科学技術・学術審議会研究計画・評価分科会安全・安心科学技術委員会（第9回）配付資料［資料3］

Size: px

Start display at page:

Download "科学技術・学術審議会研究計画・評価分科会安全・安心科学技術委員会（第9回）配付資料［資料3］"

ありあのたけ
4 years ago
Views:

1 資料 3 科学技術学術審議会研究計画評価分科会安全安心科学技術委員会 ( 第 9 回 )H セキュリティセンターの活動について平成 19 年 6 月 12 日独立行政法人情報処理推進機構 (IPA) セキュリティセンター三角育生

2 情報システムの安全性ぜい弱性対策人材育成調査研究分析技術開発普及啓発暗号技術ウイルス不正アクセス対策セキュリティ評価認証IPA セキュリティセンター

3 ウイルス不正アクセス対策経済産業省の告示に基づき届出受付情報発信相談対応及び調査研究 60,000 50,000 40,000 30,000 20,000 10,000 0 ウイルス届出件数の年別推移件数 52,151 54,174 44,840 24,261 20,352 16,126 17,425 (5ヵ月分) 11,109 3,645 2,391 2,035 1, 年独立行政法人情報処理推進機構セキュリティセンター件数月ワンクリック不正請求相談件数推移月 12 月 2 月 4 月 6 月 8 月月 12 月独立行政法人情報処理推進機構月 4 月セキュリティセンター

4 ウイルス不正アクセス対策 2007 年 6 月公表 2007 年 1 月公表今月の呼びかけ : そのアプリケーションソフトにはセキュリティホールはありませんか? セキュリティホール対策はオペレーティングシステム (OS) だけではない! 今月の呼びかけ : オンラインゲームのパスワードを盗むスパイウェアに注意!! -オンラインゲームを狙ったウイルスが大量に出回っています年 4 月公表今月の呼びかけ : 警告画面を無視していませんか? 不正プログラムを取り込まないために警告が出たら先に進まないこと!! 不正請求画面の例

5 脆弱性関連情報流通の基本枠組み情報セキュリティ早期警戒パートナーシップフトウエア製品の脆弱性個人ソウェブサイトの脆弱性脆弱性 ( ぜいじゃくせい ): セキュリティ上の弱点発見者脆弱性関連情報届出脆弱性関連情報届出 IPA 受付機関報告された脆弱性関連情報の内容の確認脆弱性関連情報通知 JPCERT /CC 調整機関対応状況の集約, 公表公表日の決定, 日の調整等海外の調整機関との連携等脆弱性関連情報通知 IPA JPCERT/CC 対策情報ポータル製(JVN) シス品テ開ム発導者入支援者セキュリティ対策推進協議会等ウェブサイト運営者検証, 対策実施期待効果 1 製品開発者及びウェブサイト運営者による脆弱性対策を促進 2 脆弱性関連情報の放置危険な公表を抑制 3 個人情報等重要情報の流出や重要システムの停止を予防経済産業省告示に基づく取組み対策方法等公表個人情報漏洩時は事実関係を公表ユーザ政府企業

6 ぜい弱性対策２００４年７月２００７年３月末 140 ソフトウエア製品に関する届出ウェブサイトに関する届出ソフトウエア製品に関する届出累計ウェブサイトに関する届出累計 120 四 100 半 80 期件 60 数 /1Q /2Q 2005/3Q 2005/4Q /1Q /2Q /3Q 2006/4Q 2007/1Q 37 安全なウエブサイトの作り方セキュアプログラミング講座組込みシステムのセキュリティ累計件数累計件数ソフトウエア製品届出４５５件脆弱性公表１７０件ウエブサイト届出８４４件修正完了４５６件

