覚えられてない用語たち

単語カード

設定全面表示

• ディジタル著名の作成と検証に使われる鍵の種類は？

  公開鍵方式が用いられる。
  暗号化には送信者の秘密鍵が使われる。
  検証(複合)には送信者の公開鍵が使われる
• トランザクション署名

  マルウェアの影響が及ばないハードウェアトークンで生成したワンタイムパスワードを認証情報として使用する方法。
  増加するMITB(Man-in-the-Browser)の被害を防止するために効果的
• CRYPTREC

  電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクト
• J-CSIP

  (Initiative for Cyber Security Information sharing Partnership of Japan) サイバー情報共有イニシアティブの通称で、公的機関であるIPAを情報ハブ（集約点）の役割として、参加組織間で情報共有を行い、高度なサイバー攻撃対策に繋げていく取り組み
• SMTP-Auth

  メール送信時にユーザー認証を行い、メールの送信を許可する方法のこと。受信メールの許可も行う
• クロスサイトスクリプティング

  脆弱性のある入力フォームや掲示板などに、悪意のある第三者が罠を仕掛け、個人情報などを盗む被害をもたらす攻撃。
  この攻撃に対する脆弱性は、ユーザからの入力データ内に含まれる引用符('や")やHTMLタグを、無効化せずにそのまま表示してしまうWebアプリーケーションの不備により生じます。これを防ぐためにはWebページの出力時にHTMLの特殊文字を適切にエスケープ(無効化)する処理をWebアプリケーションに組み込む必要がある。
• CVSS
  

  (Common Vulnerability Scoring System，共通脆弱性評価システム)は、情報システムの脆弱性に対する汎用的な評価手法で、用いることで脆弱性の深刻度を同一の基準のもとで定量的な比較ができる
  基本評価基準 (Base Metrics)
  現状評価基準 (Temporal Metrics)
  環境評価基準 (Environmental Metrics)
  キホンゲンジョウカンキョウ
• ICMP

  ICMP ( Internet Control Message Protocol )とは、TCP/IPでネットワークの疎通がされているノード（サーバー、ネットワーク機器、PCなど）間で、通信状態の確認をするために使われるプロトコル。つまりPINGのこと
• エクスプロイトコード

  ソフトウェアの脆弱性を悪用した不正な動作を再現するために作成されたスクリプトやプログラムを指す言葉
• smurf攻撃

  ネットワークの疎通確認使用されるICMP echo reuest(ping)の仕組みを悪用して、相手のコンピュータやネットワークに大量のパケットを送りつけるタイプのDoS攻撃です。
• 53番ポート

  DNSで使用されるポート
• 23番ポート

  Telnet というサービスに割り当てられているポート番号です。Telnetは遠隔地からネットワークを通じて別のコンピュータをリモート操作するためのプロトコル。
  TCP23番ポートへの攻撃が多い理由は、TCP23番ポート(Telnet)でサービスを待ち受けており、初期パスワード等で安易に不正ログインできる可能性が高いから。
• リスクベース認証

  リスクベース認証は、普段使われているものとは異なる環境（IPアドレス、ISP、OS、Webブラウザなど）からの認証要求があった場合に、通常の認証に追加する形で別の認証を実施する方式
• PKI

  Public Key Infrastructureの略で公開鍵基盤のこと。公開鍵の正当性を第三者が保証する一連の仕組み。
  CRL(Certificate Revocation List)を発行している
• 情報資産管理台帳

  情報セキュリティの認証取得や監査において必要になるもの。
  漏れなく洗い出すことが重要なので、社外のサーバ、個人のスマートフォン、クラウドサービス上の情報資産も記入する。
• IPマスカレード

  プライベートIPアドレスとグローバルIPアドレスを1対1で相互変換するNAT(NetworkAddressTranslation)の考え方に、ポート番号でのクライアント識別を組み合わせた技術。
  
• 楕円曲線暗号

  楕円曲線の点の演算を用いた公開鍵暗号方式です。楕円曲線によって定義された有限可換群上の離散対数問題を解く際の計算量の多さを安全性の根拠とし、同じ強度を想定した場合、RSAより鍵長を短くできる利点がある。
• パスワードリスト攻撃

  複数のサイトで同様のID・パスワードの組合せを使用している利用者が多いという傾向を悪用したもので、あるサイトに対する攻撃など何らかの方法で入手した認証情報のリストを用いて、複数の別のサイトへの不正ログインを試みる攻撃
• S/MIME

