応用情報技術者試験のシラバスから、セキュリティ分野の用語を抜粋。超基礎的な用語は割愛。
情報セキュリティ
(1)情報セキュリティの目的と考え方
・真正性 : ある対象(人やモノ、データ、記録など)が、それが何であるかの記述や主張の通り、本物であること
・責任追跡性 : 責任をとるべき本人を明確にすること
・否認防止 : ある人物がある行為を行なったことを、後になって否定できないようにすること
・信頼性 : アイテムが与え られた条件で規定の期間中、要求された機能を果たすこ とができる性質
(2)脅威
・クラッキング : 企業のシステムなどに不正侵入し、情報を盗み出したり、データを改ざんしたり、システムを破壊すること
・ビジネスメール詐欺 : 自社または関連会社の経営層や取引先になりすまし、金銭をだまし取ることを目的としたサイバー攻撃
・コンピュータウイルス, : マルウェアの一種で、自立せず、動的に活動せず、プログラムファイルからプログラムファイルへと静的に感染するもの
・マクロウイルス : ソフトウェアアプリケーション内に埋め込まれたプログラミング言語であるマクロ言語で記述されたウイルス
・ワーム : 独立したプログラムであり、自身を複製して他のシステムに拡散する性質を持ったマルウェア
・トロイの木馬 : あたかも有用なプログラムのように見せかけてコンピュータに侵入し、不正なプログラムを実行するソフトウェア
・スパイウェア : コンピュータ内部からインターネットに対して情報を送り出すソフトウェアの総称
・キーロガー : キーボード操作の内容を記録するソフトウェアおよびハードウェアの総称
・ルートキット : 攻撃者が ウイルス や トロイの木馬 などを利用して攻撃対象のコンピューターやサーバーへ不正アクセスに成功した際、攻撃者が実行するパッケージ
・バックドア : 攻撃者が管理者に気づかれないようにコンピュータへ不正に侵入するための入り口
・偽セキュリティ対策ソフト : 特にセキュリティの不安を煽る手口で金銭を騙し取るオンライン詐欺を目的とした不正プログラム
(3)脆弱性
・セキュリティホール : コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥
・人的脆弱性 : コンピュータやソフトウェアに関する脆弱性に対し、セキュリティ環境の未整備や情報の管理体制が実践されていない状況
・シャドーIT : 企業が使用許可をしていない、あるいは従業員が利用していることを企業側が把握できていないデバイスや外部サービス
(4)不正のメカニズム
・不正のトライアングル : 「動機」「機会」「正当化」の3つの要素が揃うと内部不正が起こるという理論
・状況的犯罪予防 : 犯罪を起こしやすい状況を改善し、犯罪を起こしにくい状態に変えていく防犯対策
(5)攻撃者の種類,攻撃の動機
・スクリプトキディ : インターネットを通じて外部のコンピュータシステムへの侵入や妨害などを行う攻撃者(クラッカー)のうち、自らは技術力や専門知識がなく、他人の開発した攻撃ツールを入手して使用するだけの者のこと
・ボットハーダー : ボットネットを統制してサイバー犯罪などを実行するクラッカー
・ハクティビズム : 社会的・政治的な主張のもとに、ハッキング活動を行うこと
・ダークウェブ : 通常の方法ではアクセスできないインターネット上の領域のこと
・サイバーキルチェーン : 攻撃者が標的を決定し、実際に攻撃し目的を達成するまでの一連の行動を順に、「偵察」、「武器化」、「デリバリー」、「エクスプロイト」、 「インストール」、「C&C」、「目的の実行」の7フェーズに分類したもの
(6)攻撃手法
・クロスサイトリクエストフォージェリ : Webアプリケーションの脆弱性の一つもしくはそれを利用した攻撃
・クリックジャッキング : リンクやボタンなどの要素を隠蔽・偽装してクリックを誘い、利用者の意図しない動作をさせようとする手法
・中間者攻撃 : 通信を行う二者の間に割り込んで、両者が送受信する情報を自分が用意したものとすりかえることにより、気付かれることなく盗聴したり、通信内容に介入したりする攻撃手法
・MITB(Man-in-the-browser)攻撃 : パソコンで動作しているブラウザを乗っ取り、通信内容を盗聴したり、改ざんしたりする攻撃
・第三者中継 : メール送信者がその本人とは無関係の第三者のメールサーバを不正に中継し、身元を偽ってメールを送信すること
