サイバーセキュリティ 日本国のサイバーセキュリティ推進体制

ウィキペディア

サイバーセキュリティ

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2024/07/03 03:39 UTC 版)

日本国のサイバーセキュリティ推進体制

サイバーセキュリティ基本法

サイバーセキュリティ基本法はサイバーセキュリティに対する脅威の深刻化と内外の諸情勢の変化に伴って2014年に可決、2016年に改正された法律である。この法律の目的はサイバーセキュリティに関する施策を総合的かつ効果的に推進し、経済の向上と持続的発展、国民の安心・安全、国際社会の平和と安全、および日本国の安全保障に寄与する事である（第一条）^[482]。

またこの法律は、サイバーセキュリティの施策に関する基本理念、国や地方公共団体の責務、サイバーセキュリティ戦略の策定など施策の基本事項を定め、さらにサイバーセキュリティ戦略本部を設置する事を定める（第一条）^[482]。

サイバーセキュリティ戦略本部と内閣サイバーセキュリティセンター

サイバーセキュリティ基本法第24条により内閣にサイバーセキュリティ戦略本部を置く事が定められており^[483]、内閣官房組織令第1条により内閣官房に内閣サイバーセキュリティセンター（NISC）を置く事が定められている^[484]。サイバーセキュリティ戦略本部の庶務はNISCが行うこととされている。それぞれの概要は下記のとおりである^{[485][483][486][487]}：

組織名	根拠法令	構成員	役割		関連組織
サイバーセキュリティ戦略本部	サイバーセキュリティ基本法第24条	本部長：内閣官房長官 副本部長：サイバーセキュリティ戦略本部に関する事務を担当する国務大臣 本部員 国家公安委員会委員長 デジタル大臣 総務大臣 外務大臣 経済産業大臣 防衛大臣 国務大臣で本部の所掌事務を遂行するために特に必要があると認める者 経済安全保障担当大臣 東京オリンピック競技大会・東京パラリンピック競技大会担当大臣 有識者（10名以下）	以下の事の事務（26条1項）： サイバーセキュリティ戦略の案の作成及び実施の推進 政府機関などにおけるサイバーセキュリティに関する対策の基準の作成、およびその基準に基づく施策の評価、監査等の施策の実施の推進 政府機関などで発生したサイバーセキュリティに関する重大な事象に対する施策の評価 （原因究明のための調査を含む） 開催する会議として以下がある： サイバーセキュリティ対策推進会議（CISO等連絡会議） 重要インフラ専門調査会 研究開発戦略専門調査会 普及啓発・人材育成専門調査会		下記と緊密連携を取る 国家安全保障会議（NSC） 高度情報通信ネットワーク社会推進戦略本部（IT総合戦略本部）
内閣サイバーセキュリティセンター（NISC）	内閣官房組織令第1条	内閣サイバーセキュリティセンター長（内閣官房副長官補が兼務。4条の2第3項） 副センター長（内閣審議官） 上席サイバーセキュリティ分析官 サイバーセキュリティ補佐官	基本戦略グループ	サイバーセキュリティ政策に関する中長期計画や年度計画の立案 サイバーセキュリティ技術動向等の調査・研究分析	下記と協力体制を取る： 重要インフラ所管省庁 金融庁 総務省 厚生労働省 経済産業省 国土交通省 閣僚本部員6省庁 警察庁 デジタル庁 総務省 外務省 経済産業省 防衛省
			国際戦略グループ	サイバーセキュリティ政策に関する国際連携の窓口機能
			政府機関総合対策グループ	政府機関等の情報セキュリティ対策を推進するための統一的な基準の 策定、運用及び監査
			情報統括グループ	サイバー攻撃等に関する最新情報の収集・集約 政府機関情報セキュリティ横断監視・即応調整チーム（GSOC）の運用
			重要インフラグループ	重要インフラ行動計画に基づく情報セキュリティ対策の官民連携
			事案対処分析グループ	標的型メール及び不正プログラムの分析 その他サイバー攻撃事案の調査分析

サイバーセキュリティ担当大臣

サイバーセキュリティ戦略本部に関する事務を担当する国務大臣の通称としてサイバーセキュリティ担当大臣と呼ぶことがある。事務局であるNISCは内閣官房に属するが、同国務大臣は担当大臣や内閣府特命担当大臣とも異なる無任所大臣であり、辞令等によってサイバーセキュリティ担当とする補職が行われているものではない。デジタル市場競争本部の設置について（2019年9月27日閣議決定）などにおいて、本部員に「サイバーセキュリティ戦略本部に関する事務を担当する国務大臣」が指定されている。

サイバーセキュリティ協議会

平成30年のサイバーセキュリティ基本法改正によりその創設が決定された^[488]。その目的は「専門機関等から得られた脅威情報を戦略的かつ迅速に共有」する事であり^[489]、そのために「官民の多様な主体が相互に連携して情報共有を図り、必要な対策等について協議を行う」^[489]。NISCと専門機関を事務局とし^[489]、国の行政機関、地方公共団体、重要インフラ事業者、サイバー関連事業者、教育研究機関、有識者等をその構成員とする^[489]。構成員には秘密保持と協議会への情報提供の協力とが課せられる^[489]。

サイバーセキュリティ戦略

サイバーセキュリティ戦略本部はサイバーセキュリティ戦略というサイバーセキュリティに関する基本的な計画を作り、閣議決定する^[483][490]。その内容は下記のとおりである（サイバーセキュリティ基本法12条2項）^[483]：

1. サイバーセキュリティに関する施策についての基本的な方針
2. 国の行政機関等におけるサイバーセキュリティの確保に関する事項
3. 重要社会基盤事業者や地方公共団体等におけるサイバーセキュリティの確保の促進に関する事項
4. その他サイバーセキュリティに関する施策を総合的かつ効果的に推進するために必要な事項

政府統一基準

サイバーセキュリティ基本法第26条第1項第2号には、サイバーセキュリティ戦略本部がつかさどる事務の一つとして、「国の行政機関、独立行政法人及び指定法人におけるサイバーセキュリティに関する対策の基準の作成及び当該基準に基づく施策の評価（監査を含む。）その他の当該基準に基づく施策の実施の推進に関すること」が定められている^[483]。

統一基準群は以下の 3 つの文書の総称である^[491]：

名称	概要
政府機関等のサイバーセキュリティ対策のための統一規範[492]	機関等がとるべき対策の統一的な枠組みを定めたもの。
政府機関のサイバーセキュリティ対策のための統一基準[493]	情報セキュリティ対策の項目毎に機関等が遵守すべき項目を規定することにより、機関等の情報セキュリティ水準の斉一的な引き上げを図ることを目的とするもの。
政府機関等の対策基準策定のためのガイドライン[494]	統一基準の遵守事項に対応した基本対策事項を例示したもの。併せて、対策基準の策定及び実施に際しての考え方等を解説。

GSOC

GSOC(Govrenment Security Operation Coordination team)はNISCの情報統括グループにより運営されているセキュリティ横断監視・即応調整チーム^[495]。中央省庁、独立行政法人、特殊法人、認可法人を監視対象とする^[496]。2018年現在、法人の対象は日本年金機構、地方公共団体情報システム機構、地方公務員共済組合連合会、地方職員共済組合、都職員共済組合、全国市町村職員共済組合連合会、国家公務員共済組合連合会、日本私立学校振興・共済事業団、公立学校共済組合の９つ^[496]。

これら指定法人では、統一的な基準の策定、情報システムの不正監視と分析、サイバーセキュリティ演習、関係機関との連携、情報共有などの施策を講じねばならない^[496]。

情報セキュリティー緊急支援チーム(CYMAT)

CYMAT(Cyber Incident Mobile Assistance Team)^[497]は、政府機関等へのサイバー攻撃に対して被害拡大防止、復旧、原因調査、再発防止のための技術的支援をしているNISCの組織である^[498][499]。平常時には研修や訓練も実施している^[499]。

政府共通プラットフォーム

政府全体でシステム基盤を共有化するプラットフォーム^[500]。2009年に政府が掲げた「霞が関クラウド（仮称）」を構想化したもので^[500][501]、2013年3月18日から運用を開始^[501]。クラウドコンピューティングなどのICT技術を活用する事で、各府省の政府情報システムを統合、共通機能を一元的に提供する^[501]。

クラウドコンピューティングをはじめとする最新の情報通信技術（ICT）を活用し、従来は各府省が個別に整備・運用していた政府情報システムを統合・集約するとともに、共通機能を一元的に提供する基盤システム。2013年3月18日から運用を開始した。しかし個人情報を含んでいたり民間サービスを利用したりしている61%のシステムは2016年段階で統合できず、政府共通システムへの以降は限定的である^[501]。　

防衛省の施策・活動

防衛省・自衛隊内にはサイバーセキュリティに関する下記の組織がある^[502][503]：

組織名	概要
自衛隊サイバー防衛隊	防衛省・自衛隊のネットワークの監視及び事案発生時の対処を２４時間体制で実施し、サイバー攻撃等に関する脅威情報の収集及び調査研究を一元的に行い、その成果を省全体で共有している[503]
サイバー防護隊（陸自） 保全監査隊（海自） システム監査隊（空自）	24時間態勢で通信ネットワークを監視し、ウイルス解析などのサイバー攻撃対処を行っている[502][503]。
防衛本省内部部局の防衛政策局戦略企画課及び整備計画局情報通信課	サイバーセキュリティ政策に関する企画立案を行っている。
防衛装備庁の装備政策部装備保全管理官、技術戦略部技術戦略課及び次世代装備研究所	防衛関連企業に対するサイバーセキュリティ推進、防衛装備品に対するサイバーセキュリティ技術の研究開発を行っている。

またサイバー攻撃対処に関する態勢や要領を定めた規則として「防衛省の情報保証に関する訓令」^[504]などを発行している^[502]。

他組織とは下記のような連携体制を取っている：

連携先	名称	概要
NISC	-	サイバーセキュリティ戦略本部の構成員として以下を実施している： NISCを中心とする政府横断的な取組に対して、サイバー攻撃対処訓練への参加、人事交流、サイバー攻撃に関する情報提供、CYMATに対する要員派遣[502] NISCが府省庁の情報システムに侵入耐性診断を行うに当たり、自衛隊が有する知識・経験の活用について検討[502]
米国	日米サイバー防衛政策ワーキンググループ（CDPWG：Cyber Defense Policy Working Group）	サイバーに関する政策的な協議の推進、情報共有の緊密化、サイバー攻撃対処を取り入れた共同訓練の推進、専門家の育成・確保のための協力
	日米サイバー対話	日米両政府全体の取り組み
	日米ITフォーラム	防衛当局間の枠組み
NATO	日NATOサイバー防衛スタッフトークス	防衛当局間のサイバー協議
	サイバー防衛演習（Cyber Coalition）	自衛隊はオブザーバー参加
	サイバー紛争に関する国際会議（CyCon）	NATOサイバー防衛協力センター（CCDCOE：Cooperative Cyber Defence Centre of Excellence）が主催
オーストラリア、英国、エストニアなど	-	防衛当局間によるサイバー協議。脅威認識やそれぞれの取組に関する意見交換
シンガポール、ベトナム、インドネシア	-	防衛当局間で、ITフォーラムを実施し、サイバーセキュリティを含む情報通信分野の取組及び技術動向に関する意見交換
サイバーセキュリティに関心の深いコアメンバー（防衛産業10社程度）	サイバーディフェンス連携協議会（CDC：Cyber Defense Council）	共同訓練などを通じた、防衛省・自衛隊と防衛産業双方のサイバー攻撃対処能力向上

警察庁の施策・活動

サイバー警察局

2022年度（令和4年度）に新設されたサイバー警察局では、情報技術解析課（サイバーフォース）で技官がフォレンジックを担当している。

日本サイバー犯罪対策センター（JC3）

一般財団法人日本サイバー犯罪対策センター（JC3、Japan Cybercrime Control Center）は「日本版NCFTAとしてサイバー空間の脅威に対処するための非営利団体」^[505]。「警察による捜査権限のより効果的な行使を始めとする脅威への先制的・包括的な対応を可能とする産学官の新たな連携の枠組」である^[506]。2018年現在、正会員18社^[507]、賛助会員36社^[508]。

