はほとんど無かった
が、「インターネット安全教室」をきっかけにその重要性が認識され、昨今では企
業や自治体などが積極的に一般向けの普及啓発活動を行うようになった。
Ⅱ.情報セキュリティ教育の試行と人材育成等に関する調査
情報セキュリティ教育の重要性が認識されているが、業界的な教育ビジネスの意
識はばらばらであったが、事業者や研究者の共通の議論の場を提供するきっかけを
作り、各々の活動への横串を刺す展開を促す効果が出てきている。
Ⅲ.セキュリティリテラシーベンチマークツールの策定・普及
当初は組織の社員・職員がセルフチェックできるツールとして策定したが、企業
や自治体等から組織内教育での利用の要望が多く寄せられたため、次年度は組織の
管理者向け機能を追加拡充することとなった。
⑤CHECK PC! キャンペーン 事業終了後に実施した効果測定から、回答者の約4割の人が、本キャンペーンを
通じて、ウイルス対策ソフトの導入などの情報セキュリティ対策に関する何かしら
の行動をとった(とる予定)という結果が得られている。
また、「ウイルス対策ソフトについて解説をしてほしい」、「ウイルス被害の具体
例について」など、今回のキャンペーンでは伝えきれなかった内容についても知り
たいというようなコメントが寄せられており、インターネット利用者の意識向上が
見られる。
本キャンペーンは、毎日新聞などの全国紙をはじめ、スポーツ紙、地方紙など延
べ50箇所以上に記事が掲載されるとともに、CMナウなどの雑誌にも記事が掲載
された。多数のメディアに取り上げられたことにより、さらに広範囲で情報セキュ
リティの重要性を訴えることができた。
⑥フィッシング対策協議会 本事業で形成されたフィッシング対策協議会の会員は多様な業種(銀行、クレジ
ット、セキュリティベンダ等)から構成されるため、フィッシングに限らず、その
他のインターネットにおける脅威についても業界横断的な検討ができ、意見の調整
や関係機関に対する提言のとりまとめの場として活用できる可能性がある。
45
5.研究開発マネジメント・体制・資金・費用対効果等の妥当性 (1)研究開発計画
(1-1)早期警戒体制の整備 ①不正アクセス行為等対策業務
図2.研究開発計画
平成17年度 平成18年度
予算額(*) 5.6億円 約9.6億円
1. 不正アクセス行為等
対策技術支援/未然防止促進事業
2. 脆弱性関連情報等
流通促進支援事業
3. ボット対策事業
(*)予算額は節約後の委託金額を記載。(当初予算:平成 17 年度 6億円、平成 18 年
10 億円)
・平成 17 年度 計画変更の件
当初、外部の職員を雇用(非常勤職員)して行なう予定だった事業のソフト
ウェア購入への変更及び外注事業の追加による。また、計画の見直しを行っ
た結果、経費の節約が可能と判断したので、必要最低限に変更する。
・平成 18 年度 計画変更の件
計画の見直しの結果、職員が行なう業務の一部を再委託することによる人件
費から事業費への振替や再委託する業務の一部について価格交渉や効率的
な執行による契約額の減額によって経費の節約が可能と判断したため、必要
最低限に変更する。
46
②ウェブアプリケーションのセキュリティガイドライン策定に関する調査研究
図3.研究開発計画
年度
要素技術
平成 17 年度
平成 18 年度
予算額 0.5 億円 0.5 億円
脆弱性分析技術
ガイドライン
③脆弱性関連情報共有に関する実証実験
図4.研究開発計画
年度
要素技術
平成17年度
予算額 10百万円
情報セキュリ
ティに関する
情報共有の促
進
実証実験、アンケート、報
告書とりまとめ
0.3 0.1
平成 19年度
事後評価
0.2 0.4
47
(1-2)普及広報活動 ④インターネット安全教室等 インターネット安全教室は、平成15年度から現在まで実施中。
