...

P1~P22(PDF形式:2.20MB)

by user

on
Category: Documents
11

views

Report

Comments

Transcript

P1~P22(PDF形式:2.20MB)
独立行政法人情報処理推進機構
平成22年度業務実績評価
1.総合評価
評定結果
A(法人の実績について、質・量のどちらか一方において中期計画を超えて優れたパフォーマンスを実現)
17年度:A、18年度:A、19年度:A、20年度:B、21年度:A
各事項の評定
各事項の評定から算定される総合評定
サービスの質の向上
① 情報セキュリティ対策の強化
(18%)
② ソフトウェアエンジニアリングの推進 (18%)
③ IT 人材育成の戦略的推進
(18%)
④ 開放的な技術・技術標準の普及等
( 6%)
業務運営の効率化
(20%)
財務内容
(20%)
サービスの質①
A(4点)
A(4点)
A(4点)
A(4点)
A(4点)
B(3点)
業務運営の効率化
AA
A
B
4点×18%+4点×18%+4点×18%+4点×6%
+4点×20%+3点×20%=3.8点
A
総合評価のポイント
○評価を行う各項目は第二期中期目標・中期計画の項目に沿ったものと
し、その項目ごとのウエイトについては、「サービスの質の向上」の評
価結果を最も重視し60%とした。
○サービスの質の向上は、第二期中期計画で掲げた業務の柱にあわせて4
分割し、各業務のウエイトは、特に重点を置いている「情報セキュリテ
ィ対策の強化」、「ソフトウェアエンジニアリングの推進」、「IT 人材育
成の戦略的推進」は各々18%、業務を縮小化した「開放的な技術・技術
標準の普及等」は 6%に設定して、IPA の活動実態に即したものとした。
C
サービスの質②
D
サービスの質③
財務内容
サービスの質④
○IPA における平成 22 年度評価は、質・量のいずれか一方において中期
計画を超えて優れたパフォーマンスを実現した項目が多数認められた
結果、総合評価は「A」とした。
・「サービスの向上」のうち、「情報セキュリティ対策の強化」は、ダウ
ンロード数が 100 万件を超えた「安全なウェブサイトの作り方」など、わが国
の情報セキュリティレベルの向上に大きく貢献し、「スマートフォン」や「制
御システム」への先行的な対応をするなど、質・量のどちらか一方に
おいて中期計画を超えたパフォーマンスを実現したと認められるこ
とから「A」評価、「ソフトウェアエンジニアリングの推進」は、シス
1
テム輸出の競争力や国民生活に密接に関係する組込みシステムの信頼性確
保のために必要となるわが国初の客観的な信頼性評価制度の骨格の
確立、組織的対応にも着目した重要インフラシステムの信頼性向上の
ためのガイドブックの公開による経営層に対する訴求、普及促進を一
般社団に移行するための体制構築・適切な役割分担の確立など、質・
量のどちらか一方において中期計画を超えたパフォーマンスを実現
したと認められることから「A」評価、「IT 人材育成の戦略的推進」
は、情報処理技術者試験に係る応募者数の増加、特に IT パスポート
試験の応募者数の増加(前年度比 13.9%増)、同試験のアジア各国にお
ける実施、IPA が発掘した優秀な IT 人材がネットワークとして東日
本大震災の復旧復興に対する活動に貢献するなど、質・量のどちらか
一方において中期計画を超えたパフォーマンスを実現したと認めら
れることから「A」評価、「開放的な技術・技術標準の普及等」は、
電子政府・自治体の実現に向け国民に役立つ基盤として、日本語文字
コードの統一に向けた IPA フォント・文字コードの整備、日本発のプ
ログラム言語(RUBY)の JIS 化など、質・量のどちらか一方において中
期計画を超えたパフォーマンスを実現したと認められることから
「A」評価とした。
・「業務運営の効率化」は、PDCA サイクルに基づく継続的な業務運営の
見直しなどにより、業務効率化(前年比 3%減)や人件費削減率(H17 年
比 12%減)など、数値目標に対して達成又は大きく達成していることに
加え、情報処理技術者試験に係る市場化テストによる経費削減(51.4%
減)や書籍販売/有料化セミナーの実施による自己収入の拡大、積極的
な情報発信によりマスメディアへの掲載件数の増加(前年比 54%増)など、
質・量のどちらか一方において中期計画を超えたパフォーマンスを実
現したと認められることから「A」評価とした。
・
「財務内容」は、受益者負担の観点を踏まえ、自己収入の拡大に努め、
前年度に対し 112 百万円の増加、地域事業出資業務については経営状
2
態の把握、助言の実施など、概ね中期計画の達成に向けた取組みが着
実に進められていることから「B」評価とした。
(注)各事項のウエイトは法人ごとに算定。評定の点数は、AA:5点、A:4点、B:3点、C:2点、D:1点であり、ウエイト付きの点数をXとす
ると、AA:4.5<X≦5、A:3.5<X≦4.5、B:2.5<X≦3.5、C:1.5<X≦2.5、D:1≦X≦1.5 としている。
3
2-1.サービスの質の向上(IT の安全性向上に向けた情報セキュリティ対策の強化)
評定結果
A(法人の実績について、質・量のどちらか一方において中期計画を超えて優れたパフォーマンスを実現)
17年度:AA、18年度:A、19年度:A、20年度:A、21年度:A
○「スマートフォン」や「制御システム」など対するセキュリティ対策といった新たな分野に対して機敏かつ着実に活動を展開。スマ