IT セキュリティ評価認証制度国際標準 ISO/IEC 15408 (CC:Common Criteria JIS X

独立行政法人情報処理推進機構独立行政法人情報処理推進機構認証 (Certification) 認定機関 NITE

MHIR *1 評価 (Evaluation ) ISO/IEC 15408 評価基準認証報告書認証報告書認証書申請

ソフトウェア情報システム *1 JEITA: 社団法人電子情報技術産業協会 ECSEC: 株式会社電子商取引安全技術研究所

7 IT セキュリティ評価認証制度国際標準 ISO/IEC (CC:Common Criteria JIS X 5070) に基づいて IT 製品 ( ソフトウェアハードウェア ) や情報システムを評価認証する制度認証機関独立行政法人情報処理推進機構独立行政法人情報処理推進機構認証 (Certification) 認定機関 NITE 独立行政法人製品評価技術基盤機構評価機関の認定 (Accreditation ) 評価機関評価報告 JEITA ECSEC MHIR *1 評価 (Evaluation ) ISO/IEC 評価基準認証報告書認証報告書認証書申請評価依頼 CCRA *2 申請者対象製品 IT 製品情報システムのベンダー提供者などハードウェア IC カードソフトウェア情報システム *1 JEITA: 社団法人電子情報技術産業協会 ECSEC: 株式会社電子商取引安全技術研究所 MHIR: みずほ情報総研株式会社 *2 Common Criteria Recognition Arrangement CC 承認アレンジメント

8 -CC 承認アレンジメント (CCRA*)- *:Commom Criteria Recognition Arrangement ( 認証国 :CAP *1 ) イギリスドイツアメリカオーストラリアニュージーランド日本国際標準 ISO/IEC15408セキュリティ評価基準 (Common Criteria) に基づいて評価認証した認証製品を12ヵ国間で相互に承認日本は 2003 年 10 月に参加さらに 12ヵ国が認証製品を受入我が国 IT 製品の国際競争力強化に必須 2007 年 5 月現在オランダノルウェーフランスカナダ受入れスペイン韓国 ( 受入国 :CCP *2 ) フィンランドギリシャイタリアイスラエルスウェーデンオーストリアトルコハンガリーチェコシンガポールインドデンマーク *1 CAP:Certificate authorising participants *2 CCP: Certificate consuming participants

9 電子政府推奨暗号リスト平成 15 年 2 月 20 日総務省経済産業省技術分類名称 MUGI 公開鍵暗号署名守秘 DSA ECDSA RSASSA-PKCS1-v1_5 RSA-PSS RSA-OAEP RSAES-PKCS1-v1_5( 注 1) 共通鍵暗号ストリーム暗号ハッシュ関数 MULTI-S bit RC4( 注 5) RIPEMD-160( 注 6) SHA-1( 注 6) SHA-256 SHA-384 DH SHA-512 鍵共有 64 ビットブロック暗号 ( 注 3) ECDH PSEC-KEM( 注 2) CIPHERUNICORN-E Hierocrypt-L1 MISTY1 3-key Triple DES( 注 4) その他擬似乱数生成系 ( 注 7) PRNG based on SHA-1 in ANSI X Annex C.1 PRNG based on SHA-1 for general purpose in FIPS (+ change notice 1) Appendix 3.1 PRNG based on SHA-1 for general purpose in FIPS (+ change notice 1) revised Appendix 3.1 共通鍵暗号 128 ビットブロック暗号 AES Camellia CIPHERUNICORN-A Hierocrypt-3 SC2000 ( 注 1)SSL3.0/TLS1.0 で使用実績があることから当面の使用を認める ( 注 2)KEM(Key Encapsulation Mechanism)-DEM(Data Encapsulation Mechanism) 構成における利用を前提とする ( 注 3) 新たな電子政府用システムを構築する場合より長いブロック長の暗号が使用できるのであれば 128 ビットブロック暗号を選択することが望ましい ( 注 4)3-key Triple DES は以下の条件を考慮し当面の使用を認める 1) FIPS46-3 として規定されていること 2) デファクトスタンダードとしての位置を保っていること ( 注 5)128-bit RC4 は SSL3.0/TLS1.0 以上に限定して利用することを想定しているなおリストに掲載されている別の暗号が利用できるのであればそちらを使用することが望ましい ( 注 6) 新たな電子政府用システムを構築する場合より長いハッシュ値のものが使用できるのであれば 256ビット以上のハッシュ関数を選択することが望ましいただし公開鍵暗号での仕様上利用すべきハッシュ関数が指定されている場合にはこの限りではない ( 注 7) 擬似乱数生成系はその利用特性上インタオペラビリティを確保する必要性がないため暗号学的に安全な擬似乱数生成アルゴリズムであればどれを利用しても基本的に問題が生じないしたがってここに掲載する擬似乱数生成アルゴリズムは例示である

