応用情報技術者試験・午後（情報セキュリティ）

単語カード

設定全面表示

• IDS(Intrusion Detection System)

  不正な挙動を検出

• IPS(Intrusion Prevention System)

  不正な挙動を検出し遮断

• EDR(Endpoint Detection and Response)

  エンドポイントで脅威を検知、調査、封じ込める。検知した場合、不審プロセスを終了させ、ネットワークを遮断する。

• NDR（Network Detection and Response）

  ネットワーク上の通信を監視、分析することで不審な通信を検知し、迅速な対応を可能する。

• SIEM(Security Information and Event Management)

  各種アプリ、ネットワーク、サーバ、セキュリティ機器などのログを収集・分析し、高いレベルでインシデントを検知する。

• WAF(WebApplicationFirewall)

  Webアプリケーションへの攻撃を【a】を利用して検知し防御

• APT(Advanced Persistent Threat)

  特定の組織や個人を標的として、長期間にわたって執拗に攻撃を続ける高度な標的型サイバー攻撃

• UTM(Unified Threat Management)

  統合脅威管理。ファイアウォール、アンチウイルス、アンチスパム、Webフィルタリング、IPS/IDSなど複数のセキュリティ機能を一つの機器に統合したソリューション。

• CASB(Cloud Access Security Broker)

  企業が利用するクラウドサービスへのアクセスを監視・制御し、セキュリティを強化するソリューション

• RADIUS(Remote Authentication Dial In User Service)

  ネットワークへのアクセスにおける認証、承認、アカウンティングを行うためのプロトコル

• SOC（Security Operation Center）

  セキュリティ監視・分析を専門に行う組織

• CSIRT（Computer Security Incident Response Team）

  セキュリティインシデントへの対応を行う組織

• CRL(Certificate Revocation List)

  デジタル証明書が失効しているかどうかを確認できるリスト

• OCSP（Online Certificate Status Protocol）

  証明書の有効性をリアルタイムに確認するプロトコル

• PKI(Public Key Infrastructure)

  公開鍵基盤。公開鍵証明書の発行・管理を行う仕組み

• MITM(Man In The Middle)

  送信者と受信者の中間の通信に第三者が割り込み、データを盗聴、改ざん、または再送信するサイバー攻撃

• デジタルフォレンジックス

  ログやメールなどデジタルデータを、犯罪の証拠などとして利用できるように、法的な根拠性を明らかにする

• ゼロトラスト

  いかなる通信も信頼しない

• トリアージ

  サイバー攻撃や脆弱性といったインシデント発生時に、その緊急度や重要度に応じて対応の優先順位を判断し、リソースを効率的に配分するプロセス

• サイバーキルチェーン

  サイバー攻撃の一連の7つプロセスを体系化したもの(偵察／武器化／デリバリー／エクスプロイト（攻撃）／インストール／C&C（指揮統制・遠隔操作）／目的の実行)

• ランサムウェア

  データを不正に暗号化し、復元と引き換えに身代金を要求する悪質なマルウェア

• ゼロデイ攻撃

  発見された脆弱性を解消するための対策が提供される前に行われるサイバー攻撃

• ブルートフォース攻撃

  考えられる全てのパスワードを総当たりで試す攻撃

• DoS攻撃

  サービスを過剰な負荷で利用不能にする攻撃

• DDoS攻撃

  複数の踏み台コンピュータから同時に行うDoS攻撃

• キーロガー

  キーボード入力を記録し、認証情報を盗み取る攻撃ツール

• チャレンジレスポンス認証

  サーバから提示されるランダムな「チャレンジ（挑戦）」に対し、クライアントが秘密情報（パスワードなど）とチャレンジを組み合わせて計算した「レスポンス（応答）」を返すことで本人確認を行う認証方式

• バイオメトリクス認証

  指紋・虹彩・顔・声などの生体情報を用いた認証方式

• 機密性

  許可された者だけが情報にアクセスできること

• 完全性（インテグリティ）

  情報が正確であり、改ざんや破壊が行われていないこと

• 可用性

  許可された者が、必要な時に情報にアクセスできること

• 真正性

  情報源や発信者が偽造や改ざんがされていないことを証明できる性質(署名、認証)