ートフォンについては急速な普及に伴う AndroidOS へのウイルスリスクの先行防御の安全対策を IT 通信大手と連携して取り組
んだことを評価。
○中小企業の情報セキュリティ水準の底上げ等については、「中小企業のためのクラウドコンピューティング安全利用のための手
引き」、「安全なウェブサイトの作り方」(ダウンロード数100万件を突破)等の普及啓発活動が適時、強化され、わが国の情報
セキュリティレベルの向上に大きく貢献していることを評価。また、新たな広報活動として YouTube「IPA Channel」開設と動画デ
評価のポイント
モ活動の取り組みによる注意喚起を評価。
○国際協力の推進については、CSA との相互協力協定の早期対応、ISO/IECSC27 への貢献を評価。
○技術的評価能力の向上については、CRYPTREC 暗号運用委員会の事務局を IPA が担当、更にセキュリティ対策推進のため
社会科学的に分析調査を実施し、対策効果を訴求することが効果的であることを確認、公表したことを評価。
○社会がよりセキュアな製品・システムを享受できる環境整備については、IT セキュリティ評価や認証制度について着実に実施。
○情報発信については、楽天サイトに「IPA 情報セキュリティブログ」を開設し、より親しみやすいトピックを照会するなどの工夫を
行い、計画を堅実に実施している。
個々の評価事項について
当該年度の評定がBとなる基準
平成22年度の実績及び評価(評定がBとなる基準と異なる理由)
1.情報システムに対する脅威へのプロアクティブ ●近年発生している情報システムへの脅威の特徴として,以下があげられる。
・ 特定の企業や組織や要人などに対して、ソーシャルエンジニアリング手法や複数の既知/未知
な総合的対策
の脆弱性を組み合わせるなど、これまでとは発想の異なる攻撃を執拗に行い、侵入したシス
①急速に変化しつつある脅威を的確に把握すると
テムにおいて、システムの誤動作や破壊、情報の窃取などの目的を達成する。
ともに、広く国民一般に対し、傾向や対策等の
・ 情報システムだけではなく、国民の生活に密着している制御システム(電力、交通など)へ
情報提供を行う。また、
「脆弱性関連情報届出受
の攻撃が試みられている。
付制度」を着実に実施するとともに、脆弱性情
このような新しい脅威に対して様々な分野の専門家からなる「脅威と対策研究会」を組織した。
報をより確実に利用者に提供する手法を検討す
4
る。
ここで国内事情に応じた影響について調査分析し、その結果に基づいて「IPA テクニカルウォッ
チ」を発行、課題及び対策方法などを提示することとした。IPA テクニカルウォッチの第1回目
として、Stuxnet について調査・分析し、共通部分(システムへの侵入)及び個別攻撃(情報窃
盗等)により構成される手法のうち、共通部分への対策の重要性を報告した。
このような、セキュリティ対策についての先進的な取組みを評価。
●スマートフォンの急速な普及に伴うリスクへの対応
スマートフォンに広く取り入れられている Android OS に感染するウイルスなどについて、わが
国の被害発生の確認を待たず注意喚起、ウイルス対策ベンダと連携して対策方法を公開した。社
会的関心の高さから NHK 等で紹介されるとともに、内外の IT 通信大手によるスマートフォンの
安全対策への連携(平成 23 年 5 月 16 日の報道)に繋がるなど、新たな脅威に対するプロアクテ
ィブ(先行防御的)な対応を評価。
●脆弱性体験型学習ツール「AppGoat」の公開
ソフトウェア、ウェブサイトの脆弱性対応が進まない理由として現場の開発者が「脆弱性とはな
にか」について体系的に学ぶ仕組みがないことがあげられる。この対応のため、体験型学習ツー
ルを公開。このツールはベンダー企業での研修や大学の授業で実践的な脆弱性対策の教材として
利用されるなどして実際の開発現場での脆弱性対応に寄与することが期待される。このような問
題の根源にさかのぼった対応の試みを評価。
●「情報セキュリティ安心相談窓口」開設等による相談対応業務強化
これまで、ウイルスや不正アクセスなどそれぞれで相談窓口を設けていたものから、これらを一
元的に対応する「情報セキュリティ安心相談窓口」に統合、その運用を 2010 年 10 月から開始し
た。国民目線から「分かりやすい」窓口対応になったことを評価。
相談窓口統合化にあたって、対応業務が近年増加傾向にあることから以下の対処を実施。このよ
うな業務効率化の動きを評価。
・ ウェブサイトからの情報発信として「よくある相談と回答(FAQ)」のコーナーを新設。ある
程度のスキルがある利用者であれば、窓口時間外でも(窓口対応がなくても)自己解決が可
能となる情報を提供。
・ 定型の案内を掲載し、電話相談に対してもウェブページ検索へ誘導することで、人手を要す
5
る案内作業の省力化を推進。
●経産省告示に基づく脆弱性関連情報の届出受付等
ソフトウェア製品 115 件、ウェブサイト 308 件、合計 423 件(前年度ソフトウェア製品 138 件、
ウェブサイト 783 件、合計 921 件)の届出を受け、定期的に届出状況を公表、着実に業務を実施。
●脆弱性未対応ウェブサイトへの対応。
脆弱性の届出を受け付けたものの、その対策が未実施のウェブサイトの対応を推進した。該当ウ
ェブサイト運営者へメール、電話などによる状況確認の連絡を繰り返したことにより平成 22 年
度末時点での取扱い中件数は、平成 21 年度末時点での 708 件から 386 件に減少した。安心・安