  メールを盗聴や改ざんなどから守るために公開鍵暗号技術を使用して「認証」「改ざん検出」「暗号化」などの機能をメールソフトに提供する仕組みです。
• 80番ポート

  Webサイトの閲覧で使用されるポート
• JIS Q 27001

  ***
• JIS Q 27002

  ***
• JIS Q 27014

  ***
• CSIRTマテリアル

  組織的なインシデント対応体制である「組織内CSIRT」の構築を支援する目的で作成されたガイドライン
• APT攻撃

  Advanced Persistent Threats : ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組合せ、ソーシャルエンジニアリングにより特定企業や個人をねらって行われる執拗なサイバー攻撃の総称を指す
• SSH

  Secure Shell : 公開鍵暗号や認証の技術を利用して、安全にリモートコンピュータと通信するためのプロトコルであり、SSLと同様にトランスポート層とアプリケーション層で通信を暗号化する。
  
  ネットワークを通じて別のコンピュータを安全に遠隔操作するための通信手順（プロトコル）およびソフトウェア（sshコマンド、sshデーモンなど）。通信経路が暗号化されるため、インターネットなどを経由しても安全にアクセスすることができる。
• ポルモーフィックス型ウィルス

  コンピュータウィルスのうち、自己複製を行う際にプログラムのコードを変化させ、検出を回避しようとするタイプのウィルス
• mirai

  IoT機器を主なターゲットとする新しいタイプのマルウェアです。通常のマルウェアと同様に、いくつかの経路で侵入を試み感染拡大。IoT機器を乗っ取る
• レインボー攻撃

  平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき，それを用いて，不正に入手したハッシュ値からパスワードを解読する
• フットプリンティング

  サイバー攻撃に先立ち、攻撃者が標的の弱点などを探るために行う下調べ。外部から調べられる情報を収集する活動で、攻撃手法などを検討するために行われる
• ToR

  The Onion Router : インターネット上で発信元の秘匿性が高い通信を行うことができるシステム
• テンペスト

  コンピュータなどの電子機器が動作する際に外部に漏洩する微弱な電磁波を受信し、処理・伝送されている信号やデータを傍受する技術。
• サイドチャネル

  IT機器に対する攻撃手法の一つで、装置の物理的な特性の変化を外部から観測・解析することにより、本来読み取ることができない情報を盗み取る手法。暗号鍵の盗聴などに応用される。
• MITB

  ネットワークを通じた攻撃手法の一つで、攻撃対象の利用するコンピュータにトロイの木馬など悪意のあるソフトウェアを潜り込ませ、Webブラウザなどの通信を監視して通信内容を改ざんしたり操作を乗っ取る手法。
  対策として、送信時に送金情報に応じて変化するワンタイムパスワードを付加して受信側で検証するトランザクション署名などの仕組みが必要となる。
• Evil Twin

  公衆Wi-Fiスポットなどで正規の無線LANになりすました偽の無線アクセスポイント(AP)を設置して、気付かずに接続してきた利用者の通信内容を盗聴する攻撃手法。偽のシステムに利用者を誘導して秘密の情報を盗み出すフィッシング詐欺の一種に分類される。
• IPスプーフィング

  TCP/IPネットワークを通じた攻撃手法の一つで、IPパケットの送信元として虚偽のIPアドレスを書き入れてそのアドレスになりすます手法。不正侵入にもDoS攻撃にも悪用される。
• セッション固定攻撃

  ウェブサイト提供者とウェブ閲覧者との間のセッションを、攻撃者が用意したセッションにすり替え、正規のウェブ閲覧者になりすまして不正アクセスする攻撃。
• ドメイン名ハイジャック

  インターネット上のドメイン名を正規の所有者以外の者が不正な手段で乗っ取り、本来とは異なる設定情報を配信すること。
• リプレイ攻撃

  攻撃者が、ネットワークを流れる正規の利用者のパスワード等を盗聴し、そのまま再利用して、正規の利用者になりすましして不正アクセスする攻撃。
  対策として、チャレンジレスポンス認証を使う。
• webビーコン

  ウェブサイトに埋め込んだ小さな画像を使って、ウェブ閲覧者の情報を収集する仕組み。
  ウェブ閲覧者の閲覧時刻、直前のウェブページのURL、IPアドレス、クッキー等を収集できる。
• スミッシング

  SNSを利用して有名企業や金融機関等を装ったメッセージを送り付け、フィッシングサイトに誘導する行為。
• クロスサイトリクエストフォージェリ

  Webサイトに不正に操作する攻撃手法の一つで、偽装したURLを開かせることにより利用者に意図せず特定のサイト上で何らかの操作を行わせるもの。
  ★ウェブサイト上で悪意あるスクリプトを実行する
• クロスサイトスクリプティング

