-
リスクを洗い出す。
リスク特定
-
リスクの大きさ(リスクレベル)を算定する。
リスク分析
-
発生した場合の損失額と発生確率で表現されるリスクの大きさ
リスクレベル
-
リスクの大きさとリスク受容基準を比較して、リスク対策の必要性を判断し、リスクの優先順位をつける。
リスク評価
-
パスワードクラック(辞書、ブルートフォース(総当たり)、パスワードリスト)対策
パスワード入力回数に制限をかける。パスワードを使いまわさない
-
特定のサーバから大量にパケットを送り付ける。
DoS
-
複数のサーバから想定以上の負荷を与える。
DDoS(
-
DoS(特定のサーバから大量にパケットを送り付ける。)、DDoS(複数のサーバから想定以上の負荷を与える。)の対策
IDS、IPSを導入。
-
有害な文字列を利用者のウェブブラウザを介して脆弱なウェブサイトに送り込み、利用者のウェブブラウザ上で実行させる。
クロスサイトスクリプティング
-
クロスサイトスクリプティング(有害な文字列を利用者のウェブブラウザを介して脆弱なウェブサイトに送り込み、利用者のウェブブラウザ上で実行させる。)の対策
有害な入力を無害化するサニタイジングを行う。
-
ハッシュ関数の特徴
任意の長さのデータを入力すると固定長のビット列(ハッシュ値,メッセージダイジェスト)を返す関数で、次のような特徴を持っています。 ・入力データが同じであれば、常に同じメッセージダイジェストが生成される。 ・入力データが少しでも異なっていれば生成されるメッセージダイジェストは大きく異なったものになる。 ・メッセージダイジェストから元の入力データを再現することが困難である。 ・異なる入力データから同じメッセージダイジェストが生成される可能性が非常に低い。
-
入力データにHTMLタグが含まれていたらHTMLタグとして解釈されない他の文字列に置き換える。
エスケープ処理
-
データベースを取り出す。
SQL
-
脆弱性のあるウェブアプリケーションの入力領域に攻撃者が悪意のある問い合わせや操作を行う命令文を注入し管理者の意図していないSQL文を実行させる。
SQLインジェクション
-
SQLインジェクション(脆弱性のあるウェブアプリケーションの入力領域に攻撃者が悪意のある問い合わせや操作を行う命令文を注入し管理者の意図していないSQL文を実行させる。)対策
サニタイジング。WAF(アプリケーション専用のファイアウォール)
-
セッションIDを攻撃者が摂取して、成りすます。
セッションハイジャック
-
DNSサーバに偽のドメイン情報を注入して、偽装されたサーバに誘導
DNSキャッシュポイズニング
-
ドメイン名をIPアドレスにかえる
DNS
-
検索の上の方に悪意のある情報を
SEOポイズニング
-
送信元のIPアドレスを詐称
IPスプーリング
-
正規のアクセスポイントに成りすます
エビルツイン攻撃
-
攻撃者がパス名を使ってファイルを指定し管理者の意図していないファイルを不正に閲覧する攻撃。
ディレクトリトラバーサル
-
ディレクトリトラバーサル(攻撃者がパス名を使ってファイルを指定し管理者の意図していないファイルを不正に閲覧する攻撃。)対策
上位のディレクトリを指定する文字を含むときは受け付けない。
-
偽のウェブサイトに誘導し個人情報をだまし取る。
フィッシング
-
入力用のデータの領域を超えるサイズのデータを入力
バッファオーバーフロー
-
著名なサイトで悪のボタンを隠す。
クリックジャンキング
-
ウェブページなどに埋め込まれた小さな画像。利用者のアクセス動向などを収集するために埋め込まれている。
WEBビーコン
-
サイバー攻撃を行う情報収集
フットプリント
-
解放されている攻撃できそうなサービスがあるか調査する。
ポートスキャン
-
共通鍵暗号方式
共通の秘密鍵で暗号化、複合 DES、AES
-
公開鍵暗号方式
受信者のこうかいかぎで暗号化し、秘密鍵で復号 RSA、楕円
-
デジタル署名
送信者が本人であるかを受信者が確認。電子文書の内容が改ざんされていないことを受信者が確認できる。 送信者の秘密鍵で暗号化、送信者の公開鍵で復号
-
公開鍵暗号方式の一つ。ECCとも呼ばれる。RSA暗号よりも短い暗号かぎで同じ程度の安全性が得られるため、暗号化や復号にかかる自家案も短くなる。
楕円曲線暗号
-
デジタル証明書の有効期間内に失効させた証明書の一覧表。
CRL
-
認証局や公開鍵暗号方式、デジタル署名などの仕組みを使ってインターネット上で安全な通信ができるセキュリティ基盤。
PKI
-
共通鍵を用いてメッセージの内容が改ざんされていないことを確認する仕組み。
メッセージ認証
-
HTTPS
SSLの暗号通信をHTTPに実装したもの ① 電子証明書が改ざんされていないこと ② 電子証明書が認証局の発行審査を受けた会社のものであること
-
Webブラウザの通信内容を改ざんする攻撃をPC内で監視し,検出する
