C
CAN, Controller Area Network【キャン】(略)2線のCSMA/CA方式の通信規格。自動車のネットワークに広く用いられている。
capability【
① 組織にマネジメントシステムが存在し、それが機能している様。
② 個人のサイバーセキュリティに関する知識、経験、問題解決力。
― examination【―
center【センター】(略)〔非推奨〕データセンターのこと。⇒server
CIA【シィアイエー】(略)機密性、完全性、可用性の頭文字。
▼CIAは、情報セキュリティにおいて重視される順に並んでる。一方、自動車会社は完全性、重要インフラ事業者は可用性を最重視する。
CIA, cybersecurity interface agreement【サイバーセキュリティインタフェース
▼ISO 26262のDIAに当たる。UN-R155の7.2.2.5項に関連する要求があるため、実質的には法規要件である。
▼自動車会社とTier 1サプライヤの間だけではなく、Tier 1サプライヤとTier 2サプライヤの間でも合意される。
CIO, cheif information officer【シィアイオー】(略)最高情報責任者。
▼組織外部のコンサルタントなどが用いる用語。部署や役職の名称は組織毎にまちまちだが、それらが一言で表現できる。組織の内部において用いるのは稀。
CISO【シィアイオー】(略)最高情報セキュリティ責任者。
▼CIOに比べて新しい用語。CIOに比べると業務所掌範囲が狭く、下位の役職と解釈される傾向がある。
common criteria【コモンクライテリア】(名)IT製品や情報システムの情報セキュリティを評価する国際規格。ISO/IEC 15408。
completeness【
▼サイバーセキュリティ属性の一つであるintegrityと和訳が同じなため、『完全性』をcompletenessの意味で用いるときは、英語を併記する。
component【コンポーネント】(名)アイテムを構成する部品や機能。
▼英語のpartには『一部』と『部品』の両方の意味がある。一度『一部』の意味で使用してしまうと、同一文書では『部品』の意味で使用できない。このため、代わりにコンポーネントが用いられる。
concept phase【コンセプトフェーズ】(名)V字モデルにおける左上の工程。
confidentiality【
consistency【
counter・measure【
▼日本語の対策という単語は用途が広く、犯罪対策とも言えるし、防犯対策とも言える。
criteria【クライテリア】(名)指標。目安。
▼criterionの複数形。不規則な複数形変化をする。
CRYPTREC 【クリプトレック】(略)電子政府推奨暗号の安全性の評価・監視と、暗号技術の適切な実装法・運用法を調査する産官学プロジェクト。
― ciphers list【―
CSIRT, computer security incident response team【シィサート】(名)インシデントに対応するチーム。CERT。SIRT。
CSMS, cyber security management system【シィエスエムエス】(略)サイバーセキュリティのリスクマネジメントをするための社内規程と組織体制。
customer【
① 車両やその関連商品を利用する人、組織。お客様。↔OEM
② CIAを締結する主体者のうち、費用を払う側。↔サプライヤ
CVE, common vulnerabilities and exposures【シィブィイー】(略)
① 最も普及している脆弱性の識別子。
② 米国MITRE社が公開している脆弱性データベース。「発見した脆弱性が―に登録された」
CVSS, common vulnerability scoring system【シィブィエスエス】(略)
① 脆弱性のリスク指標。国際的に最も普及している。最小0から最大10までの点数。
② 攻撃実現可能性の格付け手法の一つ。
cyber・security, CS【サイバーセキュリティ】(名・形動)UN-R155が『電気部品又は電子部品に対するサイバー脅威から車両及びその機能が保護されている状態』と定義している。
▼UN-R155では、cyberとsecurityの間に半角スペースがある。ISO/SAE 21434ではつながっている。
