公開: 2023/8/10
改訂: 2023/10/26
# キーワード集
- 公式問題集に出てきたCISSP関連キーワードを並べます。
- これらのキーワードを覚えたらCISSPも受かるはず!という期待をしています。
注意事項!
個人的に調べた内容を記載しておりますが、その内容に関する保証はありません。
もし、誤っている箇所に気付いた場合は、こっそり教えて頂けると幸いです。
# 0-9
# 2DES
- DES暗号を2回繰り返す暗号方法式です。
- DES暗号は鍵の短さからブルートフォースで破られてしまうようになったことを背景に、暗号化を2回繰り替えることで、総当たり攻撃に強くなりました。
# 3DES
- 保存中のデータ(data in rest)と転送中のデータ(data in transit)の暗号化に使われる技術です。
- 暗号強度を高めるため、複数の暗号鍵を使い、暗号化と復号を3回繰り返す暗号化方式です。
- 3回の暗号化に同じ鍵を使ったら弱い暗号文になってしまうので、鍵は2つ以上を使う必要があります。
- 従来のDESが、コンピュータの性能向上に伴い安全性を確保できなくなり、3DESが考案されました。
- トリプルディーエーエスと読みます。
# 5 Factor authentication / 認証の5要素
- 認証に関する5つの要素です。
- ①知っていること
- ②持っているもの
- ③その人自身
- ④その人の行動
- ⑤その人の場所
# 802.1x
- LAN接続時の認証に使用する規格です。
- RADIUS等の認証サーバでID/パスワードによる認証が通った場合のみ、社内のネットワークに接続できるように設定できます。
- 認証通信にはEAPが使用されます。
# 802.11g / 802.11G
- 無線LANの標準規格です。
- 2.4GHzを使い、最大速度は54Mbpsです。
# 802.11a / 802.11A
- 無線LANの標準規格です。
- 5.0GHzを使い、最大速度54Mbpsです。
- 5.0GHzは屋外で利用できません。(電波法の定めにより)
- 50.GHzは壁等の遮蔽物に弱い特徴があります。
# 802.11n / 802.11N
- 2.4GH と 5.0GHz いずれかを使います。
- 速度は最大600Mbpsです。
- 複数のアンテナを組み合わせて使う MIMO(Multiple Input Multiple Output)という技術によって高速通信を実現しています。
# UDP scan
- UDP通信を送ることで、ポートの空き状況を調べる攻撃手法です。
- ポートが空いている場合、返信が来ないことが特徴です。
# A
# ACE: access control entry / アクセス制御エントリー
- あるユーザに対する1つのアクセス権定義のことです。
- アクセス制御エントリーの集まりを、ACL(アクセス制御リスト)と言います。
# ACL: Access control list / アクセス制御リスト
- Windowsで使われる機能で、ファイル等のアクセス権を定義したものです。
- リソースに対して設定を行います。
# Access Control Matrix / アクセス制御マトリクス
- アクセスするユーザと、アクセス先のシステムについて、アクセス権限をマトリクス表で表現したものです。
- 例えば、読み取り、実行、書き込み、削除といった権限を埋めることで、誰がどのシステムにどのような権限を持っているか、すぐ分かるようにします。
# Account management assessment / アカウント管理評価
- アカウントの棚卸のことです。
- 第一優先は特権アカウントの評価です。
- 最もリスクが高いからです。
- 第二優先は、ランダムなアカウントの評価です。
- 特権クリープ等を発見するためです。
# Account review / アカウントレビュー
- その人が持つ特権の保有状態を棚卸しして、適正な状態であるか確認することです。
# ACID特性
- トランザクション処理に求められる4つの特性から頭文字を取ったものです。
- ①原子性(Atomicity)
- ②一貫性(Consistency)
- ③独立性(Isolation)
- ④永続性(Durability)
# ADFS: Active directory federation service / フェデレーション
- ADを使ったSSOの仕組みです。
- 複数組織間でID情報を使用できるので、ビジネスパートナー間での認証認可ができるようになります。
# Active monitoring / アクティブ監視
- 監視側からアクションを起こす監視方法です。
- PINGを用いた死活監視等が該当します。
# ASLR: Address Space Layout Randomization / アドレス空間レイアウトのランダム化
- OSが有するセキュリティ機能の1つです。
- ヒープやスタックが使用するメモリ空間をランダム配置することで、バッファオーバーフローの攻撃を阻止します。
# ARP: Address Resolution Protocol
- アドレス解決プロトコルです。
- IPアドレスからMACアドレスを求めます。
- OSI参照モデルにおけるデータリンク層で機能します。
- アープと読みます。
# Administrative controls / 管理的コントロール
- 規則やポリシーによるセキュリティ対策を施すことをいいます。
- 例えば、セキュリティ規則、職務分離のルール等があります。
- 従業員向けのセキュリティ教育も管理的コントロールの一種です。
# Ad hoc mode / アドホックモード
- 無線LAN動作モードの一つです。
- 無線アクセスポイントを「介さずに」、PC同士が直接に通信する形態をいいます。
- ニンテンドーDSやPSP等で使われている技術です。
# AES: Advanced Encryption Standard / 先進的暗号化標準
- 保存中のデータ(data in rest)と転送中のデータ(data in transit)の暗号化に使われる技術です。
- 対称暗号(暗号化キーと復号キーが同じ)方式を使います。
- 鍵の長さを 128/192/256bit から選択することができます。
# Aggregate / 集約
- 事実情報を組み合わせることで、それぞれに設定された分類レベルより高いレベルの情報を導き出せる状態を言います。
# Aircrack-ng
- Wifi等のパスワードを盗み出すツールです。
# ALE: Annual Loss Expectancy / 年間損失予測
- 障害が発生した時の損害額を1年単位に均した金額です。
- 単一損失予測(SLE)×年間発生頻度(ARO)で計算されます。
# ARO: Annual Rate of Occurrence / 年間発生頻度
- リスクが1年あたりに実際に発生する予想頻度です。
- 例えば、100年に1回の頻度であれば、AROは 0.01 (1回/100年) と計算されます。
# Application level gateway firewall / アプリケーションレベルゲートウェイ
- アプリケーションが交換する情報にアクセス制限をします。
- 例えば、バッファオーバーフロー等の通信を制御する。
- Webに特化したものはWAFと呼ばれます。
- フィルタする各サービスに対して複数のプロキシーを使用します。
# ARP Spoofing / ARPスプーフィング
- IPアドレスに対する通信を改ざんし、別のMACアドレスを返す攻撃です。
- MITM 攻撃等で使用されます。
# Asynchronous token / 非同期トークン
- 認証に使うワンタイムパスワードを生成する機器あるいはソフトウェアです。
- チャレンジレスポンスを使い、生成された文字列のみで認証を行います。
# Asymmetric encryption / 非対称暗号
- 送信中のデータ(data in transit)を暗号化するために使われる技術です。
- 公開鍵と秘密鍵を用意する方法のため、暗号化のキーと復号キーが異なります。
- 人数×2個 の鍵が存在します。
# Atomicity / 原子性
- トランザクションが全て実行されるか、全く実行されないかのいずれかになる特性のことです。
# AAA: Authentication - Authorization - Accounting
- AAAは、Athentication、Authorization、Accountingの頭文字です。
- 認証認可課金と訳されます。
- 誰が、何にアクセスするかを制御し、その記録を残る機能のことです。
- 認証ではアクセスが許可されたユーザかどうかを判定します。
- 認可ではアクセス可能な範囲に制限を掛けます。
- 課金ではログイン時間使用コマンド接続時間等を監視します。
# Authentication / 認証
- システムにアクセスする人が、その本人であることを確認することです。
# Authorization / 認可
- システム利用者に対して、適切なアクセス権限を与えることです。
# AH: Authentication Header / 認証ヘッダー
- IPsecで使われる認証機能のプロトコルです。
- 元のパケットにAHというヘッダ情報を挿入することで、認証を実現します。
# Authorized scan / 認証スキャン
- 認証済みのアカウントを使って脆弱性のスキャンを行う手法です。
- 構成ファイルにアクセスする権限を持つため、より正確なテスト結果を得ることができます。
# Automated account provisioning / 自動化アカウントプロビジョニング
- ソフトウェア等により自動でアカウントを生成するプロセスのことをいいます。
# Automated recovery / 自動復旧
- 発生トリガーをあらかじめ定めておき、条件に合致した時に自動で復旧を行う手法です。
# APIPA: Automatic Private IP Address
- DHCPサーバが見つからない時に、人手を介さずネットワーク機器と交渉通信を行い、IPアドレスの自動割り当てを行う機能です。
- APIPAアドレスとして、169.254.0.0 ~ 169.254.255.255 が割り当てられています。
# Awareness / 意識啓発
- セキュリティに意識を向けることです。
- リスクがあることを理解してもらうような教育活動をいいます。
- あくまで意識を向けさせることが重要で、できるようにすることは別です。
# B
# Background check / バックグラウンドチェック
- 人材の採用にあたって、候補者の経歴に虚偽が無いかを調査することです。
# Bad sector / 不良セクター
- ハードディスク等の記憶媒体における、障害によって利用できなくなった領域のことをいいます。
# Baseline / ベースライン
- 最低限実施すべきセキュリティの対策水準を言います。
- データごとに異なる対策を求める場合、データごとに設定された「分類ラベル」によって、対策強度を決定します。
# Baseline configulation / ベースラインコンフィギュレーション
- システムやアプリケーションに必要なセキュリティ設定の基準です。
- セキュリティポリシーを遵守する形で作成します。
- ただし、実装ニーズに合わせてカスタマイズすることもできます。
# Bastion host / 要塞ホスト
- DMZに設置されるセキュリティを厳重にしたサーバです。
- ログの保管等に向いています。
# Bcrypt / ビークリプト
- パスワードをハッシュ化して保存するための関数です。
- blowfish暗号が元になっています。
- ソルト(原文に文字を足す手法)や、ストレッチ(ハッシュ化を繰り返す方式)によってセキュリティを高めています。
す。
# Beacon frame / ビーコンフレーム
- 無線LANで使われる通信です。
- アクセスポイントのSSIDをブロードキャストすることで、端末から無線LANの存在を認識できるようになります。
# Bell LaPadula / ベルラパデューラモデル
- 情報の機密性(confidential)を守るためのセキュリティモデルです。
- ファイル(オブジェクト)とアクセスする人(サブジェクト)に対してセキュリティレベルでランクを付け、そのランクによって読み取りや書き込みを制限します。
- 強制アクセス制御モデル(MAC)の一種です。
- このモデルでファイルにアクセスするためには、いくつかの前提があります。
- オブジェクトの前提
- すべてのデータに管理ラベルを設定すること
- サブジェクトの前提:
- クリアランス(権限)があること
- 対象のファイルに対して知る権利があること
- なりすましではないこと
- オブジェクトの前提
- このモデルで制限されるルールは3つあります。
- ①単純セキュリティ属性: 上位データを読み取りさせないこと
- ②スター属性: 下位データに書き込みさせないこと
- ③強化スター属性: 同じランクなら読み書きできること
# Benchmark / ベンチマーク
- 基準のことです。
- 自分たちの現状と比較する目的でベンチマークを設定します。
# Best evidence rule / 最良証拠ルール
- 証拠品としては「オリジナル」を提出すべきですが、それが不可能な場合に限り、コピーを証拠品として受理できるルールです。
- 逆に言うと、契約の原本が利用できる場合、文書の写しは証拠として認められません。
# Biba / ビバモデル
- 情報の完全性(Integrity)を守るためのセキュリティモデルです。
- まず、ファイル(オブジェクト)とアクセスする人(サブジェクト)の両方に対して、完全性の度合いでランクを付けます。
- そのお互いのランクによって読み取りや書き込みをコントロールします。
- このモデルで制限されるルールは2つあります。
- ①スター属性: 上位のデータに書き込めない
- ②単純完全性属性: 下位のデータを読み込めない
# Bitrot / ビット腐敗
- ストレージの劣化により、データが徐々に壊れてしまう現象のことをいいます。
- 電荷を失ったり、エラーで0/1が反転することにより、データが破損したり、ハードディスクが故障する恐れがあります。
# Black out / ブラックアウト
- 長期間にわたって電力供給が途絶えた状態になることを言います。
# Blowfish / ブローフィッシュ
- 共通鍵(暗号化と復号の鍵が同じ)を使う暗号化方式です。
- ユーザー自身が鍵の長さ(32~448bit)を選択できる特徴があります。
- Blowfishはフグのことです。
- また、個人所有のデバイスが増えていることもあり、スキャン自体が困難な場合があります。
# Blue box / ブルーボックス
- 電話回線をハッキングするツールです。
- スティーブジョブスが作ったことで有名です。
# Blue snarfing / ブルースナーフィング
- Bluetooth対応デバイスに密かに接続し、デバイス内のデータを狙う攻撃です。
# Blue jacking / ブルージャッキング
- Bluetooth経由で一方的に迷惑メッセージを送信する攻撃です。
# Bounds / 範囲
- 他のプロセスに影響が無いような配慮をしてソフトウェアを動かす方法です。
- Boundsは、アクセス可能なリソース(メモリロケーション等)を指定し、アクセスを制限することです。
# Bounds checking / 境界チェック
- 入力された値が想定された範囲内にあるかを確認することを言います。
- 例えば、バッファオーバーフロー対策として、数値やデータ型を確認するような対応です。
# Bredge / ブリッジ
- MACアドレスで通信の交通整理を行う機能を有する機器です。
# Brewer Nash / ブルーワナッシュモデル
- 組織内の情報の流れに着目したセキュリティモデルです。
- インサイダー等を防止するため、アクセス履歴に従って、アクセス権を動的に変更させる特徴があります。
- 例えば、コンサルタント業界では競合他社へのアクセスを禁ずるチャイニーズウォールを構築する等があります。
# Broadcast domain / ブロードキャストドメイン
- ブロードキャスト通信が届くネットワーク範囲のことをいいます。
# Broadcast stroms / ブロードキャストストーム
- ネットワーク上でブロードキャストがループを続け、帯域を使い切ってしまう現象のことです。
# BEAST: Browser Exploit Against SSL/TLS / ビースト攻撃
- SSLのぜい弱性を狙った攻撃です。
- WebブラウザとWebサイトの間で中間者攻撃を行い、SSL/TLSの暗号化されたセッション情報やクッキーを復元します。
# BSSID
- 無線アクセスポイントのMACアドレスのことです。
# Bugtraq / バグトラップ
- セキュリティに関するメーリングリストです。
- 脆弱性、exploit、解決方法、及び脆弱性のある製品情報等が議題になります。
# BCP: Business continuity plan / 事業継続計画
- 災害等の緊急事態に事業を継続するための計画のことです。
- 作成手順は、以下の順番に実施します。
- ①基本方針を定める
- ②スコープを決める
- 中核事業、復旧優先事業を選択する
- ③BIAを実施する
- 重要な業務を特定する
- ④事前対策を行う
- バックアップの確保等
- ⑤BCPを策定する
- 発動基準の決定や、BCPの文書化を行う
- ⑤BCP導入及び教育訓練更新等を実施する
# Business criticality indicator / 事業重要度指標
- サービスやシステムについて、組織にとっての重要度を判断する指標です。
# Business Owner / ビジネスオーナー
- ビジネスとセキュリティコントロールのバランスを取る役割を担います。
- システムのオーナー、またはプロジェクトのオーナーを示します。
# C
# CMM: Capability Maturity Model / 成熟度モデル
- 組織の成熟度に応じて4段階の評価を行います。
- ①初期段階
- ②反復可能段階
- ③定義段階
- ④管理段階
- 反復可能段階では、ライフサイクル管理プロセスの導入により、再現や反復ができるようになります。
# Capabiity table / ケイパビリティテーブル
- ユーザがどのリソースにアクセスできるかを表現したテーブルです。
- あるサブジェクトが、アクセス可能なオブジェクトはどれか?という情報をリスト化したものです。
- あるオブジェクトに、アクセス可能なサブジェクトは誰か?を整理したものはアクセス権制御リスト(ACL)です。
- オブジェクトとサブジェクトの対比表まで作成するのが、アクセス制御マトリクスです。
# COC: Chain of custody / 管理の連鎖
- 物理的または電子的な証拠を移転する手続きや、関連する文書のことです。
- いわゆる証拠保全のことです。
- 管理者の名前や日付が記されることで、証拠としての法的効力を持つことになります。
# Choosen plaintext / 選択平文攻撃
- 攻撃者が選択した「平文」を使って暗号を解読しようとする攻撃です。
# CALEA: Communications Assistance for Law Enforcement Act / 通信援助法
- アメリカの法律です。
- FBIによる調査を円滑にするため、通信事業者は通信傍受をしやすくしなくてはならず、意図的にバックドアを用意するとか。本当でしょうか。
# Captive portal / キャプティブポータル
- 無線LAN利用時の認証の仕組みの1つです。
- 無線LAN接続時にブラウザでのユーザ認証を求め、認証を通過して初めてネットワークへのアクセスが許可されます。
# CRL: Certification revocation list / 証明書失効リスト
- デジタル証明書の失効に関する情報を保持しているリストです。
- CRLには、「シリアル番号」と「失効日」が記載されています。
- リストは、デジタル署名を作成した認証局より提供され、中身の改廃も認証局が行います。
- CRLと一致したウェブサイトでは、証明書が失効している旨のエラーが表示されます。
# Change control / 変更コントロール
- ITシステムへの変更業務を管理することです。
- 事前レビューや事後の証跡確認によって、変更作業によるリスクを最小限に留めようとする考え方です。
# Change management program / 変更管理プログラム
- ITILの考え方に基づいて、サーバ等の変更を行う際の手続きのことです。
- 変更箇所を事前レビューすることで、問題発生時の原因調査を容易にしたり、変更自体の影響を最小限にしたりすることを目的としています。
- 変更コントロールと同じです。
# Checklist review / チェックリストレビュー
- 災害計画のレビュー方法の一種です。
- チームメンバーそれぞれで復旧チェックリストの内容を確認し、変更提案を行います。
# CEO: Chief Executive officer / 最高経営責任者
- 経営方針の決定や事業戦略の策定等に責任を持つ責任者です。
# COPPA: Children's Online Privacy Protection Act / 児童オンラインプライバシー保護法
- 子供のオンライン個人情報を、保護者の管理課で安全に管理することを定めた米国の法律です。
- 13歳未満の子供から情報収集をするには、保護者の事前合意が必要です。
# Choosen ciphertext / 選択暗号文攻撃
- 攻撃者が選択した「暗号文」を使って暗号を解読しようとする攻撃です。