全な IT 利用環境のための着実な取り組みを評価。
●ボット対策事業への貢献
経産省、総務省連携プロジェクト「サイバークリーンセンター」のメンバーとして、ボット検体
を管理。平成 22 年度は、セキュリティベンダに約 100 万個の検体を提供した(平成 18 年末から
の累計約 200 万個)
。検体を提供しているセキュリティベンダ 6 社での、パターンファイル反映
率は平均 99.9%を示している。この結果、一般利用者のボット感染予防すなわち安心安全な IT
利用環境整備に貢献していることを評価。
●脆弱性対策の実施促進にためのツール・データベースの機能強化
・ 脆弱性対策情報データベース(JVN ipedia)の機能強化に着手した。国際標準に基づいた共通
脆弱性タイプ一覧や共通プラットホーム一覧による検索機能の強化を実現し、利便性を高め
る予定(公開は平成 23 年 4 月)
。
・ ウェブサイトに対する外部からの攻撃の痕跡を検査するツール(iLogScanner)の機能強化を実
施。旧版を含め、平成 22 年度をとおして約 17,000 件のアクセス数を記録し、安全な IT 利用
環境整備に貢献した。
②重要インフラ分野等の社会的に重要な情報シス ●組込みシステムへの情報セキュリティ対策の推進
自動車・情報家電に係る情報セキュリティ上の脅威を調査・整理し、公開した。
テムや組込み機器、生体認証機器等について、
6
セキュリティ強化のための調査、普及、啓発等
を行う。
・自動車の情報セキュリティについては、自動車の制御システムと電気自動車への脅威について
国内外の動向を調査し・報告書を作成した(平成 23 年 4 月公開)。
・情報家電については、国内の主要家電メーカ 6 社参画のもと、デジタルテレビに特化した勉強
会を開催。その成果を「情報家電に対するセキュリティ対策検討報告書」として2月に公開。
平成 22 年度末までで約 18,000 件のダウンロードがあった。
両件とも関連業界、ユーザ企業から高い注目を得ていることを評価。
●産業用制御システムへの情報セキュリティ対策の推進
産業用制御システムについて、スマートグリッドのセキュリティ対策にむけた施策立案の基礎と
なる調査結果をまとめ、経産省の「サイバーセキュリティと経済研究会」での検討に貢献。この
ような政策形成に貢献する活動を評価。
「IPA 重要インフラとスマートグリッドのセキュリティシンポジウム」を開催し(平成 23 年 2 月
25 日)、本調査結果の成果報告を報告。シンポジウム参加社約 200 名の約6割を重要インフラ事
業者が占めるなど、情報セキュリティに関する関係者の関心高さが伺われた。
産業用制御システムにおいても、情報セキュリティの重要性が増していくことが予想される中で
の先行的な取組みを評価。
●生体認証の普及対策
「バイオメトリクスセキュリティに関する研究会」において海外動向調査、利用組織へのヒアリ
ング等を実施し、
「第 22 回バイオメトリクスセキュリティ研究会」において成果を発表。
2.中小企業の情報セキュリティ水準の底上げと国 ●クラウドコンピューティングの安全利活用の促進
クラウドコンピューティングについて、中小企業が安心して利用するための注意点や確認項目を
民一般への普及啓発
①中小企業に対して、適切な情報管理の在り方を、 整理した「中小企業にためのクラウドサービス安全利用のための手引き」を策定した。これと併
せてクラウド事業者向けの「クラウドコンピューティング事業者による情報開示の参照ガイド」
公正な取引の観点や実態を踏まえたガイドライ
を策定した(公開は、いずれも平成 23 年 4 月)。
ン等として整理し、提供する。
これにより、中小企業が安心・安全にクラウドコンピューティングを利活用できる基盤を整備し
たことを評価。
●情報セキュリティ対策の普及
7
中小企業の情報セキュリティ対策に関するチェックシートについて以下の普及啓発活動を実施。
・ユーザからの意見を基に利用方法の説明や診断後の対策の進め方を改善。
・経産省の「中小企業情報セキュリティ対策促進事業」の指導者育成セミナー等において同シ
ートを紹介。
「情報セキュリティ対策ベンチマークシステム」について診断基礎テータの更新、統計情報の追
加等の改訂を行い、ver3.3 として公開した(平成 22 年 6 月)
。平成 22 年度は、旧版含め約 93,000
件のアクセスを得た。
②地域の中小企業等に対して、情報セキュリティ ●民間主導による中小企業情報セキュリティセミナー開催を推進
中小企業情報セキュリティセミナー開催を 27 都道府県の 34 カ所で 106 回開催し、約 6,400 名が
対策の啓発を行うための情報セキュリティセミ
参加した。平成 22 年度開催の内 2 か所は、これまで開催実績のない県で実施した。地域への IPA
ナーを毎年度 25 か所以上で開催する。
成果の浸透を図る試みとして評価。
従前からセキュリティセミナーの開催を、IPA 主体から地域の中核団体など民間の自主的な活動
③地域の中小企業等が情報セキュリティ対策につ
に委ねようとしている。平成 22 年度は、昨年度に加えさらに 2 団体の協力を得て、新たに 3 名
いて身近で相談できる人材の育成を図るととも
の民間講師を育成した。この結果、IPA が開催したセミナー34 カ所のうち 17 カ所(平成 21 年度
に、地域の情報セキュリティ啓発のための協力
は 15 カ所)は、当該講師により実施することになった。
体制を構築する。また、広く国民一般にセキュ
