#06:情報セキュリティの技術評価
このチャプターでは、情報セキュリティの技術評価について学習します。
情報技術の製品およびシステムのセキュリティ評価のための国際標準。
コモンクライテリアとも呼ばれる。
JISEC : Japan Information Technology Security Evaluation and Certification Scheme
ISO/IEC 15408に基づいて評価機関が評価し、その評価結果を認証機関が認証する認証制度。
https://www.ipa.go.jp/security/jisec/index.html
JCMVP : Japan Cryptographic Module Validation Program
電子政府推奨暗号リスト等に記載されている暗号化機能、ハッシュ機能、署名機能等の承認されたセキュリティ機能を実装したハードウェア、ソフトウェア等から構成される暗号モジュールが、その内部に格納するセキュリティ機能並びに暗号鍵及びパスワード等の重要情報を適切に保護していることを、第三者による試験にて認証する制度。
https://www.ipa.go.jp/security/jcmvp/index.html
PCI DSS : Payment Card Industry Data Security Standard
加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準。
国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されている。
https://www.pcisecuritystandards.org/lang/ja-ja/
https://www.jcdsc.org/
CVSS : Common Vulnerability Scoring System
情報システムの脆弱性の重大度を評価するための標準的なスコアリングシステム。
https://www.ipa.go.jp/security/vuln/scap/cvss.html
システムやネットワーク、アプリケーションに対して模擬的な攻撃を行い、セキュリティの脆弱性について検査する評価手法
ハードウェアやソフトウェアが不正な改ざんやアクセスに対してもつ耐性の度合い
製品分野毎に考慮すべきセキュリティ上の脅威とそれに対抗するためのセキュリティ要件をまとめたもの
https://www.ipa.go.jp/security/it-product/index.html