- 何らかの方法で正規ユーザに復号操作を行わせ、得られた平文から暗号鍵を推測します。
# CIO: Chief Information Officer / 最高情報責任者
- 情報戦略の策定について責任を持つ担当者です。
- CISSPでは、セキュリティコントロール実行において、幹部レベルの権限を持つこともあり、組織上のオーナーとして適任な役割とされています。
# Cohesion / 凝集度
- 同じクラス内におけるメソッドの関連性の高さを表現した値です。
- オブジェクト指向モデルにおいては、凝集の高い方が望ましいです。
- つまり、似たメソッドは同じクラスに含めると良いということです。
# Cold site / コールドサイト
- 災害に備え、必要最低限の設備を用意しておくことです。
- 立ち上げに時間が掛かってしますが、最も維持費が安く済みます。
- 例えば、バックアップデータを置いておくだけ等です。
- 電源を切っているので冷えている(コールド)のイメージです。
# CIR: Committed information rate
- プロバイダと契約する通信の保証速度です。
- ネットワークが輻輳状態であっても、CIRで約束した速度を提供します。
# Community cloud / コミュニティクラウド
- 特定の業種等、限られたコミュニティ向けに提供されるクラウドサービスのことです。
- 同じコミュニティのメンバーだけが使用します。
# Constrained intereface / 制限されたインターフェイス
- アクセス制限によりユーザのインターフェイスを制限することです。
- メニューを非表示にしたり、グレーアウトするような制限のことです。
# Content dependent control / コンテンツに依存した制御
- コンテンツに基づいて制御を掛けることです。
- コンテンツとは、アプリやメッセージ内容等を言います。
- 例えば、EXCELは印刷禁止、1GB以上のデータはファイルサーバに保存禁止、有害コンテンツは表示禁止等が挙げられます。
# Context dependent control / 文脈に依存した制御
- 属性の組合せで制御を行う方式です。
- ユーザ、リソース、環境といった様々な変数を設定し、条件に当てはまった時に制御を掛けます。
- 例えば、勤務時間外のアクセスを制限する等です。
- 属性ベースコントロール(ABAC: Attritube based access control)とも呼ばれます。
# Covert Channel / 隠れチャネル
- システム設計に反して情報を送受信できてしまう経路のことを言います。
- バックドア等です。
# Cirtkit-level gateway firewall / サーキットレベルゲートウェイファイアウォール
- 従来のパケットフィルタリング方式のFwに加え、ポートの指定や制御といった機能を有するものです。
- アプリケーション単位で設定が可能です。
# Civilian data classification / 民間データ区分
- 情報の重要性によって4段階で表現されます。
- ①公開(public)
- ②重要(sensitive)
- ③プライベート(private)
- ④専有(proprietary)
# Clark willson / クラークウィルソンモデル
- 情報の完全性(Integrity)を守るためのセキュリティモデルです。
- 情報を制限データと非制限データに分類します。
- 制限データについては、完全性を保つためのポリシーが適用されます。
- データを監視したり、変更を制限したりします。
- 完全性を保つため、ユーザはデータの直接編集は許可されず、信頼されたシステムを通じてのみ変更を許可するような仕組みを設けます。
- 例えば、銀行の残高処理は専用アプリを介さないと処理できないようなイメージです。
# Clearance / クリアランス
- 身上調査等を経て、行政機関から適正認定を受けることです。
- 米国や欧米の公的機関では、セキュリティクリアランスを得た個人に限り、その個人が知る必要性(Need to Know)のある情報のみにアクセスを許可するというアクセスコントロールが一般的です。
# Clearing / クリアリング
- データ消去のサニタイズの一種で、媒体の再利用を目的として、中身のデータを消すことです。
- 値を上書きするタイプのデータ消去で、標準機能でのリカバリは不能になります。
- しかし、消去方法によってはデータサルベージによってデータを復元される恐れがあります。
# Clipping / クリッピング
- 大規模なデータ集合からいくつかのレコードを選択して分析する手法の1つです。
- 閾値を設定し、それを超過するデータを選択して分析します。
- 例えば、無効な操作がn回以上実行された回数を分析すると、システムの不具合やサイバー攻撃の兆候を見つけることに役立ちます。
# CCTV: Closed Circuit TeleVision / 監視カメラ
- 映像を取得するセンサー部と、映像を表示するモニター部が施設内で接続されているタイプの監視カメラのことです。
- アナログカメラです。
# Closed head / 閉鎖型スプリンクラー
- 配水パイプが常に加圧されているタイプのスプリンクラーです。
- 出口となるシャワーヘッド部分に、熱で融解する金属を使っており、有事の際はそこから水が放出されます。
- 温式: 常に水が充満しています
- 乾式(Dri pipe): 常に空気を加圧しています
- いずれも、配水パイプに穴が開くと漏水の恐れがあります。
# Closed loop chiller / 閉ループ冷却装置
- 温度を確認しながら自動的に適温設定する機能が付いた冷却装置(チラー)です。
# CNA: CVE Numbering authority
- MITREの一部で、CVEの番号付けを行う組織です。
# CFR: the Code of Federal Regulations / 連邦規則集
- アメリカ合衆国の行政法が記載された文書です。
- 行政命令が集められた法典です。
# Cognitive password / コグニティブパスワード
- いわゆる秘密の質問のことです。
- 「母親の旧姓は?」や、「飼っているペットの名前は?」といった質問を使って認証を行います。
- SNS等を調べることで対応する回答が見つかってしまう恐れがあります。
# COBIT: Control OBjectives for Information and related technology
- IT管理とガバナンスに関するフレームワークです。
- ITガバナンスの成熟度を測るためにも使用されます。
- ガバナンスの行うために、指針規約標準的な工程を示します。
- 5つの原則があります。
- ①ステークホルダーのニーズを充足すること
- ②事業全体を包含すること
- ③統合されたフレームワークを使用すること
- ④包括的なアプローチを実現すること
- ⑤ガバナンスとマネジメントを分離すること
- 監査で使用されます。
# Code of Ethics/ CISSPの4つの必須規律
- CISSPは4つの規律を定めています。
- Protect society, the common good, necessary public trust and confidence, and the infrastructure.
- 社会共通の利益必要な公共の信頼と保護、およびインフラを保護する。
- Act honorably, honestly, justly, responsibly, and legally.
- 法にたがわず、公正かつ誠実に責任をもって行動する。
- Provide diligent and competent service to principals.
- 当事者に対し十分かつ適切なサービスを提供する。
- Advance and protect the profession.
- セキュリティの専門家としての知識を向上し、保護する。
- Protect society, the common good, necessary public trust and confidence, and the infrastructure.
- 詳細はこちらにあります。
# CCE / CCE: Common Configuration Enumeration
- システムの設定項目に一意の番号を付けたものです。
- 例えば、パスワードの有効期限、パスワードの長さ、パスワードの複雑さ等、1つ1つの項目に番号が付いています。
# Common criteria / コモンクリテリア
- セキュリティレベルを評価する国際標準です。ISO 15408です。
- ITシステムの開発や実装において、セキュリティの配慮がされているかを評価します。
- 評価対象は、設計段階から利用者マニュアルまで広く含まれます。
- 評価レベルはEAL1からEAL7までの7段階があります。
- EAL1(機能テスト): 特定機能の要件が対処されていることを確認
- EAL2(構造テスト): 開発者から提供される設計テスト結果を確認
- EAL3(方式テスト): テストの網羅性を確認
- EAL4(方式設計): 設計、ソースコード、全機能を確認
- EAL5(系統的設計テスト): 系統的な設計記述、アーキテクチャを確認
- EAL6(系統検証済み設計): 実装の構造化表現、構成管理等を確認
- EAL7(形式検証済み設計): 数学的検証、広範囲テスト等を確認
- レビュワーは、PP(protection profile)と比較することで、対策が十分であるかを確認します。
# CPE: Common Platform Enumeration
- システムを構成するハードウェアやソフトウェアを識別するための名称の基準です。
- HW、SW、OS等に対し、構造化した名称体系を設定しています。
- SCAPの構成要素の1つです。
# CWE: Common Weakness Enumeration
- ソフトウェア欠陥の根本原因を示すものです。
- SCAPの構成要素の1つです。
# Competence / 法的効力
- 違法な方法で手に入れた証拠は、法的な効力を持たないとされています。
# Compensating control / 補償コントロール
- 望ましいセキュリティ対策を行う際、実施できない事情があったり、あまりに高額な場合に実施する代替的な対策です。
# CFAA: Computer fraud and abuse actコンピュータ / 不正行為防止法
- 政府や金融機関などのコンピュータに対する悪意あるアクセスを禁止するアメリカの法律です。
# Connection Proxy / 接続プロキシ
- ステートフルインスペクションファイアウォールのオプション機能です。
# Confidential / 部外秘
- 米国政府が定めるデータ分類の1種です。
- Confidentialは、漏えいしても国家の安全保障の侵害は少ないと考えられるもの、と定められています。
# Consistency / 一貫性
- データベースの基本的な考え方の1つです。
- データが矛盾のない状態になることを表す特性です。
# Converged protocol / コンバージドプロトコル
- TCP/IP等の標準プロトコルと、標準ではないプロトコルを組合せることを言います。
- 例えば、FCoE(Fiber channel over Ethernet)等があります。
# Corrective control / 是正コントロール
- 問題が発生した後に、環境をもとに戻すための活動を言います。
# Credential managemant / 資格情報管理システム
- クレデンシャルの管理、ログ取得、監査、チェックイン機能を担う仕組みのことです。
# Credit check / 信用チェック
- 信用調査や身辺調査と呼ばれるものです。
- 経歴詐称や職歴作業がないことを確認することです。
# CER: Crossocer error rate / 誤り率
- バイオメトリクスにおけるFARとFRRの交差するポイントのことです。
- バイオメトリクス認証製品の精度を測るために使用されます。
- 製品の性能に左右され、システムを利用または管理する人が調整できる値ではありません。
# Cross-site request forgery / クロスサイトリクエストフォージェリー
- 既にWebサイトで認証を済ませたユーザを狙う攻撃です。
- 設定変更のパラメータを記載したURLを生成し、チャットやメールで送信します。
- Webサイトにログインした状態でそのURLをクリックすると、本人が意図しない処理が実行されてしまうというものです。
- 例えば、パスワード変更や、不正送金、メッセージ送信等が実行されます。
# Cross-site scripting / クロスサイトスクリプティング
- 悪意のあるスクリプトをWebサイトに埋め込み、不特定多数に実行させる攻撃です。
- 電子掲示板等の投稿機能が悪用されます。
# XST: Cross-site tracing / クロスサイトトレーシング
- WebのHTTP TRACEメソッドを悪用する脆弱性です。
- Cookieを取得できるため、任意サイトの資格情報を盗み出せてしまいます。
# Crosstalk / クロストーク
- 複数のケーブルがある時、ケーブル間で信号が移ってしまう現象を言います。
- 回線の途中でノイズが入ったり、情報が漏えいする可能性もあります。
# Crystal box test / クリスタルボックステスト
- ホワイトボックステストの別名です。
# CSA: Cloud Security Alliance
- クラウドコンピューティングに関する活動を行う非営利団体です。
- クラウドに関する注意喚起やガイドラインの発行を行っています。
- 認証制度に「CSA STAR」制度があり、広く普及しています。
# CSIRT
- セキュリティインシデントに対応する専属チームのことです。
- 情報システム担当だけでなく、法務部門やエンジニアリング部門も代表者を選出してもらいチームを組みます。
- CISSP試験においては、経営幹部にも代表者を出してもらうことが一般的なようです。
# CVE: Common Vulnerabilities and Exposure
- 脆弱性に対してMITREが付番する識別子のことです。
- 脆弱性検査ツール等から参照されており、脆弱性を一意に特定する際に使用します。
- SCAPの構成要素の1つです。
# CVSS / CVSS: Common Vulnerability Scoring System
- 脆弱性をスコアリングしたものです。
- スコアは次の3つの要素で構成されます。
- ①基本特性の評価(Base Matrics)
- ②深刻度評価(Temporal Matrics)
- ③環境評価(Environmental Matrics)
- スコア計算の元になる情報として、以下のようなものが使用されています。
- 攻撃ベクター
- 攻撃の複雑さ
- エクスプロイトの成熟度
- 攻撃までのユーザの介入度
- 等
# D
# DBAN: Darik's Boot And Nuke
- ハードディスクのデータ消去ツールです。
- ツールを使用すると、ランダムなデータでHDDを複数回埋め尽くし、消去が成功したかどうかを検証して処理を終了する動きをします。
# Darknet / ダークネット
- 使っていないセグメントのことを言います。
- このセグメントを監視することで、不正なアクティビティを検出することができます。
# Data administrator / データ管理者
- データを保護、管理する役割を持った者のことです。
- 適切な保護を行うために、アクセス権制御のあるべき姿を描きます。
- また。適切なデータ利用を促す教育を行うこともあります。
- データ管理者は、別名でCustodian(カストディアン)とも言います。
# Data at rest / 保存中のデータ
- ストレージに保存されている状態のデータのことを言います。
# Data at transit / 転送中のデータ
- ネットワーク上を移動している最中のデータを言います。
# Data at transit / 使用中のデータ
- メモリ上で処理をしている最中のデータを言います。
# Data dictionary / データディクショナリー
- そのシステムで使用するデータの定義をまとめた辞書資料です。
- 項目名称、意味、データ型等を記載します。
# Data hiding / データの隠蔽
- デジタルコンテンツの中に暗号化したデータを埋め込む技術のことです。
- 著作権等を保護するために使用されることが期待されています。
- ステガノフラフィはデータ隠蔽の一種です。
# Data integrity / データ完全性
- 集めたデータは、ユーザが許諾した目的以外に使わないという原則です。
# Data owner / データオーナー
- データを所有する者のことです。
- データを生み出す組織の管理責任者を指します。
- データ保護の最終責任を負います。
- 情報に管理ラベルを付与する責任があります。
# Data Processor / データプロセッサー
- データ処理をする機能のことです。
- 処理をアウトソースしている場合、アウトソース先のことも、データプロセッサーと呼びます。
# Data retantion policy / データ保持ポリシー
- 集めたデータを削除する日数に関するポリシーです。
- ポリシーを定めることにより、一定期間が経過したデータを削除できるようになり、公的開示に備えるためのデータ保管コストを削減します。
- このポリシーに沿ってデータを保存することを、記録保持(record retention)と言います。
# Data remenance / データ残留
- データ消去をした後、残ってしまったデータのことを言います。
- 不良セクターやオーバープロビジョニングスペースは、消去ユーティリティでも削除できずに残ることが多く、データ残留が発生します。
# Data steward / データスチュワード
- 他人から預かったデータを責任もって運用管理する役割のことです。
- データモデルの検討、アクセス権設定、データの監視を行う役割を担います。
- スチュワードは管財人の意味があります。
- スチュワードは聞き慣れない単語だけど、変形した「スチュワーデス」なら聞いたことあるはず。
# DTE / Data terminal equipment
- 宅内に設置するネットワーク終端装置です。
- ルータ等のことです。
# dd
- Linuxツールの1種で、フォレンジックに使用します。
- フォレンジック用のディスクコピーを作成することができます。
# De-encpsulation / 非カプセル化
- トランスポート層から受信したデータに対し、セッション層でヘッダ/フッタを削除する処理を非カプセル化といいます。
# DARPA: Defense Advanced Research Projects Agency / アメリカ国防高等研究計画局
- 軍事目的の新技術を開発する組織です。ダーパと読みます。
# Degauss / 消磁
- 専用機器で強力な磁気をあて、データを消去する手法です。
- 日本語は"しょうじ"と読み、英語は"デガウス"と読みます。
# Degree / 次数
- テーブルの項目数のことです。
# DOC: Department of commerce / 商務省
- アメリカの運輸に関する機関です。
- 需要環境国防に配慮し、効率的で経済的な国家輸送システムを提供するための政策を策定します。
# Device finger-printing / デバイスフィンガープリンティング
- デバイス特有の項目を優秀して、対象機器を一意に特定する技術です。
- OS種類、ブラウザのバージョン、IPアドレス等、様々な情報を得ることができます。
# Diameter
- RADIUSの後継です。
- いくつかのセキュリティ向上施策が実装されています。
- RAIDUSはUDPを使用するのに対し、DiameterはTCPを使用します。
- IPsecが必須です。
- 等
- オープンプロトコル(どのメーカーでも使用可能)の形態です。
- RADIUSとの後方互換性はありません。
- Diameterは直径という意味です。
# Diffie-Hellman / ディフィーヘルマン法
- 共通鍵を送信する目的に考案された方式です。
- 鍵自体は渡さず、鍵を生み出すための数値を共有することで、計算した結果から共有鍵を導く特徴があります。
# Different backup / 差分バックアップ
- フルバックアップと現時点を比較して、差分をバックアップに保存します。
- 差分バックアップを複数回取得する場合、前回のフルバックアップとの比較を行うため、回を重ねるごとに1回あたりのデータ量(=差分の量)が増えていきます。
# Digital signature / デジタル署名
- 送信されたデータが本人のものであるかどうかを改ざんされていないかを保証するための技術です。
- 非対称暗号アルゴリズムのみが使用可能です。
- 具体的には、RSA暗号、DSA暗号、ECDSA暗号の3種類が使われています。
# Digital watermark / 電子透かし
- 人の目や耳で知覚できないように情報を埋め込む技術です。
- (見えるように半透明な文字を埋め込むケースが多い)
- 不正コピー防止のため、著作権ロゴ使用許諾等の情報を埋め込む用途で使われます。
# Directive control / 指示コントロール
- 自分が期待する行動を相手にとってもらえるよう、相手に直接指示命令を行うことです。
# Directory index / ディレクトリインデックス
- Webサーバ等、ディレクトリだけを指定されたリクエストがあった時にデフォルトで返すファイルのことです。
