舎利弗の煩悩

公式読むのメンドイので、かんたんにまとめとく

【情報セキュリティ】ど忘れしがちアルファベット(略称)集

f:id:bonno-sariputra:20210905142528j:plain

なかなか記憶に定着しないアルファベット(略称)を厳選しました。
情報セキュリティ編です。
随時書き足していきます。

機器やソフトウェア

TPM (Trusted Platform Module)

バイス上で様々なセキュリティ機能を提供するためのモジュール。
暗号化用アルゴリズムエンジン、ハッシュエンジン、鍵生成器、乱数生成器、不揮発性メモリ(鍵などを保管)などを備える。

IDS (Intrusion Detection System)

リアルタイムに関しし、侵入や攻撃を検知する。 大きく2種類に分類。

  • NIDS (Network-Based Intrusion Detection System) ネットワーク型侵入検知システム
  • HIDS (Host-Based Intrusion Detection System) ホスト型侵入検知システム

NIDSはネットワークにプロミスキャスモードで接続する機器として使用。 HIDSはホストにインストールして使用。

IPS (Intrusion Prevent System)

NIDSの防御機能を強化したもの。
NIDSと同じようにプロミスキャスモードで接続して使用できる。そのときはNIDSと同等の機能となる。
ネットワーク間をさえぎるように接続することで不正なアクセスを確実に遮断、より強力な防御が可能となる。 「アプライアンス型」「ソフトウェア型」「クラウド型」の3タイプある。

WAF (Web Application Firewall)

WEBアプリケーションの機能に特有の驚異にたいしてIPS的な働きをする製品。
XSSSQLインジェクション、OSコマンドインジェクションなどを防ぐ。
IPSと同じく「アプライアンス型」「ソフトウェア型」「クラウド型」の3タイプある。

方法論

OWASP (Open Web Application Security Project)

Webアプリケーションセキュリティの分野で自由に利用できる記事、方法論

CISO (Chief Infomation Security Officer)

最高情報セキュリティ責任者

CSIRT (Computer Security Incident Response Team)

「シーサート」と読む。 セキュリティ事故が発生した場合に、火消しを行うチーム。 収束後は再発防止の対策も行う。 これらの業務を「インシデント管理(マネジメント)」と呼ぶ。

SOC (Security Operation Center)

システムログやアラートと監視し、何かあればCSIRTに連絡する。

ITIL (Infomation Technology Infrastructure Library)

ITサービスマネジメントにおける業務プロセスや管理手法を体形定期に整理したもの。

BCM (Business Continuity Management)

事業継続管理。ICMSの要求事項。
以下を行い確立する。

BIA (Business Impact Analyze)

事業継続におけるボトルネックとなる業務やリスクを分析し把握する。

BCP (Business Continuity Plan)

目標時間内にどうやって復旧させるかの計画や手順。 BIAの結果を受け策定する。

RTO (Recovery Time Objective)

業務中断後いつまでに業務再開するかを規定

RPO (Recovery Point Objective)

業務中断から遡っていつ時点まで戻すかを規定

NIST (National Institute of Standards and Technology)

重要インフラのサイバーセキュリティを向上させるためのフレームワーク
サイバーセキュリティ対策を5つの観点で分類

特定

サイバーセキュリティの方針を決定。リスクを分析して特定。

防御

適切な対策。

検知

対策を突破された(されそう)な状況をいち早く検知。

対応

検知した異常に対して暫定処置をいち早く講じる

復旧

恒久対処を行い、元通りの状態に復旧

COSO (Committee of Sponsoring Organizations of the Treadway Commission)

内部統制フレームワーク

COBIT (Control Objectives for Information and related Technology)

ITガバナンス、ITUNESマネジメントに関する実践規範

制度、基準

ISMS (Infomation Security Management System)

情報セキュリティマネジメントシステム(ISMS)適合性評価制度 認証基準JIS Q 27001:2014(ISO/IEC 27001:2013)は、ISMS適合性評価制度において、第三者である認証機関が本制度の認証を希望する組織の適合性を評価するための基準である。

CMMI (Capability Maturity Model Integration)

能力成熟度モデル。 組織のプロセスの発展段階を5段階の成熟度レベルでモデル化。

PCI DSS (Payment Card Industry Data Security Standard)

クレジットカード会員の情報を保護することを目的に定められた、クレジットカード業界の情報セキュリティ基準です。

EDSA (Enbedded Device Security Assurance)

証組込みデバイスセキュリティ保証。 組込み機器を評価対象とした認証制度。

GDPR (General Data Protection Regulation)

EUの個人データ保護指令。 EUで営業、またはEUから受注する場合は対応が必要。 制裁金がエグいことで有名。

SOX法 (Sarbanes Oxley Act)

米国SOX法、米国企業改革法 財務報告の透明性、正確性を確保するための法律。
日本も米国SOX法にならって同等の法律を導入している。

  • 金融商品取引法
  • 財務報告に係る内部統制の評価及び監査の基準案
  • 財務報告に係る内部統制の評価及び監査に関する実施基準

組織

ISAC (Information Sharing and Analysis Center)

一般社団法人。各業界ごとに設立。 サイバー攻撃に関する情報を収集、共有する。

その他関連キーワード

IDC (Internet Data Center)

インターネット接続に特化したデータセンタ。非常に広帯域。 クラウド事業者に利用される。

参考

isms.jp

www.compita-japan.com

www.isasecure.org