-
リスクを洗い出す。リスク特定
-
リスクの大きさ(リスクレベル)を算定する。リスク分析
-
発生した場合の損失額と発生確率で表現されるリスクの大きさリスクレベル
-
リスクの大きさとリスク受容基準を比較して、リスク対策の必要性を判断し、リスクの優先順位をつける。リスク評価
-
パスワードクラック(辞書、ブルートフォース(総当たり)、パスワードリスト)対策パスワード入力回数に制限をかける。パスワードを使いまわさない
-
特定のサーバから大量にパケットを送り付ける。DoS
-
複数のサーバから想定以上の負荷を与える。DDoS(
-
DoS(特定のサーバから大量にパケットを送り付ける。)、DDoS(複数のサーバから想定以上の負荷を与える。)の対策IDS、IPSを導入。
-
有害な文字列を利用者のウェブブラウザを介して脆弱なウェブサイトに送り込み、利用者のウェブブラウザ上で実行させる。クロスサイトスクリプティング
-
クロスサイトスクリプティング(有害な文字列を利用者のウェブブラウザを介して脆弱なウェブサイトに送り込み、利用者のウェブブラウザ上で実行させる。)の対策有害な入力を無害化するサニタイジングを行う。
-
ハッシュ関数の特徴任意の長さのデータを入力すると固定長のビット列(ハッシュ値,メッセージダイジェスト)を返す関数で、次のような特徴を持っています。 ・入力データが同じであれば、常に同じメッセージダイジェストが生成される。 ・入力データが少しでも異なっていれば生成されるメッセージダイジェストは大きく異なったものになる。 ・メッセージダイジェストから元の入力データを再現することが困難である。 ・異なる入力データから同じメッセージダイジェストが生成される可能性が非常に低い。
-
入力データにHTMLタグが含まれていたらHTMLタグとして解釈されない他の文字列に置き換える。エスケープ処理
-
データベースを取り出す。SQL
-
脆弱性のあるウェブアプリケーションの入力領域に攻撃者が悪意のある問い合わせや操作を行う命令文を注入し管理者の意図していないSQL文を実行させる。SQLインジェクション
-
SQLインジェクション(脆弱性のあるウェブアプリケーションの入力領域に攻撃者が悪意のある問い合わせや操作を行う命令文を注入し管理者の意図していないSQL文を実行させる。)対策サニタイジング。WAF(アプリケーション専用のファイアウォール)
-
セッションIDを攻撃者が摂取して、成りすます。セッションハイジャック
-
DNSサーバに偽のドメイン情報を注入して、偽装されたサーバに誘導DNSキャッシュポイズニング
-
ドメイン名をIPアドレスにかえるDNS
-
検索の上の方に悪意のある情報をSEOポイズニング
-
送信元のIPアドレスを詐称IPスプーリング
-
正規のアクセスポイントに成りすますエビルツイン攻撃
-
攻撃者がパス名を使ってファイルを指定し管理者の意図していないファイルを不正に閲覧する攻撃。ディレクトリトラバーサル
-
ディレクトリトラバーサル(攻撃者がパス名を使ってファイルを指定し管理者の意図していないファイルを不正に閲覧する攻撃。)対策上位のディレクトリを指定する文字を含むときは受け付けない。
-
偽のウェブサイトに誘導し個人情報をだまし取る。フィッシング
-
入力用のデータの領域を超えるサイズのデータを入力バッファオーバーフロー
-
著名なサイトで悪のボタンを隠す。クリックジャンキング
-
ウェブページなどに埋め込まれた小さな画像。利用者のアクセス動向などを収集するために埋め込まれている。WEBビーコン
-
サイバー攻撃を行う情報収集フットプリント
-
解放されている攻撃できそうなサービスがあるか調査する。ポートスキャン
-
共通鍵暗号方式共通の秘密鍵で暗号化、複合 DES、AES
-
公開鍵暗号方式受信者のこうかいかぎで暗号化し、秘密鍵で復号 RSA、楕円
-
デジタル署名送信者が本人であるかを受信者が確認。電子文書の内容が改ざんされていないことを受信者が確認できる。 送信者の秘密鍵で暗号化、送信者の公開鍵で復号
-
公開鍵暗号方式の一つ。ECCとも呼ばれる。RSA暗号よりも短い暗号かぎで同じ程度の安全性が得られるため、暗号化や復号にかかる自家案も短くなる。楕円曲線暗号
-
デジタル証明書の有効期間内に失効させた証明書の一覧表。CRL
-
認証局や公開鍵暗号方式、デジタル署名などの仕組みを使ってインターネット上で安全な通信ができるセキュリティ基盤。PKI
-
共通鍵を用いてメッセージの内容が改ざんされていないことを確認する仕組み。メッセージ認証
-
HTTPSSSLの暗号通信をHTTPに実装したもの ① 電子証明書が改ざんされていないこと ② 電子証明書が認証局の発行審査を受けた会社のものであること
-
Webブラウザの通信内容を改ざんする攻撃をPC内で監視し,検出するSSL/TLS
-
