ゲスト ログインしていません

セキュリティ

n4_kubota 2025年01月21日 カード121 いいね0

広告

単語カード

  • n(n - 1) / 2
    共通鍵暗号方式に必要な鍵数
  • ブロック暗号とストリーム暗号
    共通鍵暗号方式は平文を一定の長さ分割するものと、1ビットごとに暗号化するものがある
  • RC4、KCipher-2
    ストリーム暗号の代表例
  • DES, AES, FEAL, FEAL, IDEA
    ブロック暗号の代表例
  • 2n
    公開鍵暗号方式 では,n人の通 信相手が相互に通信す る場合に必要な鍵数
  • RSA
    公開鍵暗号方式の代表例で、大きな数値の素因数分解に膨大な時間がかかることを安全の根拠とする暗号化方式。
  • 2048ビット以上
    RSAで推奨されているビット数
  • 楕円曲線暗号、ElGamal(エルガマル)暗号
    離散対数問題の解法困難性を安全の根拠とする暗号化方式
  • 量子暗号
    計算量に依存しない暗号方式として,不確定性原理を用いたもの
  • RSA暗号と比べて短い鍵長で同レベルの安全性が実現できる
    楕円曲線暗号の特徴
  • ハイブリッド暗号方式
    データ本文のやり取りには処理時間の短い共通鍵暗号方式を利用し,共通鍵の受渡しには公開鍵暗号方式を利用することで,速度と強度の両方を確保する方法
  • S/MIME,PGP,SSL /TLS
    ハイブリッド暗号方式が使用される代表例
  • エンベロープ暗号化
    つまりデータ暗号鍵とルート鍵を使用して機密データを保護するプロセスのこと
  • WEP
    初期の無線LANセキュリティ規格
    使用する暗号化アルゴリズムはRC4
    ユーザごとに暗号化鍵を変更できないことや,IV
    が短いこと,また暗号化の実装方法に弱点がある
  • WPA
    WEPの脆弱性を解決するために策定した無線LANのセキュリティ規格
    暗号化アルゴリズムRC4を用いたTKIP (Temporal Key Integrity Protocol)を採用
  • WPA2
    WPAの後続として規格化された
    暗号化方式にCCMPを採用しています。CCMPはAES-CCMPあるいはCCMP(AES)とも呼ば
    れる
  • PSK認証
    事前鍵共有方式で,アクセスポイントとクライア
    ントに設定した8~63文字のパスフレー(PSK:Pre-SharedKey)とSSIDによって認証を行う。
    主に家庭用のWifi向け
  • エンタープライズモード
    主に企業のような大規模環境での使用を想定したモードです。
  • IEEE 802.1X規格
    エンタープライズモードで使用する規格
  • サプリカント:認証を要求するクライアント
    オーセンティケータ:認証要求を受け付ける機器
    認証サーバ (RADIUSサーバ)
    IEEE 802.1Xの構成3要素
  • アクセスコントロール
    利用者の識別,認証,権限管理を行うこと
  • 権限管理
    利用者のアクセス権を設定・コントロールすること
  • ロール
    複数のアクセス権をまとめたもの
  • スニッフィング
    ネットワーク上を流れるデータを不正に取得し解読する行為
  • チャレンジレスポンス認証
    暗号化していないパスワードをネットワーク上で利用すると,送信したパスワードを読み取られる危険がある。
    それを解消するための認証方式は?
