ISO/SAE 21434:2021 路上走行車 — サイバーセキュリティ エンジニアリング (Road vehicles — Cybersecurity engineering) at 2021.08.31
こんにちは、丸山満彦です。
ISOとSAEが路上走行車のサイバーセキュリティエンジニアリングに関する標準を発行していましたね。。。
● ISO
・2021.08.31 ISO/SAE 21434:2021 Road vehicles — Cybersecurity engineering
● SAE
・2021.08.31 Road Vehicles - Cybersecurity Engineering ISO/SAE21434
ABSTRACT | 概要 |
This document specifies engineering requirements for cybersecurity risk management regarding concept, product development, production, operation, maintenance and decommissioning of electrical and electronic (E/E) systems in road vehicles, including their components and interfaces. | この規格は、路上走行車の電気・電子(E/E)システムのコンセプト、製品開発、生産、運用、保守、およびそれらのコンポーネントやインターフェースを含むデコミッショニングに関する、サイバーセキュリティ・リスク管理のためのエンジニアリング要件を規定している。 |
A framework is defined that includes requirements for cybersecurity processes and a common language for communicating and managing cybersecurity risk. | サイバーセキュリティ・プロセスの要件と、サイバーセキュリティ・リスクを伝達、管理するための共通言語を含むフレームワークが定義されている。 |
This document is applicable to series production road vehicle E/E systems, including their components and interfaces, whose development or modification began after the publication of this document. | この規格は、この規格の発行後に開発または変更が開始された、コンポーネントとインターフェースを含む量産道路車両のE/Eシステムに適用される。 |
This document does not prescribe specific technology or solutions related to cybersecurity. | この規格は、サイバーセキュリティに関連する特定の技術やソリューションを規定するものではない。 |
Foreword | 序文 |
Introduction | はじめに |
1 Scope | 1 適用範囲 |
2 Normative references | 2 引用規格 |
3 Terms, definitions and abbreviated terms | 3 定義及び略語 |
3.1 Terms and definitions | 3.1 用語及び定義 |
3.2 Abbreviated terms | 3.2 略語 |
4 General considerations | 4 一般的な考慮事項 |
5 Organizational cybersecurity management | 5 組織的なサイバーセキュリティ管理 |
5.1 General | 5.1 概要 |
5.2 Objectives | 5.2 目的 |
5.3 Inputs | 5.3 入力項目 |
5.4 Requirements and recommendations | 5.4 要求事項及び推奨事項 |
5.5 Work products | 5.5 成果物 |
6 Project dependent cybersecurity management | 6 プロジェクトに依存したサイバーセキュリティマネジメント |
6.1 General | 6.1 概要 |
6.2 Objectives | 6.2 目的 |
6.3 Inputs | 6.3 入力項目 |
6.4 Requirements and recommendations | 6.4 要求事項及び推奨事項 |
6.5 Work products | 6.5 作業成果物 |
7 Distributed cybersecurity activities | 7 分散型サイバーセキュリティ活動 |
7.1 General | 7.1 概要 |
7.2 Objectives | 7.2 目的 |
7.3 Inputs | 7.3 入力項目 |
7.4 Requirements and recommendations | 7.4 要求事項及び推奨事項 |
7.5 Work products | 7.5 作業成果物 |
8 Continual cybersecurity activities | 8 継続的なサイバーセキュリティ活動 |
8.1 General | 8.1 一般 |
8.2 Objectives | 8.2 目的 |
8.3 Cybersecurity monitoring | 8.3 サイバーセキュリティのモニタリング |
8.4 Cybersecurity event evaluation | 8.4 サイバーセキュリティ事象の評価 |
8.5 Vulnerability analysis | 8.5 脆弱性分析 |
8.6 Vulnerability management | 8.6 脆弱性管理 |
9 Concept | 9 概念 |