  利用者が入力した内容を表示するような構成のWebサイトに存在する欠陥を悪用して、攻撃者が用意した悪意のあるスクリプトを利用者の元に送り込んで実行させる攻撃手法。
  ★ブラウザ上で悪意あるスクリプトを実行する
• SQLインジェクション

  データベースと連動したWebアプリケーションなどに対する攻撃手法の一つで、検索文字列など外部から指定するパラメータの一部にSQL文の断片などを混入させ不正な操作を行うもの。また、そのような攻撃を可能にする脆弱性。 “injection” は「注入」の意。
• ディレクトリトラバーサル

  コンピュータシステムへの攻撃手法の一つで、ファイル名を扱うようなプログラムに対して特殊な文字列を送信することにより、通常はアクセスできないファイルやディレクトリ（フォルダ）の内容を取得する手法。
• APT

  Advanced Persistent Threats ; 標的となる組織の脆弱性を突くために、事前に調査したうえで、複数の攻撃手法を組み合わせて作られたマルウェアで行う攻撃のこと。
• 水飲み場型攻撃

  特定の組織や個人を狙う標的型攻撃の手法の一つで、標的がよく利用すると思われるWebサイトを改ざんし、コンピュータウイルスなどの感染を試みる手法。
• PGP

  Pretty Good Privacy : データを暗号化してやり取りするためのソフトウェアの一つで、公開鍵の受け渡しを、暗号化する人・複合する人の当事者間で直接行うこと。
  また、同ソフトが利用している暗号化の方式および手順。公開鍵暗号と共通鍵暗号を組み合わせ、メッセージを効率よく安全に暗号化することができる。
• CA

  Certificate Authority : 認証局とは、電子商取引事業者などに、暗号通信などで必要となるデジタル証明書を発行する機関。
• CRL

  Certificate Revocation List : 何らかの理由で有効期限前に失効させられたデジタル証明書（公開鍵証明書）のリスト。証明書の発行元の認証局（CA）が管理・公開しており、定期的に更新される。
• CISO

  Chief Information Security Officer : 企業などの組織に置かれる役員クラスの役職の一つで、情報セキュリティを管理する者。情報システムや通信ネットワークへの内外からの攻撃に備え、システムの運用指針や対策基準の策定、機器やソフトウェアへの安全対策や監視、有事の際の対応などを統括する。
• CVE

  Common Vulnerabilities and Exposures : 様々なソフトウェアの保安上の弱点（脆弱性）についての情報を収集・公開している、世界的に著名なデータベースの一つで、脆弱性情報を世界で一意に識別するための識別子
• CWE

  Common Weakness Enumeration : 脆弱性の種類の一覧のこと。脆弱性がどのカテゴリに属するかを分類する
• CSA

  Control Self Assesment ; 従業員が、自部門の活動の監査を自ら行う方式
• ISMAP

  Information system Security Management and Assessment Program : 政府が求めるセキュリティ要求を満たしたクラウドサービスを評価・登録する制度のこと。
• J-CRAT

  Cyber Rescue and Advice Team against targeted attack of Japan : 標的型攻撃の被害拡大を防止するための組織
• J-CSIP

  Initiative for Cyber Security Information sharing Partnership of Japan : 参加組織におけるサイバー攻撃の情報を集約・共有するための組織のこと。参加組織内で検知されたサイバー攻撃の情報を公的機関であるIPAに集約し、情報を匿名化したうえで、参加組織間でその情報を共有することで、高度なサイバー対策につなげる。
• OP25B

  Outbound Port 25 Blocking : 迷惑メール対策の一環としてプロバイダで行われる規制のひとつ。外部の25番ポートには接続させないよ！な規制
• ポート587

  SMTP-Authが使うポート（サブミッションポートとも呼ばれる）
• SPF

  送信元サーバのIPアドレスから、そのドメインが信頼できるかどうかを確認する送信ドメイン認証/電子メールの送信元ドメインの詐称を検知する技術。ドメイン名についての情報を配布するDNS（Domain Name System）の仕組みを利用して、本当に送信元アドレスに記載されたドメインから送られてきたメールかを調べることができる。
• DKIM

  DomainKeys Identified Mail : 送信元のメールサーバが信頼できるかどうかを確認するドメイン認証。デジタル署名を利用して、電子メールの受信者が送信元アドレスに記載されたドメイン名が本物かどうか検証できるようにする技術。迷惑メールの受信拒否などに利用される。
• ソルト

  認証システムがパスワードなどを保存する際に付け加えるランダムな符号列のこと。“salt” の原義は「塩」。
• ストレッチング

  パスワードを見破られるまでの時間を増やすために、パスワードをもとにハッシュ関数で計算して求めたハッシュ値に対し、さらにそのハッシュ値をもとにハッシュ関数で計算してハッシュ値を求める作業を繰り返すこと
• シグネチャーコード

