📌 結論から理解する
標準化とガイドライン=「セキュリティの共通言語」
セキュリティの世界では、共通の基準・用語・手順を定めた標準(スタンダード)とガイドラインが多数存在します。
試験では「どの機関が何を定めているか」を整理して覚えることが重要です。
主要な組織・機関
ISO/IEC
国際標準化機構。ISMS(27001)、暗号規格など国際規格を制定
NIST
米国国立標準技術研究所。サイバーセキュリティフレームワーク(CSF)、パスワードガイドライン(SP 800-63)など
IPA
情報処理推進機構(日本)。「情報セキュリティ10大脅威」「セキュリティ対策のしおり」など日本語ガイドラインを提供
NISC
内閣サイバーセキュリティセンター。政府の情報セキュリティ政策を統括
OWASP
Webアプリセキュリティの非営利団体。OWASP Top 10などのガイドラインを公開
主要な標準・ガイドライン一覧
| 名称 | 概要 |
|---|---|
| ISO/IEC 27001 | ISMS認証の国際規格 |
| ISO/IEC 27002 | 情報セキュリティ管理策の実践ガイドライン |
| NIST CSF | サイバーセキュリティフレームワーク(特定・防御・検知・対応・復旧) |
| PCI DSS | クレジットカード情報保護の業界基準 |
| GDPR | EUの個人データ保護規則 |
| 共通脆弱性識別子(CVE) | 脆弱性に固有のIDを付与する国際的な仕組み |
| CVSS | 脆弱性の深刻度を数値化するスコアリングシステム(0〜10) |
NISTサイバーセキュリティフレームワーク(CSF)
識別
Identify
→
防御
Protect
→
検知
Detect
→
対応
Respond
→
復旧
Recover
NIST CSFの5機能(識別・防御・検知・対応・復旧)は試験頻出。順番も覚えておく。
CVSSスコアの読み方
CVSS(Common Vulnerability Scoring System)は脆弱性の深刻度を0〜10の数値で表します。
0〜3.9:低
4.0〜6.9:中
7.0〜8.9:高
9.0〜10.0:緊急
🧠 確認クイズ
Q1. ISMS認証の国際規格はどれか?
Q2. NISTサイバーセキュリティフレームワークの5機能の正しい順番は?
Q3. CVSSスコアが9.0以上の脆弱性のレベルは?