標準の分類 - デジュール / フォーラム / デファクト
標準の分類
デジュール標準 (de jure standard)
- 公的な標準化団体により標準化
- 例)ISO、IEC、ITUの国際規格、JISなどの国家規格
フォーラム標準 (forum standard)
- いくつかの団体(企業等)が協力して自主的に作成
- 例)IEEE、IETF、GlobalPlatform、TCG
デファクト標準 (de factor standard)
- 公的な標準化団体を介さず、市場や業界において広く採用された結果として事実上標準化
- PC OS - Windows、検索エンジン - Google
情報セキュリティ10大脅威 2021 - 日本語・英語 (2021/07)
*[情報セキュリティ10大脅威 2021.pdf]からの抜粋
10大脅威リスト(日本語・英語)
「個人」向け脅威 : Threats for Individuals
- スマホ決済の不正利用 : Fraudulent Use of Smartphone Payment
- フィッシングによる個人情報等の詐取 : Phishing Fraud for Personal Information
- ネット上の誹謗・中傷・デマ : Cyberbullying and Fake News
- メールやSMS等を使った脅迫・詐欺の手口による金銭要求 : Extortion of Money by Blackmail or Fraudulent Methods with E-mail, SNS, etc.
- クレジットカード情報の不正利用 : Fraudulent Use of Leaked Credit Card Information
- インターネットバンキングの不正利用 : Unauthorized Use of Internet Banking Credentials
- インターネット上のサービスからの個人情報の窃取 : Personal Information Theft from Services on the Internet
- 偽警告によるインターネット詐欺 : Internet Fraud by Fake Warnings
- 不正アプリによるスマートフォン利用者への被害 : Malicious Smartphone Applications
- インターネット上のサービスへの不正ログイン : Unauthorized Login to Services on the Internet
「組織」向け脅威 : Rank Threats for Organizations
- ランサムウェアによる被害 : Ransomware Attacks
- 標的型攻撃による機密情報の窃取 : Confidential Information Theft by APT
- APT : Advanced Persistent Threat、標的型攻撃
- テレワーク等のニューノーマルな働き方を狙った攻撃 : Attacks on New Normal Work Styles such as Teleworking
- サプライチェーンの弱点を悪用した攻撃 : Attacks Exploiting Supply Chain Weaknesses
- ビジネスメール詐欺による金銭被害 : Financial Loss by Business E-mail Compromise
- 内部不正による情報漏えい : Information Leakage by Internal Fraudulent Acts
- 予期せぬIT基盤の障害に伴う業務停止 : Suspension of Business due to Unexpected IT Infrastructure Failure
- インターネット上のサービスへの不正ログイン : Unauthorized Login to Services on the Internet
- 不注意による情報漏えい等の被害 : Unintentional/Accidental Information Leakage
- 脆弱性対策情報の公開に伴う悪用増加 : Increase in Exploitations following the Release of Vulnerability Countermeasure Information
書籍 - 情報セキュリティ白書2021 (by IPA)
Link
目次
序章 2020年度の情報セキュリティの概況
第1章 情報セキュリティインシデント・脆弱性の現状と対策
- 1.1 2020年度に観測されたインシデント状況