▼読み手によって解釈が異なる。特に『情報セキュリティ』との違いが、度々議論になる。例えば、人の記憶や手書きのメモを介する情報漏えいは『サイバーセキュリティ』に当たらないとされるが、ほとんどの場面で同じ意味と思って差し支えない。軍や警察などの行政機関は『サイバーセキュリティ』を好む。
― assessment【―アセスメント】(名)
① 作業成果物を客観的に評価すること。ISO 26262の『機能安全アセスメント』に対応する工程。
② 内部監査人協会(IIA)が提唱する『三つの防衛線モデル』における、第二線がする工程。「ISO/IEC 33kシリーズに沿って―する」
▼読み手によって解釈が異なる。性悪説をベースとする欧米流の考え方では、設計者とは異なる報告ルートを有する者(経営層へ報告することでインセンティブを得られる者)がしなければならない。一方、日本流のものづくりは性善説をベースにしている。ISO 26262は両者とも成り立つように規定されているため、設計者がしてもよい。
― case【―ケース】(名)サイバーセキュリティのリスクマネジメントができている証拠となる文書。プロジェクトごとに作成する。ISO 26262における『セーフティケース』に当たる用語。
▼厳密には誤りであるが、サイバーセキュリティを専門としない設計者には『社内規程に沿って作成した作業成果物の一覧表』と説明するとよい。
― claim【―クレイム】(名)
① リスククライテリアを上回るリスクに対してリスク保有を選択するときに、それが妥当な選択であることを裏付ける論理的根拠。言い訳。
② リスク共有を選択するときに、共有する相手(例:お客様、業務委託先)にする要求。
▼車両の設計者が、自動車会社内部の部署とリスク共有するときは、(リスククレイムではなく、)運用環境への要求に当たる。
― concept【―コンセプト】(名)
① コンセプトフェーズの作業成果物。
② サイバーセキュリティ要求、運用環境への要求、サイバーセキュリティクレイムの総称。
― control【―
▼サイバーセキュリティ要求+howのイメージ。
▼サイバーセキュリティゴール→サイバーセキュリティ要求→サイバーセキュリティ管理策→サイバーセキュリティ仕様の順に具体化していく。
▼サイバーセキュリティゴールとサイバーセキュリティ要求は、目標に近い。一方、サイバーセキュリティ管理策とサイバーセキュリティ仕様は、対策に近い。
― event【―イベント】(名)アイテムまたはコンポーネントに関連付けられたサイバーセキュリティ情報。
▼サイバーセキュリティ情報→サイバーセキュリティイベント→ウィークネス→脆弱性の順に特定していく様が、出世魚に例えられる。
― goal【―ゴール】(名)設計者が実現すべき目標。リスク低減する攻撃経路を防ぐこと。
― incident【―インシデント】(名)量産車に脆弱性が見つかったり、量産車が攻撃を受けたと分かったりすること。CSIRTやPSIRTが中心となって対応する。
▼運輸や医療の現場では、実際に損害が起きた『アクシデント』と、損害には至らなかった『インシデント』とに区別している。一方、サイバーセキュリティの現場では、損害の有無にかかわらず『インシデント』と呼ぶ。
― information【―
▼サイバーセキュリティ情報→サイバーセキュリティイベント→ウィークネス→脆弱性の順に特定していく様が、出世魚に例えられる。
― property【―
① 情報セキュリティの三要素(機密性、完全性、可用性)。CIA。
② 情報セキュリティの三要素に、真正性、責任追跡性、否認防止、信頼性を加えたもの。拡張CIA。
― requirement【―
▼サイバーセキュリティゴール+whereのイメージ。
― relavance【―
▼関連性がある部品は、品質マネジメントシステムに加え、CSMSに沿って活動する。ISO 26262におけるASILとQMの関係性に似た考え方。
― specification【―
新規登録で充実の読書を
- マイページ
- 読書の状況から作品を自動で分類して簡単に管理できる
- 小説の未読話数がひと目でわかり前回の続きから読める
- フォローしたユーザーの活動を追える
- 通知
- 小説の更新や作者の新作の情報を受け取れる
- 閲覧履歴
- 以前読んだ小説が一覧で見つけやすい
アカウントをお持ちの方はログイン
ビューワー設定
文字サイズ
背景色
フォント
組み方向
機能をオンにすると、画面の下部をタップする度に自動的にスクロールして読み進められます。
応援すると応援コメントも書けます