No,ページ,用語,内容
1,14,情報セキュリティ,情報セキュリティとは、情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含めてもよい。
2,15,脆弱性,脆弱性とは、脅威が起こる可能性がある情報資産や情報資産を含むシステムの弱点のこと。
3,15,脅威,脅威とは、情報資産を保持する組織や情報システムなどに損害を与える可能性がある出来事。情報セキュリティでは、セキュリティインシデントと呼ぶ。
4,16,CSR,Corporate Social Responsibility。CSRとは企業が社会に与える影響を把握し、顧客などの利害関係者の要望に応えることで、社会への責任を果たすこと。
5,20,機密性(confidentiality),機密性とは、認可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性。
6,20,完全性(integrity),完全性とは、資産の正確さ及び完全さを保護する特性。
7,20,可用性(availability),可用性とは、認可されたエンティティが要求したときに、アクセスおよび使用が可能である特性。
8,21,真正性(authenticity),真正性とは、ある主体又は資源が、主張通りであることを確実にする特性。真正性は、利用者、プロセス、システム、情報などのエンティティに対して適用する。
9,21,責任追跡性(accountability),責任追跡性とは、あるエンティティの動作が、その動作から動作主のエンティティまで一意に追跡できることを確実にする特性(JIS X 5004)。
10,21,否認防止(non-repudiation),否認防止とは、ある活動又は事象が起きたことを、後になって否認されないように証明する能力。
11,21,信頼性(reliability),信頼性とは、意図した動作及び結果に一致する特性。
12,24,個人情報,「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
13,24,個人情報取扱事業者,"「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供しているものをいう。ただし、次に掲げる者を除く。
国の機関、地方公共団体、独立行政法人等、地方独立行政法人、その他政令で定めるもの"
14,25,保有個人データ,保有個人データとは、個人データのうち、個人情報取扱事業者が、開示等を行う権限を有し、6か月以上にわたって利用するもの
15,26,OECD8原則,OECD8原則とは、OECD(経済協力開発機構)から公表されたプライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告。収集制限の原則、データ内容の原則、目的明確化の原則、利用制限の原則、安全保護の原則、公開の原則、個人参加の原則、責任の原則の8原則である。個人情報保護法のベースとなる。
16,26,収集制限の原則,収集制限の原則とは、個人データは、適法・公正な手段により、かつ情報主体に通知または同意を得て収集されるべきである。
17,26,データ内容の原則,データ内容の原則とは、収集するデータは、利用目的に沿ったもので、かつ、正確・完全・最新であるべきである。
18,26,目的明確化の原則,目的明確化の原則とは、収集目的を明確にし、データ利用は収集目的に合致するべきである。
19,26,利用制限の原則,利用制限の原則とは、データ主体の同意がある場合や法律の規定による場合を除いて、収集したデータを目的以外に利用してはならない。
20,26,安全保護の原則,安全保護の原則とは、合理的安全保護措置により、紛失・破壊・使用・修正・開示等から保護すべきである。
21,26,公開の原則,公開の原則とは、データ収集の実施方針等を公開し、データの存在、利用目的、管理者等を明示するべきである。
22,26,個人参加の原則,個人参加の原則とは、データ主体に対して、自己に関するデータの所在及び内容を確認させ、または異議申立を保証するべきである。
23,26,責任の原則,責任の原則とは、データの管理者は諸原則実施の責任を有する。
24,26,情報セキュリティポリシ,情報セキュリティポリシとは、組織が所有する情報資産の情報セキュリティ対策について総合的、体系的かつ具体的にとりまとめたもののこと。情報セキュリティ基本方針と情報セキュリティ対策基準からなる。
25,27,情報セキュリティ基本方針,情報セキュリティ基本方針とは、組織における、情報セキュリティ対策に対する根本的な考え方を表す。組織がどのような情報資産を持ち、その資産に対してどのような脅威があり、それをなぜ保護しなければならないかを明らかにし、組織の情報セキュリティに取り組む姿勢を示す方針のことである。
26,27,情報セキュリティ対策基準,情報セキュリティ対策基準とは、情報セキュリティ基本方針に定められた情報セキュリティを確保するために遵守すべき行為及び判断などの基準のこと。
27,27,情報セキュリティ実施手順,情報セキュリティ実施手順とは、対策基準に定められた内容を具体的な情報システム又は業務においてどのような手順に従って実行していくかを示したもの。
28,28,情報セキュリティポリシの策定手順,①組織と体制の確立→②情報セキュリティ基本方針の策定→③リスク分析→④情報セキュリティ対策基準の策定→⑤情報セキュリティポリシの決定→⑥対策の実施手順の策定
29,29,情報セキュリティ監査基準,情報セキュリティ監査基準には、保証型の監査と助言型の監査がある。
30,29,情報セキュリティ管理基準,情報セキュリティ管理基準は、ISO/IEC 17799(JIS X 5080)をもとに作成されており、情報セキュリティにかかわるマネジメントに関する国際基準に合致している。
31,30,情報セキュリティ監査の実施手順,①監査計画の立案→②監査手続の実施→③監査調書の作成と保存→④監査報告書の作成
32,36,リスク分析の手順,①情報資産の調査→②-1 脅威の調査→②-2 脅威の発生頻度と発生時の被害の大きさの分析→③-1 重要性の分類→③-2セキュリティ要求水準の設定→④対策の策定
33,36,定量的リスク分析,定量的リスク分析とは、リスクを損失額などの具体的な数字で見積もる手法(ALEなど)
34,36,定性的リスク分析,定性的リスク分析では、質問表などを使用してリスクを見積り、リスクのレベルを低、中、高のように評価する手法(「情報セキュリティポリシーに関するガイドライン」のリスク分析、CRAMM、GMITS/MICTSなど)