9.1 General | 9.1 一般 |
9.2 Objectives | 9.2 目的 |
9.3 Item definition | 9.3 アイテムの定義 |
9.4 Cybersecurity goals | 9.4 サイバーセキュリティの目標 |
9.5 Cybersecurity concept | 9.5 サイバーセキュリティのコンセプト |
10 Product development | 10 製品開発 |
10.1 General | 10.1 一般 |
10.2 Objectives | 10.2 目的 |
10.3 Inputs | 10.3 入力項目 |
10.4 Requirements and recommendations | 10.4 要求事項及び推奨事項 |
10.5 Work products | 10.5 成果物 |
11 Cybersecurity validation | 11 サイバーセキュリティ検証 |
11.1 General | 11.1 一般 |
11.2 Objectives | 11.2 目的 |
11.3 Inputs | 11.3 入力項目 |
11.4 Requirements and recommendations | 11.4 要求事項及び推奨事項 |
11.5 Work products | 11.5 ワークプロダクト |
12 Production | 12 製造 |
12.1 General | 12.1 一般 |
12.2 Objectives | 12.2 目的 |
12.3 Inputs | 12.3 入力項目 |
12.4 Requirements and recommendations | 12.4 要求事項及び推奨事項 |
12.5 Work products | 12.5 ワークプロダクト |
13 Operations and maintenance | 13 運用及び保守 |
13.1 General | 13.1 一般 |
13.2 Objectives | 13.2 目的 |
13.3 Cybersecurity incident response | 13.3 サイバーセキュリティのインシデント対応 |
13.4 Updates | 13.4 アップデート |
14 End of cybersecurity support and decommissioning | 14 サイバーセキュリティサポートの終了及びデコミッショニング |
14.1 General | 14.1 一般 |
14.2 Objectives | 14.2 目的 |
14.3 End of cybersecurity support | 14.3 サイバーセキュリティサポートの終了 |
14.4 Decommissioning | 14.4 デコミッショニング |
15 Threat analysis and risk assessment methods | 15 脅威分析及びリスクアセスメントの方法 |
15.1 General | 15.1 一般 |
15.2 Objectives | 15.2 目的 |
15.3 Asset identification | 15.3 資産の特定 |
15.4 Threat scenario identification | 15.4 脅威のシナリオの特定 |
15.5 Impact rating | 15.5 影響度評価 |
15.6 Attack path analysis | 15.6 攻撃経路の分析 |
15.7 Attack feasibility rating | 15.7 攻撃実行可能性評価 |
15.8 Risk value determination | 15.8 リスク値の決定 |
15.9 Risk treatment decision | 15.9 リスク処理の決定 |
Annex A Summary of cybersecurity activities and work products | 附属書A サイバーセキュリティ活動及び作業成果の概要 |
Annex B Examples of cybersecurity culture | 附属書B サイバーセキュリティ文化の例 |
Annex C Example of cybersecurity interface agreement template | 附属書C サイバーセキュリティ・インターフェース合意書テンプレートの例 |
Annex D Cybersecurity relevance – example methods and criteria | 附属書D サイバーセキュリティの関連性 - 方法と基準の例 |
Annex E Cybersecurity assurance levels | 附属書E サイバーセキュリティ保証レベル |
Annex F Guidelines for impact rating | 附属書F 影響度評価のガイドライン |
Annex G Guidelines for attack feasibility rating | 附属書G 攻撃の実行可能性評価に関するガイドライン |
Annex H Examples of application of TARA methods – headlamp system | 附属書H TARA手法の適用例-ヘッドランプシステム |
Table of contents | 目次 |
Foreword | 序文 |
Introduction | はじめに |
1 Scope | 1 適用範囲 |
2 Normative references | 2 引用規格 |
3 Terms, definitions and abbreviated terms | 3 定義及び略語 |
3.1 Terms and definitions | 3.1 用語及び定義 |
3.2 Abbreviated terms | 3.2 略語 |
4 General considerations | 4 一般的な考慮事項 |
5 Organizational cybersecurity management | 5 組織的なサイバーセキュリティ管理 |