・IP スプーフィング : IP通信において、送信者のIPアドレスを詐称して別のIPアドレスに「なりすまし」を行う攻撃手法
・リプレイ攻撃 : 標的が送信した認証やアクセス情報を窃取し、攻撃者がこの情報を再送信することで不正なアクセスを実現するハッキング手法
・電子メール爆弾 : 大量の無意味あるいは同一内容のメールを送りつけたり、巨大なサイズのファイルを添付したメールなどを送りつける攻撃手法
・APT(Advanced Persistent Threat) : 主に組織や集団が、特定の組織や企業に対して、さまざまな手段を用いて持続的に行うサイバー攻撃
・サイドチャネル攻撃 : Cカードや半導体機器といった攻撃対象のハードウェアを物理的に観測することで、内部の秘匿された情報を得る攻撃手法
・フットプリンティング : 攻撃者が攻撃を行う前に攻撃対象となるコンピュータやネットワークに対して弱点や攻撃の足掛かりを得るために行う事前調査
・ポートスキャン : サーバーの各ポートへデータを送信し、その応答から稼働状況を調べる方法
(7)情報セキュリティに関する技術
・CRYPTREC 暗号リスト : CRYPTRECにより安全性及び実装性能が確認された暗号技術について、市場における利用実績が十分であるか今後の普及が見込まれると判断され、当該技術の利用を推奨するもののリスト
・RSA 暗号 : 桁数が大きい合成数の素因数分解が現実的な時間内で困難であることを安全性の根拠とした公開鍵暗号の一つ
・楕円曲線暗号 : 1985年に発明された暗号で,公開鍵暗号のデファクトスタンダード であるRSA 暗号に比べ,より短い鍵長で同等の安全性を提供できる暗号
・Diffie-Hellman(DH)鍵共有方式 : 自身で設定した秘密鍵と、他者に知られてもいい公開鍵を設定し、それらを組み合わせて計算した数値の余りの値を共有して共通鍵を生み出す仕組み
・ブロック暗号 : 平文を固定長サイズのブロックに分割し暗号処理を行う共通鍵暗号の方式
・ストリーム暗号 : ランダムなデータストリームを発生する擬似乱数生成器を使って暗号化を行う方式
・危殆化 : 何らかの作為や状況の変化により、対象が危険に晒されるようになること
・XML デジタル署名 : デジタル署名をXML形式で記述し、対象の文書が改竄されていないか、作成者が署名者本人に間違いないかなどを確認できるようにする技術
・タイムスタンプ : インターネット上の取引や手続き等が行われた時刻や電子文書の存在した日時を証明するサービス
・メッセージ認証 : ネットワークを通じて伝送されたメッセージが途中で改竄されていないかを確認すること
・MAC(Message Authentication Code) : やり取りされるメッセージと、送信者と受信者が持つ共通鍵をもとに生成される固定長のビット列で、受信者側でメッセージ生成元の認証とメッセージの完全性を確認するために使われる
・チャレンジレスポンス認証 : 主にワンタイムパスワード認証に用いられる方式で、認証サーバー から送られてくるデータ(チャレンジ)を元に、クライアントが持っているパスワードを組み合わせ て演算し、ハッシュ値を認証サーバーに「レスポンス」として返すことにより認証を行う方法
・PIN コード : 携帯電話機であらかじめロックを設定することにより、紛失・盗難などがあった場合に、第三者が携帯電話機を使用できなくするための暗証番号
・Kerberos 方式 : サーバーとクライアント間の身元確認のために利用されるプロトコルであり、クライアントとサーバーを相互に認証して、通信を保護するためにサーバーとクライアント間の通信を暗号化している
・多要素認証 : 認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち、2つ以上を組み合わせて認証すること
・セキュリティトークン : ブロックチェーン技術を使って発行されるデジタル証券
・シングルサインオン : 1度のユーザー認証によって複数のシステム(業務アプリケーションやクラウドサービスなど)の利用が可能になる仕組み
・PKI : 公開鍵暗号技術と電子署名を使って、 インターネット上で安全な通信ができるようにするための環境
・ルート証明書 : 証明書の発行元(認証局)の正当性を証明する証明書
・サーバ証明書 : 通信の暗号化」「Webサイトの運営者・運営組織の実在証明」の2つの役割をもつ電子証明書