35,37,JRAM,"JRAMとは、JIPDECによって開発されたリスク分析手法。
①JRAM質問表の回答結果から脆弱性を洗い出し、評価する。
②JRAM分析シートにより実際に発生したセキュリティ事故から損失額を洗い出す。
③①と②の結果を合わせて総合的に評価し、判定する。"
36,38,「情報セキュリティポリシーに関するガイドライン」のリスク分析,"「情報セキュリティポリシーに関するガイドライン」のリスク分析では、情報セキュリティ対策推進会議が開発したリスク分析手法。情報資産の重要性を機密性、完全性、可用性から調査し、情報資産ごとに脅威の発生頻度と発生時の被害の大きさを求める。
①組織の情報資産を調査し、重要性を分類して、必要なセキュリティ水準を決める。
②組織の情報資産に対する脅威を調査し、発生頻度と発生時の被害の大きさからリスクを評価する。
③リスクの大きさが要求するセキュリティ水準を上回らないように対策基準を策定する。"
37,38,CRAMM,"CRAMMとは、英国財務省配下のCCTAと英国規格協会(BSI)が開発したリスク分析手法。
①CRAMM質問表を使って、情報資産を分類し、評価する。
②CRAMM質問表を使って、情報資産に対する脅威と情報資産の脆弱性を5段階で評価する。
③CRAMMの具体的な対策から、情報資産に適用する対応策を選択する。"
38,38,ALE,"ALEとは、米国標準技術院(NIST)が開発したリスク分析手法。リスクの発生頻度と損失額を計算し、対応策やそのための資金を決定する。
ALE(年間予想損失額)は、次のように求める。次の式において、fは損失評価額のレベルを,iは発生頻度のレベルを意味する。
ALE(年間予想損失額) = 10^(f+i-3)/3
組織において部門ごとにfとiの値を設定し、それぞれの年間予想損失額を求めて評価を行う。"
39,39,GMITS/MICTS,"GMITS/MICTSとは、ITセキュリティのマネジメントに関するガイドラインをまとめたもの。JIS TR X 0036-3:2001としてJIS化されている。
GMITSの後継としてMICTSがある。リスク分析手法として、①ベースラインアプローチ、②非形式アプローチ、③詳細リスク分析、④組合せアプローチの4つが挙げられている。"
40,39,ベースラインアプローチ,ベースラインアプローチとは、従来の標準や基準を基にベースラインの対策の基準を策定し、チェックしていく手法。実施が比較的容易だが、選択する標準や基準によっては求める対策のレベルが適切に定まらない場合がある。
41,39,非形式的アプローチ,非形式的アプローチとは、非公式アプローチとも。コンサルタントや担当者の経験や判断により、リスク分析を行う。短期間での実施が可能だが、判断が恣意的になることがある。
42,39,詳細リスク分析,詳細リスク分析とは、個々の情報資産に対して「脅威」と「脆弱性」を識別し、リスクを評価する手法。リスク分析を厳密に行う事ができるが、工数や費用が大きくなる。
43,39,組合せアプローチ,組合せアプローチとは、前述の3つのアプローチを組み合わせた手法。基本的には、ベースラインアプローチと詳細リスク分析を組み合わせて利用する。ベースラインアプローチと詳細リスク分析のそれぞれのメリットを得る事ができる。
44,40,リスクマネジメント,リスクマネジメントとは、PDCAサイクルに沿ってリスクアセスメント、リスク対応などを実施していくこと。JIS Q 31000:2010というJIS規格が存在し、リスクマネジメント―原則及び指針という原則を挙げている。
45,40,リスクマネジメント―原則及び指針,"・リスクマネジメントは、価値を創造し、保護する。
・リスクマネジメントは、意思決定の一部である。
・リスクマネジメントは、不確かさに明確に対処する。
・リスクマネジメントは、体系的かつ組織的で、時宜を得たものである。(時宜・・・時機が適していること。時機・・・機会、チャンス)
・リスクマネジメントは、最も利用可能な情報に基づくものである。
・リスクマネジメントは、組織に合わせて作られる。
・リスクマネジメントは、人的及び文化的要素を考慮に入れる。
・リスクマネジメントは、透明性があり、かつ、包含的である。
・リスクマネジメントは、動的で、繰り返し行われ、変化に対応する。
・リスクマネジメントは、組織の継続的改善を促進する。"
46,43,情報資産台帳,"情報資産台帳とは、組織内の情報資産について名称や保管場所、管理責任者などの詳細を整理したもの。以下の手順で作成する。
①体制作り→②調査表の様式決定→③調査の実施→④調査表の内容確認→⑤最終化"
47,45,情報セキュリティマネジメントシステム(ISMS),情報セキュリティマネジメントシステム(ISMS)とは、企業において情報セキュリティに取り組むための全体的な枠組み。
48,46,リスク対応,リスク対応では、情報資産とそれに対する脅威を洗い出し、リスク分析を行った後は、情報資産に対するリスクの評価結果に応じて、何らかの対策を講じる必要がある。大きくリスクコントロールとリスクファイナンスに分類できる。
49,46,リスクコントロール,リスクコントロールとは、リスクが現実のものとならないようにリスクの発生を事前に防止したり、リスクが現実のものとなった場合に被害を最小限に抑えて損失の規模を小さくしたりするための対応策。リスク回避、リスク集中、リスク分離、損失予防、損失軽減などの手法がある。
50,46,リスク回避,リスク回避とは、リスクが発生する要因を排除する手法。
51,46,リスク集中,リスク集中とは、リスクを持つ情報資産を集中管理することで分散しているリスクの軽減を図る手法。
52,46,リスク分離,リスク分離とは、リスクを持つ情報資産を分離することで全体のリスクの軽減を図る手法。
53,46,損失予防,損失予防とは、損失の発生を最小限に減らすことで全体のリスクを減らす手法。
54,46,損失軽減,損失軽減とは、損失が発生した場合にその損失の度合を小さくする手法。
55,47,need to knowの原則,need to knowの原則とは、「アクセスしなければならない人だけに情報を提供する」こと。
56,50,CISO,Chief Information Security Officer。CISOとは、組織のセキュリティ全般を統括するもの。
57,52,刑法,"1.電磁的記録不正作出
コンピュータ上での文書偽造
2.電子計算機損壊等業務妨害
コンピュータの破壊、ウイルスなどによる業務妨害
3.電子計算機使用詐欺
虚偽のデータやプログラム書き換え等
4.電磁的記録毀棄
