SMTP-AUTH
→メールを送信する際、IDとPW認証を導入したもの。昔はPOPの認証に頼っていたが、送信時のSMTPでも導入する経緯があった。
587ポートがこれを導入したもの。驚きである。
https://wa3.i-3-i.info/word1134.html
SOA
コンテンツを複数の独立したサービスで構成すること。
例えば、Webページというコンテンツを無理やり1つのコードで作るのではなく、ログイン処理、決済、コメント機能など、機能毎に独立したサービスを組み合わせて構築すること。これにより管理がしやすくなる。
オブジェクト指向に似ている概念かもしれない。
MTBF・MTTR
平均故障間隔・平均修理時間
どちらも単位は時間。
単純に『故障するまでの時間』と『修理にかかる時間』である。
例えば1000時間稼働して1時間故障して修理、また1000時間稼働する機器があるとする。
この機器のMTBFは1000時間、MTTRは1時間である。
余談として、MTBFは信頼性(どれだけ動くか)、MTTRは保守性(すぐ復旧できるか)、稼働率は可用性(使いたい時に使えるか)を測る指標になる。
例え1000時間稼働する信頼性の高い機器でも、故障すれば1万時間動かない機器かもしれない。
稼働率99%の可用性が高い機器でも、1日動いて15分止まるような機器かもしれない。
https://xtech.nikkei.com/it/article/COLUMN/20060920/248547/
EVM
金で進捗を測る方法。
縦軸が金、横が日付
PV:利用金額の計画
AC:実際に消費した金
EV:出来た完成品の価値(金)
例えば、30日で1000万で売れるプログラムを作るとする。15日で500万で売れるプログラムが作れているのが理想。
つまり、X軸の半分15日目は、PVのYの値は500となっている。
これに対し、ACはPVのY値が400なら予算より金を抑えられている状況。
良かったと思うのもつかの間。EVは200だった。つまり、400万も使っておいて、出来たプログラムは200万程度のゴミということ。
つまり、ACがPVより上で、EVがPVより下なのが最悪。予定よりゴミな成果物に予定より多額の金を使っているため。
IPスプーフィング・リフレクション攻撃・Smurf攻撃
攻撃者だけがIPを偽って公開サーバに通信するのがスプーフィング(偽装)
これを応用し、ボットネットを利用して大量に通信を送るDDosがリフレクション(反射)
スプーフィングは偽装という意味。
IPアドレスを偽装するからIPスプーフィング。
GPSの位置情報を偽装する場合はGPSスプーフィングというらしい。
またIPスプーフィングの種類はリフレクション攻撃とSmurf攻撃がある。
リフレクションとは反射という意味。(ゲームで"リフレクションリング"という反射する攻撃があったな)
これはDDosの一種で、ボットネットから受けた詐称されたリクエストを、リクエストを送ったPCではなく、攻撃対象に反射するように送る攻撃。
Smurf攻撃はICMP通信のパケットを大量に送るDOSの一種でもある。
DKIM
SPFとDKIMの複合バージョンというのは皆さんご存知。
認証失敗後のポリシーも取り扱うことができる。
FIDO(ファイド)認証
公開鍵暗号方式を利用したユーザ認証。Webサーバの認証と根本は同じ。
公開鍵を保存しているのはサーバ。秘密鍵はユーザ。
別に生体認証でなくともいい。生体情報(秘密鍵)はユーザの端末以外には保存もされず送信もされない。
https://www.sc-siken.com/kakomon/01_aki/am2_1.html
PQC
耐量子暗号。
現在の素因数分解の難解さを前提とした暗号方式は量子コンピューターによって破られる可能性がある。
よって量子コンピューターにも『耐える』暗号方式として、耐量子暗号の開発が進められている。