情報セキュリティ教育の試行と教材モデルの策定は、平成17・18年度の2年
間、セキュリティリテラシーベンチマークツールの策定・普及は平成18・19年
度の2年間で予定通り終了。
図5.研究開発計画
⑤CHECK PC! キャンペーン 2月2日の情報セキュリティの日にあわせて、毎年、1月から約2ヶ月の期間で
事業を実施している。
図6.研究開発計画
年度
要素技術 平成17年度 平成18年度 平成19年度
予算額 1.3億円 1.7億円 1.7億円
CHECK PC!キ
ャンペーン
1/24~2/28
1/22~3/31
1/16~3/31
年度 平成17年度 平成18年度 平成19年度
執行額(千円) 60,322 73,166
インターネット安全教室継続
情報セキュリティ教育の試行と人材育成等に関する調査
事業終了
セキュリティリテラシーベンチマークツールの策定・普及 事業終了
中間評価
第1回 第2回 第3回
(百万円) 60 73
48
⑥ フィッシング対策協議会
図7.研究開発計画
年度
要素技術
平成 17 年度
平成 18 年度
予算額 42 百万円 38 百万円
情報収集提供
技術
動向分析
技術・制度検
討的対応検討
海外機関との
連携(APWG 対
応)
(2)研究開発実施者の実施体制・運営
(2-1)早期警戒体制の整備 ①不正アクセス行為等対策業務 (実施体制図については別紙)
・ 外注委託先を利用することにより所内リソースの効率的活用を可能にする。
・ 海外組織も含めた幅広い連携等によりコンピュータセキュリティインシデン
ト被害の最小化と拡散防止に寄与できる体制を整えている。
情報・提供、普及啓発
活動
MOU
締結
会議参加
分析レポートの作成、
HP掲載
WG 設置、報告書
とりまとめ
49
②ウェブアプリケーションのセキュリティガイドライン策定に関する調査研究
図8.研究開発実施体制
実施体制(平成17年度)
実施体制(平成18年度)
50
③脆弱性関連情報共有に関する実証実験
図9.研究開発実施体制
本事業で取扱う情報は、情報システムへの副作用に関わる機微な情報であり、使
い方によっては、逆にセキュリティ上の脆弱性を作る危険性があるため、これらの
情報を適切に取扱い、円滑に情報共有を図るためには、ユーザー企業が自らの情報
システムに関する機微な情報を進んで提供するだけの信頼があり、中立的な立場の
組織であることが必要であるが、そのような組織は日本情報システム・ユーザー協
会しか存在しない。また、株式会社YDCについては、Web関連システムの開発
実績が豊富等ノウハウを持っていた。モデレーターは国内最大級の情報セキュリテ
ィ関連MLの運営等ノウハウを持っていた。
経済産業省(METI)
社団法人日本情報システム・ユーザー協会
(プロジェクトリーダー)
原田俊彦
委託
株式会社YDC
再委託
モデレーター(個人)
51
(2-2)普及広報活動 ④インターネット安全教室等 本事業は、平成17年度情報セキュリティに関する調査及び普及・啓発事業なら
びに平成18年度コンピュータセキュリティ早期警戒体制整備事業として経済産
業省から NPO 法人日本ネットワークセキュリティ協会(以下 JNSA)へ委託。JNSA
では、各要素技術毎にワーキンググループ(WG)を構成し、そこが主体となり実施
した。(以下体制図を参照)
WG リーダーが実質事業のプロジェクトリーダーとなり事業のとりまとめを行い、
事務局ではそのサポートを行った。
図10.研究開発実施体制
特定非営利活動法人
日本ネットワークセキュリティ協会
【 セキュリティ啓発 WG】WGリーダー:古川 勝也 ( マイクロソフト)・インターネット安全教育の企画・運営・コンテンツの検討・全国連絡会議の運営・ホームページの作成、情報提供・ 普及広報イベント の開催