  • PPPにおけるCHAP
    チャレンジレスポンス認証の実装例
  • ハッシュ関数(不可逆関数)
    あるデータを元に一定長の擬似乱数を生成する計算手順
  • 原像計算困難性
    生成したハッシュ値から元のデータを復元できないという性質
  • ワンタイムパスワード方式(OTP)
    そのときのみ有効なパスワードを自動的に生
    成してログインのたびに毎回異なる使い捨てのパスワードを使う
  • 時刻同期方式
    OTPにおいて時刻を利用する方式
  • S/KEY方式
    OTPでチャレンジレスポンス方式を利用
  • シングルサインオン
    ユーザ認証を一度だけ行うことで,許可された複数のサーバへのアクセスについても認証する技術
  • Cookie(クッキー)型
    サーバが認証のための情報を生成してクライアントに送信します。クライアントはこれを保存し,他のサーバへはこの認証情報を自動的に送ることで,認証を受けることができる仕組み
  • リバースプロキシ型
    ユーザ認証においてパスワードの代わりにデジタ
    ル証明書を用いることができる。
  • SAML
    認証情報に加え,属性情報とアクセス制御情報を異なるドメインに伝達するためのWebサービスプロトコル
  • バイオメトリクス認証
    個々人ごとに異なる身体的・行動的特徴を利用して本人認証を行う技術
  • FRR
    本人を謝って拒否する確率
  • FAR
    他人を誤って受け入れてしまう確率
  • リスクベース認証
    普段とは異なる環境(IPアドレス,Webブラウザなど)からの認証要求に対して追加の認証を行う
  • Kerberos方式
    最初にIDとパスワードで認証を行い,以降は,チケット(ユーザを識別し,アクセスを許可する暗号化されたデータ)を使って認証する。シングルサインオンに標準対応している
  • 2要素認証
    パスワードなどの“知識”による認証,ICカードなどの“所有”による認証,指紋などの“特徴”による認証の3つの中から2つを組み合わせて認証を行う
  • CAPTCHA認証
    ゆがめたり一部を隠したりした画像から文字を判読させ入力させることで,人間以外による自動入力を排除する
  • PPP
    リモートアクセスとして使われ、電話回線で二点間の通信を行うためのデータリンク層のプロトコル
  • クラッキング
    悪意をもってコンピュータに不正侵入し,データを盗み見たり破壊したりする行為
  • CHAP
    PAPの盗聴に対する脆弱性を補うために登場した認証プロトコル。チャレンジレスポンス認証を利用して暗号化された認証データを送信する。
  • RADIUS
    アクセスサーバと認証を行うサーバを分離したモデル
  • Diameter
    RADIUSの後継プロトコル。
    双方向の情報交換,拡張性の高さ,セキュリティの強化など様々な改良が加えられている
  • PKI(公開鍵基盤)
    公開鍵が本人と結びつけられた正当なものであることを証明するために利用するモデル
  • 認証局(CA)
    PKIの第三者機関
  • RA
    デジタル証明書の登録及び失効申請の受け付け
  • IA
    RAから依頼されたデジタル証明書の発行及び失効作業
  • VA
    CRLを集中管理し,デジタル証明書の有効性の検証及び失効状態についての問合せに応答。
  • CP
    認証局が証明書の目的や利用用途を定めたもの
  • CPS
    CAの認証業務の運用などに関する詳細を定めたもの
  • CRL
    有効期限内に何らかの理由で失効させられたデジタル証明書のリスト
  • OCSP
    デジタル証明書が失効しているかどうかをオンラインでリアルタイムに確認するためのプロトコル
    シリアル番号を送信する
  • ファイアウォール
    インターネットなどのリートネットワークと社内LANなどのローカルネットワークの境界線に設置し,不正なデータの通過を阻止するものです
  • DMZ
    公開サーバなど外部からアクセスされる可能性のある情報資源を設置
  • パケットフィルタリング型
    パケットのIPアドレスやポート番号を検査して
    フィルタリングを行う
  • アプリケーションゲートウェイ型
    アプリケーション層の内容までを検査してフィルタリングを行う