• 責任追跡性

  企業組織や個人などの動きを追跡できる性質(ログ、履歴)

• 否認防止

  情報が後に否定されないように証明できる性質(デジタル署名や各種ログ)

• 信頼性

  データやシステムを利用した動作が、意図した通りの結果を出せる性質

• ディレクトリトラバーサル

  相対パス「../」などを用いて、Webサーバーの非公開ディレクトリに不正にアクセスする攻撃

• 水飲み場型攻撃

  標的組織の従業員が頻繁にアクセスするWebサイトを改ざんし、マルウェアに感染させる攻撃

• ドライブバイダウンロード攻撃

  ユーザーがWebサイトを閲覧しただけで、本人の意図に反してマルウェアをダウンロードさせる攻撃

• VPN

  インターネット上に仮想的な専用回線を構築し、安全な通信を実現する技術

• ペネトレーションテスト

  システムに擬似的な攻撃を行い、セキュリティ上の脆弱性や弱点がないかを確認するテスト

• セッションハイジャック

  セッションIDを盗み取り、正規のユーザーになりすましてサービスを不正に利用する攻撃

• DNSキャッシュポイズニング

  DNSキャッシュサーバーに偽の情報を登録し、ユーザーを偽サイトに誘導する攻撃

• バッファオーバーフロー攻撃

  プログラムが確保したバッファ（メモリ領域）の許容量を超えるデータを意図的に送り込み、不正なプログラムを実行させる攻撃

• パスワードソルト

  パスワードをハッシュ化する際に、元のパスワードに付加するランダムなデータ。パスワードの脆弱性を高める。同一DBで管理することが多く、漏洩リスクがある

• ペッパー

  パスワードのハッシュ化に【a】を付加する。【a】は外部からアクセスできない安全なサーバー側で保管する

• サンドボックス

  不審なプログラムを隔離された仮想環境で実行し、安全性を確認する仕組み

• 標的型攻撃

  特定の組織や個人を狙って、機密情報の窃取などを目的とするサイバー攻撃

• 不正のトライアングル、機会、動機、正当化

  【a】：人が不正行為を実行するに至るまでの要素（【b】、【c】、【d】）

• スクリプトキディ

  インターネット上で公開されている簡単なクラッキングツールを利用して不正アクセスを試みる攻撃者

• SHA-2

  NISTが規格化したハッシュ関数

• IPSec(Security Architecture for Internet Protocol)

  ネットワーク層でIPパケット単位でのデータ改ざん防止や秘匿機能を提供するプロトコル

• 楕円曲線暗号

  RSA暗号と比べて、短い鍵長さで同レベルの安全性が実現できる暗号方式

• ハイブリッド暗号

  安全かつ効率的な通信を実現する暗号方式で、HTTPS（TLS/SSL）通信をはじめ、電子メールやVPN接続、SSHなど幅広い分野で利用

• S/MIME、共通鍵、公開鍵、秘密鍵

  【a】:MIME形式の電子メールを暗号化し、デジタル署名を行う標準規格。送信者が作成した【b】でメール本文を暗号化。【b】を受信者の【c】で暗号化。受信者の【d】で【b】を復号。【b】でメール本文を復号。

• FIDO(Fast IDentity Online)・ファイド

  素早いオンライン認証。パスワードレス認証の技術で、【a】Allianceによって規格策定

• SSO(シングルサインオン)

  一度の認証で複数のサーバやアプリケーションを利用できる仕組み

• SAML(Security Assertion Makup Language)

  アイデンティティ・プロバイダ（IdP）がユーザーを認証し、認証トークンをサービス・プロバイダ（SP）と呼ばれる別のアプリケーションに渡すことができるオープン・フェデレーション標準

• リスクベース認証

  通常と異なる環境からログインしようとした場合、追加認証を行う

• 3Dセキュア

  インターネット上でクレジットカードを利用するときに使用される本人認証サービス

• コンティンジェンシープラン

  緊急時対応計画

• リスクアセスメント

  リスク評価を行うまでの一連の流れ

• 多要素認証（MFA）

  ２種類以上を組み合わせ認証を行う

• NCO(National Cybersecurity Office)←(旧)NISC

  内閣官房に国家サイバー統括室。サイバーセキュリティ戦略本部の事務局として、サイバーセキュリティの確保に関する総合調整の役割を担う

• J-CRAT

  サイバーレスキュー隊。IPAが経済産業省の支援のもとに設立した、相談を受けた組織の被害の軽減と攻撃の連鎖を遮断を支援する活動団体

• CVSS(Common Vulnerability Scoring System)