この取組みは、
「独立行政法人の事務・事業の見直しの基本方針」の方向性と一致しており、今
リティ対策を周知するため、ポータルサイト等
後より一層の推進を行うべきものとして評価。
と連携し、更なる啓発活動を実施する。
●情報セキュリティに関する新たな「攻め」の広報活動
情報セキュリティ対策の重要性をより多くの国民に周知するため、新たなメディアを活用した以
下の取組みを開始した。
・楽天サイトに「IPA 情報セキリティブログ」を開設し、より親しみやすい表現で情報セキュ
リティの最新トピックを紹介。
・広く一般国民に利用されている YouTube に、「IPA Channel」 を開設
特に、
「情報セキュリティ通信:Android に感染するウイルスに注意」は、動画のメリットを
活かしたデモを多用して好評を博し、「IPA Channel」 内で最高アクセス数を記録。
報道機関からの問い合わせ・取材に対して、記者説明会の実施や「分かりやすさ」の観点から発
表内容の見直し等の工夫を行ったことにより、新聞記事掲載、TV 放映が平成 22 年度 119 件(平
8
成 21 年度 81 件)
、ウェブ記事掲載が平成 22 年度で 229 件(平成 21 年度 151 件)と前年度から
増加し、国民一般への情報提供が充実した。IPA 活動を広く知らしめることを目的とした新たな
広報活動の試みを評価。
●国民一般に対する情報セキュリティ対策の意識醸成
「情報セキュリティ標語・ポスターコンクール」を実施。標語約 8,000 名、ポスター約 560 名と
前年度を上回る応募者があり、若年層における意識の醸成と向上が図られた。
3.情報セキュリティ分野における国際協力の推進
①各国の情報セキュリティ機関との連携を通じ ●クラウドコンピューティングのセキュリティに関する国際協力の推進
て、最新情報の交換、情報セキュリティ水準に 欧米の主な公的機関、企業が参加する国際的非営利団体 Cloud Security Alliance(CSA)と相互協
。CSA 日本支部の活動支援、CSA と経済産業省との交流・協力活動
関する国際比較可能な指標の策定等に取り組 力協定を締結(平成 22 年 6 月)
を支援した。これから各方面で利用拡大が見込まれるクラウドコンピューティングのセキュリテ
む。
ィ対策について海外組織との協力の取組みを始めたことを評価
●CCRA 加盟国の認証機関が相互に行う認証プロセスへの貢献
CCRA 加盟国の認証機関が相互に行う加盟国審査等について、以下の協力を実施した。
・ドイツ認証機関の定期監査:平成 22 年 10 月 25 日~11 月 29 日
・マレーシアの認証国加盟審査:平成 22 年 11 月 29 日~12 月 3 日
マレーシアにおいては、審査のリーダーを務め、CCRA 加盟国間の認証プロセスの品質の維持に
寄与するとともに、CCRA に対するわが国の貢献を大きくアピールしたことを評価。
●IC カードのセキュリティ評価のための標準評価用カード(テストビークル)の開発
わが国の IC カードの評価・認証能力の国際的な整合性を図るため、標準評価用 IC カード(テス
トビークル)を開発。このテストビークルは、欧米のコミュニティにも提供されて脆弱性能力の
判定に利用される予定であるなど、IC カードのセキュリティ能力評価にあたっての国際的な協
力活動を進めていることを評価。
9
②アジア地域等における情報セキュリティ対策の ●アジア地域での情報セキュリティ対策の向上
向上のため、各種ツール、データベース等や情
アジア地情報セキュリティ対策ベンチマークについて検討を推進。
報セキュリティ対策の知見等を提供する。
③情報セキュリティ対策の国際標準化や新たな手 ●情報セキュリティに関する国際標準化推進への貢献
ISO/IEC SC27 を中心とした国際標準策定作業に参加。WG1 から WG5 それぞれで国際標準策定に当
法の開発に係わる国際活動に積極的に参加し、
貢献する。
たって、日本の立場を反映させるための活動を行った。特に WG2 では、IPA 職員がコンビーナ(主
査)に就任し、同会議の運営を主宰した。
情報システムの脆弱性対応は、国内だけの対応では不十分なことから、米 NIST、米 MITRE との
協議を通じて SCAP1への対応を推進。これにより脆弱性対応の活動が国内外で共通の用語で議論
できる環境を整備した。
情報セキュリティ対応において、国際協力がこれまで以上に欠かせなくなっている中での上記活
動を高く評価。
4.情報セキュリティ対策を支える技術的評価能力
の向上、分析機能の強化
①CRYPTREC の事務局を務めるとともに、暗号の世 ●暗号アルゴリズムの監視と改定に向けた検討を実施
CRYPTREC 実装委員会事務局を担い、11 の国際会議に職員を派遣し、暗号技術に関する最新情報
代交代を見据え、政府機関等による電子政府シ
を収集、関連する委員会・検討会に紹介するとともに、情報システム等セキュリティ技術の基礎
ステム及びその関連システムの移行計画の策定
となる暗号アルゴリズムの安全性監視活動を着実に実施。
等を行う。
CRYPTREC 暗号運用委員会事務局も努め(当初は NISC が務める予定であった。)平成 24 年度に改
定予定の電子政府推奨暗号リストに掲載する暗号アルゴリズムについて、現実的かつ安全性の高
い作業を行うための検討を実施した。
平成 21 年度に応募のあった暗号アルゴリズムの評価を実施し、4方式を現電子政府推奨リスト
に掲載された暗号リストとともに詳細評価を行った。