公文書や私文書に相当する電子データの破壊"
58,53,不正アクセス禁止法,不正アクセス禁止法とは、アクセスが制限されているコンピュータに対して他人のIDやパスワードを使用したり、セキュリティホールなどを悪用して侵入する行為を処罰するもの。
59,53,盗聴法(犯罪捜査のための通信傍受に関する法律。通信傍受法),盗聴法とは、数人の共謀によって実行される組織的な殺人、薬物および銃器の不正取引にかかわる犯罪といった重大犯罪に関する盗聴を一部認めるもの。
60,54,知的財産権,"○知的創造物についての権利
特許権(特許法):発明を保護
実用新案権:物品の形状等の考案を保護
意匠権:物品のデザインを保護
著作権:文芸、学術、美術、音楽、プログラム
回路配置利用権:半導体集積回路の回路配置の利用を保護
育成者権(種苗法):植物の新品種を保護
営業秘密(不正競争防止法):ノウハウや顧客リストの盗用など不正競争防止行為を規制
○営業標識についての権利
商標権:商品・サービスに使用するマークを保護
商号(会社法、商法):商号を保護
商品等表示・商標形態(不正競争防止法):混同、冒用、模倣、ドメイン不正取得、誤認を規制
※特許権、実用新案権、意匠権、商標権を産業財産権という"
61,55,著作権,著作権とは、著作物を保護するための権利。著作権法では、著作物とは「思想又は感情を創作的に表現したものであって、文芸、学術、美術又は音楽の範囲に属するものをいう」と規定されている。「プログラムの著作物」が含まれる。
62,55,特許権,特許権とは、発明を保護する権利。特許法では、「発明、すなわち、自然法則を利用した技術的思想の創作のうち高度のもの」を保護の対象とする。プログラムも含まれる。
63,55,OECD勧告,"OECDは、プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告(OECD8原則)を公表した。これを受け、交付されたのが次の法律である。
・個人情報の保護に関する法律(個人情報保護法)
・行政機関の保有する個人情報の保護に関する法律(行政機関個人情報保護法)
・独立行政法人等の保有する個人情報の保護に関する法律(独立行政法人個人情報保護法)"
64,56,個人情報保護法の規定,"・個人情報:生存する個人に関する情報(識別可能情報)
・個人情報データベース等:個人情報を含む情報の集合物(検索が可能なもの。一定のマニュアル処理を含む)
・個人情報取扱事業者:個人情報データベース等を事業の用に供している者(国、地方公共団体等の他、取り扱う個人情報が少ない等の一定の者を除く)
・個人データ:個人情報データベース等を構成する個人情報
・保有個人データ:個人情報取扱事業者が開示、訂正等の権限を有する個人データ"
65,57,OECD8原則と個人情報取扱事業者の義務,"○目的明確化の原則、利用制限の原則
・利用目的をできる限り特定しなければならない(第15条)
・利用目的の達成に必要な範囲を超えて取り扱ってはならない(第16条)
・本人の同意を得ずに第三者に提供してはならない(第23条)
○収集制限の原則
・偽りその他不正の手段により取得してはならない(第17条)
○データ内容の原則
・正確かつ最新の内容に保つよう努めなければならない(第19条)
○安全保護の原則
・安全管理のために必要な措置を講じなければならない(第20条)
・従業者・委託先に対する必要な監督を行わなければならない(第21条、22条)
○公開の原則、個人参加の原則
・取得したときは利用目的を通知又は公表しなければならない(第18条)
・利用目的等を本人の知りえる状態に置かなければならない(第24条)
・本人の求めに応じて保有個人データを開示しなければならない(第25条)
・本人の求めに応じて訂正等を行わなければならない(第26条)
・本人の求めに応じて利用停止等を行わなければならない(第27条)"
66,57,JIS Q 15001:2006,「個人情報保護マネジメントシステム―要求事項」という表題。個人情報を管理する組織に対して個人情報保護マネジメントシステムの要求事項を規定するJIS規格。個人情報保護マネジメントシステムがPDCAサイクルに基づいて運用しているかどうかを審査する基準となっている。規定に適合している場合はJIPDECの認証を受け、プライバシーマーク(Pマーク)を取得することができる。
67,58,JIS Q 27001:2006,「情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項」という表題が付けられている。情報セキュリティマネジメントシステム(ISMS)の確立に関するJIS規格。ISMS適合性評価制度もある。
68,58,JIS Q 27002:2006,「情報技術―セキュリティ技術―情報セキュリティマネジメントの実践のための規範」という表題が付けられている。情報セキュリティマネジメントの導入、実施、維持及び改善のための指針や一般的原則について規定するJIS規格。
69,59,情報セキュリティポリシーに関するガイドライン,情報セキュリティポリシーに関するガイドラインとは、内閣官房情報セキュリティセンター(NISC)における情報セキュリティ対策推進会議により2000年に決定されたガイドライン。情報セキュリティを担保するために必要となる各省庁の情報セキュリティポリシに関する基本的な考え方、策定、運用および見直し方法について記述している。
70,60,情報セキュリティ監査基準,"情報セキュリティ監査基準とは、情報セキュリティ監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的として監査人の行為規範を規定したものである。次の3つの基準から構成される。
・一般基準:監査人としての適格性と監査業務上の遵守事項を規定する。
・実施基準:監査計画の立案と監査手続の適用方法など、監査を実施するうえでの枠組みを規定する。
・報告基準:監査報告にかかわる留意事項と監査報告書の記載方式を規定する。"
71,60,情報セキュリティ管理基準,情報セキュリティ管理基準とは、組織が効果的な情報セキュリティマネジメント体制を構築し、適切なコントロールを整備、運用するための実践規範について規定したもの。
72,68,紙媒体の種類,印刷物、コピー、FAX、メモ
73,69,紙媒体に関する脅威,管理に関する脅威(盗難、紛失)、輸送と受渡しに関する脅威(紛失)、廃棄に関する脅威(スキャベンジング)
74,85,ピギーバック(共連れ),ピギーバックとは、入退室の正当な権利を持つ人の後ろについて不正に入室すること。
