STIGカテゴリー
Last-modified: 2019-10-16 (水) 08:47:00
Top/STIGカテゴリー
STIGカテゴリー †
特定の脆弱性に対処できないリスクの重大度を示す3つのカテゴリまたはレベルの脆弱性があります。
カテゴリーIのリスクは最も深刻で被害が発生します。カテゴリーIIおよびIIIは通常、運用許可の拒否にはつながりません。
カテゴリー | 特長 | 解説 |
カテゴリーI | 攻撃者がマシンに即座にアクセスできるようにする、スーパーユーザーアクセスを許可する、またはファイアウォールをバイパスする脆弱性。 | 脆弱性が悪用されると、直接的かつ即座に機密性、可用性、または整合性が失われる脆弱性。これらのリスクは最も深刻であり、組織がそれらに対処しない場合、運用の許可は付与されません。これに対する唯一の例外は、システムが重要な場合、またはシステムの使用に失敗するとミッションが失敗する可能性がある場合です。これらは、生命の損失、施設の損傷、またはミッションの失敗につながる可能性がある脆弱性です。カテゴリーIの弱点は、分類されたデータまたは施設への不正アクセスを許可する可能性があり、ミッションの失敗につながる可能性のあるサービス拒否またはアクセスにつながる可能性もあります。適切な指定認定機関によって承認されていないシステム、またはDAAによって受け入れられると見なされる使用のリスクがないシステムもこのカテゴリに分類されます。 |
カテゴリーII | 侵入者にアクセスする可能性が高い情報を提供する脆弱性。 | 悪用により機密性、可用性、または整合性が失われる可能性がある脆弱性。通常は軽減できるため、対処されていないカテゴリIIのリスクについては、運用許可がまだ付与されている可能性があります。このカテゴリのリスクは、カテゴリIの脆弱性につながり、人身傷害または機器または施設の損傷をもたらし、ミッションを低下させる可能性があります。これらのリスクは、不正アクセスを許可し、機密情報、データ、または資料の損失または侵害につながる可能性があります。また、カテゴリIIの弱点は、システムの中断につながる可能性があり、システムの誤動作からの回復に必要な時間を延長する可能性があります。 |
カテゴリーIII | 潜在的に侵害につながる可能性のある情報を提供する脆弱性。 | 存在すると、機密性、可用性、または整合性の損失から保護する手段が低下します。カテゴリーIIIのリスクは、全体的なセキュリティを改善するために対処できるものですが、組織が運営許可を与えられることを妨げるものではありません。このタイプのリスクは、カテゴリIIの脆弱性または停止からの回復の遅延につながる可能性があり、データおよび情報の正確性にも影響を与える可能性があります。カテゴリIIIの脆弱性により、ミッション機能に関係のないアプリケーションの実行が可能になり、セキュリティ管理の改善が必要になる可能性があります。 |