2017年現在、JC3は違法性アダルトサイトや不正口座の摘発、犯罪者の検挙や犯罪組織のインフラのテイクダウン、加盟団体の情報提供によるエクスプロイトキットの全容解明等で成果をあげている^[509]。具体的活動としては、「犯罪者を特定するための調査」、「ログなどの証拠収集と確保」、「民間企業であるプロバイダや回線事業者への協力要請」、「摘発する各都道府県警の足並みを揃える」、「海外にサーバがある場合に国際的な法執行機関との事前連携を取る」など^[509]。

JC3には「全国の警察組織をとりまとめる警察庁のメンバーが事務所内に常駐体制を敷」^[509]いており、全国一斉の捜査・摘発では足並みを揃えやすい^[509]。またサイバー攻撃の標的になるのを避けるためNCFTAがそのメンバーを積極的には公表していないのに対し、JC3では参加企業・協賛団体を公開している^[509]。

主な活動内容は以下の通り：

項目	活動概要
金融犯罪対策	情報共有、攻撃の未然防止、攻撃者に対する司法的追求も含めた脅威の無効化を図る活動の推進[510]
情報流出対策	「攻撃事案についての実態解明、被害防止、被疑者検挙を目的とする情報共有等」[510]
eコマース対策	被害防止を図るため、情報共有・手口分析等[510]
マルウェア解析	マルウェアの解析を行い、C&Cサーバ等のマルウェアに関する様々な情報を収集、被害防止に関する情報を提供[510]
脅威情報の収集と活用	「情報の蓄積及び検索可能なシステムを構築し、データを横断的に分析してより価値のある形にしていく」[510]
国際連携	「米国NCFTA等の海外関係機関との国際的な連携を推進」[510]

情報処理推進機構(IPA)の施策・活動

独立行政法人情報処理推進機構（IPA、英: Information-technology Promotion Agency, Japan）は、経済産業省所管の中期目標管理法人たる独立行政法人で、「情報セキュリティ対策の実現」、「IT人材の育成」、「IT社会の動向調査・分析・基盤構築」の３つの事業領域を持ち^[511]、これらを「ITを取り巻く社会の社会動向・産業動向・技術動向」の把握に役立てる^[511]。本稿では以下、サイバーセキュリティに関する事業のみを紹介する。

標的型サイバー攻撃対策

IPAでは標的型サイバー攻撃対策のため、「脅威と対策研究会」を立ち上げて「『高度標的型攻撃』対策に向けたシステム設計ガイド」等の資料を公開している^[512]他、以下を行っている：

略称	読み	日本語名	英語名	主目的	概要
J-CSIP	ジェイ・シップ[513]	サイバー情報共有イニシアティブ	Initiative for Cyber Security Information sharing Partnership of Japan	情報共有[514]	「標的型サイバー攻撃を受けた参加組織がIPA に情報を提供し、IPA はそのメールを含む検体情報を分析および加工して、類似攻撃の検知や攻撃の抑止に役立つ（かつ提供元の組織情報を含まない）情報として参加組織間に情報共有を実施」[514]。これにより「攻撃の早期検知と回避に繋げる」[514]ための枠組み。参加組織とはNDAを結ぶ[515]。 「経済産業省の協力のもと、重工、重電等、重要インフラで利用される機器の製造業者を中心に」発足[515]。複数のSIG（Special Interest Group、類似の産業分野同士が集まったグループ[515]）からなっており、2018年10月26日現在、重要インフラ機器製造業者SIG、電力業界SIG、ガス業界SIG、化学業界SIG、石油業界SIG、資源開発業界SIG、自動車業界SIG、クレジット業界SIG、航空業界SIG、物流業界SIG、鉄道業界SIGの11のSIGがあり[515]、全部で238の組織が参加している[515]。
J-CRAT	ジェイ・クラート[516]	サイバーレスキュー隊	Cyber Rescue and Advice Team against targeted attack of Japan）	対策支援[514]	「標的型攻撃メールや組織のログ等の情報を分析することにより、感染経路の把握、感染の範囲などを分析し、必要な対策の早期着手を支援」[517]し、「標的型サイバー攻撃による感染の連鎖を解明し、一連の攻撃の対象となっていることを検知できずに「潜伏被害」を許してしまっていた場合に、その組織にコンタクトすることにより、攻撃の連鎖の遮断を支援」[517]する。「標的型サイバー攻撃特別相談窓口」から情報提供や支援依頼を求めるのみならず[517]、「事案分析の結果、攻撃の連鎖に組み込 まれている組織」[517]や、「インターネット上での各種情報の分析によって潜在的に被害の兆候が伺える組織」[517]に対しては「IPA からその組織にコンタクト（ドア･ノック）してサイバーレスキュー活動を実施」[517]する。

認証・評価

以下を行っている：

略称	日本語名	英語名	概要
JISEC	ITセキュリティ評価および認証制度	Japan Information Technology Security Evaluation and Certification Scheme	ISO/IEC 15408（コモンクライテリア）認証精度[518]。同様の制度を持つ28カ国（2018年4月現在）の政府調達でも相互承認される[518]。
JCMVP	暗号モジュール試験および認証制度	Japan Cryptographic Module Validation Program	ISO/IEC 19790に基づく暗号機能の実装の適切性・正確性の認証制度[518]
CRYPTREC	暗号技術検討会	Cryptography Research and Evaluation Committees	暗号技術の調査・評価を行って「CRYPTREC暗号リスト」を作成[518]。政府機関におけるシステム調達やシステム利用時に推奨する暗号技術等を公開[518]。暗号技術を使用する際の設定方法を示すガイドライン等を作成・公開[518]。情報通信研究機構(NICT)と共同運営[518]。

その他の施策・活動

• 「脆弱性届出制度」（詳細は前述）の運営と「脆弱性対策情報データベース」JVNの提供^[519]。
• NISCからの一部事務委託により、独立行政法人・指定法人の「情報セキュリティ監査（助言型のマネジメント監査およびペネトレーションテスト）や不正な通信の監視によるサイバー攻撃の検知等の業務を実施」^[519]（第2GSOC）
• 中小企業の自発的な対策実施を促す「SECURITY ACTION」を運営^[519]
• セキュリティ対策の普及啓発^[519]
• 若手のサイバーセキュリティ人材の発掘・育成を目的とした「セキュリティ・キャンプ」の実施^[520]。
• 「中核人材育成プログラム」（約1 年間の研修プログラム）等、産業界のサイバーセキュリティ戦略をリードする「中核人材」の育成^[520]。
• 国家資格「情報処理技術者試験（情報セキュリティマネジメント試験など）」の実施、及び「情報処理安全確保支援士」の試験、登録、講習の運営^[520]。
• 「情報セキュリティ白書」の発行など、情報セキュリティに関する調査・分析^[521]
• 制御システムのセキュリティリスク分析^[519]
• IoT製品・システムの安全性・信頼性を確保^[521]。「つながる世界の開発指針」の公開や安全性解析手法「STAMP/STPA」の普及を推進等^[521]。
• 毎年年度初めに情報セキュリティ10大脅威を発表。

情報通信研究機構(NICT)の施策・活動

詳細は「情報通信研究機構」を参照

国立研究開発法人情報通信研究機構（NICT）は総務省所管の国立研究開発法人。NICTは情報の電磁的流通及び電波の利用に関する技術の研究及び開発、高度通信・放送研究開発を行う者に対する支援、通信・放送事業分野に属する事業の振興等を総合的に行うことにより、情報の電磁的方式による適正かつ円滑な流通の確保及び増進並びに電波の公平かつ能率的な利用の確保及び増進に資することを目的とする。（国立研究開発法人情報通信研究機構法第4条）

組織は総務や広報のような事務部門のほか、電磁波研究群、ネットワーク研究群、AI・脳情報通信研究群、サイバーセキュリティ研究所、未来ICT研究群、オープンイノベーション推進本部、ソーシャルイノベーションユニット、イノベーション推進部門、グローバル推進部門、デプロイメント推進部門を持つ^[522]。

サイバーセキュリティ研究所は「NICTの中立性を最大限に活用し、産学との緊密な連携によりサイバーセキュリティ研究開発の世界的中核拠点を目指し」ており^[523]、研究実施体制としてサイバーセキュリティ研究室とセキュリティ基盤研究室を持ち^[523]、その他にナショナルサイバートレーニングセンター（後述）を持つ。

サイバーセキュリティ研究室では以下の研究技術を公開している^[524]：

略称	日本語名	英語名	概要
NICTER	サイバー攻撃観測・分析・対策システム	Network Incident analysis Center for Tactical Emergency Response	ダークネットやハニーポットを観測する事によるサイバー攻撃観測・分析・対策システム
DAEDALUS	対サイバー攻撃アラートシステム	Direct Alert Environment for Darknet And Livenet Unified Security	「NICTER で構築した大規模ダークネット観測網を活用した対サイバー攻撃アラートシステム」[524]
NIRVANA	リアルトラフィック可視化ツール	NIcter Real-time Visual ANAlyzer	「ネットワークに流れる通信を 『見える化』 することで、ネットワークの輻輳・切断等の障害や、設定ミス等を瞬時に見つけだすことを可能にし、ネットワーク管理者の負荷を大幅に軽減」[524]

セキュリティ基盤研究室では以下の研究を行っている^[525]：

• 機能性暗号技術
• 暗号技術の安全性評価
• プライバシー保護技術

特に、暗号技術の安全性評価の一環として、IPAとともにCRYPTRECの運営を行っている^[525]。

ナショナルサイバートレーニングセンター

実践的なサイバートレーニングを企画・推進する組織^[526]。主に以下の3つの事業を推進

名称	読み	概要
CYDER	サイダー	実践的サイバー防御演習[526]。国の行政機関、地方公共団体、重要インフラ等が対象[526]
Cyber Colosseo	サイバーコロッセオ	東京2020オリンピック・パラリンピック競技大会開催時を想定した模擬環境下で行う実践的なサイバー演習[526]
SecHack365	セックハック サンロクゴ	「NICTが若年層のICT人材を対象に、セキュリティの技術研究・開発を本格的に指導する新規プログラム」[526]

産業総合研究所の施策・活動

この節の加筆が望まれています。 （2018年12月）

国際連携

• 総務省はイスラエルとのサイバーセキュリティ分野における協力に関する覚書に署名^[527]。イスラエル・国家サイバー総局と連携し、サイバーセキュリティ対策の取組を強化していく。

この節の加筆が望まれています。 （2018年12月）

脚注

注釈

1. ^ たとえばIPAの資料^[269]ではペネトレーションテストを脆弱性検査の一つとしているが、LACはペネトレーションテストを脆弱性検査・診断とは別サービスとし^[270]、脆弱性検査・診断をセキュリティ診断と同義に用いている^[270]。一方、サイバーディフェンス研究所はセキュリティ診断の語を脆弱性診断とペネトレーションテストの双方に対して用いている^[271]。

