情報セキュリティに関する活動組織・機関

[CRYPTRECの主な活動内容]

暗号技術の技術的検討並びに国際競争力の向上及び運用面での安全性向上に関する検討を行う。

[CSIRT(シーサート)]

国レベルや企業・組織内に設置され，コンピュータセキュリティインシデントに関する報告を受け取り，調査し，対応活動を行う組織の総称である。

[サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ))]

標的型サイバー攻撃などに関する情報を参加組織間で共有し、高度なサイバー攻撃対策につなげる取組み。

情報セキュリティに関する基準・規格

[クラウドサービス利用のための情報セキュリティマネジメントガイドラインが策定された目的]

JIS Q 27002の管理策を補完し，クラウドサービス利用者が情報セキュリティ対策を円滑に行えるようにする。

[NOTICE]

国内のグローバルIPアドレスを有するIoT機器に，容易に推測されるパスワードを入力することなどによって，サイバー攻撃に悪用されるおそれのある機器を調査し，インターネットサービスプロバイダを通じて当該機器の利用者に注意喚起を行う。

[SECURITY ACTION]

安全・安心なIT社会を実現するために創設された制度であり，IPA"中小企業の情報セキュリティ対策ガイドライン"に沿った情報セキュリティ対策に取り組むことを中小企業が自己宣言する。

[経済産業省が"サイバー・フィジカル・セキュリティ対策フレームワーク(Version1.0)"を策定した主な目的の一つ]

新たな産業社会において付加価値を創造する活動が直面するリスクを適切に捉えるためのモデルを構築し，求められるセキュリティ対策の全体像を整理すること。

[経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver2.0)"の説明]

企業がIT活用を推進していく中で，サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と，情報セキュリティ対策を実施する上での責任者となる担当幹部に，経営者が指示すべき事項をまとめたもの。

[コンティンジェンシープラン]

企業のすべてのシステムを対象とするのではなく，システムの復旧の重要性と緊急性を勘案して対象を決定する。

[詳細リスク分析で行う作業]

リスクの評価。

[政府情報システムのためのセキュリティ評価制度に用いられる"ISMAP管理基準"が基礎としているもの]

日本セキュリティ監査協会"クラウド情報セキュリティ管理基準(平成28年度版)"。

[是正処置]

不適合の原因を除去し，再発を防止するための処置。

[ソフトウェア管理ガイドライン]

ソフトウェアの違法複製などの有無を確認するため，すべてのソフトウェアを対象として，その使用状況についての監査を実施する。

[モニタ]

戦略的目的の達成を評価することを可能にするガバナンスプロセス。

[リスク回避]

収集済みの個人情報を消去し，新たな収集を禁止する。

[リスクの特定]

リスクの特定では，脅威が管理策の脆弱性に付け込むことによって情報資産に与える影響を特定する。

(JIS Q 27000:2019(情報セキュリティマネジメントシステム－用語)の用語に関する記述)リスクを発見，認識及び記述するプロセスのことであり，リスク源，事象，それらの原因及び起こり得る結果の特定が含まれる。

[リスクファイナンス]

システムが被害を受けた場合を想定して保険をかけた。

脆弱性評価指標

[CVE(Common Vulnerabilities and Exposures)識別子]

製品に含まれる脆弱性を識別するための識別子。CVEで識別される脆弱性を評価するのがCVSS。

[BACK]