家studyをつづって

IT技術に関することやセキュリティ、ガイドライン等学んだことをつづっていきます。

ガイドライン

コンピュータセキュリティインシデント対応ガイド(NIST SP800 61)の概要

コンピュータセキュリティインシデント対応ガイド(NIST SP800 61)を読んでみました。ガイドラインの概要をまとめます。 コンピュータセキュリティインシデント対応ガイド(NIST SP800 61)https://www.ipa.go.jp/files/000025341.pdf // 概要 このガイドライン…

CISベンチマークについて

自分の勉強のために、CISが公開している資料を読んでみました。 www.cisecurity.org // CISとは CIS(Center for Internet Security)は、セキュリティ推進のためのアメリカの非営利団体で、セキュリティの基準等を公開しています。 www.jiten.com CISベンチマ…

ゼロトラストについて調べてみた(NIST SP800-207)

ゼロトラストについてNISTのガイドライン(ドラフト)が公開されていました。 Draft NIST Special Publication 800-207(Zero Trust Architecture) https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207-draft.pdf 従来のセキュリティモデ…

NIST SP800-40の概要

概要 NIST SP800-40は、脆弱性とパッチの管理についてのガイドラインです。日本語版について、IPAでは「NIST SP 800-40 Version 2.0(パッチおよび脆弱性管理プログラムの策定)」を公開しており、ゾーホージャパン株式会社では「Revision 3(エンタープライ…

BYODにおけるセキュリティ対策の考え方

私物端末の業務利用におけるセキュリティ要件の考え方 https://www.kantei.go.jp/jp/singi/it2/cio/hosakan/wg_report/byod.pdf // 概要 この資料では、BYOD(Bring Your Own Device=私物端末を業務に利用すること)におけるセキュリティの考え方を解説してい…

プライバシーマーク制度(Pマーク)について

Pマークとは プライバシーマーク制度は、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合して、個人情報の保護措置(PMS)を整備している事業者を認定する制度です。 一般的な傾向として、消費者の個人情報を適切に管理してい…

機能要件と非機能要件

システムに対する要件 情報システムは現代社会において必要不可欠な様々な機能を提供しています。また、情報システムは社会的に重要なインフラとなっており、上記の機能以外に安定してサービスを提供することが求められます。 機能要件と非機能要件 機能要件…

改正個人情報保護法について

個人情報保護法とは 個人情報保護法は、2005年4月に施行された法律で個人情報を保護するための法律です。施行を受け、各省庁ごとに法案で使われている用語や、各業界向けの安全管理の具体的な例が公開されています。 個人情報の保護に関する法律についての経…

ISO27000ファミリーについて

ISO27000シリーズについて ISO27000ファミリーは、国際標準化機構(ISO)と国際電気標準会議(IEC)によって策定された情報セキュリティマネジメントシステムに関する規格群のことで、中核を成すISO27001を始めとしたISMSに関する第三者認証規格のことです。…

ファジングについて

ファジング実践資料(テストデータ編) 発行機関:IPA 発行年月日:2013年11月 https://www.ipa.go.jp/files/000035160.pdf // 概要 ファジング実践資料(テストデータ編)は、ファジングで問題を検出するための「テストデータ」に焦点を当てた実践資料です。IPA…

クラウドに対するセキュリティの考え方

CSAとは クラウドセキュリティアライアンス(CSA)は、クラウド利用にあたってのセキュリティの考え方について発信している非営利法人団体です。 www.cloudsecurityalliance.jp // CCMについてCloud Controls Matrix(CCM)は、クラウドサービスのセキュリティ…

ウェブサイトにおける脆弱性検査手法の紹介の概要

ウェブサイトにおける脆弱性検査手法の紹介発行機関:IPA発行年月日:2013年12月 www.ipa.go.jp https://www.ipa.go.jp/files/000035859.pdf // 2013年は脆弱性が原因で、情報漏洩などのインシデントが多数発生しました。このレポートでは、管理者がコストを…

COSOとフレームワーク

COSOとフレームワーク COSO(Committee of Sponsoring Organizations of the Treadway Commission、トレッドウェイ委員会組織委員会)の略称です。COSOでは内部統制のフレームワーク(COSOフレームワーク)公開しており、当該フレームワークは様々な規定に組…

戦略と戦術

会社の中では戦略や戦術といった言葉が使われることがあります。それぞれの言葉の意味を整理しました。 // 戦略 戦略(strategy)は、一般的には特定の目的を達成するために、長期的視野と複合思考で力や資源を総合的に運用する技術・応用科学である。 ja.wi…

Underlying Technical Models for Information Technology Security(NIST SP800-33)

Underlying Technical Models for Information Technology Security(NIST SP800-33) 発行機関:NIST 発行年月日:2001年12月 csrc.nist.gov ※このガイドラインは2018年8月1日に廃止文書になりました。このガイドラインの内容はRMF(NIST SP800-37)や、CSFに…