サーバのOSへの不正なログインを監視する。HIDS(ホスト型IDS)
-
無線LANのセキュリティ規格WPA2,3
-
ハイブリット方式共通鍵で暗号化と復号、公開鍵で配布。
-
PCの起動時にOSやドライバの署名を確認することで、OS起動前のマルウェアの実行を防ぐ技術セキュアブート
-
PCなどに組み込むセキュリティチップ。TPM
-
プログラムによる自動入力を排除する技術。ゆがめたり一部を隠したりした画像からモゾを判読CAPTCHA
-
通過するパケットのIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックすることで、Webアプリケーションに対する攻撃を検知し、遮断することが可能なファイアウォールWAF
-
パケットのヘッダ情報で判断し、通信通過の可否を決定する方式。パケットフィルタリング方式
-
外部からのアクセスをウェブサーバの代理で受けるサーバ。プロキシサーバはpcの代理。リバースプロキシサーバ(ウェブサーバの代理)
-
内側アも外側も信用せずにすべてのデバイスや通信を検査し認証ゼロトラスト
-
複数のセキュリティ機能を一台の筐体に統合した製品。UTM
-
様々なシステムの動作ログを一元的に微積・管理しいち早く検知。SIEM
-
システムをわざと攻撃してセキュリティホールや設定ミスの有無を確認。ぺネストレーション
-
システムに問題を起こしそうなデータを多様なパターンで大量に入力して挙動を観察。 ソフトウェアの脆弱性を検出。ファジング
-
サンドボックス(他に影響を与えない隔離された環境)上で検体を実際に動作させてその挙動を監視し、マルウェアの動作を解析すること動的解析(ブラックボックス解析)
-
検体の実行可能形式ファイルを逆コンパイル(ソースコードに還元する処理)し、そのソースコードを直接読むことで、マルウェアがどのような動作をするか解析すること静的解析(ホワイトボックス解析)
-
検体のハッシュ値を計算し,オンラインデータベースに登録された既知のマルウェアのハッシュ値のリストと照合してマルウェアを特定するコンペア法
-
XML文書の一部分を暗号化するための規格XML暗号
-
公開鍵暗号や認証の技術を利用してリモートコンピュータと安全に通信するためのアプリケーション層のプロトコルです。SSH(Secure Shell)
-
通信の暗号化、ディジタル証明書を利用した改ざん検出、ノード認証を含む統合セキュアプロトコル。その名の通りOSI基本参照モデルのトランスポート層で動作する。TLS (Transport Layer Security)
-
よく用いられるパスワードを一つ定め,文字を組み合わせた利用者IDを総当たりして,ログインを試行する。リバースブルートフォース攻撃(逆総当たり攻撃)
-
パスワードの文字数の上限が小さいWebサイトに対して,攻撃対象とする利用者IDを一つ定め,文字を組み合わせたパスワードを総当たりして,ログインを試行する。ブルートフォース攻撃(総当たり攻撃)
-
不正なSQL文をデータベースに送信しないよう,Webサーバに入力された文字列をプレースホルダに割り当ててSQL文を組み立てる仕組みバインド機構
-
通信経路上を流れるパケットを盗聴して、その内容からパスワードの不正取得を試みる攻撃手法スニッフィング
-
送信側のメールサーバで送信者を認証する仕組みSMTP-AUTH
-
公開鍵暗号技術を使用して認証、改ざん検出、暗号化などの機能を電子メールソフトに提供するものS/MIME(Secure MIME)
-
隔離された仮想環境でファイルを実行して,C&Cサーバへの通信などの振る舞いを監視サンドボックス技術
-
PPPなどのデータリンク層のフレームをカプセル化し、UDPおよびIPデータグラムに埋め込むことで、公衆ネットワーク上で伝達可能にするトンネリングプロトコル。暗号化の機能はないため必要に応じてIPsecと併用する必要がある。その名の通りOSI基本参照モデルの第2層のデータリンク層で動作する。L2TP (Layer 2 Tunneling Protocol)
-
IP(Internet Protocol)を拡張してセキュリティを高めたプロトコルで、改ざんの検知、通信データの暗号化、送信元の認証などの機能をOSI基本参照モデルのネットワーク層レベル(TCP/IPモデルではIP層)で提供。認証を担うプロトコルがAH(Authentication Header)、認証と暗号化を担うプロトコルがESP(Encapsulated Security Payload)IPsec(IP Security)
-
ネットワーク上の通信パケットを取得して通信内容を見るために設けられたスイッチのLANポートミラーポート
-
インターネットに公開されているサーバのTCPポートの中からアクティブになっているポートを探して,稼働中のサービスを特定するためのツールポートスキャナ