暗号モジュール試験及び認証制度申請者暗号モジュールのベンダ供給者など暗号モジュール認証報告書暗号モジュール認証書暗号アルゴリズム回答ファイルソースコード FSM VEドキュメントブロック図セキュリティポリシ ISO/IEC 19790 (JIS X 19790) に基づく試験

10 暗号モジュール試験及び認証制度申請者暗号モジュールのベンダ供給者など暗号モジュール認証報告書暗号モジュール認証書暗号アルゴリズム回答ファイルソースコード FSM VEドキュメントブロック図セキュリティポリシ ISO/IEC (JIS X 19790) に基づく試験認証機関独立行政法人情報処理推進機構暗号アルゴリズム確認暗号アルゴリズム確認書暗号アルゴリズム試験結果質問ファイル暗号アルゴリズム試験 JCATT 試験機関運用ガイダンス試験方法要求事項暗号モジュール認証セキュリティポリシ暗号アルゴリズム試験報告書暗号モジュール試験

11 情報セキュリティ対策ベンチマーク ( 自己診断テスト ) セルフチェックに有用な指標セルフチェックにより自社の現状と望まれる水準との差を把握して自社と同じタイプの企業群の取組状況に基づく指標と推奨される取り組みを提示 Web 上で自社の現状を入力すると結果を表示

12 調査研究技術開発広域インターネットトラフィック観測技術ぜい弱性情報提供技術暗号評価技術 LSI 回路解析技術組込みシステムのセキュリティ関連技術不正プログラム罠サイト情報提供技術等

13 情報セキュリティ分析機能産業構造審議会情報セキュリティ基本問題委員会報告書 (2007 年 5 月 ) グローバル情報セキュリティ戦略戦略 3: 国内外の変化に対応するメカニズムの確立情報セキュリティ分析部門 ( 仮称 ) の創設豊かで強く魅力ある日本経済の実現を情報セキュリティの側面から支援していく観点から NISC を始めとする国内関係機関や諸外国の関係機関と連携等しつつ国内外に散逸している関連データや研究結果を幅広く収集等しデータの国際比較収集等したデータについての計量的な手法等に基づく分析分析結果の国内外への情報発信等を行うための核となる組織として IPA やJPCERT/CC 等の国内関係機関に情報セキュリティ分析部門 ( 仮称 ) を創設するセキュアジャパン2007( 案 ) 情報セキュリティ政策会議 (2007 年 4 月 23 日 ) 2008 年度の重点施策の方向性情報セキュリティ分析部門 ( 仮称 ) の創設諸外国の機関とも連携等しつつ国内外の関連データや研究結果を幅広く収集分析等するため国内の関係機関に情報セキュリティ分析部門 ( 仮称 ) の創設を図る

14 情報セキュリティ事象被害調査 ( 公表 ) コンピュータウイルス被害アンケート調査 :5,500 企業あて送付 1,206 社から有効回答 (21.9%) モデルを用いた推計不正アクセス (SQL インジェクション ) 及び Winny を介した情報漏えい被害ヒアリング等による事例研究 ( 計 10 社 )

15 情報セキュリティ事象被害調査の結果 ( ウイルスによるシステム停止 ) 2005 年度のケース中小企業 ( 従業員 300 名未満 ) 大手中堅企業 ( 従業員 300 名以上 ) 被害額約 4.3 百万円 / 社約 130 百万円 / 社ウイルス被害による直接の復旧コストは大きくない一旦ウイルス被害により電子商取引システムや重要システムが停止すると大きな売上減が発生 ( 参考 ) 回答企業 1,206 社のうち復旧コスト発生のあった企業数中小企業 95 社大手中堅企業 110 社売上減のあった企業数中小企業 35 社大手中堅企業 46 社