75,86,耐タンパ性,耐タンパ性とは、物理的もしくは論理的に内部情報を読み取られる可能性を減らすこと。
76,88,サークルゲート,サークルゲートとは、ドアが前後に2つあり、内部が1人分のスペースしかない構造で、常に1人ずつしか通り抜けられないため、共連れ侵入を防ぐ事ができる。
77,94,雷サージ,雷サージとは、落雷によって発生する電気エネルギー。コンピュータ機器が破損する場合がある。
78,96,アレスタ(避雷器),アレスタとは、雷などにより生じる過渡的な異常高電圧から保護する、いわゆるサージ防護機器の一つである。
79,96,フォールトトレラント,フォールトトレラントとは、災害に備えて障害に耐える対策。
80,96,フェールソフト,フェールソフトとは、機器が故障しても一部の機能を減らして運転を続ける。
81,96,フェールセーフ,フェールセーフとは、故障時にはシステムを停止させるなどの安全な状態にする。
82,96,不燃材料、準不燃材料、難燃材料,不燃材料>準不燃材料>難燃材料
83,97,無停電電源装置(UPS),無停電電源装置とは、瞬電への対応。
84,97,CVCF,CVCFとは、一時的な電圧低下への対応する装置。
85,98,事業継続計画(BCP),事業継続計画とは、自然災害などで企業が被災しても重要な事業を中断させない、もしくは中断しても可能な限り短期間で再開させ、中段に伴う顧客の流出やシェアの低下、企業評価の低下などから企業を守るために行う経営戦略のこと。
86,106,ACL,Access Control List。ACLとは、ファイルやディレクトリなどに対し、誰にアクセスを許可するのか、あるいは誰にアクセスを禁止するのかを記述したリスト。MAC方式とDAC方式がある。
87,106,MAC方式,Mandatory Access Control。強制アクセスコントロールともいう。MAC方式では、セキュリティ管理者のみがアクセス権限を変更することができる。
88,106,DAC方式,Discretionary Access Control。自由裁量的アクセスコントロールともいう。DAC方式では、セキュリティ管理者が対象となる情報資源の所有者などにアクセス権限の設定をゆだねる。
89,109,リプレイアタック,リプレイアタックとは、ログインの際に送られたIDやパスワードを盗聴して記録し、それをそのまま利用して不正侵入を試みる攻撃方法である。
90,112,ハニーポット,ハニーポットとは、セキュリティ侵犯のパターンを解析するためにあえて脆弱なシステムをおとりとして用意しておき、そこに不正侵入者をおびき寄せる手法。
91,113,フォレンジクス,フォレンジクスとは、証拠保全のこと。
92,114,RAID0(ストライピング),RAID0とは、複数台のハードディスクにデータを分散して書き込む。これによって処理時間の高速化を図るが、冗長性がないため、耐故障性はない。
93,114,RAID1(ミラーリング),RAID1とは、複数台のハードディスクに同時に同じ内容を書き込む。そのため、耐故障性が高くなる。
94,114,RAID2,RAID2とは、ハミング符号を使用してエラー訂正を可能にする。ビット単位でストライピングを行う。
95,114,RAID3,RAID3とは、パリティによる誤り訂正を可能とした方式。ビット単位でストライピングを行う。そのため、1台の故障であればデータを復元することが可能である。
96,114,RAID4,RAID4とは、ストライピングをブロック単位で行い、入出力処理の効率を改善している。RAID3と同様に、1台の故障であればデータを復元することができる。
97,114,RAID5,RAID3とRAID4では、別のディスクにパリティを書きこむ時間が問題となる。RAID5は、複数のハードディスクにデータとパリティを分散して記録することでこの問題を回避する。1台の故障であればデータを復元することができる。
98,123,コンピュータウイルスの定義,"経済産業省が公表している「コンピュータウイルス対策基準」では、コンピュータウイルスは次のように定義されている。
第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、次の機能を一つ以上有するもの。
(1)自己伝染機能:自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、他のシステムに伝染する機能
(2)潜伏機能:発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能
(3)発病機能:プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能"
99,132,ブロック暗号,ブロック暗号とは、データをブロック単位で暗号化または複合する共通暗号方式。決められた一定の長さのデータを、ブロックという。主なブロック長は、64ビット、128ビット、192ビット、256ビットなどである。代表的なブロック暗号として暗号文ブロック連鎖モード(CBC:Cipher Block Chaining)がある。
100,133,ストリーム暗号,ストリーム暗号とは、データを1ビット単位で暗号化または複合する共通かぎ暗号方式。ストリーム暗号には、同期式と非同期式がある。
101,133,同期式暗号(外部同期式暗号),同期式暗号とは、平文(暗号化する前のデータ)や暗号文(暗号化した後のデータ)の内容と関係なく独立した形で乱数を発生させ、それによって暗号化を行う。平文や暗号文とは別に乱数を発生させるため、ビットの誤りが発生してもその後の処理に影響を与えない。ただし、暗号化と複合の際に同期がとれない場合には復号できない。
102,133,非同期式暗号(自己同期式暗号),非同期式暗号とは、平文や暗号文の系列に合わせた形で乱数を生成させ、それによって暗号化を行う。レジスタに暗号文のデータをためておき、それをもとに乱数を発生させるため、ビットの誤りが発生するとレジスタ内のデータが一巡するまで誤りが続く。ただし、同期がずれてもレジスタが一巡すれば、データは回復する。
103,133,共通鍵暗号方式,共通鍵暗号方式には、DES(トリプルDES)、AES、RCなどがある。必要なかぎの数=n(n-1)/2
104,133,DES,Data Encryption Standard。DESとは、1977年に米国政府が標準化した56ビットのブロック暗号の規格である。強度に問題があるため、DESを応用して強度を上げたトリプルDESという暗号もある。