出典

1. ^ 山下2017 p27
2. ^ ^{a b c d e f} 佐々木2018 p5
3. ^ ^{a b c} IPA APT対策システム設計ガイド p.9-10
4. ^ IPA 2014 標的型メール攻撃対策設計ガイド p2
5. ^ ^{a b c} JNSA 2018 CISOハンドブック v1.1β p.6-9
6. ^ ^{a b c} ISOG-J2017 p3
7. ^ JNSA 2018 CISOハンドブック v1.1β p.10
8. ^ NISC p2
9. ^ JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p32
10. ^ ^{a b} 情報セキュリティ政策会議「政府機関の情報セキュリティ対策のための統一基準」内閣官房情報セキュリティセンター (NISC)
11. ^ ^{a b} “重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書”. 情報処理推進機構. 2018年10月23日閲覧。
12. ^ ^{a b c d} IPA 2018 制御システムのセキュリティリスク分析ガイド 第2版 p102
13. ^ ^{a b} “制御系システムのセキュリティ（4）最終号 －制御系システムの認証制度－”. NTTデータ先端技術株式会社. 2018年10月23日閲覧。
14. ^ ^{a b} 山下2017 p18-27
15. ^ ^{a b} “ISO/IEC 27032:2012 — Information technology — Security techniques — Guidelines for cybersecurity”. 2018年9月10日閲覧。
16. ^ ^{a b} 佳山2015 p6, 11
17. ^ FFRI. “第02回 近年のサイバーセキュリティにおける攻撃側と防御側の状況”. 富士通マーケティング. 2018年9月11日閲覧。
18. ^ Holden, Alex (2015年1月15日). “A new breed of lone wolf hackers are roaming the deep web – and their prey is getting bigger”. オリジナルの2015年6月28日時点におけるアーカイブ。. https://web.archive.org/web/20150628214900/http://www.ibtimes.co.uk/new-breed-lone-wolf-hackers-are-roaming-deep-web-their-prey-getting-bigger-1483347 2015年6月19日閲覧。 
19. ^ ^{a b} 中尾真二. “サイバー犯罪は「儲かる」のか？ 個人情報の値段とマルウェアの値段”. ビジネス＋IT. 2018年9月11日閲覧。
20. ^ ^{a b} “The Dark Net: Policing the Internet's Underworld.”. World Policy Journal. 32. 
21. ^ “Inferring distributed reflection denial of service attacks from darknet.”. Computer Communications. 62. 
22. ^ “Large-Scale Monitoring for Cyber Attacks by Using Cluster Information on Darknet Traffic Features.”. Procedia Computer Science. 53. 
23. ^ “APT攻撃グループ　国家レベルのサイバー攻撃者の素性、標的、手口を解説”. Fireeye. 2018年10月9日閲覧。
24. ^ 坂村健の目:スタックスネットの正体－ 毎日ｊｐ（毎日新聞）
25. ^ “Edward Snowden Interview: The NSA and Its Willing Helpers”. SPIEGEL ONLINE (2013年7月8日). 2013年11月11日閲覧。
26. ^ Nakashima, Ellen; Timberg, Craig (2017年5月16日). “NSA officials worried about the day its potent hacking tool would get loose. Then it did.” (英語). Washington Post. ISSN 0190-8286. https://www.washingtonpost.com/business/technology/nsa-officials-worried-about-the-day-its-potent-hacking-tool-would-get-loose-then-it-did/2017/05/16/50670b16-3978-11e7-a058-ddbb23c75d82_story.html 2017年12月19日閲覧。 
27. ^ “レポート：GCHQ、ベルギーの通信企業のネットワークをハッキングするため LinkedIn のプロフィールをハイジャック～英国のスパイは「Quantum Insert」で標的のコンピュータを感染させていた（The Register）”. ScanNetSecurity (2013年12月2日). 2018年10月12日閲覧。
28. ^ “GCHQ spy agency given illegal access to citizens’ data (読むには購読が必要)”. フィナンシャル・タイムズ. 2018年10月12日閲覧。
29. ^ “英国情報機関　コンピューターのハッキングを初めて認める”. スプートニク (2015年12月2日). 2018年10月12日閲覧。
30. ^ ^{a b} “標的型サイバー攻撃対策”. 情報処理推進機構. 2018年9月18日閲覧。
31. ^ ^{a b} “組織のセキュリティ対策／標的型攻撃とは？高度化するサイバー攻撃の特徴と手口を徹底解説！”. マカフィー (2018年7月13日). 2018年9月18日閲覧。
32. ^ ^{a b} “標的型攻撃についての調査” (PDF). JPCERT/CC (2008年9月17日). 2015年6月11日閲覧。
33. ^ ^{a b} サイバー攻撃対策総合研究センター(CYREC)
34. ^ JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p8
35. ^ 中山 貴禎 (2013年9月2日). “脅威の本質を知る：断固たる決意で襲ってくる「APT攻撃」とは”. ZD Net Japan. 2015年6月11日閲覧。
36. ^ ^{a b} JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p8
37. ^ “持続的標的型攻撃を理解する”. トレンドマイクロ. 2018年9月25日閲覧。
38. ^ “「サイバーレスキュー隊（J-CRAT）分析レポート2015」を公開”. 情報処理推進機構. 2018年9月25日閲覧。
39. ^ U.S. Senate-Committee on Commerce, Science, and Transportation-A "Kill Chain" Analysis of the 2013 Target Data Breach-March 26, 2014 Archived October 6, 2016, at the Wayback Machine.
40. ^ ^{a b c d e f} CyberKillChain-Intelligence pp.1-2
41. ^ ^{a b c d} CyberKillChain-Website
42. ^ Greene, Tim. “Why the ‘cyber kill chain’ needs an upgrade”. 2016年8月19日閲覧。
43. ^ “The Cyber Kill Chain or: how I learned to stop worrying and love data breaches” (英語) (2016年6月20日). 2016年8月19日閲覧。
44. ^ JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p13
45. ^ ^{a b c d e f g} 寺田2012-企業におけるサイバー攻撃対策の再考 p21
46. ^ CyberKillChain-APPLYING p2
47. ^ ^{a b c} “標的型攻撃対策 攻撃者の手を知る 「サイバーキルチェーン」”. マクニカ. 2018年9月10日閲覧。
48. ^ 寺田2012-企業におけるサイバー攻撃対策の再考 p20
49. ^ 寺田2012-企業におけるサイバー攻撃対策の再考 p6
50. ^ ^{a b} 佳山2015 p28
51. ^ ^{a b} IPA APT対策システム設計ガイド p.13
52. ^ ^{a b c d e f} JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p10
53. ^ “Apache Strutsの脆弱性に攻撃を仕掛けるハッキングツールとWebShell”. トレンドマイクロ (2013年8月9日). 2018年9月20日閲覧。
54. ^ トレンドブログ-ATPを知る-1
55. ^ Trends in Targeted Attacks p.7
56. ^ ^{a b c d} JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p11
57. ^ ^{a b} JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p5
58. ^ ^{a b c d e f g h i j k l m n o p q} CyberKillChain-Intelligence p.3
59. ^ IPA APT対策システム設計ガイド p.28
60. ^ ^{a b} 竹田2018 インシデント対応ハンズオン for ショーケース p19
61. ^ “犯罪の賃貸隠れ家「防弾ホスティングサービス」　PacSec 2015レポート（下）”. THE ZERO/ONE. 2018年9月26日閲覧。
62. ^ ^{a b c d e f g} CyberKillChain-APPLYING p4
63. ^ IPA APT対策システム設計ガイド p.27
64. ^ “res Protocol”. マイクロソフト. 2018年9月25日閲覧。
65. ^ トレンドブログ-ATPを知る-2
66. ^ ^{a b c d e f g} JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p11-12
67. ^ ^{a b c d e} CyberKillChain-APPLYING p5
68. ^ CyberKillChain-Intelligence pp.4-5
69. ^ IPA 2014 新しいタイプの攻撃の対策第二版 p5
70. ^ ^{a b c d e} CyberKillChain-APPLYING p7
71. ^ ^{a b} CyberKillChain-APPLYING p8
72. ^ ^{a b c} CyberKillChain-APPLYING p6
73. ^ JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p9
74. ^ ^{a b c d e f} 竹田2018 インシデント対応ハンズオン for ショーケース p12
75. ^ ^{a b c d e f g h} IPA APT対策システム設計ガイド p.29
76. ^ IPA 2015 標的型攻撃メールの例と見分け方 p1
77. ^ IPA 2014 標的型メール攻撃対策設計ガイド p7
78. ^ ^{a b c d e} 八木、村山、秋山 2015 pp.45-46
79. ^ ^{a b} Lions at the watering hole: the Voho affair, RSA, (2012-07-20), http://blogs.rsa.com/lions-at-the-watering-hole-the-voho-affair/ 2013年10月2日閲覧。 
80. ^ 羽室2018 p110
81. ^ ^{a b} “USBメモリーとセキュリティの危うい関係”. マルウェア情報局. キヤノンITソリューションズ株式会社. 2018年9月27日閲覧。
82. ^ IPA 2014 新しいタイプの攻撃の対策第二版 p19
83. ^ ^{a b} “マルバタイジングとは”. 日立ソリューションズ情報セキュリティブログ. セキュリティ用語解説. 2018年10月29日閲覧。
84. ^ ^{a b c} “マルバタイジングに注意！　Webサイトと広告は別物であることを認識しよう”. 企業のITセキュリティ講座. 大塚商会. 2018年10月29日閲覧。
85. ^ “ソフトウエアをアップデートしてから読んでほしい「不正広告」の話 (1/2)”. @IT. 特集：セキュリティリポート裏話（4）. 2018年11月2日閲覧。
86. ^ ^{a b} 羽室2018 p127
87. ^ ^{a b} J-CRAT技術レポート2017 p67
88. ^ “組織外部向け窓口部門の方へ：「やり取り型」攻撃に対する注意喚起 ～ 国内5組織で再び攻撃を確認 ～”. 情報処理推進機構. 2018年12月10日閲覧。
89. ^ ^{a b} “ばらまき型”. weblio. IT用語辞典バイナリ. 2018年12月10日閲覧。
90. ^ ^{a b} “巧妙化する日本語ばらまき型メールに注意喚起―J-CSIP”. IT Leaders. 2018年12月10日閲覧。
91. ^ ^{a b} “標的型攻撃の大幅増加、「ばらまき型」に起因 - ただし巧妙な攻撃も増加傾向”. Security NEXT. 2018年12月10日閲覧。
92. ^ ^{a b} “ばらまき型”. 用語解説辞典. NTTPCコミュニケーションズ. 2018年12月10日閲覧。
93. ^ ^{a b c d e f g h i j k l m n o p q} 八木、村山、秋山 2015 pp.85-90
94. ^ ^{a b c d e} “エクスプロイトキットとは”. トレンドマイクロ (2016年11月22日). 2018年10月3日閲覧。
95. ^ ^{a b c} 八木、村山、秋山 2015 pp.90-92
96. ^ “EaaS”. IT用語辞典バイナリ. weblio. 2018年10月3日閲覧。
97. ^ “サービスとしてのエクスプロイトキット”. トレンドマイクロ (2016年10月28日). 2018年10月3日閲覧。
98. ^ ^{a b c d} 八木、村山、秋山 2015 pp.92-93
99. ^ 羽室2018 p26-27
100. ^ “コマンド&コントロール（C&C）サーバ”. セキュリティ情報／「用語集」. トレンドマイクロ. 2018年9月20日閲覧。