- index.html を返すのが一般的です。
# Dirty read / ダーティリード
- あるデータベース処理で、まだコミットされていないデータを読み込んでしまうことです。
# Disabled TGT / TGT無効化
- Kerberosサーバとクライアントの時刻同期が取れていない場合、チケット(TGT)が無効となり、認証が通らなくなります。
# Disaster recovery / 災害復旧
- 災害が発生した時、ビジネスを復旧されるために行う作業のことです。
- バックアップからの復旧、コールドサイトへの移転、事業運営再開等が含まれます。
# DAC: Discretionary access control / 任意アクセス権
- オブジェクトの所有者が、メンバーの属性ごとにアクセス権を設定する方式です。
- ディレクトリやファイルに設定するアクセス権のようなものです。
# Discretionary account provisioning / 任意アカウントプロビジョニング
- 人事部ではなく、ビジネス部門として採用を行った人材のアカウント作成のことです。
# DMCA: Digital Millenium Cpyright Act / デジタルミレニアム著作権法
- Webコンテンツの著作権に関する米国の法律です。
- Youtubeなどのプラットフォームに、著作権違反のコンテンツが投稿されたケースで、プラットフォーマーは著作権違反なのかを定めています。
- プラットフォーマーが著作権者からの著作権侵害の申し立て(notice)を受け取った場合、プラットフォーマーはコンテンツをすぐに削除すれば著作権侵害の責任から解放されます。
- しかし、DMCAを悪用して、無関係の他人が正規コンテンツの削除を申し立てるケースもあります。
- アップロード者がコンテンツの不当な削除に異議申し立てをすると、一度削除されたコンテンツが復活する事例もあるそうです。
- なお、プラットフォーマーは、自身のプラットフォームに投稿された著作物だけでなく、著作物のキャッシュ等も削除をする必要があります。
# Distance vector / ディスタンスベクター型プロトコル
- ルーティングプロトコルの一種です。
- 隣接するルータ間でルーティングテーブル情報を交換することで、最短のホップ数で届く経路を算出します。
- ベクターとは、点とそれを結ぶ線で描かれた図形のことを言います。
# DNS Spoofing / DNSスプーフィング
- DNZに記載されたIPアドレスとドメイン名の対比表を書き換えることで、正規ドメイン名への通信を攻撃サイトに誘導する攻撃です。
# DNS poisoning / DNSポイズニング
- DNZ宛の正規通信を改ざんして、偽の応答を返す攻撃です。
# DKIM: Domain Key Identified Mail
- ドメインの妥当性を確認する認証技術です。
- 送信元が電子署名を行うことで、なりすましやメール改ざんを検知します。
- 公開鍵は送信元のDNSサーバで公開されます。
- メール送信経路のMTA(Mail transfer agent)やMSA(Mail server agent)で署名付与の設定をすれば、エンドユーザの操作なく電子署名をつけられます。
# DREAD図 / DERAD
- リスクアセスメントのモデルです。
- リスクに対して5つの観点で評価を行います。
- 5つの基準は次の通りです。
- ①Damage Potential(想定被害)
- ②Reproductivity(攻撃の再現可能性)
- ③Exploitability(攻撃に利用される可能性)
- ④Affected users(影響するユーザ規模)
- ⑤Discoverability(攻撃者に脆弱性が見つかる可能性)
- この5つの観点で、10段階の評価を付けると、リスクの大きさが表現されます。
# DRM: Digital Rights Management / デジタル著作権管理技術
- 著作権等の権利侵害を防ぐため、不正利用や不正コピーを防ぐための技術です。
# Due care / 適切な注意の原則
- 合理的な人間として求められる最低限の注意を払うことです。
- 善管注意義務と同等です。
# Due diligence / 妥当な注意の原則
- Due careで期待される善管注意義務について、その「説明責任」を果たすことです。
- その根拠を示す等、手順や手続きを的確に行うことが求められます。
- 説明責任を伴う分、Due careより正確な注意を払うことが求められます。
# due diligence rule / デューディリジェンスルール
- 当然に実施される注意義務I(Due diligence)を果たすため、企業が作成しているルールのことです。
- 適切な手順を実施したかどうか等、合理性が求められます。
# Durability / 永続性
- データベースが持つ特性の1つです。
- 更新結果が記録され、障害が起きても失われない特性です。
# Dynamic knowledge based authentication / 動的知識ベースの認証
- ユーザが知っている情報を用いた質問をすることで本人を認証することです。
- 例えば、「あなたが通っていた小学校の名前は?」等です。
# E
# EAP-TLS
- EAPをTLSで強化したものです。
- デジタル署名を使用できます。
# EEA: Economic Espionage Act / 経済スパイ法
- 企業秘密を不正に入手した企業や政府は、罰せられると規定しているアメリカの規則です。
- 知的財産の保護を目的として、営業秘密を保有する人が規制対象となります。
- エスピオナージはスパイ行為の意味です。
# Egress filtering / 出口フィルタリング
- ポリシー違反の恐れがあるアウトバウンド通信を検査する仕組みです。
- 例えば、以下のようなものが挙げられます。
- ①プライベートIPアドレス宛の通信
- ②ブロードキャスト通信
- ③偽装送信元アドレスの通信
# ECPA: Electronic Communications Privacy Act / 電気通信プライバシー法
- メール、電話等のデータ通信について、不法な傍受から保護するための法律です。
- 犯罪捜査のため。司法当局が電子メールにアクセスすることを前提に。司法当局が行うべき手続きを定めています。
# Electronic signature / 電子署名
- 紙文書の印鑑やサインに相当するもので、その文書が原本であることを証明するものです。
- 電子署名の目的は2つあります。
- ①誰が作成したものかを判別するため
- ②改ざんが行われていないことを確認するため
# Electronic vaulting / 電子ボールティング
- 決まった時間に遠隔地へデータをバックアップする方式です。
- プライマリーデータベースから、リモートサイトに向かって、データベースバックアップが自動転送されるように設定します。
- 一般的にはデイリー(1日1回)くらいの頻度で設定されることが多いです。
- vaultは金庫を意味します。
- 災害に備え、データを遠くの保管庫に置いておくイメージです。
# ECDSA: Elliptic Curve Digital Signature Algorithm / 楕円曲線DSA
- 楕円曲線に関する数学の問題を活用したデジタル署名方式です。
- 通常のDSAと比べて、短い鍵の長さでも安全性を高めることができる特徴があります。
# Email encryption / 電子メール暗号化
- 電子メールを暗号化することです。
- 全てのメールを暗号化するとコストが掛かりすぎるため、機密データをラベリングして、必要な範囲だけ暗号化することが望ましいです。
# ESP: Encapsulated Security Payload / 暗号ペイロード
- IPsecで使われる暗号化機能のプロトコルです。
- パケットのペイロードを暗号化する機能を持っています。
# Encryption virus / 暗号化ウイルス
- 暗号化技術を使って、ウイルス自身を暗号化するマルウェアです。
- この機能により、アンチウイルスソフトによる検出を回避します。
# Envelope / エンベロープ
- メール等において、実際の送信元ではなく、後付けされた送信元のことを言います。
- 一般用語では「封筒」のことです。
# Erasing / 消去
- OS画面から行うような、一般的なファイル削除操作のことです。
- 削除操作をしても、ファイルを開くためのリンクが消えてOSからアクセス不能になるだけで、実はストレージにデータが残っています。
# Espionage / スパイ行為
- スパイによって情報が抜き取られることを言います。
# Ettercap: Ethernet capture
- MITM攻撃に特化した攻撃ツールです。
- DNSスプーフィングや、ARPスプーフィングを実行することができます。
# EAR: Export Administration Regulations / 輸出管理
- 安全保障のため、特定品目を輸出する際には米国の許可を必要であると定めた法律です。
- 米国にある品目、米国に無くとも米国で作られた品目、については規制の対象となります。
- ソフトウェアも輸出管理の対象に含まれています。
# EF: Exposure Factor / 危険係数
- 損害予想額÷資産価値で計算します。
- 損害予想額が大きいほど、危険係数は大きくなります。
# External trust / 外部信頼
- 2つのフォレスト内にあるドメインだけで信頼関係を結ぶことです。
- フォレスト内の他のドメインに属するリソースにはアクセスできません。
# XACML: eXtensible Access Control Markup Language
- XMLベースでアクセス権ポリシーを記載する言語です。
- インターネットを通じた情報アクセスを制御します。
# EAP: Extensible Authentication Protocol
- 認証方式を規定するフレームワークです。
- 無線LAN等で使用されます。
- EAP自体はセキュリティ機能を持っている訳ではなく、オプションでセキュリティを高める必要があります。
# Extinguisher rank / 消火器ランク
- 一般的な可燃性物質に対して消化能力を持っている度合いを示します。
- ランクはA、B、C、D、Kがの5種類があります。
- ランクA: 一般的な可燃物(木、紙、洋服、プラスチック等)
- ランクB: 液体(アルコール、ガス等)
- ランクC: 電気設備(コンセント等)
- ランクD: 金属(チタン、リチウム等)
- ランクK: 調理用品
# F
# Fagan inspection / Faganインスペクション
- プログラムコードのレビュー技法の1つです。
- 計画からフォローまで一貫したレビューを行うプロセスを行います。
- レビューは6ステップあります。
- ①計画
- ②概要説明
- ③準備
- ④監査
- ⑤修正
- ⑥フォローアップ
- Faganはフェイガンと読みます。
# Fail open / フェイルオープン
- FW等のネットワーク機器において、機器の故障や点検による停止が発生した場合、トラフィックを検査なく通過させる処理方法のことです。
# Failover cluster / フェイルオーバークラスター
- 障害に備えて複数台のサーバを稼働させる構成です。
- ただし、ユーザからは1台のサーバのように動作させます。
- クラスタ構成やクラスタリングとも呼ばれます。
# Fail secure / フェイルセキュア
- 障害等が発生した時、安全な方式で失敗させる考え方です。
- FWであれば、全て遮断することが安全であると考えられています。
# Fair Cryptosystems / フェアクリプトシステム
- 暗号化されたデータの複合に必要な鍵を複数に分ける手法です。
- 分けた鍵は別々の人間が管理します。
- 最小でも2人以上のメンバーが必要です。
# FAR: False acceptable rate / 他人受入率
- 生体認証において、他人を受け入れてしまう確率のことを言います。
# FRR: False rejected rate / 本人拒否率
- 生体認証において、本人であるにも関わらず認証が拒否されてしまう確率のことを言います。
# FERPA: Family Educational Rights and Privacy Acts / 家族の教育の権利とプライバシーに関する法律
- 学生の個人情報を守るためのアメリカの法律です。
- 学校だけでなく、米国教育省から資金を受けるその他の機関も含め、すべての教育関係の学生をプライバシー保護の対象としています。
- また、保護者であれば学生の教育情報にアクセスできるようにし、間違いがあれば修正できるようにすることも求めています。
# Faraday cage / ファラデーケージ
- 外部からの電界を遮断する箱です。
- 電磁パルスによるサイバー攻撃や、情報漏洩のリスクを避けるために、箱の中でコンピュータを操作することもあります。
- 電波法対策にとして使われることもあります。
# FISMA: Federal Information Security Management Act / 連邦情報セキュリティマネジメント法
- 米国政府が委託する先の民間企業に対し、情報セキュリティ対策を求めるアメリカの法律です。
- これを遵守させるため、各政府機関に対し、セキュリティ強化プログラムの開発、文書化、実施を義務付けています。
- フィスマと読みます。
# FTC: Federal Trade Commission / 連邦取引委員会
- アメリカにおける公正な取引を監督する政府機関です。
- 不正競争防止、反トラスト法の審査、消費者保護を担当します。
# FDDI: Fiber distributed data interface
- 反対方向にトークンが流れる2つのリングで構成されたネットワークのことです。
- リング型の接続形態が主流で、ケーブルには光ファイバーを使用します。
- ノード間を2本のケーブルで結び、デュアルリング構成を取ることが一般的です。
- 銅線を使用したものはCDDI(Copper Distributed Data Interface)と言います。
# FIPS 186-4(DSS: Digital Signature Standard)
- デジタル署名に関する処理の基準です。
# FCoE: Fiber Channel of Ethernet
- イーサネットケーブルでファイバーチャネル通信を実現する機能です。
- 特注ケーブルがなくても高速通信を実現できるので、コスト削減効果が期待されます。
# Fiber-optic / 光ファイバー
- 他のケーブルと異なり、電磁干渉の影響を受けません。
# File infector virus / ファイル感染型ウイルス
- EXE等のファイルに感染するウイルスです。
- ウイルス単体で実行されるのではなく、他の実行ファイルに付着して制御を奪い感染増殖します。
# FireSheep
- FireFoxのアドオンで、ローカルネットワークをスキャンしてWebシステムアカウントを盗み出すツールです。
- Webメール、SNS、ファイル共有サービス等のアカウントが盗まれる恐れがあります。
# FireVault
- MacPCに保存されているデータを暗号化する機能のことです。
- ログインしないとデータを読み取ることができなくなるので、端末紛失時の情報漏えいを防いでくれます。
# Fitness evaluation / フィットネス評価
- 人材の採用にあたって、候補者の身体的な評価を行うことです。
- 健康な人材を採用することを目的に行われます。
- スクリーニングプロセスとしては、あまり一般的な手法ではありません。
# Fire triangle / 燃焼の3要素
- 熱、酸素、燃料の3要素が揃うと化学反応(燃焼)が起きるという考え方です。
- どれか1つでも断ち切れば、燃焼を止めることができます。
- 熱を奪うためには水を掛けることが考えられます。
- 酸素を断つには二酸化炭素や、ハロンガス消火剤が考えられます。
- 燃料供給を断つには、炭酸水素ナトリウム(重曹)や、その他の粉末の噴射が考えられます。
# Forensic disk controller / フォレンジックディスクコントローラ
- ハードディスクをインシデントの証拠とするため、ハードディスクに損傷を与えないように読み取り専用化させる特殊な機器です。
- ディスクに対する書き込み要求をブロックしたり、読み取り要求に対しデータを返したり、アクセス情報を提供したりします。
# Forest trust / フォレスト信頼
- 2つのルートドメイン間を信頼関係で結ぶことです。
- サブドメインのリソースにもアクセスする権限を持ちます。
# Forth Amendment / 合衆国憲法 修正第4条
- 第4条はプライバシーに関する憲法です。
- 不当な捜査等によって、人々が身体家屋書類等の安全確保する権利が侵されてはならない、という内容を定めています。
- この条項は、米国におけるプライバシー権の基礎となっています。
# Fraggle / Fraggle
- UDPパケットを使用したDoS攻撃の一種です。
- 送信元を偽ったUDPパケットを送り、その返信がターゲットに送られる攻撃です。
# Freeware / フリーウェア
- ライセンス形態の一種です。
- 無料で使用できますが、複製配布改良は自由ではなく、権限は著作権者が持っています。
# Full interruption test / 完全停止テスト
- プライマリーサイトを停止し、手順通りの災害復旧ができるかを確認するテストです。
- 災害テストの中で最も徹底的なテストですが、混乱が生じる可能性があります。
# Fuzz Analysis / ファズ分析
- アプリに対し、無効な値を入力することで不具合が無いかテストする手法です。
# Fuzzer / ファザー
- アプリに無効な値を入力して挙動をテストするツールです。
- 文字型の不具合やバッファオーバーフローの脆弱性等を調べることができます。
# G
# Gateway / ゲートウェイ
- 異なるプロトコルのネットワークを繋げる役割を持ったネットワーク機器です。
# Genrational Fuzzing / ジェネレーショナルファジング
- ファジングデータを自前で作成してテストを行うことです。
- 普段使われている入力値を分析して、それを元にテストデータを作成します。
# Glass Steagall Act / グラススティーガル法
- 金融制度に関するアメリカの法律です。
- 主に、銀行と証券を分離することを規定しています。
# Global catalog service / グローバルカタログサービス
- ActiveDirectory内のデータベースの1つです。
- よく参照されるものの属性情報を複製しておき、検索の高速化等で利用されます。
- 通信には、ポート3268/3269が使用されます。
- 3268: セキュアでないグローバルカタログ
- 3269: セキュアなグローバルカタログ
# Global IP Address / グローバルIP
- インターネット接続時に割り当てられる一意のIPアドレスのことを言います。
- グローバルIPはICANNが集中管理しています。
# GNU Public lisence / GNUパブリックライセンス
- ライセンス形態の一種です。
- オープンソースに近い考えですが、派生ソフトウェアもオープンソースであることを強制するようなライセンス形態となっています。
- 例えば、再配布する際にソースコードを公開することが義務付けられています。
# GISRA: Government Information Security Reform Act / 政府情報セキュリティ改革法
- 既に廃止済みの法律で、廃止後はFISMAに置き換わっています。
- (廃止済みなので説明は省略します)
# GFS: Grandfather-Father-Son
- バックアップ取得ローテーション方式の一種です。
- 日次(son)、週次(father)、月次(grandfather)のローテーションでバックアップを取得します。
# GLBA: Gramm leach bliley / グラムリーチブライリー法
- 金融機関が実施すべき情報セキュリティや、プライバシー保護のコントロールが規定された法律です。
- 顧客、プライバシー、機密情報を保護するため、情報共有の基準が定められています。
# Gray box test / グレーボックステスト
- 調査対象の一部の情報のみを与えて実施するペネトレーションテストのことです。
- コードを見ながらユーザ視点でプログラムを評価することも、グレーボックステストと言います。
- なお、開発者視点でのテストは、ホワイトボックステストと呼びます。
# H
# Hack back / ハックバック活動
- 不正アクセスを受けた際、システムの復旧等を目的に逆にハッキングを仕掛けることを言います。
- 報復行為はやってはいけません。
# Hash collision / ハッシュ衝突
- ハッシュ関数で処理した結果、別の入力データなのに同じ結果が出てきてしまうことをいいます。
# HAVAL
- MD5をもとに考案されたハッシュ関数です。
- MD5同様にハッシュコリジョンの確率が高いため、現在では使われ無くなりました。
# HIPAA: Health Insurance Portability and Accountability Act / 医療保険の携行性と責任に関する法律
- 医療業界の企業に対して、患者の情報を扱う際のセキュリティ対策を求める法律です。
- ヒッパと読みます。
