2004年1月より独立行政法人として歩み始めた情報処理推進機構(IPA)。脆弱性情報届出制度の開始、ソフトウェアエンジニアリングセンターの設立、海外関係機関との連携……次々と精力的な活動を続けてきたこの1年を、藤原理事長が振り返る。

ITmedia 2004年を振り返ってみて印象的な出来事は何でしたか?

藤原 ソフトウェアは社会のインフラである、という認識が高まった年だと感じています。たとえば4月には航空管制システムに障害が発生し、大きな混乱を引き起こすという事件がありましたね。またIPAでは、ウイルスの届出を受け付け、統計をまとめているのですが、2004年の届出件数は月に5000件というペースでずっと推移しました。最近では、金銭的な実害に結び付くフィッシング詐欺が発生し、警戒を呼びかけています。

 オペレーションとセキュリティという2つの意味で、ソフトウェアの信頼性に脚光が集まった年だったといえるでしょう。

より効率的なソフトウェア開発を目指し

ITmedia IPA自身も1月の独立行政法人化を皮切りに、さまざまな取り組みを進めてきました。

藤原 IPAでは「創造」「安心」「競争力」という3つの理念の下、スピードのある対応を心がけてきました。


「人材育成も重要。ITスキル標準のさらなる普及や、情報処理技術者試験制度の見直しを行っている」という藤原氏

 まず挙げられるのは、元NTTソフトウェアの鶴保征城さんを所長に招いて10月1日に設立した「ソフトウェア・エンジニアリング・センター(SEC)」です。高品質なソフトウェアをもっと効率よく開発することを目的としたもので、IPAのスタッフのみならず、さまざまな大学や企業から多くの方々が参加し、「エンタープライズ系」「組込み系」「先進ソフトウェア開発」といった分野で活動を始めています。

ITmedia 具体的にはどのような取り組みが進んでいるのでしょう?

藤原 エンタープライズ系のソフトウェア開発力強化に関しては、まず開発プロジェクトの定量データ収集/分析を行っています。すでに14社から協力があり、600〜800例の情報が集まりつつあります。ソフトウェア開発プロジェクトのデータを数多く集め、コストや標準工数をプロットすることにより、「このようなソフトウェアの開発は何日かかるのか」など、納期やコストについての平均値を見出すことができるでしょう。同時に、標準的な見積もり手法の確立やコーディングの標準化にも取り組んでいます。こうした作業のためにIPA内に作業部屋を2つ用意しているのですが、100人以上の参加者が入れ替わり立ち代わりしては、連日、熱心に取り組んでいます。

 組込み系ソフトウェアの分野では、エンジニアの育成を目的にスキル標準の作成に取り組んでいます。既に指標として「ITスキル標準(ITSS)」が確立されていますが、これはエンタープライズソフトウェア向けのもので、これの「組込み版」を作るということです。同じく組込み系の開発プロセス技術部会では、過去の事例から注意点やノウハウを共有化し、その上で開発のリファレンス作成に取り組んでいます。

 また、先進ソフトウェア開発に関しては、2005年2月に自動車関連(ITS)ソフトウェア開発を立ち上げる計画です。

 海外との連携も進めています。ドイツの「フラウンホーファ 実験的ソフトウェアエンジニアリング研究所」(IESE)との間では、見積もり手法の共同研究に関して合意しました。また「CMMI(Capabirilty Maturity Model Integration)」を開発している米カーネギーメロン大学の「ソフトウェアエンジニアリング研究所(SEI)」と協力し、V1.1の日本語訳を作成、公開しています。この日本語版のWebページですが、本家に匹敵するアクセス数があり、今、次期文書の翻訳にも取り掛かっています。もちろん、国内の大学、研究機関とも協力しています。

