Web教材一覧情報倫理・セキュリティ

脆弱性検査の基準

キーワード

脆弱性検査、ファジング、脆弱性データベース、CVE、NVD、JVN、JVN iPedia、共通脆弱性評価システム、CVSS、CC、JIS X 5070、ISO/IEC 15408、PCIDSS


脆弱性検査

脆弱性検査は、ソフトウェアやシステムにある脆弱性の低減を目的に脆弱性のレベルを検査するものです。

                  利用フェーズ
   検査名             開発 運用  類似手法
   ソースコードセキュリティ検査  〇     ホワイトボックステスト
   ファジングによる検査      〇     テストケース
   システムセキュリティ検査    〇  〇  システムテスト、各種基準準拠
   Webアプリセキュリティ検査  〇  〇  不正アクセス対策
   ペネトレーションテスト        〇  特定脆弱性に限定


脆弱性データベース

脆弱性をついた攻撃が大きな被害を与え、社会的な問題になることもあります。また、新しい脆弱性が毎日発見されており、その累積は膨大な量になります。その情報や対策などの脆弱性情報は迅速に詳細にわたって一般に公開されているべきであり、国の政策として取り組む必要があります。
 そのようなニーズに応えて「脆弱性データベース」が構築され公開されています。代表的なものを掲げます。


脆弱性評価基準

共通脆弱性評価システム(Common Vulnerability Scoring System、CVSS)

脆弱性検査は多くのベンダがサービスしており、独自の基準で評価していますが、ベンダにより検査の視点が異なり評価結果も違うのでは困ります。CVSSは、ベンダに依存せず、脆弱性の深刻度を同一の基準の下で定量的に比較できる評価方法を策定したものです。また、脆弱性に関して共通の用語を定義することになり、ベンダー、セキュリティ専門家、管理者、ユーザ等の間での誤解を減らす効果もあります。FIRST(注)が管理しています。
(注)FIRST(Forum of Incident Response and Security Teams):世界中のCSIRTが情報交換や協力関係構築を目的に設立したフォーラム

例えば、基本評価基準での細目「機密性への影響(情報漏えいの可能性)」では、可能性を「なし(0.0)、部分的(0.275)、全面的(0.660)」で評価します。そして全細目の値を計算式により集計し、脆弱性を評価します。

CC(Common Criteria)JIS X 5070(ISO/IEC 15408)

https://kikakurui.com/x5/X5070-1-2011-01.html

情報機器や情報システムなど(スマートカード、OS、ファイアウォールなど)のセキュリティを評価するための基準を定めた規格です。政府機関や業界等がソフトウェアや組み込み製品を調達する際の要件として利用しています。
 情報機器や情報システムなどスマートカード、OS、ファイアウォールなど   ベンダが提供する情報機器や情報システムなどの情報セキュリティを評価し認証する制度があります。日本では、「ITセキュリティ評価及び認証制度(JISEC:Japan Information Technology Security Evaluation and Certification Scheme)」があり、IPAが認証機関になっています。

詳細:情報技術セキュリティ評価基準(CC)ISO/IEC 15408(JIS X 5070)

PCIDSS(Payment Card Industry Data Security Standard)

クレジットカード等の会員情報の保護を目的とした情報セキュリティの国際統一基準です。アメリカンエキスプレス、Discover、JCB、マスターカード、VISAが共同で策定しました。
経産省および日本クレジット協会はクレジットカード会社に対して2018年3月までに準拠するように働きかけを行っています。
目的   要件
1. 安全なネットワークとシステムの構築と維持
  1. カード会員データを保護するために、ファイアウォールをインストールして維持する
  2. システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
2. カード会員データの保護
  3. 保存されるカード会員データを保護する
  4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
3. 脆弱性管理プログラムの維持
  5. マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
  6. 安全性の高いシステムとアプリケーションを開発し、保守する
4. 強力なアクセス制御手法の導入
  7. カード会員データへのアクセスを、業務上必要な範囲内に制限する
  8. システムコンポーネントへのアクセスを識別・認証する
  9. カード会員データへの物理アクセスを制限する
5. ネットワークの定期的な監視およびテスト
  10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
  11. セキュリティシステムおよびプロセスを定期的にテストする
6. 情報セキュリティポリシーの維持
  12. すべての担当者の情報セキュリティに対応するポリシーを維持する