Post-Quantum Cryptographyの略で、『Post-Quantum(量子の後の)』『Cryptography(暗号方式)』という意味
量子暗号
量子力の仕組みを利用したもので、従来のものとは全く異なる暗号方式
観察されると変化してしまう光子の性質を利用しているため理論的には解読不可能。
MITRE ATT&CK(マイターアタック)
攻撃の手法や戦術、回避策をまとめたナレッジベース。
マイターという非営利団体が作成しているらしい。マイナーだね。
OAuth2.0
『Open Authorization』の略。
リソースを他サービスに提供する際の認証の方式。
リソースを管理しているサーバと認可サーバは兼任しているケースが多い。
(以下例だと、Twitterのリソースアクセスの認可はTwitterが認可の可否を伺う。)
アクセストークンとは、文字通りリソースへのアクセスが可能なトークン。
「○○さん、「占い.com」がTwitterの情報を使いたいって言っているんですが大丈夫ですか?」
「ええよ私がやりたいものやし」
「承知しました。ほら、ご主人様からの許可が出たから情報をやるよ。」
エクストリームプログラミング(XP)
アジャイル開発の先駆けとなった開発手法。
「プログラマーは人間である」をモットーにテストを繰り返す戦法。
テスト駆動開発はプログラムを書く前にテストケースを作成するらしい。
DTLS
TLSのUDP版
本来TLSはTCP通信の規格だが、これをUDPでも利用できるようにしたもの。
インラインモード
文字通りラインにインする方法。
経路上にIPS機器を設置する。
サービスマネジメントシステム(SMS)
国際的に決められた規定。方針。
文字通りとなるが、サービスをマネジメントする仕組み。
ISO2000などが、この資格となる。
継続的改善:繰り返し行われる活動
ITに係る統制
・全般統制:組織集団全体の統制が目的。「組織の~」がキーワード
・業務処理統制:個々の正確性が目的。
ネットワークタップ
信号を分岐させる機器。
ルータからL2スイッチ間の通信を確認したい場合、インラインで入れて通信はそのまま流し、コピーしたものをもう一つの検査機器へ流す形。ハブのよう。
主に検査用に用いるために開発されている。
サプリカント・オーセンティケーター・IEEE802.1X・EAP・RADIUS・AAA
主に無線LAN(Wi-Fi)の認証の仕組み。
サプリカント:ログインする機器、端末
オーセンティケーター:RADIUSサーバに認証の可否を中継する機器。AP。
これだけ聞くと、普通のログインの仕組みと何が違うのとなる。
普通のイメージする認証は、ネットワークに繋がる前提で、GmailとかPWを入れてログインする。
IEEE802.1Xは、認証が許可されないとそもそもWi-Fiを利用できない。
ここで、「じゃコンビニとかのフリーWi-Fiはパスワードを求められるが、あれは?」という疑問。
あれはWAP2という、AP(Wi-Fiの機器)に設定されているPWを入力すればどんなデバイスでも利用できる仕組み。認証がAPとデバイスで完結している。パスワードが固定、というのが特徴。
対してIEEE802.1Xは、APの隣にもう一つ、認証サーバ(RADIUS)をも使って認証する。証明書が必要だったり、ユーザ名とPWを入れるケースが多い。企業のWi-FIとかそう。
フリーWi-Fiは下図のサプリカントとオーセンティケーターで完結しているって感じ。
AAAは、この認証サーバの機能で、認証認可課金(記録or課金orアカウティング)を示す。
課金とは、利用時間や使用リソースを記録してその分請求するのに利用するため?
余談だけどサプリメント(補助)とは関係なし。
サプリカントとは(嘆願者)って意味。普通にクライアントでよくない…?