- 1.1.1 世界における情報セキュリティインシデント状況
- 1.1.2 国内における情報セキュリティインシデント状況
- 1.2 情報セキュリティインシデント種類別の手口と対策
- 1.2.1 標的型攻撃
- 1.2.2 新たなランサムウェア攻撃
- 1.2.3 ビジネスメール詐欺(BEC)
- 1.2.4 DDoS攻撃
- 1.2.5 ソフトウェアの脆弱性を悪用した攻撃
- 1.2.6 ばらまき型メールによる攻撃
- 1.2.7 個人をターゲットにした騙しの手口
- 1.2.8 情報漏えいによる被害
- 1.3 情報システムの脆弱性の動向
- 1.3.1 JVN iPediaの登録情報から見る脆弱性の傾向
- 1.3.2 早期警戒パートナーシップの届出状況から見る脆弱性の動向
第2章 情報セキュリティを支える基盤の動向
- 2.1 国内の情報セキュリティ政策の状況
- 2.1.1 政府全体の政策動向
- 2.1.2 経済産業省の政策
- 2.1.3 総務省の政策
- 2.1.4 警察によるサイバー犯罪対策
- 2.1.5 CRYPTRECの動向
- 2.2 国外の情報セキュリティ政策の状況
- 2.2.1 国際社会と連携した取り組み
- 2.2.2 米国の政策
- 2.2.3 欧州の政策
- 2.2.4 アジア太平洋地域でのCSIRTの動向
- 2.3 情報セキュリティ人材の現状と育成
- 2.3.1 情報セキュリティ人材の状況
- 2.3.2 産業サイバーセキュリティセンター
- 2.3.3 情報セキュリティ人材育成のための国家試験、国家資格制度
- 2.3.4 情報セキュリティ人材育成のための活動
- 2.4 組織・個人における情報セキュリティの取り組み
- 2.4.1 企業における対策状況
- 2.4.2 中小企業に向けた情報セキュリティ支援策
- 2.4.3 教育機関・政府及び地方公共団体等法人における対策状況
- 2.4.4 一般利用者における対策状況
- 2.5 国際標準化活動
- 2.5.1 様々な標準化団体の活動
- 2.5.2 情報セキュリティ、サイバーセキュリティ、プライバシー保護関係の規格の標準化(ISO/IEC JTC 1/SC 27)
- 2.6 安全な政府調達に向けて
- 2.6.1 ITセキュリティ評価及び認証制度
- 2.6.2 暗号モジュール試験及び認証制度
- 2.6.3 政府情報システムのためのセキュリティ評価制度(ISMAP)
- 2.7 情報セキュリティの普及啓発活動
- 2.7.1 恒常的な対策等に関する普及啓発活動
- 2.7.2 Withコロナにおける普及啓発活動
- 2.7.3 今後の課題
- 2.8 その他の情報セキュリティ動向
- 2.8.1 営業秘密保護の動向
- 2.8.2 暗号技術の動向
- 2.8.3 情報セキュリティ市場の動向
第3章 個別テーマ
- 3.1 制御システムの情報セキュリティ
- 3.1.1 インシデントの発生状況と動向
- 3.1.2 脆弱性及び脅威の動向
- 3.1.3 海外の制御システムのセキュリティ強化の取り組み
- 3.1.4 国内の制御システムのセキュリティ強化の取り組み
- 3.2 IoTの情報セキュリティ
- 3.2.1 継続するIoTのセキュリティ脅威
- 3.2.2 IoTセキュリティのサプライチェーンリスク
- 3.2.3 脆弱なIoT機器とウイルス感染の実態
- 3.2.4 セキュリティ対策強化の取り組み
- 3.3 テレワークの情報セキュリティ
- 3.3.1 テレワークの広がりと推進活動
- 3.3.2 テレワークに関連した問題
- 3.3.3 テレワークのセキュリティ実態調査
- 3.3.4 テレワークのセキュリティ対策
- 3.3.5 今後のテレワークのセキュリティ
- 3.4 NISTのセキュリティ関連活動
- 3.4.1 NISTの活動概要
- 3.4.2 成果紹介
付録 資料・ツール
- 資料A 2020年のコンピュータウイルス届出状況
- 資料B 2020年のコンピュータ不正アクセス届出状況
- 資料C ソフトウェア等の脆弱性関連情報に関する届出状況
- IPAの便利なセキュリティツール
参考情報
情報セキュリティ白書2020情報はこちら
記事 - Google、日本で金融本格参入へ 国内スマホ決済買収 (2021/07)
米グーグルがスマートフォンの決済アプリを運営するpring(プリン、東京・港)を買収。
日経「キャッシュレス新世紀」
その他記事
Link - 日本のサイバーセキュリティ組織・政策
内閣サイバーセキュリティ センター (NISC)
情報セキュリティ関係省庁等、国内関係機関、海外関係機関の一覧が網羅されている!