  マルウェアであると識別できる、プログラムコード中の特徴のある一部。
• WPA2-PSK

  Wi-Fi Protected Access 2 Pre-Shared Key : 無線LAN（Wi-Fi）の暗号化を行うWPA2のパーソナルモードで、アクセスポイントと端末で事前に共有した秘密の符号によって接続認証や暗号化を行う方式
• UTM

  Unified Threat Management : 様々なセキュリティ製品をまとめた、中小企業向けの製品を使って対策を行うこと。
  企業などの情報セキュリティ対策として、複合的・網羅的な機能を持ったセキュリティ機器やソフトウェアを導入して包括的・統合的に対策を実施すること。
• SSLアクセラレータ

  ウェブサーバのCPU負荷を軽減するために、SSLによる暗号化と復元の処理を、ウェブサーバでなく、それ専門で行うための製品
• EDR

  Endpoint Detection and Response : コンピュータなどのセキュリティ対策システムの一種で、端末の処理を常時監視して不審な挙動をいち早く検知し、記録を取って管理者に通報するもの。
• VDI

  Virtual Desktop Infrastructure : 通常は、情報機器が行う処理を、サーバー上の仮想環境で行い、情報機器にはその画面だけを転送する方式。
• セキュアブート

  コンピュータ起動時の安全性を確保するため、デジタル署名で起動するソフトウェアを検証する機能。UEFI（BIOS）の機能として提供され、OSに関係なく利用できる。
• TPM

  Trusted Platform Module : セキュリティチップとも言い、PCに内蔵された対タンパ性のある半導体。TPMが内蔵されたPC内の、暗号化されたハードディスクが万一、盗難にあっても、他のPCではデータの読み出しが困難なため、不正な持ち出しの対策となる、
• 特許権

  自然法則を利用した創作で、高度な発明
• 実用新案権

  発明自体ではなく、革新的なアイデア
• 意匠権

  製品の価値を高める形状やデザイン
• 商標権

  商品の名称やロゴマーク
• NISC

  National center of Incident readiness and Strategy for Cybersecurity 内閣サイバーセキュリティセンター
• SAN

  Storage Area Network : サーバと外部記憶装置を結ぶ専用のネットワークのこと
• RASIS

  システムの信頼性を表す評価指標：
  Reliability(信頼性)→平均故障感覚
  Availability(可用性)→稼働率
  Serviceability(保守性)→平均修理時間
  Integrity(完全性)→誤動作なし、正確さ維持
  Security(安全性)→権限がある人だけが使用できる
• 80番ポート

  WebサーバがHTTPでWebブラウザなどと通信するために用いる。
• 443番ポート

  WebサーバがHTTPS(暗号化されたHTTP通信)でWebブラウザなどと通信するために用いる。
• 110番ポート

  電子メール受信サーバがPOP3で電子メールクライアントに受信メールを配送するために用いる。
• 25番ポート

  電子メールの送信・配達（SMTP）のために用いる。
• 21番ポート

  FTP(File Transfer Protocol)サーバがクライアントからの接続を待ち受け、制御情報をやり取りするのに用いる。
• SNMP

  Simple Network Management Protocol : ネットワーク機器を遠隔から監視、制御するためのプロトコル
• RADIUS

  Remote Authentication Dial In User Service: 外部から接続した利用者や情報機器が、正規のものであることを証明するためのプロトコル
• ハッシュ関数の特徴

  ・入力データが同じであれば、常に同じメッセージダイジェストが生成される。
  ・入力データが少しでも異なっていれば生成されるメッセージダイジェストは大きく異なったものになる。
  ・メッセージダイジェストから元の入力データを再現することが困難である。
  ・異なる入力データから同じメッセージダイジェストが生成される可能性が非常に低い。
• RTO

  Recovery Time Objective : 業務中断後、どれだけの時間で復旧させるかを示す目標値
• ソフトウェア管理ガイドライン

  ソフトウェアの違法複製を防止するため，法人，団体などを対象として，ソフトウェアを使用するに当たって実施されるべき事項をとりまとめたもの
• VAとは

  validation Authority : 証明書有効性検証局
  PKIを構成する機関で以下の方法で公開鍵証明書の有効性を検証し、クライアントからの証明書の有効性に関する問い合わせに応答する役割を担っています。
  CAの公開鍵で署名を検証
  証明書の有効期限を確認
  CRL(Certificate Revocation List)の集中管理
  CRLを確認

広告

コメント