用語集
ABC
A
AC
Actual Cost,実コスト。実施した作業のために実際に発生したコスト。実測値から求められる。
AES(Advanced Ecryption Standard)
米国立標準技術研究所(NIST)が規格化した新世代標準の方式で,DES の後継。ブロック暗号で,鍵長は 128 ビット,192 ビット,256 ビットの三つが利用できる。
ANY 接続拒否
無線 LAN アクセスポイントを誰でも利用可能にすると,不正アクセスに使われる危険がある。それを防ぐため,認証できない PC からのアクセスを拒否する設定。
APT(Advanced Persistent Threat)
先進的で執拗な脅威。攻撃者が特定の目的をもち,標的となる組織の防御策に応じて複数の攻撃方法を組み合わせ,気付かれないよう執拗に攻撃を繰り返すこと。
Authentication(二者間認証)
認証される者(被認証者)について,認証が必要な場所(認証場所)で直接認証を行う。通常のサーバのログインなどのように,あらかじめ認証情報を認証場所で保持しておき,被認証者からの情報を基に認証の可否を決定する。
B
BCP(Business Continuity Plan)
事業継続計画。災害やシステム障害など予期せぬ事態が発生した場合でも,重要な業務の継続を可能とするために事前に策定する行動計画のこと。
BEC(Business E-mail Compromise,ビジネスメール詐欺)
被害企業の担当者に偽の電子メールを送り付け,だまして攻撃者の用意した口座に振り込ませるという詐欺の手口。
Bitcoin
Bitcoin(ビットコイン)とは,仮想通貨の一種で,オープンな取引を行う暗号通貨。仮想通貨取引所などを利用しない場合には,身元の確認が行われないため,身分を明かさずにやり取りが可能となる。
BPM(Business Process Management)
業務分析,業務設計,業務の実行,モニタリング,評価のサイクルを繰り返し,継続的なプロセス改善を遂行する経営手法。
BPO(Business Process Outsourcing)
企業などが自社の業務の一部または全部を,外部の専門業者に一括して委託すること。業務を外部に出すことで,経営資源をコアコンピタンスに集中できる。海外の事業者や子会社に開発をアウトソーシングするオフショア開発も一般的。
BPR(Business Process Reengineering)
顧客の満足度を高めることを主な目的とし,最新の情報技術を用いて業務プロセスを抜本的に改革すること。品質・コスト・スピードの三つの面から改善し,競争優位性を確保する。
BSD(Berkeley Software Distribution)ライセンス
OSS のライセンス体系の一つで,GPL に比べて制限の少ないライセンス。無保証であることの明記と,著作権及びライセンス条文を表示する以外は自由。
BYOD(Bring Your Own Device)
組織内で適正にスマートデバイスを使用していることを認識し,それを許可,または特に禁止していないこと。
C
CAAT(Computer Assisted Audit Techniques:コンピュータ支援監査技法)
監査のツールとしてコンピュータを利用する監査の技法の総称。
Camellia
NTT と三菱電機が共同で 2000 年に開発した共通鍵ブロック暗号。ブロック長は 128 ビット,鍵長は AES と同じ 128 ビット,192 ビット,256 ビットの三つが利用できる。AES と同等の安全性を保ちつつ,ハードウェアでの消費電力を抑え,高速な暗号化と復号を実現する。
C&C サーバ
Command and Control サーバ。不正プログラムに対して指示を出し,情報を受け取るためのサーバ。
CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)
ユーザ認証のときに合わせて行うテストで,利用者がコンピュータでないことを確認するために使われる。コンピュータには認識困難な画像で,人間は文字として認識できる情報を読み取らせることで,コンピュータで自動処理しているのではないことを確かめる。
CC(Common Criteria)
コモンクライテリア。IT 関連製品や情報システムのセキュリティレベルを評価するための国際規格 ISO/IEC 15408。次のような概念を掲げている。
- ST(Security Target)
- EAL(Evaluation Assurance Level)
CDN(Contents Delivery Network)
Web の動画などのコンテンツをインターネット経由で配信するために最適化されたネットワークのこと。
CEO(Chief Executive Officer)
最高経営責任者
Certification(三者間認証)
被認証者と認証場所とは別に,認証する者(認証者)が存在し,認証者が認証を行う方法。認証者が信頼できる機関である必要があり,PKI(Public Key Infrastructure:公開鍵基盤)はこの仕組みを利用している。
CIO(Chief Information Officer)
最高情報責任者。情報システム戦略の策定では,経営陣の 1 人である CIO が中心となり,経営戦略に基づいて全体システム化計画や情報化投資計画を策定する。
CISO(Chief Information Security Officer)
情報セキュリティ管理責任者
CMDB(Configuration Management Database)
CMS で使われるデータベース。プロジェクト情報やツール,イベントなど様々な情報を一元管理する。
CMS(Configuration Management System)
構成管理システム。大規模で複雑な IT サービスとインフラを管理するため構築し,一元管理する。
COBIT(Control Objectives for Information and related Technology)
IT ガバナンスのベストプラクティス集(フレームワーク)。
CPO(Chief Privacy Officer)
最高個人情報保護責任者
CRM(Customer Relationship Management)
顧客関係管理。顧客との関係を構築することで顧客満足度を向上させる経営手法。
CRYPTREC(Cryptography Research and Evaluation Committees)
電子政府推奨暗号の安全性を評価・監視し,暗号技術の適切な実装法や運用法を調査・検討するプロジェクト。
CSA(Control Self Assessment:統制自己評価)
内部規制の有効性について,業務運営の中で業務を運用している人自身が,その有効性について評価を行う。
CSF(Critical Success Factor)
重要成功要因
CSIRT(Computer Security Incident Response Team)
主にセキュリティ対策のためにコンピュータやネットワークを監視し,問題が発生した際にはその原因の解析や調査を行う組織。
CSR(Corporate Social Responsibility:企業の社会的責任)
企業が利益を追求するだけでなく,社会へ与える影響にも責任をもち,利害関係者(ステークホルダー)からの要求に対して適切な意思決定をすること。
CWE(Common Weakness Enumeration)
共通脆弱性タイプ一覧。ソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準。
D
DAS(Direct Attached Storage)
サーバにストレージを直接接続する従来の方法。
DES(Data Encyption Standard)
ブロックごとに暗号化するブロック暗号の一種。米国の旧国家暗号規格であり,56 ビットの鍵を使う。しかし,鍵長が短すぎるため,近年では安全性が低いとみなされている。
DHCP(Dynamic Host Configuration Protocol)
コンピュータがネットワークに接続するときに必要な IP アドレスなどの情報を自動的に割り当てるプロトコル。
DH 鍵交換(Diffie-Hellman Key exchange)
事前の秘密(秘密鍵などの秘密の情報)の共有なしに暗号鍵の共有を可能とする,鍵共有のための方式。離散対数問題を安全性の根拠とした方式で,暗号鍵は共通鍵暗号方式の鍵として使用可能。
DKIM(Domain Keys Identified Mail)
電子メールの認証技術の一つで,ディジタル署名を用いて送信者の正当性を立証する。署名に使う公開鍵を DNS サーバに公開しておくことで,受信者は正当性を確認できる。
DLP(Data Loss Prevention)
機密情報を外部へ漏えいさせないための包括的な対策のこと。
DMZ(DeMilitarized Zone)
非武装地帯。Web サーバ,メールサーバ,プロキシサーバが置かれる。
DNS(Domain Name System)
URL などにあるホスト名やドメイン名と IP アドレスを変換する名前解決のプロトコル。
DNS キャッシュポイズニング攻撃
DNS サーバのキャッシュに不正な情報を注入することで,不正なサイトへアクセスを誘導する攻撃。
DNSSEC(DNS Security Extensions)
DNS でのセキュリティに関する拡張仕様。クライアントとサーバの両方が DNSSEC に対応しており,該当するドメインの情報が登録されていれば,DNS 応答レコードの偽造や改ざんなどを検出できる。
DNS リフレクタ(DNS Reflector)攻撃(DNS amp 攻撃)
DNS の応答を利用した DoS 攻撃。IP スプーフィングを組み合わせて,DNS の応答が攻撃対象のサーバに集中するようにする。DNS アンプ(DNS amp)攻撃ともいう。
DoS 攻撃
Denial of Service attack:サービス不能攻撃。サーバなどのネットワーク機器に大量のパケットを送るなどしてサービスの提供を不能にする攻撃。踏み台と呼ばれる複数のコンピュータから一斉に攻撃を行う DDoS 攻撃(Distributed DoS attack)もある。
DSA(Digital Signature Algorithm)
有限体上の離散対数問題を安全性の根拠とした署名アルゴリズム。
E
