情報セキュリティ
- 情報セキュリティとは?
- 情報資産を守ること
- 3つの脅威
- 人的脅威
- 技術的脅威
- 物理的脅威
人的脅威
- 人的脅威とは?
- 人によって引き起こされる脅威
クラッキング(Cracking)
- クラッキングとは?
- 悪意を持ってコンピュータに不正侵入し、データを盗み見たり、削除したりすること
ソーシャルエンジニアリング
- ソーシャルエンジニアリングとは?
- 人間の心理的な隙を利用して秘密情報を手に入れること
- ショルダーハック
- トラッシング
技術的脅威
- 技術的脅威とは?
- 技術的な手段によって引き起こされる脅威
マルウェア
- マルウェアとは?
- 悪意のあるソフトウェア
ボット
- ボットとは?
- 攻撃者から指令を受けると、一斉に攻撃などの動作を行うプログラムのこと
スパイウェア
- スパイウェアとは?
- 利用者に気がつかれないように個人情報などを収集するプログラム
ランサムウェア(Ransom :身代金)
- ランサムウェアとは?
- PCやファイルを使用不能にした上で、回復のための金銭を要求するソフトウェア
トロイの木馬
- トロイの木馬とは?
- 有用であるかのように見せかけて利用者にインストールさせ、コンピュータに侵入するソフトウェア
RAT(Remote Administration Tool)
- RATとは?
- 物理的に離れたパソコンをネットワーク経由で遠隔操作するマルウェア
フィッシング(Phishing = Phreaking (電話回線の不正使用) + Fishing(釣り))
- フィッシングとは?
- 金融機関などを装い、利用者を偽サイトに誘導し、暗証番号やクレジットカード番号などを入力させて、それらを不正に取得すること
SPAM
- SPAMとは?
- 無差別に送付されるメールのこと
DoS攻撃(Denial of Service)
- DoS攻撃とは?
- 電子メールやwebサーバへの要求を大量に送りつけて、ネットワーク上のサービス提供不能にすること
総当たり攻撃
- 総当たり攻撃とは?
- 考えられうるパスワードの文字列を全て試して、パスワードを割り出す攻撃
辞書攻撃
- 辞書攻撃とは?
- 辞書や人名録に載っている単語を全て試してパスワードを割り出す攻撃
パスワードリスト攻撃
- パスワードリスト攻撃とは?
- 他のサービスで入手した、IDとパスワードの一覧を使って、正規ルートから不正アクセスする攻撃
クロスサイトスクリプティング
- クロスサイトスクリプティングとは?
- cookieのデータを盗み出す攻撃
セキュリティホール
- セキュリティホールとは?
- コンピュータシステムやネットワークに存在する弱点やけ欠陥のこと
物理的脅威
- 物理的脅威とは?
- 物理的な手段で直接的に攻撃を受けること
リスクマネジメント
- リスクマネジメントとは?
- 組織のあらゆるリスクを管理し、最小の費用で食い止めるためのプロセス
情報セキュリティマネジメント
- 情報セキュリティマネジメントとは?
- 情報セキュリティの確保に組織的、体系的に取り組むこと
ISMS(Information Security Management System)
- ISMSとは?
- 機密性、完全性、可用性の3つをバランスよく維持・改善する仕組み
情報セキュリティポリシ
- 情報セキュリティポリシとは?
- 情報セキュリティに関する組織の取り組みや、策定をまとめた文書
情報セキュリティ基本方針
- 情報セキュリティ基本方針とは?
- 情報セキュリティに関する取り組みを示す文書
情報セキュリティ対策基準
- 情報セキュリティ対策基準とは?
- 情報セキュリティ基本方針で作成した目標を達成するためのルール集
情報セキュリティ実施手順
* 情報セキュリティ実施手順とは?
* 情報セキュリティ対策基準で定めたルールを実施するための手順書
共通鍵暗号方式
- 共通鍵暗号方式とは?
- 暗号化と復号で同じ鍵を使う暗号方式
- 安全に鍵を送る方法はない
公開鍵暗号方式
- 公開鍵暗号方式とは?
