はじめに

セキュリティに関連するサイトについてまとめました。
セキュリテイに関する資料、脆弱性、ガイドライン等について記載しています。

情報セキュリティ編

脆弱性編

  • CVE(Common Vulnerabilities and Exposures)
    公開されているサイバーセキュリティの脆弱性に関する脆弱性情報データベースです。個々の脆弱性に固有のCVE番号を割り当てて、脆弱性を識別可能にしています。

  • CVE Details
    製品名(Product Search)で検索すると、製品ごとの脆弱性情報が、脆弱性の深刻度(CVSS)と一緒に一覧表示されます。

  • CWE(Common Weakness Enumeration)
    脆弱性の種類(SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフロー等)を脆弱性タイプとして分類した、CWE識別子(CWE-ID)で検索ができます。また、CWEが提供している脆弱性タイプ一覧のリスト(CWE List)では、共通の弱点タイプごとに体系化し整理されています。

  • JVN(Japan Vulnerability Notes)
    日本で使用されているソフトウェアなどの脆弱性関連情報及び対策情報を提供している国内のポータルサイト。JVN内の識別子(※)については、脆弱性レポートの読み方を参照。また、JVN iPediaは日本国内の脆弱性対策情報データベースとなっており、脆弱性情報を提供しています。

(※)CVEは脆弱性情報データベースとしてベンダに依存しないため、文字コードでいうUTF-8、JVN内の識別子はShift_JISで考えると整理しやすいと思います。

ガイドライン編

ISMS編

ニュース系

その他

  • CERT(Computer EmergencyReadiness Team)
    アメリカにあるインターネットセキュリティを扱う研究・開発センター。CSIRTの草分け的存在。
  • SHODAN
    インターネット上で脆弱性のあるデバイスを検索することができる検索エンジン。インターネット上に公開されている様々な機器に関する情報をデータベース化し、検索可能としています。
  • A Search Engine for Threats
    ドメイン、IPアドレスを入力して組織情報を調べることができる検索エンジン。ドメイン名から関連するWebサーバ、DNSサーバが調べられるので便利です。
  • VirusTotal
    VirusTotal は、疑わしいファイルや URL を分析する無料のサービスです。標的型攻撃を受けた際にメールに添付された怪しいファイルはこちらで調べるといいと思います。
  • RISKIQ
    独自のテクノロジーでインターネット上における自社サイトを可視化(※)してリスク管理を目的としているWebサービス。企業向けです。一部の機能は無償で使えるようです。

(※)特定のドメイン名にひも付いたIPアドレスの履歴が調べらるなどドメイン名やIPアドレスの調査に使えます。

Sign up for free and join this conversation.
Sign Up
If you already have a Qiita account log in.