情報セキュリティの概念
情報資産を守るための考え方
機密性
許可された人のみがアクセスできる
完全性
改ざんされていないこと
可用性
必要な時に使えること
真正性(しんせいせい)
信用できること
責任追跡性
行動記録(ログ管理、監査証跡など)を取っておく
否認防止
否定できないようにする
信頼性
安定して動くこと
例)稼働し続ける、正しい結果が返ってくる
多層防御
セキュリティ対策を複数行うこと
セキュリティバイデザイン
(セキュアバイデザイン)
設計の時からセキュリティ対策を考えること
例)脆弱性を生みにくいデザイン、不要な機能を作らない
プライバシーデザイン
設計の時からプライバシー保護の方法を考えること
情報資産
情報・機器・人
脅威
害を与える原因と状況
リスク
害が起こる可能性と起きた時の被害の大きさ
脆弱性
悪用される可能性のある弱点
例)設定ミス、人的ミス、セキュリティホール
サイバー攻撃
ITを使って攻撃すること
事故(インシデント)
想定外の出来事
例)システム障害、データ消失、漏洩、改ざん
クラッキング
悪意を持って他人のデータにアクセスしたり、
破壊したり、改ざんすること
BEC(Business Email Compromise)
ビジネスメール詐欺
従業員をだまして送金させる
ソーシャルエンジニアリング
人をだまして情報を得る
例)肩越しに覗き見る(ショルダーハッキング)、
ごみ箱をあさる(トラッシング)、なりすまし電話
過失
不注意で起こるミス
誤謬(ごびゅう)
認識が違うこと
踏み台
乗っ取られ、攻撃者の中継地点にされる機器
AIに対する脅威
AIの信頼性を損ねることをすること
例)サイバー攻撃、データの不正アクセスや
改ざん、誤学習
マルウェア
悪意あるソフトウェアの総称
コンピュータウイルス
悪意あるソフトウェア
自己増殖する、ほかのファイルやプログラムに感染する
マクロウイルス
マクロを悪用して感染するウイルス
ワーム
自分で増えてほかのPCにも感染させるマルウェア
ボット
攻撃者に乗っ取られたPCが攻撃者の命令で自動実行されるプログラム
ボットネット
乗っ取られたPCの集まり
DDos攻撃やスパム送信などに使われる
RAT(Remote Access Tool)
攻撃者がリモートでPCを自由に操作できてしまう悪意あるソフトウェア
C&Cサーバー
乗っ取った複数のPCに指令を送って一括で操作することができるサーバ
トロイの木馬
無害に見えるけど実際は裏で悪い動作をしているマルウェア
自己増殖しない
スパイウェア
こっそり情報を盗み取り外部へ送信するマルウェア
例)閲覧履歴、ID・パスワード、スクリーンショットを勝手にとる、キーボード入力
ランサムウェア
データを勝手に暗号化し、元に戻してほしければお金を要求するマルウェア
キーロガー
キーボードの入力内容を記録し、
攻撃者へ送るスパイウェアのこと
ルートキット
マルウェアや権限の強いユーザーを作成し痕跡を隠してしまうソフトウェア
バックドア
再侵入しやすくする裏口のこと
ファイルレスマルウェア
ファイルを保存せず正規機能を悪用するマルウェア
例)PowerShall、マクロ
セキュリティホール
攻撃に悪用される可能性がある弱点
バグ
ソフトの誤作動を起こす不具合
楕円曲線暗号(ECC)
公開鍵暗号方式で使われ短いカギで安全性が高い暗号方式
スニッフィング
通信中のデータを盗み見ること
状況的犯罪予防
犯罪をしにくい状態を作って防ぐ方法
割れ窓理論
小さな問題を放置するとより大きな問題や犯罪につながるという理論
犯罪環境設計
犯罪がしづらい街づくりをすること
ボットハーダー
複数のボットを遠隔から操作する攻撃者
二重脅迫(ダブルエクストーション)
暗号化とデータの公開を脅しお金を要求すること
ハクティビズム
政治・社会的目的のためクラッキングすること
リークサイト
盗んだデータの公開・販売・脅迫用のサイト
サイバーキルチェーン
サイバー犯罪の手法を7段階に整理したモデル
偵察→武器化→配送→悪用→インストール→遠隔操作→目的達成
武器化
攻撃に使うものを準備
悪用
攻撃開始
インストール
ほかのマルウェアをインストールさせる
クロスサイトスクリプティング
webサイトに悪意あるスクリプトを埋め込みそのページを閲覧したユーザのブラウザで実行させ情報を抜き取る攻撃
クロスサイトリクエストフォージェリ