・クライアント証明書 : 個人や組織を認証し発行される電子証明書
・コードサイニング証明書 : ソフトウェアにデジタル署名を行う電子署名用の証明書
・CRL : 公開鍵基盤 における失効した公開鍵証明書のリスト
・OCSP : 電子証明書が失効しているかどうかを確認するためのオンラインによる電子証明書検証手順
・GPKI : 政府が運営する公開鍵基盤
・BCA(ブリッジ認証局) : 複数の認証局と相互認証証明書を交換し、相互接続を可能とする認証局
情報セキュリティ管理
情報セキュリティ管理
・JIS Q 31000 : ISO 31000を基に作成されたリスクマネジメントに関する原則及び一般的な指針を示したJIS規格
・情報セキュリティ事象 : 重大事故に至る可能性がある事態が発生し、なおかつ実際には事故につながらなかった潜在的事例
・情報セキュリティインシデント : マルウェアの感染や不正アクセス、あるいは機密情報の流出など、セキュリティ上の脅威となる事象
(2)リスク分析と評価
・情報資産台帳 : 企業にどのような情報資産があるかを把握、管理するための台帳
・オペレーショナルリスク : 日常のオペレーションにおけるミスや事故によって引き起こされる損失可能性
・サプライチェーンリスク : 製品の調達から販売までの一連のプロセスであるサプライチェーンが停滞・途絶し、全体の流れが止まってしまうリスク
・ペリル : 損失の原因
・ハザード : 損失の可能性を高める状態
・モラルハザード : 危険回避のための手段や仕組みを整備することで、逆に危機管理やリスク回避に対する意識が薄れて、結果として危険や事故の発生確率が高まり、規律が失われる状態
・得点法 : 特定の反応や,ときには一定の対象などに対して,なんらかの規準にのっとり数字を割当てて評定する方法
・リスクアセスメント : 事業場にある危険性や有害性の特定、リスクの見積り、優先度の設定、リスク低減措置の決定の一連の手順
・リスクマトリックス : リスク管理のうちリスク評価で利用する手法の1つで、リスクを図表化で整理する手法
・リスクの定性的分析 : リスクの特性や性質を明らかにしリスクの優先順位付けをする
・リスクの定量的分析 : リスクに数値をあたえ、数量的に分析する手法
・リスクヘッジ : 起こりうるリスクの程度を予測して、リスクに対応できる体制を取って備えること
・リスクファイナンシング : 事故が発生した際の損害に対して、資金を用意しておくこと
・リスク共有 : 一部の業務をアウトソーシングで他社に委託することでリスクを分散したり、損害保険に加入したりすることで自組織のリスクを他社に移転する対応策
・リスク集約 : 複数のリスクを組み合わせてリスクを扱いやすい単位にまとめること
・リスク登録簿 : 「発生するかどうかは確実でないものの、もし発生した場合はプロジェクトに何らかの影響をおよぼす」事項を一覧にまとめた文書
・リスクコミュニケーション : リスク分析の全過程において、リスク評価者、リスク管理者、消費者、事業者、研究者、その他の関係者の間で、情報および意見を相互に交換すること
(3)情報セキュリティ継続
・緊急時対応計画(コンティンジェンシー計画) : 緊急事態またはシステム 中断があった場合にITサービスを復旧させるための暫定的な措置
(4)情報セキュリティマネジメントシステム(ISMS)
・ISMS 認証 : ISMS について定める国際規格
・JIS Q 27001 : 組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項を提供することを目的として作成されている
・JIS Q 27002 : 情報セキュリティマネジメントシス テムの実践のための規範として,管理目的及び管理策を最適な実施慣行(ベストプラクティ ス)として示している
・情報セキュリティガバナンス : コーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること
・ JIS Q 27017 : クラウドサービスに関する情報セキュリティ管理策のガイドライン規格
(6)情報セキュリティ管理におけるインシデント管理
・インシデントハンドリング : インシデントの発生から解決までの処理を行う活動
・トリアージ : ウイルスの侵入やシステム障害の発生時に、どういう手順で復旧するかという、作業の優先順位を判断すること
(7)情報セキュリティ組織・機関