  共通脆弱性評価システム。情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法

• ファジング

  問題を起こしそうな様々な種類のデータを入力し、脆弱性を検出する

• フィッシング

  信頼できる機関を装い、偽のWebサイトに誘導する攻撃

• クリプトジャッキング

  暗号資産を得ることを目的に行われる攻撃

• エクスプロイトコード

  新たな脆弱性が発見されたときに再現性を確認し、攻撃が可能であることを検証するためのプログラム群

• サイドチャネル攻撃

  対象の動作を観察し、漏洩電磁波・電力消費等の情報から暗号鍵推定を行い、機密情報を得ようとする攻撃

• TPM(Trusted Platform Module)

  PCなどの機器に搭載され、鍵生成やハッシュ演算及び暗号処理を行うセキュリティチップ

• テンペスト

  PCや周辺機器から発する微弱な電磁波を受信することで通信を傍受する

• ステガノグラフィ

  音声や画像などのデータに秘密のメッセージを埋め込む技術

• ソーシャルエンジニアリング

  人間の心理的、社会的な性質につけ込んで秘密情報を入手する手法

• SPF(Sender Policy Framework)

  電子メールの認証技術で、差出人のIPアドレスなどを基にメールのドメインの正当性を検証する

• DKIM(Domain Keys Identified Mail)

  電子メールの認証技術で、デジタル署名を用いて送信者の正当性を立証する

• 受信者、公開鍵、秘密鍵

  メール暗号化：メールを【a】の【b】で暗号化し送信。受信したメールを【a】の【c】で復号。

• 送信者、秘密鍵、送信者、公開鍵

  デジタル署名：【a】の【b】で署名し、署名データを作成。受信したメッセージのハッシュ値と【c】の【d】で復号し、署名データを検証する

• 公開鍵、共通鍵、秘密鍵

  SSL/TLS：クライアントはサーバ証明書をサーバーの【a】で検証。【a】で【b】を作成・暗号化し、サーバーに送信。サーバーの【c】で復号し、【b】を取得。お互いのデータは【b】で暗号化して送受信を行う

• 公開鍵

  デジタル証明書：CAからデジタル証明書を受取り、含まれている【a】で証明書を検証する

• クリアデスク

  机の上の書類や印刷物を放置したまま離籍しない

• クリアスクリーン

  PCをログインしたまま操作可能な状態で離籍しない

• ロックアウト

  一定回数の失敗でアカウントを一時停止する仕組み

• アンテナコイル、電磁波

  非接触型ICカードには、【a】が埋め込まれており、CRが発信する【b】を電気に変換し、CRと無線通信する

• CC(Common Criteria)

  IT製品やシステムが備えるべきセキュリティレベルを共通基準で評価・認証するための国際規格

• UHFアンテナ

  地上デジタル放送を受信するためのアンテナ

• ヘリカルアンテナ

  衛星通信やGPSなどに用いられる無線通信用のアンテナ

• ISMS

  情報セキュリティマネジメントシステムの認証規格

• JIS Q 15001

  個人情報保護マネジメントシステムの要求事項

• OP25B

  宛先ポート番号25のSMTP通信を遮断すること

• PGP(Pretty Good Privacy)

  暗号化とデジタル署名による送信者認証によって安全にメールを送受信する仕組み

• 権威DNSサーバ

  ドメインの名前解決の情報を保持し、外部からの問合せに対して自信が保持する情報を応答する

• キャッシュDNSサーバ

  ドメインの名前解決の情報を持たず、外部に問合せを行って、その結果をクライアントに返す。結果は一定時間保持する

• DV(Domain Validation)

  SSL/TLSサーバー証明書において、申請者がドメインの所有権を証明するだけで発行される、最も簡易な認証レベル(表示：ドメイン名のみ)

• EV(Extended Validation)

