セキュリティ技術評価

CWE(Common Weakness Enumeration)

ソフトウェアの脆弱性の種類の一覧。 1999年頃から米国政府の支援を受けた非営利団体のMITREが中心となり仕様策定が行われたソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準です。

CRYPTREC暗号リスト

電子政府推奨暗号リスト 推奨候補暗号リスト 運用監視暗号リスト で構成されています。

電子政府推奨暗号リスト

暗号技術検討会及び関連委員会(以下、「CRYPTREC」という。)により安全性及び実装性能が確認された暗号技術について、市場における利用実績が十分であるか今後の普及が見込まれると判断され、当該技術の利用を推奨するもののリスト。

推奨候補暗号リスト

CRYPTRECにより安全性及び実装性能が確認され、今後、電子政府推奨暗号リストに掲載される可能性のある暗号技術のリスト。 CRYPTREC暗号リストにある推奨候補暗号リストとは,安全性及び実装性能が確認され,今後,電子政府推奨暗号リストに掲載される可能性がある暗号技術のリストである。

運用監視暗号リスト

実際に解読されるリスクが高まるなど、推奨すべき状態ではなくなった暗号技術のうち、互換性維持のために継続利用を容認するもののリスト。互換性維持以外の目的での利用は推奨しない。

CVSS(Common Vulnerability Scoring System,共通脆弱性評価システム)

情報システムの脆弱性に対する汎用的な評価手法で、これを用いることで脆弱性の深刻度を同一の基準のもとで定量的に比較することが可能です。CVSS v3は2015年6月に公開されたバージョンです。

CVSSでは次の3つの基準で脆弱性を(0.0から10.0までの得点で)評価します。

基本評価基準 (Base Metrics)

脆弱性自体の深刻度を評価する指標。機密性、可用性、完全性への影響の大きさや、攻撃に必要な条件などの項目から算出され、時間の経過や利用者の環境で変化しない。

現状評価基準 (Temporal Metrics)

脆弱性の現在の深刻度を評価する基準。攻撃を受ける可能性、利用可能な対応策のレベルなどの項目から算出され、時間の経過により変化する。

環境評価基準 (Environmental Metrics)

ユーザの利用環境も含め、最終的な脆弱性の深刻度を評価する基準。二次被害の可能性や影響を受ける範囲などの項目から算出され、ユーザごとに変化する。

ファジング(fuzzing)

検査対象のソフトウェア製品に「ファズ(英名:fuzz)」と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで(未知の)脆弱性を検出する検査手法です。

FIPS 140(Federal Information Processing Standardization 140)

米国連邦政府の省庁等各機関が利用する、ハードウェア及びソフトウェア両方を含む "暗号モジュール" に関する要件を規定した米国連邦政府標準規格で、2014年1月現在の最新版は「FIPS 140-2」です。FIPS 140-2では、レベル1からレベル4までの4段階のレベルを規定しています。