16 情報セキュリティに関する新たな脅威に対する意識調査パスワードの定期的な更新 [PC 保有者全体 / 性別 ] (N=5,287) 0% 20% 40% 60% 80% 100% 自分自身で実施自分自身で実施家族や知人などが実施家族や友人などが実施実施していないが今後は実施予定実施していないが今後実施予定実施していないわからない全体 (N=5,142) 男性 (N=2,496) 女性 (N=2,646) 実施していないわからない全体 (N=5,287) 男性 (N=2,758) 女性 (N=2,529) (N=5,316) 情報セキュリティに関する事象の理解度 0% 20% 40% 60% 80% 100% ウエブアンケートこれまで 3 回実施 06 年 2 月 11 月 07 年 3 月 ( 第 3 回分は公表準備中 ) 毎回 5000 名以上の回答 (15 歳以上 ) コンピュータウイルス 2.2 セキュリティホールフィッシングスパイウェアボットファーミングワンクリック不正請求セキュリティ対策ソフトの押し売り行為ルートキット未認知 ( 言葉を知らない ) 認知 ( 事象を知らない ) 理解不足 ( 不正解有 ) 理解 ( 全問正解 )

17 情報セキュリティ水準評価指標の検討検討モデル IT サービス基盤 IT サービス基盤 IT サービス基盤対策対策対策脅威脅威脅威

18 バンキングサービスでの事例 IT サービス基盤情報セキュリティ脅威情報セキュリティ対策 1970 年現金自動預入支払サービス ( キャッシュカード /ATM の利用が前提 ) 偽造キャッシュカード偽造キャッシュカードによる預金等不正引出率 2002 年 1 日当たりの利用限度額引上げ (IC キャッシュカード利用が前提 ) IC キャッシュカード対応 ATM 設置率 IC カード化 IC キャッシュカード利用率 IC キャッシュカード盗難盗難偽造 IC キャッシュカードによる預金等不正引出率 2004 年 1 日当たりの利用限度額引上げ ( 生体認証用 IC キャッシュード ATM における生体認証が前提 ) 生体認証対応 ATM 設置率生体認証導入で本人認証強化生体認証用 IC キャッシュカード利用率

19 情報セキュリティ水準評価指標の検討社会における情報セキュリティ対策に係る取組みの進展度合を体系的経年的に把握するため情報セキュリティ水準評価指標の検討を実施情報セキュリティ水準評価指標研究会を設置し情報セキュリティ水準評価指標を構成する個別指標の検討指針を示すモデルを提案しこのモデルを活用しつつ具体的な指標の選定も実施 ~ 情報セキュリティ水準評価指標の例 ~ 組織人的対策マネジメントシステムリスク分析実施率 ( 企業 ) 教育啓発従業員に対する情報セキュリティ教育実施率 ( 企業 ) 情報セキュリティの必要性認識率 ( 個人 ) 監査情報セキュリティ内部監査実施率 ( 企業 ) 技術的対策予防制御 < 少額決済専用電子マネーの普及状況 > 発行枚数 IC キャッシュカード利用率デジタル著作権管理 (DRM) 技術普及率対策リソース情報セキュリティ投資 IT 関連予算に占める情報セキュリティ投資割合 ( 企業 ) IT 関連予算に占める情報セキュリティ投資割合 ( 政府 )

20 独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 東京都文京区本駒込文京グリーンコートセンターオフィス16 階 TEL 03(5978)7508 FAX 03(5978)7518 電子メール URL

暗号方式委員会報告（CRYPTRECシンポジウム2012）

暗号方式委員会報告（CRYPTRECシンポジウム2012）暗号方式委員会活動報告安全性実装性能評価リスト入りまでの基本的な流れ事務局選出暗号公募暗号技術現リスト掲載暗号次期リスト電子政府推奨暗号リスト推奨候補暗号リスト運用監視暗号リスト現リストのカテゴリ技術分類公開鍵暗号共通鍵暗号その他署名守秘鍵共有 64ビットブロック暗号 128 ビットブロック暗号ストリーム暗号ハッシュ関数擬似乱数生成系現リスト : 公開鍵暗号技術分類

科学技術・学術審議会 研究計画・評価分科会 安全・安心科学技術委員会（第9回）配付資料 ［資料3］

科学技術・学術審議会研究計画・評価分科会安全・安心科学技術委員会（第9回）配付資料［資料3］