● 93 entries
コンプライアンスとフレームワーク
- Atomic Red TeamRed Canary が公開する小さく焦点を絞ったテストのオープンソースライブラリで、個々の MITRE ATT&CK テクニックを模擬し、検知やコントロールの有効性を検証する。
- CAPECMITRE が運営する公開攻撃パターンカタログ Common Attack Pattern Enumeration and Classification。既知の弱点を突くために攻撃者が用いるパターンを体系化している。
- CCPAカリフォルニア州の消費者プライバシー法で、カリフォルニア州住民が事業者の保有する個人情報に対して有する権利を定める米国の州法。
- CCSPISC2 のクラウドセキュリティ資格で、主要クラウドプロバイダー全般のアーキテクチャ、データ保護、プラットフォーム/基盤、運用、法令順守を扱います。
- CEHEC-Council が認定する倫理的ハッキング資格で、偵察、エクスプロイト、Web、無線、クラウドにわたる攻撃者の手法とツールを学びます。
- CIA トライアド情報セキュリティの基本モデル。目標を「機密性」「完全性」「可用性」の 3 つに集約する。
- CIS ControlsCenter for Internet Security が維持する、最も一般的なサイバー攻撃から組織を守るための優先順位付きベストプラクティス管理策セット。
- CISAISACA が認定する情報システム監査人の資格で、監査プロセス、ガバナンス、取得、運用、情報資産の保護の 5 ドメインを扱います。
- CISMISACA が認定する管理職向けの情報セキュリティ資格で、ガバナンス、リスク、プログラム開発、インシデント管理の 4 ドメインを扱います。
- CISSPISC2 が認定する上級ベンダー中立の情報セキュリティ資格で、CBK の 8 ドメインを網羅し、5 年以上の有給実務経験を必要とします。
- CMMC米国国防総省の認証制度であり、防衛産業基盤の請負業者が十分なサイバーセキュリティ統制を備えていることを検証するもの。
- COBIT事業目標を IT 目標と統制に結び付ける、ISACA による企業情報・技術のガバナンスとマネジメントのフレームワーク。
- CompTIA Security+CompTIA が認定する入門レベルのベンダー中立サイバーセキュリティ資格で、初級実務者向けに脅威、アーキテクチャ、運用、ガバナンスの基礎を扱います。
- CPRA2020 年制定のカリフォルニア州プライバシー権法。CCPA を修正・拡張し、2023 年 1 月 1 日に全面施行された。
- CRISCISACA が認定する IT リスクと統制の専門資格で、ガバナンス、IT リスク評価、対応と報告、統制選定の 4 ドメインを扱います。
- CVE Numbering Authority (CNA)定められたスコープ内の脆弱性について CVE ID を割り当て、CVE レコードを公開する権限を CVE プログラムから付与された組織。
- DORA金融セクター向けデジタル運用レジリエンスに関する EU 規則 2022/2554。2025 年 1 月 17 日から適用。
- DPFプライバシーシールドに代わり、大西洋を越える個人データ移転に用いられる EU-米国データプライバシーフレームワーク (2023 年 7 月成立)。
- DREAD モデルDamage、Reproducibility、Exploitability、Affected users、Discoverability の 5 観点から脅威を評価する定性的なリスク評価モデル。
- EU AI 法リスクベースアプローチに基づく AI 規制を統一する EU 規則 2024/1689。2025 年から 2027 年にかけて段階的に適用。
- FAIR(情報リスクのファクター分析)情報リスク・サイバーリスクを損失事象頻度と損失量級の要因に分解し、金額で定量化するためのオープンな国際標準。
- FedRAMP米国連邦機関が利用するクラウドサービスのセキュリティ評価、認可、継続的監視を標準化する米国政府のプログラム。
- FERPA学生の教育記録のプライバシーを保護し、保護者と該当する学生に対しその記録に関する権利を付与する米国連邦法。
