IT用語帳

情報セキュリティ早期警戒パートナーシップ

Information Security Early Warning Partnership

じょうほうせきゅりてぃそうきけいかいぱーとなーしっぷ

ソフトウェア等の脆弱性情報を適切にハンドリングするための官民連携の枠組み。発見者がIPAに届出を行い、JPCERT/CCが開発者との調整を行った上で、JVNを通じて脆弱性情報を公開する。
情報共有脆弱性制度セキュリティ
情報セキュリティマネジメントの推進又は支援に関すること > 関係者とのコミュニケーション

関連キーワードの用語

SCJVN

日本で使用されているソフトウェアの脆弱性情報とその対策情報を提供するポータルサイト。JPCERT/CCとIPAが共同で運営し、脆弱性の概要、影響範囲、対策方法などを公開する。CVE-IDやCVSSスコアと連携して情報提供を行う。

SCバグバウンティプログラム

外部のセキュリティ研究者やホワイトハッカーに自社製品・サービスの脆弱性の発見と報告を依頼し、発見された脆弱性に対して報奨金を支払う制度。脆弱性の早期発見とセキュリティ品質の向上を目的とする。

SCSTIX/TAXII

STIX(Structured Threat Information eXpression)は脅威情報を構造化して記述するための形式。TAXII(Trusted Automated eXchange of Indicator Information)はSTIXで記述された脅威情報を自動的に交換するためのプロトコル。組織間でのサイバー脅威情報の共有に活用される。

SCISMAP(政府情報システムのためのセキュリティ評価制度)

政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することによって、政府のクラウドサービス調達におけるセキュリティ水準の確保を図る制度。ISMAP-LIUはリスクの小さいSaaSサービスを対象とした制度。

SCNOTICE

総務省及びNICTが2019年から実施しているIoT機器のセキュリティ対策プロジェクト。国内のグローバルIPアドレスを有するIoT機器に対して、容易に推測されるパスワードを入力し、脆弱な機器の利用者に注意喚起を行う取り組み。

SCJ-CSIP(サイバー情報共有イニシアティブ)

IPAが運用する、重工・重電等の重要インフラ事業者間でサイバー攻撃情報を共有する取組み。参加組織間で標的型攻撃等の情報を秘密保持契約のもとで共有し、被害の拡大防止と早期対応を図る。