-
情報セキュリティの概念情報資産を守るための考え方
-
機密性許可された人のみがアクセスできる
-
完全性改ざんされていないこと
-
可用性必要な時に使えること
-
真正性(しんせいせい)信用できること
-
責任追跡性行動記録(ログ管理、監査証跡など)を取っておく
-
否認防止否定できないようにする
-
信頼性安定して動くこと
例)稼働し続ける、正しい結果が返ってくる -
多層防御セキュリティ対策を複数行うこと
-
セキュリティバイデザイン
(セキュアバイデザイン)設計の時からセキュリティ対策を考えること
例)脆弱性を生みにくいデザイン、不要な機能を作らない -
プライバシーデザイン設計の時からプライバシー保護の方法を考えること
-
情報資産情報・機器・人
-
脅威害を与える原因と状況
-
リスク害が起こる可能性と起きた時の被害の大きさ
-
脆弱性悪用される可能性のある弱点
例)設定ミス、人的ミス、セキュリティホール -
サイバー攻撃ITを使って攻撃すること
-
事故(インシデント)想定外の出来事
例)システム障害、データ消失、漏洩、改ざん -
クラッキング悪意を持って他人のデータにアクセスしたり、
破壊したり、改ざんすること -
BEC(Business Email Compromise)ビジネスメール詐欺
従業員をだまして送金させる -
ソーシャルエンジニアリング人をだまして情報を得る
例)肩越しに覗き見る(ショルダーハッキング)、
ごみ箱をあさる(トラッシング)、なりすまし電話 -
過失不注意で起こるミス
-
誤謬(ごびゅう)認識が違うこと
-
踏み台乗っ取られ、攻撃者の中継地点にされる機器
-
AIに対する脅威AIの信頼性を損ねることをすること
例)サイバー攻撃、データの不正アクセスや
改ざん、誤学習 -
マルウェア悪意あるソフトウェアの総称
-
コンピュータウイルス悪意あるソフトウェア
自己増殖する、ほかのファイルやプログラムに感染する -
マクロウイルスマクロを悪用して感染するウイルス
-
ワーム自分で増えてほかのPCにも感染させるマルウェア
-
ボット攻撃者に乗っ取られたPCが攻撃者の命令で自動実行されるプログラム
-
ボットネット乗っ取られたPCの集まり
DDos攻撃やスパム送信などに使われる -
RAT(Remote Access Tool)攻撃者がリモートでPCを自由に操作できてしまう悪意あるソフトウェア
-
C&Cサーバー乗っ取った複数のPCに指令を送って一括で操作することができるサーバ
-
トロイの木馬無害に見えるけど実際は裏で悪い動作をしているマルウェア
自己増殖しない -
スパイウェアこっそり情報を盗み取り外部へ送信するマルウェア
例)閲覧履歴、ID・パスワード、スクリーンショットを勝手にとる、キーボード入力 -
ランサムウェアデータを勝手に暗号化し、元に戻してほしければお金を要求するマルウェア
-
キーロガーキーボードの入力内容を記録し、
攻撃者へ送るスパイウェアのこと -
ルートキットマルウェアや権限の強いユーザーを作成し痕跡を隠してしまうソフトウェア
-
バックドア再侵入しやすくする裏口のこと
-
ファイルレスマルウェアファイルを保存せず正規機能を悪用するマルウェア
例)PowerShall、マクロ -
セキュリティホール攻撃に悪用される可能性がある弱点
-
バグソフトの誤作動を起こす不具合
-
楕円曲線暗号(ECC)公開鍵暗号方式で使われ短いカギで安全性が高い暗号方式
-
スニッフィング通信中のデータを盗み見ること
-
状況的犯罪予防犯罪をしにくい状態を作って防ぐ方法
-
割れ窓理論小さな問題を放置するとより大きな問題や犯罪につながるという理論
-
犯罪環境設計犯罪がしづらい街づくりをすること
-
ボットハーダー複数のボットを遠隔から操作する攻撃者
-
二重脅迫(ダブルエクストーション)暗号化とデータの公開を脅しお金を要求すること
-
ハクティビズム政治・社会的目的のためクラッキングすること
-
リークサイト盗んだデータの公開・販売・脅迫用のサイト
-
サイバーキルチェーンサイバー犯罪の手法を7段階に整理したモデル
偵察→武器化→配送→悪用→インストール→遠隔操作→目的達成 -
武器化攻撃に使うものを準備
-
悪用攻撃開始
-
インストールほかのマルウェアをインストールさせる
-
クロスサイトスクリプティングwebサイトに悪意あるスクリプトを埋め込みそのページを閲覧したユーザのブラウザで実行させ情報を抜き取る攻撃
-
クロスサイトリクエストフォージェリクッキーを悪用して本人に成りすまし、勝手に操作される攻撃