【 セキュリティリテラシーベンチマーク作成 WG】WGリーダー:大溝裕則 ( JMCリスクマネジメント)
・セキュリティリテラシーベンチマークの内容検討
外注
(株) クリエイシオン
・ CD-ROM冊子コンテンツ作成
・ クイズ学習コンテンツの作成
ブリッジ・メタウェア(株)
理解度セルフチェックツールの開発・ 設計・保守
JMCリスクマネジメント(株)
セキュリティリテラシーベンチマーク 作成WGとりまとめ
外注
(株)アイディトラスト
インターネット安全教室 運営コーディネート ならびに普及広報イベント 運営
外注
・インターネット安全教室開催・全国連絡会議
全国のNPO ・団体・自治体・大学等
・インターネット安全教室の全国各地での開催
外注
事務局事業推進のサポート業務
【 情報セキュリティ教育実証実験 プロジェクト 】
リーダー:松田 剛 ( JNSA研究員)
・カリキュラムの検討、手引書作成
みずほ情報総研(株)
人材育成事業調査報告書とりまとめ
(株) ディ・アイ・ティ
人材育成事業教材等執筆のとりまとめ
外注
外注
52
⑤CHECK PC! キャンペーン 平成17年度、18年度で委託事業者が異なるため、実施体制については、事業
者毎に異なる。両年とも、取りまとめ部署が全体の工程管理を行い、クリエイティ
ブの作成などを再委託している。
図11.研究開発実施体制
実施体制(平成17年度)
実施体制(平成18年度)
株式会社電通
パブリックマネジメント・ソリュージョン室プロジェクトリーダー 林 徹也
新聞局 テレビ局 ICD局 インタラクティブ局 IMP局
経済産業省(METI)
委託
株式会社朝日新聞社 株式会社東北新社
再委託
株式会社電通
パブリックマネジメント・ソリュージョン室プロジェクトリーダー 林 徹也
新聞局 テレビ局 ICD局 インタラクティブ局 IMP局
経済産業省(METI)
委託
株式会社朝日新聞社 株式会社東北新社
再委託
株式会社オリコム
第四営業局 第三営業部プロジェクトリーダー 正盛 和彦
新聞雑誌局 ラジオテレビ局 クリエイティブ局 インタラクティブ局 IMC局
経済産業省(METI)
委託
株式会社朝日新聞社 株式会社クロスマーケティング
再委託
株式会社アームズ 有限会社ビートブレイン 株式会社クリエイティブオリコム
総合監修牧野 二郎 弁護士
株式会社オリコム
第四営業局 第三営業部プロジェクトリーダー 正盛 和彦
新聞雑誌局 ラジオテレビ局 クリエイティブ局 インタラクティブ局 IMC局
経済産業省(METI)
委託
株式会社朝日新聞社 株式会社クロスマーケティング
再委託
株式会社アームズ 有限会社ビートブレイン 株式会社クリエイティブオリコム
総合監修牧野 二郎 弁護士
53
⑥フィッシング対策協議会
図12.研究開発実施体制
「フィッシング対策協議会運営」
財団法人日本情報処理開発協会が事務局を務める次世代電子商取引推進協議会で
は、電子商取引の健全な育成のため、インターネット取引関連トラブル事例の調
査・分析を行うとともに、具体的な相談対応及び紛争解決支援等を行う事業を実施
している実績があり、フィッシング対策協議会で実施することとなる情報収集・提
供、動向分析、及び技術検討に関する知見を有していると言えるため。
「協議会システム構築・運用、フィッシング分析」
委託先選定に先だって委託先の候補となりうる31社に対して事業内容の説明会
を実施し、うち7社から事業内容の提案があった。提案書を厳正に審査した結果、
効果的な運用手法を提示した日立製作所に委託先を決定した。
経済産業省(METI)
フィッシング対策協議
会運営(日本情報処理
開発協会)
委託
広告(電通東日本)
再委託
(日立情報システムズ)
再委託
連携 協議会システム構築・
運用、フィッシング分
析(日立製作所)
54