# HITECH: Health Information Technology for Economic and Clinical Health Act
- 医療情報を電子的に扱う際のセキュリティに関する法律です。
- HIPAAをより厳しくした法律です
- 例えば、対象範囲が提携事業者にも及ぶ点が異なります。
# Hearsay rule / 伝聞証拠ルール
- 目撃者本人の陳述でないと証拠として受け付けないルールです。
- システム管理者は、ログを提出するだけでなく、ログの取得方法等について法廷で証言しなくてはなりません。
# Heuristic based Anti-malware / ヒューリスティックベース
- アンチマルウェアの検査方法の1つです。
- ウイルスの特徴的な動きを見つけて検出する動作をします。
- ゼロデイ脆弱性を見つけられる可能性がある一方、フォールスポジティブ(誤検知)する可能性もあります。
# Honeynet / ハニーネット
- ネットワーク版のハニーポットです。
- 本番環境と切り離したネットワークを用意し、わざと攻撃を受けられる状態にしておきます。
- 攻撃者が侵入してきた後は、その挙動を監視し、本番システムへの対策に活用します。
# Hotfixホットフィックス
- ソフトウェアやOSの不具合を修正するために配布される修正プログラムの一種です。
- 緊急で対応が必要なものを呼びます。
- 1つのホットフィックスで1つの問題を解決することが一般的です。
# Hot site / ホットサイト
- 災害に備え、本番システムと同じシステムと稼働させておくことです。
- 常にデータを同期しておき、万が一の際も即座に切り替えられるような構成です。
- その代わり、システム維持コストがかさみます。
# Humidity values for a data center / データセンタの許容湿度
- 許容湿度は 40~60% です。
- これより低い時は静電気のリスクがあり、高い時は湿気による損傷リスクがあります。
# I
# ICMP flood / ICMPフラッド
- DoS攻撃の一種です。
- 攻撃対象にpingリクエストを送信し、リプライ処理でサーバリソースを食いつぶす攻撃です。
# ICMP scan / ICMPスキャン
- pingを送ると返答が得られる仕組みを利用して、ネットワークに存在するマシンを特定する攻撃手法です。
- 稼働しているマシンを特定することはできますが、稼働中のサービスまで特定することはできません。
# IDEAL
- プロセス改善のフレームワークです。
- 次の5つの頭文字を取っています。
- ①開始(init): 目的の明確化と体制確立
- ②診断(dianose): 現状と目的のギャップを把握
- ③確立(establish): 改善計画の策定
- ④行動(Act): 改善計画の実行
- ⑤学習(Learn): 結果を分析して次に繋げる活動
# Identification / 識別
- システム利用者にIDを付与することで、その人を一意に識別出来る状態を作ることです。
# Implicit Deny(Denial) / 暗黙拒否ルール
- アクセス権の制御において、明示的に許可されていないものは全て拒否するという原則のことです。
# Incorrect summary / 不正確な集計
- データベースの値を変更する処理中に集計処理で計算をしてしまい、不正確な結果を招いてしまうことを言います。
# ISDN: Integrated Services Digital Network / サービス統合デジタル網
- 電話線を使用してデジタル通信を送受信する技術です。
- インターネットの接続に使用されます。
- アナログ線の通信と異なり、1つの電話番号で2つの回線を使用できるため、インターネットと電話の同時使用が可能です。
# Integrity Control / 完全性コントロール
- 完全性(Integrity)を高めるための施策のことです。
- 変更させないための技術対策としては、ACLや読み取り専用属性の付与が有効です。
- 変更されていないことを定期的に確認する技術対策としては、ハッシュ関数やチェックサム等が有効です。
# ISCM: Information Security Continuous monitoring
- 情報セキュリティを持続的に監視することです。
- その実装手順はSP800-137で定義されています。
# ISM band / ISMバンド
- Industry、Science、Medicalの業界のために割り当てられた無線通信の周波数帯です。
- 国際的な取り決めにより、当該業界の機器は免許不要でこの周波数を利用できます。
# Incremental backup / 増分バックアップ
- 前回のバックアップと現時点を比較して、差分をバックアップに保存します。
# Inference / 推論
- 既知の情報から、未知の事象を予測することです。
- 機密性の低い情報を組み合わせることで、機密度の高い情報を推察することを言います。
# Infrastructure mode / インフラストラクチャーモード
- 無線LAN動作モードの一つです。
- 無線アクセスポイントを「経由して」、同じLAN内の端末同士で通信する機能を持ちます。
- 高速なファイル共有や、プリンターへの印刷等、オフィスでよく使われる形態です。
# In-house solution / インハウスソリューション
- セキュリティの専門家を組織の中に持つことをいいます。
- アウトソーシングを選ばす、採用やトレーニングによって、人材を確保する必要があります。
# IPS: Intrusion Prevention System / 侵入防御システム
- 通信を監視して、不審な通信を見つけた時に通信遮断を行うシステムです。
# IV: Initialization Vector / 初期化ベクター
- データを解読しにくくするために付与するランダムなビット列のことです。
- RC4で使用されます。
- IVの値は暗号化されずに送信される上、約6時間で一巡するという「上限」があります。
- そのような背景があり、WEPとRC4を組み合わせると、非常に脆弱な状態となります。
# Integrity / 完全性
- データを最新かつ正しい状態で維持することです。
# Intelligent fuzzing / インテリジェントファジング
- ファジングに使うデータを選ぶ際、ランダムではなく、データの構造やそのデータがどのように使われるかの知識を活用するファジングです。
- ジェネレーショナルファジングやスマートファジングとも呼ばれます。
# Interface test / インターフェーステスト
- 別々に開発されたソフトウェアモジュール間で正しくデータ交換ができることを確認するテストです。
# IDEA: International Data Encryption Algorithm
- 共通鍵暗号方式の1つです。
- 128bitの鍵を使って8重の暗号化を行うことで安全性を高めています。
# IGMP: Internet Group Management Protocol
- マルチキャストグループへの参加と脱退の機能を持っています。
- 経路上のルータでデータの複製転送を行うため、グループ宛の大容量データ送信を効率的に行うことができます。
# IKE: Internet Key Exchage / 鍵交換
- IPsecで使われる鍵交換機能のプロトコルです。
- 暗号方式の決定や、共通鍵の生成を担います。
# IMAP: Internet Message Access Protocol
- メールを受信する際に使用するプロトコルです。
- メール自体はサーバに置いたまま、ローカルでメールを確認できます。
- 容量を削減したいスマートフォン等でよく使われています。
- ポート143を使います。
# Input validation / 入力妥当性確認
- Web等の入力フォームにおいて、入力されるデータに不正な値が含まれていないかを確認することです。
- SQLインジェクションやXSS等の対策として実施します。
# ISACA
- 情報システム、情報セキュリティ、ITガバナンス、リスク管理、情報システム監査、情報セキュリティ監査等、IT技術専門家の国際的な団体です。
- CISA等の試験実施及び資格認定を行っています。
# ISO27002 / ISO27002
- セキュリティリスクに対して、導入すべき管理策を整理したものです。
- ISMSにおいて、実際に行うコントロールに関する範囲を担います。
- 「情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティ管理策」と呼ばれます。
# J
# Jam signal / ジャム通信
- CDMA/CDでコリジョンが発生した時に送信される通信です。
- ジャム通信が発生すると、各ホストはランダムな時間を待ってからデータの再送を始めます。
# Jitter / ジッター
- パケットごとにレイテンシーが変動するような状況を示します。
- jitterには小刻みに動くという意味があります。
# K
# kerberos / ケルベロス
- サーバとクライアント間で認証をするためのプロトコルです。
- ユーザ認証の機能の他に、通信の暗号化の機能を持っています。
- 認証は次の手順で行います。
- ①ユーザーはAES暗号でユーザIDとパスワードを認証サーバへ送信する
- ②サーバはクライアント/TGSキーを生成する
- ③TGT(チケット)とハッシュ化したパスワードで暗号化した共通鍵を返送する
- ④以降はTGTとハッシュを使って各サーバの認証に使用する。
- 認証にIDとパスワードを使わないため、アカウント情報の漏洩が起きにくい仕組みです。
- ActiveDirectoryの認証で使用されています。
# Kerckhoffs principle / ケルクホフスの原則
- たとえ暗号化アルゴリズムが知られても、暗号システム自体は安全でなければならないという原則です。
- 暗号化アルゴリズムは公開すべきという解釈もできます。
# Kernel mode / カーネルモード
- OSの中核機能である「カーネル」を実行する時に使う権限のことです。
- カーネルはハードウェアへのアクセス等、非常に強い権限を持っています。
# Key material / キーマテリアル
- 暗号化キーを生成するために必要な材料(データ)のことを言います。
# KPI: Key performance indicator / 主要業績評価指標
- 業績を評価するための指標で、組織ごとに目標を立てて評価に使用します。
- 情報セキュリティ部門では、脆弱性の修復に掛かる時間を組織のKPIとして設定することが多いそうです。
# KRI: Key risk indicator / 主要リスク指標
- リスクがどれだけ差し迫っているかを表現する指標です。
- 以下のような使用方法が考えられます。
- 問題が発生する前に警告を発する
- 過去のリスクから歴史的見解を導く
- 組織のリスク耐性に関する洞察を提供する
# Knowledge based authentication / 知識ベースの認証
- 事前設定された質問と回答の組合せで認証をすることです。
- 例えば、「ペットの名前は?」等です。
# L
# Lanham Act / ランハム法
- アメリカの商標に関する法律です。
- 音や匂いの商標も登録されている点から、日本の商標と比べて柔軟性が高いと考えられます
# Latency / レイテンシー
- 送信元から宛先までの間で発生するパケット送信の遅延のことを言います。
# L2TP: Layer 2 tunneling protocol
- レイヤ2(データリンク層)の機器から別の機器までのVPNを構築するプロトコルです。
- IPでない通信もサポートされます。
- L2TP単体では暗号化機能がないため、IPsecを併用することが一般的です。
# L2F: Layer 2 Fowarding
- Ciscoが開発したVPN用のプロトコルです。
# LAND: Local Area Network Denial attack / LAND攻撃
- DoS攻撃の一種です。
- 送信元と送信先を同じに設定したパケットを送ることで、相手の通信に異常を発生させます。
- 特に、受信時に返答を要する通信の場合、自分あての返答が繰り返されて無限ループが発生します。
# Lean development model / リーン開発モデル
- 短期間で顧客満足を得るための開発手法です。
- アジャイルとの違いは、追加機能開発サイクルを繰り返すのではなく、フィードバックをもとにスクラップ&ビルドを行っていく点です。
# Least Priviledge / 最小特権の原則
- あの仕事をするために、そのシステム利用者には「必要最小限の権限」を与えるようにすることを示す原則です。
- 過剰権限による不正を防止する目的で実施します。
# LEAP: Lightweight extensible authentication
- Cisco独自プロトコルです。
- TKIPに関する問題を扱うために設計されました。
- 定期的な再認証を行う特徴があります。
- LEAPには重大な脆弱性があり、現在は使用が推奨されません。
# LDP: Line prompt daemon protocol
- 印刷ジョブをプリンターに送信するときに使われるプロトコルです。
# Link-distance protocol / ディスタンスベクター型プロトコル
- 通信先までのホップ数をもとにルーティングを行うプロトコルです。
# Link state
- ルーティングプロトコルの一種です。
- 接続されたネットワーク情報を、地形図のような形式でルーティングテーブルを保持するプロトコルです。
- 遠隔ネットワークとの接続に際して、最短経路を選択する挙動をします。
# Local site redirect / ローカルサイトリダイレクト(SAML)
- ローカルサイト(自組織のウェブサイト)から外部のサイトにリダイレクトをさせることです。
- SAML認証等で外部のサイトからリダイレクトをする場合、悪意あるサイトへリダイレクトされるリスクがあるので、XXXXX。
- 要件としてサードパーティのシステムを使用することが前提となっている場合、ローカルリダイレクトは選択肢になり得ません。
# Logical control / 論理コントロール
- システムを保護するための技術的な制御のことを言います。ハードウェア、ソフトウェアのそれぞれで考える必要があります。
# Logic bomb / 論理爆弾
- コンピュータに潜伏して、特定の条件を満たしたときに実行されるマルウェアです。
# Log rotation / ログローテーション
- 一定の容量や期間で古いログを削除したり、新しいログで上書きすることを言います。
- システムのログが蓄積してリソースを消費するために実施します。
# Lost update / ロストアップデート
- ある処理でデータベース更新後、先行して実行していた別の処理で上書きしてしまうことを言います。
# LOIC: Low orbit ion cannon / 低軌道イオンキャノン(LOIC)
- DDoS攻撃の一種です。
- 多数のホームPCを利用して標的マシンを攻撃します。
# M
# Media anaysis / 媒体分析
- フォレンジックにおいて、ハードディスクなどの物理的な媒体を分析することです。
# Magnetic stripe / 磁気ストライプカード
- 裏面に黒いストライプが入ったカードです。
- クレジットカード等で使われています。
- アンテナコイルと呼ばれる銅線がカード内にぐるぐる巻いてあります。
# Maintenance hook / メンテナンスフック
- システム開発者がセキュリティをバイパスして容易にアクセスするための裏口のことです。
- 開発者がデバッグやメンテナンスのために用意した機能のことです。
- バックドアとも呼ばれます。
- そのまま放っておくと、機能を悪用される恐れがあります。
# Major update / メジャーアップデート
- OSやソフトウェアを更新するプログラムです。
- 新機能や新たなUI等によってユーザ体験を大きく変化するような比較的大きな更新プログラムです。
# MAC: Mandatory access control system / 強制アクセス制御システム
- 管理者が全てのサブジェクト、全てのオブジェクトにラベルという値を設定し、アクセス権限を強制的にコントロールします。
- リソースの所有者であってもアクセス拒否に至る可能性があります。
- システムは次の3種類で構成できます。
- ①階層: 情報の管理ラベル(機密度)で制限する方式
- ②区画: システムの範囲で制限する方式
- 仮にアカウントが侵害されても他システムに侵入されないようにします
- ③ハイブリッド : 階層と区画の両方で制限する方式
# Mandatory Vacations Program / 強制休暇プログラム
- 不正行為を発見するために、強制的に休暇を取らせる手法です。
- 1~2週間ほどの休暇を取ってもらい、その間にアカウントの監査を行います。
- 休暇によりストレス緩和の効果も期待できます。
# Mantrap / マントラップ
- 2つのドアを使って、施設に入場できる人を1名に絞り込む物理セキュリティです。
# Manual recovery / 手動復旧
- 管理者が手動操作で行う復旧のことです。
- 復旧手順の通りに実施したり、場合により専門知識を持った社員が実施します。手動操作のため柔軟な対応が可能です。
# Masquerading / マスカレード
- 盗み出した認証情報を用いてシステムにアクセスする攻撃手法です。
- マスカレードは仮装の意味です。
# MTD: Maximum tolerable downtime / 最大許容停止時間
- 重要なシステムにおいて、オフラインにしても許容できる時間のこと。
- Tolerableは我慢できるという意味です。
# MBR virus / MBRウイルス
- ファームウェア等に潜むウイルスです。
- MBRはマスターブートレコードのことで、OSが起動する前に実行される領域です。そのため、OS自体が破壊されてしまう恐れがある点や、OSを入れなおしても解消しない点が厄介な点です。
# MD5
- 暗号化をおこなうためのハッシュ関数の1つです。
- ハッシュ化した後の値を元の情報に復元できるぜい弱性があるため、現代では使用が推奨されていません。
# MTTR: Mean Time To Repair / 平均復旧時間
- システムの故障から復旧までに掛かった平均時間のことです。
- 複数の停止時間を計算し、1回あたりの平均時間を算出します。
# MTTF: Mean time to Failure / 平均故障時間
- 平均稼働時間を言います。
- ある機器が故障するまでにどのくらい稼動するかを表します。
- 例えばMTTF 5年なら、平均で5年間を正常稼働した後に故障が起きる状態ということです。
# Medical records check / 診療記録チェック
- 健康記録を調査することは、ヘルスケアプライバシー関連法律で許可されていません。
# Meet in the middle / 中間一致攻撃
- 複数回数に分けて同じ暗号化を繰り返し実行する暗号方式を狙う攻撃です。
- 1回目の暗号化と2回目の暗号化を同時に総当たりを行うことで、効率的に暗号鍵を見つけ出す手法です。
- この攻撃によって2DESは破られてしまい、3DESへ移行することになりました。
# MOU: Memorandum of understanding / 覚書
- サービスレベルや可用性に関する事項を記載した文書ですが、正式な文書ではありません。
- 正式にはSLAを締結するべきです。
# Metadata / メタデータ
- コンテンツ本体ではなく、コンテンツを説明するためのデータのことを言います。
- メタ情報とも言います。
# Metasploit
- ペネトレーションテストを支援する攻撃ソフトウェアです。
- 既知の脆弱性を突く攻撃や、独自のエクスプロイトを実行できます。
# Metric / メトリック
- 指標のことです。
- ネットワークにおいては、ホップ数等の「通信相手までの距離」を示す指標を言います。
- プログラムテストにおいては、テストの進捗やカバレッジを示す指標を言います。
# Mission Owner / ミッションオーナー
- システムから価値を生む責務を負う者です。
- ビジネス部門のメンバーが相当します。
# Misuse case diagram / ミスユースケース図
- ユースケース図にミスユーザやミスユースケースを追加したものです。
- 図の中に、脅威だけでなく、必要な対策も図の中に記載します。
# Misuse case testing / ミスユースケーステスト
- 望まない動作や振る舞いに焦点を当てて行われるテストのことです。
- システムの誤った使い方や、悪意あるアクセスを想定するため、ハッキング対策としてのテストとしての効果も発揮します。
# MOSS: Mime Object Security Service
- メール本文の暗号化機能を持つプロトコルです。
- PEM(Privacy enhanced mail)とは異なり、イメージやオーディオ等のデータも扱うことができる特徴があります。
# MODEM: Moduler/Demoduler / モデム
- 電話回線等のアナログ通信と、コンピュータのデジタル通信間の変調を行う機器です。
# Mutation test / ミューテーションテスト
- テストの品質を評価する確認する手法です。
- テストが適切に行われているかどうかを評価するために行われるテストです。
- プログラムを僅かに変更し、それを検出できるかを確認します。