- FISMA連邦機関およびその受託者に対し、政府データを扱うシステムについてリスクベースの情報セキュリティプログラムの整備を義務付ける米国連邦法。
- GDPREU 域内および EEA に所在する個人の個人データ処理を規律する欧州連合の一般データ保護規則。
- GIAC 認定資格GIAC が発行し SANS Institute のトレーニングと連動する役割別サイバーセキュリティ資格群で、運用、インシデント対応、フォレンジック、ペネトレーションテストなどを扱います。
- Gramm-Leach-Bliley Act (GLBA)米国の連邦法であり、金融機関に顧客情報の保護と情報共有方針の開示を義務付ける法律。
- HIPAA個人を特定可能な医療情報の保護に関する国家基準を定めた米国の医療保険の相互運用性と説明責任に関する法律。
- HITRUSTリスクとコンプライアンスを重視したセキュリティフレームワーク HITRUST CSF。米国の医療分野で HIPAA や NIST などの権威ある基準への整合を示すために広く用いられる。
- ISO/IEC 27001情報セキュリティマネジメントシステム(ISMS)の要求事項を定める国際規格で、組織は正式な認証を取得できる。
- ISO/IEC 27002ISO/IEC 27001 附属書 A の情報セキュリティ管理策に対する詳細な実装ガイダンスを提供する国際的なベストプラクティス集。
- ITILAXELOS/PeopleCert が発行する、サービス価値システム全体を対象とした IT サービスマネジメントのベストプラクティスを集めた世界的なフレームワーク。
- LGPDブラジルの個人データ保護一般法 (法律 13.709/2018 号)。2020 年 9 月 18 日に施行され、公的・民間の組織による個人データの処理を規制する。
- MITRE ATT&CKMITRE が維持する、実際の攻撃で観測された攻撃者の戦術・技術に関するグローバルな公開ナレッジベース。
- MITRE D3FEND防御的サイバーセキュリティ対策と、それが扱うデジタル成果物を体系化した MITRE のナレッジ グラフで、MITRE ATT&CK を補完する。
- Need-to-Know(必要に応じた知る権利)業務上の必要があると認められた人だけに情報を開示する原則。たとえ適切な機密区分の許可を持っていても適用される。
- NIS2 指令EU 域内の重要事業者および基幹事業者に対し、サイバーセキュリティの基本要件とインシデント報告義務を引き上げる EU 指令 2022/2555。
- NIST SP 800-171非連邦組織が保存・処理する管理対象非機密情報(CUI)の保護要件を定める NIST 発行の文書。
- NIST SP 800-30情報システムおよびそれが支援する業務に対するリスク評価の実施方法を示す NIST の特別出版物。
- NIST SP 800-37システムのライフサイクル全体でセキュリティおよびプライバシーリスクを管理するための 7 ステップの NIST リスクマネジメントフレームワーク。
- NIST SP 800-53米国 NIST が発行する、連邦情報システムおよび多くの民間採用者向けの包括的なセキュリティ・プライバシー統制カタログ。
- NIST SP 800-61政府および産業界のインシデント対応チームが用いる 4 フェーズのライフサイクルを示す NIST「コンピュータセキュリティインシデント対応ガイド」。
- NIST サイバーセキュリティフレームワーク米国 NIST が公開した任意のリスクベース フレームワークで、サイバーセキュリティの成果を 6 つのコア機能に整理する。
- NIST リスクマネジメントフレームワークセキュリティ、プライバシー、サプライチェーンのリスクマネジメントをシステムライフサイクルに組み込むため、NIST SP 800-37 で定義された 7 ステップのプロセス。
- OCTAVE メソッドカーネギーメロン大学 SEI が開発した情報セキュリティリスク評価手法。重要資産に対する組織的・運用的リスクに焦点を当てる。
- OSCPOffensive Security が認定する実技型の攻撃的セキュリティ資格で、24 時間の監督付き実技試験でラボネットワークを侵害して取得します。