②情報セキュリティに関する脅威・攻撃行動を分 ●情報セキュリティ対策を推進するため社会科学的な分析等を実施
プライバシー保護についての経済価値と個人の認知に関する調査を実施。この調査では、わが国
析・評価する機能を強化し、IT を利用する企業
のプライバシーについての懸念の状況を EU の同等の調査と比較して以下を明らかにした。
や国民に向けた積極的なセキュリティ対策を図
1
SCAP(Security Content Automation Protocol):情報セキュリティ対策の自動化と標準化を実現する技術仕様
10
るため、必要な情報を提供する。
・日本では EU に比べ、プライバシー保護を他人任せにする傾向がある
・プライバシーを重要だと思いつつも、実際にはコストやサービスを重視する傾向がある
情報セキュリティ対策推進のため、リスクに直面した個人が情報セキュリティ対策を実施するか
否かの態度やふるまいについて社会心理学の観点から、調査実験を実施。本調査実験からは、情
報セキュリティ対策は、リスクの脅威よりも対策効果を訴えた方が対策実行される可能性が高く
なる等が明らかにした。
これらの調査・分析成果について、8 月に報告書を公開するとともに、10 月に電子情報通信学会
との連携により開催した「情報セキュリティと行動科学ワークショップ」で発表。
以上、より効果的な情報セキュリティ対策にむけて人間(心理学)の立場から分析を深化させたこ
とを評価。
5.社会がよりセキュアな製品・システムを享受で
●IT セキュリティ評価及び認証制度の運用
きる環境の整備
処理手続きの改善として開発者、評価者を交えた三者会議の適宜開催により、評価作業と認証作
①ITセキュリティ評価及び認証制度において、制
度利用者の視点に立った評価・認証手続の改善、 業の平行実施を行うことで期間短縮を図ることに携行した結果、中期目標で掲げた40日以内の
処理を達成。
評価等に関する人材の育成、積極的な広報活動
また、申請者への使い勝手、わかりやすさを考慮した規定類に改定、消費者、調達者に情報提供
等を実施する。また、認証書発行までのIPA内で
の処理期間を40日(就業日ベース)以内とする。 のための採算終了品リストのアーカイブ化、認証業務のスケジュールに係る申請者との情報共有
化など利便性を高めるための改善を実施した。
CCRA 申請の拡大に向けた着実な取組みを評価。
種類
認証
保証継続
ST2確認
計
2
<認証業務の直近 3 年及び累計の申請件数>
平成20年度
平成21年度
平成22年度
29
41
51
10
10
14
7
2
1
46
53
66
累計
333
71
48
452
:IT 製品のセキュリティ基本方針に関する仕様書。
ST(Security Target)
11
●「政府機関の情報セキュリティ対策のための統一基準」等の見直しで IPA の提案が反映
「政府機関の情報セキュリティ対策のための統一基準」等の見直しにあたって、政府調達におけ
るセキュリティ要件の重要項目に関して IPA の意見を提案。この提案は、平成 23 年 4 月 21 日に
政府の情報セキュリティ政策会議で決定された「政府機関の情報セキュリティ対策のための統一
管理基準」に反映。この改定により、今後、特定の製品 を調達する際には、IT セキュリティ評
価及び認証制度による認証を受けたことが基本遵守事項として求められることになり、安心安全
な IT 利用環境の提供・底上げに資することになったことを評価。
②暗号モジュール試験及び認証制度(JCMVP)の積 ●JCMVP制度で認証対象としている暗号アルゴリズムに関して、北米CMVP制度との共通化を図るた
極的な広報活動を実施する。
めに暗号アルゴリズム実装確認ツールの機能追加開発を実施。これにより、国内JCMVP利用者に
対して、効果、問題点等についてヒアリングを行うとともにJCMVP制度を紹介するセミナーを実
施し広報活動に努めた。
12
2-2.サービスの質の向上(情報システムの信頼性向上に向けたソフトウェアエンジニアリングの推進)
評定結果
A(法人の実績について、質・量のどちらか一方において中期計画を超えて優れたパフォーマンスを実現)
17年度:AA、18年度:A、19年度:A、20年度:B、21年度:A
○重要な社会インフラ分野における情報システムの信頼性確保に向けた取組として経営層へ訴求した点やエンタプライズ系と組
込み系システムが一体的に連動した情報システム・ソフトウェアのディペンタビリティの確立に向けた活動について、高く評価。
○安全性・信頼性に係る第三者検証制度について、国民生活に密接に関係する組込みシステムの安全性確保に大きく貢献。今
後、将来の紛争に十分耐えられる質の確保、事故防止、国際競争力の確保、使いやすさなどを踏まえた制度設計に期待。
評価のポイント
○地域・中小企業のためのシステム構築手法の提供については、ETSS導入推進者制度の枠組みを構築し、一般社団による普
及の促進や、広範な普及対象を得るため、ライブ型研修から動画共有サイトによる実施にするなど、柔軟な取り組みを評価。た
だし、システム構築手法の提供によりどの程度効率的になり、高信頼化されたかを明示すべき。
○海外有力機関との国際連携については、新たにフランス原子力庁ソフトウェア工学応用技術研究所、米国商務省国立標準技術
研究所などとの連携の強化、日本発の国際標準の推進などを高く評価。
個々の評価事項について
当該年度の評定がBとなる基準
平成22年度の実績及び評価(評定がBとなる基準と異なる理由)
1.