# MPLS: Multiprotocol label switching
- ネットワークアドレスではなく、パスラベルというタグを使って通信を行うプロトコルです。
- ラベルのみを扱ってルーティングをするため、高速な通信を実現できます。
- ただし、MPLSに対応したルータが必要です。
# Multi layer protocol / マルチレイヤープロトコル
- 複数レイヤーのプロトコルを使用して行われる通信です。
- 複数レイヤーの暗号化を行うことができます。
- セキュリティ運用上の懸念がいくつかあります。
- 隠れチャネルが発生してしまうこと
- プロトコル等のフィルターをバイパスしてしまうこと
# Multi level security / マルチレベルセキュリティ
- 分類レベルが異なる情報を同時に処理できるように考えられたシステムの管理方法を言います。
# Multi-tasking / マルチタスク
- 複数の作業を同時進行することです。
- 1つのコンピュータが複数の処理を行うことです。
# multi-threading / マルチスレッド
- アプリケーションのタスクを複数スレッドに分けて、並行処理をすることです。
# Multi-processing / マルチプロセシング
- 複数のCPUを使用することで、複数の処理を同時に処理することです。
# Multi-programming /マルチプログラミング
- 処理の待ち時間を使用して、複数の処理を並行して処理することです。
# Multipartite virus / マルチパータイト型ウイルス
- ブートレコードやブートセクタに感染するウイルスです。
# N
# NIACAP: National Information Assurance Certification and Accreditation Process
- 国家安全保障に関する情報を処理する電気通信システムの認証プロセスです。
# NIST: National Institute of Standards and Technology / 米国国立標準技術研究所
- アメリカの政府機関です。
- 科学技術の計測と標準化を行っています。
- ニストと読みます。
# NVD: National vulnerability database
- NISTが提供する脆弱性データベースです。
# Network access control / NACシステム
- ネットワーク接続前にセキュリティ遵守状況を確認するソリューションです。
- ネットワーク接続に際して、セキュリティポリシーを強制することもできます。
# NFS: Network file system
- Linuxで使用されるファイル共有のプロトコルです。
- ネットワーク経由で他のマシンのファイルにアクセスする際に使用します。
- ポート番号2049を使用します。
# Nikto
- WEBサーバに対して脆弱性をスキャンするツールです。
- WEBサーバおよびWEBアプリケーションを対象に検査を行います。
# NIST SP800-12
- コンピュータセキュリティの「概論」としてイントロダクションが記載された文書です。
# NIST SP800-18
- セキュリティの計画を立てるためのガイドラインです。
- システムの大幅な変更を行った場合、あわせてセキュリティ計画を更新しなくてはなりません。
# NIST SP800-34
- 緊急時対応計画が記載されたガイドラインです。
- BIA、災害復旧計画策定、訓練等に関することが記載されています。
# NIST SP800-53a
- 米国の連邦情報システムのリスク管理手順や、セキュリティマネジメント管理策が記載された文書です。
- 具体的には、ハードウェアやソフトウェアに対するコントロールの評価や、その測定方法について記載されています。
- 本書の対象は連邦政府機関ですが、民間企業向けに「SP800-171」があります。
- なお、SP800-171からSP800-53Aが参照されており、詳細はこの「SP800-53a」を参照する必要があります。
# NIST SP800-53 rev4
- 開発に品質を保証する指標に関する記述がされた文書です。
- 深さ(depth)とカバレッジ(coverage)で品質を測ります。
- 深さ: 成果物の品質を示します
- カバレッジ: アセスメントの実施状況を示します。
# NIST SP800-60
- 情報、情報システム、セキュリティ分類のマッピングを行うためのガイドラインです。
- システムごとに機密性/完全性/可用性を、高/中/低で分類します。
# NIST SP 800-86
- フォレンジック技法に関するガイドラインです。
- このガイドラインでは、フォレンジックの手順を以下のように述べています。
- ①収集: データ完全性を保護しながら媒体内のデータ収集すること
- ②検査: 収集したデータを調べて注目するデータを抽出すること
- ③分析: データを分析して役立つ情報を得ること
- ④報告: 調査結果を報告すること
- ④の報告が終わったら、また収集に戻ります。
# NIST SP800-88
- 媒体のデータ消去に関するガイドラインです。
- デバイスを廃棄する時、消去/除去/破壊の3パターンいずれかでデータを消すことを求めています。
- 消去とは、技術的な方法でデータを削除することです。
- 除去とは、消磁等によって研究レベルでも復元不能なレベルまでデータ削除を行うことです。
- 破壊とは、物理的な破壊のことです。
# NIST SP800-115
- ペネトレーションテストのガイドラインです。
- テスト、審査、面接のプロセスがあります。
- テスト: ペネトレーションテストを実行すること
- 審査: 結果を分析し、評価すること
- 面接: 評価結果をフィードバックすること
# NIST SP800-137
- ISCM(継続的監視)の実装プロセスを説明した文書です。
- その順序は、以下の6ステップです。
- ①定義
- ②確立
- ③実装
- ④分析と報告
- ⑤対応
- ⑥レビューと更新
# Nmap
- オープンソースのポートスキャンツールです。
- ポートが空いている場合にOpenと判定されます。
- ポートが空いていない旨の返答を受け取った場合にClosedと判定されます。
- 通信が届かなかった場合はFilteredと判定されます。
- デフォルト設定では、TCP/UDPの両方をスキャンしますが、1,000個のポートしかスキャンしません。
# NCA: Non-Compete Agreement / 非開示契約
- 「競合に情報を話してはならない」ということを取り決める合意文書のことです。
- NDA(秘密保持契約)とほとんど一緒です。
- 通常、雇用時にNCA契約を結びます。
# Non-regression test / 非回帰テスト
- プログラム等の変更によって、想定通りの効果が出ることを確認するテストです。
- 変更したところだけに着目し、動くかどうかのテストを行います。
# Nonrepudiation / 否認防止
- 契約等の当事者が、文書や契約の内容を後から否認できないように保証する考え方です。
- 例えば、電子署名、ログ、タイムスタンプを活用することによって、否認防止を実現します。
# Non-IP protocol / 非IPプロトコル
- IPアドレスを使用しない通信プロトコルのことです。
- ファイアウォールはIPアドレスで通信をブロックするので、非IPプロトコルは制限できない(チェックされず通過してしまう)可能性があります。
# Nueral network / ニューラルネットワーク
- 複雑な計算によって、人間のココロの一部を再現しようとする人工知能のことです。
# O
# Object storage / オブジェクトストレージ
- オブジェクトという単位でファイルを管理するストレージです。
- オブジェクトごとに固有のIDを持ち、そのIDを指定してデータを取り出します。
- Amazon S3等が有名です。
# Obligatin to preseraeving evidence / 訴訟準備義務
- 訴訟の恐れがあると発覚した場合、その時点から証拠保全に取り組まなくてはなりません。
- 例えば、取引先から「訴えてやる」等の訴訟に関する発言があった場合は、その時点から証拠保全の活動を開始します。
# OSPF: Online Shortest path first
- リンクステート(リンク状態)型という方法を使い、最短経路で通信を行うルーティングプロトコルです。
# Open head / 開放型スプリンクラー
- 出口ヘッドが付いていないタイプのスプリンクラーです。
- 配水パイプは空状態にしてあり、熱感センサーで蛇口を開放します。
- 予動作式(Preaction)タイプでは、熱感センサーで水門の蛇口が開かれるイメージで放水されます。
- 予動作式では、配水パイプに穴が開いても漏水しないので、データセンタ等でも安心して使用できます。
# OpenID
- 複数のサービスに1つのアカウントでログインできるようにする認証のためのプロトコルです。
- OpenID Providerという権限を集中管理するシステムで認証を行い、各サービスにログインします。
# OpenID Relying party / リライングパーティ
- OpenIDを使ってログインするサイトやサービスのことを言います。
- 省略してRPと呼ばれます。
- RPからOpenIDで認証する際、認証サイトに画面が切り替わる挙動をするため、偽のOpenIDサイトを使ったフィッシングRPの危険性があります。
- 現時点、この危険性の対処法はユーザのリテラシー向上くらいしかありません。
- Relyは頼むという意味があります。
# OpenLDAP
- LDAPのオープンソースソフトウェアです。
- LinuxやWindows等の様々なOSに対応しており、かつ無料で使用できる点が特徴です。
- OpenLDAPの標準設定では、ユーザパスワードを平文で保存します。
- そのため、構築に携わる人は、セキュアな形式になるよう指定する責任があります。
# Open source / オープンソース
- ライセンス形態の一種です。
- ソースコードが公開されており、誰でも複製配布改良ができるソフトウェアのことです。
# OpenVAS: Open Vunlerability assessment scanner
- ぜい弱性スキャンツールの一種です。
- Nessusから派生した製品で、無償利用できます(GNUライセンス)。
- リモート環境からの検査が可能です。
- 検査の結果、レポートが作成されます。
# OVAL: Open Vunerability and Assesment Language
- セキュリティの対策状況を評価するための指標です。
- OVALインタプリタを活用することで、脆弱性対策の確認作業を自動化することが期待されています。
# OWASP: Open Worldwide Application Security Projec
- Webセキュリティに関する活動を行う非営利団体です。
- ガイドライン作成、ぜい弱性診断ツール開発、イベント開催などを行っています。
# OS finger printing / OSフィンガープリンティング
- OSを特定するための特徴のことです。
- リモート接続を試みる通信を分析して、接続元マシンのOSやミドルウェアを推測します。
- 例えば、一部のOSでは標準設定のICMP応答メッセージに特徴があり、そこからOSを推察することができます。
# OSI参照モデル
- 下記の通りです。
| レイヤ | 機能 | プロトコル |
|---|---|---|
| アプリケーション層 | 実現する内容 | HTTP、FTP、TELNET等 |
| プレゼンテーション層 | ファイル形式 | HTML、JPEG、MIDI等 |
| セッション層 | 対話モード | NetBIOS等 |
| トランスポート層 | 伝送結果の確認方法 | TCP、UDP等 |
| ネットワーク層 | 通信相手の識別方法 | IP、ARP、RARP等 |
| データリンク層 | 端末の識別方法 | イーサネット、MACアドレス等 |
| 物理層 | 情報を送る媒体、方式 | ケーブル等 |
# Othogonal array testing / 直交表テスト
- プログラムにパラメータを与えるテストを効率的に実施するため、テストケースを洗い出す手法の1つです。
- 不具合のほとんどは2つの要素の組合せが原因で発生するという考え方のもと、テストパターンを絞り込んだテストパターン表を作成します。
# Out-of-band identity proofing / 帯域外のアイデンティティ証明
- 通話やSMS等を用いて、複数の要素で本人を確認することです。
# Overprovisioning space / オーバープロビジョニング領域
- SSD内にあるユーザがアクセスできない領域のことを言います。
- ガベージコレクションの効率を高めたり、処理パフォーマンスを高める役割を担います。
# P
# P2P CDN
- P2P機能とCDN機能を持った端末同士が1対1で通信をすることです。
- winnyやWinMXが該当するそうです。
# Packet capture / パケットキャプチャー
- ネットワークを流れる通信パケットをコピーして保存する行為のことです。
- リアルタイムの通信しか保存できずデータ容量も大きいため、インシデントの分析として使うために日常的に取得しているケースは考えにくいです。
- そのため、インシデント分析でパケットキャプチャが使われるケースはほとんどありません。
# Packet loss / パケットロス
- データの転送中にパケットが喪失して、再送が必要になる現象のことです。
# POODLE: Padding Oracle On Downgraded Legacy Encryption / プードル
- SSLのぜい弱性を狙った攻撃です。
- 通信に割り込み、古い暗号方式を使わせることができます。
- その古い暗号方式では、通信の改ざん、情報漏えいといったぜい弱性があります。
- 古い暗号方式を無効化する対策が有効です。
# Pair programming / ペアプログラミング
- 2人のプログラマが共同でプログラムを開発する方法です。
- 1名はコードを記述している間、もう1名は進捗の確認を行う等の分担で実施されます。
- 2名が揃った状態でのみ実施します。
# Parallel test / パラレルテスト
- 災害計画のレビュー方法の一種です。
- プライマリーサイトを起動したまま、復旧サイトの立ち上げと切り替えテストします。
# Parol Evidence Rule / 口頭証拠ルール
- 書面で契約されている場合、書面に記載された内容が唯一の証拠となるルールです。
- そのため、記載されていない事項を口頭で約束しても契約は成立せず、証拠として扱えません。
# Pass around / パスアラウンド
- メールやセントラルコードを使ったレビューです。
- 開発とレビューがパラレルに実行できるため、勤務時間が異なるメンバーでも実施できるレビュー方式です。
# Passive monitoring / パッシブ監視
- 監視される側がアクションを起こす監視手法です。
- パッシブ監視の1つにウォッチドッグタイマーがあります。
- これは、定期的に発信されるトラフィックをキャプチャし、発信が途絶えたら障害が発生していると判断する手法です。
# Pass-the-hash attack / パスザハッシュ攻撃
- 認証に利用されるハッシュ情報(NTLMハッシュやLanManハッシュ)を盗み、パスワード等の入力をバイパスして、不正にアクセスする攻撃です。
- Active Directoryに参加するコンピュータは、外出時等のADと通信できない時もログインできるように、ハッシュ化したパスワードをローカルに保存しています。- psexecやmimikatz等のツールで、パスワードハッシュを取得することができます。
# PASTA脅威モデル / PASTA: Process for Attack Simulation and Threat Analysis
- 攻撃者視点で脅威をモデル化する方法論です。
- 攻撃ツリーを用いて、脅威を図で表現します。
- 脅威をシミュレーションすることも特徴のひとつです。
- 7段階のステップがあります。
# PCI DSS: Payment Card Industry Data Security Standard / ペイメントカード業界データセキュリティ基準
- クレジットカード業界向けのセキュリティ基準です。
- 2022年3月にv4.0が公開され、クレジットカードを扱う企業は、v4.0で定められた12個の要件を満たす必要があります。
- セキュリティコントロールや基準を提示します。
# Peer review / ピアレビュー
- 業務の成果物を別の人がレビューする方式のことを言います。
- 立場や役職の近い人がレビュアーとなります。
- ピアとは同僚や仲間を意味します。
# Penetration test / 侵入テスト
- システムのぜい弱性を調べるために、攻撃者相当の攻撃を使って、社内システムへ侵入できるかを試すテストです。
- 脆弱性がある場合、その脆弱性を悪用してシステムに侵入する操作が試されます。
- テストを行った弊害として。アプリケーションのクラッシュ、サービス停止、データ破損等といった問題が発生する可能性があります。
# Perimeter / 境界
- 他のプロセスに影響が無いような配慮をしてソフトウェアを動かす方法です。
- Perimeterは、プロセスがアクセスできるかどうかの境界を確認して、動作範囲を決めます。
# PII: Personal identifiable information / 個人識別情報
- 個人を特定できる情報のことを言います。
- 例えば、氏名、電話番号、誕生日、個人識別番号、免許証番号等を言います。
# PIV: Personal Indentity Verification
- 個人識別情報検証カードのことです。
- 政府系のアプリケーションにおいて認証する際に使われます。
# Personal liability / パーソナルライアビリティ
- 日常生活で他の人にけがをさせたり、モノを壊したりしたときに受けられる保険のことです。
- (情報セキュリティとはあまり関係が無いようです。)
# Physical controls / 物理的コントロール
- 物理的なセキュリティ対策を施すことを言います。
- 例えば、施錠、監視カメラ、警備員の設置、入退ICカード等があります。
# Physical Layer / 物理層
- ビット情報を扱うレイヤーです。電子インパルスや、光パルスを扱います。
# Piggyback / ピギーバック
- 侵入制限のある入場ゲートについて、他の人の後ろくっついて入場することです。
- いわゆる、テールゲートです。
# PoD: Ping of Death
- ICMP要求パケットを悪用して巨大サイズのpingデータを送り付ける攻撃です。
- 受け手が短いデータしか処理できない脆弱性を狙い、そのソフトウェアの動作を不安定にさせたり、あるいは停止させます。
- なお、大容量のpingを送り続けてリソースを消費させる攻撃はICMP Floodと呼び、PoDとは区別されます。
# PaaS: Platform as a Service
- プラットフォームを提供するサービス形態です。
- IaaSとSaaSの間と言われます。
- ベンダーにコードを提供し、コンピュート上で実行してもらうようなサービス形態はPaaSに含まれます。
# PPP: Point-to-point protocol
- ダイヤルアップ通信で使われるプロトコルです。
- モデムやISDNで使用されます。
# Polyinstantiation / ポリインスタンス
- 複数のデータベースをマージしたビューを表示する際、権限に応じた開示範囲を保つように設計する考え方です。
- 不必要な情報を公開しないことで、推論攻撃の対策となります。
# Polymorphic / ポリモーフィック
- マルウェアが自身の特徴を変化させることで、検知から逃れようとする技術のことです。
- 多様な姿を持つという意味である多態性(porimophism)から来ています。
# port 21
- FTPで使用されるポート番号です。
- FTPは暗号化されていない通信のため、盗聴や改ざんに弱い特徴があります。
# port 23
- Telnetで使用されるポートです。
- Telnetは暗号化されていないため、盗聴の恐れがあります。
# port22
- SSHで使用されるポートです。
# port 110
- POP3で使用されるポートです。
# port25
- SMTPで使用されるポートです。
# port 53
- DNS(名前解決)に使用されるポート番号です。
- ポート53を使用したDNS通信は暗号化がされていません。
# port 137,138,129
- NetBIOSで使用されるポートです。
# port 445
- ActiveDirectoryやSMBで使用されるWindows用のポートです。
# port 515 / port 9100
- ネットワーク対応プリンターで使用されるプロトコルです。
# port 636
- LDAPの認証においてSSLを使う場合のポートです。
- LDAPセキュアと呼ばれます。
# port 853
- DNSに使用される通信を暗号化した際に使用されるポート番号です。
- DNSの暗号化機能を持ったDNS over TLSではポート番号853を使用します。
# port1443
- MSSQLのポート番号です。
- SQLサーバで使用されます。
# port 3268/3269
- LDAPの認証におけるグローバルカタログへの問合せに使われるポートです。