-
インターネット上で到達可能かつ未使用のIPアドレス空間のことDMZ
-
マルウェアへの感染などでボット化し、攻撃者の支配下におかれた状態にあるコンピュータ群ボットネット
-
Webサーバ・メールサーバ・プロキシサーバなどのように、外部セグメント(インターネット)からアクセスされる可能性のある情報資源を設置するための、外部でも内部でもない中間的な位置に存在するセグメントダークネット
-
意図的に脆弱性を含めたダミーのシステムを用意し、おびき寄せた侵入者やマルウェアの挙動などを監視する仕組みハニーポット
-
電子政府推奨暗号の安全性を評価し,暗号技術の適切な実装法,運用法を調査,検討するCRYPTREC
-
利用者ID,及びその利用者IDと同一の文字列であるパスワードの組みを次々に生成してログインを試行するジョーアカウント攻撃
-
リスクの重大性を評価するために目安とする条件リスク基準
-
脅威によって付け込まれる可能性のある,資産又は管理策の弱点脆弱性
-
あらかじめ設定した運用基準に従って,メールサーバを通過する送受信メールをフィルタリングすること電子メールフィルタリング
-
サーバのOSやアプリケーションソフトウェアが生成したログやコマンド履歴などを解析して,ファイルサーバに保存されているファイルの改ざんを検知するログ分析
-
ネットワーク上を流れるパケットを収集し,そのプロトコルヘッダやペイロードを解析して,あらかじめ登録された攻撃パターンと一致した場合は不正アクセスと判断するパターンマッチング
-
ネットワーク上の様々な通信機器を集中的に制御し,ネットワーク構成やセキュリティ設定などを変更する。SDN(Software Defined Network)
-
悪意のあるスクリプトを埋め込んだWebページを訪問者に閲覧させて,別のWebサイトで,その訪問者が意図しない操作を行わせる攻撃クロスサイトリクエストフォージェリ
-
マルウェアが侵入に成功したコンピュータ群(ボットネット)の動作を制御するために用いられる外部の指令サーバC&Cサーバ(コマンド・コントロール・サーバ)
-
自己の複製をネットワークや電子メール、またはUSBメモリなどの外部メディアに送り込み、他のコンピュータへの拡散動作を繰り返す性質を持つマルウェアワーム(Worm)
-
情報セキュリティマネジメントの付加的な要素で、利用者、プロセス、システム、情報などの対象が、主張のとおり本物であることが明確である特性のこと真正性(Authenticity)
-
"意図する行動と結果が一貫しているという特性"と定義されています。信頼性(Reliability)
-
主張された事象又は処理の発生,及びそれを引き起こしたエンティティを証明する能力"と定義されています。否認防止(Non-Repudiation)
-
開発者が主体となりエラーの早期発見を目的としてプログラムのステップごとにシミュレーションを行いながら確認をしていくレビュー手法ウォークスルー
-
ソフトウェアを実際に動かすことなく、仕様書やプログラムを人間の目で見て検証するレビュー手法ソフトウェアインスペクション
-
退行テスト/回帰テストとも呼ばれ、システムに変更作業を実施した場合に、それによって以前まで正常に機能していた部分に不具合や影響が出ていないかを検証するテストリグレッションテスト
-
アメリカ合衆国の次世代暗号方式として規格化された共通鍵暗号方式AES
-
事前の秘密情報の共有なしに暗号化鍵の共有を安全に行える鍵交換方式です。TLSなどで使用されています。DH
-
離散対数問題を安全性の根拠とするElGamal署名を改良して開発された、ディジタル署名方式の一つDSA
-
非常に大きな数の素因数分解が困難なことを安全性の根拠としています。RSA
-
IPアドレスの割当て方針の決定,DNSルートサーバの運用監視,DNS管理に関する調整などを世界規模で行う組織である。ICANN(The Internet Corporation for Assigned Names and Numbers,アイキャン)
-
インターネットに関する技術文書を作成し,標準化のための検討を行う組織である。IETF(Internet Engineering Task Force)
-
情報技術を利用し,宗教的又は政治的な目標を達成するという目的をもつ者や組織の総称である。ハクティビスト(Hacktivist)
-
メールを送信しようとしてきたメールサーバのIPアドレス情報を検証することで、正規のサーバからのメール送信であるかどうか確認することができる技術SPF(Sender Policy Framework)
-
電子メールを転送するプロトコルで通信に使用するのはTCP/25ポート
ログイン
オンライン単語帳
このページを利用するにはログインする必要があります。ログインするとAnkilotをより便利にご利用いただけます。