  • スタティックパケットフィリタリング
    事前に定めたフィルタリングルールに従って検査
    を行う
  • ステートフルインスペクション機能
    内部→外部への通信とその応答を照合し,パケットの順番を管理するTCPヘッダのシーケンス番号の妥当性を確認するなど正常と判断された通信のみ通過を許可するといったコントロール
  • ダイナミックパケットフィルタリング
    通信の文脈(前後のパケットや上下のプロトコルとの整合性)など流動的な情報で検査を行う
  • 原則拒否の方針
    通過させるもの以外はすべて禁止にする
  • ホワイトリスト方式
    原則として通信を遮断し,一致したもののみを通過させる
  • ブラックリスト方式
    原則として通信を許可し、リストと一致し物を遮断する
  • IDS
    システムに対する侵入/侵害を検出・通知する
  • NIDS
    ネットワーク型IDS。
    管理下のネットワークを監視し,不正なパケットが通過した場合,又は通信量が通常とは異なる異常値を示した場合にそれを検知して通知する
  • HIDS
    ホスト型IDS。ホストにインストールして,そのホストのみを監視する。パケットの分析だけでなく,シグネチャとのパターンマッチングを失敗させるためのパケットが挿入された攻撃でも検知できる
  • IPS
    不正パケットの検出だけでなく,それを検出した際には通信を遮断するなどの対処を行う
  • UTM
    ファイアウォール機能を有し,マルウェア対策機能や侵入検知などの複数のセキュリティ機能を連携させ,統合的に管理するネットワーク監視型のセキュリティ対策機器
  • EDR
    PCやサーバなど通信の出入り口となるエンドポイント上の不審な挙動を監視し,迅速な初動対処につなげる働きをするソフトウェアの総称
  • SIEM
    様々なサーバのログデータを一元的に管理し,分析するシステム
  • シグネチャ方式
    データベース化された既知の攻撃パターンと通信パケットとのパターンマッチングによって不正なパケットを検出
  • アノマリー方式
    正常なパターンを定義し,それに反するものをすべて異常だと見なす方式
  • IPsec
    VPNを構築する際に利用されるネットワーク層のセキュリティプロトコル。
  • インターネット上の未使用のデータ空間
    ダークネット
  • Mirai
    ボットネットの具体例としてIoT機器をターゲットとするもの
  • ワーム
    他に寄生せず独自に活動し,ネットワークを伝わ
    って他のコンピュータに感染する
  • トロイの木馬
    通常は有用なプログラムとして動作するが,きっ
    かけが与られると不正な行為を行う。
    寄生・感染機能はもたない
  • スパイウェア
    コンピュータ内の個人情報やアクセス履歴などを
    収集するプログラム
  • ボット
    外部から遠隔操作することを目的としたプログラ
  • ボットネット
    C&Cサーバ (Command and Control server)で構成されるネットワーク
  • バックドア
    ウイルスなどが作成するシステム上の抜け道。
  • マクロウイルス
    ワープロや表計算でのプログラミング機能で作成されたウイルス
  • キーロガー
    キーボードを操作したログを記録するプログラ
  • WORM
    ランサムウェア対策の有効な機能の1つで,「一度書き込んだデータの上書きや削除ができなくなる」もの
  • セキュリティパッチ
    OSやアプリケーションなどにセキュリティホールがあった場合,開発元からそれを修正するためのプログラム
  • セキュリティホール
    セキュリティ上の弱点
  • ゼロデイ攻撃
    セキュリティパッチが提供される前に,パッチが対象とする脆弱性を悪用する攻撃
  • コンペア法
    マルウェアの感染が疑わしい検査対象のハッシュ値と,安全な場所に保管されている原本のハッシュ値を比較
  • チェックサム法(インテグリティチェック法)
    マルウェアに感染していないことを保証する情報をあらかじめ検査対象に付加しておき,検査時に不整合があればマルウェアとして検出する
  • ビヘイビア法(動的ヒューリスティック法)
    検査対象を仮想環境内で実行してその挙動を監視し,マルウェアによく見られる行動を起こせばマルウェアとして検知する方法