SSL/TLS
-
サーバのOSへの不正なログインを監視する。
HIDS(ホスト型IDS)
-
無線LANのセキュリティ規格
WPA2,3
-
ハイブリット方式
共通鍵で暗号化と復号、公開鍵で配布。
-
PCの起動時にOSやドライバの署名を確認することで、OS起動前のマルウェアの実行を防ぐ技術
セキュアブート
-
PCなどに組み込むセキュリティチップ。
TPM
-
プログラムによる自動入力を排除する技術。ゆがめたり一部を隠したりした画像からモゾを判読
CAPTCHA
-
通過するパケットのIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックすることで、Webアプリケーションに対する攻撃を検知し、遮断することが可能なファイアウォール
WAF
-
パケットのヘッダ情報で判断し、通信通過の可否を決定する方式。
パケットフィルタリング方式
-
外部からのアクセスをウェブサーバの代理で受けるサーバ。プロキシサーバはpcの代理。
リバースプロキシサーバ(ウェブサーバの代理)
-
内側アも外側も信用せずにすべてのデバイスや通信を検査し認証
ゼロトラスト
-
複数のセキュリティ機能を一台の筐体に統合した製品。
UTM
-
様々なシステムの動作ログを一元的に微積・管理しいち早く検知。
SIEM
-
システムをわざと攻撃してセキュリティホールや設定ミスの有無を確認。
ぺネストレーション
-
システムに問題を起こしそうなデータを多様なパターンで大量に入力して挙動を観察。 ソフトウェアの脆弱性を検出。
ファジング
-
サンドボックス(他に影響を与えない隔離された環境)上で検体を実際に動作させてその挙動を監視し、マルウェアの動作を解析すること
動的解析(ブラックボックス解析)
-
検体の実行可能形式ファイルを逆コンパイル(ソースコードに還元する処理)し、そのソースコードを直接読むことで、マルウェアがどのような動作をするか解析すること
静的解析(ホワイトボックス解析)
-
検体のハッシュ値を計算し,オンラインデータベースに登録された既知のマルウェアのハッシュ値のリストと照合してマルウェアを特定する
コンペア法
-
XML文書の一部分を暗号化するための規格
XML暗号
-
公開鍵暗号や認証の技術を利用してリモートコンピュータと安全に通信するためのアプリケーション層のプロトコルです。
SSH(Secure Shell)
-
通信の暗号化、ディジタル証明書を利用した改ざん検出、ノード認証を含む統合セキュアプロトコル。その名の通りOSI基本参照モデルのトランスポート層で動作する。
TLS (Transport Layer Security)
-
よく用いられるパスワードを一つ定め,文字を組み合わせた利用者IDを総当たりして,ログインを試行する。
リバースブルートフォース攻撃(逆総当たり攻撃)
-
パスワードの文字数の上限が小さいWebサイトに対して,攻撃対象とする利用者IDを一つ定め,文字を組み合わせたパスワードを総当たりして,ログインを試行する。
ブルートフォース攻撃(総当たり攻撃)
-
不正なSQL文をデータベースに送信しないよう,Webサーバに入力された文字列をプレースホルダに割り当ててSQL文を組み立てる仕組み
バインド機構
-
通信経路上を流れるパケットを盗聴して、その内容からパスワードの不正取得を試みる攻撃手法
スニッフィング
-
送信側のメールサーバで送信者を認証する仕組み
SMTP-AUTH
-
公開鍵暗号技術を使用して認証、改ざん検出、暗号化などの機能を電子メールソフトに提供するもの
S/MIME(Secure MIME)
-
隔離された仮想環境でファイルを実行して,C&Cサーバへの通信などの振る舞いを監視
サンドボックス技術
-
PPPなどのデータリンク層のフレームをカプセル化し、UDPおよびIPデータグラムに埋め込むことで、公衆ネットワーク上で伝達可能にするトンネリングプロトコル。暗号化の機能はないため必要に応じてIPsecと併用する必要がある。その名の通りOSI基本参照モデルの第2層のデータリンク層で動作する。
L2TP (Layer 2 Tunneling Protocol)
-
IP(Internet Protocol)を拡張してセキュリティを高めたプロトコルで、改ざんの検知、通信データの暗号化、送信元の認証などの機能をOSI基本参照モデルのネットワーク層レベル(TCP/IPモデルではIP層)で提供。認証を担うプロトコルがAH(Authentication Header)、認証と暗号化を担うプロトコルがESP(Encapsulated Security Payload)
IPsec(IP Security)
-
ネットワーク上の通信パケットを取得して通信内容を見るために設けられたスイッチのLANポート
ミラーポート
-