5.1 General | 5.1 概要 |
5.2 Objectives | 5.2 目的 |
5.3 Inputs | 5.3 入力項目 |
5.3.1 Prerequisites | 5.3.1 前提条件 |
5.3.2 Further supporting information | 5.3.2 その他の補足情報 |
5.4 Requirements and recommendations | 5.4 要求事項及び推奨事項 |
5.4.1 Cybersecurity governance | 5.4.1 サイバーセキュリティガバナンス |
5.4.2 Cybersecurity culture | 5.4.2 サイバーセキュリティ文化 |
5.4.3 Information sharing | 5.4.3 情報共有 |
5.4.4 Management systems | 5.4.4 管理システム |
5.4.5 Tool management | 5.4.5 ツールマネジメント |
5.4.6 Information security management | 5.4.6 情報セキュリティマネジメント |
5.4.7 Organizational cybersecurity audit | 5.4.7 組織的なサイバーセキュリティ監査 |
5.5 Work products | 5.5 成果物 |
6 Project dependent cybersecurity management | 6 プロジェクトに依存したサイバーセキュリティマネジメント |
6.1 General | 6.1 概要 |
6.2 Objectives | 6.2 目的 |
6.3 Inputs | 6.3 入力項目 |
6.3.1 Prerequisites | 6.3.1 前提条件 |
6.3.2 Further supporting information | 6.3.2 その他の補足情報 |
6.4 Requirements and recommendations | 6.4 要求事項及び推奨事項 |
6.4.1 Cybersecurity responsibilities | 6.4.1サイバーセキュリティに関する責任 |
6.4.2 Cybersecurity planning | 6.4.2 サイバーセキュリティの計画 |
6.4.3 Tailoring | 6.4.3 テーラリング |
6.4.4 Reuse | 6.4.4 再利用 |
6.4.5 Component out-of-context | 6.4.5 コンテキスト外のコンポーネント |
6.4.6 Off-the-shelf component | 6.4.6 既製品のコンポーネント |
6.4.7 Cybersecurity case | 6.4.7 サイバーセキュリティのケース |
6.4.8 Cybersecurity assessment | 6.4.8 サイバーセキュリティのアセスメント |
6.4.9 Release for post-development | 6.4.9 開発後のリリース |
6.5 Work products | 6.5 作業成果物 |
7 Distributed cybersecurity activities | 7 分散型サイバーセキュリティ活動 |
7.1 General | 7.1 概要 |
7.2 Objectives | 7.2 目的 |
7.3 Inputs | 7.3 入力項目 |
7.4 Requirements and recommendations | 7.4 要求事項及び推奨事項 |
7.4.1 Supplier capability | 7.4.1 供給者の能力 |
7.4.2 Request for quotation | 7.4.2 見積もりの依頼 |
7.4.3 Alignment of responsibilities | 7.4.3 責任の所在の確認 |
7.5 Work products | 7.5 作業成果物 |
8 Continual cybersecurity activities | 8 継続的なサイバーセキュリティ活動 |
8.1 General | 8.1 一般 |
8.2 Objectives | 8.2 目的 |
8.3 Cybersecurity monitoring | 8.3 サイバーセキュリティのモニタリング |
8.3.1 Inputs | 8.3.1 入力項目 |
8.3.2 Requirements and recommendations | 8.3.2 要求事項及び推奨事項 |
8.3.3 Work products | 8.3.3 作業成果物 |
8.4 Cybersecurity event evaluation | 8.4 サイバーセキュリティ事象の評価 |
8.4.1 Inputs | 8.4.1 入力項目 |
8.4.2 Requirements and recommendations | 8.4.2 要求事項及び推奨事項 |
8.4.3 Work products | 8.4.3 作業成果物 |
8.5 Vulnerability analysis | 8.5 脆弱性分析 |
8.5.1 Inputs | 8.5.1 入力項目 |
8.5.2 Requirements and recommendations | 8.5.2 要求事項及び推奨事項 |
8.5.3 Work products | 8.5.3 作業成果物 |
8.6 Vulnerability management | 8.6 脆弱性管理 |
8.6.1 Inputs | 8.6.1 入力項目 |
8.6.2 Requirements and recommendations | 8.6.2 要求事項及び推奨事項 |
8.6.3 Work products | 8.6.3 作業成果物 |
9 Concept | 9 概念 |
9.1 General | 9.1 一般 |
9.2 Objectives | 9.2 目的 |
9.3 Item definition | 9.3 アイテムの定義 |
