IT用語帳

STRIDE分析

STRIDE Analysis

すとらいどぶんせき

Microsoftが考案した脅威分析手法。Spoofing(なりすまし)、Tampering(改ざん)、Repudiation(否認)、Information Disclosure(情報漏洩)、Denial of Service(サービス拒否)、Elevation of Privilege(権限昇格)の6つの脅威カテゴリで分類する。
脅威分析フレームワークセキュリティ
情報セキュリティマネジメントの推進又は支援に関すること > 情報セキュリティリスクアセスメント

関連キーワードの用語

SCアタックツリー分析

攻撃の目標をルートに置き、その目標を達成するための手段をツリー構造で分解していく脅威分析手法。攻撃経路の網羅的な洗い出しや、対策の優先順位付けに用いる。

SCMITRE ATT&CK

MITRE社が開発・公開している、サイバー攻撃の戦術(Tactics)と技法(Techniques)を体系的に分類したナレッジベース。攻撃者の行動パターンを理解し、防御策の検討やセキュリティ製品の評価に活用される。過去問でも出題されている。

SCNIST サイバーセキュリティフレームワーク(CSF)

米国国立標準技術研究所(NIST)が策定したサイバーセキュリティ対策のフレームワーク。CSF 2.0では、GOVERN、IDENTIFY、PROTECT、DETECT、RESPOND、RECOVERの6つのコア機能で構成される。過去問で繰り返し出題されている重要用語。

SCサイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)

経済産業省が策定した、サイバー空間とフィジカル空間が融合するSociety 5.0時代のセキュリティ対策の枠組み。サプライチェーン全体のリスクを3層構造(企業間つながり、フィジカル・サイバー変換、サイバー空間)で整理する。

SGプライバシーフレームワーク

組織がプライバシー保護のための方針・管理策を体系的に整備するための枠組み。プライバシーリスクの特定・評価・対応を組織的に行うための指針を提供する。

SCISMS(情報セキュリティマネジメントシステム)

組織の情報セキュリティを管理するための仕組み。ISO/IEC 27001(JIS Q 27001)に基づき、リスクアセスメントを行い、適切な管理策を選定・実施・運用・監視・改善するPDCAサイクルを回す。ISMS適合性評価制度により第三者認証を受けることができる。