家studyをつづって

IT技術に関することやセキュリティ、ガイドライン等学んだことをつづっていきます。

ファジングについて

ファジング実践資料(テストデータ編) 発行機関:IPA 発行年月日:2013年11月 https://www.ipa.go.jp/files/000035160.pdf // 概要 ファジング実践資料(テストデータ編)は、ファジングで問題を検出するための「テストデータ」に焦点を当てた実践資料です。IPA…

クラウドに対するセキュリティの考え方

CSAとは クラウドセキュリティアライアンス(CSA)は、クラウド利用にあたってのセキュリティの考え方について発信している非営利法人団体です。 www.cloudsecurityalliance.jp // CCMについてCloud Controls Matrix(CCM)は、クラウドサービスのセキュリティ…

テストの種類とテスト技法

ソフトウェアテストに関する言葉を整理しました。 // Vモデル V字モデル V字の左半分は、ウォーターフォールに沿った開発工程を上流工程から順番に右下がりに並べています。V字の右半分は、左の開発工程に対応したテスト工程が並んでおり、それぞれの工程で…

ウェブサイトにおける脆弱性検査手法の紹介の概要

ウェブサイトにおける脆弱性検査手法の紹介発行機関:IPA発行年月日:2013年12月 www.ipa.go.jp https://www.ipa.go.jp/files/000035859.pdf // 2013年は脆弱性が原因で、情報漏洩などのインシデントが多数発生しました。このレポートでは、管理者がコストを…

パスワードクラッキングの手法

パスワードに対する攻撃はパスワードクラッキングといいます。パスワードクラッキングは、システムに保存されたもの、もしくは通信されるデータからパスワードを割り出す攻撃があり、以下のようなものがあります。 // パスワードクラッキング手法一覧 名称 …

2019年12月のIT・セキュリティトピック

2019年12月に気になったニュースをまとめます。 // 記事の投稿日 概要 2019/12/02 国へのサイバー攻撃、ハッキングのビジネス化など、2020年のサイバー脅威(サイファーマ) 2019/12/02 「PHP-FPM」の脆弱性を狙うアクセスが増加(警察庁) 2019/12/02 職員…

MTTRとMTBF

前提として コンピュータシステムの信頼性を総合的に評価する基準として、RASISという概念があります。 Reliability(信頼性) Availability(可用性) Serviceability(保守性) Integrity(保全性) Security(機密性) // 信頼性(Reliability)は、シス…

COSOとフレームワーク

COSOとフレームワーク COSO(Committee of Sponsoring Organizations of the Treadway Commission、トレッドウェイ委員会組織委員会)の略称です。COSOでは内部統制のフレームワーク(COSOフレームワーク)公開しており、当該フレームワークは様々な規定に組…

戦略と戦術

会社の中では戦略や戦術といった言葉が使われることがあります。それぞれの言葉の意味を整理しました。 // 戦略 戦略(strategy)は、一般的には特定の目的を達成するために、長期的視野と複合思考で力や資源を総合的に運用する技術・応用科学である。 ja.wi…

「セキュア・プログラミング講座」の概要

セキュア・プログラミング講座 発行機関:情報処理推進機構 発行年月日:2016年10月 www.ipa.go.jp // 概要 「セキュア・プログラミング講座」では、製品プログラミングや、Webプログラミングを対象にした、ガイドラインを公開しています。このガイドラインで…

PKIについて整理しました

PKIとは PKI(Public Key Infrastructure)は「公開鍵基盤」ともいい、「公開鍵暗号方式」という技術を利用し、暗号化、デジタル署名、認証等のセキュリティ対策が実現する基盤です。 // PKIの全体イメージ PKIの構成要素 認証局 (CA: Certification Author…

Underlying Technical Models for Information Technology Security(NIST SP800-33)

Underlying Technical Models for Information Technology Security(NIST SP800-33) 発行機関:NIST 発行年月日:2001年12月 csrc.nist.gov ※このガイドラインは2018年8月1日に廃止文書になりました。このガイドラインの内容はRMF(NIST SP800-37)や、CSFに…

「証拠保全ガイドライン」の概要

証拠保全ガイドライン(第7版) 発行機関:デジタル・フォレンジック研究会 発行年月日:2018年7月20日 digitalforensic.jp // フォレンジックとはフォレンジックは、インシデントレスポンスや法的紛争・訴訟の際に、電磁的記録の証拠保全及び調査・分析を行…

COBITとは

COBIT(Control Objectives for Information and related Technology)は、組織における情報システム管理に関するガイドラインです。COBITは、IT統制に関する国際的な団体ITGI(IT Governance Institute)およびISACA(Information Systems Audit and Control…

ガントチャートとPERT図

ガントチャート及びPERT図は、プロジェクト完了のためのタスクを表示するプロジェクトマネジメント手法です。 // ガントチャートガントチャートは、プロジェクトの計画とスケジューリングのための使用される表です。ガントチャートは、プロジェクトが時間の…

