セキュリティに関する各種機関についての学習メモ。

※各項目は講習教材より抜粋し、編集しています。

 
＜セキュリティ対策方針を立てる機関＞
日本国内のセキュリティ対策方針について確認したい場合、下記のような情報を参照することになります。

IPA：　https://www.ipa.go.jp/

　重要なセキュリティ情報、脆弱性情報、その他のコンテンツ

経済産業省：https://www.meti.go.jp/policy/netsecurity/ 

　情報セキュリティ対策

総務省：https://www./soumu.go.jp/main_sosiki/joho_tsusin/security/

　国民のための情報セキュリティサイト

普段見慣れませんが、上記のほかに、下記のような組織もあります。
まるでドラマやアニメの世界のようですが、知っておいて損はなさそうです。

警察庁：　https://www.npa.go.jp/cybersecurity/

　サイバーポリスエージェンシー

　　　　　https://www.npa.go.jp/cyber/

　サイバー犯罪対策プロジェクト

NISC：　https://www.nisc.go.jp/materials/index.html

　内閣サイバーセキュリティセンター。
　国の情報システムへのサイバー攻撃の監視や対処を行う。国のサイバー攻撃対策の司令塔。2000年に設置、センター長は内閣官房副長官補が兼務する。
★ここを見ると、日本のセキュリティ対策の変遷や現在の方針などが分かります。

＜セキュリティ情報を周知する機関の一般的な略称＞
★言葉が混同するので、使用方法に注意。

CSIRT（シーサート）:Computer Security Incident Response Team
「コンピュータセキュリティインシデント」に関する報告を受け取り、調査し、対応活動を行う組織体の名称です。(一般名詞)

https://www.nic.ad.jp/ja/basics/terms/csirt.html

イメージは、有事の際の町内会の「火消し役」「セキュリティインシデントの消防署」のような感じ…だそうです。

https://www.sbbit.jp/article/cont1/24965

CERT（サート）：Computer Emergency Response Teamなど
コンピューターへの不正アクセスや脆弱性などのコンピュータセキュリティインシデントに対応する活動を行う組織です。具体的には、コンピュータセキュリティインシデントについて、情報収集・分析を行い、結果の公表や関係組織との調整により、問題の解決・再発の防止を図っています。

https://jprs.jp/glossary/index.php?ID=0127

 ちなみに、CSIRT=CERTの意味で使用されることもあるようです。また、現在様々な「CERT」がありますが、組織によって何の略称かが異なるようです。一筋縄ではいきません。

https://www.jpcert.or.jp/tips/2004/wr044201.html

重要な組織については、「これはどのように発足して、どんなことをしている機関なのか？」を理解しておく必要がありますね。

＜セキュリティや脆弱性に関する情報を周知・発信する機関について＞

（国内）
JPCERT/CC：　https://www.jpcert.or.jp/

1992年頃よりボランティアベースで発足（現在は一般社団法人）。日本国内の情報セキュリティ対策組織。日本国内の脆弱性情報の受付窓口。また、日本国内で重要なインシデントが発生した場合はCSIRTとなり問題の解決につとめる。IPAと共同で、日本国内の脆弱性情報に関するポータルサイトJVNを運営している。

（海外）
US-CERT：　https://www.us-cert.gov/ncas/alerts

米国国土安全保障省（DHS）配下の情報セキュリティ対策組織（参考：https://www.jpcert.or.jp/magazine/security/field-us.html）

CERT/CC：　https://www.kb.cert.org/vuls/

米国カーネギーメロン大ソフトウェア工学研究所（Carnegie Melon University, Software Engineering Institute）に置かれているセキュリティ対策組織。
ネットワークに関する不正アクセス、不正プログラム、システムの脆弱性問題などに関して、情報を収集し、非常に素早い分析を行い、その結果の発表を行う組織。
（参考：https://www.atmarkit.co.jp/ait/articles/0401/01/news131.html）

