-
暗号化
重要な意味を持つ本書の姿をある規則で変換し、一見意味のない文字列などで表現したもの
-
共通鍵暗号方式
平文を暗号化するのと複合化するので同一のキーを用いる。送信者と受信者は同じキー(共通鍵)を持つ。通信相手が増えるごとに管理する鍵の数が増える(n(n-1)/2)
-
ブロック暗号
平文を一定の長さのブロックに分割し、それぞれを暗号化する。DES,AES,FEAL
-
公開鍵暗号方式
暗号化鍵(公開鍵)は広く一般に公開。複合鍵は受信者のみが管理。複合鍵(秘密鍵)の数は2nで少なくすむが、複合の時間はかかる
-
RSA
公開鍵暗号の実装方式の一つ。大きな数値の素因数分解に膨大な時間がかかることを安全の根拠とする暗号化方式
-
ハイブリッド方式
公開鍵暗号方式と共通鍵暗号方式を組み合わせたもの
-
WEP
Wired Equivalent Privacy:初期の無線LANセキュリティ規格。パケットごとに異なるIVにアクセスポイントごとに設定された40ビットまたは104ビットのWEPキーを連結したもの
-
WPA
Wi-Fi Protected Access:WEPの脆弱性を解決するために Wi-Fi Alliance が策定した無線LANのセキュリティ規格。
-
WPA2
WPAの後継。CCMPを採用している
-
パーソナルモード
PSK認証と呼ばれる認証方式が使われる。事前鍵共有方式で、アクセスポイントとクライアントに設定した8~63文字のパスフレーズ(PSK)とSSIDによって認証を行う
-
エンタープライズモード
主に企業のような大規模環境での使用を想定したモード。認証にはIEEE 802.1X規格を利用
-
IEEE 802.1 Xの構成3要素
サプリカント、オーセンティケータ、認証サーバ
-
サプリカント
認証を要求するクライアント
-
オーセンティケータ
認証要求を受け付ける機器(アクセスポイント)
-
アクセスコントロール
利用者の識別、認証、権限管理を行うこと
-
認証
コンピュータシステムを利用する個人が、本当に利用する権限を保持しているか否かを確認するための行為
-
固定式パスワード方式
利用者IDとそれに対応するパスワードによって認証する
-
設定できるパスワードの理論的な総数(使用可能な文字の種類の数:M、パスワードの文字数:n)
M^n
-
チャレンジレスポンス認証の3段階の手順
クライアントがユーザIDを送信する→サーバはチャレンジコードをクライアントに送信→クライアントはハッシュ値をサーバに送信
-
スニッフィング
ネットワーク上を流れるデータを不正に取得し解読する行為
-
ハッシュ関数
あるデータを元に一定長の疑似乱数を生成する計算手順
-
S/KEY方式
チャレンジコードとしてシードと呼ばれるキーと、シーケンス番号の二つのデータを用いる認証手順
-
シングルサインオン
ユーザ認証を一度行うことで、許可された複数のサーバへのアクセスについても認証する技術
-
Cookie型
サーバ認証のための情報を生成してクライアントに送信し、クライアントはこれを保存し、他のサーバへはこの認証情報を自動的に送ることで認証ができる仕組み
-
リバースプロシキ型
リバースプロシキサーバを通じてほかのサーバに接続する
-
SAML型
アプリケーション連携を行うためのXMLの仕様
-
バイオメトリクス認証
個々人ごとに異なる身体的・行動的特徴を利用して本人認証を行う技術
-
リスクベース認証
普段とは異なる環境からの認証要求に対して追加の認証を行う
-
Kerberos方式
最初にID,パスワードで認証を行い、以降はチケットを使って認証
-
2要素認証
知識、所有、特徴の三つから二つを組み合わせた認証
-
CAPTCHA認証
画像をゆがめたりしたものから文字を判読させ、人間以外による自動入力を排除する方法
-
PPP
電話回線で二点間の通信を行うためのデータリンク層のプロトコルで、NCPとLCPに分類でkる
-
NCP
上位プロトコル(IPやIPX)に対応した接続モジュールを使ってネットワーク層プロトコルの設定をネゴシエーションする
-
LCP
認証や暗号化の有無などを相手ノードとネゴシエーションする
-
PAP
Password Authentication Protocol:PPPで利用される最も基本的な認証プロトコルdr、平文のまま認証データを送信する
-
CHAP
Challenge Handshake Authentication Protocol:チャレンジレスポンス認証を値要して暗号化された認証データを送信する
-
RADIUS
Remote Authentication Dial-In User Service:アクセスサーバと認証サーバを分離することでリモートアクセスにおける脆弱性を緩和
-
デジタル署名
平文に対して秘密鍵を適用してデジタル署名を作り、平文とともに受信者に送付する
-
PKI
公開鍵基盤:公開鍵が本人と結びつけられた政党なものであることを第三者機関の介入により効率的に証明する
-
CA
認証局:第三者機関であり、デジタル証明書を発行する
-
CP
Certificate Policy:証明書ポリシ。証明書の目的や利用用途を定めている
-
CPS
CAの認証業務の運用などに関する詳細を定めている
-
CRL
有効期限内に何らかの理由で失効させられたデジタル証明書のリスト
-
OCSP
Online Certificate Status Protocol:デジタル証明書が失効しているかどうかをオンラインでリアルタイムに確認するためのプロトコル
-
SSL/TLS
通信の暗号化、改ざん検出、さーばの認証を行うことができるセキュアプロトコル
-
ハンドシェイク
サーバを認証して、暗号化鍵を作るためのステップ。
-