「証拠保全ガイドライン」の概要

証拠保全ガイドライン(第7版) 発行機関:デジタル・フォレンジック研究会 発行年月日:2018年7月20日 digitalforensic.jp // フォレンジックとはフォレンジックは、インシデントレスポンスや法的紛争・訴訟の際に、電磁的記録の証拠保全及び調査・分析を行…

COBITとは

COBIT(Control Objectives for Information and related Technology)は、組織における情報システム管理に関するガイドラインです。COBITは、IT統制に関する国際的な団体ITGI(IT Governance Institute)およびISACA(Information Systems Audit and Control…

ISCMとは(NIST SP800-137)

ISCMの定義された背景として セキュリティの脅威は高度化しているため、リスクの分析や評価を継続的に行うことが重要となります。セキュリティの管理プロセスを定義したものとして、ISO27005があります。 // 「ISO/IEC 27005」は、国際標準化機構(ISO)と国際…

SCAPとは

SCAPとは SCAPはSecurity Content Automation Protocol(セキュリティ設定共通化手順)の略で、セキュリティに関する作業負荷を低減するため、自動化や作業の効率化を目的に、セキュリティ情報を伝達する際のフォーマットや命名を標準化する仕様群です。なお…

情報システム開発ライフサイクルにおけるセキュリティの考慮事項(NIST SP800-64)

情報システム開発ライフサイクルにおけるセキュリティの考慮事項(NIST SP800-64) 発行機関:NIST 発行年月日:2008年10月 https://www.ipa.go.jp/files/000025343.pdf // 概要NIST SP800-64「情報システム開発ライフサイクルにおけるセキュリティの考慮事項…

情報および情報システムのタイプとセキュリティ分類のマッピングガイド(NIST SP800-60)

情報および情報システムのタイプとセキュリティ分類のマッピングガイド(NIST SP800-60) 発行機関:NIST 発行年月日:2004年6月 https://www.ipa.go.jp/files/000025339.pdf // リスクマネジメントでの位置づけNIST SP800-60は、以下のセキュリティ文書と合わ…

連邦情報システムのためのセキュリティ計画策定ガイド (NIST SP800-18)

連邦情報システムのためのセキュリティ計画策定ガイド (NIST SP800-18) 発行機関:NIST 発行年月日:2006年2月 https://www.ipa.go.jp/files/000025324.pdf // 概要 NIST SP800-18は、セキュリティ計画を策定する際のガイドラインです。セキュリティ計画には…

NISTによるクラウドコンピューティングの定義

NISTによるクラウドコンピューティングの定義 発行機関:NIST発行年月日:2011年9月 https://www.ipa.go.jp/files/000025366.pdf NISTでは、クラウドコンピューティングを5つの基本的な特徴と、3つのサービスモデル、および4つの実装モデルで定義しています…

KGIとKPIとKRI

KGIとは KGI(key goal indicator)は、重要目標達成指標といい、企業などの組織において達成すべき最終的な成果を定量的に表した指標です。売上高や利益額のように具体的に定義できるものが選択されます。例として、自社の業界シェア来年度中までに2位まで…

バックアップのローテーション方式に関して

データのバックアップ データのバックアップとは、テープやその他のポータブルメディア上に、ハードディスクドライブで格納しているデータのコピーを二重に作成する作業です。データをバックアップする目的は、1次ストレージメディアハードディスクのデータ…

eDiscoveryとEDRM

eDiscoveryとは"Discovery"とは、公判の前に当事者同士双方で、公判に関連のある情報を保全・開示する手続きを指します。そのうちの電子保存情報を対象とする部分が"eDiscovery"です。アメリカの訴訟において必要な作業ですが、アメリカでビジネス展開してい…

「生体認証導入・運用のためのガイドライン」の概要

生体認証導入・運用のためのガイドライン 発行機関:情報処理推進機構(IPA)発行年月日:2007年7月https://www.ipa.go.jp/files/000013804.pdf // 概要 生体認証導入・運用のためのガイドラインは、生体認証の導入を検討している企業の担当者および意思決定…

OECDプライバシーガイドラインとは

OECDプライバシーガイドラインとは 経済協力開発機構(OECD:Organisation for Economic Co-operation and Development、OECD)は、グローバルの観点から国際経済全般について協議することを目的とした組織で現在35カ国が加盟しています。日本も1964年に加盟…

米国におけるプライバシー保護法の動向について

プライバシー保護の考え方 米国ではプライバシーの保護について、合衆国憲法修正第4条において、以下のように定めています。 「不合理な捜索及び逮捕押収に対し、その身体、住居、書類及び所有物の安全を保障される国民の権利は、これを侵してはならない。令…

「連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策」の概要(NIST SP800-53)

連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策(NIST SP800-53) 発行機関:アメリカ国立標準技術研究所(National Institute of Standards and Technology, NIST) 発行年月日:2013年4月 原文:https://nvlpubs.nist…