情報処理安全確保支援士の試験合格を目指し、毎週略語に重点を置いて取り上げます。
それでは、学習スタートです!
■JVN(Japan Vulnerability Notes)
国内で使用されるソフトウェアなどの脆弱性関連情報とその対策情報を提供するポータルサイト。
独立行政法人情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が共同で運営している。
脆弱性関連情報を収集するだけではなく、製品開発者との調整を通じ、対策方法や対応状況も掲載している。
■JPCERT/CC(Japan Computer Emergency Response Team Coordination Center)
特定の政府機関や企業からは独立した中立の組織として、日本におけるサイバー攻撃などのセキュリティインシデントに関する報告の受付、対応支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などの活動を行っている組織。
■CVE(Common Vulnerabilities and Exposures)
共通脆弱性識別子。
個別の製品に含まれる脆弱性を対象とした識別子。
■CWE(Common Weakness Enumeration)
共通脆弱性タイプ一覧。
SQLインジェクション、クロスサイトスクリプティングなど、脆弱性のタイプの一覧を体系化している。
■CVSS(Common Vulnerability Scoring System)
共通脆弱性評価システム。
ソフトウェアやシステム上の脆弱性の深刻度を評価する国際的な指標。
基本評価基準(Base Metrics)、現状評価基準(Temporal Metorics)、環境評価基準(Environmental Metrics)の3つの基準で定量的に評価される。