セキュリティ リスク管理ガイド付録 D: 脆弱性公開日: 2005年1月13日 この付録は、さまざまな種類の組織に影響を及ぼす脆弱性を一覧にしたものです。 この一覧はすべてを包括するものではありません。また、固定的なものではないため、記載内容は今後変わる可能性があります。 したがって、プロジェクトの「リスクの評価」フェーズでは、この一覧から組織に関係のない脆弱性を除き、新たに特定された脆弱性を追加することが重要です。 この一覧を参照および出発点として利用すると、組織のセキュリティ リスク管理を進める上で便利です。 表 D.1: 脆弱性 脆弱性の大分類クラス | 脆弱性の簡単な説明 | 具体例 (記載可能な場合) | 物理的問題 | 施錠されていないドア | | 物理的問題 | コンピュータ施設への無防備なアクセス | | 物理的問題 | 不十分な防火システム | | 物理的問題 | 貧弱な設計の建物 | | 物理的問題 | 貧弱な構造の建物 | | 物理的問題 | 建築材として引火性の資材を使用 | | 物理的問題 | 仕上げ材として引火性の資材を使用 | | 物理的問題 | 施錠されていない窓 | | 物理的問題 | 物理的な衝撃に弱い壁 | | 物理的問題 | 天井と床で部屋が完全に密閉されない内壁 | | 自然 | 断層線上に建てられた施設 | | 自然 | 洪水地帯に建てられた施設 | | 自然 | 雪崩の起きる地域に建てられた施設 | | ハードウェア | 更新プログラムの不足 | | ハードウェア | 古いファームウェア | | ハードウェア | 誤った構成のシステム | | ハードウェア | 物理的に保護されていないシステム | | ハードウェア | 公共インターフェイス経由で許可された管理プロトコル | | ソフトウェア | 古いウイルス対策ソフトウェア | | ソフトウェア | 更新プログラムの不足 | | ソフトウェア | 品質の低いアプリケーション | クロスサイト スクリプティング | ソフトウェア | 品質の低いアプリケーション | SQL インジェクション | ソフトウェア | 品質の低いアプリケーション | バッファ オーバーフローなどコードの弱点 | ソフトウェア | 故意に設定された弱点 | 管理またはシステム回復用のベンダ バックドア | ソフトウェア | 故意に設定された弱点 | キーロガーなどのスパイウェア | ソフトウェア | 故意に設定された弱点 | トロイの木馬 | ソフトウェア | 故意に設定された弱点 | | ソフトウェア | 構成エラー | 手動プロビジョニングの結果による一貫性のない構成 | ソフトウェア | 構成エラー | 強化されていないシステム | ソフトウェア | 構成エラー | 監査されていないシステム | ソフトウェア | 構成エラー | 監視されていないシステム | メディア | 混信 | | 通信 | 暗号化されていないネットワーク プロトコル | | 通信 | 複数のネットワークへの接続 | | 通信 | 許可された不必要なプロトコル | | 通信 | ネットワーク セグメント間のフィルタの未設定 | | 人間 | 明確に定義されていない処理手順 | インシデント対応の準備が不十分 | 人間 | 明確に定義されていない処理手順 | 手動によるプロビジョニング | 人間 | 明確に定義されていない処理手順 | 災害復旧計画が不十分 | 人間 | 明確に定義されていない処理手順 | 運用システムでのテストの実施 | 人間 | 明確に定義されていない処理手順 | 侵入が報告されない | 人間 | 明確に定義されていない処理手順 | 変更管理が不十分 | 人間 | 資格情報の盗難 | |
| |
|
|
