通信 > セキュリティ
ID、パスワード入力による認証後、別の方法でもう一度認証を行うシステム。 1段階よりも安全性が高くなる。
Certification Authorities. 個人や団体を保証する証明書を発行する認証機関。 電子署名法施行により設置された。
業務
主な機関
種類
Common Vulnerability Scoring System. 共通脆弱性評価システム。
ソフトウェアやシステム上の脆弱性深刻度を評価する国際的指標。
Denial of Service Attack. 大量のデータを送りつけることにより負荷をかけ、 攻撃対象のサービスをダウンさせる。
Distributed Denial of Service Attack. 分散サービス妨害。 第三者のコンピュータにウィルスなどを攻撃プログラムを設置、 多数のマシンから同時に大量のデータを送りつけ、サービスをダウンさせる。
GDPRを参照。
General Data Protection Regulation. EU一般データ保護規則。
EEA(EU加盟28カ国およびアイスランド、リヒテンシュタイン、ノルウェー)の 個人データ保護を目的とした管理規則のこと。 2018/5/25から適用開始。
前身はEUデータ保護指令(Directive 95/46/EC)。
HTTP Strict Transport Security. 中間者攻撃防止の技術。 WebサイトがブラウザにHTTPSでのアクセスを指示することにより中間者攻撃を防止する。
Intrusion Detection System.侵入検知システム。 不正アクセスの兆候を発見した場合はただちに管理者に通報するシステム。
IP Security. インターネットを使ってVPNを構築する際に利用されるプロトコル。
ネットワーク層に位置する。ネットワーク層はIPである必要がある。
IPv4ではオプション仕様、IPv6では標準プロトコルとして採用。
AH、ESP、IKE等のプロトコルから構成。
相手ノードと鍵交換を行うプロトコルはIKEを用いる。
ESPは認証機能があるため、AHを使用しないことも可能。
通信モードはトランスポートモード、トンネルモードがある。
Intrusion Prevention System. 侵入防止システム。
不正を検知すると通信を遮断する。
システムを構成する機器がどれだけのセキュリティを実装しているか示すための国際基準。 PP(セキュリティ要求仕様書)、ST(セキュリティ基本設計書)で構成。 これにEAL1からEAL7までの評価が与えられる。 EAL5以上は特殊な用途に限られている。
Open Web Application Security Project. 2001年設立のアメリカのオープンコミュニティ。 ソフトウェアのセキュリティを向上させるための活動をおこなっている。
運営はOWASPファウンデーション。
2003年よりWebアプリケーションのセキュリティに関する重大なリスクについてのレポート、 OWASP Top 10を公開している。
Remote Code Execution. リモートコード実行。 遠隔から送信されたコードが実行可能になる脆弱性。
ハッシュ関数の一つ。 NISTがMD4を改良して開発。160ビットのハッシュ値を出力する。 脆弱性が発見されており、近年はSHA-2への移行が進められている。
ハッシュ関数の一つ。 SHA-224、SHA-256、SHA-384、SHA-512の総称。-の後の数字は 出力されるハッシュ値のビット値を示す。
Secure SHell. 別のコンピュータを遠隔操作するためのシェル。 通信経路は 公開鍵暗号と秘密鍵暗号の組み合わせにより暗号化される。
Secure Socket Layer. デジタル証明書を利用した改ざん検出、ノード認証を含む統合セキュアプロトコル。 ネットスケープコミュニケーション社が開発。
セッション層で動作する。 HTTP、FTP等からは意識せず利用できる。
2015年現在よく使われているのはSSL 3.0。
Unified Threat Management. 統合脅威管理、統合型脅威管理。
ファイアウォール、アンチウイルス、アンチスパム、Webフィルタリング、 IDS、IPS等を1つに集約したもの。
Message Digest 5. ハッシュ関数の一つ。 任意の長さの原文をもとに128ビットの値を生成する。 1991年に考案、IETFによりRFC1321として標準化された。 2018年現在はセキュリティ用途で使用するのは安全といえない状態になっている。
インターネットの暗号化通信に使われるオープンソースのライブラリ。 SSLとTLSの機能をもつ。
Transport Layer Security.
セキュアプロトコルの一つ。 SSL3.0を元にIETFによりRFCとして定められた。 互換性はないが、機能的なものは同じ。
OSIトランスポート層とアプリケーション層の間のプロトコルで、 HTTP、FTP等からは意識せず利用できる。
利用にはサーバが認証局(CA)からサーバ証明書を発行してもらう必要がある。
公開鍵暗号方式(RSA)、共通鍵暗号方式(AES)が用いられる。
SSLの名称が普及しているためかTLSもSSLとして扱われることが多い。
2021年現在1.0と1.1は使用を非推奨としている(RFC 8996)。
Virturl Private Network.仮想専用線。 インターネットを専用線のように使う技術。 認証、暗号化技術を用いてアクセスが許可されたユーザー以外は通信内容にアクセスできないようにしている。
下位層のプロトコルで暗号化等の処理を行うことにより上位層のアプリケーションに依存することなく 通信路をセキュアにする。
Web Application Firewall. Webアプリケーションの脆弱性を突いた攻撃からの防御に特化したシステム。 IDS、IPSでは検知できない攻撃に対応できる。
ルータ等の装置でパケットを監視すること。
コンピュータウイルスを参照。
ユーザに見えないかたちで保存されるプログラム。 自動的に増殖する、データを破壊する等悪意のある動作を伴う。
以下の機能のいずれかを持つものと定義される。
一見正常に見えるプログラム。特定条件時に発動し、ファイルの削除などをおこなう。 増殖はしない。名前の由来は古代ギリシアの詩人ホメロスの斜事詩「イリアス」より。
ウイルス等が作成するシステムの抜け道のこと。 システムへの不正侵入を容易にする。
ハッシュ関数。任意の長さの入力データを元に 固定長のビット列(ハッシュ値)を出力する関数のこと。 ハッシュ値はMDとも呼ばれる。
ハッシュ値は入力データの長さに関係なく必ず固定長になる データが同じ場合同じハッシュ値が出力される。
ハッシュ値からは入力データは逆算、推測できない。 同じハッシュ値が生成される可能性は非常に低い。
入力値の長さに関係なく固定長の出力データを得る関数。 得られた値はハッシュ値と呼ばれる。
2014年に発覚したOpenSSLのバグのこと。 TLSのハートビート拡張プログラムのエラー処理に由来する。
インターネット等とローカルネットワークの境界に設置し、 不正なデータの通過を防止するシステムのこと。
攻撃を行うコンピュータの全ポートにパケットを送信し、 応答の有無を確認すること。 コンピュータでどのサービスが稼動しているか推測する。
ワームの一種。攻撃者が遠隔操作することができるプログラム。 動作がロボットに似ているためこう名づけられた。
ボットを束ねてネットワーク化したもの。 特定のターゲットに一度に大規模な攻撃を仕掛けることが可能。
ウイルス、ワーム、トロイの木馬、 スパイウェア、ボットを含む悪質なコードの総称。
身代金要求型ウイルス。 ランサム(ransom)は身代金の意。 感染した端末を暗号化して使用できなくし、 元に戻すことと引換に身代金を要求するウイルス。 2016年より被害が急増している。
虫の意味。 ネットワーク経由で侵入、感染すると他のPCに渡り歩いて増殖するプログラム。単独で動作可能。