# PPTP: Point-to-point tunneling protocol
- 機器と機器の間で仮想伝送路を作り(VPN)、データをやりとりするための通信規格です。
- PPP通信をトンネリングするように設計されています。
- 認証に脆弱性が報告されており、安全性に問題があります。
# Post admission / ポストアドミッション
- 端末に対するコントロールの一種です。
- ネットワーク接続後のアクティビティをもとにアクセス制御を行います。
# Policy, Standard, Guideline, Procedure / ポリシー、スタンダード、ガイドライン、プロシージャ
- 社内規則等の構造に関する考え方です。
- ポリシーは、戦略やあるべき姿を定義します。
- スタンダードは、理想を形にするための基準を定義します
- プロシージャは、やるべき施策を達成するための、手続きを記載します。
- ガイドラインは手引です。
# PHI: Protected Health Information / 個人健康情報
- 診断、治療等の医療サービスの仮定で生成された個人を特定する情報を言います。
# PMBOK: Project Management Body of Knowledge
- プロジェクト管理に関するナレッジを体形的にまとめたドキュメントです。
- プロジェクト管理の本質は、QCDを守ることにあります。
- ピンボックと読みます。
# Purging / パージング
- 媒体の再利用を前提として、低セキュリティの環境でも使えるように集中的なクリアリングをすることです。
- 一度機密情報の入ったストレージを完全にクリアにすることは難しく、同等のシステムを新規に購入するよりも高いコストが掛かってしまうことがあります。
# PGP: Prity good privacy / プリティーグッドプライバシー
- メッセージ、ファイル、メールの暗号化を行うソフトウェアです。
- 以下の手順でメッセージを送信します。
- 送信者は、ランダムな鍵を生成してデータを暗号化します。
- 送信者は、ランダムな鍵を受信者の公開鍵で暗号化します。
- 受信者は、暗号化されたランダム鍵を自身の秘密鍵で復号します。
- 受信者は、復号したランダム鍵を使って、メッセージを復元します。
# PBX: Private Branch eXchange / 電話交換機
- 呼び出し電話を適切に振り分ける装置のことです。
- オフィスでは複数の電話機が使われるため、その交通整理を担います。
- 音声がパケットとして流れるため、ポートミラーリング等の手法でされる恐れがあります。
- そのため、盗聴対策として物理セキュリティを高める必要があります。
# Private IP Address / プライベートIPアドレス
- 組織内で使用するIPアドレスです。
# PEM: Privacy enhanced mail
- 電子メールを暗号化して送ったり、電子署名をつけるための規格です。
- 暗号化はDES、電子署名はRSAで行います。
- テキストデータしか扱うことができません。
# Privacy shield / プライバシーシールド協定
- ※エドワードスノーデンの告発を受けて、2020年に無効となっているようです。
- GDPRで定める「十分性認定」を受けるために制定されたフレームワークです。
- 所定のプライバシー保護策を行うことで、GDPRにとらわれずに国外への情報持ち出しが可能となります。
- 7つの要素で構成されています。
- ①通知(Notice)
- ②選択
- ③第三者移転
- ④セキュリティ
- ⑤完全性と目的外利用制限
- ⑥アクセス(Access)
- ⑦執行と責任
# Privileged administrative activity / 特権的管理アクティビティ
- 特権を使用した操作のことです。
- このうち、危険度の高いものは自動的に検出されるべきです。
- 例えば、以下のようなイベントを検出すべきです。
- 新しいアカウントの作成
- ログの削除
- システム復元
- 等
- cisspの考えだと、特権でログインした後の操作は検知すべきで、特権ログインは検知しないのが良いそうです。
# Privilege creep / 特権クリープ
職務変更後に以前の権限を持ったままになる状態のことです。
# Proactive monitoring / プロアクティブ監視
通信等のデータを記録し、再生することで本番環境に掛かる負荷を確認する検証手法です。
シンセティック監視とも呼ばれます。
# Process isolation / プロセス分離
- OSがプロセスごとにメモリーを割り当てる機能です。
- プロセスが相互にデータを見られないようにする機能です。
- マルチレベルセキュリティの要件の1つです。
# Programming language generation / プログラミング言語の世代
- プログラミングの歴史から、言語は第1世代~第3世代に分類されます。
- 第1世代: 機械言語
- コンピュータが理解できる唯一の言語です。
- 人間が理解するのは極めて困難です。
- 第2世代: アセンブリ言語
- 機械言語と1対1で対応するコードを、人間の言葉で記載するものです。
- 第3世代: 高水準言語
- 人間の言葉に近い形で記述できるプログラミング言語です。
- COBOL、C#、Java等を言います。
# PEAP: Protected EAP
- 強化版のEAPです。
- EAPをTLSトンネルでカプセル化しており、強力な暗号化を実現することがでます。
# Provisoning / プロビジョニング
- アカウントの作成や権限の割り当てを行い、リソースを使用可能にすることを言います。
- このうち、アカウント作成はEnrollment(登録)と呼びます。
# PSP: Provisioning service point / プロビジョニングサービスポイント
- プロビジョニング要求を送る相手のことです。
- 多くの場合、アカウントを作成したいサーバのことを示します。
- プロビジョニングサービスプロバイダとも呼ばれます。
# PST: Provisioning service target / プロビジョニングサービスターゲット
- プロビジョニングの対象のことです。
- 多くの場合、ユーザアカウントのことを示します。
# Proximity card / 近接系カード
- 非接触カードのことです。
- カードをリーダーにかざす際、数cm離れていても読み込めるタイプのICカードが主流です。
- 交通系カードのSuica等が該当します。
# Prudent man rule / プルーデントマンルール
- 職務に応じて、その個人が持つ専門知識を動員し、適切な判断をすることを求めるルールのことです。
- 責任はその個人が負うことになります。
# PSH: Push
- 受信側に対し、ただちにデータを処理するよう指示するフラグです。
- プッシュです。
# Q
# QRA: Quantitative Risk Assessment / 定量的リスクアセスメント
- リスクの危険度を数字で表現する分析手法です。
- 「発生頻度」と「深刻度」のマトリクスでリスクをランク付けしたり、想定される平均被害額を算出したり、様々な計算手法が考えられます。
- Quantityは量のことです。
# Qualitative risk analysis / 定性的リスクアセスメント
- リスクの発生確度と深刻度を掛け合わせる方法が使われますが、その根拠にインタビューやシミュレーションといった定性的なデータが使われます。
- Qalitativeは品質のことです。
# R
# Race condition / レースコンディション
- 競合状態のことです。レース状態です。
- 複数の処理が重複したことで、機能停止等の予期しない結果が生じてしまうことを言います。
- 例えば、1つのリソースに複数プロセスが決まった順序でアクセスする仕組みにおいて、その処理順番を変えることで不正に高い権限を得られる危険性があります。
# RAID 0 / RAID 0
- データを複数ディスクに分散して書き込む方式です。
- ディスクストライピングとも呼ばれます。
- ディスク1台の時と比べ、容量が増加する代わりに可用性が低下します。
# RAID 1
- 同じデータを複数のディスクに書き込む方式です。
- ディスクミラーリングとも呼ばれます。
- 可用性が高まりますが、使用可能なディスク容量は増えません。
# RAID 5
- 複数のハードディスクにデータを分散保存することで、可用性を高める技術です。
- RAID5は分散パリティやパリティ付きディスクスト来ピングとも呼ばれます。
- RAID5を組むためには、3台以上のハードディスクが必要になります。
- 仮に1台のディスクが破損しても、残りの2台で動作できます。
- 障害からの復旧が可能なため、復旧コントロールの1種です。
# Rainbow table / レインボーテーブル
- パスワードとハッシュ値の対比表が記載された表のことです。
- ハッシュ値から元の平文(パスワード等)を逆算する攻撃に使用されます。
# Random selection / 任意抽出
- 分析に使用するデータをランダムに選択する手法です。
# RAD: Rapid application development
- プロトタイプの作成と改善を繰り返すことで、高速に開発を行う手法です。
- アジャイルとの違いは、一定の品質に至るまで改善を繰り返してからリリースする点です。
# RC4
- 暗号方式の1つで、共通鍵を使います。
- 疑似乱数と平文のXORで暗号文を生成します。
# RUM: Real user monitoring / リアルユーザモニタリング
- システムに対するユーザの操作を記録することです。
- パフォーマンスや動作異常を監視します。
- パッシブモニタリングの一種です。
# RPO: Recovery Point Objective / 目標復旧時点
- 障害から復旧する際、いつ時点まで戻せるかを示す値です。
- 目標によっては、取得すべきバックアップの頻度や取得タイミングの見直しが必要になります。
# RTO: Recover Time objective / 目標復旧時間
- RTOは、災害等があった際、事業復旧までに掛けて良い時間を目標にしたものです。
# Request control / リクエストコントロール
- サービス運営に関する正式なリクエストを管理することです。
- 見落としなどが無いよう適切に管理します。
- リクエストには、アクセス権の要求や新しい機能の要求等があります。
# Reduction Analysis / 低減分析
- システムを5つの機能に分解して対策検討を行うための分析手法です。
- 5つの機能等は以下のものです。
- 信頼境界
- データの流れ
- 入力ポイント
- 特権操作
- セキュリティコントロール
# Referential integrity / 参照整合性
- 主キーと外部キーの関係のことです。
- 外部キーに設定された値が、別テーブルの主キーになっていることで、正しく参照できる状態となることです。
# Reflected DDoS Attack / DDoSリフレクション攻撃
- 送信元IPアドレスを標的に偽った通信を行うことで、増幅した応答パケット(リフレクション)を標的に送り付ける攻撃です。
- 例えば、DNSであれば応答パケットは送信データの70倍、NTPは200倍にパケットが増幅するので、その仕様が悪用されます。
# Regression test / 回帰テスト
- プログラムの変更やパッチの適用によって新たな問題が発生していないか行うテストです。
- 退行テストとも呼ばれます。
- 回帰テストの効果は、欠陥再発率によって測定されます。
# Regulatory investigation / 規制当局による捜査
- 法令違反や不適切行為が発生した時に行われる捜査活動です。
- 捜査は政府職員の主導で行われます。
- 捜査の結果、社内処分、再発防止策の策定、刑事告訴等が実施されます。
# RADIUS: Remote Authntication Dial In User Service
- ユーザアカウントとアクセス権を一元管理する機能を持ったプロトコルです。
- 主に無線で使用されます。
- RADIUS組み込みの暗号化機能は、パスワードしか暗号化できません。
- 標準ではUDPの通信を行います。
- RAIDUSは二重化されていることが当たり前という考え方で、障害時に次のサーバへ早く伝送するためにUDPらしいです。
- TLS over TCPで通信経路の暗号化をすることが可能です。
- Radiusは半径という意味です。
# Remote journaling / リモートジャーナリング
- バックアップ手法の1つです。
- トランザクション(更新内容)ではなく、トランザクションのログファイルを遠隔地にコピーします。
- リアルタイムに近い頻度でログを転送する点が特徴です。
# Remote mirroring / リモートミラーリング
- バックアップ手法の1つです。
- 遠隔地のディスクにデータをミラーリングする手法です。
# Remote node oparation / リモートノード操作
- ダイヤルアップ接続のことです。
# Remote wipe / リモートワイプ
- モバイル端末のデータを遠隔から削除するソフトウェアです。
- ネットワークに接続されないとワイプができないため、盗難後に通信不能な状態にされると、導入効果がなくなってしまいます。
# Re-provisioning / 再プロビジョニング
- 休職などから復帰する際、以前のアカウントを再度設定することです。
# Replacement cost analysis / 再調達原価分析
- 資産を再度構築するために掛かるコストを算出することです。
- BCPの想定影響金額を算出する際に使われます。
# Retina scan / 網膜スキャン
- 目の網膜を使用した認証方法です。
- デメリットとして、網膜情報から高血圧や妊娠等のセンシティブな情報が明らかになってしまう場合があります。
# RST: Reset
- リセットです。TCPセッションを切断するときに使います。
- クライアントからRSTが送られた場合、セッションが切断します。
# Resource based access control / リソースベースのアクセス制御
- ストレージ等のリソースとアクセス権をマッチングさせる制御方法です。
- AWS等のクラウドサービスでは一般的な制御方法となっています。
# RARP: Reverse Address Resolution Protocol
- アドレス解決プロトコルです。
- MACアドレスからIPアドレスを求めます。
- OSI参照モデルにおけるデータリンク層で動作します
- ラープと読みます。
# RFC1918
- プライベートIPアドレスに関する規定事項に関する文書です。
- 代用的なものとして、プライベートアドレス(組織内だけで使用されるIPアドレス)に次の3種類が定義されており、これらのアドレスはグローバルに使うことはできません。
- ①クラスA: 10.0.0.0-10.255.255.255
- ②クラスB: 172.16.0.0-172.31.255.255
- ③クラスC: 192.168.0.0-192.168.255.255
- RFC1918では、この他にもいくつかのアドレスが予約されています。
# Right for data portability / データポータビリティの権利
- 事業者に提供した個人情報を、本人が受け取ったり、他サービスへ持ち運んだりすることのできる権利です。
- 自身の情報を自分で分析することによって、他サービスへの切替を促し、事業者間の競争を促進させる狙いがあります。
- GDPRの第20条に定められています。
# Right for forgotten / 忘れられる権利
- インターネットから情報を消し去ることで、「忘れてもらえる」という権利です。
- ある個人にとって不利な情報がインターネットにある場合、その個人は検索エンジン事業者にそのデータを削除してもらう権利がある、といった内容です。
- GDPRの第17条に定められています。
# Ring protection model / リングプロテクションモデル
- 波紋のような形状をしたセキュリティモデルです。
- 4段階のリング層に分かれており、中央から順に以下の意味を表しています。
- リング0(中央部分): カーネル
- リング1: OSコンポーネント
- リング2: プロトコル
- リング3: アプリケーションやプログラム
# RMF: Risk Management Framework / NISTリスクマネジメントフレームワーク
- 情報セキュリティリスクの管理方法に関するフレームワークです。
- NIST SP800-37で記載されています。
- リスクマネジメントは、7つのステップで構成されます。
- ①準備(prepare)
- リスクマネジメント戦略を立案します。
- ②情報システムの分類(categorize)
- 対象システムの特性から、セキュリティ分類(CIA)の高中低を設定します。
- ③管理策の選択(select)
- 分析結果に基づき、セキュリティコントロールを選択します。
- ④管理策の実施(implement)
- セキュリティコントロールを実装します。
- ⑤管理策のアセスメント(assess)
- 導入したセキュリティコントロールが意図したとおりに機能しているか確認します。
- ⑥運用の認可(authorize)
- 運用の観点でリスクが受容可能であるか確認し、運用を開始します。
- ⑦管理策の監視(monitor)
- 継続的に、コントロールの有効性を確認します。
- ①準備(prepare)
# Router / ルータ
- IPアドレスで通信の交通整理を行う機能をもった機器です。
- 他のネットワークにルーティングするために必要です。
# RSA / RSA暗号
- 素因数分解を使用した暗号化アルゴリズムです。
- リベスト(Rivest)、シャミア(Shamir)、アドルマン(Adleman)の3名で開発され、その3名の名前の頭文字からRSAと呼ばれています。
- 保存中のデータ(data in rest)と転送中のデータ(data in transit)の暗号化に使われます。
- 公開鍵暗号方式で使用されるため、各自の持つカギは暗号鍵と公開鍵の2つのみです。
- デジタル署名にも使用されています。
- RSAは開発者の頭文字(Rivest/Shamir/Adleman)の頭文字です。
# Rule based access control / ルールベースのアクセス制御
- 全てのユーザ共通で適用されるルールを決めてアクセス権を制御する方式です。
# S
# SOX: Sabanes OXley / ソックス法
- 粉飾決算を防止し、財務諸表の信頼性確保を目的とした法律です。
- 次のような事項を義務付けています。
- 社外取締役や経営から独立した公認会計士を選任すること
- 内部統制を実施すること
- 外部監査の実施すること
- などなど
# Sabotage / 妨害行為
- 内部犯行を原因としてシステム障害等が発生することを言います。
# Safe Act / SAFE法
- 抵当権を扱う米国の法律です。
# Sag / サグ
- 電源関係の障害の一種です。
- 数秒の間だけ、低電圧状態になっている状態を言います。
- 瞬低と言います。
# Sanitization / サニタイズ
- 無害化することです。
- システムや媒体からデータを削除し、いかなる方法でも復元できない状態にすることを言います。
- 装置の取り外し、破壊等も含まれます。
# SAINT: Security Administrator’s Integrated Network Tool
- ぜい弱性スキャンツールの一種です。
# Salt / ソルト
- ハッシュ化した値から逆算されないようにする対策の一種です。
- 文字列を加えてからハッシュ化する処理で対策となりますが、その加える文字列のことをハッシュと言います。
- レインボーテーブル攻撃の対策になります。
# Sampling / サンプリング
- 大規模データ集団からいくつかのレコードを選択して分析する手法の1つです。
- 統計的手法を用いて、データ集合から代表するデータを選択し、それをサンプルとして分析します。
# SAS 70
- SSAEに取ってかわりました。
- 現在は使われていません。
# SOW: Scope of work / 作業範囲記述書
- 実施する作業内容を記載した文書です。
- 契約書の付録という位置づけで提出されます。
# Scoping / スコーピング
- 採用するスタンダードを決めて、スコープを定めるプロセスです。
- ベンチマークとして提示された様々なセキュリティコントロールの中から、自組織に合わせて使用するものを選ぶことです。
# Screen Scraping / スクリーンスクレイパー
- PC画面に表示されている内容を遠隔地のPCに投影する攻撃です。
# Screening process / スクリーニングプロセス
- 人材の採用にあたって、面接などを行う前に採用基準を満たしているかを調べることです。
- 採用コストを低減させることを目的に実施します。
# SCP: Secure Copy / セキュアコピー
- Linuxディストリビューションのファイル転送プロトコルです。
- scp コマンドでファイルを送信取得することができます。
# SSL: Secure Socket layer
- 通信中のデータ(data in transit)の暗号化に使われる技術です。
- POODLEぜい弱性によってSSLの使用は推奨されておらず、既にTLSに置き換わっています。
# SCA: Security Control Check / セキュリティコントロールチェック
- 米国政府機関が実施するセキュリティ評価のことです。