TLSハンドシェイクの目的(3つ)
サーバの認証、利用する暗号アルゴリズムとプロトコルバージョンを決める、暗号化鍵を作り共有する
-
MAC
Message Authentication Code:メッセージ認証符号。TLSのデータ送信で付加される
-
DV証明書
ドメイン認証型証明書。ドメインの真正性、使用権が確認できれば、発行される証明書
-
OV証明書
企業認証型証明書、組織の法的実在性を確認しないと発行されない証明書
-
EV証明書
EV SSL証明書。最も厳格なプロセスを経て発効される証明書
-
ファイアウォール
インターネットなどのリモートネットワークと社内LANなどのローカルネットワークの境界線に設置し、不正なデータの通貨を阻止するもの
-
DMZ
公開サーバなぢ外部からアクセスされる可能性のある情報資源を設置
-
パケットフィルタリング型
IPアドレスやポート番号を検査
-
アプリケーションゲートウェイ型
アプリケーション層の内容までを検査
-
プロキシサーバ
アプリケーションゲートウェイ型ファイアウォールのうち、特にhttpを扱うもの。クライアントかたインターネット上のWebサーバへのアクセス要求を中継する。
-
WAF
Web Application Firewall:Webアプリケーションのやり取りを監視し、アプリケーションレベルの不正なアクセスを阻止するファイアウォール
-
ホワイトリスト方式
正常な通信パターンの一覧を用いて、ホワイトリストと適合する通信のみを通過
-
ブラックリスト方式
ブラックリストと一致するものを遮断
-
IDS
Intrusion Detection System:侵入検知システム。
-
NIDS
ネットワーク型のIDS。管理下のネットワークを監視し、不正なパケットが通過した場合、または通信料が通常とは異なる異常値を示した場合にそれを検知して通知
-
HISD
ホスト型IDSホストにインストールして、そのホストのみを監視する
-
IPS
侵入防止システム不正パケットの検出だけでなく、通信の遮断も行う
-
ハニーポット
ダミーとして使われるサーバやネットワーク機器の総称
-
不正検知方法(2つ)
シグネチャ方式、アノマリー方式
-
シグネチャ方式
データベース化された既知の攻撃パターンと通信パケットとのパターンマッチングによって、不正なパケットを検出
-
アノマリー方式
正常なパターンを定義し、それに反するものをすべて異常とする
-
VPN
Virtuak Private Network:仮想専用線。インターネットを専用線のように使う技術
-
トランスポートモード
通信を行う端末が直接データの暗号化を行う。ペイロードのみの暗号化
-
トンネルモード
VPNゲートウェイを拠点において、その間の通信を暗号化する
-
MPLS
VPNの構築に使われる。ラベルと呼ばれる識別子を挿入することで、IPアドレスに依存しないルーティングを実現するパケット転送技術
-
L2TP
VPNを構築するために用いられるデータリンク層のトンネリングプロトコル
-
IPsec
VPN構築で利用されるネットワーク層のセキュリティプロトコル。IPレベルで暗号化や認証改ざんの検出を行う
-
認証ヘッダ(AH)
認証のみを行う
-
暗号ペイロード(ESP)
認証と暗号化を行う
-
IKE
IPsecでは通信を開始する前に、暗号化方式の決定と鍵交換を行う
-
情報セキュリティの三つの特性
機密性、完全性、可用性
-
機密性
認可されていない個人、エンティティ、プロセスに対して、情報を使用させず開示しない特性
-
完全性
正確さおよび完全さの特性
-
可用性
認可されたエンティティが要求したときに、アクセスおよび使用が可能である特性
-
DLP
データそのものを守るもので、特定の重要情報を監視して、利用者によるコピーや送信などの挙動を検知し、ブロックする
-
マルウェア
有害なソフトウェアの総称
-
ワーム
独自に活動し、ネットワークを伝わってほかのコンピュータに感染
-
トロイの木馬
通常は有用なプログラムとして機能するが、きっかけが与えられると不正な行為を行う
-
スパイウェア
個人情報やアクセス履歴などを収集
-
ルートキット
侵入の痕跡が残る各種ログの消去、悪意のある用途に使っている@うろセスの隠ぺい、バックドアの作成といった目的を達成するためのソフトウェアをパッケージ化したもの
-
ランサムウェア
身代金とソフトウェアを組み合わせた造語。システムなどを暗号化でロックし、回復のための金銭を要求する
-
キーロガー
キーボード上の操作をログとして記録
-
エクスプロイットキット
OSやソフトウェアの脆弱性を攻撃するために作成されたプログラム
-
セキュリティパッチ
セキュリティホールがあった場合に、開発元から配布される修正プログラム
-
マルウェア検出法三つ
コンペア法、チェックサム法、ビヘイビア法
-
チェックサム法
マルウェアに感染していないことを保証する情報をあらかじめ検査対象に付加して起き、検査時に不整合があればマルウェアとして検出する
-
ビヘイビア法
検査対象を仮想環境内(サンドボックス)で実行してその挙動を監視し、マルウェアによくみられる行動を起こせば、マルウェアと検知する方法
-
パスワードクラック
第三者のパスワードを不正に割り出すこと
-
辞書攻撃
辞書にある単語を片っ端から入力
-
ブルートフォース攻撃
総当たり攻撃。文字を組み合わせてあらゆるパスワードでログイン
-
パスワードリスト攻撃
インターネットサービス利用者の多くが複数サイトで同一の利用者IDとパスワードを使いまわしている状況に目を付けた攻撃
-
レインボー攻撃
膨大な数のパスワード候補と、それに対するハッシュ値の対応表を事前に作成
-
第8章の中で知らない単語をまとめたものです