105,133,AES,Advanced Encryption Standard。AESとは、強度が低くなったDESの代わりに、2001年に新たに制定された米国政府標準のブロック暗号の規格である。128ビット、192ビット、256ビットの長さのかぎを選択できるという特徴がある。
106,133,RC,Rivest's Cipher。RCとは、DESより高速な処理が可能な暗号化の規格の総称で、ブロック単位で暗号化や復号を行うRC2やRC5、ビット単位で暗号化や復号を行うRC4などがある。身近なところでは、SSLや無線LANなどにRCが使用されている。
107,134,公開鍵暗号方式,公開鍵暗号方式とは、暗号化と復号に異なるかぎを用いる暗号方式。非対称かぎ暗号方式などともよばれる。必要なかぎの数=2n
108,135,RSA,Rivest Shamir Adleman。RSAでは、暗号を解読するのに非常に大きな数の素因数分解をする必要がある。そのため、効率的な解読方法は発見されていない。公開鍵暗号方式では、最も代表的な暗号方式として知られている。かぎに使用できるビット長には、512ビット、1024ビット、2048ビットなどがある。
109,135,楕円曲線暗号方式,楕円曲線暗号方式とは、楕円曲線という特殊な計算を行って暗号化する方式である。この方式では、RSAより短い長さのかぎで暗号化を行う事ができる。そのため、ICカードなどのハードウェアで使用されることがある。
110,135,DSA,Digital Signature Algorithm。DSAとは、エルガマル署名を改良して作られた暗号方式である。かぎ長が1024ビット以下で、署名かぎの生成などを特定の方法で運用するデジタル署名に利用される。
111,135,電子メールの暗号化,電子メールの代表的な暗号化方式には、S/MIME、PGPなどがある
112,135,S/MIME,S/MIMEとは、電子メールの代表的な暗号化方式の1つで、電子メールの暗号化とデジタル署名に関する国際規格である。メッセージの暗号化とデジタル署名の機能を持ち合わせている。暗号化には公開鍵暗号方式のRSAを利用しており、送信者はメッセージを受信者の公開鍵で暗号化し、受信者は自分の秘密鍵で復号する。したがって、認証局が発行したデジタル証明書が必要となる。
113,135,PGP,Pretty Good Privacy。PGPとは、米国で作られた電子メールの暗号化ソフトのこと。インターネット上から無償でダウンロードでき、さまざまな環境で動作する。PGPも公開鍵暗号方式を利用しており、暗号化とデジタル署名の機能を持つ。
114,137,ハッシュ関数,ハッシュ関数とは、任意のデータを入力して固定のデータを出力する関数のこと。出力したデータから入力したデータを導き出す事ができない一方向性や、異なる入力データから同じ出力結果が得られる可能性が非常に低い耐衝突性といった特徴を備えている。SHA-1やMD5などがある。
115,137,SHA-1,Secure Hash Algorithm 1。SHA-1は米国政府標準のハッシュ関数で、160ビットのハッシュ値を出力する。現在は、SHA-1の拡張版であるSHA-256、SHA-384、SHA-512なども利用されている。
116,137,MD-5,Message Digest 5。MD5は、任意のデータを入力すると128ビットのハッシュ値を出力する。このハッシュ値をメッセージダイジェストやフィンガープリントなどと呼ぶ場合もある。
117,138,PPP,Point-To-Point Protocol。PPPとは、外部からダイヤルアップ接続方式でネットワークに接続する際に使用するプロトコル。PPPを使った接続では、PAPやCHAPを使ってユーザ認証を行う。
118,138,PAP,Password Authentication Protocol。PAPとは、ユーザIDとパスワードの組み合わせだけで認証を行うプロトコル。
119,138,CHAP,Challenge Handshake Authentication Protocol。CHAPでは、認証サーバから送られたチャレンジコードをクライアント側に送信する。クライアントがチャレンジコードにパスワードを付加したデータをハッシュ化してレスポンスコードを作成し、認証を行う。
120,140,PKI,Public Key Infrastructure。PKI(公開鍵基盤)とは、公開鍵暗号方式を利用するための周辺技術や概念のこと。公開鍵の正当性を証明するための機関が、認証局(CA:Certificate Authority)である。認証局の中の登録局(RA:Registration Authority)がユーザからの申請を受けて登録を行い、証明書の情報をリポジトリに格納する。CRLは証明書失効リストのこと。PKIはSSLやS/MIMEなどで利用されている。
121,140,X.509公開鍵証明書,X.509公開鍵証明書は、ITU-Tが策定した公開鍵証明書の国際基準のこと。
122,141,SSL,SSL(Secure Sockets Layer)とは、ネットスケープ・コミュニケーションズ社が開発した、インターネット上で情報を暗号化して送受信するためのプロトコル。SSLでは、公開鍵暗号方式や共通鍵暗号方式、デジタル証明書、ハッシュ関数などのセキュリティ技術を組み合わせて、データの盗聴や改ざん、なりすましを防ぐ事ができる。そのため、このプロトコルを使用することでサーバ認証はもちろんクライアント認証も可能となる。TCP層の上位で動作する。SSL3.0をもとにTLSが標準化された。
123,144,IPsec,IPsec(IP Security)とは、TCP/IPベースのネットワークにセキュリティ機能を付加するためのプロトコルの枠組みのことである。IP層における暗号化技術として標準化されている。IPsecには、AHやESPなどのプロトコルがある。IPSecでは、リプレイ攻撃をAHやESPにあるシーケンス番号を検証することによりチェックすることができる。
124,144,認証ヘッダ(AH),認証ヘッダ(AH:Authentication Header)とは、IPパケットの完全性の保証と認証のための仕組みのこと。認証ヘッダでは、データは平文で送信される。トランスポートモード(AHヘッダの付加)と、トンネルモード(AHヘッダの付加と新IPヘッダの付加)の2つのモードがある。
125,145,暗号ペイロードヘッダ(ESP),暗号ペイロードヘッダ(ESP:Encapsulating Security Payload)は、IPパケットのデータを暗号化し、盗聴、改ざん、偽造を防止する。トランスポートモード(TCPヘッダ、データ、ESPトレーラの暗号化)と、トンネルモード(上記に加え、IPヘッダを暗号化し、新IPヘッダを付加する)の2モードがある。