・情報セキュリティ委員会 : 企業全体の情報セキュリティをマネジメントするために設置される、全社横断的な組織
・CSIRT : セキュリティ上の問題として捉えられる事象であるインシデントが発生した際に対応するチーム
・SOC(Security Operation Center) : サイバー攻撃の検知や分析を行い、その対策を講じることなどを専門とする組織
・CRYPTREC : 電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクト
・JPCERT コーディネーションセンター : 特定の政府機関や企業から独立した、中立で、インターネットのコンピューターインシデントに対応する組織
・コンピュータ不正アクセス届出制度 : 不正アクセス被害を受けたとき、被害の拡大及び再発を防止するための事後対応として、必要な情報を経済産業大臣が別に指定する者に届け出ること
・コンピュータウイルス届出制度 : コンピュータウイルスを発見したものは被害の拡大と再発を防ぐために必要な 情報を IPA に届け出ることと定めている
・ソフトウェア等の脆弱性関連情報に関する届出制度 : ソフトウェア製品(Webサイト含む)の脆弱性関連情報の発見・取得した者は、被害の拡大及び再発を防止するための事後対応として、必要な情報を経済産業大臣が別に指定する者に届け出ることを定めている
・情報セキュリティ早期警戒パートナーシップ : 国内におけるソフトウェア等の脆弱性関連情報を適切に流通させるために作られている枠組み
・J-CSIP(サイバー情報共有イニシアティブ) : 公的機関であるIPAを情報ハブ(集約点)の役割として、参加組織間で情報共有を行い、高度なサイバー攻撃対策に繋げていく取り組み
・サイバーレスキュー隊 : サイバー攻撃を受けた企業や公的機関などからの相談を受け付け、被害の拡大防止のための支援活動を行う機関
・JVN : 日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイト
・ホワイトハッカー : サイバー犯罪への対処など、知識や技術を善良な目的のために利用する人
セキュリティ技術評価
(1)セキュリティ評価基準
・JCMVP : 暗号モジュールに暗号アルゴリズムが適切に実装され、暗号鍵やパスワードといった重要情報が攻撃者から保護されるとともに、許可された者がいつでもその機能を確実に利用できることを、暗号モジュールのユーザが客観的に把握できるように設けられた第三者適合性評価制度
・PCI DSS : クレジットカード会員の情報を保護することを目的に定められた、クレジットカード業界の情報セキュリティ基準
・CVSS(Common Vulnerability Scoring System) : 情報システムの脆弱性に対するオープンで汎用的な評価手法、および指標
・CWE ( Common Weakness Enumeration ) : ソフトウェアおよびハードウェアにおける脆弱性タイプをリスト化したもの
・ペネトレーションテスト : ネットワークに接続されているコンピュータシステムに対し、実際に既知の技術を用いて侵入を試みることで、システムに脆弱性がないかどうかテストする手法
・耐タンパ性 : 機器や装置、ソフトウェアなどが、外部から内部構造や記録されたデータなどを解析、読み取り、改竄されにくいようになっている状態
・IT 製品の調達におけるセキュリティ要件リスト : デジタル複合機、ファイアウォール等の製品分野毎に考慮すべきセキュリティ上の脅威とそれに対抗するためのセキュリティ要件をまとめたもの
(2)ISO/IEC 15408
・CC(Common Criteria) : 情報技術セキュリティの観点から、情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格
・ST(Security Target) : ISO15408評価対象であるIT製品やシステムが備えるべきセキュリティ機能に対する要件とその仕様をまとめたセキュリティ設計仕様書
・CEM ( Common Methodology for Information Technology Security Evaluation) : 共通評価方法
・EAL(Evaluation Assurance Level) : 情報セキュリティの厳格さ(セキュリティレベル)を評価する際に用いられる指標
