ja:intro:セキュアコーディングの目的
Differences
This shows you the differences between two versions of the page.
| Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
| ja:intro:セキュアコーディングの目的 [2017/07/01 23:52] – yohgaki | ja:intro:セキュアコーディングの目的 [2017/10/21 03:28] (current) – [セキュリティ対策の定義] yohgaki | ||
|---|---|---|---|
| Line 5: | Line 5: | ||
| **プログラムが正しく実行されること/ | **プログラムが正しく実行されること/ | ||
| - | ことにある。一般に脆弱性対策という場合、”攻撃可能な脆弱性修正”(攻撃防止)を意味する。しかし、ITセキュリティ対策は攻撃防止のみに留まらない。 | + | ことにある。一般に脆弱性対策という場合、”攻撃可能な脆弱性対策”(攻撃防止)を意味する。しかし、ITセキュリティ対策は攻撃防止のみに留まらない。 |
| ISO 27000/ | ISO 27000/ | ||
| - | * 機密性 | + | |
| - | * 完全性 | + | |
| - | * 可用性 | + | |
| - | * 信頼性 | + | |
| - | * 真正性 | + | |
| - | * 責任追跡性 | + | |
| - | * 否認防止 | + | |
| - | これら全ての性質を保証することを求めている。”攻撃可能な脆弱性修正”(攻撃防止)はセキュリティ対策の一部であり、これだけでは不十分である。 | + | これら全ての性質を保証することを求めている。”攻撃可能な脆弱性対策”(攻撃防止)はセキュリティ対策の一部であり、これだけでは不十分である。 |
| 2017年版OWASP TOP 10にはA7(第7番目の脆弱性)として「不十分な攻撃防御」(Insufficient Attack Protection)が追加された。十分な攻撃防御を行うにはセキュリティ対策の基礎である「境界防御」を「入力処理」で行う必要がある。 | 2017年版OWASP TOP 10にはA7(第7番目の脆弱性)として「不十分な攻撃防御」(Insufficient Attack Protection)が追加された。十分な攻撃防御を行うにはセキュリティ対策の基礎である「境界防御」を「入力処理」で行う必要がある。 | ||
| + | ===== セキュリティ対策の目的 ===== | ||
| + | 情報セキュリティ対策の目的は | ||
| + | |||
| + | * リスクを許容範囲内に抑えて情報システムを利用する | ||
| + | |||
| + | です。「リスクを廃除/削減すること」がセキュリティ対策の目的と勘違いはよく見られます。「リスクを廃除/削減すること」は情報セキュリティ対策の目的ではなく、手段に過ぎません。 | ||
| + | |||
| + | |||
| + | ===== セキュリティ対策の定義 ===== | ||
| + | |||
| + | 「セキュリティ対策」という用語の定義は人によって異る場合が多いです。このため「セキュリティ対策」ではなく「リスク対応策」と考える方が解りやすく、誤解も少なくなります。 | ||
| + | |||
| + | ISO 27000のリスク対応 | ||
| + | |||
| + | < | ||
| + | 2.71 | ||
| + | リスク対応 | ||
| + | リスクを変化 (2.61)させる為のプロセス(2.54) | ||
| + | |||
| + | ノート 1 | ||
| + | リスク対応には以下の項目を含める事ができる: | ||
| + | |||
| + | | ||
| + | | ||
| + | | ||
| + | | ||
| + | | ||
| + | | ||
| + | | ||
| + | |||
| + | ノート 2 | ||
| + | 否定的な結果をもたらす事象のリスク対応は、”リスク緩和策”、”リスク排除策”、”リスク防止策”、 | ||
| + | ”リスク削減策”などと呼ばれる事がある | ||
| + | |||
| + | ノート 3 | ||
| + | リスク対応は新しいリスクを生成したり、既存のリスクを変更することができる | ||
| + | </ | ||
ja/intro/セキュアコーディングの目的.1498953177.txt.gz · Last modified: 2017/07/01 23:52 by yohgaki