- OSSTMMISECOM が維持するオープンかつ査読済みのセキュリティテスト手法で、5 つのチャネルにまたがる科学的かつ再現可能な運用セキュリティ計測を定義します。
- OWASP API Security Top 10Web API に固有のもっとも重大なセキュリティリスクをまとめた OWASP の啓発文書で、汎用 OWASP Top 10 を補完する。
- OWASP ASVSOWASP アプリケーションセキュリティ検証標準。Web アプリケーションや API の設計・実装・検証に用いる、検証可能なセキュリティ要件のカタログ。
- OWASP Dependency-CheckOWASP が公開するオープンソースのソフトウェアコンポジション分析ツール。プロジェクトの依存関係を走査し、CPE と CVE データの照合で既知脆弱性を報告する。
- OWASP MASVSOWASP モバイルアプリケーションセキュリティ検証標準。iOS と Android のモバイルアプリ向けの検証可能なセキュリティ要件の基盤。
- OWASP Mobile Top 10iOS や Android などのプラットフォームで動作するモバイルアプリにおける最重要のセキュリティリスクを順位付けする OWASP の啓発文書。
- OWASP SAMMOWASP ソフトウェアアシュアランス成熟度モデル。組織のセキュア開発プラクティスを継続的に測定・改善するためのフレームワーク。
- OWASP Top 10OWASP が発行する啓発文書で、Web アプリケーションにとって最も重要なセキュリティリスクを実データに基づいて定期的に更新したもの。
- OWASP WSTGOWASP Web セキュリティテストガイド。Web アプリでもっとも一般的なセキュリティ弱点をどう検証するかを網羅したオープンソースのマニュアル。
- OWASP ZAPOWASP 由来の Web アプリ向けオープンソース・セキュリティテストツール Zed Attack Proxy。現在は Checkmarx と ZAP コミュニティが共同で運営している。
- PASTA 脅威モデルProcess for Attack Simulation and Threat Analysis。技術的脅威とビジネスインパクトを結び付ける、リスク中心・7 段階の脅威モデリング手法。
- PCI DSS決済カード データを保管・処理・伝送する組織を対象に、PCI セキュリティ標準協議会が維持するグローバルな情報セキュリティ基準。
- PIPEDA商業活動の過程で組織が個人情報を収集・利用・開示する方法を規制するカナダ連邦の民間部門プライバシー法。
- PTESコミュニティが策定したペネトレーションテスト方法論で、プリエンゲージメントから報告・是正提案までを 7 つのフェーズに整理します。
- SANS Top 25MITRE と SANS Institute が共同で維持する年次リストで、実際の CVE データを基に最も危険なソフトウェアの弱点をランキング化したもの。
- SCCEU 委員会が承認した契約モデルである標準契約条項。EEA 外への個人データ移転に対し、GDPR 準拠の保護措置を提供する。
- SOC 2AICPA が定める保証業務の基準で、独立した監査人がサービス組織の統制を Trust Services Criteria に照らして評価するもの。
- STRIDE モデルソフトウェアの脅威を Spoofing、Tampering、Repudiation、Information Disclosure、Denial of Service、Elevation of Privilege に分類する、Microsoft 由来の脅威分類フレームワーク。
- Trikeアクター、資産、許可された操作を中心に据えた、要件駆動かつリスクベースなアプローチをとるオープンソースの脅威モデリング手法。
- アタックサーフェス攻撃者が侵入、データ持ち出し、改ざんを試みうるすべての地点の総和。ネットワーク、ソフトウェア、ID、サプライチェーン、人を含む。
- コンプライアンス法令・規制・契約上の義務、および社内のセキュリティ要件を、文書化された統制・証跡・継続的評価によって満たす取り組み。