- 評価を受ける対象は、政府機関であると考えられます。
- ST&E(Security test and Evaluation)と共に実施します。
# SCAP: Security Content Automation Protocol
- ぜい弱性情報の管理を自動化および標準化する方法を提供するものです。
- 標準コンテンツとして、NISTのNVD(ぜい弱性データベース)から情報を抽出します。
# SSID: ServiceSet Identifier
- 無線ネットワークのアクセスポイントに設定する名前のことです。
# Secret / 機密
- 米国政府が定めるデータ分類の1種です。
- Secretは、漏えいすると国家の安全保障に「深刻な」損害をもたらすもの、と定められています。
# S-MIME: Secure - Multipurpose Internet Mail Extensions
- 電子メールの暗号化方式の一種です。
- メールの暗号化と電子署名の機能を持ちます。
- 他の暗号方式と比べ、エンベロープまで暗号化する機能を持っている特徴があります。
# Separation of Duty / 職務分離の原則
- 役割や職務に応じて権限を分けることです。
- 二人以上の担当者を設置し、申請者と承認者を分ける等で不正を防止することが目的です。
# Serpent / サーペント
- 対称鍵暗号の一種です。
- 誰でも無料で自由に使うことができます。
- AESのアルゴリズム候補にあがっていましたが、不採用となった歴史があります。
# Service pack / サービスパック
- 複数の不具合を修正するプログラムの集合体です。
# SAML: Security Assertion Markup Language
- SSOの実現や、認証アサーションを実現するための技術です。
- 記述言語にXMLを使用し、IDを使った認証を行います。
- 認証アサーションにより、Webサイトであれば例えドメインが違っていてもSSOを行うことが可能です。
- 以下の流れでIdP(IDのプロバイダ)、SP(サービスのプロバイダ)、との通信が発生します。
- ①サービス要求(Client→SP)
- ②SAML Request(SP→Client、Client→IdP)
- ③ログイン画面提供(IdP→Client)
- ④認証(Client→IdP、IdP→Client)
- ⑤サービス提供開始
# Security controls / セキュリティコントロール
- セキュリティリスクを低減させる対策のコンセプトです。
- コントロールは以下の3種類に分類されます。
- ①管理的コントロール
- ②物理的コントロール
- ③技術的コントロール
- これらはFIPS1999に記載されています。
# Security fix / セキュリティフィックス
- ソフトウェアやOSの不具合を解消するための修正プログラムです。
- 1つのフィックスで1つの問題のみを解消することが一般的です。
# SOC: Service Organization Controls / 内部統制保証報告書
- サービスを提供する組織の内部統制状況について、第三者から受けた評価のことです。
- 評価の結果はレポートで提供されます。
- SOC1、SOC2、SOC3の3種類があり、SOC1/2については、Type1/Type2の二種類があります。
# SPML: Service provisoning markup language
- XMLベースのプロビジョニング情報をやり取りする規格です。
- 要求権限(RA)を使用して、プロビジョニングサービスポイント(PSP)に要求を送信し、プロビジョニングサービスターゲット(PST)を生成します。
# Session hijacking / セッションハイジャック
- セッションIDを推察または盗むことで、他人になりすます攻撃を言います。
- 対策として、IDが盗まれないように通信を暗号化することが重要です。
- また、セッションIDを非表示かつ複雑な値にして容易に推察できないような値にすることも対策になります。
# SHA-1: Secure Hash Algorithm 1
- 与えられた原文から20バイトのハッシュ値を生成する関数です。
- 攻撃手法が確立されたため、現在ではSHA-2に移行しています。(SHA-1は使用されなくなりました。)
- シャーワンと読みます。
# SHA-2: Secure Hash Algorithm 2
- 与えられた原文から特徴的な固定の長さのハッシュ値を生成する関数です。
- SHA-1の後継です。
- SHA-224、SHA-256、SHA-384、SHA-512の4つを総称してSHA-2と呼んでいます。
# Self servie account provisioning / セルフサービスアカウントプロビジョニング
- 採用した人材が、自分でアカウント設定を行う機能を提供することです。
- sign upを選択すると、自分のメールアドレス等の入力欄を表示させる画面に遷移します。
# Shadow password / シャドウパスワード
- Linuxにおいて、ユーザ設定ファイルからパスワードのみを抜き出し、管理者しかアクセスできない場所に移すことを言います。
- パスワードはハッシュ化され、 /etc/shadow に保存されます。また、シャドウパスワードを設定している場合、/etc/password ではパスワード欄に x が設定されます。
# Shortcut trust / ショートカット信頼
- AD環境の信頼設定の一種です。
- 同じフォレスト内で信頼関係を結ぶことで、認証のパスを短くします。
- 特にサブドメインの階層が深くなると認証に時間が掛かったりするケースで、認証時間を短縮する効果が期待されます。
# SLE: Single Loss Expectancy / 単一損失予測
- ある1つの資産が侵害された時に生じる想定被害額のことです。
- 資産価値(AV: Asset Value)×暴露係数(EF: Esposure Factor)で計算されます。
# Single point of failure / 単一障害点
- その1つのシステムが障害になると、システム全体が障害に至るような箇所を言います。
- 例えば、ActiveDirectory等です。
# SASL: Simple authentication and security layer
- LDAP認証モードの1つです。
- セキュアな方式を含むさまざまな認証タイプを提供します。
# Simple Integrity Property / 単純完全性属性
- Biba modelにおける原則です
- 下位ランク(正確性の低い情報)は読み取りできないように制限を掛けます。
# SMTP: Simple mail transfer protocol
- メールを送信する際に使用されるプロトコルです。
- アプリケーション層で動作し、ポート25を使います。
# SOAP: Simple object access process
- ネットワーク経由でオブジェクト間の通信を行うプロトコルです。
- XML形式で中身を記述し、データ転送にHTTPやSMTPを使用できます。
- 多くの組織ではHTTP等のプロトコルを除き多くのプロトコルのシャットアウトしています。
- その環境下においても、ネットワーク経由で通信できることが強みです。
# Simple Security Property / 単純セキュリティ属性
- Bell-LaPadula modelにおける原則です。
- サブジェクトは上位ランク(高い機密度)のファイルを読み取ることはできません。
- イメージとしては、一般職員が重要機密にアクセスしてはなりません。
# Site survey / サイトサーベイ
- 無線LANに接続できる場所を特定するために行われる電波調査のことです。
- 専用のツールを使って行われます。
- 無線LANアクセスポイントを適切配置するため、設置数設置場所電波強度等を細かに調査し、図面にマッピングする等の整理を行います。
- ウォードライビングでは、ある一定の場所が繋がるかどうかしか見ていないので、サイトサーベイの方が細かなアウトプットがされます。
# Slack space / スラック領域
- ディスククラスターの使っていない領域のことを言います。
- slackの単語は、余力や余裕といった意味があります。
# Smart card / スマートカード
- キャッシュカードサイズのプラスチック製カードにICチップを埋め込んだものです。
- 日本ではICカードの名称が一般的ですが、英語圏ではSmart cardの名称が一般的です。
# Smurf attack / smurf攻撃
- DDoS攻撃の一種です。
- ブロードキャストを行うシステムで攻撃対象のIPアドレスになりすますことで、応答通信をターゲットに送りつけることできます。
# Smoke testing / スモークテスト
- 重要機能に影響を及ぼす基本箇所に焦点を当てて行うテストです。
# SOC1
- 財務報告に関する内部統制やリスク評価の規格です。
# SOC2
- セキュリティ、可用性、プライバシーに関する規格です。
- SOCは、Type1とType2の2様式が用意されています。
# SOC3
- 審査基準はSOC2と大きく変わりませんが、評価結果を広く公開することを目的としています。
- 結果的に、レポートが完結な内容になります。
# SSN: Social Security Number / 社会保障番号
- アメリカで使われているマイナンバーのようなものです。
- 社会保障を受ける人を特定するための一意な9桁の番号です。
# SDN: Software defined network
- ルーター、スイッチ、サーバ等のネットワーク構成機器を、ソフトウェアで一括制御する仕組みです。
- 複数のネットワークを一括変更することができます。
- ネットワークの複雑さを解消したり、トラフィック量を制御する改善につなげます。
- ネットワークをコードのように扱い、動的に変化させる使い方もできるそうです。
# SDLC: Software development life-cycle
- QCDに考慮したソフトウェア開発モデルです。
- 次の7つのフェーズで構成されます。
- ①概念の定義
- ②機能要件の定義
- ③コントロール仕様の策定
- ④設計レビュー
- ⑤コードレビュー
- ⑥システムテストレビュー
- ⑦保守および変更管理
# Software inspection / ソフトウェアインスペクション
- ソフトウェア開発におけるレビュー手法の一種です。
- 仕様書やソースコード等の成果物を人の目で見て不具合や問題点が無いか検証する作業を言います。
- インスペクションとは検査や視察のような意味合いです。
# Software walkthroughs / ソフトウェアウォークスルー
- 成果物を作成したメンバーが主となり、関係者を集めて行うレビュー方式です。
- ウォークスルーとはリハーサルのような意味合いです。
# Software testing / ソフトウェアテスト
- API、UI、物理インターフェースがテスト対象になります。
- 一方、ネットワークインターフェース等のインフラ部分はテストの対象から外れます。
# SYA: Somthing you are / あなた自身
- 認証情報に使われる要素で、あなた自身の身体的特徴を認証に使用します。
- あなた自身の例として、生体認証等があります。
# Something you do / あなたの行動
- 普段の行動と異なる場合、その振る舞いを検出することです。
- 例えば、普段アクセスのない時間でのID利用や、物理的に移動不可能な短時間で2地点からのアクセスがあった場合、すみやかにアクセス権を停止すべき場合があります。
# SYH: Something you have / あなたが持っているもの
- 認証情報に使われる要素で、本人しか持っていないものを認証に使用します。
- 持っているものの例として、ワンタイムトークン等があります。
# SYK: Something you know / あなたが知っていること
- 認証情報に使われる要素で、本人しか知らない情報を認証に使用します。
- 知っていることの例として、パスワード、PINコード等があります。
- なお、ユーザIDはSYKに含まれません。
# Somewhere you are / あなたの場所
- 認証情報に使われる要素です。
- あなたの居場所を示すものの例として、IPアドレス、電話番号へのかけ直し等があります。
# SPIT: Spam over Internet Telephone
- SPITは、IP電話を使用したスパム攻撃のことです。
# Spanning tree protocol / スパニングツリープロトコル
- ループ状のネットワークで使用されるプロトコルです。
- ブロードキャストストームが発生した時に通信をブロックして、ループによる帯域の圧迫を防ぎます。
# Spare sector / スペアセクター
- HDDの一部セクタで破損が検知された場合に備え、工場出荷時から用意されている予備用のセクタのことです。
- 不良セクタ発生時にアクティブとなり、破損から復旧します。
# Splint / スプリント
- アジャイル開発における開発の単位です。
- 2週間おきに成果を出していくのが一般的です。
# Sprint review / スプリントレビュー
- スプリントのタイミングで、ステークホルダーに情報共有をしてフィードバックを得る活動です。
# SQLmap
- SQLインジェクションのぜい弱性をテストするツールです。
- OS検出機能がありません。
# Substitute cipher / 換字暗号
- 決まった規則で、文字を別の文字に入れ替えることで暗号になるというものです。
- 代表的なものでシーザー暗号があります。
# SS: Spread Spectrum / スペクトラム拡散
- 元の信号周波数帯域を複数の広い帯域に拡散する信号変調方式のことです。
# Star Integiry / *完全性属性
- Biba modelにおける原則です。
- サブジェクトは上位ランクのファイルに書き込みを禁止されます。
- イメージとしては、正確性の高いデータは変更が許可されません。
# Star(*)-Security property / スター(*)セキュリティ属性
- Bell-LaPadula modelにおける原則です。
- 個人に割り当てられた分類レベルより下位ランクのファイルには、書き込みができないことを示しています。
- イメージとしては、重要情報をオープンな場所に書いてはいけません。
# Star(*)-Security property / 強化スター(*)セキュリティ属性
- Bell-LaPadula modelにおける原則です。
- サブジェクトのクリアランスと、オブジェクトの管理ラベルが同等の場合、読み書きの両方が許可されます。
# Static code analysis / 静的コード解析
- コードを実行しない状態で解析をする手法のことです。
- 通常、人手では行われず、コード解析ツールを使って解析します。
# Stateful inspaction / ステートフルインスペクション
- FWで通信可否を動的に判断する機能です。
- 内側から発生した許可した通信内容を記憶しておくことで、その応答が真っ当な内容であるかを確認します。
- 真っ当な内容である場合に限り通信を通し、矛盾がある場合は通信を遮断します。
# SSAE-18: Statement on Standards for Attestation Engagements No.18
- 業務の受託を行う会社に対し、内部統制の有効性を評価します。
- 監査で使用されます。
# State token / 反偽造状態トークン
- ユーザとアプリの間で保有する一意のセッショントークンのことを言います。
- クロスサイトリクエストフォージェリの対策になるため、CSRFトークンとも呼びます。
# Statement coverage / ステートメントカバレッジ
- テストにおけるコードのカバー率のことです。
- テストの中で全てのコード行が実行されていれば、カバレッジは100%になります。
- ステートメントとは、文(コード1行)のことを意味します。
# Stealth rule / ステルスルール
- 外部ネットワークからファイアウォールの存在を隠す機能です。
# Stealth virus / ステルス型ウイルス
- 利用者やアンチマルウェアソフトから存在を隠す機能を持ったウイルスのことをいいます。
- 例えば、ウイルスとしての処理を実行した後、自身を削除するような動きをするものがあります。
# Steganography / ステガノグラフィー
- 画像やファイルの中に情報を隠す技術です。
- 目視では確認できないように埋め込みます。
# Storage channel / ストレージチャネル
- 隠れた記憶領域を他のプロセスで共有することを言います。
- 例えば、不良セクタ、不良ブロック、スラック領域等が悪用される可能性があります。
# Stored procedure / ストアドプロシージャー
- 複数のSQL文を1つのプログラムにまとめて、関数のように利用できるようにしたものです。
# STRIDE / ストライド
- Microsoftが提唱する、データの流れに着目した脅威分析の手法です。
- 以下の6項目の頭文字を取ったものです。
- ①Spoofing(なりすまし)
- ②Tampering(改ざん)
- ③Repudiation(否認)
- ④Information disclosure(情報漏えい)
- ⑤Denial of service(サービス拒否)
- ⑥Elevation of privilege(権限昇格)
- 脅威のカテゴライズに役立ちます。
# Subject/Object model / サブジェクト/オブジェクトモデル
- サブジェクトはデータにアクセスする主体(ヒト、プロセス、マシン他)です。
- オブジェクトはデータ自体(ファイル等)のことです。
- おおまかには、サブジェクトはヒト、オブジェクトはファイルと覚えておいて良さそうです。
# Supernet / スーパーネット
- 2つ以上のネットワークを1つに束ねたものです。
# SCADA: Supervisory Control And Data Acquisition
- 産業プロセスの制御に使用されるシステムです。
- 情報を集中管理し、設備の状況を監視したり、制御(設定変更)を行います。
- スキャダと読みます。
# Sutherland / サザーランドモデル
- 情報の「完全性」を高めるためのセキュリティモデルです。
- 干渉を防ぐことに重点を置いています。
- サザーランドはスコットランドの地名です。
# Stuxnet / スタックスネット
- 産業システム(イランにある核プログラム)をターゲットにしたワームウィルスです。
# Synchronous token /同期トークン
- 認証に使うワンタイムパスワードを生成する機器あるいはソフトウェアです。
- 時刻同期型のトークンであれば、一定時間で表示されるトークンの値が変化します。
- RSA SecurID等が代表です
# Synthetic monitoring / シンセティックモニタリング
- 手元のトランザクションデータを使って、応答時間、機能、その他パフォーマンスの変化を監視することです。
- シンセティックとは、人工的なものを意味します。
# 対称暗号化 / symmetric encryption
- 共通鍵を使った暗号方式です。
- 保存中のデータ(data in rest)を暗号化するために使われる技術です。
- 暗号化と復号に同じ鍵を使います。
# SYN Flood Attack / SYNフラッド対策
- 送信元を偽装したSYNパケットを送信し、サーバのリソースを食いつぶす攻撃です。
- SYNを受けたサーバは SYN/ACK を返答した後、セッションをハーフオープンにした状態で、クライアントからのACK返答を待つ動きをします。
- 送信元が偽装されている SYN が送られた場合、Syn/ACK を返しても ACK が返ってこないため、ハーフオープンのセッションが増加してサーバリソースが消費されます。
# SCCM: System Center Configulation Manager
- Windowsマシンのデータを収集して構成管理を行うツールです。
# SCIM: System for Cross-domain Identity Management
- IDプロビジョニングの標準規格です。
- HTTPとJSONを使って処理を行うので、クラウドサービスと相性が良いです。
- スキムと読みます。
# Syslog: System Logging Protocol
- システムログ等をSyslogサーバに送信する際に使われるプロトコルです。
- UDP 514 ポートを使用するものが多いですが、TCP 514 ポートを使う製品もあります。
- 問題があった通知だけを受け取りたい場合、「重大度」を設定することで実現できます。
- Linuxシステム、FW、無線AP等はSyslogをサポートしますが、WindowsマシンでSyslogを使うには追加のツールが必要です。
# システムオーナー / System Owner
- データ置き場のシステムを管理する者のことです。
- セキュリティ施策の企画や、ユーザ向け利用方法の教育を担います。
- システムの細かな設定作業はカストディアンに委託することが多いです。
- 教育をカストディアンに委託することもあります。
# Swamp coolers / 蒸発冷却器(スワンプクーラー)
- 外部から空気を取り込み、クーラー内の水で冷やした空気を排出します。