101. ^ ^{a b c d e f g h i} IPA APT対策システム設計ガイド p.30-34
102. ^ ^{a b c d} CyberKillChain-APPLYING p9
103. ^ ^{a b c d e f g h i j} J-CRAT技術レポート2017 p12-17, 34, 41
104. ^ ^{a b c} J-CRAT技術レポート2017 p61
105. ^ ^{a b c d e f g} CyberKillChain-APPLYING p10
106. ^ ^{a b c d e f g} JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p13
107. ^ 竹田2018 インシデント対応ハンズオン for ショーケース p26
108. ^ ^{a b} 竹田2018 インシデント対応ハンズオン for ショーケース p29-30
109. ^ 竹田2018 インシデント対応ハンズオン for ショーケース p33
110. ^ 竹田2018 インシデント対応ハンズオン for ショーケース p36
111. ^ ^{a b c} IPA APT対策システム設計ガイド p.42
112. ^ ^{a b} 朝長・六田 2017 攻撃者の行動を追跡せよ p36
113. ^ IPA APT対策システム設計ガイド p.35
114. ^ ^{a b c} IPA APT対策システム設計ガイド p.36-37
115. ^ ^{a b c d e f g h} 羽室2018 p32-33, 113-121
116. ^ ^{a b c d e f g h i j k l m} IPA J-CSIP 2017 ビジネスメール詐欺「BEC」に関する事例と注意喚起 pp.2-7
117. ^ ^{a b c d} IPA J-CSIP 2017 ビジネスメール詐欺「BEC」に関する事例と注意喚起 pp.17-21
118. ^ ^{a b c d} 羽室2018 p32-33, 317-319
119. ^ “[特集 インターネットバンキングにおける不正送金の手口と対策について [更新]]”. マルウェア情報局. キヤノンITソリューションズ株式会社. 2018年10月29日閲覧。
120. ^ 羽室2018 p32-33, 88-89
121. ^ “MITB攻撃とは”. ITpro (2014年7月16日). 2015年6月6日閲覧。
122. ^ “MITB(マン・イン・ザ・ブラウザー)攻撃とは”. 日立ソリューションズ (2009年10月20日). 2014年4月5日閲覧。
123. ^ 篠田佳奈 (2010年12月13日). “第53回　人気ソフトの偽ソフト(スケアウェア)に要注意”. NTTコミュニケーションズ. 2011年8月20日閲覧。
124. ^ “組織化するサイバー犯罪に対し、FTC、FBIを支援”. マカフィー (2010年8月10日). 2011年8月20日閲覧。
125. ^ “ネットワークセキュリティ関連用語集（アルファベット順）「DoS attack (Denial of Service attack： サービス妨害攻撃)」”. IPA. 2016年7月25日閲覧。
126. ^ “Dos/DDoS 対策について”. 警察庁技術対策課 (2003年6月3日). 2016年7月25日閲覧。
127. ^ “Security Tip (ST04-015): Understanding Denial-of-Service Attacks”. US-CERT (2013年2月6日). 2015年12月19日閲覧。
128. ^ “EDoS攻撃”. IT用語辞典 e-words. 2016年7月25日閲覧。
129. ^ 羽室2018 p139
130. ^ Christian Rossow. “Amplification Hell: Revisiting Network Protocols for DDoS Abuse” (PDF). Internet Society. 2015年12月23日閲覧。
131. ^ Taghavi Zargar, Saman (2013年11月). “A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks”. IEEE COMMUNICATIONS SURVEYS & TUTORIALS. pp. 2046–2069. 2015年12月20日閲覧。
132. ^ “DRDoS攻撃 【 Distributed Reflection Denial of Service 】 DoSリフレクション攻撃”. IT用語辞典 e-words. 2016年7月25日閲覧。
133. ^ ^{a b c d e} 八木、村山、秋山 2015 pp.104-108
134. ^ “C＆Cサーバー”. マルウェア情報局. キヤノンITソリューションズ株式会社. 2018年10月24日閲覧。
135. ^ ^{a b c d} 佐々木他2014 pp.64-67
136. ^ ^{a b c d e f g h} 八木、村山、秋山 2015 pp.110-114
137. ^ ^{a b} “Fast Flux 手法とは”. JPCERT/CC. 2018年10月25日閲覧。
138. ^ “サイバー攻撃を支援するネットワーク「ファストフラックス」とは？”. マルウェア情報局. キヤノンITソリューションズ株式会社. 2018年10月25日閲覧。
139. ^ ^{a b c} “世界のセキュリティ・ラボから 攻撃の高度化，「Fast-Flux」から「RockPhish」まで――その1”. 日経XTECH. 2018年10月25日閲覧。
140. ^ ^{a b c d} “世界のセキュリティ・ラボから 攻撃の高度化，「Fast-Flux」から「RockPhish」まで――その2”. 日経XTECH. 2018年10月25日閲覧。
141. ^ ^{a b c d e f} 八木、村山、秋山 2015 pp.115-118
142. ^ ^{a b c} 八木、村山、秋山 2015 p22-25
143. ^ “OS検出”. NMAP.ORG. 2018年10月12日閲覧。
144. ^ “サービスとバージョンの検出”. NMAP.ORG. 2018年10月12日閲覧。
145. ^ “情報収集の手法（1） --- スキャン”. 日経XTECH. 情報セキュリティ入門. 2018年11月5日閲覧。
146. ^ ^{a b c} “Chapter 4. IP Network Scanning”. O'REILLY. 2019年1月2日閲覧。
147. ^ ^{a b} “Amap Package Description”. KALI Tools. 2019年1月2日閲覧。
148. ^ ^{a b} “現役ペンテスト技術者が選ぶ 使えるセキュリティツール (4)「AMAP」”. ScanNetSecurity. 2019年1月2日閲覧。
149. ^ “現役ペンテスト技術者が選ぶ 使えるセキュリティツール(8)「httprint」”. ScanNetSecurity. 2019年1月2日閲覧。
150. ^ “httpprint”. NETSQUARE. 2019年1月2日閲覧。
151. ^ “現役ペンテスト技術者が選ぶ 使えるセキュリティツール(9)「xprobe2」”. ScanNetSecurity. 2019年1月2日閲覧。
152. ^ “xprove2”. sourceforge. 2019年1月2日閲覧。
153. ^ ^{a b c d} 羽室2018 p45
154. ^ ^{a b} 羽室2018 pp.48-49
155. ^ ^{a b c d} “ソーシャルエンジニアリングの対策”. 総務省. 2018年11月5日閲覧。
156. ^ ^{a b c d e} “ソーシャルエンジニアリングとは”. @IT. 2018年11月5日閲覧。
157. ^ 佐々木他2014 pp.16-17
158. ^ ^{a b c} 佐々木他2014 p.20
159. ^ “Bruter”. SorceForge. 2019年1月2日閲覧。
160. ^ ^{a b} 佐々木他2014 pp.18-19
161. ^ “Ncrack”. NMAP.ORG. 2019年1月2日閲覧。
162. ^ “THC-Hydra”. Kali Tools. 2019年1月2日閲覧。
163. ^ “現役ペンテスト技術者が選ぶ 使えるセキュリティツール (3)「hydra」”. ScanNetSecurity. 2019年1月2日閲覧。
164. ^ “現役ペンテスト技術者が選ぶ 使えるセキュリティツール（13） 「RainbowCrack」”. ScanNetSecurity. 2019年1月2日閲覧。
165. ^ “現役ペンテスト技術者が選ぶ 使えるセキュリティツール（14） 「ophcrack」”. ScanNetSecurity. 2019年1月2日閲覧。
166. ^ “現役ペンテスト技術者が選ぶ 使えるセキュリティツール(11)「PwDumpシリーズ」”. ScanNetSecurity. 2019年1月2日閲覧。
167. ^ “Metasploit――大いなる力を手に入れる (1/2)”. ＠IT. セキュリティ・ダークナイト ライジング（1）. 2018年11月6日閲覧。
168. ^ “Metasploit――大いなる力を手に入れる (2/2)”. ＠IT. セキュリティ・ダークナイト ライジング（1）. 2018年11月6日閲覧。
169. ^ “Metasploit――大いなる力と責任を体感する (1/2)”. ＠IT. セキュリティ・ダークナイト ライジング（2）. 2018年11月6日閲覧。
170. ^ ^{a b c d} JPCERT2017 p3
171. ^ ^{a b c d e f} IPA APT対策システム設計ガイド p.118-121
172. ^ “現役ペンテスト技術者が選ぶ 使えるセキュリティツール(5)「The GNU Netcat（前編）」”. ScanNetSecurity. 2019年1月2日閲覧。
173. ^ “現役ペンテスト技術者が選ぶ 使えるセキュリティツール(7)「The GNU Netcat（後編）」”. ScanNetSecurity. 2019年1月2日閲覧。
174. ^ “現役ペンテスト技術者が選ぶ 使えるセキュリティツール(10)「LanSpy」”. ScanNetSecurity. 2019年1月2日閲覧。
175. ^ “LanSpy Network security and port scanner”. LizardSystems. 2019年1月2日閲覧。
176. ^ “現役ペンテスト技術者が選ぶ 使えるセキュリティツール(15)　「tcptraceroute」”. ScanNetSecurity. 2019年1月2日閲覧。
177. ^ “現役ペンテスト技術者が選ぶ 使えるセキュリティツール(16)　「SMTP Relay Scanner」”. ScanNetSecurity. 2019年1月2日閲覧。
178. ^ “現役ペンテスト技術者が選ぶ 使えるセキュリティツール(17)　「snmpcheck」”. ScanNetSecurity. 2019年1月2日閲覧。
179. ^ “snmp-check”. KALI Tools. 2019年1月2日閲覧。
180. ^ “現役ペンテスト技術者が選ぶ 使えるセキュリティツール(18)　「SiteDigger」”. ScanNetSecurity. 2019年1月2日閲覧。
181. ^ “現役ペンテスト技術者が選ぶ 使えるセキュリティツール(20) 「metagoofil」”. ScanNetSecurity. 2019年1月2日閲覧。
182. ^ “現役ペンテスト技術者が選ぶ 使えるセキュリティツール(19)　「dig」”. ScanNetSecurity. 2019年1月2日閲覧。
183. ^ “現役ペンテスト技術者が選ぶ 使えるセキュリティツール(21) 「パケットには真実がある　−　パケットモニタリング系ツール」”. ScanNetSecurity. 2019年1月2日閲覧。
184. ^ “現役ペンテスト技術者が選ぶ 使えるセキュリティツール(27)　「MSN Messengerのプロトコルをキャプチャする　−MSN Protocol Analyzer」”. ScanNetSecurity. 2019年1月2日閲覧。
185. ^ ^{a b c} J-CRAT技術レポート2017 p60
186. ^ ^{a b c d} IPA 2017 脆弱性対策の効果的な進め方 p121-123
187. ^ 中村、横田 2015 pp.14-15
188. ^ 中村、横田 2015 pp.17-21
189. ^ 中村、横田 2015 pp.22-26
190. ^ 中村、横田 2015 pp.27-29
191. ^ “SHODAN”. 2018年12月14日閲覧。
192. ^ “Censys”. 2018年12月14日閲覧。
193. ^ ^{a b c d} “新たなハッカー向け検索エンジン「Censys」登場　ネット接続された機器をリスト化”. THE ZERO/ONE (2016年1月7日). 2018年12月14日閲覧。
194. ^ IPA 2014 増加するインターネット接続機器の不適切な情報公開とその対策 p.1
195. ^ IPA 2014 増加するインターネット接続機器の不適切な情報公開とその対策 p.8
196. ^ IPA 2014 増加するインターネット接続機器の不適切な情報公開とその対策 p.15
197. ^ 中村、横田 2015 p11
198. ^ IPA 2014 増加するインターネット接続機器の不適切な情報公開とその対策 p.11
199. ^ “ShodanとCensys：IoT検索エンジンの危険性”. カスペルスキー. 2018年12月14日閲覧。
200. ^ ^{a b} IPA 2014 増加するインターネット接続機器の不適切な情報公開とその対策 p.18
201. ^ ^{a b c d e f g h i j k l m n o p q r s t u v w x y z aa ab ac ad} JPCERT2017
202. ^ ^{a b c d e f g h i j k l m n o p q r s t u v w x y z} “インシデント調査のための攻撃ツール等の実行痕跡調査　ツール分析結果シート”. JPCERT/CC. 2018年10月2日閲覧。
203. ^ ^{a b c d e} NIST 2014 サイバーセキュリティフレームワーク v1.0 p8-10
204. ^ ^{a b} JNSA 2018 CISOハンドブック v1.1β p.12
205. ^ ^{a b} ISOG-J2017 p1
206. ^ ^{a b c} ISOG-J2017 p21
207. ^ ^{a b c d} ISOG-J2017 p4
208. ^ ^{a b} JNSA 2018 CISOハンドブック v1.1β p13
209. ^ NISC p10
210. ^ ^{a b} JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p19-21
211. ^ ^{a b c d e f g h i j k l m n o p} NIST 2014 サイバーセキュリティフレームワーク v1.0 p21-24