インターネットに公開されているサーバのTCPポートの中からアクティブになっているポートを探して,稼働中のサービスを特定するためのツール
ポートスキャナ
-
インターネット上で到達可能かつ未使用のIPアドレス空間のこと
DMZ
-
マルウェアへの感染などでボット化し、攻撃者の支配下におかれた状態にあるコンピュータ群
ボットネット
-
Webサーバ・メールサーバ・プロキシサーバなどのように、外部セグメント(インターネット)からアクセスされる可能性のある情報資源を設置するための、外部でも内部でもない中間的な位置に存在するセグメント
ダークネット
-
意図的に脆弱性を含めたダミーのシステムを用意し、おびき寄せた侵入者やマルウェアの挙動などを監視する仕組み
ハニーポット
-
電子政府推奨暗号の安全性を評価し,暗号技術の適切な実装法,運用法を調査,検討する
CRYPTREC
-
利用者ID,及びその利用者IDと同一の文字列であるパスワードの組みを次々に生成してログインを試行する
ジョーアカウント攻撃
-
リスクの重大性を評価するために目安とする条件
リスク基準
-
脅威によって付け込まれる可能性のある,資産又は管理策の弱点
脆弱性
-
あらかじめ設定した運用基準に従って,メールサーバを通過する送受信メールをフィルタリングすること
電子メールフィルタリング
-
サーバのOSやアプリケーションソフトウェアが生成したログやコマンド履歴などを解析して,ファイルサーバに保存されているファイルの改ざんを検知する
ログ分析
-
ネットワーク上を流れるパケットを収集し,そのプロトコルヘッダやペイロードを解析して,あらかじめ登録された攻撃パターンと一致した場合は不正アクセスと判断する
パターンマッチング
-
ネットワーク上の様々な通信機器を集中的に制御し,ネットワーク構成やセキュリティ設定などを変更する。
SDN(Software Defined Network)
-
悪意のあるスクリプトを埋め込んだWebページを訪問者に閲覧させて,別のWebサイトで,その訪問者が意図しない操作を行わせる攻撃
クロスサイトリクエストフォージェリ
-
マルウェアが侵入に成功したコンピュータ群(ボットネット)の動作を制御するために用いられる外部の指令サーバ
C&Cサーバ(コマンド・コントロール・サーバ)
-
自己の複製をネットワークや電子メール、またはUSBメモリなどの外部メディアに送り込み、他のコンピュータへの拡散動作を繰り返す性質を持つマルウェア
ワーム(Worm)
-
情報セキュリティマネジメントの付加的な要素で、利用者、プロセス、システム、情報などの対象が、主張のとおり本物であることが明確である特性のこと
真正性(Authenticity)
-
"意図する行動と結果が一貫しているという特性"と定義されています。
信頼性(Reliability)
-
主張された事象又は処理の発生,及びそれを引き起こしたエンティティを証明する能力"と定義されています。
否認防止(Non-Repudiation)
-
開発者が主体となりエラーの早期発見を目的としてプログラムのステップごとにシミュレーションを行いながら確認をしていくレビュー手法
ウォークスルー
-
ソフトウェアを実際に動かすことなく、仕様書やプログラムを人間の目で見て検証するレビュー手法
ソフトウェアインスペクション
-
退行テスト/回帰テストとも呼ばれ、システムに変更作業を実施した場合に、それによって以前まで正常に機能していた部分に不具合や影響が出ていないかを検証するテスト
リグレッションテスト
-
アメリカ合衆国の次世代暗号方式として規格化された共通鍵暗号方式
AES
-
事前の秘密情報の共有なしに暗号化鍵の共有を安全に行える鍵交換方式です。TLSなどで使用されています。
DH
-
離散対数問題を安全性の根拠とするElGamal署名を改良して開発された、ディジタル署名方式の一つ
DSA
-
非常に大きな数の素因数分解が困難なことを安全性の根拠としています。
RSA
-
IPアドレスの割当て方針の決定,DNSルートサーバの運用監視,DNS管理に関する調整などを世界規模で行う組織である。
ICANN(The Internet Corporation for Assigned Names and Numbers,アイキャン)
-
インターネットに関する技術文書を作成し,標準化のための検討を行う組織である。
IETF(Internet Engineering Task Force)
-
情報技術を利用し,宗教的又は政治的な目標を達成するという目的をもつ者や組織の総称である。
ハクティビスト(Hacktivist)
-
メールを送信しようとしてきたメールサーバのIPアドレス情報を検証することで、正規のサーバからのメール送信であるかどうか確認することができる技術
SPF(Sender Policy Framework)
-
電子メールを転送するプロトコルで通信に使用するのは
TCP/25ポート
-
