SC午前2過去問)テクノロジ系 » セキュリティ » セキュリティ技術評価
目次
- ISO/IEC 15408を評価基準とする"ITセキュリティ評価及び認証制度"
- EDSA認証(制御機器認証)
- CRYPTREC暗号リスト
- CVSS(Common Vulnerability Scoring System,共通脆弱性評価システム)
- PCI DSS
- FIPS 140(Federal Information Processing Standardization 140)
- ファジング(fuzzing)
ISO/IEC 15408を評価基準とする"ITセキュリティ評価及び認証制度"
過去問
平成27年秋期 問6
Q:ISO/IEC 15408を評価基準とする"ITセキュリティ評価及び認証制度"の説明として,適切なものはどれか。
A:情報技術に関連した製品のセキュリティ機能の適切性,確実性を第三者機関が評価し,その結果を公的に認証する制度
平成26年春期 問14
Q:JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCWE(Common Weakness Enumeration)はどれか。
A:ソフトウェアの脆弱性の種類の一覧
関連:
Q:基本評価基準,現状評価基準,環境評価基準の三つの基準でIT製品の脆弱性を評価する手法
A:CVSS(Common Vulnerability Scoring System)の説明です。
Q:製品を識別するためのプラットフォーム名の一覧
A:CPE(Common Platform Enumeration)の説明です。
Q:セキュリティに関連する設定項目を識別するための識別子
A:CCE(Common Configuration Enumeration)の説明です。
EDSA認証(制御機器認証)
組込み機器のセキュリティレベルを評価する認証制度であり、どのレベルの認証でも組込み機器ロバストネス試験におけるデバイスの堅牢性を評価項目とします。
過去問
平成30年秋期 問8
Q:EDSA認証における評価対象と評価項目について,適切な組みはどれか。
A:
評価対象:組み込み機器である制御機器
評価項目:組み込み機器ロバストネス試験
参考
https://www.ipa.go.jp/security/event/2013/ist-expo/documents/preso07.pdf
https://xtech.nikkei.com/dm/article/FEATURE/20130130/263302/?P=5
CRYPTREC暗号リスト
電子政府推奨暗号リスト、推奨候補暗号リスト及び運用監視暗号リストで構成されています。
電子政府推奨暗号リスト
暗号技術検討会及び関連委員会(以下、「CRYPTREC」という。)により安全性及び実装性能が確認された暗号技術について、市場における利用実績が十分であるか今後の普及が見込まれると判断され、当該技術の利用を推奨するもののリスト。
推奨候補暗号リスト
CRYPTRECにより安全性及び実装性能が確認され、今後、電子政府推奨暗号リストに掲載される可能性のある暗号技術のリスト。
運用監視暗号リスト
実際に解読されるリスクが高まるなど、推奨すべき状態ではなくなった暗号技術のうち、互換性維持のために継続利用を容認するもののリスト。互換性維持以外の目的での利用は推奨しない。
過去問
平成31年春期 問9
Q:総務省及び経済産業省が策定した"電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)"に関する記述のうち,適切なものはどれか。
A:CRYPTREC暗号リストにある推奨候補暗号リストとは,安全性及び実装性能が確認され,今後,電子政府推奨暗号リストに掲載される可能性がある暗号技術のリストである。
令和元年秋期 問8
Q:総務省及び経済産業省が策定した"電子政府における調達のために参照すべき暗号のリスト(CRYPTREC 暗号リスト)"を構成する暗号リストの説明のうち,適切なものはどれか。
A:電子政府推奨暗号リストとは,CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち,市場における利用実績が十分であるか今後の普及が見込まれると判断され,当該技術の利用を推奨するもののリストである。
CVSS(Common Vulnerability Scoring System,共通脆弱性評価システム)
情報システムの脆弱性に対する汎用的な評価手法で、これを用いることで脆弱性の深刻度を同一の基準のもとで定量的に比較することが可能
CVSSでは次の3つの基準で脆弱性を(0.0から10.0までの得点で)評価します。
基本評価基準 (Base Metrics)
脆弱性自体の深刻度を評価する指標。機密性、可用性、完全性への影響の大きさや、攻撃に必要な条件などの項目から算出され、時間の経過や利用者の環境で変化しない。
現状評価基準 (Temporal Metrics)
脆弱性の現在の深刻度を評価する基準。攻撃を受ける可能性、利用可能な対応策のレベルなどの項目から算出され、時間の経過により変化する。
環境評価基準 (Environmental Metrics)
ユーザの利用環境も含め、最終的な脆弱性の深刻度を評価する基準。二次被害の可能性や影響を受ける範囲などの項目から算出され、ユーザごとに変化する。
過去問
平成30年春期 問1
Q:CVSS v3の評価基準には,基本評価基準,現状評価基準,環境評価基準の三つがある。基本評価基準の説明はどれか。
A:機密性への影響,どこから攻撃が可能かといった攻撃元区分,攻撃する際に必要な特権レベルなど,脆弱性そのものの特性を評価する。
令和元年秋期 問9
Q:基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価するものはどれか。
A:CVSS
関連:
Information Security Management Systemの略。情報セキュリティマネジメントシステムの整備・管理・運用に関する仕組みでJIS Q 27001 (ISO/IEC 27001)の基となっています。
PCI DSS
Payment Card Industry(PCI)データセキュリティ基準(DSS)は、カード会員のデータセキュリティを強化し、均一なデータセキュリティ評価基準の採用をグローバルに推進するためにクレジットカードの国際ブランド大手5社共同(VISA,MasterCard,JCB,AmericanExpress,Diners Club)により策定された基準です。
Personal information protection Management Systemの略。個人情報保護マネジメントシステムの整備・管理・運用に関する仕組みです。
PCI DSS
Payment Card Industry(PCI)データセキュリティ基準(DSS)は、カード会員のデータセキュリティを強化し、均一なデータセキュリティ評価基準の採用をグローバルに推進するためにクレジットカードの国際ブランド大手5社共同(VISA,MasterCard,JCB,AmericanExpress,Diners Club)により策定された基準
## 過去問
平成24年春期 問9
Q:PCIデータセキュリティ基準(PCI DSS Version2.0)の要件のうち,詳細要件の選択肢として,WAFの導入を含むものはどれか。
A:要件6:安全性の高いシステムとアプリケーションを開発し,保守すること
FIPS 140(Federal Information Processing Standardization 140)
米国連邦政府の省庁等各機関が利用する、ハードウェア及びソフトウェア両方を含む "暗号モジュール" に関する要件を規定した米国連邦政府標準規格で、2014年1月現在の最新版は「FIPS 140-2」です。FIPS 140-2では、レベル1からレベル4までの4段階のレベルを規定しています。
## 過去問
平成30年秋期 問5
Q:FIPS PUB 140-2の記述内容はどれか。
A:暗号モジュールのセキュリティ要求事項
関連:
Q:情報セキュリティマネジメントシステムの要求事項
A:JIS Q 27001の記述内容です。
Q:ディジタル証明書や証明書失効リストの技術仕様
A:ITU-T X.509の記述内容です。
Q:無線LANセキュリティの技術仕様
A:IEEE802.11iの記述内容です。
ファジング(fuzzing)
検査対象のソフトウェア製品に「ファズ(英名:fuzz)」と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで(未知の)脆弱性を検出する検査手法
## 過去問
平成31年春期 問22
Q:問題を引き起こす可能性があるデータを大量に入力し,そのときの応答や挙動を監視することによって,ソフトウェアの脆弱性を検出するテスト手法はどれか。
A:ファジング