NIST：　https://www.nist.gov/

NISTとは、アメリカ合衆国の連邦政府機関の一つで、科学技術に関連する標準についての研究などを行う機関。
ITの分野では、連邦政府の利用する暗号技術などの情報セキュリティ関連規格が有名で、DESやAES、FIPS-140/140-2など、NISTに標準として採用された技術が世界的な標準として広く普及することが多い。（参考：http://e-words.jp/w/NIST.html）
近年では、よりITに特化したフレームワークとして、NISTの定めたサイバーセキュリティフレームワークが世界的に有名なようです。（参考：https://www.cybereason.co.jp/blog/edr/2786/）

＜脆弱性ポータルサイトやデータベース＞
JVN：　https://jvn.jp/
JVNはJPCERT/CCとIPAが共同で運営する脆弱性情報ポータルサイト。
日本で検挙された情報以外に、海外の調整機関（US-CertやCERT/CC）と連携した脆弱性情報を載せている。

JVN iPedia：　https://jvndb.jvn.jp/

日本国内外を問わず、日々公開される脆弱性対策情報を収集、蓄積することを目的とする。内容はJVNで提供されているもののほか、国内製品や国内流通製品の脆弱性情報が掲載される。

Vulnerability Notes Database：　 https://www.kb.cert.org/vuls/　←CERT/CCと同じ
CERT/CCのデータベースの名称。
JVNの脆弱性情報の中で「VU#」で始まるコードはこのデータベース上のもの。

CVE：　https://cve.mitre.org/
サイバーセキュリティの脆弱性に関する共通名の辞書。
非営利団体MITRE社が番号付けする「CVE識別番号」(共通脆弱性識別子)で有名。
(参考：https://www.ipa.go.jp/security/vuln/CVE.html)

NVD：　https://nvd.nist.gov/vuln

NISTの脆弱性データベースの名称。CVEとリンクしている。

情報収集の際は上記サイトを中心に調査していくことになるんですね。例えばJVNとJVN iPediaで公開時期が同時ではない場合もあるとのことで、注意が必要です。

講習ではほかに、CVSS（Common Vulnerability Scoring Syste）の評価項目詳細や
CWE（共通脆弱性タイプ一覧）などについて学習しました。

全部覚えて使いこなせたら一流サイバーエンジニア!? 道のりは長そうです…！

にほんブログ村

 最近法改正されて現在は不要となっているようですが、私が申請したH30年度は登録時にIPAへ提出する書類に法務局発行の「登記されていないことの証明書」、本籍地発行の「身分証明書」がありました。（取り寄せが大変でした）

「登記されていないことの証明書」は青年被後見人、被保佐人ではないこと、また「身分証明書」は禁治産宣告・後見人登録通知・破産宣告を受けていないことを証明する書類です。せいぜいこの書類で証明できるのは「知的障害・精神障害がないこと」「痴呆でないこと」「判断力が低いために自己破産を起こしていないこと」くらいですが、要は「自分の財産を守るための判断力が無い」と法的に判定されている人はセキスペに登録できない仕組みでした。

後見人制度とは→https://isansouzoku-guide.jp/seinenkoukennin

会社や個人の利益を守るための職種であるということを象徴しているようですね。

ほかにも法改正によって変更した点がありそうですが、詳細は後日フォローアップしておきます。

Japan Vulnerablility Notes（JVN）概説【全編】【後編】を受講しました。

主なトピックはこんな感じです。

・脆弱性周知のための各種サイトとその特性

・CVSS値の決定方法

・各脆弱性チェックのためのツールとその使い方

各セクション受講後に確認テストがあるのですが、なかなか合格できず何回も再チャレンジすることになりました。ソフトウェア製品開発をしている会社さんなんかで就労しようと思うとフル活用しそうな知識です。

脆弱性チェックのためのツールは個人でも使用して良いそうなので自分でやってみたいです。

「受講目安は６Hだから1～２日で済むかなー」と思っていたのですが、ことのほか時間がかかりました。続きは来週実施します。