経済産業省 (METI) サイバーセキュリティ
総務省 (MIC) サイバーセキュリティ
Common Criteria (ISO/IEC 15408) 仕様書
ポイント
- ちょーわかりづらいCommon Criteria (ISO/IEC 15408)
- しかし一度、実際の仕様書に目を通さないで解説ばかり読んでも、ますますわからなくなるので(実際の映画を見ずに映画評論ばかり読んでるようなもん!?)、勇気を出してみてみよう!
- 下記のIPAのサイトで日本語・英語両方見れる!
仕様書リンク
CC仕様書の構成
評価基準 (CCのメインドキュメント - Common Criteria for Information Technology Security Evaluation)
- Part 1: Introduction and general model : CC概要
- Part 2: Security functional components : SFR詳細
- Part 3: Security assurance components : SAR詳細
評価方法 (CEM - Common Methodology for Information Technology Security Evaluation)
- Evaluation methodology
Common Criteria (ISO/IEC 15408) SFR、SAR一覧
- ポイント
- Common Criteria SFR、SAR一覧
- Security Functional Requirements (SFRs)
- CLASS FAU: SECURITY AUDIT
- CLASS FCO: COMMUNICATION
- CLASS FCS: CRYPTOGRAPHIC SUPPORT
- CLASS FDP: USER DATA PROTECTION
- CLASS FIA: IDENTIFICATION AND AUTHENTICATION
- CLASS FMT: SECURITY MANAGEMENT
- CLASS FPR: PRIVACY
- CLASS FPT: PROTECTION OF THE TSF
- CLASS FRU: RESOURCE UTILISATION
- CLASS FTA: TOE ACCESS
- CLASS FTP: TRUSTED PATH/CHANNELS
- Security Assurance Requirements (SARs)
- Security Functional Requirements (SFRs)
- Link
ポイント
- Common Criteria (ISO/IEC 15408)ってそもそも理解するのが難しいし、特に略語が多すぎ・・・
- いろんな説明資料でもSFR, SARに英語3文字の略語が多く(AVA_VANとか!)、なんの略なのか想像できないものが多すぎ・・・
- 下記にCCのSFR、SARを網羅
Common Criteria SFR、SAR一覧
Security Functional Requirements (SFRs)
Class名の最初のFが「Function」?
CLASS FAU: SECURITY AUDIT
- Audit requirements in a distributed environment
- Security audit automatic response (FAU_ARP)
- Security audit data generation (FAU_GEN)
- Security audit analysis (FAU_SAA)
- Security audit review (FAU_SAR)
- Security audit event selection (FAU_SEL)
- Security audit event storage (FAU_STG)
CLASS FCO: COMMUNICATION
- Non-repudiation of origin (FCO_NRO)
- Non-repudiation of receipt (FCO_NRR)
CLASS FCS: CRYPTOGRAPHIC SUPPORT
- Cryptographic key management (FCS_CKM)
- Cryptographic operation (FCS_COP)
CLASS FDP: USER DATA PROTECTION
- Access control policy (FDP_ACC)
- Access control functions (FDP_ACF)
- Data authentication (FDP_DAU)
- Export from the TOE (FDP_ETC)
- Information flow control policy (FDP_IFC)
- Information flow control functions (FDP_IFF)
- Import from outside of the TOE (FDP_ITC)
- Internal TOE transfer (FDP_ITT)
- Residual information protection (FDP_RIP)
- Rollback (FDP_ROL)
- Stored data integrity (FDP_SDI)
- Inter-TSF user data confidentiality transfer protection (FDP_UCT)
- Inter-TSF user data integrity transfer protection (FDP_UIT)
CLASS FIA: IDENTIFICATION AND AUTHENTICATION
- Authentication failures (FIA_AFL)
- User attribute definition (FIA_ATD)
- Specification of secrets (FIA_SOS)
- User authentication (FIA_UAU)
- User identification (FIA_UID)
- User-subject binding (FIA_USB)
CLASS FMT: SECURITY MANAGEMENT
- Management of functions in TSF (FMT_MOF)