- 要するにエアコンです。
# T
# T1 line / T1回線
- 64Kbpsの回線を24本まとめたものです。
- 最大1.5Mbpsで通信できます。
# T2 Line / T2回線
- T1回線を4本まとめたものです。
- 最大6Mbpsで通信できます。
# T3 line / T3回線
- T2回線を7本まとめたものです。
- 最大45Mbpsで通信できます。
# Tailoring / テーラリング
- いくつかあるセキュリティベースラインのうち、組織ミッションと照合して適切なものを選択(あるいは作成)するプロセスのことです。
- セキュリティコントロールが実行されるように、自組織用にベースラインをカスタマイズします。
- なお、テーラーは洋服の仕立てのことです。ベースラインから、自組織に合うよう仕立てる感じです。
# Take-Grant proteciton Model / テイクグラント保護モデル
- アクセス権の設定に関するモデルです。
- 4種類の操作があります。
- ①Take(獲得): 他のサブジェクトの権限を自分にも付与する
- ②Grant(付与): 自分の持つ権限と同じ権限を他のサブジェクトに付与する
- ③Create(作成): 新しいオブジェクトにアクセス権を付与する
- ④Remote(削除): 他のサブジェクトから権限を削除する
# TCP connect scan / TCP接続スキャン
- 3wayハンドシェイクを試みる攻撃手法です。
- 成功すればポートが空いているという事になり、公開されているサービスを特定できます。
- 生パケットを生成する権限がなくても実行することができます。
- 通信を確立するため、通信ログが残り検知されやすい特徴があります。
# TCP SYN scan / TCP SYNスキャン
- SYNパケットを送り、SYN+ACKが返ってくることを確認する攻撃手法です。
- SYN+ACKに対してRST+ACKを返すことでコネクションを確立しないため、検知されにくい特徴があります。
- このような攻撃を確立するためには、自前で生パケットを生成する必要があります。
- Nmapの標準スキャンとして採用されています。
- ペネトレーションテストの環境によっては、権限昇格を行う必要があります。
# Teardrop / Teardrop攻撃
- DoS攻撃の一種です。
- 通常、TCP/IPでは大きなデータを送る際にデータを細切れにして送信し、受け手が復元できるように順番(オフセット)情報が付与されます。
- これをフラグメント化と言います。
- 意図的にオフセットに異常値を入れることで、受け手がデータを復元できずシステム停止に至ります。
# Telnet
- 遠隔からホストを操作するための通信プロトコルです。ポート23を使います。
# TKIP: Temporal Key Integrity Protocol
- 無線LANにおける暗号化の方式です。
- 転送中のデータ(data in transit)のみを対象に暗号化を行います。
- WPA(またはWPA2)で使用される方式で、短時間で暗号キーを変える点が特徴的です。
- パケットごとに鍵生成するために、通信速度が遅くなってしまうデメリットがあります。
# TACACS: Terminal Access Controller Access-Control System
- Cisco社独自の認証認可を行うプロトコルです。
- 使用ポートがTCP429です。
# TACACS+: Terminal Access Controller Access-Control System+
- TACACSの改修版(第3世代)です。
- 暗号化機能や、細かいコマンド制御の機能が拡張されています。
- 主に、ネットワークデバイスに使用されます。
# Test coverage report / テストカバレッジレポート
- テストケースのうち、どの程度を完了させたかを報告するレポートです。
- 主にブラックボックステストの結果報告で使用されます。
# Test coverage review / テストカバレッジ分析
- テスト対象に対し、どの程度まで網羅できているかを判断する分析です。
# Test Directory / テストディレクトリ
- 検証などで使用されたディレクトリのことです。
- テスト用のディレクトリには、重要な情報が保管されていたり、誤って使用するリスクがあります。
# TFTP: Trivial file fransfer protocol
- 簡易ファイル転送プロトコルです。
- UDP 69ポートを使用します。
# Threat monitoring / 脅威モデル
- 脅威を分析して自組織に必要なセキュリティテストが何か判断する施策です。
- 判断方法として3種類の一般的な方法があります。
- ①資産に着目する方法
- ②攻撃者に着目する方法
- ③ソフトウェアに着目する方法
# Technical controls / 技術的コントロール
- セキュリティ製品やシステムを用いた技術的なセキュリティ対策を施すことをいいます。
- 例えば、ファイアウォール、EDR、アンチウィルス製品等があります。
# TEMPEST / テンペスト攻撃
- モニタやネットワークケーブルから放射されている電磁波を傍受解析して、もとの情報を再現する攻撃手法です。
# THC Hydra
- パスワードクラックツールです。総当たり攻撃や、辞書攻撃を実行することができます。
# Threat / 脅威
- システムのCIA(Confidential, Integrity, Availability)を脅かす外部の力を言います。
- 例えば、悪意のあるハッカーや、不正を働く従業員、自然災害等のシステムの外にある要素があげられます。
- システムに空いた穴はぜい弱性と呼びます。混合せず、脅威とは区別して考える必要があります。
# Threat tree / 脅威ツリー図
- 想定被害に至る発生原因を分解し、木構造で根本原因を探る図です。
- 分解分析によって、事象の発生要因を明らかにし、効果的な対策を可能とします。
# TGT: Ticket granting ticket
- Kerberos認証で発行されるチケットです。
- チケットを手に入れるためのチケットです。
- TGSから発行されます。
# Timing channel / タイミングチャネル
- 処理時間や応答回数等、データの内容ではない手段で実体を特定する攻撃です。
# TLS: Transport Layer Security
- 通信中のデータ(data at transit)の暗号化を行う技術です。
- SSLをもとに標準化させた技術です。
- 非対称方式で鍵交換を行います。
- その際、一次セッション鍵を使います。鍵交換が終わった後は、対称を使用して通信を行います。
- トランスポート層を流れる際、データストリームがデータグラムに変化します。
# TOCTOU: Time of check time of use
- 攻撃のタイミングを計り、競合を発生させる攻撃です。
- システムが認可を検証するタイミングと、アクションを実行するタイミングの差を悪用して攻撃を行う手法などがあります。
- 例えば、アンチマルウェアがファイルを検査するタイミングで、対象ファイルをシンボリックリンクの展開先を差し替えることで、不正に任意のファイルをアンチマルウェアソフトに削除させるという攻撃があります。
- (合気道ワイパーと呼ばれる攻撃です)
# Top Secret / 最高機密
- 米国政府が定めるデータ分類の1種です。
- Top Secretは、漏えいすると国家の安全保障に「重大な」損害をもたらすもの、と定められています。
# Tower of Hanoi / ハノイの塔
- バックアップ取得ローテーション方式の一種です。
- フルバックアップと増分バックアップを駆使して、バックアップディスクを最小限に留めます。
- オペレーションが複雑なことと、バックアップ自動化ソリューションが増えてきたこともあり、最近は方式選定の選択肢に含まれなくなってきました。
# Training / トレーニング
- セキュリティのスキルや能力を生み出すことです。
- 訓練等を通じて、対処ができるようにすることをいいます。
# Transaction logging / トランザクションロギング
- データベース更新のログファイルを保管するバックアップ手法です。
# Transport mode / トランスポートモード
- IPsecの通信方法の一種です。
- パケットのうち、データ部分だけを暗号化して送信します。
- ヘッダー部分は暗号化しません。
# Transposition cipher / 転置暗号
- 決まった規則で、文字の順番を入れ替えることで暗号になるというものです。
# TCB: Trusted Computing Base / 高信頼コンピューティングベース
- ハードウェア、ソフトウェア、ファームウェア等を包括的にセキュリティ対策をした基盤のことです。
- 個別の対策だと抜け道ができるので、「包括的な対策」をするという考え方です。
# Trusted foundry / 信頼できる工場
- デバイスや部品の製造元が信頼できる会社であることを確認するものです。
- 偽造半導体の脅威が明らかになった際、電子部品の安全性と信頼性を確保するために導入されました。
- サプライチェーン保護に役立ちます。
# TPM: Trusted Platform module
- ハードディスク抜き出しによる情報漏洩を防ぐ技術です。
- 暗号鍵をマザーボードのチップに保存しているため、たとえ他のコンピュータにディスクを取り付け直しても、暗号化を解除できません。
- 盗難紛失等の
- 対策として、機密性を保つことができます。
# Trojan horse / トロイの木馬
- 正常なプログラムを装って混入し、ひっそりと攻撃を行うマルウェアです。
# Tunnel mode / トンネルモード
- IPsecの通信方法の一種です。
- ヘッダを含むパケット全体を暗号化します。
- 暗号化したパケットに、新たなヘッダ情報を付与する。
# Turn styles / ターンスタイル
- 回転ゲートのことです。
- 1人ずつしか通れないような物理的な仕組みです。テールゲートを防ぐ効果が期待できます。
# Type 1 authentication factor / タイプ1認証
- 個人が知っていることに関する情報を使って認証することです。
- パスワードや質問の回答によって認証を行います。知識ベース認証とも言います。
# Type 1 error / タイプ1エラー
- バイオメトリクス認証におけるエラーの1種です。
- 有効なサブジェクト(認証の対象)でありながら、認証に通らないエラーのことを言います。
- 否認してしまうエラーです。
# Type 1 report / タイプ1レポート
- SOC2のレポート様式です。
- ある1日の監査結果がレポートになったものです。
- ポリシー等が含まれますが、監査に長時間かかる要素(運営実態など)は監査対象に含みません。
# Type 2 authentication factor / タイプ2認証
- 持っているものをベースとした認証方法です。
- スマホ認証やハードトークン等が該当します。
# Type 2 error / タイプ2エラー
- バイオメトリクス認証におけるエラーの1種です。
- 無効なサブジェクト(認証の対処)を、誤って有効なユーザとして認証してしまうエラーのことを言います。
- 誤認証してしまうエラーです。
# Type 2 report / タイプ2レポート
- SOC2のレポート様式です。
- ある一定期間(半年以上)の監査結果がレポートになったものです。
- 長期間がスコープとなるため、運用に関する内容も含まれます。
- レポートには、外部監査人の意見も含まれます。
# Type 3 authentication factor / タイプ3認証
- あなたが何であるかに基づいた認証方法です。
- 指紋認証や光彩認証があります。
# Two-person control / 2人制御
- 2人が揃わないとアクセスできないような制御のことです。
- 極めて重要な情報等のアクセス権管理に使用されます。
# U
# Unauthorized scan / 非認証スキャン
- 攻撃者目線で外部から脆弱性を調査するスキャン手法です。
- ネットワークに公開されているサービスが対象で、構成ファイル等の詳細な情報までは取得しません。
# Update / アップデート
- アプリケーション等の更新により、より新しいバージョンに書き換えることです。
- 単一のアプリケーションに対する更新操作です。
# URG: Urgent
- そのパケットが緊急であることを示すフラグです。
- 受信側に対し、可能な限り優先して処理を行うよう指示します。
# U.S.C: United States Code / 合衆国法典集
- アメリカの連邦法律のうち、基本的な事項を集めた法律集です。
- 民法と刑法が記載されており、テーマ別に分類されています。
# Use case testing / ユースケーステスト
- 想定される望む動作やユーザに求める振る舞いに焦点を当てて行うテストのことです。
# US government data classification / 米国政府データ分類レベル
- 情報の重要度に応じて4段階の機密度を設定します。
- ①Unclassified(機密でない)
- ②Confidential(部外秘)
- ③Secret(機密)
- 機密は、漏えいすると深刻な損害をもたらすもの
- ④Top secret(最高機密)
- 最高機密は、漏えいすると「きわめて」深刻な損害をもたらすもの
# UTP cable / UTPケーブル
- LANケーブルの種類です。
- カテゴリ55e66a7といった種類があり、数字の高い方が速い通信が可能です。
- 具体的には下表のとおりです。
カテゴリ 通信速度 特徴 カテゴリ3 10 Mbps カテゴリ5 100 Mbps カテゴリ5e 1,000 Mbps eはenhanced(強化された) カテゴリ6 1,000 Mbps 250MHz周波数に対応(複数台同時処理に強い) カテゴリ6a 10 Gbps カテゴリ7 10 Gbps 電磁波等の対策が取られた業務用のケーブル
# USPTO: United States Patent and Trademark Office / 米国特許商標庁
- アメリカで、特許と商標を取り扱っている省庁です。
- なお、米国には日本でいう実用新案権に相当する制度はないそうです。
# Unclassified / 非機密
- 米国政府が定めるデータ分類の1種です。
- Unclassificationは、一般に広く公開できるデータのことをいいます。
# UEFI: Unified Extensible Firmware Interface
- 従来までBIOSと呼ばれていたものの後継です。
- Windows11 から採用されています。
# V
# Van Eck / Van Eckフリーキング攻撃
- 盗聴者が電磁放射をリモートで検出することで、モニターに映っているコンテンツのクローンを作成できるという攻撃のことです。
# VAST: Visual, Agile, and Simple Threat / VAST脅威モデル
- 脅威をモデル化する方法論のひとつです。
- ビジュアル(視覚的)に、アジャイル(柔軟)に、シンプル(完結)に、対応することを前提とした考え方です。
# Virtual private network
- 仮想的なプライベートネットワークのことです。
- 使用されるプロトコルは主に次の種類があります。
- L2TP: Layer 2 tunneling protocol
- PPTP: Point-to-point tunneling protocol
- L2F: Layer 2 fowarding
- IPSec
- OpenVPN
# VLAN hopping / VLANホッピング
- 本来はアクセスできないはずのVLANにアクセスする攻撃手法です。
- 2つの種類があります。
- スイッチスプーフィング: トランクスイッチを模倣する
- ダブルタギング: タグを二重につける
- 物理的にスイッチを分ける対応が有効です。
# VoIP Phone
- VoIP技術を使った電話機のことを言います。
- VoIPは、インターネットやLANを使用して音声通信を行う技術で、LINEやSkype等の通話システムもVoIPに含まれます。
# Volatile memory / 揮発性メモリ
- 電源を供給しないとデータが消えてしまう性質を持った媒体のことです。
- 主記憶装置(メモリ)のほとんどが揮発性です。
- 以下のようなものが挙げられます。
- RAM
- DRAM
- SRAM
- 等
- 一方、以下はデータの消えない不揮発性メモリです。
- ROM
- フラッシュメモリ
- ハードディスク
- 等
# Vulnerability / ぜい弱性
- 脅威によって安全性を脅かす恐れのあるシステムの弱い部分を言います。
- 例えば、パッチが適用されていないシステムや、管理が不十分がシステム等が該当します。
- 世の中の脅威要素に、ぜい弱性を突かれることによって、それが被害として発現します。
# Vunlerability scan / 脆弱性スキャン
- 脆弱性を探すために行われるスキャンです。
- 脆弱性を見つけた場合、次のステップで対応します。
- 妥当性確認
- 見つけた脆弱性が悪用される恐れがあるか確認します。
- 報告
- 脆弱性の存在および危険性を報告します。
- パッチ適用、修復
- 脆弱性を塞ぐ対応を行います。
# W
# War driving / ウォードライビング
- 利用可能なWifiアクセスポイントを探してドライブする(車で移動する)攻撃のことです。
# War dialing / ウォーダイヤリング
- ネットワークに侵入する手法の1つです。
- ダイヤルアップモデムに無差別ダイヤルを行い、応答する番号を探す行為です。
- 映画「ウォーダイヤリング」で使われた攻撃手法で、そのタイトルから命名されました。
# War walking / ウォーウォーキング
- 利用可能なWifiアクセスポイントを探して歩き回る攻撃のことです。
# Warm site / ウォームサイト
- 災害に備え、本番システムと同等のシステムを構築しておき、シャットダウンしておくことです。
- 災害時にマシンを立ち上げて対応しますが、少々時間が掛かります。
- その分、維持費用を安く抑えることができます。
- いつでも復旧できるように温めておく(ウォーム)のイメージです。
# Watermarking / 電子透かし
- 画像や写真の知的財産権を守るために、ロゴ等の情報を入れる手法です。
- ロゴを見れば画像の提供元が分かるような状態になっているものを言います。
# Web application scan / Webアプリケーションスキャン
- Webアプリケーションのぜい弱性を調査するスキャン手法です。
- SQLインジェクションや、XSS等のぜい弱性を発見します。非認証スキャンの一種です。
# Wear leveling / ウェアレベリング
- ディスクの寿命を伸ばすために、データの書き込み位置を制御することです。
# Whaling / ホエーリング
- 著名人を狙った標的型メール攻撃のことです。
- ホエーリングはクジラ漁のことで、大物に対するフィッシングということです。
# White noise / ホワイトノイズ
- 電磁放射を隠すため、常に偽の電磁波を送信するセキュリティコントロールです。
- TEMPEST攻撃の対策となります。
# WEP: Wired Equivalent Privacy
- 事前に定めた共有キーを使って暗号化を行います。
- 現在の技術ではものの数分で解読される恐れがあり、使用が推奨されません。
# Wiring closets / ワイヤリングクローゼット
- ネットワーク配線のために特別に設計された部屋のことです。
# WBS: Work breakdown structure / 作業分解図
- プロジェクト遂行のタスクを分解して表現した図です。
- タスク、担当者、期日等を管理します。
- ガントチャート等で表現されます。
# Work flow based account provisioning / ワークフローベースアカウントプロビジョニング
- 人事部門での採用等、決められたワークフローを通じて実行されるアカウント作成のことです。
# X
# X.25
- ホストとホストの間でデータ交換をするためのプロトコルです。
- 電話回線を使う通信で、低速のため現代ではほとんど使用されていません。
# X.500
- 分散ディレクトリサービスに関する規格です。
- LDAPの元になる約束事定義されています。
- 主に3つの機能が定義されています。
- ①ネットワーク上のリソースを一元管理することで検索できる機能
- ②認証認可の機能
- ③リソースを階層で管理する機能
# X.509
- デジタル証明書と失効リスト(CRL)のデータ形式に関する標準です。
# XCCDF: Extensible Configration Checklist Description Format
- 組織として、システムのセキュリティ設定状況をチェックするために使われる様式です。
- セキュリティチェックシートを作る際に使用されます。
# Y
# Z
# Zeroday / ゼロデイ脆弱性
- 見つかった脆弱性のうち、修正プログラムが公開される前の状態にあるものを言います。
- パッチの適用や代替策の適用を行うまでは、他のいかなる対策をしても危険性が低下しません。
# Zero fill / ゼロフィル
- 全てのデータをゼロで埋めるデータ消去方法のことです。
# Zzuf
- ファジングを行うテストツールです。