スムーズに動き出した「早期警戒パートナーシップ」

ITmedia セキュリティ分野に関しても進展がありましたね。

藤原 7月より脆弱性関連情報の届出制度を開始しました。ソフトウェア製品とWebアプリケーションの場合でフローが異なるのですが、12月14日までにそれぞれ32件、135件の届出を受け付けています。こうして集約された脆弱性情報は、JVNというポータルサイトに掲載し、誰でも見られるようにしています。早期警戒パートナーシップの枠組みは、スムーズに動き始めたといっていいのではないでしょうか。

 重要な取り組みの1つに「ITセキュリティ評価・認証制度」もあります。製品にセキュリティがきちんと実装されているかどうかを、ISO 15408国際標準に沿って第三者(製品評価技術基盤機構:NITE)が評価します。この評価がきちんと行われるかどうかをわれわれが後ろで見ているというわけです。いったん認証を受ければ、相互承認協定を結んでいる他の国、たとえば米国に持っていっても、同様に認証を取ったものとみなされます。これまで18製品がこの認証を受けたほか、設計書段階で認証を受けるセキュリティターゲットについても22件が認証を受けました。

 国際協力という側面ではほかに、JPCERT/CCとともに、韓国情報保護振興院(KISA)と、セキュリティレベルに関する指標開発や被害額算定モデルに関して協力することで合意しました。お互いに教えてもらえる部分があり、5月に日本でまた定期会議を行う予定です。

ソフトウェア開発も「ものづくり」の観点で

ITmedia オープンソース活用の機運が高まった年でもありました。

藤原 オープンソースソフトウェア活用基盤整備の一環として、学校教育現場におけるオープンソース活用の実証実験を、18校、2500名以上の参加を得て行っています。中にはCDで起動する「KNOPPIX」を採用するところもあります。

 また日本オープンソースソフトウェア推進フォーラム(日本OSS推進フォーラム)を年に2〜3回開催しています。課題ごとにワーキンググループ(WG)を設置しているのですが、新たに「人材育成」と「標準化」の2つを追加しました。

 昨年は、日本のほか中国、韓国と協力して「北東アジアOSS推進フォーラム」を開催しています。12月始めに韓国で行われた第3回会合では、デスクトップLinuxやベンチマーク評価といった項目について議論する「技術開発・評価」、アジア地域からのオープンソースへの貢献を高めることを狙った「人材育成」、それに「標準化・認証研究」という3つのWGの活動内容が具体化しました。

ITmedia 

藤原 日本のソフトウェア輸入額が9000億円であるのに対し、輸出額は90億円。100対1の入超です。国際競争力を考えていくと、今までのやり方でいいとは思えません。ハードウェアやエレクトロニクスといった分野と同じように、ソフトウェアについても「物を作る」という観点から、製造技術を磨いていかなくてはならないと思います。それには、実証的に、データに基づいた仕事が必要です。セキュリティ1つとっても日本のソフトウェアの競争力は弱く、数は少ない状況ですが、逆に言えば、まだ発展の余地があり、まだまだ打つ手はあると思っています。

 ソフトウェアというのは、日本社会を動かすベーシックな要素です。産、官、学にまたがって連携し、知恵を出し合い、共有し、技法を磨いていく余地は大きいと思います。SECはその好例だと思います。

12月上旬にも韓国での会議に出席するなど多忙な日々を送る藤原氏。しかも、2004年度末に向けて複数のプロジェクトが進行しているほか、9月にはセキュリティ評価・認証制度の普及を目的とした国際会議「ICCC(International Common Criteria Conference)」のホスト役が待っている。年末年始の間はつかの間の休暇を家族とともに過ごす予定という。

[ITmedia]

この記事に対する感想

    この企業の方針・戦略について
    よく理解できた 理解できた あまり理解できなかった

    この企業の製品・サービスについて(信頼性)
    大変信頼している 信頼している あまり信頼していない

    この企業の製品・サービスについて(興味・関心)
    大変興味・関心がある 興味・関心がある あまり興味・関心がない



関連リンク