GoF
オブジェクト指向のパターンらしい。
生成、構造、振る舞いの3種。まあGoFが3文字だからそれで連想できればいいか。
SOAR
セキュリティ運用業務の自動化を目的にしたもの。
いい語呂合わせはないか…
SSO(シングルサインオン)
1度のユーザ認証で複数サービスにアクセス可能にする仕組み。複数の実装方法がある。
・エージェント方式:SSO対象のサーバにエージェントというモジュールをインストールし、ユーザ認証はCookieを利用する。cookieを利用するので、同一ドメインのみ。
Cookieの仕組み
・リバースプロキシ方式:リバプロを中継サーバにし、ここで全て認証する。アクセスが集中してしまう。
・代理認証方式:クライアントにエージェントをインストールし、サービスのログイン画面でエージェントが代理で入力する仕組み。
・認証連携方式:
・SAML方式:ちょっと分かりません。
Adversarial Examples攻撃(アドバーサリアル攻撃)
画像にノイズを入れ、AIの学習を画像認識する攻撃
Adversarialが敵対、Examplesが例。
つまり、悪意を持って作られた例(画像)という意味。
これを悪用されると、「AI学習でフィッシングメールと判断したものは遮断してね」といったフィルターも、意味をなさなくなる。
ARP
IPアドレスからMACアドレスを取得するプロトコル。
『IP→MAC』『アイピー→MAC』『Aイピー→』
最初のAはアイピーアドレスのA。だから『IPAddress→MAC』と覚える。
RARPはその逆。
スパニングツリープロトコル(STP)
スイッチにある機能。デフォルトでONになっているケースがほとんど。
よく分からんが、スイッチのコマンド設定で"spanning-tree mode"なるものがあるらしい。
これはループ状になったネットワークにて、ブロードキャストストームを防止し、ルートを最適化してくれる便利お助け機能。
STPは『ルートポート』『代表ポート』で構成されている。
ルートポート:ルートブリッジまで一番近い経路(ゴールであるルートブリッジには存在しない。)
代表ポート★:ブリッジ内で最も優れた経路(ルートブリッジは全てが代表ポート)
※若干理解甘め
ワーム
自己増殖する。
ウイルスと呼ばれるものは、寄生先が必要。つまりWordファイルのマクロなど。逆にexeファイル単体で存在しているようなものはワームやトロイの木馬と呼ばれるものが多い。
システム開発プロセス
開発工程はシステム→ソフト。『始祖』で覚える。
要方、要方詳の順。
テストは単結適結。最後はシステム
書いててわか分からなくなってきた。
コールドアイル
データセンターにて、サーバ間で冷気が通る通路のこと。
アイルは通路という意味。
IMAPS
メールサーバからスマホ等の端末にメールを受信する際、暗号化する方式。
IMAPとPOP3は、メールがサーバに残るか否かの違い。
サーバと端末間を暗号化する際はIMAPSまたはPOP3Sを使う。
因みにSはSSLの略。暗号化だね。
システム監査
XML署名
ずっと勘違いしていたが、『署名情報がXML形式』という事であり、XMLファイルを署名する方法という意味では無い。故にtxtだろうとexeだろうと、ファイル形式に関わらずXML署名は可能。
・エンベロープ署名
・デタッチ署名
署名と本文が分かれており、一部だけ署名可能。
デタッチは分離という意味。本文と署名が分離していると。
memo.txtと、memo.txt.sigのように分けて送る。
EDSA認証
組み込み機器のセキュリテを評価するもの。
EDSAというプロトコルを使った認証ではないので注意
フルバックアップの期間を2倍にする時
ジャーナル情報が2倍になるため、復旧に時間が掛かる。
量は増えずとも、処理適用期間が増えるため結果的に復旧に2倍の時間が掛かる可能性がある。
IPアドレスのクラス
10.0.0.0 ︰タイプA(A10ログで覚える)
172.16.0.0 ︰タイプB(タイプAの次として覚えるしかない)
192.168.0.0︰タイプC
是正・予防、適応・完全化措置
『是正・予防』:間違いを訂正する。是正は指摘後の再発防止。予防は前。
『適応・完全化』:よりよく改善。適応は変化に対応、完全化は自主的に。
タイミング攻撃
暗号化にかかる時間(完了するタイミング)で暗号鍵を推測する攻撃。
演算の処理時間を一定にして対策する。
ブロードキャスト
通常は192.168.255.255のようにする。これは常識。
ただ、これは自分のIPアドレスが分かっていないとそもそもできない。
まだIPが振られていない場合にDHCPを探す時は、255.255.255.255を利用する。
つまり、どちらでもブロードキャストになる。