212. ^ ^{a b c d e f g h i j k l m n o p q r s t u} JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p56-59
213. ^ ^{a b c d e f g} JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p60
214. ^ ^{a b c d e f g h i j k l m n o p q r s t u v w x y z aa ab ac ad ae af ag ah ai aj ak al am an ao ap} NIST 2014 サイバーセキュリティフレームワーク v1.0 p24-30
215. ^ ^{a b c d e f g h i j k l m n o} NIST 2014 サイバーセキュリティフレームワーク v1.0 p31-33
216. ^ ^{a b c d e f g} JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p61-62
217. ^ ^{a b c} JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p64-65
218. ^ ^{a b} JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p69
219. ^ ^{a b c d e f g h} JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p63
220. ^ ^{a b c d e f g h} NIST 2014 サイバーセキュリティフレームワーク v1.0 p34-35
221. ^ ^{a b c d} NIST 2014 サイバーセキュリティフレームワーク v1.0 p35-36
222. ^ “2018年のトレンドは、DevOpsにセキュリティを融合した「DevSecOps」 (1/2)”. ITmediaエンタープライズ. 夢物語で終わらせない「DevOps」（6）. 2018年11月5日閲覧。
223. ^ “「シフトレフト」がセキュリティ対策やインシデント対応にも有効な理由”. ＠IT. ＠ITセキュリティセミナー2018.6-7. 2018年11月5日閲覧。
224. ^ “Webアプリケーション開発におけるDevSecOpsの設計”. CodeZine. 「DevSecOps」によるセキュアで迅速な開発ライフサイクルの実現　第2回. 2018年11月5日閲覧。
225. ^ 羽室2018 p24-25
226. ^ #NISC 2011 情報セキュリティを企画・設計段階から確保するための方策に係る検討会　報告書 p8
227. ^ ^{a b} “ITproまとめ - DevOps”. ITpro (2013年11月15日). 2014年2月28日閲覧。
228. ^ “ガートナー、2016年の情報セキュリティ・テクノロジのトップ10を発表”. ガートナー. 2018年10月29日閲覧。
229. ^ ^{a b c} “セキュアな開発ライフサイクル「DevSecOps」と、それを支えるセキュリティ対策ツールの種類と特徴”. CodeZine. 「DevSecOps」によるセキュアで迅速な開発ライフサイクルの実現　第1回. 2018年11月5日閲覧。
230. ^ ^{a b c d e f} 羽室2018 p24-25, 70-72
231. ^ “最終回：SCRMの基本的な考え方、「経営者が主導し、継続的に管理」”. 日経XTECH. リスクに強い工場をつくる. 2018年11月5日閲覧。
232. ^ IPA2016 pp.1-2
233. ^ “【注意喚起】ウイルス感染を想定したセキュリティ対策と運用管理を”. 情報処理推進機構. 2018年10月2日閲覧。
234. ^ ^{a b} “なぜ多層防御なのか？リスクを最小限にする最強のセキュリティ対策”. マカフィー (2017年12月13日). 2018年10月2日閲覧。
235. ^ “知っておきたいセキュリティの基本 図解で読み解く多層防御の仕組み”. キヤノンシステムアンドサポート株式会社. 2018年10月2日閲覧。
236. ^ ^{a b} 佳山2015 p25
237. ^ ^{a b} IPA 2014 新しいタイプの攻撃の対策第二版 p3-4
238. ^ ^{a b c d} IPA APT対策システム設計ガイド p.20
239. ^ ^{a b c} IPA APT対策システム設計ガイド p.26
240. ^ IPA 2014 新しいタイプの攻撃の対策第二版 p7
241. ^ “サイバーレジリエンス”. 週刊BCN+. 2018年11月27日閲覧。
242. ^ “金融機関向けサイバーレジリエンス向上サービス”. ニュートンコンサルティング. 2018年11月27日閲覧。
243. ^ ^{a b} “サイバーリスク時代のセキュリティレジリエンス”. 富士通総研. 2018年11月27日閲覧。
244. ^ ^{a b c d} “マイクロセグメンテーションとは”. 日立ソリューションズ情報セキュリティブログ. セキュリティ用語解説 (2016年11月16日). 2018年12月13日閲覧。
245. ^ ^{a b} “NSXを使った理想のセキュリティの実現”. Networld. 2018年12月13日閲覧。
246. ^ “「検証し、信頼しないこと」が前提の「ゼロ トラストモデル」とは?”. マイナビニュース. 2018年11月27日閲覧。
247. ^ “Next-Generation Access and Zero Trust”. Forrester Research. 2018年11月27日閲覧。
248. ^ ^{a b c d e} “Microsoft 365 を用いたゼロ トラスト ネットワークの実現”. Microsoft. 2018年11月27日閲覧。
249. ^ “もう誰も信用しない？：パロアルトが性悪説の「ゼロトラスト・ネットワーク・セキュリティ」を解説”. @IT. 2018年11月27日閲覧。
250. ^ “兆候つかみ「アクティブディフェンス」で対抗”. 日経XTECH. 標的型攻撃の脅威. 2018年11月26日閲覧。
251. ^ ^{a b} “サイバー攻撃の脅威は見えにくい、だからこそ最大級の関心を”. テレスコープマガジン. 2018年11月26日閲覧。
252. ^ ^{a b} “サイバー防衛(4) アクティブ・ディフェンス”. マイナビニュース. 軍事とIT. 2018年11月26日閲覧。
253. ^ ^{a b c d e f} “How I Learned To Love Active Defense”. DARKReading. 2019年1月2日閲覧。
254. ^ “ADHD Tools Usage Document”. GitHub. 2019年1月2日閲覧。
255. ^ ^{a b c} “Implementing Active Defense Systems on Private Networks” (pdf). SANS. pp. 2章. 2019年1月2日閲覧。
256. ^ ^{a b c} “Free 'Active Defense' Tools Emerge”. DARKReading. 2019年1月2日閲覧。
257. ^ ^{a b} “Second ACM Workshop on Moving Target Defense (MTD 2015)”. 2018年11月27日閲覧。
258. ^ “Moving Target Defense — recent trends Why is Moving Target Defense such a big deal in 2017?”. CryptoMove. 2018年11月27日閲覧。
259. ^ “Moving Target Defense Techniques: A Survey”. Hindawi Publishing Corporation. 2018年11月26日閲覧。
260. ^ “NIST基準のサイバーセキュリティ対策評価、Secureworksが提供開始”. ASCII.jp. 2018年10月12日閲覧。
261. ^ CIS CSC v6.1日本語訳公開
262. ^ “CIS Controls Version 7”. SANS ISC InfoSec Forums. 2018年10月12日閲覧。
263. ^ ^{a b} “CISがクリティカル セキュリティーコントロール トップ20を改訂”. Tripwire. 2018年10月12日閲覧。
264. ^ “OWASPとは”. APPSEC APAC 2014. 2018年11月26日閲覧。
265. ^ “Web開発者であれば押さえておきたい10の脆弱性～セキュリティ学習の第一歩はここから踏み出そう”. CodeZine. 2018年11月26日閲覧。
266. ^ ^{a b} Strategies to Mitigate Cyber Security Incidentsの公式ウェブサイト
267. ^ CIS Controls Version 7 – What’s Old, What’s New
268. ^ OWASP Top 10 2017 日本語訳 p4
269. ^ ^{a b} IPA 2013 脆弱性検査と脆弱性対策に関するレポート p17
270. ^ ^{a b} “セキュリティ診断（脆弱性診断・検査）”. LAC. 2018年10月12日閲覧。
271. ^ “セキュリティ診断（脆弱性診断・ペネトレーションテスト）”. サイバーディフェンス研究所. 2018年10月12日閲覧。
272. ^ ^{a b} IPA 2013 脆弱性検査と脆弱性対策に関するレポート p8
273. ^ ^{a b} IPA 2015 脆弱性対策の効果的な進め方（実践編） pp.5-6
274. ^ ^{a b c d e} IPA 2015 脆弱性対策の効果的な進め方（実践編） pp.9-10
275. ^ ^{a b} IPA 2015 脆弱性対策の効果的な進め方（実践編） pp.11-12
276. ^ IPA 2012 製品の品質を確保する「セキュリティテスト」に関するレポート p10
277. ^ ^{a b} IPA 2012 製品の品質を確保する「セキュリティテスト」に関するレポート p14
278. ^ ^{a b} IPA 2015 脆弱性対策の効果的な進め方（実践編） pp.15-16
279. ^ “脆弱性スキャナで実現する恒常的なセキュリティ管理”. @IT. 2018年10月18日閲覧。
280. ^ ^{a b c d e} “【レポート】脆弱性対策の現状とこれから 〜 進化するインフラ、高度化するサイバー攻撃への適応 〜”. Developers.IO. classmethod. 2018年10月18日閲覧。
281. ^ ^{a b c} IPA 2015 脆弱性対策の効果的な進め方（実践編） pp.13-14
282. ^ ^{a b c d e f} IPA 2013 ウェブサイトにおける脆弱性検査手法 pp.5-6
283. ^ ^{a b c d e f} IPA 2015 脆弱性対策の効果的な進め方（実践編） pp.１7-18
284. ^ “ペネトレーションテストとは？その方法やサービス相場比較まで徹底解説”. サイバーセキュリティ.com. 2018年11月2日閲覧。
285. ^ Keshri, Aakanchha (2021年9月8日). “What is Automated Penetration Testing? Common FAQs Answered” (英語). www.getastra.com. 2021年12月25日閲覧。
286. ^ ^{a b c d e f g h} “仮想敵「レッドチーム」が教えるセキュリティ対策の弱点”. ZDNet Japan (2017年8月18日). 2018年10月19日閲覧。
287. ^ PwC 2018 諸外国の「脅威ベースのペネトレーションテスト(TLPT)」に関する報告書の公表について p6-7
288. ^ “脆弱性診断・ペネトレーションテスト”. TRICORDER. 2018年10月18日閲覧。
289. ^ “CISコントロール20: ペネトレーションテストとレッドチームの訓練”. Tripwire. 2018年10月19日閲覧。
290. ^ ^{a b c d e f} “レッドチーム演習とは何か？ セキュリティ対策の「真の実力」を測定する方法”. ビジネス＋IT. 2018年11月2日閲覧。
291. ^ IPA 2018 制御システムのセキュリティリスク分析ガイド 第2版 p284-285
292. ^ JPCERT 脆弱性ハンドリングとは？
293. ^ JPCERT 高橋 2013 脆弱性情報ハンドリング概要 p4
294. ^ 情報セキュリティ早期警戒パートナーシップガイドライン 2017年度版 p3
295. ^ 情報セキュリティ早期警戒パートナーシップガイドライン 2017年度版 p3, 29
296. ^ ^{a b} JPCERT 脆弱性ハンドリングとは？
297. ^ JPCERT/CC 脆弱性関連情報取扱いガイドライン Ver 6.0
298. ^ 経済産業省告示「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」
299. ^ 情報セキュリティ早期警戒パートナーシップガイドライン 2017年度版
300. ^ ^{a b} 情報セキュリティ早期警戒パートナーシップガイドライン概要 2017年版 p1
301. ^ “脆弱性関連情報の届出受付”. 情報処理推進機構. 2018年10月15日閲覧。
302. ^ ^{a b c d} 情報セキュリティ早期警戒パートナーシップガイドライン 2017年度版 p7
303. ^ “脆弱性関連情報の届出状況”. 情報処理推進機構. 2018年10月15日閲覧。
304. ^ ^{a b c d e} 情報セキュリティ早期警戒パートナーシップガイドライン 2017年度版 p22,26, 37
305. ^ “脆弱性関連情報の届出状況”. 情報処理推進機構. 2018年10月15日閲覧。
306. ^ ^{a b c d e} IPA 2017 脆弱性対策の効果的な進め方 p26-29
307. ^ ^{a b c} IPA 2017 脆弱性対策の効果的な進め方 p31-33
308. ^ ^{a b} “JVN（Japan Vulnerability Notes）”. セコムトラストシステムズのBCP（事業継続計画）用語辞典. 2018年10月15日閲覧。
309. ^ ^{a b} “JVN とは？”. Japan Vulnerability Notes. 2018年10月15日閲覧。
310. ^ ^{a b} “JVN iPedia: JVN iPediaとは？”. 2018年10月15日閲覧。
311. ^ “オープンソースの脆弱性データベース「OSVDB」公開”. INTERNET Watch (2004年4月6日). 2018年10月15日閲覧。
312. ^ “セキュリティ アドバイザリ”. マイクロソフト. 2018年10月15日閲覧。
313. ^ “セキュリティアドバイザリ”. Cisco. 2018年10月15日閲覧。