EAL(Evaluation Assurance Level:評価保証レベル)
製品の保証要件を示したもので,製品やシステムのセキュリティレベルを客観的に評価するための指標。EAK1(機能テストの保証)から EAL7(形式的な設計の検証及びテストの保証)まであり,数値が高いほど保証の程度が厳密である。
EC(Electronic Commerce)
電子商取引
EDI(Electronic Data Interchange)
電子データ交換
EDoS(Economic Denial of Service,又はEconomic Denial of Sustainability)
クラウドサービス利用者の経済的な損失を目的に,リソースを大量消費させる攻撃。
E-R 図
実体(エンティティ)と関連(リレーションシップ)を表す図。
ERP(Enterprise Resource Planning)
企業資源計画。企業全体の経営資源を統合的に管理して経営の効率化を図るための手法。
EVM(Earned Value Management)
予算とスケジュールの両方の観点からプロジェクトの遂行を定量的に評価するプロジェクトマネジメントの技法。EVM では,次の三つの値を用いて測定し,監視する。
- PV(Planned Value:計画値)
遂行すべき作業に割り当てられた予算。計画から求められる。 - EV(Earned Value:出来高)
実施した作業の価値。完了済の作業に対して当初割り当てられていた予算を算出する。 - AC(Actual Cost:実コスト)
実施した作業のために実際に発生したコスト。実測値から求められる。
EV SSL 証明書
EV(Extended Validation)SSL 証明書とは,発行者が審査に一定の基準を設けたディジタル証明書のこと。
e - 文書法
「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律」と「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律の施行に伴う関係法律の整備等に関する法律」の総称で,電子文書法ともいう。商法や税法で保管が義務づけられている文章について,電磁的記録(電子化された文書ファイル)での保存が認められるようになった。
F
FTP(File Transfer Protocol)
ネットワーク上でファイルの転送を行うプロトコル。
G
GPKI
政府が主導する PKI は一般のものと区別し,政府認証基盤(GPKI:Government Public Key Infrastructure)と呼ばれる。
GPL(General Public License)
OSS のライセンス体系の一つで,コピーレフトの考え方に基づく。GPL のソフトを再頒布する場合には GPL のライセンスを踏襲する必要がある。
H
HIDS(ホスト型 IDS)
ホストにインストールされ特定のホストを監視する。
HMAC(Hash-based Message Authentication Code)
メッセージに秘密鍵を付加したものをハッシュ関数で変換した値。
HTTP(HyperText Transfer Protocol)
Web ブラウザと Web サーバとの間で,HTML(HyperText Markup Language)などのコンテンツの送受信を行うプロトコル。
HTTP ヘッダインジェクション攻撃
HTTP ヘッダの中に不正なスクリプトなどを注入して行われる攻撃。クロスサイトスクリプティング攻撃と同様,不正なスクリプトを実行されたり,ブラウザ上に偽の情報を表示されたりする。
I
IA(Issuing Authority:発行局)
実際に証明書を発行する機関。
IaaS(Infrastructure as a Service)
ハードウェアやネットワークなどのインフラを提供する。
IC カード
通常の磁気カードとは異なり,情報の記録や演算するために IC(Integrated Circuit:集積回路)を組み込んだカード。接触型と非接触型の 2 種類がある。
IDS(Intrusion Detection System:侵入検知システム)
ネットワークやホストをリアルタイムで監視し,侵入や攻撃など不正なアクセスを検知したら管理者に通知するシステム。
IMAP(Internet Message Access Protocol)
メールサーバ上のメールにアクセスして操作するためのプロトコル。
IPS(Intrusion Prevention System:侵入防御システム)
IDS は侵入を監視するだけで防御はできないので,防御も行えるシステムとして用意されたもの。
IPsec(Security Architecture for Internet Protocol)
IP パケット単位でデータの改ざん防止や秘匿機能を提供するプロトコル。
IP スプーフィング
サーバなどで利用する IP アドレスを偽装して,他のサーバになりすますこと。DoS 攻撃や DNS キャッシュポイズニング攻撃などと合わせて,攻撃者の身元を隠すためによく利用される。
ISMS(Information Security Management System)
情報セキュリティマネジメントシステム
ITF(Integrated Test Facility)法
稼働中のシステムにテスト用の架空口座(ID)を設置し,システムの動作を検証する。実際のトランザクションとして架空口座のトランザクションを実行し,システムの正確性をチェックする。
ITIL(Informartion Technology Infrastructure Library)
IT サービスマネジメントのベストプラクティスをまとめたフレームワーク。現在,デファクトスタンダードとして世界中で活用されている。
ITSMS(IT Service Management System:IT サービスマネジメントシステム)
IT サービス全体をマネジメントする仕組み。
IT ガバナンス
企業などが競争力を高めることを目的として情報システム戦略を策定し,戦略実行を統制する仕組みを確立するための組織的な仕組み。
IT 基本法
正式名称は「高度情報通信ネットワーク社会形成基本法」で,日本が世界最高水準の IT 国家になることを目指して制定された法律。高度情報通信ネットワークの整備や,行政の情報化などが掲げられている。
J
JPCERT/CC(Japan Computer Emergency Resonanse Team Coordination Center)
CSIRT のうち,日本全体の連携を行うコーディネーションセンター。特定の政府機関や企業から独立した組織であり,国内のコンピュータセキュリティインシデントに関する報告の受付,対応の支援,発生状況の把握,手口の分析,再発防止策の検討や助言を行っている。
JVN(Japan Vulnerability Notes)
日本で使用されているソフトウェアなどの脆弱性関連情報とその対応情報を提供する脆弱性対策情報ポータルサイト。
K
KCipher-2(ケーサイファー・ツー)
九州大学と KDDI 研究所により共同開発されたストリーム暗号。鍵長は 128 ビット。AES などと比べて 7 ~ 10 倍高速に暗号化/復号の処理をすることが可能。
KMS(Knowledge Management System)
ナレッジマネジメントを行うためのシステム。ナレッジマネジメントとは,個人のもつ暗黙知を形式知に変換することにより知識の共有化を図り,より高いレベルの知識を生み出すという考え方。フレームワークとして SECI モデルがあり,以下の 4 段階のプロセスが定義されている。
- 共同化(Socialization)
- 表出化(Externalization)
- 結合化(Combination)
- 内面化(Internalization)
KPI(Key Performance Indicator)
重要業績評価指標
L
LAN(Local Area Network)
一つの施設内で用いられるネットワーク。
M
MAC(Message Authentication Code:メッセージ認証コード)
メッセージ認証を行うときに,元のメッセージに送信者と受信者が共有する秘密鍵を加えて生成したコード。MAC を用いることで,データが改ざんされていないことに加えて,正しい送信者から送られたことを確認できる。
MAC アドレスフィルタリング
MAC アドレス(Media Access Control address)とは,同じ LAN 上でコンピュータを識別するためのアドレスであり,特定の MAC アドレスのみを通過させる仕組みのこと。無線 LAN のアクセスポイントなどで用いられる。
MD5(Message Digest Algorithm 5)
与えられた入力に対して 128 ビットのハッシュ値を出力するハッシュ関数。理論的な弱点が見つかっている。
MDM(Mobile Device Management)
会社や団体が,自組織の従業員に貸与するスマートフォンに対して,情報セキュリティポリシに従った一元的な設定をしたり,業務アプリケーションを配信したりして,スマートフォンの利用状況などを一元管理する仕組み。
MITB 攻撃(Man in the Browser Attack)
攻撃者が,被害者のパソコンに感染させたマルウェアによって,被害者のパソコンで操作される Web ブラウザ上の通信内容を盗聴したり,改ざんしたりする攻撃。
MTBF(Mean Time Between Failure:平均故障間隔)
故障が復旧してから次の故障までにかかる時間の平均。連続可動できる時間の平均値にもなる。
MTTR(Mean Time To Repair:平均復旧時間)
故障したシステムの復旧にかかる時間の平均。
N
NAPT(Network Address Port Translation)
IP アドレスだけでなくポート番号も合わせて変換する方法。
NAS(Network Attached Storage)
ファイルを格納するサーバをネットワークに直接接続することで,外部からファイルを利用できるようにする方法。
NAT(Network Address Translation)
プライベート IP アドレスをグローバル IP アドレスに 1 対 1 で対応させる。
Need-to-know(最小権限)の原則
必要最小限のアクセス権を与え,業務に必要のない情報は見せないようにすること。