・JISEC : ITに関連する商品のセキュリティ機能が適切でなおかつ確実であるかどうかを評価し、その評価結果について認証機関が認証をする制度
情報セキュリティ対策
(1)情報セキュリティ対策の種類
・レッドチーム演習 : 攻撃側と防御側に分かれ、攻撃側は対象となるシステム・ネットワークに対して擬似的な攻撃を加え目標の遂行を試みる一方、防御側はその攻撃を検知し対処することでインシデント対応能力を向上させるサイバー演習の一種
・need-to-know : ユーザーのアクセスできる情報を、その職務に関連する範囲にのみ制限すべきとする原則
・出口対策 : 社内から外部への通信を監視し、外部の悪意のある危険なサーバー等との通信を防ぐ対策
・入口対策 : アクセスの入口となるポイントに網を張ってすべてを絡めとろうという考え方
・多層防御 : 複数の防御層を重ねてセキュリティ対策することで強固な防御を築くことを目的としている
・秘匿化 : データそのものを隠すような処理を行うこと
・検疫ネットワーク : OSパッチやウイルス対策ソフトの定義ファイルが最新でないなど、十分なセキュリティ対策が取られていないパソコンを、社内ネットワークに直接接続させずに隔離するもの
・URL フィルタリング : 特定のWebサイトへのアクセスを制限するための仕組み
・コンテンツフィルタリング : インターネット等を通じて出入りする情報を監視し、コンテンツに問題があれば接続を拒否・遮断する技術
・セキュアエレメント : 外部からの解析攻撃に耐えるセキュリティ能力を持った半導体製品の総称
・TPM(Trusted Platform Module) : デバイス上で様々なセキュリティ機能を提供するためのモジュール
・セキュアブート : PC の起動 (ブート) 時に悪意のあるソフトウェアが読み込まれないように設計された重要なセキュリティ機能
・電子透かし : 画像や動画、音声などのデータに、特定の情報を埋め込むことによって、オリジナルかコピーされたものかを判別できるようにする技術
・デジタルフォレンジックス : インシデントレスポンス*や法的紛争・訴訟に際し、電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術
・EDR(Endpoint Detection and Response) : ユーザーが利用するパソコンやサーバー(エンドポイント)における不審な挙動を検知し、迅速な対応を支援するセキュリティソリューション
・DLP(Data Loss Prevention) : 機密情報を自動的に特定し、機密情報の送信や出力など、社外への持出しに関連する操作を検知しブロックする仕組み
・SIEM(Security Information and Event Management) : ネットワーク製品やセキュリティ製品を含むあらゆるIT機器のログを一元管理・解析し、インシデントにつながる脅威を検知するセキュリティ製品
・RASP(Runtime Application Self-Protection) : アプリケーションおよびそのランタイム実行環境に組み込まれるセキュリティ技術であり、アプリケーションに対する不正な入力や攻撃を検知し阻止する機能
・IDS(Intrusion Detection System) : ネットワーク上を流れるパケットを監視したり、サーバー上の受信データやログを調べたりして、何らかの不正侵入の兆候が確認できた場合に、管理者へ警告メールを通知するなどのアクションを起こすシステム
・IPS(Intrusion Prevention System) : 異常な通信をシステム上で検知後、管理者の対処を待たずに通信の遮断をする
・UTM(Unified Threat Management) : コンピュータウイルスやハッキングなどの脅威から、コンピューターネットワークを効率的かつ包括的に保護する管理手法
・フォールスネガティブ : 検査などで不正や異常、有害な事象を誤って正常であるとみなしてしまうこ
・フォールスポジティブ : 検査などで正常な事象を誤って不正や異常、有害であると判定してしまうこと
・SSL/TLS アクセラレータ ー : 通信を暗号化するSSL/TLSを利用する際に、暗号化や復号を専門に行う機器やソフトウェア
・MDM ( Mobile Device Management ) : ビジネスで使用するスマートフォンなどのモバイルデバイスの、システム設定などを統合的・効率的に管理する手法
