セキュリティ技術評価

9問 • 1年前

問題一覧

カード会員のデータセキュリティを強化し、均一なデータセキュリティ評価基準の採用をグローバルに推進するために、クレジットカードの国際ブランド大手5社共同（VISA 、MasterCard、 JCB、 American Express、 diners club）により作成された標準化基準。クレジットカード関連サービスを提供する企業は、カード会員データを保護するために、ここに規定された技術面及び運用面の要件を、セキュリティ基準のベースラインとして利用することができる。基準内には12の要件が定義され、これらの要件を満たすための詳細要件およびテスト手順が規定されている。

PCI DSS

情報システムに内在する脆弱性に対する汎用的な評価手法で、これを用いることで脆弱性の深刻度を同一の基準の下で定量的に比較ができる。「基本評価基準」「現状評価基準」「環境評価基準」の三つの基準でシステムの脆弱性を0.0から10.0までの得点で評価する。

CVSS

個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子のこと。脆弱性検査ツールや脆弱性対策情報提供サービスの多くがこれを利用している

CVE

1999年頃から米国政府の支援を受けた非営利団体のMITREが中心となり仕様策定が行われたソフトウェアにおけるセキュリティ上の弱点（脆弱性）のタイプを識別するための共通基準。多種多様な脆弱性の種類を脆弱性タイプとして分類しそれぞれに識別子（ID）を付与して階層構造で体系化している

CWE

ネットワークに接続されているシステムに対して実際にさまざまな方法で侵入を試みることで脆弱性の有無を検査するテスト。OSやサーバーソフトウェアに対して実施されるものと、Webアプリケーションに対して実施されるものに大別される。セキュリティスキャナーなどの市販製品やフリーソフトなどを活用することで多岐にわたる項目について効率的な検証が可能となっている。

ペネトレーションテスト

ハードウェアやソフトウェアのセキュリティレベルを表す指標で、外部から重要データを取り出したり盗み出そうとする行為に対する耐性度合いのこと。

耐タンパ性

IT関連製品のセキュリティ機能の適切性・確実性をセキュリティ評価基準の国際基準であるISO/IEC 15408に基づいて第三者評価機関が評価し、その評価結果を認証機関が認証する制度。主に政府調達などにおいて調達者が求めるセキュリティ要件を満たしていること、つまり想定される脅威に対し適切な対抗となっていること、またその対抗手段が正確に実装されていることを第三者の立場で評価し、認証を行う。独立行政法人情報処理推進機構（IPA）によって運営されている

ITセキュリティ評価及び認証制度

電子政府推奨暗号リストなどに記載されている暗号化機能、ハッシュ機能、署名機能などの承認されたセキュリティ機能を実装したハードウェア・ソフトウェア等から構成される暗号モジュールが、その内部に格納するセキュリティ機能並びに暗号鍵およびパスワードなどの重要情報を適切に保護していることを、第三者の試験により認証を行う制度。独立行政法人情報処理推進機構（IPA）によって運営されている

暗号モジュール試験及び認証制度

情報技術の製品およびシステムのセキュリティ特性を評価するための標準を定めた国際規格。日本版はJIS X 5070 として制定されている

ISO/IEC 15408

スヌーピー　会話2

you sー · 80問 · 1年前

スヌーピー　会話2