第569回：IPA とは

　今回ご紹介する「IPA」とは、独立行政法人の「情報処理推進機構」という政府関係団体のことです。この名称の英訳「Information-technology Promotion Agency」から「IPA」と略されています。

　IPAでは、我が国のIT戦略を推進するため、IT産業の発展に向けた活動を行っています。IT技術の信頼性や安全性の向上、国際競争力を持つ産業の創造、そして人材の育成といった目標を掲げており、重視する分野として

・情報セキュリティ/ソフトウェアエンジニアリング
・IT分野の人材育成
・中小IT企業の開発力強化/中小企業のIT力強化
・国際的な連携、国際標準の推進、競争力強化

が挙げられています。

■スマートフォンの脆弱性情報も公開

　どんどん普及するIT技術を支える一端を担うIPAですが、普段、身近に感じることは少ないかもしれません。携帯電話の場合、IPAに関して最も目にするのはスマートフォンに関するセキュリティ情報に関してでしょうか。

　最近では、IPAは、Androidの脆弱性に関するレポートを発表しています。それによれば、2011年後半からIPAに届くAndroid関連の脆弱性に関する情報が増加しています。2012年5月末までに42件の届け出があり、その内容の7割超が「アクセス制限の不備」の脆弱性であると公表しています。またIPAでは、アプリ開発者に対して、脆弱性になってしまいやすい7つのポイントを確認できる簡易チェックリストを用意しています。

　このように、レポートなどの公表だけにとどまらず、開発者向けへの情報セキュリティのポイントなどを示す活動をしているのもIPAの特徴といえるでしょう。

　他には、IPAは、JPCERT/CC（一般社団法人のJPCERTコーディネーションセンター）と共同で日本国内の製品開発者の脆弱性対応状況を公開するサイト「JVN（Japan Vulnerability Notes～」の運営を行っていることでも知られます。

　このJVNは、米国でのCVE（Common Vulnerabilities and Exposures Number）と同じく、日本に関連するソフトウェアの脆弱性情報1つ1つに番号を割り当てて管理している“脆弱性情報データベース”です。インターネット上の公開されたソフトウェアの脆弱性や、メーカーによって修正パッチが開発され内容が公開された脆弱性に関する情報が公開されています。

　こうした“脆弱性情報（ソフトウェアの弱点についての情報）”として最近では、「JVN#82029095」が公開されています。4月26日に公開されたこの情報は、NTTドコモが提供する「spモードメールアプリ」のうち、バージョン5400およびそれ以前のバージョンには、“SSLサーバー証明書の検証不備の脆弱性”が存在する、とされています。これは、ドコモの「spモードメールアプリ」が、不正な SSL サーバ証明書を使用しているサーバーであっても警告を出さずに接続してしまうというものです。ユーザーに気付かれずに、第三者によって通信内容を傍受される可能性がありました。現在は、この脆弱性を解消するバージョンが公開されていますので、最新版へアップデートすることで解決します。

■IT分野の人材育成も

　このほかIPAでは、モバイルだけに関わるものではなく、全体的な取り組みとして、IT分野の人材育成にも注力しています。その中でも最もよく知られているのは、「未踏IT人材発掘・育成事業」でしょう。

　これは、IT技術を駆使してイノベーションを創出することのできる独創的なアイディアと技術を有するとともに、これらを活用する優れた能力を持つ、突出した若い逸材（スーパークリエーター）を発掘、育成することを目的とした事業です。2000年度から「未踏ソフトウェア創造事業」として開始され、2008年度からは、若い人材の発掘・育成に重点化すべく再編した「未踏IT人材発掘・育成事業」現在実施されています。

　これらから、未来の携帯電話アプリ技術者なども育っていくかもしれません。