126,145,VPN,VPN(Virtual Private Network)とは、インターネットなどのオープンなネットワーク上に仮想的なプライベートネットワークを構築し、専用通信回線のようにエンドツーエンドでの通信を可能にする技術のこと。VPNでは異なるプロトコルを利用するネットワーク間での通信を可能にするために、送受信データに別のヘッダを追加するカプセル化が行われる。インターネット上のVPNをインターネットVPNという。データの暗号化とカプセル化にIPsecを使用する。トランスポートモードとトンネルモードがある。
127,146,VPN(トランスポートモード),VPN(トランスポートモード)では、ホストがIPパケットを送信する際にIPsecを使用し、IPヘッダを暗号化せずにデータ部のみが暗号化される。そのため、エンドツーエンドでの通信に使用される。トンネルモードと比較するとヘッダが短いため、スループットは向上する。
128,147,VPN(トンネルモード),VPN(トンネルモード)では、IPsecを使用してIPパケット全体が暗号化され、そこに新しいIPヘッダが付加されて送信される。
129,147,SSL-VPN,SSL-VPNは、SSLの技術を応用してVPNを実現したもの。SSL-VPNでは、クライアントに新規のアプリケーションを導入する必要がなく、ブラウザさえあればセキュアな通信が可能になる。
130,148,L2TP,L2TP(Layer 2 Tunneling Protocol)とは、PPTPとL2Fを統合させたデータリンク層のトンネリングプロトコルのこと。L2TPでは、データリンク層でカプセル化を行い、エンドツーエンドの通信を確立するために、PPPを使用する。PPPはIP以外の複数のプロトコルに対応しているため、TCP/IP以外のネットワーク上でのVPNの構築が可能である。
131,151,SET,SET(Secure Electronic Transactions)は、インターネット上でクレジットカードの情報をやり取りするためのプロトコル。
132,152,ポートスキャン,ポートスキャンとは、攻撃対象となるサーバ上でポート番号を順番に試してアクセスしていき、サーバのOSやサービスとして提供しているアプリケーションなどに脆弱性がないかどうかを調べるもの。
133,152,finger,fingerとは、サーバにログインしているユーザに関する情報を調べるためのTCP/IPのプロトコル。fingerを悪用して、現在ログイン中のユーザのアカウント情報といった個人情報を取得しようとするケースも考えられるため、fingerの使用を制限する必要がある。
134,153,辞書攻撃,辞書攻撃は、辞書などに載っている単語を順にパスワードとして試していき、パスワードを推測する攻撃。
135,153,ブルートフォース攻撃,ブルートフォース攻撃は、文字、数字、単語などのすべての組み合わせを順に試してパスワードを推測する攻撃。
136,153,DoS攻撃/DDoS攻撃,Denial of Service/Distributed Denial of Service。DoS攻撃またはDDoS攻撃とは、大量のパケットをサーバに送りつけてサーバが他の処理を実行できない状態にし、正規のユーザからのアクセスを受け付けられないようにする攻撃のこと。DoS攻撃にはSYN FLOOD、LAND、TEAR DROP、Ping of Deathなどがある。
137,153,SYN FLOOD攻撃,TCPでは、接続の確立にスリーウェイハンドシェイクという方法を用いる。まずクライアントからSYNパケットを送信し、サーバがクライアントにACK+SYNパケットを返信する。最後にクライアントからACKパケットを返せば、接続が確立する。SYN FLOOD攻撃とは、クライアントから最後のACKパケットを返さずにSYNパケットだけを大量に送り付ける攻撃である。
138,153,LAND攻撃,"LAND攻撃とは、攻撃者がSYNパケットを送信し、送信相手を無限ループに陥らせる攻撃のこと。SYNパケットを受信している間は他の処理が行えなくなるため、コンピュータが動作不能になる。
微妙な解説。
Land攻撃とは、送信元をあて先と同じに偽装したパケットを攻撃相手に送り付け、相手を正常に通信できない状態に追い込むもの。"
139,154,TEAR DROP攻撃,"ネットワーク上にデータを送信するとき、ネットワークによってきめられている大きさを超えるIPパケットは複数の小さなIPパケットに分割される。分割されたそれぞれのIPパケットには、分割される前のパケットのどの部分であるかを示す情報が含まれている。分割されたIPパケットを受け取った側は、この情報をもとにIPパケットを組み立て、元のパケットを復元しようとする。
TEAR DROP攻撃では、IPパケットの順番を示す情報を偽造する。そのため、受け取った側では同じ用法を重複して含む不正なIPパケットを組み立てる処理でエラーが発生し、処理が停止してしまう。"
140,154,Ping of Death攻撃,"TCP/IPでは、pingコマンドを使って相手機器との接続状態を確認する事ができる。Ping of Death攻撃では、pingコマンドを使って65,536バイトより大きなサイズのIPパケットを送信し、相手のサーバなどをクラッシュさせたりする。"
141,154,無線LANへの脅威,無線LANの脅威には、MACアドレスの盗聴、ESS-IDの脅威、WEPの問題がある。
142,154,MACアドレスの盗聴,無線LANでは、アクセスポイントに無線端末のMACアドレスを送信する。このとき、MACアドレスが暗号化されていないため、MACアドレスの盗聴によりなりすましが可能となってしまう。
143,155,ESS-IDの脅威,Extended Service Set-Identification。ESS-IDは、無線端末が接続できるアクセスポイントを識別するために使用するIDである。ESS-IDも暗号化されていないために、盗聴の危険がある。また、ESS-IDとして「ANY」を使用するとすべてのアクセスポイントに接続できる。これは、悪意のある第三者による不正アクセスを許すことになりセキュリティ上望ましくないため、「ANY」による接続を拒否するなどの設定が必要である。