9.3.1 Inputs | 9.3.1 入力項目 |
9.3.2 Requirements and recommendations | 9.3.2 要求事項及び推奨事項 |
9.3.3 Work products | 9.3.3 作業成果物 |
9.4 Cybersecurity goals | 9.4 サイバーセキュリティの目標 |
9.4.1 Inputs | 9.4.1 入力項目 |
9.4.2 Requirements and recommendations | 9.4.2 要求事項及び推奨事項 |
9.4.3 Work products | 9.4.3 作業成果物 |
9.5 Cybersecurity concept | 9.5 サイバーセキュリティのコンセプト |
9.5.1 Inputs | 9.5.1 入力項目 |
9.5.2 Requirements and recommendations | 9.5.2 要求事項及び推奨事項 |
9.5.3 Work products | 9.5.3 ワークプロダクト |
10 Product development | 10 製品開発 |
10.1 General | 10.1 一般 |
10.2 Objectives | 10.2 目的 |
10.3 Inputs | 10.3 入力項目 |
10.3.1 Prerequisites | 10.3.1 前提条件 |
10.3.2 Further supporting information | 10.3.2 その他の補足情報 |
10.4 Requirements and recommendations | 10.4 要求事項及び推奨事項 |
10.4.1 Design | 10.4.1 設計 |
10.4.2 Integration and verification | 10.4.2 統合及び検証 |
10.5 Work products | 10.5 成果物 |
11 Cybersecurity validation | 11 サイバーセキュリティ検証 |
11.1 General | 11.1 一般 |
11.2 Objectives | 11.2 目的 |
11.3 Inputs | 11.3 入力項目 |
11.3.1 Prerequisites | 11.3.1 前提条件 |
11.3.2 Further supporting information | 11.3.2 その他の補足情報 |
11.4 Requirements and recommendations | 11.4 要求事項及び推奨事項 |
11.5 Work products | 11.5 ワークプロダクト |
12 Production | 12 製造 |
12.1 General | 12.1 一般 |
12.2 Objectives | 12.2 目的 |
12.3 Inputs | 12.3 入力項目 |
12.3.1 Prerequisites | 12.3.1 前提条件 |
12.3.2 Further supporting information | 12.3.2 その他の補足情報 |
12.4 Requirements and recommendations | 12.4 要求事項及び推奨事項 |
12.5 Work products | 12.5 ワークプロダクト |
13 Operations and maintenance | 13 運用及び保守 |
13.1 General | 13.1 一般 |
13.2 Objectives | 13.2 目的 |
13.3 Cybersecurity incident response | 13.3 サイバーセキュリティのインシデント対応 |
13.3.1 Inputs | 13.3.1 入力項目 |
13.3.2 Requirements and recommendations | 13.3.2 要求事項及び推奨事項 |
13.3.3 Work products | 13.3.3 作業成果物 |
13.4 Updates | 13.4 アップデート |
13.4.1 Inputs | 13.4.1 入力項目 |
13.4.2 Requirements and recommendations | 13.4.2 要求事項及び推奨事項 |
13.4.3 Work products | 13.4.3 作業成果物 |
14 End of cybersecurity support and decommissioning | 14 サイバーセキュリティサポートの終了及びデコミッショニング |
14.1 General | 14.1 一般 |
14.2 Objectives | 14.2 目的 |
14.3 End of cybersecurity support | 14.3 サイバーセキュリティサポートの終了 |
14.3.1 Inputs | 14.3.1 入力項目 |
14.3.2 Requirements and recommendations | 14.3.2 要求事項及び推奨事項 |
14.3.3 Work products | 14.3.3 作業成果物 |
14.4 Decommissioning | 14.4 デコミッショニング |
14.4.1 Inputs | 14.4.1 インプット |
14.4.2 Requirements and recommendations | 14.4.2 要求事項及び推奨事項 |
14.4.3 Work products | 14.4.3 作業成果物 |
15 Threat analysis and risk assessment methods | 15 脅威分析及びリスクアセスメントの方法 |
15.1 General | 15.1 一般 |
15.2 Objectives | 15.2 目的 |
15.3 Asset identification | 15.3 資産の特定 |
15.3.1 Inputs | 15.3.1 入力項目 |
15.3.2 Requirements and recommendations | 15.3.2 要求事項及び推奨事項 |