ISCMとは(NIST SP800-137)

ISCMの定義された背景として セキュリティの脅威は高度化しているため、リスクの分析や評価を継続的に行うことが重要となります。セキュリティの管理プロセスを定義したものとして、ISO27005があります。 // 「ISO/IEC 27005」は、国際標準化機構(ISO)と国際…

SCAPとは

SCAPとは SCAPはSecurity Content Automation Protocol(セキュリティ設定共通化手順)の略で、セキュリティに関する作業負荷を低減するため、自動化や作業の効率化を目的に、セキュリティ情報を伝達する際のフォーマットや命名を標準化する仕様群です。なお…

2019年11月のIT・セキュリティトピック

2019年11月に気になったニュースをまとめます。 // 記事の投稿日 概要 2019/10/31 公衆電話からSMS 機能の背景 2019/10/31 DDoS攻撃を示唆し仮想通貨を要求する脅迫メールに注意喚起=JPCERT/CC 2019/10/31 北朝鮮のハッカー集団が作成したマルウェアが原子…

コモンクライテリアとは

コモンクライテリア(Common Criteria、ISO/IEC 15408) とは コモンクライテリアとは、セキュリティの観点から情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格です。 // 欧米諸国では1…

情報システム開発ライフサイクルにおけるセキュリティの考慮事項(NIST SP800-64)

情報システム開発ライフサイクルにおけるセキュリティの考慮事項(NIST SP800-64) 発行機関:NIST 発行年月日:2008年10月 https://www.ipa.go.jp/files/000025343.pdf // 概要NIST SP800-64「情報システム開発ライフサイクルにおけるセキュリティの考慮事項…

情報および情報システムのタイプとセキュリティ分類のマッピングガイド(NIST SP800-60)

情報および情報システムのタイプとセキュリティ分類のマッピングガイド(NIST SP800-60) 発行機関:NIST 発行年月日:2004年6月 https://www.ipa.go.jp/files/000025339.pdf // リスクマネジメントでの位置づけNIST SP800-60は、以下のセキュリティ文書と合わ…

消火器の区分

火災には等級があり、それぞれ適した消火器を使用する必要があります。 // 火災の等級 等級 説明 等級A 木材、紙、布、ゴム、多くのプラスチック製品など、通常の可燃性物質による火災で、水または水を大量に含む溶液の消火・冷却効果を活用することが最も重…

連邦情報システムのためのセキュリティ計画策定ガイド (NIST SP800-18)

連邦情報システムのためのセキュリティ計画策定ガイド (NIST SP800-18) 発行機関:NIST 発行年月日:2006年2月 https://www.ipa.go.jp/files/000025324.pdf // 概要 NIST SP800-18は、セキュリティ計画を策定する際のガイドラインです。セキュリティ計画には…

NISTによるクラウドコンピューティングの定義

NISTによるクラウドコンピューティングの定義 発行機関:NIST発行年月日:2011年9月 https://www.ipa.go.jp/files/000025366.pdf NISTでは、クラウドコンピューティングを5つの基本的な特徴と、3つのサービスモデル、および4つの実装モデルで定義しています…

KGIとKPIとKRI

KGIとは KGI(key goal indicator)は、重要目標達成指標といい、企業などの組織において達成すべき最終的な成果を定量的に表した指標です。売上高や利益額のように具体的に定義できるものが選択されます。例として、自社の業界シェア来年度中までに2位まで…

バックアップのローテーション方式に関して

データのバックアップ データのバックアップとは、テープやその他のポータブルメディア上に、ハードディスクドライブで格納しているデータのコピーを二重に作成する作業です。データをバックアップする目的は、1次ストレージメディアハードディスクのデータ…

eDiscoveryとEDRM

eDiscoveryとは"Discovery"とは、公判の前に当事者同士双方で、公判に関連のある情報を保全・開示する手続きを指します。そのうちの電子保存情報を対象とする部分が"eDiscovery"です。アメリカの訴訟において必要な作業ですが、アメリカでビジネス展開してい…

「生体認証導入・運用のためのガイドライン」の概要

生体認証導入・運用のためのガイドライン 発行機関:情報処理推進機構(IPA)発行年月日:2007年7月https://www.ipa.go.jp/files/000013804.pdf // 概要 生体認証導入・運用のためのガイドラインは、生体認証の導入を検討している企業の担当者および意思決定…

DMCAとセーフハーバー

DMCAとは デジタルミレニアム著作権法(デジタルミレニアムちょさくけんほう、英: The Digital Millennium Copyright Act:DMCA)は、アメリカ合衆国で1998年10月に成立し、同月28日より施行された連邦法である。米国著作権法(U.S. Code, Title 17)等の一…

OECDプライバシーガイドラインとは

OECDプライバシーガイドラインとは 経済協力開発機構(OECD:Organisation for Economic Co-operation and Development、OECD)は、グローバルの観点から国際経済全般について協議することを目的とした組織で現在35カ国が加盟しています。日本も1964年に加盟…