144,155,WEPの問題,Wired Equivalent Privacy。WEPは、無線LANで使用される暗号技術である。暗号化アルゴリズムにはRC4を採用しており、アクセスポイントごとに決められている共通鍵とパケットごとにランダムな24ビットのIV(Initialization Vector)を使う。ただし、IVの長さが十分ではなく、ある程度の時間があれば暗号の解読が可能となってしまうという問題点がある。
145,156,クロスサイトスクリプティング,"クロスサイトスクリプティングとは、脆弱なWebサイトをターゲットとして悪意のあるWebサイトからスクリプトをユーザに送り込み、ターゲットのWebサイトから個人情報(クッキー)の漏洩などの被害をもたらす攻撃方法である。
①悪意のあるWebサイトにアクセスする
②スクリプトを埋め込んだWebページがダウンロードされる
③脆弱性のあるWebサイトへスクリプトを埋め込んだWebページが転送される
④脆弱性のあるWebサイトからWebページがダウンロードされると、埋め込まれたスクリプトが実行される。"
146,156,クエリストリング,"クエリストリングとは、URLにおいて「?」以降に指定されている部分のこと。
クエリストリングは、Webサーバにアクセスした際にパラメタの受け渡しに使用され、Webサーバなどのログやブラウザのキャッシュなどにも残る可能性がある。仮に、クエリストリングに重要な情報(ユーザIDやパスワードなど)を利用すると、簡単に情報が漏洩してしまう。GETメソッドでクエリストリングが使用されるため、POSTメソッドを使用するとよい。"
147,157,HIDDENフィールド,HTMLで作成したWebページ間でデータの受け渡しを行いたい場合、HIDDENフィールドを使用することができる。入力フォームにおいてHIDDENで指定したフィールドはWebブラウザには表示されない。しかし、HIDDENフィールドの内容はWebブラウザに送信されているため、これを悪用すると不正アクセスや改ざんが行われる可能性がある。
148,157,ダイレクトSQLコマンドインジェクション,ダイレクトSQLコマンドインジェクションとは、データベースを使用した認証において、変数部分に別のプログラムを埋め込み、不正な処理を実行させる攻撃のこと。
149,159,DNSスプーフィング,Webブラウザからホスト名をベースにWebサーバへのアクセス要求を出すと、DNSサーバからホスト名に対応するIPアドレスが返され、IPアドレスによってWebサーバへのアクセスが行われる。DNSサーバ上のIPアドレスとホスト名の情報を不正に書き換え、クライアントに誘導したい不正なWebサイトの情報を渡してしまえば、クライアントは一定時間誤ったアドレスにアクセスしてしまう。
150,161,テンペスト攻撃,テンペスト攻撃とは、パソコンなど、電波を発する機器から漏れる電波を拾って離れた場所からパソコンなどの表示画面を再現する攻撃方法のことである。これによって情報が漏洩する可能性がある。
151,161,セッションハイジャック攻撃,"あるユーザがWebサイトへのアクセスを開始して終了するまでの一連の動作は、セションという単位で表される。WebサーバはセションIDでセションを管理し、ユーザに関する情報などを保持する。セションはユーザが処理を完了した後、明示的に、またはタイムアウトによって破棄される。
悪意の第三者がセションを利用して攻撃を行うことをセションハイジャック攻撃という。
セションハイジャック攻撃には、中間者攻撃、ブラインドハイジャック、セション盗用などがある。"
152,161,中間者攻撃,MITM:Man In The Middle。中間者攻撃とは、通信中の2人のユーザ間に第三者が割り込み、送信者もしくは受信者またはその両方に成りすまして、ユーザに気づかれないうちに通信を盗聴したり、制御したりする攻撃のこと。中間者攻撃により、パスワードの不正取得やデータの盗聴などが行われる可能性がある。
153,161,ブラインドハイジャック,ブラインドハイジャックは、通信中のクライアントとサーバの間に割り込み、クライアントになりすまし、不正なコマンドを挿入してサーバに送信する攻撃である。
154,162,セション盗用,セション盗用とは文字通り、クライアントとWebサーバの間のセションを盗用することである。Webサーバは一定時間クライアントから応答がない場合には、セションを打ち切る。悪意のある第三者は、タイムアウトする前のセションを盗用してWebサーバなどに不正アクセスする。
155,167,ダイナミックパケットフィルタリング,パケットフィルタリングのうち、通信時にのみポート番号を開放し、不要なときには閉鎖することで、通信の安全を確保する手法。動的パケットフィルタリング。
156,168,ステートフルインスペクション,ステートフルインスペクションとは、パケットフィルタリングのうち、パケットの内容までチェックできる機能。
157,169,プロキシ機能を持つファイアウォール,ファイアウォールにプロキシの機能を持たせる場合がある。これにより、内部セグメントのクライアントが外部へ接続する際に、ファイアウォールがクライアントの代わりに外部と通信を行うように設定することができる。また、外部からのアクセスをファイアウォールが受けてから、目的のサーバに代わり通信を行うことも可能である。
158,169,アプリケーションゲートウェイ,アプリケーションゲートウェイは、OSI基本参照モデルのアプリケーション層(応用層)でアクセス制御を実現する方式である。アプリケーションゲートウェイでは、アプリケーションごとに代理応答を行うプログラムが用意され、それぞれのルールにもとづいて中継を行う。
159,169,サーキットゲートウェイ,サーキットゲートウェイはOSI基本参照モデルのトランスポート層でアクセス制御を実現する方式で、トランスポートゲートウェイとも言われる。サーキットゲートウェイではポート番号やIPアドレス毎にルールを設け、それに基づいて中継を行う。
160,170,リバースプロキシ,通常のプロキシサーバ(フォワードプロキシ)は、外部へのアクセスを一度中継してから接続を行う。一方、リバースプロキシは、外部からのアクセスを中継して目的のサーバなどに接続する。リバースプロキシを利用すると、セキュリティの保持に加え、サーバの負荷の軽減や通信回線の帯域の制御などが可能になる。
161,171,侵入検知システム(IDS),侵入検知システム(IDS:Intrusion Detection System)とは、ファイアウォールとは異なり外部からの不正なアクセス(ポートスキャンやDoS攻撃/DDoS攻撃など)を早期に検知するシステムのこと。不正アクセスのパターンや操作ログなどから不正侵入を検知する。IDSの侵入検知方法にはシグネチャ型(不正検出)とアノマリ型(異常検出)がある。また、IDSの形態にはネットワーク型IDSとホスト型IDSがある。