・ CASB ( Cloud Access Security Broker) : 従業員のクラウドサービスの利用を監視し、適切なセキュリティ対策を行うためのソリューション
・IdP(Identity Provider) : クラウドサービスなどにアクセスするユーザーの認証情報を保存・管理するサービス
・RASIS : コンピュータシステムに関する評価指標の一つで、「信頼性」「可用性」「保守性」「保全性」「安全性」の5項目をアクロニム(頭文字語)によって表現したもののこと
・UPS : バッテリを内蔵し、入力電源異常時(停電など)に、コンピュータ等に電力を供給するための装
・多重化 : 電気通信およびコンピュータネットワークにおいて、複数のアナログ信号またはデジタルデータストリームをまとめ、一つの共有された伝送路で送ること
・ハウジングセキュリティ : データセンターや各種サーバー群の設置場所についての安全性
・セキュリティゲート : セキュリティが必要なエリアの出入り口に設置されるゲート
・アンチパスバック : 入室する際のID認証の記録がないと退室時の認証を許可しない仕組み
・クリアデスク・クリアスクリーン : クリアデスクは机上に書類を放置しないことで、クリアスクリーンは、情報をスクリーンに残したまま離席しないこと
・セキュリティケーブル : コンピュータの盗難や不正な持ち出し、ケーブルや周辺機器の不正な差し込みなどを防止するための金属線でできた固定器具
セキュリティ実装技術
(1)セキュアプロトコル
・IPsec : 暗号化によってパケットの秘匿や改ざん検知を実現するプロトコル
・WPA2 : 無線LANの通信を暗号化する方式の規格の1つ
・WPA3 : Wi-Fi(無線LAN)を利用する際に通信を盗聴されるなどの被害を未然に防ぐために制定されている最新の暗号化に関するセキュリティ規格
・PGP(Pretty Good Privacy) : 公開鍵の交換を事前に当事者間で行ない、その間で電子署名や暗号化されたメールのやり取りを可能にする仕組み
・S/MIME : MIMEでカプセル化した電子メールの公開鍵方式による暗号化とデジタル署名に関する標準規格
(2)認証プロトコル
・SPF : 電子メールの送信元ドメインが詐称されていないかを検査するための仕組み
・DKIM : 電子メールプロバイダが認証できる方法で組織が署名することにより、組織がメッセージ送信に責任を持つことを可能にするプロトコル
・SMTP-AUTH : メール送信時にユーザー認証を行い、メールの送信を許可する方法
・OAuth : 複数のWebサービスを連携して動作させるために使われる仕組み
・DNSSEC : DNS応答に添付された署名を受信側で検証することにより、正しい相手から届いた正しいデータであることを確認できるようにするための技術
・EAP(Extensible Authentication Protocol) : 認証プロトコルの一つであり、各種の拡張認証方式を利用するための手続きをまとめたもの
・EAP-TLS : PPP認証で利用されるEAP認証プロトコルの一種で、トランスポート層(OSIモデルにおける第4層)の通信経路を特殊なプロトコルによって暗号化し、デジタル証明書の受け渡しによって相互に認証を行う方式のこと
・PEAP : PPP(Point to Point Protocol)に認証機能を追加した拡張プロトコルのうち、サーバーとクライアントで相互認証を行うプロトコル
・RADIUS : インターネット接続サービスにおける、利用者の認証と利用状況の記録をサーバー側で一元的に行うためのプロトコル
・Diameter : RADIUSの後継となるAAA(Authentication, Authorization, Accounting)サービスを実装する認証プロトコルのひとつ
(3)OS のセキュリティ
・MAC(Mandatory Access Control) : コンピュータを不正な利用から守るシステム制御の一つ。ユーザはプロセス、ファイル、システムデバイスといったリソースへアクセスする権限を全て自由に制御できず管理者から一定の強制を受ける
・最小特権 : ユーザーが職務を遂行するために必要な最小限のレベルのアクセス(または許可)をユーザーに与える情報セキュリティの概念
・トラステッドOS : ウェブサーバなど不正侵入の対象になり易いマシンのOSに、利用者にルート権限を与えないなどのセキュリティ強化をほどこしたもの
