CRYPTREC暗号リストにある推奨候補暗号リストとは,安全性及び実装性能が確認され,今後,電子政府推奨暗号リストに掲載される可能性がある暗号技術のリストである。
電子政府推奨暗号リストとは,CRYPTRECによって安全性及び実装性能が確認された暗号技術のうち,市場における利用実績が十分であるか今後の普及が見込まれると判断され,当該技術の利用を推奨するもののリストである。
[CVSS(Common Vulnerability Scoring System,共通脆弱性評価システム)]
基本評価基準,現状評価基準,環境評価基準の三つの基準で情報システムの脆弱性の深刻度を評価する。
基本評価基準
機密性への影響,どこから攻撃が可能かといった攻撃元区分,攻撃する際に必要な特権レベルなど,脆弱性そのものの特性を評価する。
[EDSA認証]
組込み機器のセキュリティレベルを評価する認証制度であり、どのレベルの認証でも組込み機器ロバストネス試験におけるデバイスの堅牢性を評価項目とする。
[FIPS PUB 140-3の記述内容]
暗号モジュールのセキュリティ要求事項。
GCPの問題でも問題文中に出るかも。
IT製品及びシステムが,必要なセキュリティレベルを満たしているかどうかについて,調達者が判断する際に役立つ評価結果を提供し,独立したセキュリティ評価結果間の比較を可能にするための規格。
[ISO/IEC 15408を評価基準とするITセキュリティ評価及び認証制度(JISEC)]
情報技術に関連した製品のセキュリティ機能の適切性,確実性を第三者機関が評価し,その結果を公的に認証する制度。
[JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCWE(Common Weakness Enumeration)]
ソフトウェアの脆弱性の種類の一覧。
[SCAP(Security Content Automation Protocol)]
脆弱性管理,測定,評価を自動化するためにNISTが策定した基準。
[WAFの導入を含むもの]
要件6:安全性の高いシステムとアプリケーションを開発し,保守すること。