NIDS(ネットワーク型 IDS)
ネットワークに接続されてネットワーク全般を監視する。
NISC(National center of Incident readiness and Strategy for Cybersecurity)
内閣サイバーセキュリティセンターで,内閣官房に設置された組織。NISC では,サイバーセキュリティ戦略の立案と実施の推進などを行っている。
NTP(Network Time Protocol)
ネットワーク上の機器を正しい時刻に同期させるためのプロトコル。
O
OCSP(Online Certificate Status Protocol)
ディジタル証明書の失効状態を取得するためのプロトコル。
OECD 8 原則
OECD(Organization for Economic Co-operation and Development:経済協力開発機構)が発表した,OECD プライバシーガイドラインに定められる次の 8 原則のこと。
- 収集制限の原則
個人情報の収集は適法かつ公正な手段によらなければならない。本人の認識や同意が必要。 - データ内容の原則
個人情報は,必要な範囲内で,正確で完全で最新のものでなければならない。 - 目的明確化の原則
収集目的は,収集時に特定されていなければならない。 - 利用制限の原則
収集目的を超えて開示,提供,利用されてはならない。 - 安全保護の原則
紛失,改ざんなどのリスクに対して安全対策が必要。 - 公開の原則
個人情報の取り扱いについて基本方針を公開する。 - 個人参加の原則
本人の求めに応じて,回答を行わなければならない。 - 責任の原則
管理者は,1 ~ 7 のルールに準拠する責任をもつ。
OLA(Operation Level Agreement)
運用レベル合意書。サービスの運用を委託する場合には,運用レベルを保証するために OLA を作成し,契約する。
OP25B(Outbound Port 25 Blocking)
迷惑メールの送信に自社のネットワークを使われないようにするための対策。直接,25 番ポートで SMTP 通信を行うことを防止する。
OSI(Open Systems Interconnection)基本参照モデル
コンピュータのもつべき通信機能を,次の七つの階層に分けて定義する。
| 層 | 名称 | 機能や役割 |
|---|---|---|
| 第 7 層 | アプリケーション層 | 通信に使うアプリケーション(サービス)そのもの。 |
| 第 6 層 | プレゼンテーション層 | データの表現方法を変換する。例えば,画像ファイルをテキスト形式に変換したり,データを圧縮したりする。 |
| 第 5 層 | セション層 | 通信するプログラム間で会話を行う。セションの開始や終了を管理したり,同期をとったりする。 |
| 第 4 層 | トランスポート層 | コンピュータ内でどの通信プログラム(サービス)と通信するのかを管理する。また,通信の信頼性を確保する。 |
| 第 3 層 | ネットワーク層 | ネットワーク上でデータが始点から終点まで配送されるように管理する。ルーティングを行い,データを転送する。 |
| 第 2 層 | データリンク層 | ネットワーク上でデータが隣の通信機器まで配送されるように管理する。通信機器間で信号の受渡しを行う。 |
| 第 1 層 | 物理層 | 物理的な接続を管理する。電気信号の変換を行う。 |
OS コマンドインジェクション
コンピュータの基本ソフトウェアである OS(Operating System)に対して,攻撃者から OS コマンドを受け取って実行してしまう攻撃。
P
PaaS(Platform as a Service)
OS やミドルウェアなどの基盤(プラットフォーム)を提供する。利用者は,サービスとして提供される OS やデータベースシステム,プログラム言語処理系などを組み合わせて利用することができる。
PCI DSS(Payment Card Industry Data Security Standard)
PCI データセキュリティスタンダードとは,クレジットカード情報の安全な取扱いのために,JCB,American Express,Discover,マスターカード,VISA の 5 社が共同で策定した,クレジット業界におけるグローバルセキュリティ基準。
PIN コード
PIN(Personal Identification Number:暗証番号)コードとは,情報システムが利用者の本人確認のために用いる秘密の番号のこと。
PKI(Public Key Infrastructure:公開鍵基盤)
公開鍵暗号方式を利用した社会基盤。政府や信頼できる第三者機関に設置した認証局(CA)に証明書を発行してもらい,身分を証明してもらうことで,個人や会社の信頼を確保する。
PMBOK(Project Management Body of Knowledge)
プロジェクトマネジメント知識体系。プロジェクトマネジメントの専門家が,「実務でこうすればプロジェクト成功の可能性が高くなる」という方法論やスキルなどを集めて作成された標準。
PMO(Project Management Office)
プロジェクトマネジメントオフィス。組織の個々のプロジェクトマネジメントの支援を横断的に行う部門のこと。プロジェクト間の要員調整などを行う。
PMS(Personal information protection Management Systems)
個人情報保護マネジメントシステム
POP(Post Office Protocol)
ユーザがメールサーバから自分のメールを取り出すときに使う。メールをクライアントにダウンロードする。
Q
R
RA(Registration Authority:登録局)
証明書の登録を受け付け,証明書を発行してもよいかどうかの審査を行う機関
RADIUS(Remote Authentication Dial In User Service)
認証と利用事実の記録を一つのサーバで一元管理する仕組み。
RAID(Redundant Arrays of Inexpensive Disks)
複数のハードディスクを接続して全体で一つの記憶装置として扱う仕組み。
RAS 技術
RASIS のうち,信頼性(Reliability),可用性(Availability),保守性(Serviceability)を向上するための技術。
RASIS
システムの信頼性を総合的に判断する基準としての概念。次の五つの評価項目を基に,信頼性を判断する。
- Reliability(信頼性):故障や障害の発生しにくさ,安全性を表す。
- Availability(可用性):稼働している割合の多さ,稼働率を表す。
- Serviceability(保守性):障害時のメンテナンスのしやすさ,復旧の速さを表す。
- Integrity(保全性・完全性):障害時や過負荷時におけるデータの書換えや不整合,消失の起こりにくさを表す。
- Security(機密性):情報漏えいや不正侵入の起こりにくさを表す。
RC4(Rivest's Cipher 4)
ビット単位で少しずつ暗号化を行っていくストリーム暗号の一種。40 ~ 256 ビットの鍵長可変。処理が高速であり,無線 LAN の暗号化技術である WEP などで使用されている。近年では安全性が低いとみなされており,解読される危険性がある。
RFI(Request For Information)
情報提供依頼書
RFP(Request For Proposal)
提案依頼書。RFP には,システムの対象範囲やモデル,サービス要件,目標スケジュール,契約条件,ベンダの経営要件,ベンダのプロジェクト体制要件,ベンダの技術及び実績評価などを含む。
RFQ(Request For Quotation)
見積依頼書。
RPO(Recovery Point Object)
システムが再稼働したときに,災害発生前のどの時点の状態までデータを復旧しなければならないかを示す指標。
RSA(Rivest Shamir Adleman)
大きい数での素因数分解の困難さを安全性の根拠とした方式。公開鍵暗号方式で最もよく利用されている。
RTO(Recovery Time Objective)
災害発生時からどれくらいの時間以内にシステムを再稼働しなければならないかを示す指標。
S
SaaS(Software as a Service)
ソフトウェア(アプリケーション)をサービスとして提供する。利用者が,インターネットを経由してサービスプロバイダのシステムに接続し,サービスプロバイダが提供するアプリケーションの必要な機能だけを必要なときにオンラインで利用する。
SAML(Security Assertion Markup Language)
インターネット上で異なる Web サイト間での認証を実現するために,標準化団体 OASIS が考案したフレームワーク。
SAN(Storage Area Network)
サーバにストレージを接続するために専用のネットワークを使用する方法。ファイバチャネルや IP ネットワークを使って,あたかも内蔵されたストレージのように使用することができる。
SCAP(Security Content Automation Protocol)
セキュリティ設定共通化手順。IPA セキュリティセンターが開発した,情報セキュリティ対策の自動化と標準化を目指した技術仕様。
SCM(Supply Chain Management)
原材料の調達から最終消費者への販売に至るまでの調達 → 生産 → 物流 → 販売の一連のプロセスを,企業の枠を超えて統合的にマネジメントするシステム。
SECURITY ACTION
安全・安心な IT 社会を実現するために創設された制度であり,IPA“中小企業の情報セキュリティ対策ガイドライン”に沿った情報セキュリティ対策に取り組むことを中小企業が宣言するもの。
SFA(Sales Force Automation)
営業支援のための情報システム。商談の進捗管理や営業部内の情報共有を行う。
SHA-1(Secure Hash Algorithm 1)
NIST が規格化した,与えられた入力に対して 160 ビットのハッシュ値を出力するハッシュ関数。脆弱性があり攻撃手法がすでに見つかっているので推奨はされない。
SHA-2(Secure Hash Algorithm 2)
