セキュリティサイトまとめ

はじめに

セキュリティに関連するサイトについてまとめました。
セキュリテイに関する資料、脆弱性、ガイドライン等について記載しています。

情報セキュリティ編

• IPAの情報セキュリティ
  みなさんご存知、IPAの情報セキュリティ。セキュリティ コンテンツは盛り沢山。特に毎年、発行される情報セキュリティ10大脅威は必見です。

• JPCERT/CC
  日本国内で発生するセキュリティインシデントの受付窓口。公開資料のライブラリでは、ランサムウェアから過去に掲載したセキュリティ講座を参照できます。

• SecurityFocus
  セキュリティ情報を提供することを目的として、セキュリティに関する最新ニュースを掲載しています。

• NIST-CSRC（COMPUTER SECURITY RESOURCE CENTER）
  NISTが公開している情報セキュリティリソース

脆弱性編

• CVE（Common Vulnerabilities and Exposures）
  公開されているサイバーセキュリティの脆弱性に関する脆弱性情報データベースです。個々の脆弱性に固有のCVE番号を割り当てて、脆弱性を識別可能にしています。

• CVE Details
  製品名（Product Search）で検索すると、製品ごとの脆弱性情報が、脆弱性の深刻度（CVSS）と一緒に一覧表示されます。

• CWE（Common Weakness Enumeration）
  脆弱性の種類（SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフロー等）を脆弱性タイプとして分類した、CWE識別子（CWE-ID）で検索ができます。また、CWEが提供している脆弱性タイプ一覧のリスト(CWE List)では、共通の弱点タイプごとに体系化し整理されています。

• JVN（Japan Vulnerability Notes）
  日本で使用されているソフトウェアなどの脆弱性関連情報及び対策情報を提供している国内のポータルサイト。JVN内の識別子(※)については、脆弱性レポートの読み方を参照。また、JVN iPediaは日本国内の脆弱性対策情報データベースとなっており、脆弱性情報を提供しています。

(※)CVEは脆弱性情報データベースとしてベンダに依存しないため、文字コードでいうUTF-8、JVN内の識別子はShift_JISで考えると整理しやすいと思います。

• CVSS計算ツール
  評価結果からスコアの自動計算が可能

標的型攻撃編

• 「高度標的型攻撃」対策に向けたシステム設計ガイド
  IPAにより公開されている標的型攻撃から組織の情報システムを守るためのシステム設計ガイド

ガイドライン編

• 政府機関等の情報セキュリティ対策のための統一基準群（平成28年度版）
  国の行政機関等のサイバーセキュリティに関する対策の基準

• サイバーセキュリティ経営ガイドライン
  企業の経営者を対象としているサイバーセキュリテイに関するガイドライン

• PCI DSS（Payment Card Industry Data Security Standard）
  販売店や決済代行事業者等、クレジット業界におけるグローバルセキュリティ基準

ISMS編

• ISO/IEC 27001：2013（JIS Q 27001：2014）情報セキュリティマネジメントシステム−要求事項
  2013年に改訂されたISO/IEC27001を基に、技術的内容及び構成を変更することなく作成された日本工業規格。ISMSの概要、適用範囲、引用規格、用語の定義等が記載されています。

• ISO/IEC 27002：2013（JIS Q 27002：2014）情報セキュリティ管理策の実践のための規範
  2013年に改訂されたISO/IEC27002を基に、技術的内容及び構成を変更することなく作成された日本工業規格。組織がISMSを実戦するための規範となる文書で必要な管理策が示されています。

ニュース系

• INTERNET Watch
• セキュリティホール

その他

• CERT（Computer EmergencyReadiness Team）
  アメリカにあるインターネットセキュリティを扱う研究・開発センター。CSIRTの草分け的存在。
• SHODAN
  インターネット上で脆弱性のあるデバイスを検索することができる検索エンジン。インターネット上に公開されている様々な機器に関する情報をデータベース化し、検索可能としています。
• A Search Engine for Threats
  ドメイン、IPアドレスを入力して組織情報を調べることができる検索エンジン。ドメイン名から関連するWebサーバ、DNSサーバが調べられるので便利です。
• VirusTotal
  VirusTotal は、疑わしいファイルや URL を分析する無料のサービスです。標的型攻撃を受けた際にメールに添付された怪しいファイルはこちらで調べるといいと思います。
• RISKIQ
  独自のテクノロジーでインターネット上における自社サイトを可視化(※)してリスク管理を目的としているWebサービス。企業向けです。一部の機能は無償で使えるようです。

(※)特定のドメイン名にひも付いたIPアドレスの履歴が調べらるなどドメイン名やIPアドレスの調査に使えます。