動画が見られない場合は
この動画は、無料公開期間を経た後、メンバーシップ限定動画になります。動画見放題のメンバーシップ(月額990円)を是非ご利用ください。
セキュリティや脆弱性を評価する際、参考にできる枠組みがあります。
CVSS
セキュリティ評価基準としては、次のような枠組みの種類があります。
- JVC: 日本最大の脆弱性データベース
- CVE: 米国の脆弱性情報データベース
- CVSS: 脆弱性の重大度の標準化
- CWE: 脆弱性の種類の標準化
中でも、CVSSはよく参考にされ、次の3つの基準から評価します。
基本評価基準
脆弱性の特性を評価するものです。情報システムに求められる3つのセキュリティ特性、「機密性( Confidentiality Impact )」、「完全性( Integrity Impact )」、「可用性( Availability Impact )」に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価し、CVSS基本値( Base Score )を算出します。
現状評価基準
脆弱性の深刻度を評価するものです。攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値( Temporal Score )を算出します。
環境評価基準
最終的な脆弱性の深刻度を評価するものです。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、 CVSS 環境値 (Environmental Score) を算出します。
PCI DSS
クレジットカードを情報を扱う場合に、安全にやり取りするための国際基準です。次の12の要件が定められています。
- ファイアウォール
- パスワード
- 会員データ保護
- 暗号化
- セキュリティ対策ソフトの導入
- セキュアなシステム開発
- 最小権限
- ID共有の禁止
- 物理アクセスの制限
- アクセスの監視
- セキュリティの定期的な監査
- 情報セキュリティポリシーの維持
この講座をまとめて受講しよう