SHA-1 の後継で,NIST が規格化したハッシュ関数。それぞれ 224 ビット,256 ビット,384 ビット,512 ビットのハッシュ値を出力する SHA-224,SHA-256,SHA-384,SHA-512 の総称。SHA-256 以上は電子政府推奨暗号リストにも登録されている。
SIEM(Security Information and Event Management)
サーバやネットワーク機器などからログを集め,そのログ情報を分析し,異常があれば管理者に通知する,または対策方法を知らせる仕組み。
S/Key
ハッシュ関数を利用して,ワンタイムパスワードを生成する方法。乱数で作成した種(Seed)を基に,ハッシュ関数で必要な回数の演算を行う。
SLA(Service Level Agreement:サービスレベル合意)
サービスの提供者と委託者との間で,提供するサービスの内容と範囲,品質に対する要求事項を明確にし,さらにそれが達成できなかった場合のルールを含めて合意しておくこと。サービス時間,応答時間,サービス及びプロセスのパフォーマンスなどの目標を設定する。
S/MIME(Secure Multipurpose Internet Mail Extension)
電子メールの暗号化とディジタル署名に関する標準規格
SMTP(Simple Mail Transfer Protocol)
インターネットでメールを転送するプロトコル。
SMTP-AUTH
送信メールサーバで,ユーザ名とパスワードなどを用いてユーザを認証する方法。
SOC(Security Operation Center)
セキュリティオペレーションセンターとは,セキュリティ監視を行う拠点。
SPF(Sender Policy Framework)
電子メールの認証技術の一つで,差出人の IP アドレスなどを基にメールのドメインの正当性を検証する。DNS サーバに SPF レコードとしてメールサーバの IP アドレスを登録しておき,送られたメールと比較する。
SQL インジェクション
不正な SQL を投入することで,通常はアクセスできないデータにアクセスしたり更新したりする攻撃。
SRI(Socially Responsible Investment)
社会的責任投資。
SSH(Secure Shell)
ネットワークを通じて別のコンピュータにログインしたり,ファイルを移動させたりするためのプロトコル。
SSL(Secure Sockets Layer)
セキュリティを要求される通信のためのプロトコル。
SSO(Single Sign-On:シングルサインオン)
一度の認証で複数のサーバやアプリケーションを利用できる仕組み。
ST(Security Target:セキュリティターゲット)
セキュリティ基本設計書のこと。
T
TCO(Total Cost of Ownership)
サービスを実施するためのコストだけでなく,ランニングコストなどの必要な経費を含めた総保有コスト。
TCP/IP プロトコル群(Transmission Control Protocol/Internet Protocol)
インターネットの標準であるプロトコル。
Tor
Tor(The Onion Router)は,通信経路を匿名化するための技術,及びそれを実現するソフトウェア。通信の暗号化ではなく,送信元を秘匿化する。
TPMOR(Two Person Minimum Occupancy Rule)
機密情報が保持されている部屋に 1 人だけで入室すると不正が可能になるため,最低でも 2 人以上の入室を義務付ける仕組み。部屋に誰もいないときには,2 人以上で同時に入室することを強制する。
Triple DES(3DES)
DES を 3 回繰り返して暗号化を行う方式。
U
UPS(Uninterruptible Power Supply:無停電電源装置)
停電時に数分間電力を供給し,システムを安定して停止させることができる。
URL(Uniform Resource Locator)
インターネット上でのデータやサービスがある場所を示す識別子。
URL フィルタリング
URL のリストを使用し,そのリストに当てはまるものを遮断,もしくは通過させる。
UTM(Unified Threat Management:統合脅威管理)
不正アクセスやウイルスなどの脅威からネットワークを全体的に保護するための管理手法。
V
VA(Validation Authority:検証局)
ディジタル証明書のリストを集中的に管理し,証明書の有効性を確認することに特化した組織。
VLAN(Virtual LAN:仮想 LAN)
一つのスイッチに接続されている PC を,論理的に複数のネットワークに分ける仕組み。
VoIP(Voice over Internet Protocol)
音声を符号化してパケットに変換し,IP ネットワーク上でリアルタイムに伝送を行う。
W
WAF(Web Application Firewall)
Web アプリケーションの防御に特化したファイアウォール。SQL インジェクションやクロスサイトスクリプティングなど,Web に特化した攻撃に対して細かいアクセス制御を行う。
WAF の方式には,攻撃と判断できるパターンを登録しておき,それに該当する通信を遮断するブラックリスト方式と,正常と判断できるパターンを登録しておき,それに該当する通信のみを通過させるホワイトリスト方式の二つがある。ホワイトリストはユーザが独自に設定するが,ブラックリストは通常,WAF のベンダが提供し,適宜更新するため,ブラックリストの方が追加の運用コストはかからない。
WAN(Wide Area Network)
広い範囲を結ぶネットワーク。
Wanna Cryptor(WannaCry)
SMBv1 の脆弱性を悪用するなどして感染し,PC 内のデータを暗号化してデータの復号のための金銭を要求したり,他の PC に感染を拡大したりする。
Microsoft Windows を標的としたワーム型ランサムウェア。
WBS(Work Breakdown Strucure)
成果物を中心に,プロジェクトチームが実行する作業を階層的に要素分解したもの。WBS を使うと,プロジェクトのスコープ全体を系統立ててまとめて定義することができる。
WEP(Wired Equivalent Privacy:有線同等機密)
無線 LAN でセキュリティを確保するための最も基本的な暗号方式。
WORM(Write Once Read Many)
書き込みが 1 回しかできない記憶媒体のこと。読み込みは何度でも可能。
WPA(Wi-Fi Protected Access)
無線 LAN 製品の普及を図る業界団体である Wi-Fi Alliance が WEP の脆弱性対策として策定した認証プログラム。
WPA2
WPA の改良版で,暗号化アルゴリズムとして AES 暗号ベースの AES-CCMP(AES Counter-mode with CBC-MAC Protocol)を使用する。
X
Y
Z
あ行
あ
アクセス制御技術
ネットワークにおけるアクセス権限を適切に管理し,アクセスを制御するための技術。
アドウェア
広告を目的とした無料のソフトウェア。通常は無害だが,中にはユーザに気づかれないように情報を収集するような悪意のあるマルウェアが存在する。
アプリケーションゲートウェイ型
ファイアウォールの方式の一つで,HTTP,SMTP などのアプリケーションプログラムごとに細かく中継可否を設定できるもの。
アンチパスロック
入室時の認証に用いられなかった ID カードでの退室を許可しない,または退室時の認証に用いられなかった ID カードでの再入室を許可しない方法。
い
イニシャルコスト
システムを導入するときの初期コスト。
入口対策
ウイルス対策ソフトの導入,ウイルス定義ファイルの更新。
インシデント
臨まれないセキュリティの現象(事象)で,組織の事業を危うくするおそれがあるもの
インターロックゲート
ピギーバック(共連れ)を防止するため,入退室をチェックするゲートに「1 人しか入れない空間」を用意し,自動ドアを用いることで 1 人ずつの認証を可能にする方法。
う
ウイルス(コンピュータウイルス)
狭い意味では,自己伝染機能,潜伏機能,発病機能がある悪意のあるソフトウェア。
ウォームスタンバイ
従系のシステムを本番と同じような状態で用意してあるが,すぐに稼働はできない状態で待機しておく。具体的には,サーバは立ち上がっているものの,アプリケーションは稼働していないか別の作業を行っているかで,切替に少し時間がかかる。
運用レベル合意書(OLA : Operation Level Agreement)
サービス提供者と内部グループとの間で取り交わした合意文書であり,サービス及びサービス目標を定義した文書である。
え
エディットバリデーションチェック
画面上で入力した値が一定の規則に従っているかどうかを確認し,入力のミスを検出する方法。
エンティティ
独立体,認証される 1 単位を指す。具体的には,認証される単位であるグループや機器,グループなどのこと。
お
オプトアウト
送信者のメールの発信は原則自由で,受け取りたくない場合には受信拒否を通知するという仕組み
オプトイン
受信者があらかじめメール送信の許可を送信者に与えることでメールを送ることが可能となる仕組み
オンラインストレージ
インターネット上にファイルの保管場所としてストレージを用意したサービス。
か行
か
過失犯
犯罪を行う意思がないのに注意義務を怠るなどの過失によって罪を犯してしまう攻撃者のこと。
稼働率
ある特定の時間にシステムが稼働している確率。次式で計算される。
カナリアコード
バッファオーバフロー(BOF)対策の一種で,メモリにあらかじめチェックデータを書き込んでおき,それが上書きされたときに通知する手法。
可用性(Availability)
認可されたエンティティが要求されたときに,アクセス及び使用が可能である特性。可用性を高める管理策の例として,ストレージを二重化し,耐障害性を向上させることもある。
関係データベース(リレーショナルデータベース:RDB)
テーブル間の関連でデータを表現するデータベース。
監査
ある対象に対し,順守すべき法令や基準に照らし合わせ,業務や成果物がそれに則っているかについて証拠を収集し,評価を行って利害関係者に伝えること。
完全性(Integrity)
資産の正確さ及び完全さの特性
き
キーロガー
キーボードの入力を監視し,それを記録するスパイウェア。
危殆化