314. ^ “注意喚起”. JPCERT/CC. 2018年10月15日閲覧。
315. ^ “@police”. 警察庁. 2018年10月15日閲覧。
316. ^ “重要なセキュリティ情報一覧”. 情報処理推進機構. 2018年10月15日閲覧。
317. ^ “https://www.us-cert.gov/ncas”. US-CERT. 2018年10月15日閲覧。
318. ^ “National Cybersecurity and Communications Integration Center (NCCIC) Industrial Control Systems”. ICS-CERT. 2018年10月15日閲覧。
319. ^ “Exploit Database”. 2018年10月15日閲覧。
320. ^ “Standards in reporting Software Flaws: SCAP, CVE and CWE”. Robin A. Gandhi, Ph.D.University of Nebraska at Omaha (UNO),College of Information Science and Technology (IS&T),School of Interdisciplinary Informatics (Si2),Nebraska University Center on Information Assurance (NUCIA). 2016年7月25日閲覧。
321. ^ “脆弱性対策標準仕様SCAPの仕組み～身近で使われているSCAP～”. 独立行政法人 情報処理推進機構 (IPA)技術本部 セキュリティセンター (2011年10月14日). 2016年7月25日閲覧。
322. ^ “セキュリティ設定共通化手順SCAP概説”. 情報処理推進機構 (2015年7月22日). 2018年11月5日閲覧。
323. ^ ^{a b} “脆弱性対策標準仕様SCAPの仕組み～身近で使われているSCAP～”. 独立行政法人 情報処理推進機構 (IPA)技術本部 セキュリティセンター (2011年10月14日). 2016年7月25日閲覧。
324. ^ ^{a b} “脆弱性対策標準仕様SCAPの仕組み～身近で使われているSCAP～”. 独立行政法人 情報処理推進機構 (IPA)技術本部 セキュリティセンター (2011年10月14日). 2016年7月25日閲覧。
325. ^ ^{a b} “脆弱性対策標準仕様SCAPの仕組み～身近で使われているSCAP～”. 独立行政法人 情報処理推進機構 (IPA)技術本部 セキュリティセンター (2011年10月14日). 2016年7月25日閲覧。
326. ^ “共通セキュリティ設定一覧CCE概説”. 情報処理推進機構. 2018年11月5日閲覧。
327. ^ “セキュリティ設定チェックリスト記述形式XCCDF概説”. 情報処理推進機構. 2018年11月5日閲覧。
328. ^ “セキュリティ検査言語OVAL概説”. 情報処理推進機構. 2018年11月5日閲覧。
329. ^ ^{a b c d e f g h i} “サイバー攻撃観測記述形式CybOX概説”. 情報処理推進機構. 2018年11月5日閲覧。
330. ^ ^{a b c} “脆弱性管理、先進的なツールの特徴は（前）”. COMPUTERWORLD (2017年12月19日). 2018年10月16日閲覧。
331. ^ ^{a b c d e f} “脆弱性管理　QualysGuard”. NTTデータ. 2018年10月16日閲覧。
332. ^ ^{a b c d} “脆弱性管理”. アカマイ. 2018年10月16日閲覧。
333. ^ ^{a b} “SIDfm™ VM”. ソフテック. 2018年10月16日閲覧。
334. ^ ^{a b c} “NEC Cyber Security Platform - 特長/機能”. NEC. 2018年10月16日閲覧。
335. ^ “IDS（Intrusion Detection System）とは”. セキュリティ用語辞典. ＠IT (2018年10月9日). 2018年10月29日閲覧。
336. ^ NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： ES-1
337. ^ NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： ES-1
338. ^ ^{a b c d} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 2-7～8
339. ^ NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 7-2
340. ^ ^{a b c d e} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 4-5～8
341. ^ “Web Application Firewall (WAF) 読本 改訂第2版” (PDF). 情報処理推進機構 (2011年12月). 2016年12月6日閲覧。
342. ^ IPA 2011 Web Application Firewall 読本 改訂第２版 p10
343. ^ IPA 2011 Web Application Firewall 読本 改訂第２版 p11-12
344. ^ ^{a b} IPA 2011 Web Application Firewall 読本 改訂第２版 pp.14-15, 33
345. ^ IPA 2011 Web Application Firewall 読本 改訂第２版 p19
346. ^ IPA 2011 Web Application Firewall 読本 改訂第２版 p21-23
347. ^ IPA 2011 Web Application Firewall 読本 改訂第２版 p25-27
348. ^ IPA 2011 Web Application Firewall 読本 改訂第２版 p29
349. ^ “Webレピュテーションで解決する、セキュリティの課題【前編】”. ScanNetSecurity. 2018年11月30日閲覧。
350. ^ ^{a b} “Webレピュテーション”. トレンドマイクロ. 2018年11月30日閲覧。
351. ^ ^{a b c d} “従来のセキュリティ対策を超えるWebレピュテーション機能とは？”. @IT. 2018年11月30日閲覧。
352. ^ “仕組みがわかるセキュリティソフト解体新書 新しい攻撃にも対応、期待のWebレピュテーション(3/3)”. 日経XTECH. 2018年12月14日閲覧。
353. ^ “エンドポイント”. IT用語辞典バイナリ. Weblio. 2018年10月26日閲覧。
354. ^ ^{a b} “「EPP（エンドポイント保護プラットフォーム）」って一体何をするもの？”. サイバーリーズンブログ. 2018年10月26日閲覧。
355. ^ ^{a b} “EDR（Endpoint Detection and Response）水際で防げない攻撃の「可視化」と「対応支援」を実現”. セキュリティ用語集. NECソリューションイノベータ. 2018年10月26日閲覧。
356. ^ “エンドポイント保護プラットフォーム（EPP）とエンドポイント検出および応答（EDR）”. Cisco Japan Blog. 2018年10月26日閲覧。
357. ^ ^{a b c} “端末の侵害に気付く「EDR」”. 日経XTECH. EDRやIOC、UEBAって？急増する謎の略語. 2018年10月26日閲覧。
358. ^ ^{a b} “EDRとは何か？〜EDRの基礎知識”. サイバーリーズンブログ. 2018年10月26日閲覧。
359. ^ ^{a b} “セキュリティで注目のトップ10、CASB、DevSecOps、EDR、UEBA、Deceptionなど”. ビジネス＋IT. 2018年12月13日閲覧。
360. ^ “Web分離（インターネット分離）とは？サービス導入の検討ポイントをご紹介”. IIJ. 2018年12月14日閲覧。
361. ^ ^{a b} 株式会社アシスト. “ブラウザからの感染を防ぐ、リモートブラウザ分離ソリューションとは？”. TechTarget Japan. 2018年12月14日閲覧。
362. ^ 羽室2018 p22-23
363. ^ ^{a b c} “DLPとは？”. キーマンズネット. 2018年10月29日閲覧。
364. ^ ^{a b} “じっくり考える「情報漏えい発生の理由」（後編）情報漏えい対策ソリューション、DLPとは”. @IT. Security&Trust. 2018年10月29日閲覧。
365. ^ ^{a b c d} Securosis, SANS. Understanding and Selecting a Data Loss Prevention Solution p5
366. ^ ^{a b} Securosis, SANS. Understanding and Selecting a Data Loss Prevention Solution p7-10
367. ^ ^{a b c d} 羽室2018 pp.276-277
368. ^ ^{a b c d} “AIで異常な動作や通信を発見する「UEBA」”. 日経XTECH. EDRやIOC、UEBAって？急増する謎の略語. 2018年10月26日閲覧。
369. ^ “ガートナー、2016年の情報セキュリティ・テクノロジのトップ10を発表”. ガートナー. 2018年10月29日閲覧。
370. ^ ^{a b c} “セキュリティ運用を高度な分析で支援するUEBA”. マカフィー公式ブログ. 2018年10月29日閲覧。
371. ^ Ahlm, Eric; Litan, Avivah (26 April 2016). “Market Trends: User and Entity Behavior Analytics Expand Their Market Reach”. Gartner. https://www.gartner.com/doc/reprints?id=1-370BP2V&ct=160518&st=sb 2016年7月15日閲覧。. 
372. ^ “Cybersecurity at petabyte scale”. 2016年7月15日閲覧。
373. ^ ^{a b c d e} “勝手に使われるクラウドを管理下に置く「CASB」”. 日経XTECH. EDRやIOC、UEBAって？急増する謎の略語. 2018年10月26日閲覧。
374. ^ ^{a b c d e f g h i j} “CASBとは”. netscope. cybernet. 2018年10月29日閲覧。
375. ^ ^{a b c d e f g} “新世代ハニーポット、Cyber Deceptionで攻撃の見える化を実現する”. McAfeeブログ (2018年5月8日). 2018年10月22日閲覧。
376. ^ ^{a b} “「おとり」データでハッカーをおびき寄せる--ネットワークを守るデセプション技術の特徴”. TechRepublic Japan. 2018年10月22日閲覧。
377. ^ “Gartner Identifies the Top Technologies for Security in 2017”. ガートナー. 2018年10月22日閲覧。
378. ^ “サイバー攻撃者をワナにかけて先手を打つセキュリティ対策「デセプション」とは”. 三井物産セキュアディレクション. 2018年10月22日閲覧。
379. ^ ^{a b c d} 八木、村山、秋山 2015 pp.31-32
380. ^ ^{a b} 八木、村山、秋山 2015 pp.131
381. ^ ^{a b c d} “第6回：今だから学ぶ！ セキュリティの頻出用語 : サンドボックスとは?”. マカフィー公式ブログ. 2018年11月30日閲覧。
382. ^ “巧妙なマルウェアに対抗する最先端のサンドボックス技術”. トレンドマイクロセキュリティブログ. 2018年11月30日閲覧。
383. ^ “Splunk、Phantom 社の買収に合意　セキュリティのオーケストレーションと自動化によるレスポンス (SOAR) を組み入れ、 分析主導型セキュリティと IT の新時代を切り開く”. Splunk. 2018年11月30日閲覧。
384. ^ ^{a b c d} “8 Ways Security Automation and Orchestration Is Transforming Security Operations”. eSecurityPlanet. 2018年11月30日閲覧。
385. ^ “Security Orchestration and Automated Response”. EventTracker. 2018年11月30日閲覧。
386. ^ “Our Security Orchestration and Automation (SOAR) Paper Publishes”. Gartner. 2018年11月30日閲覧。
387. ^ “Breach and Attack Simulation: Find Vulnerabilities before the Bad Guys Do”. eSecurityPlanet. 2018年12月14日閲覧。
388. ^ ^{a b c} “The Breach & Attack Simulation (BAS) technology Revolution”. Cyber Startup Observatory. 2018年12月14日閲覧。
389. ^ ^{a b c d e f g} CyberKillChain-Seven-Ways p6
390. ^ ^{a b c} John Franco (Electrical Engineering and Computing Systems). “Attack Patterns Aligned to Cyber Kill Chain”. シンシナティ大学. 2018年9月20日閲覧。
391. ^ ^{a b c d} CyberKillChain-Intelligence p.5
392. ^ “サービス (QoS) ポリシーの品質”. マイクロソフト. 2018年9月21日閲覧。
393. ^ ^{a b} JNSA2012 pp.1-8
394. ^ ^{a b} JNSA2012 p.25
395. ^ ^{a b c d e f} IPA APT対策システム設計ガイド p.53-56
396. ^ ^{a b c d e f g} IPA APT対策システム設計ガイド p.58-62
397. ^ ^{a b c} IPA APT対策システム設計ガイド pp.63-67
398. ^ ^{a b c d e f} IPA APT対策システム設計ガイド pp.69-74
399. ^ ^{a b c d} IPA APT対策システム設計ガイド pp.75-80
400. ^ ^{a b c d e f g} IPA APT対策システム設計ガイド p81-86
401. ^ ^{a b c} IPA APT対策システム設計ガイド p92-95