(3)資金配分
(3-1)早期警戒体制の整備 ①不正アクセス行為等対策業務 各事業年度における予算執行状況は以下の通り(単位:百万円)
表24.実施内容に応じた資金の年度配分等
・ 各事業は密接に連携しており、人員の配置についても事業年度内で柔軟に対
応できる資金配分としている。
・ 平成 18 年度の人件費及び事業費(機械使用料、外注費等)が増加した要因は、
新規事業であるボットプログラム等の解析活動が開始されたことによる人員
の増加、事業インフラ整備及び効率的事業運営を目指した外注案件の増加に
よる。
②ウェブアプリケーションのセキュリティガイドライン策定に関する調査研究
表25.実施内容に応じた資金の年度配分等
年度
要素技術
平成17年度
(従事研究者数)
平成18年度
(従事研究者数)
合計
(従事研究者数)
脆弱性分析技術 20 百万円
(11 人)
0百万円
(0人)
20 百万円
(11 人)
ガイドライン 25 百万円
(10 人)
45 百万円
(10 人)
75 百万円
(20 人)
合計 45 百万円
(21 人)
45 百万円
(10 人)
90 百万円
(20 人)
平成17年度 平成18年度 合計
人件費 234 317 551
事業費(旅費など) 17 37 54
(機械使用料、外注費等) 235 508 743
事業費計 252 545 797
一般管理費 41 44 85
合計 527 906 1,433
55
③脆弱性関連情報共有に関する実証実験
表26.実施内容に応じた資金の年度配分等
年度
要素技術
平成17年度
(従事研究者数)
合計
(従事研究者数)
情報セキュリティに関す
る情報共有の促進
9 百万円
(3人)
9百万円
(3人)
合計 9 百万円
(3人)
9百万円
(3人)
(3-2)普及広報活動 ④インターネット安全教室等 インターネット安全教室では、教材コンテンツ(映像と CD-ROM 冊子)の作成、
各地でのインターネット安全教室ならびに普及啓発イベントの開催費用、全国連絡
会議の運営費用などが主となる。
情報セキュリティ教育の試行と人材育成等に関する調査では、教材コンテンツの
作成、講義の実施などが主な費用である。
セキュリティリテラシーベンチマークツールの策定・普及では、サイトの開発な
らびに運営維持費用と問題作成費用、サイトの認知度向上のための広告宣伝費用な
どが主な費用となる。
表27.実施内容に応じた資金の年度配分等
なお、各要素技術に投入した人員は以下の通りである。
(1-1)インターネット安全教室 4人/年
(1-2)情報セキュリティ教育の試行と人材育成等に関する調査 2人/年
(1-3)セキュリティリテラシーベンチマークツールの策定・普及 2人/年
年度
要素技術
インターネット安全教室45,553 49,673
情報セキュリティ教育の試行と人材育成等に関する調査 14,769 10,921
セキュリティリテラシーベンチマークツールの策定・普及 12,572
合計 60,322 73,166
平成17年度 平成18年度
46百万円 50百万円
15百万円 11百万円
13百万円
73百万円 60百万円
56
⑤CHECK PC! キャンペーン
表28.実施内容に応じた資金の年度配分等
年度
要素技術
平成17年度 平成18年度 合計
(従事研究者数)
CHECK PC!キャンペ
ーン
1.3億円 1.7億円 3.0億円
合計 1.3億円 1.7億円 3.0億円
⑥フィッシング対策協議会
表29.実施内容に応じた資金の年度配分等
年度
要素技術
平成 17 年度
(従事研究者数)
平成 18 年度
(従事研究者数)
合計
(従事研究者数)
協議会運営(事
務局、委員会)
10 百万円
(3人)
19 百万円
(3人)
28 百万円
(6人)
協議会システム