  SSL/TLSサーバー証明書の中で最も厳格な審査基準に基づいて発行される最高レベルの認証(表示：ドメイン名と組織名、所在地、登録番号など詳細情報)

• DNSSEC

  権威DNSサーバの応答レコードの正当性、完全性の確認

• パスワードリスト攻撃

  あらかじめ入手した別のサービスで使われるユーザーIDとパスワードを利用して、不正ログインを試みる手法

• 辞書攻撃

  攻撃対象が明確となっている場合、その対象の生年月日や名前、電話番号、ペットや家族の名前などの情報からパスワード入力を試行する

• クロスサイトスクリプティング（XSS）

  Webサイトの記述言語であるHTMLに悪質なスクリプトを埋め込む攻撃

• サニタイジング（エスケープ）

  サーバーに送信された文字列を検査(HTMLタグやJavaScriptなどの特殊文字)し、安全なものに変換すること

• SQLインジェクション

  Webアプリケーションの脆弱性を意図的に利用し、想定されない断片的なSQL文をアプリケーションに「注入（インジェクション）」・実行させる攻撃手法

• プレースホルダ

  SQL文中の値が変動する部分を記号（?や:nameなど）で置き換え、後から値をバインド（代入）する仕組み

• なりすまし攻撃

  正規利用者を装って不正アクセス。多要素認証で防ぐ。

• ワンクリック詐欺

  偽警告で料金請求。無視・閉じるで防ぐ。

• トロイの木馬

  正規ソフトに偽装。出所確認で防ぐ。

• スパイウェア

  利用者行動を監視。アンチスパイウェアで防ぐ。

• ボットネット

  感染PCを遠隔操作。IDS/IPSで防ぐ。

• ルートキット

  OSを隠蔽し支配。セキュリティツールで検出。

• バックドア

  裏口で侵入可能にする。パッチ・監査で防ぐ。

• レインボーテーブル攻撃

  ハッシュ逆引き攻撃。ソルトで防ぐ。

• オープンリダイレクト

  Webアプリケーションがユーザーを別のURLにリダイレクトする機能を悪用した攻撃。リダイレクト先がパラメータに基づいて動的に決まる場合、攻撃者はURLを改ざんして、悪意のあるサイトに誘導する

• スイッチングハブ(レイヤー２スイッチ)

  データリンク層において、受信したデータの宛先MACアドレスを見て、その宛先と接続されたLANポートのみにデータを流すネットワーク機器

• スイッチングハブ(レイヤー３スイッチ)

  ネットワーク層において、L2スイッチの機能に加えて「ルーティング機能」を搭載している。ルーティングとは、複数のネットワークに接続した状態において宛先ごとにデータを送信する機能。

• リスク最適化

  組織が直面するサイバーリスクを許容可能なレベルまで低減する活動

• リスク回避

  リスクを引き起こす可能性のある活動、事業、または状況そのものから完全に撤退し、リスクの発生をゼロにするリスク対応戦略

• リスク移転

  リスクが発生した際にその影響や責任を、自社以外の第三者に移すリスク対応戦略

• リスク受容

  特定のリスクについて、その発生の可能性や影響を認識したうえで、特別な対策を講じずに、あえてそのリスクを受け入れると判断すること

• 境界型防御

  ネットワークの「内部」と「外部」を明確に分け、境界部分にファイアウォールなどのセキュリティ機器を設置して外部からの攻撃を防ぐ

• 多層防御

  一つの対策だけでなく複数の対策を組み合わせる

• リプレイ攻撃

  通信経路上で盗聴した正規の通信データを、攻撃者が後から再送することで不正なアクセスや操作を行うサイバー攻撃

• スニッフィング

  ネットワーク上を流れる通信データを盗聴し、その内容を不正に傍受・解析するサイバー攻撃の一種

• SEOポイズニング

  検索エンジン最適化（SEO）の技術を悪用し、悪意のあるWebサイトを検索結果の上位に表示させるサイバー攻撃

• MAC(Mandatory Access Control)

  コンピュータシステムにおけるアクセス制御モデルの一つで、セキュリティポリシーの決定権限をシステム管理者などの権限者に限定し、ユーザーの意思に関係なくアクセスを強制的に制限する方式