「見える化」をはじめとするエンジニアリング手
法によるITシステムの信頼性確保
○重要インフラ分野を中心とする情報システムの信頼性確保における課題解決のための具体的成
①エンタプライズ系
果を提供したことを評価。
・重要インフラ分野における情報システムの品
質・信頼性確保に資するため、経済産業省の
・重要インフラ情報システムの構築における信頼性要求水準に応じた対応と目標管理を実施する
取組みに協力する。また、実証データを収集
ための指針案として、
「重要インフラ情報システムの信頼性向上の取組みガイドブック~情報シ
するとともに信頼性向上に役立つ手法やツー
ステムの信頼性管理に必要な組織内の役割分担と活動の枠組み~」を策定し公開(平成23年3
ルなどを開発、提供する。
月)。本指針は、先般発生した銀行システムのトラブルでも指摘された組織にマネジメントに着
目しており、重要インフラ事業者の経営層や情報システム部門の幹部及び品質責任者が情報シ
ステムの信頼性管理の取り組みを点検するための視点を提供。
13
<重要インフラ情報システムの開発・運用の「管理フレーム」>
・経済産業省が公開している「情報システムの信頼性向上に関するガイドライン」及び「信頼性評
価指標」への準拠度を自己診断することができる「信頼性自己診断ツール」について、診断結果
と構築したシステムの信頼性には一定の相関関係があることを実証。さらに、セキュリティ強
化や使いやすさ等の機能向上を図るとともに、新たにベンチマーク機能(診断データの利用者
平均値の表示)を追加した第二版を公開(平成23年3月)。
・平成21年度までに収集した2,584件のプロジェクトデータの分析結果を取りまとめ「ソフトウェ
ア開発データ白書2010-2011」を発行(平成22年11月)。さらに、「プロジェクト診断支援ツール」
について、使用するデータを同白書に対応する最新版に更新して公開(平成23年4月)。
14
・発注者と受注者の合意を的確に行うための手法として公開している「機能要件の合意形成ガイ
ド」及び「非機能要求グレード」について、理解増進のための啓発用資料や導入推進者向けの教
材、活用事例集等を作成し公開。
・激しさを増すビジネス環境の変化へ迅速に対応する手法として、要件の全てを最初に決定しな
くても開発に着手できるアジャイル型開発への期待が高まる一方、これまでシステム開発の主
流であったウォーターフォール型開発で一般的とされる一括請負契約方式ではアジャイル型開
発への適用が困難との理由で日本の企業への普及が進んでいない状況を改善するべく、アジャ
イル型開発を採用する際に留意するべき点等を取りまとめ、2種類のモデル契約書案を公開。本
モデル契約書案は、島根県の平成23年度事業「Rubyビジネスモデル創出支援補助事業」における
採択者同士の契約に実験的に使用される予定となっており、IPAでも平成23年度に実証実験を行
い、有効性の確認や所要の改訂を行った後、経済産業省で実施しているモデル契約書の検討に
提案・貢献していく予定。
・「持たないIT、利用するIT」と言われるクラウドコンピューティングは、大企業よりも中小企業
にとってのメリットの方が大きいとして、中小企業への導入が進むものと考えられていたが、
実際には導入に消極的な企業が多数あることから、ITコーディネータを対象とした中小企業等
におけるクラウドサービス利用についてのアンケート調査を実施。本調査結果を分析し、中小
企業等が導入上の課題点や公的機関、サービス提供事業者に求められる取組み等を取りまとめ
た報告書を公開。
○組込みソフトウェア開発における参照すべき基準となる「ESxRシリーズ」の充実等を着実に進め
②組込み系
ている点を評価。
・組込みシステムの品質・信頼性を確保するた
めの客観的な基準やテスト完了基準等の検討
・平成18年度に第一版を策定しその普及を進めてきた「組込みソフトウェア開発向けコーディン
を行う。
グ作法ガイド(ESCR)(C言語版)」については、国内外のツールベンダ4社からESCR(C言語版)に基
づき自動検査を行うコードチェッカーが販売されるなど、容易に活用できる環境が整ってきた
ことから、コーディング規約のフレームワークとしての標準化活動を推進した結果、JIS化を実
現。今後は、民間自身による普及を促進するべく、トレーナーズトレーニング教育等の整備を
実施予定。
15
・機能規模の拡大等に伴い、プログラムの再利用がしやすいC++言語の利用が急速に拡大してい
ることから、
「組込みソフトウェア開発向けコーディング作法ガイド(ESCR):C++言語版」を策
定し、書籍として発行。公開後、早速、国内ツールベンダ1社からコードチェッカーが発売され
るなどの反応があり、今後の産業界への普及状況やニーズ等を勘案し、必要に応じJIS化を検討。
・「組込みソフトウェア開発向け品質作り込みガイド(ESQR)」の開発現場での利用拡大に向け、普
及セミナーにおけるアンケートや導入企業へのヒアリング結果を踏まえ、改定案を取りまとめ。
平成23年度にESQR改訂版を公開予定。
・「組込みソフトウェア向けプロジェクトマネジメントガイド(ESMR)」の理解度を大幅に向上させ
るための教材として、事例プロジェクトを利用した具体的適用例、解説、指針、勘所等を取り
まとめた「組込みソフトウェア向け開発計画立案トレーニングガイド(ESMG)」のドラフト版を作
成。平成23年度に正式版を完成させ、書籍として発刊予定。
③統合系
・エンタプライズ系システム及び組込み系シス 〇米国で発生したトヨタ自動車のプリウス問題に端を発し、経済産業省産業構造審議会(情報経済
分科会情報システム・ソフトウェア小委員会)においてもその必要性が示された情報システムや
テムが一体的に連携した情報システム・ソフ
組込みシステムの安全性・信頼性を第三者が検証する制度の検討を進め、「ソフトウェア品質監
