登録セキスペ オンライン講習A 3・4 追記2 - セキュリティに関する各種機関
セキュリティに関する各種機関についての学習メモ。
※各項目は講習教材より抜粋し、編集しています。
<セキュリティ対策方針を立てる機関>
日本国内のセキュリティ対策方針について確認したい場合、下記のような情報を参照することになります。
重要なセキュリティ情報、脆弱性情報、その他のコンテンツ
経済産業省:https://www.meti.go.jp/policy/netsecurity/
情報セキュリティ対策
総務省:https://www./soumu.go.jp/main_sosiki/joho_tsusin/security/
国民のための情報セキュリティサイト
普段見慣れませんが、上記のほかに、下記のような組織もあります。
まるでドラマやアニメの世界のようですが、知っておいて損はなさそうです。
警察庁: https://www.npa.go.jp/cybersecurity/
サイバーポリスエージェンシー
サイバー犯罪対策プロジェクト
NISC: https://www.nisc.go.jp/materials/index.html
内閣サイバーセキュリティセンター。
国の情報システムへのサイバー攻撃の監視や対処を行う。国のサイバー攻撃対策の司令塔。2000年に設置、センター長は内閣官房副長官補が兼務する。
★ここを見ると、日本のセキュリティ対策の変遷や現在の方針などが分かります。
<セキュリティ情報を周知する機関の一般的な略称>
★言葉が混同するので、使用方法に注意。
CSIRT(シーサート):Computer Security Incident Response Team
「コンピュータセキュリティインシデント」に関する報告を受け取り、調査し、対応活動を行う組織体の名称です。(一般名詞)
https://www.nic.ad.jp/ja/basics/terms/csirt.html
イメージは、有事の際の町内会の「火消し役」「セキュリティインシデントの消防署」のような感じ…だそうです。
https://www.sbbit.jp/article/cont1/24965
CERT(サート):Computer Emergency Response Teamなど
コンピューターへの不正アクセスや脆弱性などのコンピュータセキュリティインシデントに対応する活動を行う組織です。具体的には、コンピュータセキュリティインシデントについて、情報収集・分析を行い、結果の公表や関係組織との調整により、問題の解決・再発の防止を図っています。
https://jprs.jp/glossary/index.php?ID=0127
ちなみに、CSIRT=CERTの意味で使用されることもあるようです。また、現在様々な「CERT」がありますが、組織によって何の略称かが異なるようです。一筋縄ではいきません。
https://www.jpcert.or.jp/tips/2004/wr044201.html
重要な組織については、「これはどのように発足して、どんなことをしている機関なのか?」を理解しておく必要がありますね。
<セキュリティや脆弱性に関する情報を周知・発信する機関について>
(国内)
JPCERT/CC: https://www.jpcert.or.jp/
1992年頃よりボランティアベースで発足(現在は一般社団法人)。日本国内の情報セキュリティ対策組織。日本国内の脆弱性情報の受付窓口。また、日本国内で重要なインシデントが発生した場合はCSIRTとなり問題の解決につとめる。IPAと共同で、日本国内の脆弱性情報に関するポータルサイトJVNを運営している。
(海外)
US-CERT: https://www.us-cert.gov/ncas/alerts
米国国土安全保障省(DHS)配下の情報セキュリティ対策組織(参考:https://www.jpcert.or.jp/magazine/security/field-us.html)
CERT/CC: https://www.kb.cert.org/vuls/
米国カーネギーメロン大ソフトウェア工学研究所(Carnegie Melon University, Software Engineering Institute)に置かれているセキュリティ対策組織。
ネットワークに関する不正アクセス、不正プログラム、システムの脆弱性問題などに関して、情報を収集し、非常に素早い分析を行い、その結果の発表を行う組織。
(参考:https://www.atmarkit.co.jp/ait/articles/0401/01/news131.html)
NIST: https://www.nist.gov/
NISTとは、アメリカ合衆国の連邦政府機関の一つで、科学技術に関連する標準についての研究などを行う機関。
ITの分野では、連邦政府の利用する暗号技術などの情報セキュリティ関連規格が有名で、DESやAES、FIPS-140/140-2など、NISTに標準として採用された技術が世界的な標準として広く普及することが多い。(参考:http://e-words.jp/w/NIST.html)
近年では、よりITに特化したフレームワークとして、NISTの定めたサイバーセキュリティフレームワークが世界的に有名なようです。(参考:https://www.cybereason.co.jp/blog/edr/2786/)
<脆弱性ポータルサイトやデータベース>
JVN: https://jvn.jp/
JVNはJPCERT/CCとIPAが共同で運営する脆弱性情報ポータルサイト。
日本で検挙された情報以外に、海外の調整機関(US-CertやCERT/CC)と連携した脆弱性情報を載せている。
JVN iPedia: https://jvndb.jvn.jp/
日本国内外を問わず、日々公開される脆弱性対策情報を収集、蓄積することを目的とする。内容はJVNで提供されているもののほか、国内製品や国内流通製品の脆弱性情報が掲載される。
Vulnerability Notes Database: https://www.kb.cert.org/vuls/ ←CERT/CCと同じ
CERT/CCのデータベースの名称。
JVNの脆弱性情報の中で「VU#」で始まるコードはこのデータベース上のもの。
CVE: https://cve.mitre.org/
サイバーセキュリティの脆弱性に関する共通名の辞書。
非営利団体MITRE社が番号付けする「CVE識別番号」(共通脆弱性識別子)で有名。
(参考:https://www.ipa.go.jp/security/vuln/CVE.html)
NVD: https://nvd.nist.gov/vuln
NISTの脆弱性データベースの名称。CVEとリンクしている。
情報収集の際は上記サイトを中心に調査していくことになるんですね。例えばJVNとJVN iPediaで公開時期が同時ではない場合もあるとのことで、注意が必要です。
講習ではほかに、CVSS(Common Vulnerability Scoring Syste)の評価項目詳細や
CWE(共通脆弱性タイプ一覧)などについて学習しました。
全部覚えて使いこなせたら一流サイバーエンジニア!? 道のりは長そうです…!