脆弱性
ナビゲーションに移動
検索に移動
脆弱性(ぜいじゃくせい、英: vulnerability)は情報セキュリティ・サイバーセキュリティの用語で、安全性上の弱点を指す。
ISO 27000における定義[編集]
ISO 27000およびそれと同等なJIS Q 27000(ISMSの用語を規定)では脆弱性を
一つ以上の脅威によって付け込まれる可能性のある資産または管理策の弱点[1]
とより厳密に定義している。
ここで
- 脅威(threat)とは「システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因」[2]
- (情報セキュリティ)インシデントとは「望まない単独若しくは一連の情報セキュリティ事象,又は予期しない単独若しくは一連の情報セキュリティ事象であって,事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの」[3]
- 管理策(control)とは「リスクを修正する対策」[4]
- リスクとは「目的に対する不確かさの影響」[5]
CAPECにおける脆弱性の分類[編集]
Mitre社のCAPECでは攻撃パターンによって脆弱性をツリー状に分類しており、その最上位の分類は以下のものである[6]:
| 分類 | 分類(邦訳) | 概要 |
|---|---|---|
| Engage in Deceptive Interactions[6] | 欺いたやりとりに従事する | 「標的を欺き、他の主体ととやりとりしているように見せかける為、標的と不正なやりとりを行う」攻撃パターン[7] |
| Abuse Existing Functionality[6] | 既存の機能を悪用する | 「悪事を達成する為、もしくは標的となる機能が影響を受けるほどにリソースを枯渇させる為、アプリケーションの1つ以上の機能を使ったり操ったり」[8]する攻撃パターン |
| Manipulate Data Structures[6] | データ構造を操る | 「システムのデータ構造の本来意図された使用方法や防御機構に違反するために、そのデータ構造の特徴を操ったり悪用したりする」[9]攻撃パターン |
| Manipulate System Resources[6] | システムリソースを操る | 「攻撃者が望む結果を得るために、1つ以上のリソースを操る」[10]攻撃パターン |
| Inject Unexpected Items[6] | 予想外のものを挿入する | 「入力インターフェースから細工されたデータを挿入するか、あるいはターゲットのシステムに悪意のあるコードをインストールして実行するかして、標的の行動をコントロールするか邪魔するかする」[11]攻撃パターン |
| Employ Probabilistic Techniques[6] | 確率的手法を採用する | 「標的を欺き、他の主体ととやりとりしているように見せかける為、標的と不正なやりとりを行う」攻撃パターン[7] |
| Manipulate Timing and State[6] | タイミングや状態を操作する | 「標的のコードやプロセスの実行フローの防御を回避した行動を取るために、関数の状態や呼び出しタイミングの弱点を利用する」[12]攻撃パターン |
| Collect and Analyze Information[6] | 情報を収集し、分析する | 「情報の収集と窃取に関する」[13]攻撃パターン |
| Subvert Access Control[6] | アクセスコントロールの破壊 | 「識別、認証、およびリソースへのアクセスや機能認可の管理に用いているメカニズムの弱点、制限、ないし仮定を能動的に悪用する」[14]攻撃パターン |
代表的な脆弱性[編集]
この節の加筆が望まれています。 (2018年12月) |
脚注[編集]
- ^ JIS Q 27000:2014 箇条 2.89。
- ^ JIS Q 13335-1 箇条 2.25、JIS Q 27000:2014 箇条 2.83。
- ^ JIS Q 27000:2014 箇条 2.36
- ^ JIS Q 27000:2014 箇条 2.16。
- ^ JIS Q 31000:2010 箇条 2.1、JIS Q 27000:2014 箇条 2.68。
- ^ a b c d e f g h i j “CAPEC-1000: Mechanisms of Attack”. 2018年11月30日閲覧。
- ^ a b “CAPEC-156: Engage in Deceptive Interactions”. 2018年11月30日閲覧。
- ^ “CAPEC-210: Abuse Existing Functionality”. 2018年11月30日閲覧。
- ^ “CAPEC-255: Manipulate Data Structures”. 2018年11月30日閲覧。
- ^ “CAPEC-262: Manipulate System Resources”. 2018年11月30日閲覧。
- ^ “CAPEC-152: Inject Unexpected Items”. 2018年11月30日閲覧。
- ^ “CAPEC-172: Manipulate Timing and State”. 2018年12月3日閲覧。
- ^ “CAPEC-118: Collect and Analyze Information”. 2018年12月3日閲覧。
- ^ “CAPEC-225: Subvert Access Control”. 2018年12月3日閲覧。
関連項目[編集]
外部リンク[編集]
- ISMS関連のISO/IECとJIS
- “JIS検索”. 日本工業標準調査会 JISC(Japanese Industrial Standards Committee). 2016年8月10日閲覧。 JIS本文を閲覧可能
- JIS Q 27000:2014 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語
- JIS Q 27001:2014 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項
- JIS Q 27002:2014 情報技術−セキュリティ技術−情報セキュリティ管理策の実践のための規範
- “JIS検索”. 日本工業標準調査会 JISC(Japanese Industrial Standards Committee). 2016年8月10日閲覧。 JIS本文を閲覧可能
- “CAPEC Common Attack Pattern Enumeration and Classification. A Common Resource for Identifying and Understanding Attacks”. Mitre. 2018年12月3日閲覧。
- “Welcome To The Web Application Security Consortium Project page”. 2018年12月10日閲覧。
- “WASC THREAD CLASSIFICATION version 2.0.0 (PDF)”. 2018年12月10日閲覧。
- “Web Security Consortium: 脅威の分類 version 1.0.0 (PDF)”. 2018年12月10日閲覧。
| ||||||||||||||||||||||