兵庫WEB制作.com

【シリーズ:セキュリティ】セキュリティ評価

2018年7月11日

情報セキュリティの対策に役立つデータは、セキュリティ関連企業や公共機関でさまざまなものが公開されています。

セキュリティ管理に役立てるために、日々チェックし、評価していくことが大切です。

情報セキュリティの管理

PCI DSS

クレジットカード情報の扱いのために策定されているセキュリティ標準があり、PCI DSS(Payment Card Industry Data Security Standard = PCIデータセキュリティスタンダード)といいます。

VISA、JCB、アメックス、マスターカード、Discoverが共同で策定し、クレジット業界のグローバルセキュリティ基準になります。

カード会員情報を格納、処理するすべての組織が対象で、安全な処理、データ保護など、具体的な要件が記述されています。

SCAP

IPAセキュリティセンターが開発し、対策の自動化、標準化を目指した技術仕様で、SCAP(Secuirity Content Automation Protocol = セキュリティ設定共通手順化)といい、標準仕様は6構成あります。

1.脆弱性を識別するためのCVE
(Common Vunlnerabilities and Exposures = 共通脆弱性識別子)

アメリカ政府支援の非営利団体「MITRE社」が、個別製品中の脆弱性を対象に、採番している識別子です。

2.セキュリティ設定を識別するためのCCE
(Common Configuration Enumeration = 共通セキュリティ設定一覧))

システム設定情報に対し、共通の識別番号「CCE識別番号」を付与して、
セキュリティに関するシステム設定項目を識別します。

3.製品を識別するためのCPE
(Common Platform Enumeration = 共通プラットフォーム)

ハードウェア、ソフトウェアなど、情報システムを構成するものを識別する共通の名称基準です。

4.脆弱性の深刻度を評価するためのCVSS
(Common Vulnerability Scoring System = 共通脆弱性評価システム)

情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法で、三つの視点から行います。

基本評価基準・・・脆弱性そのものの特性を評価する視点

現状評価基準・・・脆弱性の現在の深刻度を評価する視点

環境評価基準・・・製品利用者の利用環境含め、最終的な脆弱性の深刻度を評価する視点

5.チェックリストを記述するためのXCCDF
(eXtensible Configuration Checklist Description Format = セキュリティ設定チェックリスト記述形式)

セキュリティチェックリストやベンチマークなどを記述するたえの仕様言語になります。

6.脆弱性やセキュリティ設定をチェックするためのOVAL
(Open Vulnerability and Assessment Language = セキュリティ検査言語)

コンピュータのセキュリティ設定状況を検査するための仕様になります。

CWE

ソフトウェアにおけるセキュリティ上の弱点の種類を識別するための共通の基準を、CWE(Common Weakness Enumeration = 共通脆弱性タイプ一覧)といいます。

脆弱性検査

システムを評価するために脆弱性を発見する検査を、脆弱性検査といいます。

システムに、実際に攻撃し、侵入を試みる方法をペネトレーションテストといいます。

– –

次回より、セキュリティ”対策“に焦点をあてた内容を記事にします。

【ホームページの制作・更新・運用】お困りのことがあればご相談ください。

カテゴリ

最新コラム

Facebook TWITTER LINE