15.3.3 Work products | 15.3.3 成果物 |
15.4 Threat scenario identification | 15.4 脅威のシナリオの特定 |
15.4.1 Inputs | 15.4.1 入力項目 |
15.4.2 Requirements and recommendations | 15.4.2 要求事項及び推奨事項 |
15.4.3 Work products | 15.4.3 成果物 |
15.5 Impact rating | 15.5 影響度評価 |
15.5.1 Inputs | 15.5.1 入力内容 |
15.5.2 Requirements and recommendations | 15.5.2 要求事項及び推奨事項 |
15.5.3 Work products | 15.5.3 成果物 |
15.6 Attack path analysis | 15.6 攻撃経路の分析 |
15.6.1 Inputs | 15.6.1 入力項目 |
15.6.2 Requirements and recommendations | 15.6.2 要求事項及び推奨事項 |
15.6.3 Work products | 15.6.3 成果物 |
15.7 Attack feasibility rating | 15.7 攻撃実行可能性評価 |
15.7.1 Inputs | 15.7.1 入力項目 |
15.7.2 Requirements and recommendations | 15.7.2 要求事項及び推奨事項 |
15.7.3 Work products | 15.7.3 作業成果 |
15.8 Risk value determination | 15.8 リスク値の決定 |
15.8.1 Inputs | 15.8.1 入力項目 |
15.8.2 Requirements and recommendations | 15.8.2 要求事項及び推奨事項 |
15.8.3 Work products | 15.8.3 作業成果物 |
15.9 Risk treatment decision | 15.9 リスク処理の決定 |
15.9.1 Inputs | 15.9.1 入力項目 |
15.9.2 Requirements and recommendations | 15.9.2 要求事項及び推奨事項 |
15.9.3 Work products | 15.9.3 作業成果 |
Annex A Summary of cybersecurity activities and work products | 附属書A サイバーセキュリティ活動及び作業成果の概要 |
A.1 General | A.1 概要 |
A.2 Overview of cybersecurity activities and work products | A.2 サイバーセキュリティ活動及び作業成果物の概要 |
Annex B Examples of cybersecurity culture | 附属書B サイバーセキュリティ文化の例 |
Annex C Example of cybersecurity interface agreement template | 附属書C サイバーセキュリティ・インターフェース合意書テンプレートの例 |
C.1 General | C.1 一般 |
C.2 Example template | C.2 テンプレートの例 |
Annex D Cybersecurity relevance – example methods and criteria | 附属書D サイバーセキュリティの関連性 - 方法と基準の例 |
D.1 General | D.1 一般 |
D.2 Methods | D.2 方法 |
Annex E Cybersecurity assurance levels | 附属書E サイバーセキュリティ保証レベル |
E.1 General | E.1 一般 |
E.2 Determining a CAL | E.2 CALの決定 |
E.3 Using a CAL | E.3 CALの使用 |
E.3.1 General considerations | E.3.1 一般的考慮事項 |
E.3.2 Concept | E.3.2 コンセプト |
E.3.3 Product development | E.3.3 製品開発 |
Annex F Guidelines for impact rating | 附属書F 影響度評価のガイドライン |
F.1 General | F.1 一般 |
F.2 Impact rating for safety damage | F.2 安全上の損害に対する影響度評価 |
F.3 Impact rating for financial damage | F.3 金銭的損害に対する影響度評価 |
F.4 Impact rating for operational damage | F.4 運用上の損害に対する影響度評価 |
F.5 Impact rating for privacy damage | F.5 プライバシー被害に対する影響評価 |
Annex G Guidelines for attack feasibility rating | 附属書G 攻撃の実行可能性評価に関するガイドライン |
G.1 General | G.1 一般 |
G.2 Guidelines for the attack potential-based approach | G.2 攻撃の可能性に基づくアプローチのためのガイドライン |
G.2.1 Background on attack potential | G.2.1 攻撃の可能性に関する背景 |
G.2.2 Example of adaptation of the parameters | G.2.2 パラメータの適応例 |
G.2.2.1 Example customization of elapsed time | G.2.2.1 経過時間のカスタマイズ例 |