クッキーを悪用して本人に成りすまし、勝手に操作される攻撃
cookie
ログイン状態の維持や設定が保存されている
ディレクトリトラバーサル
webアプリのアクセスできないファイルにアクセスする攻撃
中間者攻撃(Man in the middle)
通信中のデータを盗聴したり改ざんしたりする攻撃
MITB攻撃(Man in the browser)
自分のブラウザ(googleなど)が感染しており、
通信内容が書き換えられてしまう攻撃
第三者中継(オープンリレー)
誰でも使えてしまう危険なメールサーバー
IPスプーフィング
安全なIPアドレスに成りすまし通信を行う攻撃手法
セッションハイジャック
セッションIDを盗み、その人に成りすましてサービスを利用する攻撃
リプレイ攻撃
正しい通信データ(ログインしたときの通信データなど)を保存しておき、後でその通信データを使い不正アクセスする攻撃
APT
長期間しつこく攻撃すること
SEOポイズニング
サイトの検索結果上位に悪意あるサイトを表示させる攻撃
サービスおよびソフトウェアの機能の悪用
想定外の使い方をし攻撃すること
ディープフェイク
AIを使って偽の映像や音声を作ること
敵対的サンプル(Adversarial Examples)
AIをだますために作られた偽装データのこと
例)猫の画像にノイズ加工を加えることでAIには犬と認識させる
プロンプトインジェクション
正しい指示の中に悪い命令を混ぜてAIをだます攻撃
フットプリンティング
攻撃対象の情報を集めること
ポートスキャン
特定のポートが開いている(通信受付中)か確認すること
RaaS(Ransomware as a Service)
ランサムウェアをサービスとして提供している
ラテラルムーブメント
ネットワークに侵入後ほかの端末などに侵入を進めること
CRYPTREC暗号リスト
推奨される暗号化アルゴリズムの一覧
共通鍵暗号方式
送受信者で共通の鍵を使用する暗号方式
公開鍵暗号方式
公開鍵と秘密鍵を使う暗号方式
AES
共通鍵暗号方式で使われる高速な暗号方式
電子データを安全に送受信する際に使われる
RSA暗号
公開鍵暗号方式で使われる暗号方式
インターネット上での安全な通信や電子商取引に広く利用される
ストレージ暗号
データを保存するときに暗号化する仕組み
共通鍵暗号方式が使われる
危殆化(きたいか)
セキュリティ対策が古くなってしまい安全性が低くなること
デジタル署名
なりすましの防止とデータが改ざんされていないかを確認することができる
送信者の秘密鍵で署名する
タイムスタンプ(時刻認証)
作られた時点のままの内容で変更されていないことを確認することができる
メッセージダイジェスト
データをハッシュ関数で要約し、その値(ハッシュ値)で改ざんを検知する
MAC(メッセージ認証符号)
通信の改ざんを検知し、送信元が正しいことも保証する
共通鍵暗号方式が使われる
PINコード
端末認証用にユーザが設定した短い番号
パスワードレス認証
パスワードを使わずに本人認証する認証方式の総称
例)生体認証、ワンタイムパスワード、PINなど
FIDO
パスワードレス認証の国際標準規格
EMV3-Dセキュア
オンライン決済を安全に使うための本人認証方式
パスワードリマインダー
自分が設定した秘密の質問を使ってパスワードを思い出させたり、再設定させる仕組み
eKYC
本人確認書類や本人の顔写真などをスマホで撮影し、オンラインで本人確認を行う仕組み
本人拒否率(FRR)
本人ではないと認証しない確率
他人受入率(FAR)
他人を誤って認証してしまう確率
FRR↑FAR↓
利便性は悪いが安全性は高い
FRR↓FAR↑
不正アクセスの危険性が高い
PKI
公開鍵暗号方式を安全に運用するための仕組み
デジタル証明書(公開鍵証明書)
認証局が本人であることを保証する電子証明書
ルート証明書(=トラストアンカー)
最上位の認証局(ルートCA)自身を証明する最上位の証明書
中間CA証明書
ルートCAが発行する、中間CAの信頼性を証明する証明書
サーバー証明書
不正なサーバーではないことを証明し、
通信を安全にするための証明書
クライアント証明書
ユーザーやデバイスがアクセスを許可されていることを証明する
CRL(証明書失効リスト)
使用できなくなった公開鍵の一覧
X
LINE
はてな
アプリ
QRコード
URLコピー
理解できない用語のみ記載