IT用語帳

FIPS 140

Federal Information Processing Standards 140

ふぃっぷすいちよんまる

米国NISTが策定した暗号モジュールのセキュリティ要求事項に関する規格。暗号アルゴリズムの実装、鍵管理、物理的セキュリティなどを規定し、レベル1〜4の4段階でセキュリティ強度を評価する。IT製品の暗号機能の信頼性を保証するために使用される。
暗号規格評価セキュリティ
情報システムの企画・設計・開発・運用でのセキュリティ確保の推進又は支援に関すること > 製品・サービスのセキュアな導入

関連キーワードの用語

SCCRYPTREC

電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装・運用を調査・検討するプロジェクト。CRYPTREC暗号リスト(電子政府推奨暗号リスト、推奨候補暗号リスト、運用監視暗号リスト)を策定・公開している。過去問で繰り返し出題されている。

SCコモンクライテリア(CC)

IT製品やシステムのセキュリティ機能を評価するための国際標準規格(ISO/IEC 15408)。EAL(Evaluation Assurance Level)1〜7の保証レベルで評価し、ST(セキュリティターゲット)やPP(プロテクションプロファイル)を用いてセキュリティ要件を定義する。

SCISMS(情報セキュリティマネジメントシステム)

組織の情報セキュリティを管理するための仕組み。ISO/IEC 27001(JIS Q 27001)に基づき、リスクアセスメントを行い、適切な管理策を選定・実施・運用・監視・改善するPDCAサイクルを回す。ISMS適合性評価制度により第三者認証を受けることができる。

SC情報セキュリティガバナンス

経営陣が主導して、組織全体の情報セキュリティ活動を統治・管理するための枠組み。経営戦略と整合した情報セキュリティ方針の策定、資源配分、リスク管理の意思決定を含む。JIS Q 27014(ISO/IEC 27014)で規定されている。

SCISO/IEC 27001

ISMSの要求事項を規定する国際規格。組織がISMSを確立、実施、維持、継続的に改善するための要求事項を定める。日本ではJIS Q 27001として翻訳規格が発行されており、ISMS認証の基準となる。

SCISO/IEC 27002

情報セキュリティ管理策の実践規範を示す国際規格。ISO/IEC 27001の附属書Aに記載された管理策について、詳細な実施の手引きを提供する。組織的管理策、人的管理策、物理的管理策、技術的管理策の4分類で構成される。