G.2.2.2 Example customization of specialist expertise | G.2.2.2 専門家の専門性のカスタマイズ例 |
G.2.2.3 Example customization of knowledge of the item or component | G.2.2.3 アイテムまたはコンポーネントに関する知識のカスタマイズ例 |
G.2.2.4 Example customization of window of opportunity | G.2.2.4 機会の窓のカスタマイズ例 |
G.2.2.5 Example customization of equipment | G.2.2.5 機器のカスタマイズ例 |
G.2.2.6 Example mapping between attack potential and attack feasibility | G.2.2.6 攻撃の可能性と攻撃の実行可能性のマッピングの例 |
G.3 Guidelines for the CVSS-based approach | G.3 CVSSベースのアプローチに関するガイドライン |
G.4 Guidelines for the attack vector-based approach | G.4 攻撃ベクトルベースのアプローチのためのガイドライン |
Annex H Examples of application of TARA methods – headlamp system | 附属書H TARA手法の適用例-ヘッドランプシステム |
H.1 General | H.1 概要 |
H.2 Example activities for concept phase of a headlamp system | H.2 ヘッドランプシステムのコンセプトフェーズにおける活動例 |
H.2.1 Item definition | H.2.1 アイテムの定義 |
H.2.2 Asset identification | H.2.2 資産の特定 |
H.2.3 Impact rating | H.2.3 インパクト評価 |
H.2.4 Threat scenario identification | H.2.4 脅威のシナリオの特定 |
H.2.5 Attack path analysis | H.2.5 攻撃経路の分析 |
H.2.6 Attack feasibility rating | H.2.6 攻撃の実行可能性の評価 |
H.2.7 Risk value determination | H.2.7 リスク値の決定 |
H.2.8 Risk treatment decision | H.2.8 リスク処理の決定 |
BIBLIOGRAPHY | 参考文献 |
Figures | 図 |
Figure 1 — Overview of this document | 図1 - 本文書の概要 |
Figure 2 — Overall cybersecurity risk management | 図2-サイバーセキュリティのリスク管理の全体像 |
Figure 3 — Relationship between item, function, component and related terms | 図3 - 項目、機能、構成要素及び関連用語の関係 |
Figure 4 — Cybersecurity governance | 図4 - サイバーセキュリティのガバナンス |
Figure 5 — Integration of off-the-shelf and out-of-context components | 図5 - 既製品とコンテキスト外のコンポーネントの統合 |
Figure 6 — Reuse analysis examples | 図6 - 再利用の分析例 |
Figure 7 — Cybersecurity assessment in relation to other cybersecurity activities | 図7 - 他のサイバーセキュリティ活動との関連におけるサイバーセキュリティの評価 |
Figure 8 — Use cases for customer/supplier relationships in the supply chain | 図8 - サプライチェーンにおける顧客/供給者関係の使用例 |
Figure 9 — Example of product development activities in the V-model | 図9 - V-モデルにおける製品開発活動の例 |
Figure C.1 — Example of a cybersecurity interface agreement template | 図C.1 - サイバーセキュリティのインターフェース契約のテンプレートの例 |
Figure D.1 — Cybersecurity relevance example method and criteria | 図D.1 - サイバーセキュリティの関連性の例示方法と基準 |
Figure E.1 — Relationship between a CAL and risk | 図E.1 - CALとリスクの関係 |
Figure H.1 — Interactions in concept phase | 図H.1 - 概念段階における相互作用 |
Figure H.2 — Example of item boundary and preliminary architecture of the headlamp system | 図H.2 - ヘッドランプシステムのアイテム境界と予備的アーキテクチャの例 |
Figure H.3 — Example of an attack path derived by attack tree analysis | 図H.3 - 攻撃ツリー分析によって得られる攻撃経路の例 |
Tables | 表 |