(4)ネットワークセキュリティ
・ステートフルパケットフィルタリング : ファイアウォールに到達するパケットの情報を読み取り、あらかじめ設定されたルールに基づいて通過させるかどうかを動的に判断することで、不正なやり取りを排除する仕組み
・MAC アドレスフィルタリング : MACアドレスを使って、本商品に登録された無線LAN端末とのみ無線データ通信できるようにする機能
・アプリケーションゲートウェイ方式 : 通信を中継するプロキシ(代理)プログラムを使い、社内ネットワークとインターネットを切り離す方式
・認証 VLAN : VLANとユーザ認証機能を組み合わせた方式
・VPN : 大規模ネットワークのスケールメリットと管理設備を利用するために、パブリックネットワーク内に構成されるプライベートネットワーク
・セキュリティ監視 : セキュリティ対策であるファイアーウォールなどのログや、サーバ上のセキュリティ対策のデータを可視化して把握する事により、仮に不正アクセスなどが発生した場合にすぐに対応が取れるようにしておくこと
・OP25B : 迷惑メールを減少させる為に、ウイルス感染者や迷惑メール送信業者が、自分のPCまたはサーバーから故意あるいは無意識に行うメール送信を規制する対策
・サンドボックス : 外部から受け取ったプログラムを保護された領域で動作させることによって、システムが不正に操作されるのを防ぐセキュリティ機構のこと
・ハニーポット : サイバー攻撃者がどのように行動し、何を狙っているのかをセキュリティ担当者が確認するために、攻撃者を引き寄せるように設計されたコンピュータシステム
・リバースプロキシ : ユーザーからの通信を一手に引き受け、サーバーにリクエストを送信するプロキシ
(5)データベースセキュリティ
・タイムスタンプ : インターネット上の取引や手続き等が行われた時刻や電子文書の存在した日時を証明するサービス
・ゼロ知識証明 : 証明者(Prover)が検証者(Verifier)に、 自分の持っている命題が真であることを伝えるのに、真であること以外、 何の知識も伝えることなく証明できるような対話(非対話)知識証明プロトコル
(6)アプリケーションセキュリティ
・セキュリティバイデザイン : システム導入・運用後の後付けではなく、企画・設計の段階でセキュリティ対策を組み込むことで、サイバーセキュリティを確保するという考え方
・プライバシーバイデザイン : 「技術」、「ビジネス・プラクティス」、「物理設計」のデザイン(設計)仕様段階からあらかじめプライバシー保護の取り組みを検討し、実践すること
・脅威モデリング : 開発対象のソフトウェアがどのようなセキュリティ脅威にさらされており、攻略される可能性を持ちうるかを洗い出す活動
・セキュアプログラミング : システムやアプリケーションの脆弱性を事前に廃除し、情報漏洩や乗っ取り、予期しないシステムダウンなどを防ぐためのプログラミング手法
・ソースコード静的検査 : コードを実行せずにコードの品質、信頼性、および、セキュリティの検証を行う作業のこと
・プログラムの動的検査 : プログラムコードを実行して、その結果からソフトウェアのバグ検出や品質評価、動作確認を行うテスト方法
・Same Origin Policy : 現在表示しているコンテンツ中の JavaScript から、そのコンテンツをロードしてきたところ以外の Web サイトへは HTTP リクエストを送信させない制限
・CORS(Cross-Origin Resource Sharing) : 追加の HTTP ヘッダーを使用して、あるオリジンで動作しているウェブアプリケーションに、異なるオリジンにある選択されたリソースへのアクセス権を与えるようブラウザーに指示するための仕組み
・ソルト : 認証システムがパスワードなどを保存する際に付け加えるランダムな符号列
・ストレッチング : パスワードのハッシュ値を総当り攻撃(ブルートフォース攻撃)などから推測されないようにするために、ハッシュ値への計算を数千回~数万回繰り返し行うこと
・バッファオーバーフロー攻撃 : 本来上限として想定される長さを超えたデータがバッファに入力され、確保していた領域からあふれてしまうこと
・HSTS : WebサーバがHTTPヘッダの中で指定する項目の一つで、Webブラウザに対して以降は常にHTTPSによる通信を行うよう指示するもの