MITRE ATT&CK

まいたーあたっく

MITRE社が開発・公開している、サイバー攻撃の戦術（Tactics）と技法（Techniques）を体系的に分類したナレッジベース。攻撃者の行動パターンを理解し、防御策の検討やセキュリティ製品の評価に活用される。過去問でも出題されている。

攻撃フレームワークセキュリティ

情報セキュリティマネジメントの推進又は支援に関すること > 情報セキュリティに関する動向・事例の収集と分析

関連キーワードの用語

SCSTRIDE分析

Microsoftが考案した脅威分析手法。Spoofing（なりすまし）、Tampering（改ざん）、Repudiation（否認）、Information Disclosure（情報漏洩）、Denial of Service（サービス拒否）、Elevation of Privilege（権限昇格）の6つの脅威カテゴリで分類する。

SCサイバーキルチェーン

Lockheed Martin社が提唱したサイバー攻撃の段階モデル。偵察、武器化、配送、攻撃、インストール、遠隔操作（C&C）、目的達成の7段階で攻撃を分析し、各段階での防御策を検討する。

SCNIST サイバーセキュリティフレームワーク（CSF）

米国国立標準技術研究所（NIST）が策定したサイバーセキュリティ対策のフレームワーク。CSF 2.0では、GOVERN、IDENTIFY、PROTECT、DETECT、RESPOND、RECOVERの6つのコア機能で構成される。過去問で繰り返し出題されている重要用語。

SCサイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）

経済産業省が策定した、サイバー空間とフィジカル空間が融合するSociety 5.0時代のセキュリティ対策の枠組み。サプライチェーン全体のリスクを3層構造（企業間つながり、フィジカル・サイバー変換、サイバー空間）で整理する。

SCアタックサーフェス

攻撃者がシステムに対して攻撃を仕掛ける可能性のある全てのポイント（入口）の総称。ネットワークポート、API、Webフォーム、ユーザーインターフェースなどが含まれ、アタックサーフェスの最小化がセキュリティ設計の基本原則となる。

SCSQLインジェクション

Webアプリケーションの入力値を通じて不正なSQL文を挿入・実行させる攻撃手法。データの不正取得、改ざん、削除などが可能になる。対策としてプレースホルダ（バインド機構）の使用、入力値の検証、エスケープ処理、最小権限のDBアカウント使用がある。