【セキュリティ技術評価】ISO/IEC 15408、JISEC、JCMVP、PCI DSS

セキュリティ技術評価とは？ISO/IEC 15408、JISEC、JCMVP、PCI DSSなどについてまとめました。

【ISO/IEC 15408】コモンクライテリア
【JISEC】ITセキュリティ評価及び認証制度
【JCMVP】暗号モジュール試験及び認証制度
【PCI DSS】
【CVSS】共通脆弱性評価システム
【脆弱性検査】
【ペネトレーションテスト】
【制御機器】 EDSA認証(制御機器認証)

【ISO/IEC 15408】コモンクライテリア

【JISEC】ITセキュリティ評価及び認証制度

ITセキュリティ評価及び認証制度(JISEC)とは、IT関連製品のセキュリティ機能の適切性･確実性を、セキュリティ評価基準の国際標準であるISO/IEC 15408に基づいて第三者（評価機関）が評価し、その評価結果を認証機関が認証する制度です。
主に政府調達などにおいて調達者が求めるセキュリティの要件を満たしていること、つまり想定される脅威に対し適切な対抗となっていること、またその対抗手段が正確に実装されていることを、第三者が評価･認証を行います。

【JCMVP】暗号モジュール試験及び認証制度

用語	概要
FIPS 140	「暗号モジュール」に関する要件を規定した米国連邦標準規(Federal Information Processing Standardization 140)。

【PCI DSS】

【CVSS】共通脆弱性評価システム

CVSS(Common Vulnerability Scoring System，共通脆弱性評価システム)とは、情報システムの脆弱性に対する汎用的な評価手法です。
3つの基準で脆弱性の深刻度を(0.0から10.0までの得点で)評価します。

基準	概要
基本評価基準 (Base Metrics)	脆弱性自体の深刻度を評価する基準。機密性、可用性、完全性への影響の大きさや、攻撃に必要な条件などの項目から算出される(時間経過や利用者の環境は考慮されない)。
現状評価基準 (Temporal Metrics)	脆弱性の現在の深刻度を評価する基準。攻撃を受ける可能性、利用可能な対応策のレベルなどの項目から算出されるため、時間経過も考慮される。
環境評価基準 (Environmental Metrics)	利用者の環境も含めて、最終的な脆弱性の深刻度を評価する基準。二次被害の可能性や影響を受ける範囲などの項目から算出され、製品利用者ごとに考慮される。

【脆弱性検査】

用語	概要
ウォークスルー	開発者が主体となりエラーの早期発見を目的としてプログラムのステップごとにシミュレーションを行いながら確認をしていくレビュー手法です。
ソフトウェアインスペクション	ソフトウェアを実際に動かずに、仕様書やプログラムを人間の目で見て検証するレビュー手法です。
ペネトレーションテスト	ネットワークに接続されている情報システムに対して、様々な方法を用いて実際に侵入を試みることで脆弱性の有無を検査するテストです。
リグレッションテスト	システムに変更作業を実施した場合に、以前まで正常に機能していた部分に不具合や影響が出ていないかを検証するテストです(別名：退行テスト／回帰テスト)。
ファジング	問題を引き起こしそうな多様なデータをソフトウェアに入力し、挙動を監視して脆弱性を見つけ出す。

【ペネトレーションテスト】

ペネトレーションテスト(Penetration testing：侵入テスト)とは、ネットワークに接続されている情報システムに対して、様々な方法を用いて実際に侵入を試みることで脆弱性の有無を検査するテストです。
OS、サーバソフトウェアに、Webアプリケーションなどに対して実施されます。

【制御機器】 EDSA認証(制御機器認証)

EDSA認証(制御機器認証)は、組込み機器のセキュリティ保証に関する認証制度です。PLC、フィールドセンサデバイス、SISコントローラ、DCSコントローラなどが本認証の対象となります。

評価項目	概要
セキュリティ開発ライフサイクルプロセス評価(SDLPA)、組込み機器セキュリティ開発成果物(SDA-E)	ー
組込み機器機能セキュリティ評価(FSA-E)	ー
組込み機器ロバストネス試験(ERT)	デバイスの堅牢性を評価する試験。どのレベルの認証で評価項目にある。