Table 1 — Attack feasibility ratings and respective descriptions | 表1 - 攻撃の実行可能性の評価とそれぞれの説明 |
Table A.1 — Cybersecurity activities and work products of this document | 表A.1 - この規格のサイバーセキュリティ活動と作業成果 |
Table B.1 — Examples of weak and strong cybersecurity culture | 表B.1 - 弱いサイバーセキュリティ文化と強いサイバーセキュリティ文化の例 |
Table E.1 — Example CAL determination based on impact and attack vector parameters | 表E.1 - 影響及び攻撃ベクトルのパラメータに基づくCALの決定例 |
Table E.2 — Example number of CALs and expected rigour in cybersecurity assurance measures | 表E.2 - サイバーセキュリティ保証措置におけるCALの数と期待される厳密さの例 |
Table E.3 — Example of level of independence of cybersecurity activities | 表E.3 - サイバーセキュリティ活動の独立性のレベルの例 |
Table E.4 — Example of parameters of testing methods | 表E.4 - 試験方法のパラメータの例 |
Table F.1 — Example safety impact rating criteria | 表F.1 - 安全性の影響評価基準の例 |
Table F.2 — Example financial impact rating criteria | 表F.2 - 財務上の影響評価基準の例 |
Table F.3 — Example operational impact rating criteria | 表F.3 - 運用上の影響評価基準の例 |
Table F.4 — Example privacy impact rating criteria | 表F.4 - プライバシーへの影響評価基準の例 |
Table G.1 — Elapsed time | 表G.1 - 経過時間 |
Table G.2 — Specialist expertise | 表G.2 - 専門的知識 |
Table G.3 — Knowledge of the item or component | 表G.3 - アイテムまたはコンポーネントに関する知識 |
Table G.4 — Window of opportunity | 表G.4 - 機会の窓 |
Table G.5 — Equipment | 表G.5 - 設備 |
Table G.6 — Example aggregation of attack potential | 表G.6 - 攻撃の可能性の集計例 |
Table G.7 — Example attack potential mapping | 表G.7 - 攻撃の可能性のマッピングの例 |
Table G.8 — Example CVSS exploitability mapping | 表G.8 - CVSS 攻撃可能性のマッピングの例 |
Table G.9 — Attack vector-based approach | 表G.9 - 攻撃ベクトルベースのアプローチ |
Table H.1 — Example description of the operational environment | 表H.1 - 運用環境の記述例 |
Table H.2 — Example list of assets and damage scenarios | 表H.2 - 資産のリストと損害シナリオの例 |
Table H.3 — Example of impact ratings for damage scenarios | 表H.3 - 損害シナリオの影響度評価の例 |
Table H.4 — Example threat scenarios | 表H.4 - 脅威シナリオの例 |
Table H.5 — Example attack paths for threat scenarios | 表H.5 - 脅威シナリオの攻撃経路の例 |
Table H.6 — Examples of attack feasibility rating with the attack vector-based approach | 表H.6 - 攻撃ベクトルベースのアプローチによる攻撃の実行可能性評価の例 |
Table H.7 — Examples of attack feasibility rating with the attack potential-based approach | 表H.7 - 攻撃の可能性に基づくアプローチによる攻撃の実行可能性評価の例 |
Table H.8 — Risk matrix example | 表H.8 - リスクマトリックスの例 |
Table H.9 — Examples of determined risk values | 表H.9 - 決定されたリスク値の例 |
Table H.10 — Example translation of impact and attack feasibility to numerical values | 表H.10 - 影響度と攻撃実行可能性の数値への変換例 |
Table H.11 — Example results of risk treatment decision | 表H.11 - リスク処理の決定結果の例 |
« 欧州委員会 39億超の実世界のアカウントのパスワードの推測可能性分析 | Main | 英国 データ保護局 (ICO) のブログ Cookie承諾の茶番はやめて、そろそろ真面目に考えようとG7の個人データ・プライバシー関連当局に呼びかける... »
Comments