考案された当時は容易に解読できなかった暗号アルゴリズムが,コンピュータの性能の飛躍的な向上などによって,解読されやすい状態となること。
機密性(Confidentiality)
認可されていない個人,エンティティまたはプロセスに対して,情報を使用させず,また,開示しない特性
脅威
システムや組織に損害を与える可能性があるインシデントの潜在的な原因
行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)
国民1人1人にマイナンバー(個人番号)を割り振り,社会保障や納税に関する情報を一元的に管理するマイナンバー制度を導入するための法律。
共通鍵暗号方式
暗号化鍵と復号鍵が同じ暗号方式。暗号方式の基本で,鍵は 1 種類しかないので秘密にしておく必要がある。そのため。秘密鍵暗号方式とも呼ばれる。
共通脆弱性評価システム(CVSS)
情報システムの脆弱性の深刻度に対するオープンで汎用的な評価手法であり,特定ベンダに依存しない評価方法を提供する。
緊急時対応計画(Contingency Plan:コンティンゼンシープラン)
サービスの中断や災害発生時に,システムを迅速かつ効率的に復旧させる計画。
金銭奪取
金銭的に不当な利益を得ることを目的に行われる攻撃。個人情報など金銭につながる情報を得ることも含まれる。
く
クラウドコンピューティング(クラウドサービス,クラウド)
ソフトウェアやデータなどを,インターネットなどのネットワークを通じて,サービスというかたちで必要に応じて提供する方式。
クラスタ
複数のコンピュータを結合してひとまとまりにしたシステムで,クラスタリングともいう。負荷分散(ロードバランス)や,HPC(High-Performance Computing:高性能計算)の手法としてよく使われる。
クラッキング
他人のコンピュータに侵入し,データの取得や改ざん,OS の破棄などの攻撃を目的としている行為のこと。
クラッシング
コストとスケジュールのトレードオフを分析し,最小の追加コストで最大の期間短縮を実現する手法を決定すること。
クリアスクリーン
食事などで自席を離れるときに他の人が PC にアクセスできないようにスクリーンにロックなどをかける対策。
クリアデスク
盗難を防止するため,自席の机に置かれているノート PC などを帰宅時にロッカーなどに保管して施錠する対策。
グリーン IT
環境側面では,地球環境に配慮した IT 製品や IT 基盤,環境保護や資源の有効活用につながる IT 利用を推進することが大切であるという思想。
クリックジャッキング
Web サイトのリンクやボタンなどの要素を隠蔽したり偽装したりしてクリックを誘い,利用者の意図しない動作をさせる手法。
クリティカルパス
プロジェクト完了までにかかる最長の経路。
クロスサイトスクリプティング(XSS:cross site scripting)
悪意あるスクリプト(プログラム)を,標的となるサイトに埋め込む攻撃。悪意のある人が用意したサイトにアクセスした人のブラウザを経由して,XSS の脆弱性のあるサイトに対してスクリプトが埋め込まれます。そのスクリプトをユーザが実行することによって,Cookie(クッキー)情報などが漏えいするなどの被害が発生する。
クロスサイトリクエストフォージェリ攻撃(CSRF:Cross Site Request Forgeries)
Web サイトにログイン中のユーザのスクリプトを操ることで,Web サイトに被害を与える攻撃。XSS との違いは,XSS ではクライアント上でスクリプトを実行するのに対して,CSRF ではサーバ上に不正な書き込みなどを行って被害を起こす。
け
検疫ネットワーク
社外から持ち込んだり,持ち出して社外のネットワークに接続した後で社内のネットワークに接続したりするコンピュータに対してマルウェア対策を行う専用のネットワーク。
こ
故意犯
犯罪を犯す意思をもって犯罪を行う攻撃者のこと。
公開鍵暗号方式
暗号化鍵と復号鍵が異なる暗号方式。鍵が 2 種類となり,暗号化を行うために公開鍵と秘密鍵のキーペア(鍵ペア)を作成する。公開鍵は他の人に公開し,秘密鍵は自分だけの秘密にしておく。
ゴーイングコンサーン(継続的事業体)
企業が将来にわたって無期限に事業を継続することを前提とした考え方。
コーポレートガバナンス
企業経営の透明性を確保するために,企業は誰のために経営を行っているか,トップマネジメントの構造はどうなっているか,組織内部に自浄能力をもっているかなどの視点で,企業活動を監督・監視する仕組み。
コールドスタンバイ
従系のシステムを,機器の用意だけをして稼働しないで待機させておく。具体的には,電源を入れずに予備機だけを用意しておいて,障害が発生したら電源を入れて稼働し,主系の代わりになるように準備する。主系から従系への切替に最も時間がかかる方法。
故障率
故障率という言葉は 2 通りの意味で使われる。
一つ目は稼働率の反対で,ある特定の時間にシステムが稼働していない確率。不稼働率とも呼ばれるもので,以下の式で計算される。
二つ目は,単位時間内にどの程度の確率で故障するかを表したもの。MTBF を使用し,次式で計算される。
個人情報
氏名,住所,メールアドレスなど,それ単体もしくは組み合わせることによって生存している個人を特定できる情報のこと。対象となる個人が死亡していたり,法人の場合には個人情報とはならない。
個人情報の保護に関する法律(個人情報保護法)
個人情報を守るために 2003 年に成立した法律
コピーレフト
著作権を保持したまま,二次的著作物も含めて,すべての人が著作物を利用・改変・再頒布できなければならないという考え方。
コンテンツフィルタリング
通信内容のキーワードなど,コンテンツの中身を基に遮断または通過させる。
コントロールトータルチェック
数値情報の合計値を確認することでデータに漏れや重複がないかを確認する方法。
コンピュータリテラシ
コンピュータを活用する能力。
コンプライアンス
法令遵守と翻訳される概念で,法令や規則などのルールや社会的規範を守ること。
コンペア法
安全な場所に保管しておいた原本と比較し,ウイルス感染を検出する方法。
さ行
さ
サービスレベル管理(SLM:Service Level Management)
最終目標は,現在のすべての IT サービスに対して合意されたレベルを達成すること,そして将来のサービスが,合意された達成可能なサービス目標を満たすように提供されること。
サイドチャネル攻撃
暗号解読手法の一つで,暗号を処理している装置の動作などを観察・測定することによって機密情報を取得しようとする攻撃。
サイトライセンス
1 台 1 台の PC ではなく,社内 LAN などのネットワーク単位でソフトウェアの利用を許可する形態。
サイバーセキュリティ
サイバーセキュリティ基本法の第二条では,「電磁的方式により記録され,又は発信され,伝送され,若しくは受信される情報の漏えい,滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置が講じられ,その状態が適切に維持管理されていること」と定義されている。
サイバーセキュリティ基本法
2014 年に制定された法律で,国のサイバーセキュリティに関する施策を推進するにあたっての基本理念や国の責務などを定めたもの。
サイバーセキュリティ戦略本部
内閣サイバーセキュリティセンター(NISC:National center of Incident readiness and Strategy for Cybersecurity)内に設置された国のサイバーセキュリティ対策の司令塔。
サイバーテロリズム
ネットワークを対象に行われるテロリズム。人に危害を与える,社会機能に打撃を与える,といった深刻かつ悪質な攻撃のことを指す。
サイバーレスキュー隊(J-CRAT)
標的型サイバー攻撃の被害低減と攻撃連鎖の遮断を支援する活動を担う。
詐欺犯
フィッシング詐欺や本物そっくりの Web サイトなどで個人情報などを摂取するような詐欺を行う攻撃者のこと。
サポートユーティリティ
装置にとってのライフラインに対する管理策のこと。サーバ室の空調や,停電を防ぐための電気,水冷,消火装置などのための水道などが考えられる。
残留リスク
リスク対応後に残るリスク。
し
時刻同期(NTP:Network Time Protocol)
時刻を同期するプロトコル。
辞書攻撃
辞書に出てくる用語を順に使用してログインを試みる攻撃。
システム監査
情報システムに関する監査。対象の組織体(企業や行政機関など)が情報システムに関連するリスクを適切にコントロールし,整備・運用しているかをチェックする。監査を受けた組織体は,監査の結果を基に,情報システムの安全性,信頼性,効率性,有効性をさらに高め,経営方針や戦略目標の実現に取り組むことができるようになる。
システム監査基準
システム監査人のための行動規範。一般基準,実施基準,報告基準から構成される。
システム管理基準
システム監査基準に従って監査を行う場合に,監査人が判断の尺度として用いる基準。
支払用カード電磁的記録不正作出等罪
人の財産上の事務処理を誤らせる目的で,その事務処理に関連する電磁的記録を不正に作るという罪。
シャドー IT
IT 部門の正式な許可を得ずに,従業員または部門が業務に利用しているデバイスやクラウドサービスのこと。
シュリンクラップ契約
パッケージの外側に契約条件が記してあり,そのパッケージの包装(シュリンク)を破った段階で契約条件に同意したとみなされる契約。
準委託契約
完成責任は発注者側にあり,ベンダ企業には仕事の完成ではなく業務の実施が求められる。善管注意義務(善良な管理者としての注意義務はある。)
情報資産台帳(情報資産目録)
情報資産とその機密性や重要性,分類されたグループなどをまとめたもの。
情報セキュリティ
コンピュータの中のデータや顧客情報や技術情報など,情報に対するセキュリティ
情報セキュリティインシデント
情報セキュリティを脅かす事件や事故のこと。単にインシデントと呼ぶこともある。
情報セキュリティ監査基準
情報セキュリティ監査人のための行動規範。
情報セキュリティ管理基準
情報セキュリティ監査基準に従って監査を行う場合に,監査人が判断の尺度として用いる基準。
情報セキュリティ啓発
情報セキュリティに関する意識や知識を向上させるための取組みを周知徹底させていく活動のこと。
情報セキュリティ事象
情報セキュリティインシデントのほかに,情報セキュリティに関連するかもしれない状況のこと。
情報セキュリティ対策基準