- Management of security attributes (FMT_MSA)
- Management of TSF data (FMT_MTD)
- Revocation (FMT_REV)
- Security attribute expiration (FMT_SAE)
- Specification of Management Functions (FMT_SMF)
- Security management roles (FMT_SMR)
CLASS FPR: PRIVACY
- Anonymity (FPR_ANO)
- Pseudonymity (FPR_PSE)
- Unlinkability (FPR_UNL)
- Unobservability (FPR_UNO)
CLASS FPT: PROTECTION OF THE TSF
- Fail secure (FPT_FLS)
- Availability of exported TSF data (FPT_ITA)
- Confidentiality of exported TSF data (FPT_ITC)
- Integrity of exported TSF data (FPT_ITI)
- Internal TOE TSF data transfer (FPT_ITT)
- TSF physical protection (FPT_PHP)
- Trusted recovery (FPT_RCV)
- Replay detection (FPT_RPL)
- State synchrony protocol (FPT_SSP)
- Time stamps (FPT_STM)
- Inter-TSF TSF data consistency (FPT_TDC)
- Testing of external entities (FPT_TEE)
- Internal TOE TSF data replication consistency (FPT_TRC)
- TSF self test (FPT_TST)
CLASS FRU: RESOURCE UTILISATION
- Fault tolerance (FRU_FLT)
- Priority of service (FRU_PRS)
- Resource allocation (FRU_RSA)
CLASS FTA: TOE ACCESS
- Limitation on scope of selectable attributes (FTA_LSA)
- Limitation on multiple concurrent sessions (FTA_MCS)
- Session locking and termination (FTA_SSL)
- TOE access banners (FTA_TAB)
- TOE access history (FTA_TAH)
- TOE session establishment (FTA_TSE)
CLASS FTP: TRUSTED PATH/CHANNELS
- Inter-TSF trusted channel (FTP_ITC)
- Trusted path (FTP_TRP)
Security Assurance Requirements (SARs)
Class名の最初のAが「Assurance」?
CLASS ASE: SECURITY TARGET EVALUATION
- ST introduction (ASE_INT)
- Conformance claims (ASE_CCL)
- Security problem definition (ASE_SPD)
- Security objectives (ASE_OBJ)
- Extended components definition (ASE_ECD)
- Security requirements (ASE_REQ)
- TOE summary specification (ASE_TSS)
CLASS ADV: DEVELOPMENT
- Security Architecture (ADV_ARC)
- Functional specification (ADV_FSP)
- Implementation representation (ADV_IMP)
- TSF internals (ADV_INT)
- Security policy modelling (ADV_SPM)
- TOE design (ADV_TDS)
CLASS AGD: GUIDANCE DOCUMENTS
- Operational user guidance (AGD_OPE)
- Preparative procedures (AGD_PRE)
CLASS ALC: LIFE-CYCLE SUPPORT
- CM capabilities (ALC_CMC)
- CM scope (ALC_CMS)
- Delivery (ALC_DEL)
- Development security (ALC_DVS)
- Flaw remediation (ALC_FLR)
- Life-cycle definition (ALC_LCD)
- Tools and techniques (ALC_TAT)
CLASS ATE: TESTS
- Coverage (ATE_COV)
- Depth (ATE_DPT)
- Functional tests (ATE_FUN)
- Independent testing (ATE_IND)
CLASS AVA: VULNERABILITY ASSESSMENT
- Vulnerability analysis (AVA_VAN)
- <= 出た!一番よくみるやつ!^^
- AVA_VAN: Assurance Vulnerability Asesementの中のVulnerability Analysisという意味!
- ClassがAVA、FamilyがVAN
CLASS ACO: COMPOSITION
- Composition rationale (ACO_COR)
- Development evidence (ACO_DEV)
- Reliance of dependent component (ACO_REL)
- Composed TOE testing (ACO_CTT)
- Composition vulnerability analysis (ACO_VUL)