402. ^ ^{a b c d e f} IPA APT対策システム設計ガイド p87-91
403. ^ ^{a b c d} CyberKillChain-Intelligence p.6-7
404. ^ ^{a b c d e f g h i j k l m n o p q r s t u v w x y z aa ab ac ad ae} JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p15-17
405. ^ ^{a b c d e f g h i} JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p14
406. ^ ^{a b c d e} JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p60
407. ^ ^{a b} CyberKillChain-Seven-Ways p8
408. ^ JPCERT 2016 高度サイバー攻撃（APT）への備えと対応ガイド p18
409. ^ ^{a b} J-CRAT技術レポート2017 p5-8
410. ^ ^{a b c} J-CRAT技術レポート2017 p31-33
411. ^ J-CRAT技術レポート2017 p9, 23, 48
412. ^ ^{a b} J-CRAT技術レポート2017 p23-26
413. ^ p31
414. ^ ^{a b} J-CRAT技術レポート2017 p62-63
415. ^ ^{a b} J-CRAT技術レポート2017 p40
416. ^ J-CRAT技術レポート2017 p69-70
417. ^ ^{a b c d} “内容もコストもさまざま「脅威インテリジェンスサービス」とは何か？　基礎から学び直す (1/2)”. TechTarget Japan. 2018年11月12日閲覧。
418. ^ “Threat Intelligence: What is it, and How Can it Protect You from Today's Advanced Cyber-Attack? A Webroot publication featuring analyst research” (pdf). Gartner. p. 3. 2018年11月12日閲覧。
419. ^ ^{a b} “内容もコストもさまざま「脅威インテリジェンスサービス」とは何か？　基礎から学び直す (2/2)”. TechTarget Japan. 2018年11月12日閲覧。
420. ^ ^{a b c} “脅威インテリジェンス(Threat Intelligence)とは”. 日立ソリューションズ情報セキュリティブログ. セキュリティ用語解説. 2018年11月12日閲覧。
421. ^ ^{a b c} “脅威インテリジェンスを使って企業のセキュリティを高める”. DIAMOND IT&ビジネス. 2018年11月12日閲覧。
422. ^ “脅威情報構造化記述形式STIX概説”. 情報処理推進機構. 2018年11月6日閲覧。
423. ^ ^{a b} “1.1 What is STIX?”. Frequently Asked Questions. OASIS. 2018年11月12日閲覧。
424. ^ “Comparing STIX 1.X/CybOX 2.X with STIX 2”. OASIS. 2018年11月13日閲覧。
425. ^ ^{a b} “1.2 What is TAXII?”. Frequently Asked Questions. OASIS. 2018年11月13日閲覧。
426. ^ “検知指標情報自動交換手順TAXII概説”. 情報処理推進機構. 2018年11月13日閲覧。
427. ^ ^{a b c d e f g} “CISO 【 Chief Information Security Officer 】 最高情報セキュリティ責任者”. IT用語辞典 e-words. 2018年9月12日閲覧。
428. ^ ^{a b c d e f g} “CISO（Chief Information Security Officer）”. セコムトラストシステムズのBCP（事業継続計画）用語辞典. 2018年9月12日閲覧。
429. ^ ^{a b c d e f} IPA-CISO調査2017 p17
430. ^ “サイバーセキュリティ経営ガイドライン Ver 3.0” (pdf). 経済産業省, 独立行政法人情報処理推進機構 (2023年3月24日). 2023年11月11日閲覧。
431. ^ 経営ガイド解説 p11
432. ^ 経営ガイド解説 p15
433. ^ ^{a b} NISC pp.4,6
434. ^ 経営ガイド解説 p9
435. ^ ^{a b} JNSA-ISOG-J2018 p4-5
436. ^ マカフィー SOC運用はどんな業務で成り立っているのか p9
437. ^ ^{a b} インシデントハンドリングマニュアル p1
438. ^ CSIRT ガイド pp.5-9
439. ^ ^{a b} “SOCとは”. インターネット用語1分解説. 日本ネットワークインフォメーションセンター. 2018年9月20日閲覧。
440. ^ ^{a b c d e f g h i j k} ISOG-J2010 p8-9
441. ^ ^{a b} ISOG-J2010 p22-23
442. ^ マカフィー SOC運用はどんな業務で成り立っているのか p8
443. ^ CSIRT ガイド pp.20-21
444. ^ ^{a b c d e f} マカフィー SOC運用はどんな業務で成り立っているのか p5-7
445. ^ ^{a b c d e f g h i j k l} JNSA-ISOG-J2018 p10-11
446. ^ ^{a b} マカフィー SOC運用はどんな業務で成り立っているのか p9
447. ^ ^{a b} LPM2016 位置483
448. ^ LPM2016 位置494
449. ^ LPM2016 位置982
450. ^ ^{a b} インシデントハンドリングマニュアル p2、CSIRT ガイド p29
451. ^ ^{a b c d} インシデントハンドリングマニュアル pp.2-4
452. ^ ^{a b c} JNSA-ISOG-J2018 p13-14
453. ^ ^{a b c d e f g h} インシデントハンドリングマニュアル pp.2, 4-5
454. ^ ^{a b c d e} インシデントハンドリングマニュアル pp.2, 5-6
455. ^ ^{a b} CSIRT ガイド pp.29
456. ^ ^{a b c d e} LPM2016 位置967
457. ^ LPM2016 位置1242
458. ^ インシデントハンドリングマニュアル p.6
459. ^ JNSA-ISOG-J2018 p6
460. ^ ^{a b c d e} JNSA-ISOG-J2018 p12-13
461. ^ JNSA-ISOG-J2018 p21
462. ^ ^{a b c d e} インシデントハンドリングマニュアル p.9-10
463. ^ ^{a b c d e} インシデントハンドリングマニュアル p.19-20
464. ^ インシデントハンドリングマニュアル p.17-19
465. ^ ^{a b c d e f g h} インシデントハンドリングマニュアル p.15-16
466. ^ ^{a b c d} インシデントハンドリングマニュアル p.16-17
467. ^ CSIRT ガイド pp.18-19
468. ^ FIRST 2018 PSIRT Services Framework Version 1.0 Draft日本語抄訳 p2
469. ^ ^{a b c} JPCERT FIRST PSIRT Services Framework
470. ^ ^{a b c d e f g h i j} FIRST 2018 PSIRT Services Framework Version 1.0 Draft日本語抄訳 pp.3-6
471. ^ FIRST 2018 PSIRT Services Framework Version 1.0 Draft日本語抄訳 p.20
472. ^ FIRST 2018 PSIRT Services Framework Version 1.0 Draft日本語抄訳 pp.22-23
473. ^ ^{a b} FIRST 2018 PSIRT Services Framework Version 1.0 Draft日本語抄訳 p.26
474. ^ FIRST 2018 PSIRT Services Framework Version 1.0 Draft日本語抄訳 p.38
475. ^ FIRST 2018 PSIRT Services Framework Version 1.0 Draft日本語抄訳 p.31
476. ^ ^{a b} IPA 2016 制御システム利用者のための脆弱性対応ガイド 第2版 p4
477. ^ IPA 2018 IPA産業サイバーセキュリティセンターが目指す先 p14
478. ^ ^{a b} IPA 2018 制御システムのセキュリティリスク分析ガイド 第2版 p16
479. ^ IPA 2016 制御システム利用者のための脆弱性対応ガイド 第2版 p17
480. ^ ^{a b} IPA 2014 増加するインターネット接続機器の不適切な情報公開とその対策 p.3
481. ^ ^{a b c d e} IPA 2014 増加するインターネット接続機器の不適切な情報公開とその対策 p.5-6
482. ^ ^{a b} “サイバーセキュリティ基本法　平成二十八年四月二十二日公布（平成二十八年法律第三十一号）改正”. e-Gov. 2018年10月29日閲覧。
483. ^ ^{a b c d e} “サイバーセキュリティ基本法 平成28年4月22日公布（平成28年法律第31号）改正”. e-Gov. 2018年10月19日閲覧。
484. ^ “内閣官房組織令　平成30年3月30日公布（平成30年政令第76号）改正”. e-Gov. 2018年10月19日閲覧。
485. ^ NISC 2017 我が国のサイバーセキュリティ政策の概要 p2
486. ^ “活動内容”. NISC. 2018年10月20日閲覧。
487. ^ “会議”. NISC. 2018年10月20日閲覧。
488. ^ “改正サイバーセキュリティ基本法が成立 - 「サイバーセキュリティ協議会」創設など”. Security NEXT (2018年12月6日). 2018年12月13日閲覧。
489. ^ ^{a b c d e} “サイバーセキュリティ基本法の一部を改正する法律案” (pdf). 内閣官房. 2018年12月13日閲覧。
490. ^ “政府、今後3年間の「サイバーセキュリティ戦略」を閣議決定”. SecurityNext (2018年7月31日). 2018年10月20日閲覧。
491. ^ “政府機関等のサイバーセキュリティ対策のための統一基準群の概要” (pdf). 内閣官房 内閣サイバーセキュリティセンター 政府機関総合対策グループ (2023年7月). 2023年11月11日閲覧。
492. ^ “政府機関等のサイバーセキュリティ対策のための統一規範” (pdf). サイバーセキュリティ戦略本部 (2023年7月4日). 2023年11月11日閲覧。
493. ^ “政府機関等のサイバーセキュリティ対策のための統一基準（令和５年度版）” (pdf). サイバーセキュリティ戦略本部 (2023年7月4日). 2023年11月11日閲覧。
494. ^ “政府機関等の対策基準策定のためのガイドライン（令和５年度版）” (pdf). 内閣官房 内閣サイバーセキュリティセンター (2023年7月4日). 2023年11月11日閲覧。
495. ^ “情報統括グループの概要”. 内閣サイバーセキュリティセンター. 2018年10月22日閲覧。
496. ^ ^{a b c} “政府、サイバー攻撃対策で9法人を指定 - GSOCによる監視の対象に”. Security NEXT. 2018年10月22日閲覧。
497. ^ “サイバーセキュリティ政策に係る年次報告（2016年度）（案）p6” (pdf). NISC. 2018年10月19日閲覧。
498. ^ “情報セキュリティー緊急支援チーム”. コトバンク. デジタル大辞泉. 2018年10月19日閲覧。
499. ^ ^{a b} “日本政府が「CYMAT」発足、サイバー攻撃など省庁横断で対応”. INTERNET Watch. 2018年10月20日閲覧。
500. ^ ^{a b} “総務省、「政府共通プラットフォーム」が開始　「霞が関クラウド」がようやく具現化”. ビジネス＋IT (2013年3月27日). 2018年11月22日閲覧。
501. ^ ^{a b c d} “政府共通プラットフォーム”. IT用語辞典. 大塚商会. 2018年11月22日閲覧。
502. ^ ^{a b c d e} “7　サイバー空間における対応”. 平成３０年版防衛白書　第III部　国民の生命・財産と領土・領海・領空を守り抜くための取組. 防衛省. 2019年2月5日閲覧。
503. ^ ^{a b c} 防衛省運用企画局情報通信・研究課. “防衛省のサイバーセキュリティへの取組” (pdf). NISC. p. 11. 2019年2月5日閲覧。
504. ^ “防衛省の情報保証に関する訓令” (pdf). 防衛省. 2019年2月5日閲覧。
505. ^ “日本版NCFTA「日本サイバー犯罪対策センター(JC3)」がスタート”. マイナビニュース (2014年11月14日). 2019年1月16日閲覧。
506. ^ “サイバー犯罪対策新組織「日本サイバー犯罪対策センター（ＪＣ３）」の業務開始” (pdf). JC3 (2014年11月3日). 2019年1月16日閲覧。
507. ^ “JC3正会員”. 正会員. 2019年1月16日閲覧。
508. ^ “JC3賛助会員”. JC3. 2019年1月16日閲覧。
509. ^ ^{a b c d e} “特別インタビュー増大するサイバー犯罪の根源的な解決へ～“産学官”のオールジャパンで立ち向かう第三者機関の姿とは？～”. NEC. 2019年1月31日閲覧。
510. ^ ^{a b c d e f} “活動概要”. JC3. 2019年1月16日閲覧。
511. ^ ^{a b} IPA 事業案内パンフレット p3
512. ^ “「『高度標的型攻撃』対策に向けたシステム設計ガイド」の公開”. 情報処理推進機構. 2018年12月10日閲覧。
513. ^ IPA サイバーレスキュー隊(J-CRAT)の活動概要 p2
514. ^ ^{a b c d} IPA サイバーレスキュー隊(J-CRAT)の活動概要 p2
515. ^ ^{a b c d e} “サイバー情報共有イニシアティブ（J-CSIP（ジェイシップ））”. 情報処理推進機構. 2018年12月14日閲覧。
516. ^ IPA サイバーレスキュー隊(J-CRAT)の活動概要 p1
517. ^ ^{a b c d e f} IPA サイバーレスキュー隊(J-CRAT)の活動概要 p5-7