情報セキュリティ基本方針と,リスクアセスメントの結果に基づいて対策基準を決める。適切な情報セキュリティレベルを維持・確保するための具体的な順守事項や基準を定める。
情報セキュリティ方針(基本方針)
情報セキュリティに対する組織の基本的な考え方や方針を示すもので,経営陣によって承認される。目的や対象範囲,管理体制や罰則などについて記述されており,全従業員及び関係者に通知して公表される。
情報セキュリティポリシ
情報の機密性や完全性,可用性を維持していくための組織の方針や行動指針をまとめたもの。
ショルダハッキング
コンピュータを操作している様子を後ろから肩越しに見てパスワードなどの情報を盗み見る手法。
シンククライアント
ユーザが使うクライアントの端末には必要最小限の処理を行わせ,ほとんどの処理をサーバ側で行う方式。
真正性(Authenticity)
主体または資源が,主張どおりであることを確実にする特性
信頼性(Reliability)
意図した動作及び結果に一致する特性
す
スキャベンジング
ゴミ箱をあさってパスワードの紙を見つける手法。
スクリプトキディ
インターネット上で公開されている簡単なクラッキングツールを利用して不正アクセスを試みる攻撃者。他人の台本どおりにしか攻撃しない幼稚な攻撃者という意味が込められている。
ステークホルダ
プロジェクトに積極的に関与しているか,またはプロジェクトの実行や完了によって利益にプラスまたはマイナスの影響を受ける個人や組織。具体的には,顧客やユーザ,スポンサー,プロジェクトチームのメンバ,メンバが所属する組織,商品の納入を行う業者。
ステガノグラフィ
画像などのデータの中に,秘密にしたい情報を他社に気付かれることなく埋め込む技術。
ストアドプロシージャ
データベースへの問合せ(SQL)を一連の処理としてまとめ,DBMS に保存したもの。
スニッフィング
盗聴することでパスワードを知る方法。
スパイウェア
ユーザの情報を取得し,それを自動的に送信するソフトウェア。
スループット
単位時間当たりにシステムが処理できる処理数。
せ
脆弱性
脅威がつけ込むことができる,資産がもつ弱点。具体例としては,ソフトウェアの不具合であるバグや,セキュリティ上の欠陥であるセキュリティホールなどがある。
生体認証(バイオメトリクス認証)
指や手のひらなどの体の一部や動作の癖などを利用して本人確認を行う認証手法。生体認証の代表的なものに,指紋を利用する指紋認証,手のひらを利用する静脈認証,目を利用する虹彩(アイリス)認証,顔で認証する顔認証,声で認証する音声認証などの身体的特徴をもとにした認証がある。
責任追跡性(Accountability)
あるエンティティの動作が,一意に追跡できる特性
セキュアブート
PC の起動時に OS やドライバのディジタル署名を検証し,許可されていないものを実行しないようにすることによって,OS 起動前のマルウェアの実行を防ぐ技術。
セキュアプロトコル
セキュリティを守るためのプロトコル。TLS/SSL や IPsec を中心に,インターネットでは広く用いられている。
セキュリティトークン
認証の助けとなるような物理的なデバイスのこと。
セッションハイジャック
別のユーザのセッション ID を不正に利用することで,そのユーザになりすましてアクセスする手口。
セキュリティバイデザイン
システムの企画・設計段階からセキュリティを確保する方策のこと。
セキュリティホール
OS やアプリケーションの脆弱性
セキュリティワイヤ
物理的なセキュリティを確保するため,PC などに取り付けるワイヤ。
ゼロデイ攻撃
ソフトウェアにセキュリティホール(脆弱性)が発見されたときに,それの対処法や修正プログラムが提供されるまでの間にその脆弱性を攻撃すること。
そ
送金内容認証
金融機関などの取引で,送金内容に対してメッセージ認証を行う方式。
ソーシャルエンジニアリング
人間の心理的,社会的な性質につけ込んで秘密情報を入手する手法のこと。
ソルト
パスワードをハッシュ値に変換する際に付加されるデータ。ハッシュ関数は,そのアルゴリズムは公開されているため,同じメッセージからは同じハッシュ値を求めることができる。そのため,ハッシュ値が同じデータを見つけることで元のメッセージが推測されてしまう可能性がある。ソルトは,この推測を防ぐためにメッセージに付加するデータである。
た行
た
ターンアラウンドタイム
データの入力が始まってから,応答が完全に終わるまでの時間。
タイムスタンプ
メッセージに,ある出来事が発生した日時を表す情報を付加してタイムスタンプを作成することで作成時刻を認証する時刻認証の仕組み。
ダウンローダ
ユーザの承諾なしに新たなプログラムなどを無断でダウンロードし導入するスパイウェア。
楕円曲線暗号(Elliptic Curve Cryptography:ECC)
楕円曲線上の離散対数問題を安全性の根拠とした方式。RSA 暗号の後継として注目されている。署名アルゴリズムとして ECDSA がある。
多重防護
ウイルスに感染してしまうことを想定して,感染後の被害を回避,低減するために,複数の対策を多層で行うこと。
多要素認証
知識,所持,生体の 3 要素のうち 2 種類以上を組み合わせて認証の強度を上げる手法。
ち
チャレンジレスポンス方式
認証場所(サーバなど)が毎回異なる情報(チャレンジ)を被認証者(ユーザなど)に送る認証方式。チャレンジは,乱数や時刻などを使用して適当に決める。被認証者は,チャレンジにパスワードを加えて演算した結果(レスポンス)を返す。認証場所では,チャレンジとレスポンスを比較して認証の可否を決める。
著作権法
著作権の保護対象は著作物で,思想または感情を創作的に表現したものであって,文芸,学術,美術または音楽の範囲に属するものである。コンピュータプログラムやデータベースは著作権に含まれるが,アルゴリズムなどアイディアだけのものや,工業製品などは除かれる。
つ
て
ディザスタリカバリ
事業継続マネジメントにおける概念の一つで,災害などによる被害からの回復措置や,被害を最小限に抑えるための予防措置などのことを指す。
ディジタル署名
公開鍵暗号方式を利用した認証と改ざん検知を行う仕組み。
ディジタルディバイド
ディジタルディバイドの解消のためには,情報リテラシの習得機会を増やしたり,情報通信機器や情報サービスが一層利用しやすい環境を整備したりすることに取り組むべきである。
ディジタルフォレジックス
不正アクセスや機密情報の漏えいなどで法的な紛争が生じた際に,原因究明や捜査に必要なデータを収集・分析し,その法的な証拠性を明らかにする手段や技術の総称。
ディレクトリサービス
ネットワーク上のユーザやマシンなどの様々な情報を一元管理するためのサービス。
データサイエンティスト
主要や役割は,情報科学についての知識を有し,ビジネス課題を解決するためにビッグデータを意味ある形で使えるように分析システムを実装・運用し,課題の解決を支援する。
データマイニング
データウェアハウスなどに,統計学,パターン認識,人工知能などのデータ解析手法を適用することで新しい知見を取り出す技術のこと。
ディレクトリラバーサル
Web サイトのパス名(Web サーバ内のディレクトリやファイル名)に上位のディレクトリを示す記号(../ や ..\)を入れることで,公開が予定されていないファイルを指定する攻撃。
ディレクトリリスティング
URL でディレクトリを指定すると,ディレクトリに含まれるファイル一覧を表示する Web サーバの機能。一般的な Web サイトでは無効にする必要があり,有効になっていると,ファイル一覧などの情報が分かり,攻撃の足がかりにされる。
出口対策
マルウェアに感染した後でその被害を外部に広げないための対策。具体的には,ファイアウォールを使って内部から外部への通信を遮断する,プロキシサーバーで外部の C&C サーバとの通信を遮断するなどの方法がある。
デザリング
スマートフォンなどをネットワークの中継機器のように用いて,他のコンピュータなどをインターネットを提供すること。
デジュレスタンダード(de jure standard)
JIS(Japanese Industrial Standards:日本工業規格) や IS(International Standards:国際規格)などの標準化団体によって定められた標準規格のこと
デファクトスタンダード(de facto standard:事実上の標準)
公的に標準化されていなくても事実上の規格,基準となっているもの
デュアルシステム
二つのシステムを用意し,並列して同じ処理を走らせて,結果を比較する方式。結果を比較することで高い信頼性が得られる。また,一つのシステムに障害が発生しても,もう一つのシステムで処理を続行することができる。
デュアルライセンス
一つのソフトウェアを異なる 2 種類以上のライセンスで配布する形態。利用者は,そのうちの一つのライセンスを選ぶことになる。
デュプレックスシステム
二つのシステムを用意するが,普段は一つのシステムのみ稼働させて,もう一つは待機させておく。このとき,稼働させるシステムを主系(現用系),待機させるシステムを従系(待機系)と呼ぶ。
電子計算機使用詐欺罪
電磁的記録を用いて財産上不法の利益を犯罪を処罰する法律。虚偽の内容や不正な内容を作成する不実の電磁的記録の作出と,内容が虚偽の電磁的記録を他人のコンピュータで使用する電磁的記録の供用の 2 種類の類型が定められている。
電子計算機損壊等業務妨害罪
人の業務に使用する電子計算機(コンピュータ)を破壊するなどして業務を妨害することを処罰する法律。企業が運営する Web ページを改ざんする,またはその改ざんによって企業の信用を傷つける情報を流すなどで,業務の遂行を妨害した場合に適用される。また,実際に被害が発生せず,未遂に終わった場合にも罰せられる。
電子署名
日本の電子署名法で「電子データの作成者を特定でき,電子データが改変されていないことが確認できるもの」を指すとされている。
電子署名及び認証業務等に関する法律(電子署名法)
電子署名法により,電子署名に押印と同じ効力が認められるようになった。
電子透かし
画像や音楽などのディジタルコンテンツに情報を埋め込む技術。電子透かしには,画像の合成など,見た目で判別可能なものもあるが,通常は知覚困難である。テキストやプログラムなどの情報を埋め込むことにより,著作権情報などを明らかにし,データの不正コピーや改ざんなどを防ぐ。
電子帳簿保存法
国税関係の帳簿書類を電子保存するための法律で,2015 年 9 月に改正された。原本が紙である国税書類も,スキャナを使用して作成された電子データで保存できるようになった。