- サードパーティリスクマネジメント(TPRM)第三者の特定・評価・契約・継続的モニタリング・契約終了までを一貫して管理し、もたらされるサイバー・業務・コンプライアンスのリスクをアペタイト内に維持する取り組み。
- サーベンス・オクスリー法(SOX)投資家保護を目的に、上場企業へガバナンス・内部統制・報告に関する要件を課す、2002 年の米国連邦法。
- サイバー保険サイバーインシデントによる財務影響——インシデント対応、事業中断、賠償責任——を保険会社に移転する専門保険商品です。
- データ処理契約 (DPA)管理者の代理で個人データが処理される場合に、GDPR 第 28 条が要求する管理者と処理者の拘束力ある契約。
- データ保護影響評価 (DPIA)GDPR 第 35 条が要求する構造化評価で、高リスクな個人データ処理を開始する前に、個人の権利と自由に対するリスクを特定し低減するもの。
- ベンダーセキュリティ評価取引の開始前および取引期間中に、第三者ベンダーのセキュリティ統制・方針・運用を構造的に評価し、ベンダーがもたらすリスクを見極める取り組み。
- ベンダーリスクマネジメントTPRM の中でも直接契約する仕入先を対象に、セキュリティ・プライバシー・業務レジリエンスの実践を評価・監督する分野。
- モンテカルロ・リスクシミュレーション入力となる確率分布から数千通りのシナリオを乱数生成し、結果の分布を求めることでリスクを推定する計算手法。
- リスクアセスメント特定の資産に対する脅威・脆弱性・影響を洗い出し、結果として生じるリスクを評価して対応判断につなげる、リスクマネジメント内の体系的な活動。
- リスクアペタイト戦略目標を追求する上で組織が取りに行く、または受け入れる用意があるリスクの総量と種類で、取締役会と上級経営層が定めるもの。
- リスクトレランス特定の目的やリスクカテゴリに対して許容できる変動幅で、リスクアペタイトから導かれた定量・定性の具体的な閾値で表現したもの。
- リスクマネジメントリスクを特定・分析・評価・対応・監視・伝達し、組織が定めた許容範囲内に維持するための調整されたプロセス。
- リスク対応組織のリスク基準に基づき、リスクを受容・低減・移転・回避するなどして変化させるための意思決定と行動。
- リスク登録簿識別したリスクの説明・オーナー・スコア・対応・状況を一元管理し、組織のリスクエクスポージャを継続的に追跡するための生きた台帳。
- 隠蔽によるセキュリティ(Security by Obscurity)システムの設計・実装・所在を秘密にすること自体を主たる防御策とし、本質的な強度に依拠しないアプローチ。
- 脅威ベクター(Threat Vector)脅威アクターが攻撃を運ぶ経路や手段。攻撃ベクターとほぼ同義で使われるが、より脅威モデリング寄りのニュアンスをもつ。
- 脅威ランドスケープ組織・業種・地域が直面する脅威の最新像。アクター、戦術、マルウェアファミリー、脆弱性、時系列のトレンドを含む。
- 固有リスク統制や緩和策を適用する前の段階で活動や資産に存在するリスク水準であり、脅威に対する素のエクスポージャを示すもの。
- 攻撃ベクター攻撃者が標的への不正アクセスを得るために用いる具体的な経路や手法。フィッシング、CVE の悪用、盗取済み資格情報など。
- 残留リスク計画した統制と対応策を適用した後に残るリスクで、組織は受容・移転・追加対応のいずれかを選択する必要があるもの。
- 職務分掌(SoD)重要な業務を複数の人や系統に分割し、一人(一系統)だけでは完結できないようにする統制の原則。
- 全社的リスクマネジメント(ERM)戦略・財務・業務・コンプライアンス・サイバーといった全社のリスクを、事業目標に沿って統合的に識別・統治・対応するアプローチ。
- 多層防御(Defense in Depth)独立した対策を層状に重ね、単一の対策が破られても他の層が予防・検知・封じ込めを続けられるようにするセキュリティ戦略。
- 単一障害点(SPOF)そのコンポーネント単独の故障でシステム全体が停止する箇所。可用性、レジリエンス、復旧目標を著しく損なう。
- 定性的リスク分析発生可能性と影響を、金額や確率値ではなく低・中・高や 1〜5 などの記述的な尺度で評価するリスク分析手法。
- 定量的リスク分析発生可能性と影響を確率と金銭的損失分布などの数値で表現し、データに基づく意思決定を支えるリスク分析手法。