518. ^ ^{a b c d e f g} IPA 事業案内パンフレット p8
519. ^ ^{a b c d e} IPA 事業案内パンフレット p5-7
520. ^ ^{a b c} IPA 事業案内パンフレット p9-13
521. ^ ^{a b c} IPA 事業案内パンフレット p15-16
522. ^ “組織”. 情報通信研究機構. 2018年12月12日閲覧。
523. ^ ^{a b} “サイバーセキュリティ研究所”. 情報通信研究機構. 2018年12月12日閲覧。
524. ^ ^{a b c} “研究紹介”. 情報通信研究機構サイバーセキュリティ研究室. 2018年12月12日閲覧。
525. ^ ^{a b} “研究紹介”. 情報通信研究機構セキュリティ基盤研究室. 2018年12月12日閲覧。
526. ^ ^{a b c d e} “ナショナルサイバートレーニングセンター”. 情報通信研究機構. 2018年12月12日閲覧。
527. ^ “イスラエルとのサイバーセキュリティ分野における協力に関する覚書の署名”. 総務省 (2018年11月29日). 2019年1月31日閲覧。
528. ^ ^{a b c} 八山 2019 米国等のサイバーセキュリティに関する動向 p5
529. ^ U.S. Department of Defense, Cyber Command Fact Sheet, 21 May 2010
530. ^ Mazzetti, Mark; Sanger, David E. (2013年3月12日). “Security Chief Says Computer Attacks Will Be Met”. The New York Times. https://www.nytimes.com/2013/03/13/us/intelligence-official-warns-congress-that-cyberattacks-pose-threat-to-us.html 
531. ^ “第六章 米国のインテリジェンス･コミュニティーとわが国へのインプリケーション” (pdf). 公益財団法人 日本国際問題研究所. pp. 103, 111. 2019年1月30日閲覧。
532. ^ Kaster, Carolyn (2015年2月10日). “Obama’s New Cyber Agency Puts Spies in Charge of Sharing Threat Tips with Agencies”. Nextgov. http://www.nextgov.com/cybersecurity/2015/02/obama-creates-cyber-cia-or-obama-creates-cyber-counterterrorism-center/105051/ 2015年2月13日閲覧。 
533. ^ ^{a b} “米がサイバー攻撃対策で新組織、脅威情報を集約”. AFP BB News (2015年2月11日). 2019年1月30日閲覧。
534. ^ “ここまで進んだサイバー攻撃への対処”. livedoor news (2017年2月3日). 2019年1月30日閲覧。
535. ^ ^{a b} 「すべては傍受されている」10章
536. ^ ルセフ・ブラジル大統領:訪米延期　ＮＳＡのメール傍受に反発 毎日新聞2013年9月18日
537. ^ 米機関が独首相の携帯も盗聴か　オバマ大統領は報道否定 共同通信2013年10月24日
538. ^ 米機関、外国指導者３５人盗聴か　英紙報道、非難激化も 共同通信2013年10月25日
539. ^ “Our Mission”. Homeland Security (2016年5月11日). 2018年2月9日閲覧。
540. ^ “About CISA”. アメリカ合衆国国土安全保障省. 2018年12月16日閲覧。
541. ^ Cimpanu, Catalin (2018年11月16日). “Trump signs bill that creates the Cybersecurity and Infrastructure Security Agency”. ZDNet. https://www.zdnet.com/article/trump-signs-bill-that-creates-the-cybersecurity-and-infrastructure-security-agency/ 2018年12月16日閲覧。 
542. ^ Zakrzewski, Cat (2018年11月16日). “The Cybersecurity 202: Trump set to make a new DHS agency the top federal cyber cop”. The Washington Post. https://www.washingtonpost.com/news/powerpost/paloma/the-cybersecurity-202/2018/11/16/the-cybersecurity-202-trump-set-to-make-a-new-dhs-agency-the-top-federal-cyber-cop/5bedb9a71b326b3929054867/ 2018年12月16日閲覧。 
543. ^ Beavers, Olivia (2018年10月3日). “Senate passes key cyber bill cementing cybersecurity agency at DHS”. ザ・ヒル. https://thehill.com/policy/cybersecurity/409804-senate-passes-key-cyber-bill-cementing-cybersecurity-agency-at-dhs 2018年12月16日閲覧。 
544. ^ ^{a b c d} “米国のサイバーセキュリティ行政変革と医療機器規制 (1/2)”. MONOist. 海外医療技術トレンド（41） (2018年11月30日). 2019年1月30日閲覧。
545. ^ Cimpanu, Catalin (2018年11月16日). “Trump signs bill that creates the Cybersecurity and Infrastructure Security Agency”. ZDNet. https://www.zdnet.com/article/trump-signs-bill-that-creates-the-cybersecurity-and-infrastructure-security-agency/ 2018年12月16日閲覧。 
546. ^ ^{a b c d e f} Cimpanu, Catalin (2018年11月16日). “Trump signs bill that creates the Cybersecurity and Infrastructure Security Agency”. ZDNet. https://www.zdnet.com/article/trump-signs-bill-that-creates-the-cybersecurity-and-infrastructure-security-agency/ 2018年12月16日閲覧。 
547. ^ “CISA CUBER+INFRASTRUCTURE”. CISA. 2019年1月30日閲覧。
548. ^ ^{a b} 八山 2019 米国等のサイバーセキュリティに関する動向 p5
549. ^ “About Us”. US-CERT. 2019年1月30日閲覧。
550. ^ “National Coordinating Center for Communications”. CISA. 2019年1月30日閲覧。
551. ^ 八山 2019 米国等のサイバーセキュリティに関する動向 p6
552. ^ ^{a b c d e f g} “Automated Indicator Sharing (AIS)”. DHS. 2019年1月25日閲覧。
553. ^ ^{a b c d e} “Automated Indicator Sharing (AIS)”. US-CERT. 2019年1月25日閲覧。
554. ^ ^{a b c d e f g} “米国国土安全保障省が推進する「AIS」のサイバー脅威インテリジェンス（CTI）と当社のCTI活用システムの連携を実証”. 富士通. 2019年1月25日閲覧。
555. ^ ^{a b c} “NEC、米国国土安全保障省が推進する官民でサイバー脅威情報を共有する枠組み「AIS」に加入～サイバーインテリジェンスを強化～”. 日本電気. 2019年1月25日閲覧。
556. ^ “NIST General Information”. NIST. 2013年10月28日閲覧。
557. ^ NIST Laboratories. National Institute of Standards and Technology. Retrieved on October 6, 2010.
558. ^ IPA-NIST2005
559. ^ ^{a b c d e f} 八山 2019 米国等のサイバーセキュリティに関する動向 p10
560. ^ THE CYBER THREAT
561. ^ ^{a b c d e} “NCFTA”. コトバンク. 日本大百科全書(ニッポニカ)の解説. 2018年12月13日閲覧。
562. ^ “Intelligence News and Reports”. 2019/01/30. 国家インテリジェンス大学（NIU）で新しい教育プログラムが開始閲覧。
563. ^ ^{a b c d e f g} “What is the European Data Protection Board (EDPB)?”. European Data Protection Board. 2018年12月13日閲覧。
564. ^ “今さら聞けないGDPR対策を聞く――概要から基本原則まで最低限理解すべきこと(2/3)”. EnterpriseZine. Security online (2017年11月1日). 2018年12月13日閲覧。
565. ^ “【EU】一般データ保護規則（GDPR）の適用開始” (pdf). 小特集 EUデータ保護規則. 国立国会図書館調査及び立法考査局. 2018年12月13日閲覧。
566. ^ 「EU情報辞典」P14、大修館書店。
567. ^ NISC 2009 米国のセキュリティ情報共有組織（ISAC）の状況と運用実態に関する調査 p1
568. ^ (au), David A. Powner (2017年5月15日). “Critical Infrastructure Protection: Department of Homeland Security Faces Challenges in Fulfilling Cybersecurity Responsibilities”. DIANE Publishing. 2018年12月10日閲覧。
569. ^ “FACT SHEET: Executive Order Promoting Private Sector Cybersecurity Information Sharing” (2015年2月12日). 2018年12月10日閲覧。
570. ^ NISC 2009 米国のセキュリティ情報共有組織（ISAC）の状況と運用実態に関する調査 p3
571. ^ “サイバーセキュリティ政策推進に関する提言”. 総務省. p. 13. 2018年12月10日閲覧。
572. ^ “National ISAC Council”. 2018年12月10日閲覧。
573. ^ NISC 2009 米国のセキュリティ情報共有組織（ISAC）の状況と運用実態に関する調査 p4
574. ^ “金融ISAC”. 2018年12月10日閲覧。
575. ^ “電力ISAC”. 2018年12月10日閲覧。
576. ^ “ICT-ISAC”. 2018年12月10日閲覧。
577. ^ “一般社団法人「ICT-ISAC」の発足および活動開始について”. ICT-ISAC. 2018年12月10日閲覧。
578. ^ “Software ISAC”. 一般社団法人コンピュータソフトウェア協会(CSAJ). 2018年12月13日閲覧。
579. ^ “European Energy - Information Sharing & Analysis Centre”. 2018年12月10日閲覧。
580. ^ ^{a b c d e f} NISC 2009 米国のセキュリティ情報共有組織（ISAC）の状況と運用実態に関する調査 p5
581. ^ 八山 2019 米国等のサイバーセキュリティに関する動向 p7
582. ^ “会員企業一覧”. JNSA. 2019年1月16日閲覧。
583. ^ ^{a b c d} “社会活動部会”. JNSA. 2019年1月16日閲覧。
584. ^ “サイバーセキュリティ小説コンテスト”. JNSA. 2019年1月16日閲覧。
585. ^ ^{a b c d e} “調査研究部会”. JNSA. 2019年1月16日閲覧。
586. ^ ^{a b c d e f} “標準化部会”. JNSA. 2019年1月16日閲覧。
587. ^ ^{a b c} “教育部会”. JNSA. 2019年1月16日閲覧。
588. ^ ^{a b c} “会員交流部会”. JNSA. 2019年1月16日閲覧。
589. ^ “マーケティング部会”. JNSA. 2019年1月16日閲覧。
590. ^ ^{a b} “西日本支部”. JNSA. 2019年1月16日閲覧。
591. ^ “JNSA Internship”. JNSA. 2019年1月16日閲覧。
592. ^ “セキュリティコンテスト(SECCON)”. JNSA. 2019年1月16日閲覧。
593. ^ ^{a b} “ISOG-Jについて”. 日本セキュリティオペレーション事業者協議会. 2019年1月16日閲覧。
594. ^ “参加・関連団体”. 日本セキュリティオペレーション事業者協議会. 2019年1月16日閲覧。
595. ^ “オブザーバー”. 日本セキュリティオペレーション事業者協議会. 2019年1月16日閲覧。
596. ^ ^{a b c d e f g} “活動紹介”. 日本セキュリティオペレーション事業者協議会. 2019年1月16日閲覧。
597. ^ ^{a b c d e f g h i j k} “事業紹介”. 日本情報経済社会推進協会. 2018年12月14日閲覧。
598. ^ “認定個人情報保護団体”. 日本情報経済社会推進協会. 2018年12月14日閲覧。
599. ^ “Cyber Threat Alliance”. 2019年1月31日閲覧。
600. ^ ^{a b c d e f} “What we do”. Cyber Threat Alliance. 2019年1月31日閲覧。
601. ^ “Cyber Threat Allianceとは？”. Fortinet. 2019年1月31日閲覧。
602. ^ “NEC、セキュリティ企業間でサイバー攻撃の脅威情報を共有する非営利団体「Cyber Threat Alliance (CTA)」に加盟”. NEC. 2019年1月31日閲覧。