SIM3

政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することによって、政府のクラウドサービス調達におけるセキュリティ水準の確保を図る制度。ISMAP-LIUはリスクの小さいSaaSサービスを対象とした制度。

IT製品やシステムのセキュリティ機能を評価するための国際標準規格（ISO/IEC 15408）。EAL（Evaluation Assurance Level）1〜7の保証レベルで評価し、ST（セキュリティターゲット）やPP（プロテクションプロファイル）を用いてセキュリティ要件を定義する。

米国NISTが策定した暗号モジュールのセキュリティ要求事項に関する規格。暗号アルゴリズムの実装、鍵管理、物理的セキュリティなどを規定し、レベル1〜4の4段階でセキュリティ強度を評価する。IT製品の暗号機能の信頼性を保証するために使用される。

攻撃者の視点でシステムに対して実際に攻撃を試み、セキュリティ上の弱点を発見するテスト手法。ネットワーク、Webアプリケーション、IoT機器などを対象に、脆弱性の悪用可能性や侵入の影響範囲を検証する。脆弱性診断より実践的な評価が得られる。

脆弱性の深刻度を0.0〜10.0のスコアで定量的に評価するための国際的な基準。基本評価基準（脆弱性の技術的特性）、現状評価基準（攻撃コードの有無等）、環境評価基準（組織固有の影響）の3つの評価基準から構成される。

情報セキュリティインシデントの検知・連絡受付からトリアージ、インシデントレスポンス（対応）、報告・情報公開に至る一連のプロセスの総称。CSIRTが中心となって実施し、被害の拡大防止と早期復旧を図る。