  • ポリモーフィック型マルウェア
    感染ごとにマルウェアのコードを異なる鍵で暗号化することによって,同一のパターンでは検知されないようにするマルウェア
  • ストレッチング
    ハッシュ値をハッシュ化するという操作を数千
    回~数万回繰り返し行い,最終的に得られたハッシュ値を認証情報として保存する
  • フットプリンティング
    攻撃に先立ち,攻撃対象の下調べをすること
  • ポートスキャン
    コンピュータの各ポートに対して通信を試みて,その返答から,ポートの開閉や,開いているポートで稼動しているサービス及びバージョンなどを特定する行為
  • ステルススキャン
    ログを残さずにスキャンすること
  • バッファオーバフロー
    許容範囲を超えるデータを送り付けて,意図的にオーバフローさせ悪意の行動を起こす。
  • ディレクトリトラバーサル
    相対パスなどを使って,ディレクトリを「横断することで公開していないディレクトリにアクセスする。
    ユーザに入力させるパラメタのチェックなどにより対策する
  • SQLインジェクション
    Webアプリケーション上の入力フィールドにSQ文の一部を入力して,データベースの内容を不正に削除したり,入手したりする攻撃
  • サニタイジング
    データベースへの問合せや操作において特別な意味をもつ文字「'」や「;」を取り除いたり,他の文字に置き換える処理(エスケープ処理)を施して無効にする
  • バインド機構
    プレースホルダ(変数)を使用したSQL文(プリペアドステートメントという)を準備しておき,SQL文実行の際に,入力値をプレースホルダに埋め込み,SQL文を組み立てる
  • OSコマンドインジェクション
    Webページ上で入力した文字列がPerlのsystem関数やPHPのexec関数などに渡されることを利用し,不正にシェルスクリプトを実行させる
  • クロスサイトスクリプティング
    攻撃者が用意したスクリプトを,閲覧者のWebブラウザを介して脆弱なWebサイトに送り込み,閲覧者のWebブラウザ上でスクリプトを実行させる
  • フィッシング
    実在企業を装ったメールで偽サイトへ誘導したり,リダイレクト機能を悪用して偽サイトに誘導・遷移させたりすることによって,個人情報を盗み取る。
  • スミッシング
    携帯電話などのSMSを利用してフィッシングサイトへ誘導する手口。SMSフィッシングともいう
  • DNSキャッシュポイズニング
    DNSのキャッシュ機能を悪用し,偽のドメイン情報を一時的に覚え込ませる攻撃。
    DNSSECの導入や帰的な問合せ(p.408参照)に対しては内部からのものだけに応答するよう設定する
  • オープンリダイレクト
    外部から指定されたURLパラメータに基づいて、リダイレクト先を指定する処理
  • オープンリゾルバ
    外部の不特定のDNSクライアントからの再起的なと問い合わせを許可しているDNSサーバー
  • SEOポイズニング
    キーワードで検索した結果の上位に,悪意のあるサイトを意図的に表示させ,誘導する手法
  • セキュアブート
    OS起動前に不正なプログラムが実行されることを未然に防ぐ
  • NISC
    サイバーセキュリティ基本法に基づいて、内閣官房に設置される
  • DKIM
    送信側のメールサーバーで電子メールにデジタル署名を付与し、受信側のメールサーバでそのデジタル署名を検証して送信元ドメインの認証を行う
  • SMTP-AUTH
    電子メールを送信するとき、送信側のメールサーバーは送信者が正規の利用者かどうかIDとパスワードによって認証する
  • プライバシーセパレータ
    同一の無線LANに接続された機器同士の通信を禁止する
  • 3Dセキュア
    オンライン決済時に本人のみが知っている情報を入力させる
  • TPM
    PCなどの機器に搭載され、鍵生成やハッシュ演算および暗号処理を行うセキュリティチップ
  • SPF
    受信した電子メールが正当な送信者のものであることを保証する送信ドメイン認証技術
  • ISMAP
    政府機関や企業がクラウドサービスを安全に利用するための評価システム
  • クリプトジャッキング
    暗号資産を入手するために必要なマイニング作業を他人のコンピューターに秘密裏に行わせる作業
広告

コメント