構築・運用保守、
分析
29 百万円
(5人)
20 百万円
(5人)
50 百万円
(10人)
合計 39 百万円
(8人)
39 百万円
(8人)
78 百万円
(16人)
57
(4)費用対効果
(4-1)早期警戒体制の整備 ①不正アクセス行為等対策業務 当センターは各事業が相互に有機的に連携しているため、個別に事業を実施する
体制に比較してシナジー効果を生みやすい体制を構築している。よって、効果的な
投資効果を醸成できる体制を構築していると考える。
②ウェブアプリケーションのセキュリティガイドライン策定に関する調査研究 政府や地方自治体等のウェブアプリケーション構築担当者が発注時に参照でき
る安全なウェブアプリケーション構築ガイドラインは他になく、費用対効果は十分
であると考えられる。
③脆弱性関連情報共有に関する実証実験 機微情報のため、情報共有の活発化については課題が多いが、脆弱性性報の共有
によって早期警戒体制の確立やユーザー、ベンダ等のネットワーク強化、被害の局
限化等が期待できるため、運営にあたっての課題を把握できたのは大きな効果があ
ったと考えられる。
(4-2)普及広報活動 ④インターネット安全教室等 インターネット安全教室では、事業主体が地方に行き開催するだけでは限りがあ
るので、一度開催したあとに、継続して各地の共催団体が自主的に運営してけるよ
うサポートし自主的な開催を促すしくみを作りあげることにより、事業の拡大を図
ることが出来た。
⑤CHECK PC! キャンペーン 普及啓発活動を実施するには、複数の広告媒体を選定することになるが、媒体の
組み合わせや広告時期等により、ホームページへのアクセス件数や広告媒体との接
触人数に差が生じる。
本キャンペーンにおいては、毎年、広報手段を検討し、費用対効果の高さが見込
まれる方法を実施するよう努めている。
58
⑥フィッシング対策協議会 平成 17 年当時、欧米においてはフィッシング被害が多発しており、社会問題と
なっていた。日本においてもフィッシング被害が拡大する可能性があり、発生が多
発する前フィッシングに関する注意喚起、技術・制度的検討等を目的としてフィッ
シング対策協議会が設立された。設立されて以来、積極的な情報収集・提供や普及
啓発等を行っており、幸い日本においてはそれほどフィッシング被害は発生してい
ない。また、フィッシングに対する一般国民の認知度も80%を越えており(フィ
ッシング対策協議会調べ)、フィッシング対策について、フィッシング協議会の活
動が一定の効果を発揮していると考えられる。
59
(5)変化への対応
(5-1)早期警戒体制の整備 ①不正アクセス行為等対策業務 平成 18 年度に新しくボット対策事業がスタートした。これは世の中の情報セキ
ュリティにおける脅威が潜伏化することへの変化に対応したことによる。このよう
な潜伏化するボット (不正プログラム等) の検体を、国内外関係機関から収集し、
それに対応するスキームを構築する。当該検体の解析および駆除機能を有するプロ
グラム等を提供することを事業目的とする。また同様の事象への対応をするために、
関係機関との適切な情報共有をより広範囲に、より緊密に実施する枠組みを国内に
広めることを目的として CSIRT 構築支援も開始した。
(5-2)普及広報活動 ④インターネット安全教室等 インターネット安全教室では、事業主体が地方に行き開催するだけでは限りがあ
るので、一度開催したあとに、継続して各地の共催団体が自主的に運営してけるよ
うサポートし自主的な開催を促すしくみを作りあげることにより、事業の拡大を図
ることが出来た。
⑤CHECK PC! キャンペーン 本キャンペーンにおいては、情報セキュリティ対策の重要性を伝えるため、ホー
ムページで解説する対策や知識、コンテンツを必要に応じ、見直しを実施した。