トウェアのディペンダビリティの確立に向け
査制度(仮称)」として具体的な枠組み案を策定。トヨタ自動車においては、自社の取組みの正当
た取組みを実施する。
性を証明するために莫大な労力を要し、最終的にはソースコードを米国の調査機関に提出せざる
を得ない結果となっており、国内で対応できない現状のままでは、同様の事象が発生した場合、
わが国の産業競争力に大きな影響を与える。さらに、本取組みは、利用者である一般国民等にと
ってシステム品質が見える化されることになるため、国民生活の安全性向上にも大きく寄与する
など、非常に意義の大きい取組みであり、高く評価。今後、重点的に取り組むべき事業として、
平成25年度からの運用開始を目指し、さらなる取組みの加速を期待。
16
<「ソフトウェア品質監査制度(仮称)」の狙いと効果>
ソフトウェア品質監査制度(仮称)の狙い
ソフトウェア品質監査制度(仮称)の効果
企業の製品・システムに関する利用者や市
場への品質説明力の強化
技術の専門家ではない利用者の安心感
の向上
国際市場における日本製品・システムの品
質に対する正当な評価の確立
我が国産業の国際競争力の維持・強化
産業界の枠を超えた品質の見える化による
複数の産業界を跨り構成される高度なシス
テムの開発加速 (例:スマートコミュニティ
システムなど)
製品・システムの本質的な品質向上
国民生活の快適性・利便性の向上
新成長戦略分野における我が国産業の
国際優位性の確保
国民生活の安全性の確保
〇ソフトウェアの高信頼性を実現するために必須となる上流開発工程における取組み強化を推進
すべく、有効な手法の一つである形式手法の導入促進に向けた取組みを進めている点を評価。形
式手法については、仕様書の曖昧性を排除し、正確かつ網羅的に記述できる手法として、その重
要性の認識が高まっている一方、実際の導入にあたっては、導入に適した領域の判断や実際に適
用する人材の技術・スキル等の留意点が存在。これらの課題を解決するため、形式手法導入の留
意点を取りまとめた入門教材として「高品質システムの実現~形式手法導入のために予め理解し
ておきたい事項~」(ドラフト版)を作成するとともに、当該教材の有効性確認を行うためのパイ
ロットコースを実施。今後、パイロットコースによる改善を重ね、正式版を公開するとともに、
IPAが実施する研修の教材として活用予定。
〇統合システムのディペンダビリティ確立にはモデルベース設計・検証力強化が重要であり、特に
統合システムの特徴の一つである「利用者層・利用形態の拡大と変化」に対応するためには、利用
者(ユーザ)の振る舞いやシステムとの関連も考慮に入れたモデル化が必須。そのため、国内企業
におけるモデルベース開発への取組み状況等に関する実態を調査・分析し、システム統合より発
生する課題の抽出及びその解決手法としてユーザモデリング技術と利活用技術を整理した点を
評価。また、従来の製品品質に加え、利用品質の確保が重要となってきていることから、「どの
ような利用者」が「どのような状況」で「どのように使う」か、といった「ユーザ情報」を活用した利
用品質の向上に向けた取組みを開始した点を評価。
17
2.地域・中小企業のためのシステム構築手法の提
供
・地域における行政、産業団体等へのソフトウェ 〇平成21年度に構築した新たな成果普及モデルである民間自身による自律的な成果導入・普及展開
アエンジニアリングの普及を図る。また、中小
を拡大するとともに、各種教育コンテンツやトレーナーズトレーニング教育の整備等を進めてい
ることを評価。こうした取組みは、IPAの将来的なコスト削減やリソースの節約に資するもので
企業がSECの成果を活用できるよう、ツール等の
あり、「独立行政法人の事務・事業の見直しの基本方針」において指摘された「適切な受益者負
利便性、操作性を向上させるとともに、システ
担」の考え方とも一致することから、今後とも一層の推進を図っていくべきである。
ム構築を支援するガイド等を整備する。
・組込みスキル標準(ETSS)の普及については、平成21年度に設立された「一般社団法人組込みスキ
ルマネージメント協会」に移管。同協会との連携の下、「ETSS導入推進者制度」を構築し平成24
年度中に運用を開始するべく、導入推進者の試験・認証・認定に関連する規程類の整備等を行
うとともに、教育用コンテンツを作成し、セミナーを開催。運用開始後は、IPAは認定機関とし
て制度に関与し、それ以外は民間による実施を想定。
<「ETSS導入推進者制度」 の枠組み (案)>
18
・独国フラウンホーファ協会実験的ソフトウェア工学研究所との共同研究として国内企業への普
及を図っていた「CoBRA法」(見積り手法)については、民間の推進組織である「CoBRA研究会」が平
成21年度に発足。同研究会の普及活動を支援し、「第18回ソフトウェア開発環境展」への出展や
導入ガイドブック発行等に協力。また、IPAで開発した「CoBRA法に基づく見積り支援ツール」に
ついても、ツールのオープン化に着手。これにより、同ツールの維持・改善・管理等について、
同研究会を中心とする民間で実施することが可能となり、IPAが直接実施する必要がなくなるこ
とから、資金、人的リソースの節約に貢献。
・軽量プロセス改善手法「SPINACH」の中小企業向けの改良及び普及を進めているところであるが、
中小企業の導入体制や理解度が十分でないことから、実際の導入にあたっては、IPAを含むプロ
セス改善に精通した専門家の支援が必要不可欠であるのが現状。そこで、取り組むべき課題の
抽出方法や検討課題に対する改善事例等を取りまとめた「SPINACH自律改善メソッド利用ガイ
ド」を作成。これにより、比較的規模の小さい組織でもプロセス改善手法の自律的導入の検討
が可能となるとともに、専門家による支援業務の軽減効果も期待。
