セキュリティ技術評価とは?ISO/IEC 15408、JISEC、JCMVP、PCI DSSなどについてまとめました。
【ISO/IEC 15408】コモンクライテリア
【JISEC】ITセキュリティ評価及び認証制度
ITセキュリティ評価及び認証制度(JISEC)とは、IT関連製品のセキュリティ機能の適切性・確実性を、セキュリティ評価基準の国際標準であるISO/IEC 15408に基づいて第三者(評価機関)が評価し、その評価結果を認証機関が認証する制度です。
主に政府調達などにおいて調達者が求めるセキュリティの要件を満たしていること、つまり想定される脅威に対し適切な対抗となっていること、またその対抗手段が正確に実装されていることを、第三者が評価・認証を行います。
【JCMVP】暗号モジュール試験及び認証制度
| 用語 |
概要 |
| FIPS 140 |
「暗号モジュール」に関する要件を規定した米国連邦標準規(Federal Information Processing Standardization 140)。 |
【PCI DSS】
PCI DSS(Payment Card Industry Data Security Standard)は、 クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準。
PCI DSS(バージョン3.2)には、カード会員データおよび取り引き情報を保護するための12要件が規定されている。
| 要件 |
概要 |
| ①ネットワークとシステムの安全な構成 |
– |
| ②システムのデフォルトパスワードの変更 |
– |
| ③保有するカードデータの保護 |
– |
| ④送信するカードデータの暗号化 |
– |
| ⑤システムとウイルス対策のアップデート |
– |
| ⑥安全なシステムの開発と保守 |
WAF(Web Application Firewall:パケットのデータ部をチェック)の導入はこの要件にあたる。 |
| ⑦カードデータの利用目的の制限 |
– |
| ⑧システムへのアクセス制限 |
– |
| ⑨カードデータへのアクセス制限 |
– |
| ⑩システムやカードデータへのアクセスログ監視 |
– |
| ⑪システムと手順の定期的な確認 |
– |
| ⑫担当者の情報セキュリティ方針の徹底 |
– |
【CVSS】共通脆弱性評価システム
CVSS(Common Vulnerability Scoring System, 共通脆弱性評価システム)とは、情報システムの脆弱性に対する汎用的な評価手法です。
3つの基準で脆弱性の深刻度を(0.0から10.0までの得点で)評価します。
| 基準 |
概要 |
| 基本評価基準 (Base Metrics) |
脆弱性自体(そのもの)の深刻度を評価する基準。機密性、可用性、完全性への影響の大きさや、攻撃に必要な条件などの項目から算出される(時間経過や利用者の環境は考慮されない)。 |
| 現状評価基準 (Temporal Metrics) |
脆弱性の現在の深刻度を評価する基準。攻撃を受ける可能性、利用可能な対応策のレベルなどの項目から算出されるため、時間経過も考慮される。 |
| 環境評価基準 (Environmental Metrics) |
利用者の環境も含めて、最終的な脆弱性の深刻度を評価する基準。二次被害の可能性や影響を受ける範囲などの項目から算出され、製品利用者ごとに考慮される。 |
【脆弱性検査】
| 用語 |
概要 |
| ウォークスルー |
開発者が主体となりエラーの早期発見を目的としてプログラムのステップごとにシミュレーションを行いながら確認をしていくレビュー手法です。 |
| ソフトウェアインスペクション |
ソフトウェアを実際に動かずに、仕様書やプログラムを人間の目で見て検証するレビュー手法です。 |
| ペネトレーションテスト |
ネットワークに接続されている情報システムに対して、様々な方法を用いて実際に侵入を試みることで脆弱性の有無を検査するテストです。 |
| リグレッションテスト |
システムに変更作業を実施した場合に、以前まで正常に機能していた部分に不具合や影響が出ていないかを検証するテストです(別名:退行テスト/回帰テスト)。 |
| ファジング |
問題を引き起こしそうな多様なデータをソフトウェアに入力し、挙動を監視して脆弱性を見つけ出す。 |
【ペネトレーションテスト】
ペネトレーションテスト(Penetration testing:侵入テスト)とは、ネットワークに接続されている情報システムに対して、様々な方法を用いて実際に侵入を試みることで脆弱性の有無を検査するテストです。
OS、サーバソフトウェアに、Webアプリケーションなどに対して実施されます。
【制御機器】 EDSA認証(制御機器認証)
EDSA認証(制御機器認証)は、組込み機器のセキュリティ保証に関する認証制度です。PLC、フィールドセンサデバイス、SISコントローラ、DCSコントローラなどが本認証の対象となります。
| 評価項目 |
概要 |
| セキュリティ開発ライフサイクルプロセス評価(SDLPA)、組込み機器セキュリティ開発成果物(SDA-E) |
ー |
| 組込み機器機能セキュリティ評価(FSA-E) |
ー |
| 組込み機器ロバストネス試験(ERT) |
デバイスの堅牢性を評価する試験。どのレベルの認証で評価項目にある。 |
また、評価項目の数によって3段階のセキュリティ保証レベルを規定しています。
【その他】CRYPTREC
CRYPTREC
| 項目 |
概要 |
| 推奨候補暗号リスト |
安全性及び実装性能が確認され、今後、電子政府推奨暗号リストに掲載される可能性がある暗号技術のリスト |
| 運用監視暗号リスト |
危殆化により非推奨となった暗号方式のリスト |
| 用語 |
概要 |
| FIPS PUB 140-2 |
暗号モジュールのセキュリティ要求事項 |
用語
| 項目 |
概要 |
| CWE |
ソフトウェアの脆弱性の種類一覧(Common Weakness Enumeration)。 |
| CVSS |
「基本評価基準」「現状評価基準」「環境評価基準」の3つの基準でソフトウェアの脆弱性を評価する手法(Common Vulnerability Scoring System)。 |
| CPE |
製品を識別するためのプラットフォーム名の一覧(Common Platform Enumeration)。 |
| CCE |
セキュリティに関連する設定項目を識別するための識別子(Common Configuration Enumeration)。 |
【情報処理入門】テクノロジ系、マネジメント系、ストラテジ系、資格試験
情報処理の基礎知識(テクノロジ系、マネジメント系、ストラテジ系)や資格試験についてまとめました。なお、情報処理技術者試験の試験要綱で整理されている分野別(テクノロジ系、マネージメント系、ストラテジ系)に各項目を整理しています。そのため、I...
コメント