03114　せの最近のブログ記事

【脆弱性】

脅威によって影響を受けうる資産又は資産グループの弱さ。
システム上の欠陥や仕様上の問題点等のこと。
情報システムは進化し、より便利なものとなっているが、複雑なシステムは数々のもろさもあわせて露見させている。

ソフトウェアのバグや仕様上の欠陥だけではなく、想定外の利用形態や設計段階における不備も脆弱性として露見する場合も数多く見られる。
オンライン化が進み利便性が増加する反面、システムは複雑になり種々のもろさも発生している。

【是正処置】Corrective Action　

通常の業務を行なっているなかや、定期的な監査等にて検出した不適合又はその他の検出された望ましくない状況の原因を除去するための処置

【セキュリティ方針モデル】security policy model

CC(Common Criteria)の規定
セキュリティの方針を構造的に表現したもの。
セキュリティ機能仕様がセキュリティ方針に一致し、
最終的にセキュリティ機能要件に一致していることを保証するために使用する。

(例）
アクセス制御方針モデル、情報フロー方針モデル等

【セキュリティ評価基準】security evaluation criteria

コンピュータシステムのセキュリティ要件を客観的に評価する基準。
セキュリティ要件は機能要件と保証要件からなる。

【セキュリティ対策方針】security objective

CC(Common Criteria)の規定
識別された脅威に対抗するためのセキュリティ方針
組織のセキュリティ方針や前提を満足するために必要なセキュリティ方針。
セキュリティターゲットの中で、評価対象セキュリティ環境
（脅威、組織のセキュリティ方針、前提）への対抗や対応として規定される。

【セキュリティ対策】security counter measure

リスクを低減する実践、手順、またはメカニズム、仕組み

【セキュリティ属性】security attribute

CC(Common Criteria)の規定
評価対象セキュリティ方針の実施を目的として用いられるサブジェクト、利用者、オブジェクトに関してその特性を規定した情報。

【セキュリティ機能】security function

CC(Common Criteria)の規定。評価対象セキュリティ方針が規定する、規則を遵守するために必要となる評価対象。

【セキュリティリスク】Security Risk

脅威が、資産または資産グループの脆弱性を利用して、資産への損失、又は損害を与える可能性。

【セキュリティホール 】security hole

ソフトウェアプログラム設計上のミスなどが原因でシステムに生じたセキュリティ上の弱点。