-
cookieログイン状態の維持や設定が保存されている
-
ディレクトリトラバーサルwebアプリのアクセスできないファイルにアクセスする攻撃
-
中間者攻撃(Man in the middle)通信中のデータを盗聴したり改ざんしたりする攻撃
-
MITB攻撃(Man in the browser)自分のブラウザ(googleなど)が感染しており、
通信内容が書き換えられてしまう攻撃 -
第三者中継(オープンリレー)誰でも使えてしまう危険なメールサーバー
-
IPスプーフィング安全なIPアドレスに成りすまし通信を行う攻撃手法
-
セッションハイジャックセッションIDを盗み、その人に成りすましてサービスを利用する攻撃
-
リプレイ攻撃正しい通信データ(ログインしたときの通信データなど)を保存しておき、後でその通信データを使い不正アクセスする攻撃
-
APT長期間しつこく攻撃すること
-
SEOポイズニングサイトの検索結果上位に悪意あるサイトを表示させる攻撃
-
サービスおよびソフトウェアの機能の悪用想定外の使い方をし攻撃すること
-
ディープフェイクAIを使って偽の映像や音声を作ること
-
敵対的サンプル(Adversarial Examples)AIをだますために作られた偽装データのこと
例)猫の画像にノイズ加工を加えることでAIには犬と認識させる -
プロンプトインジェクション正しい指示の中に悪い命令を混ぜてAIをだます攻撃
-
フットプリンティング攻撃対象の情報を集めること
-
ポートスキャン特定のポートが開いている(通信受付中)か確認すること
-
RaaS(Ransomware as a Service)ランサムウェアをサービスとして提供している
-
ラテラルムーブメントネットワークに侵入後ほかの端末などに侵入を進めること
-
CRYPTREC暗号リスト推奨される暗号化アルゴリズムの一覧
-
共通鍵暗号方式送受信者で共通の鍵を使用する暗号方式
-
公開鍵暗号方式公開鍵と秘密鍵を使う暗号方式
-
AES共通鍵暗号方式で使われる高速な暗号方式
電子データを安全に送受信する際に使われる -
RSA暗号公開鍵暗号方式で使われる暗号方式
インターネット上での安全な通信や電子商取引に広く利用される -
ストレージ暗号データを保存するときに暗号化する仕組み
共通鍵暗号方式が使われる -
危殆化(きたいか)セキュリティ対策が古くなってしまい安全性が低くなること
-
デジタル署名なりすましの防止とデータが改ざんされていないかを確認することができる
送信者の秘密鍵で署名する -
タイムスタンプ(時刻認証)作られた時点のままの内容で変更されていないことを確認することができる
-
メッセージダイジェストデータをハッシュ関数で要約し、その値(ハッシュ値)で改ざんを検知する
-
MAC(メッセージ認証符号)通信の改ざんを検知し、送信元が正しいことも保証する
共通鍵暗号方式が使われる -
PINコード端末認証用にユーザが設定した短い番号
-
パスワードレス認証パスワードを使わずに本人認証する認証方式の総称
例)生体認証、ワンタイムパスワード、PINなど -
FIDOパスワードレス認証の国際標準規格
-
EMV3-Dセキュアオンライン決済を安全に使うための本人認証方式
-
パスワードリマインダー自分が設定した秘密の質問を使ってパスワードを思い出させたり、再設定させる仕組み
-
eKYC本人確認書類や本人の顔写真などをスマホで撮影し、オンラインで本人確認を行う仕組み
-
本人拒否率(FRR)本人ではないと認証しない確率
-
他人受入率(FAR)他人を誤って認証してしまう確率
-
FRR↑FAR↓利便性は悪いが安全性は高い
-
FRR↓FAR↑不正アクセスの危険性が高い
-
PKI公開鍵暗号方式を安全に運用するための仕組み
-
デジタル証明書(公開鍵証明書)認証局が本人であることを保証する電子証明書
-
ルート証明書(=トラストアンカー)最上位の認証局(ルートCA)自身を証明する最上位の証明書
-
中間CA証明書ルートCAが発行する、中間CAの信頼性を証明する証明書
-
サーバー証明書不正なサーバーではないことを証明し、
通信を安全にするための証明書 -
クライアント証明書ユーザーやデバイスがアクセスを許可されていることを証明する
-
CRL(証明書失効リスト)使用できなくなった公開鍵の一覧
ログイン
オンライン単語帳
このページを利用するにはログインする必要があります。ログインするとAnkilotをより便利にご利用いただけます。