・組込みソフトウェア開発リファレンス集(ESxRシリーズ)の普及に向け、平成22年度に新たなに
公開した「ESCR(C++言語版)」を含めた教育コンテンツの充実や管理者向け啓発コンテンツの整
備を行うとともに、教育コース一覧(シラバス含む。)を作成し、提供。また、普及の機会(回数、
場所等)の拡大に向け、IPA外部の人材を講師として養成するトレーナーズトレーニング教育の
整備に着手し、平成22年度は、最も利用対象者の多い「ESCR(C言語版)」のコースを整備。
〇上述のとおり、成果普及業務の実施主体の民間移管を進めたことに加え、IPAが直接実施した成
果普及業務についても、適切な受益者負担や効率化等の観点から改善を行っている点を評価。
・成果を取りまとめた書籍等の有料化に加え、平成23年1月以降、東京で単独開催するSECセミナ
ー(計8回)を有料化し、参加費を徴収。456名の受講者から計821,000円の収入を計上し、自己収
入の増加に寄与。有料セミナー受講者へのアンケート結果では、有料化に否定的な意見は極僅
かであり、有料化に伴う内容に対する満足度や集客等への悪影響は認められなかった。また、
地方開催セミナー(計13回)については、地域団体等との協力の下、地域団体等の主催や共催で
実施することにより、会場確保等の事前準備や当日の受付業務等を効率化。
19
<平成22年度SECセミナー開催実績>
開催地
回数
参加者数
首都圏
34回(19)
2,090名(1,302)
地 方
13回(30)
677名(1,221)
合 計
47回(49)
2,767名(2,523)
※( )は平成21年度実績。
※ 平成22年度は、東日本大震災の影響により4回セミナーを中止。
・平成22年12月にIPA全体の動画共有サービス「IPA Channel」を開設。セミナー等に参加できない
地域・中小企業等に対する普及手段として、平成22年度計画では「ライブ型研修」(平成21年度受
講実績:119名)を予定していたが、受講者や日時が限定されてしまうことから、これに代え、
より広範な対象への普及を図ることができる「IPA Channel」を活用し、「IPAフォーラム2010」に
おける講演の動画配信を実施(平成23年6月13日現在の合計再生回数:522)。
・印刷製本物の販売にあたっては、IPAの直接販売以外にAmazon経由の販売を開始。新たな販売
チャネルを活用することで、販売数の増加に寄与。
<平成22年度中に発行した印刷製本物の販売部数>
書籍名
発刊日
直接販売
Amazon経由
実務に活かすIT化の
10月12日
2,694
581
原理原則17ヶ条
データ白書2010-2011
合 計
11月22日
合計販売数
3,275
55
393
448
2,749
74
3,723
・一方、「SEC Journal論文賞」については、「SEC Journal」において毎回募集告知を行うとともに、
メールマガジンやダイレクトメールを活用した投稿の呼びかけを実施したものの、事前査読の
段階で審査対象外となる論文が多数あり、最終的に対象となる論文が一編のみという結果とな
ったことから、選考を次年度に見送り。
20
3.海外有力機関との国際連携
・米欧の代表的関連機関との共同作業を進めると 〇従来の海外研究機関に加え、米国商務省国立標準技術研究所(NIST)及び仏国原子力庁ソフトウェ
ともに、我が国が開発した標準、手法の国際的
ア工学応用研究所(LIST)など、海外政府関係機関とのネットワークを強化し、政策協議等を開始。
評価を高め、世界有数のソフトウェアエンジニ
前述の「ソフトウェア品質監査制度(仮称)」を国際的な整合性を持った制度とし、わが国のイン
フラシステム等の輸出拡大を図っていく上でも、海外政府機関との連携は必要不可欠であり、そ
アリング拠点を目指す。また、SECで確立したソ
のための第一歩を踏み出したことを高く評価。先方もIPAの活動に高い関心を示しているとのこ
フトウェアエンジニアリング手法のJIS化や国
とであり、わが国を代表する公的なソフトウェアエンジニアリング拠点として、今後のさらなる
際標準化を推進する。
連携強化を期待。
<海外政府関係機関とのネットワークを強化>
〇独国フラウンホーファ協会実験的ソフトウェア工学研究所との共同研究として、
「拡張されたGQM
法」を活用した戦略的IT計画立案に関するワークショップ及び実証実験等を実施するとともに、
今後、民間自身による自律的な普及展開が可能となるよう、これらの成果を「GQM導入ガイド」
を取りまとめ。これを受け、民間の推進組織として「GQM研究会(仮称)」が設立される予定。
21
〇日本企業の取組みをベースにIPAで確立したソフトウェアエンジニアリング手法等の国際規格化
等を実現した点を評価。これにより、日本の企業にとって馴染みの深い手法がグローバル競争の
基盤となるため、中小企業等の海外進出や日本と同等品質の海外オフショア開発の実現等の一助
としてわが国産業の国際競争力向上が期待される。
・ISO/IEC29155-1(ITプロジェクト性能ベンチマーキング:概念と定義)及び同29148(要求工学)
が成立(平成23年5月)。
・ISO/IEC33004(プロセス評価:プロセスモデルの要件)については、日本が作成した文書がベー
ス審議文書として承認(平成23年3月)。
〇一方、平成22年度計画で予定していたタイ政府の要請に基づく協力プロジェクト(組込みスキル
標準を活用した人材育成)は、同国の治安の悪化により年度内の実施を中止。今回の中止はやむ
を得ない事情によるものであるが、アジア諸国はわが国のオフショア開発先の大部分を占めてお
り、アジアの成長はわが国の競争力強化にもつながることから、今後も政府等からの要請に対し
ては積極的な協力が必要。
22
Fly UP