162,171,シグネチャ型(不正検出),シグネチャ型(不正検出)では、侵入パターンをシグネチャというデータベースに登録しておき、パケットをシグネチャと突き合わせることにより侵入の検知を行う。既知の攻撃パターンを登録しておくため、新しい攻撃パターンにはあまり効果を発揮できない。
163,171,アノマリ型(異常検出),アノマリ型(異常検出)では、外部からのアクセス時刻やコマンド、トラフィックの状況などを監視しておき、通常とは異なる振る舞いが見られた場合に異常として検出する。未知の攻撃にも対応できる可能性があるが、異常のパターンを正確に定義しなければならない。
164,172,ネットワーク型IDS,ネットワーク型IDSは、ネットワークを流れるパケットを解析して不正アクセスを検出するIDSである。不正を検出したいセグメントにIDSを設置し、全てのパケットを受信して解析する。不正を検出した場合には専用の端末などに通知を行うといった処理を行う。
165,172,ホスト型IDS,ホスト型IDSは、監視の対象となるホストに直接IDSをインストールして、そこに送られるパケットを解析するIDSである。また、サーバ内のデータの改ざんを検知することができる。ホストに直接インストールするため、インストールしていないホストへの不正アクセスは検出できない。
166,,,
167,,,
168,,,
169,,,
170,,,
171,,,
172,,,
173,,,
174,,,
,,,
176,,,
177,,,
178,,,
179,,,
180,,,
181,,,
182,,,
183,,,
184,,,
185,,,
186,,,
187,,,
188,,,
189,,,
190,,,
191,,,
,,,
193,,,
194,,,
195,,,
196,,,
197,,,
198,,,
199,,,
200,,,
201,,,
,,,
203,,,
204,,,
205,,,
206,,,
207,,,
208,,,
209,,,
210,,,
211,,,
212,,,
213,,,
214,,,
215,,,
216,,,
217,,,
218,,,
,,,
220,,,
221,,,
222,,,
223,,,
224,,,
225,,,
226,,,
227,,,
228,,,
,,,
230,,,
231,,,
232,,,
233,,,
234,,,
235,,,
236,,,
237,,,
238,,,
239,,,
240,,,
241,,,
242,,,
243,,,
244,,,
245,,,
,,,
247,,,
248,,,
249,,,
250,,,
251,,,
252,,,
253,,,
254,,,
255,,,
,,,
257,,,
258,,,
259,,,
260,,,
261,,,
262,,,
263,,,
264,,,
265,,,
266,,,
267,,,
268,,,
269,,,
270,,,
271,,,
272,,,
,,,
274,,,
275,,,
276,,,
277,,,
278,,,
279,,,
280,,,
281,,,
282,,,
,,,
284,,,
285,,,
286,,,
287,,,
288,,,
289,,,
290,,,
291,,,
292,,,
293,,,
294,,,
295,,,
296,,,
297,,,
298,,,
299,,,
,,,
301,,,
302,,,
303,,,
304,,,
305,,,
306,,,
307,,,
308,,,
309,,,
,,,
311,,,
312,,,
313,,,
314,,,
315,,,
316,,,
317,,,
318,,,
319,,,
320,,,
321,,,
322,,,
323,,,
324,,,
325,,,
326,,,
,,,
328,,,
329,,,
330,,,
331,,,
332,,,
333,,,
334,,,
335,,,
336,,,
,,,
338,,,
339,,,
340,,,
341,,,
342,,,
343,,,
344,,,
345,,,
346,,,
347,,,
348,,,
349,,,
350,,,
351,,,
352,,,
353,,,
,,,
355,,,
356,,,
357,,,
358,,,
359,,,
360,,,
361,,,
362,,,
363,,,
,,,
365,,,
366,,,
367,,,
368,,,
369,,,
370,,,
371,,,
372,,,
373,,,
374,,,
375,,,
376,,,
377,,,
378,,,
379,,,
380,,,
,,,
382,,,
383,,,
384,,,
385,,,
386,,,
387,,,
388,,,
389,,,
390,,,
,,,
392,,,
393,,,
394,,,
395,,,
396,,,
397,,,
398,,,
399,,,
400,,,
401,,,
402,,,
403,,,
404,,,
405,,,
406,,,
407,,,
,,,
409,,,
410,,,
411,,,
412,,,
413,,,
414,,,
415,,,
416,,,
417,,,
,,,
419,,,
420,,,
421,,,
422,,,
423,,,
424,,,
425,,,
426,,,
427,,,
428,,,
429,,,
430,,,
431,,,
432,,,
433,,,
434,,,
,,,
436,,,
437,,,
438,,,
439,,,
440,,,
441,,,
442,,,
443,,,
444,,,
,,,
446,,,
447,,,
448,,,
449,,,
450,,,
451,,,
452,,,
453,,,
454,,,
455,,,
456,,,
457,,,
458,,,
459,,,
460,,,
461,,,
,,,
463,,,
464,,,
465,,,
466,,,
467,,,
468,,,
469,,,
470,,,
471,,,
,,,
473,,,
474,,,
475,,,
476,,,
477,,,
478,,,
479,,,
480,,,
481,,,
482,,,
483,,,
484,,,
485,,,
486,,,
487,,,
488,,,
,,,
490,,,
491,,,
492,,,
493,,,
494,,,
495,,,
496,,,
497,,,
498,,,