新春インタビュー2003 >>
関連リンク

 新春インタビュースペシャル

ウイルスに感染したり、不正アクセスを受けたときの報告先として指定されているのが情報処理振興事業協会(IPA)だ。セキュリティを語るときにはなくてはならない同協会だが、実際の活動は多岐にわたる。IPAの小野理事にいまの活動と今後の展望について聞いた。

 経済産業省の関連団体として位置する「情報処理振興事業協会」(IPA)は、ウイルス感染や不正アクセスへの報告先として有名だ。しかし活動はそれだけにとどまらず、今後電子政府で利用される暗号技術を評価したり、IT関連の人材を育成するなど、政府が進める「e-Japan構想」の中でも重要な位置を占めている。IPAの小野雅俊理事に、2002年を振り返るとともに2003年の展望について語ってもらった。

ZDNet IPAというと、ウイルス感染や不正アクセスの報告先ということでよく知られていますね。

小野 まずIPAのことについてお話ししておきましょう。おおまかにいえば「IT戦略をソフト面で実現するための政策推進機関」がIPAです。1970年に設立されたのですが、元々はメインフレーム用のパッケージソフト作成事業を支援することを目的にしていました。そののち1981年に「技術センター」というものができて、そこに数名の研究員を置いて活動をしていたのですが、これからはコンピュータセキュリティが重要になる、ということで勉強会を始めました。そして1991年の10月に「コンピュータウイルス対策室」が設置され、1997年の1月に技術センターから独立する形で、ご存じの「セキュリティセンター」が発足しました。IPAで唯一、技術開発に関係している部署がセキュリティセンターとなります。

 IPAでは、情報セキュリティやソフトウェアの安全性確保がメインの活動となりますが、ほかにもIT分野における次世代ソフトウェア開発の推進や、IT関連に従事する人材育成事業も行っています。人材関連事業については、全国28か所のソフトウェアセンターを設けてSEを育成するための支援を行っています。また、5年間でスーパークリエイターを育成するための活動も行っています。これは「未踏ソフトウェア創造事業」というもので、プロジェクトマネージャ制度のもと、個人または数名のグループからの独創的なソフトウェア技術や事業アイディアを公募して支援するものです。

 また、このほかにも電子政府で利用可能な暗号リストの策定に関わっています。経済産業省や総務省と連携して作っている「暗号技術検討会」や「暗号技術評価委員会」です。これは「暗号技術評価事業(CRYPTREC)」としてレポートをあげていますが、ほかにも「セキュリティ評価認証制度」として、製品の安全度を認証する制度を作るために、製品評価技術基盤機構(NITE)と協力して活動しています。

 ウイルスや不正アクセスへの対策というのは確かに大事ですが、現在は暗号技術の調査や評価も重要になってきています。来年になると正式に電子政府で利用する暗号が決まります。いろいろな分野に対して複数の暗号化技術を公募していますが、応募されてきたものをIPAが委員会を作って評価し、決める形になります。しかし、暗号は作っただけでは終わりでありませんので、これを評価しなければならない。5年くらい監視して、10年をめどに改訂を行う予定ですが、その監視体制について経済産業省の情報セキュリティ政策室と話し合いを始めたところです。

 セキュリティの評価、認証については2つの面があります。認証制度を作ってもそれが国際的に認められなければなりません。そうでないと国際的な競争に勝てないし、外国製品の評価もできません。個々の製品についての評価仕様を決めている段階です。あとはそれを実装したときにどうなるかが問題なので、これも2003年早々に評価機関を発足しますので、いまは2社2製品ですが、2003年中にはその倍か3倍くらいの数は認定したいですね。

ZDNet 幅広い活動となっていますね。

小野 そうですね。かつて「Y2K問題」があったときにも、IPAが音頭を取って当時の通産省を動かして対策を行いました。ただ、ひと通りうまくいったように見えましたが、あとから考えると失敗でした。各省庁がセキュリティについて理解していなかったからです。ところが省庁のホームページがハッキングされる事件があって、そこからセキュリティ対策が進みました。いまでも省庁のセキュリティ対策については、IPAがサポートを行っています。そのあと内閣府の情報セキュリティ対策推進室ができたときにも、IPAから人員を派遣していますし。

 ただし、セキュリティセンターには正規職員は1名しかいません。ほとんどが経済産業省や各メーカーからの出向者です。こう話すと聞こえが悪いかもしれませんが、IPAに来ることでセキュリティのノウハウを学び、各企業や省庁へ戻ったときにそれを生かして仕事をしていくわけです。つまりIPAは人材育成機関であるとも言えます。

ZDNet セキュリティセンターの役割は重要ですね。

小野 ウイルスや不正アクセスの届け出は毎月広報していますが、公的な機関がデータを集めている例がほかにないので、世界的にも認められつつありますね。セキュリティセンターのWebサイトへのアクセスも月150〜200万ページビュー(PV)を数えていますし、公的な機関としては多い方だと思っています。昨年Badtransが流行したときには10日で100万PVを超えるほどにもなりました。いまは電話での受付にも対応していますが、簡単な内容のものならば、24時間体制ですぐに対応できるための方法を検討中です。

 また、いまは常時接続環境が増えたことで、セキュリティセンターへの報告も様変わりしています。2000年には4%程度しか個人からの報告がありませんでしたが、2002年の11月までのデータでは66%と半数を超えています。また、ポートスキャンなどの不正アクセス形跡があったという報告が増えているのも特徴的ですね。2001年は17%だったのが、2002年では56%もの数字になっています。これは昨年流行したBadtransなどのウイルスに対応するために、ユーザーがアンチウイルスソフトを購入した結果、それに組み込まれているファイアウォール機能が検知して、それに基づいて報告されるケースが増えたためだと思います。

 ただ、報告は増えていますが実害が少なくなっているようです。2001年の例を見ますと、24261件の報告があったうちの19%がウイルスに感染してしまったというものになっていますが、2002年は19217件の報告のうち8.4%と、割合から見ても約半分になっています。

      | 1 2 | 次のページ

[聞き手:今藤弘一、高橋睦美,ITmedia]


新春インタビュースペシャル