• パケットフィルタ

  パケットのヘッダーに含まれる情報(送信元IPアドレス、宛先IPアドレス、プロトコル、ポート番号)をチェックし、ルールのリスト（アクセス制御リスト、ACL）と照合して、パケットを許可または破棄します。

• プロキシサーバー

  クライアントとWebサーバーの中間に位置して通信を中継すること、セキュリティの強化、パフォーマンスの向上、そしてユーザーの匿名性の維持。悪意のあるサイトへのアクセスをブロック、頻繁にアクセスされるデータをキャッシュ、

• DNSリフレクション攻撃

  DNSサーバーにDNSリクエストを送信し、攻撃対象のサーバーをダウンさせる攻撃(DDoS攻撃の一種)

• サプライチェーン攻撃

  標的企業そのものではなく、取引先や委託先といった業務上つながりのある企業を経由して、標的企業のシステムへと侵入する攻撃手法

• ディープフェイク

  人工知能 (AI) 技術を用いて生成された偽の画像や映像、音声、またはそれらを生成する技術

• CAPTCHA認証

  ウェブサイトへのアクセスが人間によるものか、自動プログラム（ボット）によるものかを区別するための自動テストをする認証。解読が困難な歪んだ文字や数字の入力、特定の画像を選択する操作。

• パスキー

  パスワードを使わない認証方法。パスワード入力の代わりにスマートフォンなどの機器の生体認証（指紋、顔）や画面ロックの解除（PIN等）を行うことで認証を行う。

• リバースブルートフォース攻撃（逆総当たり攻撃）

  特定のパスワードを固定し、様々なユーザーアカウントのIDを総当たりで試す攻撃

• DLP（Data Loss Prevention）

  特定のデータのコピー等持ち出しを検知し、ブロックする。

• CSPM（Cloud Security Posture Management）

  クラウドの設定ミスによる情報漏えいを防ぐ。

• イミュータブルバックアップ

  一度保存したバックアップデータを改ざん、変更、削除ができないように不変化するバックアップ手法

• パスワードスプレー

  総当たり攻撃の一種で、別のパスワードに移る前に、複数のアカウントで同じパスワードの使用を試みる

• RDP（Remote Desktop Protocol）

  ネットワーク越しに別のコンピューターを遠隔操作するための通信規約

• ハッシュ値

  ハッシュ関数を使用するメリットは、【a】から元のパスワードの割出しは難しい

• ストレッチング

  パスワードのハッシュ化を数千～数万回と繰り返し行い、パスワードを推測するのを困難にする

• MDM（Mobile Device Management）

  スマートフォンやタブレットなどのモバイルデバイスを一元管理し、情報セキュリティを強化

• need-to-know

  特定の情報や資産にアクセスできるのは、その情報が業務遂行に必要不可欠である場合に限る、という考え方

• RASP（Runtime Application Self-Protection）

  アプリケーション実行中に、アプリケーション内部にセキュリティ機能を組み込んで、リアルタイムに脅威を検知・防御する技術

• SBOM（Software Bill of Materials）

  ソフトウェアを構成するコンポーネント（ライブラリやフレームワークなど）のすべての情報、およびそれらの依存関係を一覧にしたもの

• SLCP（Software Life Cycle Process）

  ソフトウェア・ライフサイクル・プロセス。ソフトウェアが企画・設計から開発、運用、保守、廃棄に至るまでの全工程を体系的に管理するための枠組み

• SaaS

  物理サーバーの運用管理、ソフトウェアのインストール・バージョンアップ、バックアップ作業、セキュリティパッチの適用などが不要になるクラウドサービス

• PaaS

  サーバーやハードウェアの管理、OSの管理、ミドルウェアの管理、インフラの運用保守・インフラのセキュリティパッチの適用などが不要になるクラウドサービス

• IaaS

  物理的なハードウェアの管理・運用、仮想化基盤の管理、初期リソースの調達と設定などが不要になるクラウドサービス

• IDaaS

  複数のサービスで利用するIDやパスワードを一元管理し、認証をクラウド経由で行うサービス

• リモートワイプ

  遠隔操作で端末内のデータを削除する機能

広告

コメント