- 共通鍵暗号方式の欠点を補うように登場した
- 公開鍵を使って暗号化し、秘密鍵を使って復号化する
- ペアになった鍵でしか行えない
- 誰でも暗号化できるので、なりすましが成立してしまう
公開鍵
- 公開鍵とは?
- 誰でも入手できる鍵
秘密鍵
- 秘密鍵とは?
- 自分以外には知られてはいけない、1つしかない鍵
ディジタル著名
- ディジタル著名とは?
- 公開鍵暗号方式を使って、データに電子的に著名を行うこと
- インターネットを通じて見積書や請求書を送る際に使われる
- 暗号化できる人が1人しかいないので、なりすましや改ざんが検知できる
認証局
- 認証局とは?
- ディジタル著名が、本人の著名であることを証明する第三者機関
- 電子証明書を発行する
- CA(Certification Authority)とも呼ばれる
PKI(Public Key Infrastructure :公開鍵基盤)
- PKIとは?
- 公開鍵の持ち主を保証するためのインフラ(基盤)
ファイアウォール
* ファイアウォールとは?
* インターネットを通じた不正アクセスから社内ネットワークを守るための仕組み
IDS(Intrusion Detection System)
- IDSとは?
- 侵入検知システム
- サーバに対して外部から不正アクセスがあったときに、システム管理者に通知を行うシステム
IPS(Intrusion Prevention System)
- IPSとは?
- サーバに対して外部から不正アクセスがあった際に、システム管理者に通知を行うと同時に、そのアクセスを遮断する
WAF(Web Application Firewall)
- WAFとは?
- webアプリケーションの脆弱性を狙った攻撃からシステムを守るための仕組み
DMZ(DeMilitarized Zone :非武装地帯)
* DMZとは?
* 外部ネットワークと社内ネットワークの両方から隔離されているネットワーク領域
* 外部ネットワークと社内ネットワークの両方からアクセスできる
* しかし、その逆はできない
* 社外に公開するサーバを配置する
SSL/TLS(Secure Sockets Layer/Transport Layer Security)
- SSL/TLSとは?
- パソコンとサーバ間の通信を暗号化した通信プロトコル
HTTPS
- HTTPSとは?
- SSL/TLSを用いてHTTP通信を暗号化するためのプロトコル
WPA2(Wi-fi Protected Access 2)
- WPA2とは?
- 無線LAN上の通信を暗号化する規格
- PCからアクセスポイントまでの通信を暗号化する
VPN(Virtual Private Network)
- VPNとは?
- インターネットなどの公共の通信回線を、あたかも専用の回線のように使える技術
- 専用回線よりも低コスト
ペネトレーションテスト
- ペネトレーションテストとは?
- 実際にシステムに攻撃することで、セキュリティ上の弱点を発見するテスト手法
ワンタイムパスワード
- ワンタイムパスワードとは?
- 一回しか使えない使い捨てのパスワード
シングルサインオン
- シングルサインオンとは?
- 一度の認証で複数のアプリケーションやwebサービスを利用できる仕組み
耐タンパ性(Tamper :改ざん)
- 耐タンパ性とは?
- システム内部データの解析のしにくさを表す度合い
セキュリティバイデザイン(Security By Design)
- セキュリティバイデザインとは?
- システムの企画・設計段階からセキュリティの確保すること
- セキュリティ対策のコストを大幅に削減できる
セキュアブート(Secure boot :安全な起動)
- セキュアブートとは?
- PCの起動時にOSのディジタル署名を検証し、許可されていないOSの実行を防ぐ技術
リスクベース認証
- リスクベース認証とは?
- ユーザーが普段使っている環境以外からのシステムアクセスの時に追加認証を行う認証方式
ブロックチェーン
- ブロックチェーンとは?
- 取引利益を暗号技術によって記録する技術
- 暗号資産を
- 実現するための基本的な技術
バイオメトリクス認証(Bio = 生物 metrics = 測定)
- バイオメトリクス認証とは?
- 身体的特徴や行動的特徴による認証
2要素認証
- 2要素認証とは?
- 記憶・所有物・生体情報の中から、2つを使って本人確認する認証方式