電磁的記録不正作出及び供用罪
人の事務処理を誤らせる目的で,その事務処理に関連する電磁的記録を不正に作るという罪。
テンペスト攻撃
電磁波解析攻撃の一種で,漏えい電磁波を解読する。
と
特定個人情報の適正な取扱いに関するガイドライン
特定個人情報保護委員会が策定したもので,(事業者編)と(行政機関等・地方公共団体等編)の 2 種類があり,特定個人情報を扱う際の注意点などがまとめられている。
特定電子メール法(特定電子メールの送信の適正化等に関する法律)
広告などの迷惑メールを規制する法律。
ドライブバイダウンロード攻撃
Web ブラウザなどを通して,ユーザに気づかれないようにソフトウェアなどをダウンロードさせる行為。
トランスポート層のプロトコル
トランスポート層の主なプロトコルは,TCP(Transmission Control Protocol)と UDP(User Datagram Protocol)の二つである。どちらもポート番号を使って,同じ IP アドレスのコンピュータ内でサービス(プログラム)を区別する。
トロイの木馬
悪意のないプログラムと見せかけて,不正な動きをするソフトウェア。自己伝染機能はない。
な行
な
内部関係者
従業員や業務委託先の社員など,組織の内部情報にアクセスできる権限を不正に利用して情報を持ち出したり改ざんしたりする攻撃者のこと。
に
偽セキュリティ対策ソフト型ウイルス
「ウイルスに感染しました」,「ハードディスク内にエラーが見つかりました」といった偽の警告画面を表示して,それらを解決するためとして有償版製品の購入を迫るマルウェア。クレジットカード番号などを入力させて金銭を騙し取ることが目的。
認証局(CA:Certificate Authority)
信頼される第三者機関が提供する,ディジタル証明書(公開鍵証明書)を発行する機関。
認証の 3 要素
本人認証を行うときに使用する要素(内容)には大きく次の 3 つがあり,これを認証の 3 要素 という。
- 知識
ある情報をもっていることによる認証 - 所持
ある物をもっていることによる認証 - 生体
身体的特徴による認証
ぬ
ね
の
は行
は
パーソナルファイアウォール
PC などのコンピュータ 1 台 1 台に導入する,ファイアウォール機能をもったソフトウェア。多くの場合,ウイルス対策ソフトと同時に導入される。
ハクティビズム
ハッカーの思想のことで,政治的・社会的な思想に基づき積極的にハッキングを行う。
パケットフィルタリング型
ファイアウォールの方式の一つで,IP アドレスとポート番号を基にアクセス制御を行う。
パスワード管理ツール
様々なものに設定したパスワードを忘れないように,1 か所にまとめて管理するツール。
パスワード認証
ユーザ名(ユーザ ID)とパスワードを組み合わせて行う認証。
パスワードリスト攻撃
他のサイトで取得したパスワードのリストを利用して不正ログインを行う攻撃。
パスワードリマインダ
パスワードを忘れてしまったときに,利用者が事前に秘密の質問を設定し,それに答えることで認証を行う仕組み。
パターンマッチング
ウイルス定義ファイル(パターンファイル)と呼ばれるファイルと比較することでウイルスを検出する。主流となっている手法で,既知のマルウェアのパターンを効率的に検出できる。ウイルスの元ファイルではなく,そのハッシュ値などを利用して簡便にチェックすることが一般的である。
ハッカー
コンピュータや電子回路などについて技術的に深い知識をもち,その技術を用いて技術的な課題を解決する人のことを指す。
バックドア
正規の手続き(ログインなど)を行わずに利用できる通信経路。攻撃成功後の不正な通信などに使用される。
ハッシュ
一方向性の関数であるハッシュ関数を用いる方法。データに対してハッシュ関数を用いてハッシュ値を求める。ハッシュ値の長さは,データの長さによらず一定長となる。
バッファオーバーフロー攻撃
バッファオーバーフロー(BOF)攻撃は,バッファ(プログラムが一時的な情報を記憶しておくメモリ領域)の長さを超えるデータを送り込むことによって,バッファの後ろにある領域を破壊して動作不能にし,プログラムを上書きする攻撃。
ハニーポット
一種のおとり戦法で,不正アクセスを受けるために存在するシステム。
パニックオープン
火災などの非常事態時に鍵がかかって出られないなどのリスクを避けるため,非常時に解放するシステム。非常時には生命の安全を最優先する。
ひ
ピアツーピア
端末同士で対等に通信を行う方式。P2P ともいわれる。クライアントサーバ方式と異なり,サーバを介さずクライアント同士で直接アクセスするのが特徴。
非機能要件
システム要件のうち,機能要件以外の要件。その要件に対する要求を非機能要求という。機能要求に比べて非機能要求は顧客の意識に上がってこないことが多いため,要求分析時に見落とされやすく,トラブルの原因になりがちである。
ビッグデータ
通常の DBMS で取り扱うことが困難な大きさのデータの集まりのこと。ビッグデータは,3 つの V といわれる Volume(量),Variety(多様性),Velocity(速度)のいずれかが大きいデータのことを指し,従来の定型的な処理を行うことが難しくなる。
秘匿化
情報を秘密にし,必要な人以外は読めないようにすること。
否認防止(Non-Repudiation)
ある活動または事象が起きたことを,後になって否認されないように証明する能力
ビヘイビア法
検査対象をメモリ上の仮想環境下で実行し,その挙動を監視し,ウイルスと疑われる異常な挙動(ふるまい)を検出する方法。既知のマルウェア以外に,不審な挙動をする未知のマルウェアを検出できる。
ヒューマンリソースマネジメント(HRM:Human Resource Management)
人的資源管理。人事管理や労務管理だけでなく,組織の設計や教育・訓練,報酬体系の設計,福利厚生など様々な内容が総合的に含まれる。
標的型攻撃
特定の企業や組織を狙った攻撃。
ふ
ファイアウォール(FW)
ネットワーク間に設置され,パケットを中継するか遮断するかを判断し,必要な通信のみを通過させる機能をもつもの。判断の基準となるのは,あらかじめ設定された ACL(Access Control List:アクセス制御リスト)である。
ファジング
ソフトウェアの脆弱性を発見するためのテスト手法の一つで,ファズ(予測不可能な入力データ)を与えることで意図的に例外を発生させ,その例外の挙動を確認する。
ファストトラッキング
順を追って実行するフェーズやアクティビティを並行して実行するというスケジュール短縮手法。
ファブレス
ファブ(fabrication facility:工場)を所有せずに製造活動を行う企業のこと。具体的には,製品の企画設計や開発は行うが,製造は自社工場では行わず,EMS(Electronics Manufacturing Service:電子機器受託生産サービス)などを行う企業などに委託する。製品は,OEM(Original Equipment Manufacturer:相手先ブランド名製造)での供給を受けるかたちで,自社ブランドとして販売する。
ファンクションポイント法(FP 法)
ソフトウェアの機能(ファンクション)を基本にして,その処理の複雑さから算出する。
フィッシング
信頼できる機関を装い,偽の Web サイトに誘導する攻撃。
フールプルーフ
ヒューマンエラー(利用者が行う間違った操作)が起こっても危険な状況にならないようにするか,そもそも間違った操作ができないようにする設計手法。
フェールセーフ
システムに障害が発生したとき,安全側に制御する方法。
フェールソフト
システムに障害が発生したとき,障害が起こった部分を切り離すなどして最低限のシステムの稼動を続ける方法。
フォールトアボイダンス
個々の機器の障害が起こる確率を下げて,全体として信頼性を上げるという考え方。
フォールトトレランス
システムの一部で障害が起こっても,全体でカバーして機能停止を防ぐという設計手法。
フォールトマスキング
機器などに故障が発生したとき,その影響が外部に出ないようにする方法。具体的には,装置の冗長化などによって,1 台が故障しても全体に影響がないようにする。
不正アクセス
不正アクセス禁止法に定義された不正アクセス行為や不正アクセスを助長する行為のこと。
不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)
インターネットなどでの不正アクセスを規制する法律。ネットワークへの侵入,アクセス制御のための情報提供なども処罰の対象としている。
不正アクセス禁止法では,被害がなくても不正アクセスをしただけ,またはそれを助けただけの助長行為も処罰の対象になる。さらに,不正アクセスを行わなくても,その目的で利用者の ID やパスワードの情報を集めただけで,不正に保管する行為として処罰の対象となる。
不正競争防止法
事業者間の不正な競争を防止し,公正な競争を確保するための法律。
不正指令電磁的記録に関する罪(ウイルス作成罪)
マルウェアなど,不正な支持を与える電磁的記録の作成および提供を正当な理由がないのに故意に行うことを処罰する法律。2011 年に改正された刑法で新たに追加された。
不正のトライアングル理論
人が不正行為を実行するに至るまでには,機会,動機,正当化の三つの不正リスク(不正リスクの 3 要素)がそろう必要があると考えられている。米国の犯罪学者である D. R. クレッシーが提唱。
プッシュ型
相手の行動にかかわらず情報を提供する情報配布の形態。
フットプリンティング
攻撃の準備として,ネットワーク上に存在している情報を収集すること。
踏み台攻撃
関係のない第三者に,サーバなどを中継に利用されること。迷惑メールを送る中継地点などとしてメールサーバが利用されるという攻撃。
プライバシポリシ
収集した個人情報をどう扱うのかを定めた規範のこと。個人情報保護方針ともいう。
プライベート CA
組織の中には,自営で CA を立ち上げ,公共の第三者機関ではなく自らがディジタル証明書を発行するところもある。このような CA をプライベート CA という。
プリペイド型電子マネー
プリペイド式(前払い方式)の電子マネーは,現金などでの購入が可能なため,身元を明かさずにお金を支払うことが可能となる。
プル型
相手の行動に応じて情報を提供する情報配布の形態。
ブルートフォース攻撃(総当たり攻撃)
適当な文字列を組み合わせて力任せにログインの試行を繰り返す攻撃。
プロキシサーバ
