[発表事項]
(1)福岡集中豪雨被害調査(守田昭彦氏)
・都市中心部で集中豪雨があれば、予期せぬ状況が情報システムに影響を及ぼす。
・被害状況を調査し、支部で取りまとめて安全対策に生かす。
・予備調査として監督官庁と行政をまわった。
・8月の第1週に早良区役所の河川管理課長に面会し、当時の市の対応を聞いた。
・次に九州地方建設局の河川管理課長に面会し、被害状況を質問した。
・九州地方建設局には内閣の緊急対策委員会から調査の指示がきている。
・九州地方建設局は「地下施設浸水状況聞き取り調査票」を作成し、集計する。
・集計結果は8/29に内閣に報告するが、その後入手可能。
・その集計結果より被害の概況が入手できることとなった。
(2)認証制度のまとめ(行武郁博氏)
「ポイント」
電子認証機関については、社会的には未だ定められたものはない状況である。
認証機関の必要性、その機能や位置づけ、我が国の現在の検討状況を概観する。
「内容」
1)電子認証機関の概観
A.必要性
公開鍵方式が一般的であるが、真正な公開鍵が入手できることが前提となる。
そのためには、信頼性の高い第三者機関たる認証機関(CA)が必要となる。
B.位置づけ
様々の考えがあり未だ定まったものはない。
C.機能(RSAが前提)
検討の段階であり定まったものはないが、暗号システムの普及とともに質的にも量的にも拡大してゆく可能性があり、次のものが想定されている。
・公開鍵の登録、管理、破棄 ・公開鍵の配信 ・公開鍵証明書の発行
・データの発信及び送達の証明 ・公開鍵に係る事項の通知、公開
D.我が国の現状
a.政府部門及び政府支援部門
・電子商取引法制に関する研究会(法務省)
・暗号通信の在り方に関する研究会(郵政省)
・電子マネー及び電子決済に関する懇談会(大蔵省)
・認証実用化実験協議会(ICAT)(事務局 JIPDEC)
・電子商取引実証推進協議会(ECOM)
b.民間部門
・(株)日本ベリサイン社:公開鍵方式(RSA)の認証サービスを実施
・(株)スフインクスセンター:DESと鍵事前配布方式(KPS)
・クレジットカード業界:世界標準になると目されるSETを重視
・銀行業界:電子商取引のオンライン決済実験
(注)鍵事前配布方式KPS(Key Distribution System)
東京大学の今井教授・横浜国立大学の松本助教授によって提案された鍵配布方式で鍵を配布するのではなく関数を配布する。
(3)セキュリティ評価基準について(福田啓二氏)
1)はじめに
「ISO/IEC 15408 情報セキュリティ評価基準は、情報技術に関連した製品及びシステムが適切に設計され、その設計が漏れなく実装されているかを評価するためのセキュリティ基準。
2)適用範囲
・ソフトウェアだけでなく、ハードウェア、ファームウェア、システム全体が対象
・対象は製品やシステムでISO9000等のように組織を評価する基準ではない
3)ISO/IEC 15408の構成
セキュリティの機能要件とその保証要件の2つの要件が集大成された「要件集」
a)機能要件 :11種類に分類され、これを「機能クラス」と呼ぶ
b)保証要件 :10種類に分類され、これを「保証クラス」と呼ぶ
c)保証レベル:7段階の保証要件のサブセットが用意され、「保証レベル」と呼ぶ
d)その他 :セキュリティ基本使用 ST(Security Target)
STのベース文書 PP(Protection Profile)
4)開発者側の規格対応
セキュリティ基本設計書を作成する。
・保護すべき資源の明確化、利用規則の決定
・脅威の見極め、セキュリティポリシーの決定
・機能要件、品質保証レベルの選択
・製品やシステムの仕様・開発方法の決定、基本設計書の正当性検証
参考資料
IPAのHP http://www.ipa.go.jp/SECURITY/ccj/index-j.html
日経コンピュータ 98年12月21日号、99年1月4日号に関連記事
(4)NTTのグループセキュリティサービス(GSS)について(藤平実氏)
INS利用のユーザが、あらかじめグループを形成し発信・着信を規制することによりセキュリティを確保するサービスである。
(INS利用で専用回線なみのセキュリティを確保できる。)
・月額料金:1契約者回線番号につき1グループごとに700円
・1契約者回線番号で最大8グループまで利用可
利用例 1.グループ内のメンバ同士でのみ発着信
2.グループ内通信+グループ外着信
3.グループ内通信+グループ外発信
4.グループ内通信+グループ外着信+グループ外発信
|