クライアント(PC など)の代わりにサーバに情報を中継するサーバ。社内ネットワークからインターネットへのアクセスを中継し,Web コンテンツをキャッシュすることによってアクセスを高速にする仕組みで,セキュリティ確保にも利用される。
プロトコル
コンピュータとコンピュータがネットワークを利用して通信するために決められた約束事。
プロバイダ責任制限法
プロバイダが負う損害賠償責任の範囲や,情報発信者の情報の開示を請求する権利を定めた法律。正式名称は,「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」という。
分散処理システム
複数のプログラムが並列的に複数台のコンピュータで実行され,それらが通信しあって一つの処理を行うシステム。分散処理システムでは複数の場所で処理を行うが,利便性の面では,利用者にその場所を意識させず,どこにあるプログラムも同じ操作で利用できることが大切である。これをアクセス透過性という。
へ
ベースラインアプローチ
情報セキュリティ対策を検討する際の手法の一つで,基準とする望ましい対策と組織の現状における対策とのギャップを分析する。
ペネトレーションテスト
システムに実際に攻撃して侵入を試みることで,脆弱性検査を行う手法。
ベンチマーキング
業務やプロセスのベストプラクティスを探し出して分析し,それを指標(ベンチマーク)にして現状の業務のやり方を評価し,変革に役立てる手法。
ほ
ポートスキャナ
Web サーバで稼働しているサービスを列挙して,不要なサービスが稼働していないことを確認するツール。
ポートスキャン
サーバの TCP や UDP のポート番号に対して順番にアクセスを行い,その返答を確認することでどのポートが有効であるかを確認する手法。
ポストペイ型電子マネー
ポストペイ式(後払い方式)の電子マネーは,クレジットカードと同様の信用照会が必要となる。
ボット
インターネット上で動く自動化されたソフトウェア全般を指す。不正目的のボットがボットネットと協調して活動し,様々な攻撃を行う。例えば,離れたところから遠隔操作を行うことができる遠隔操作ウイルスはボットに該当する。
ホットスタンバイ
従系のシステムを常に稼働可能な状態で待機させておくこと。具体的には,サーバを立ち上げておき,アプリケーションや OS などもすべて主系のシステムと同じように稼働させておく。そのため,主系に障害が発生した場合には,すぐに従系への切替が可能である。
ボットハーダー
ボットを統制してボットネットとして利用することでサイバー攻撃などを実行する攻撃者のこと。
ボリュームライセンス契約
一つのソフトウェアに複数の使用権(ライセンス)をまとめた契約。5 台までなど,インストールできる PC の数を制限し,1 台ずつの契約よりも割引価格で購入できるものが一般的である。
ま行
ま
マクロウィルス
表計算ソフトやワープロソフトなどに組み込まれている,マクロと呼ばれる簡易プログラムに感染するプログラム。
マトリックス組織
構成員が,自己の専門とする職能部門と特定の事業を遂行する部門の両方に所属する組織。
職能別組織(人事,営業,システムなどの職能で分ける)と事業部制組織(製品やサービスごとに事業部を分ける)を合わせた組織。
み
ミッションクリティカルシステム
障害が起こると企業に重大な影響を及ぼすため,24 時間 365 日常に稼働し続ける必要があるシステム。
む
め
も
や行
や
ゆ
愉快犯
人や社会を恐怖に陥れて,その様子を観察して喜ぶことを目的にサイバー犯罪を行う攻撃者のこと。
よ
要求定義
システムや業務全体の枠組みやシステム化と範囲と機能を明らかにすること。
要配慮個人情報
本人の人種,信条,社会的身分,病歴,犯罪の経歴,犯罪により害を被った事実その他本人に対する不当な差別,偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
ら行
ら
ランサムウェア
システムのアクセスを制限し,その制限を解除するための代金(身代金)を要求するソフトウェア。
ランニングコスト
運用コスト。
り
リスク
ある脅威が脆弱性を利用して損害を与える可能性。
まだ起こっていないが,もしそれが発生すれば,情報資産に影響を与える事象や状態のこと。
リスクアセスメント
それぞれの情報資産について,その脅威を洗い出し,脆弱性を考慮することによってリスクの大きさを推定すること。一般的に情報セキュリティリスクの大きさは,次式で表される。
リスク基準
情報セキュリティアセスメントを実施するための基準。
リスク源(リスクソース)
リスクを生じさせる力を持っている要素のこと。
リスクコントロール
技術的な対策など,なんらかの行動によってリスクに対応すること。
リスク受容基準
リスクに対して対策を実施するかどうかを判断する基準。
リスク所有者
リスクの運用管理に権限をもつ人のこと。実質的には,情報資産を有する組織の役員やスタッフが該当すると考えられる。
リスク対応
リスク分析の結果を基に,プロジェクト目標に対する好機を高め,脅威を減少させるための選択肢と方法を策定すること。
リスクファイナンシング
資金面でリスクに対応すること。
リスク分析
リスクの特質を理解し,リスクレベルを決定するプロセス。
リスクの発生確率とその影響度を策定し,プロジェクトへの影響を分析する。大まかにリスクの優先順位付けを行う定性的リスク分析と,リスクの影響を定量的に分析する定量的リスク分析がある。
リスクベース認証
通常とは異なる環境からログインをしようとする場合などに,通常の認証に加えて,合言葉などによる認証を行う認証方式。
リバーシプロキシ
プロキシサーバとは逆に,Web サーバなどの代わりのサーバ(リバーシプロキシサーバ)が,クライアント(PC など)からサーバへのアクセス要求を代理で集中して受け付け,サーバに中継すること。
リプレイ攻撃
パスワードなどの認証情報を送信しているパケットを取得し,それを再度送信することでそのユーザになりすます攻撃。パスワードが暗号化されていても使用できる。
リモートロック機能
MDM(モバイル端末管理)ツールの機能で,端末の紛失・盗難時にスマートデバイスをロックする。
リモートワイプ機能
MDM(モバイル端末管理)ツールの機能で,出荷時の状態に戻す。
る
ルートキット(rootkit)
セキュリティ攻撃を成功させた後に,その痕跡を消して見つかりにくくするためのツール。
れ
レインボー攻撃
パスワードがハッシュ値で保管されている場合に,あらかじめパスワードとハッシュ値の組合せリスト(レインボーテーブル)を用意しておき,そのリストと突き合わせてパスワードを推測し不正ログインを行う攻撃。
レスポンスタイム
システムにデータを入力し終わってから,データの応答が開始されるまでの時間。
ろ
ローカルデスク
サービスデスクを利用者の近くに配置することによって,言語や文化が異なる利用者への対応,専門要員による VIP 対応などができる。
わ行
わ
ワーム
独立したプログラムで,自身を複製して他のシステムに拡散する性質をもったマルウェア。感染するときに,宿主となるファイルを必要としないことが特徴。
割れ窓理論
軽微な不正や犯罪を放置することによって,より大きな不正や犯罪が誘発されるという理論。
ワンタイムパスワード
ネットワーク上に流れるパスワードを毎回変える手法。
を
ん
コンテンツ
情報セキュリティマネジメント試験に合格するためのコンテンツです。
参考文献
徹底攻略 情報セキュリティマネジメント教科書 令和5年度
本書全文の電子版(PDF)やスマートフォンで学べる単語帳ウェブアプリ「でる語句200」といった読者限定特典付き。さまざまな角度から合格力アップをサポートしている。(インプレス,2022年12月20日発売,584 ページ)
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/1ee2a380.5327b49b.1ee2a381.6d6071b3/?me_id=1213310&item_id=20822701&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fbook%2Fcabinet%2F5710%2F9784295015710_1_3.jpg%3F_ex%3D240x240&s=240x240&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
令和05年 情報セキュリティマネジメント 合格教本
メディアでも活躍する情報セキュリティのプロフェッショナル・岡嶋裕史先生が,わかりやすいイラストを交えながら解説。解説する内容は過去の出題実績に即して厳選されているので,この本を読みさえすれば必要な知識がたしかに身につけられる。(技術評論社,2022年12月5日発売,432 ページ)
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/1ee2a380.5327b49b.1ee2a381.6d6071b3/?me_id=1213310&item_id=20797832&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fbook%2Fcabinet%2F1463%2F9784297131463_1_5.jpg%3F_ex%3D240x240&s=240x240&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
情報処理教科書 出るとこだけ!情報セキュリティマネジメント テキスト&問題集 2023年版
Amazon で情報セキュリティスペシャリストの資格・検定ベストセラー 1 位。初心者でも挫折しない学習書で,入門から合格まで丁寧に導いてくれる。(翔泳社,2022年11月21日発売,488 ページ)
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/1ee2a380.5327b49b.1ee2a381.6d6071b3/?me_id=1213310&item_id=20775060&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fbook%2Fcabinet%2F8011%2F9784798178011_1_144.jpg%3F_ex%3D240x240&s=240x240&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")