ポートスキャンとは、ネットワークを介する攻撃手法の一つで、サーバなどコンピュータに対してポート番号の変化させ網羅的に多数のIPパケットを送信することで、稼働しているサービスの種類を外部から調査する手法のことです。 コンピュータが通信を行うには…

WAFとは、Webサーバにアクセスするデータの内容を監視し、外部からWebアプリケーションプログラムへの攻撃を検知、防御するシステムです。 Webアプリケーションには脆弱性が存在する場合があり、攻撃者がこれを悪用して遠隔操作や窃取などの不正アクセスを行…

IPsecとは、インターネットなどの開かれたネットワーク上において、専用線と同様なセキュリティが確保された通信を行うための暗号化・認証プロトコルの一つです。 IPsecはOSI基本参照モデルのネットワーク層において暗号化などの処理を行います。 したがって…

不正のトライアングルとは、人が不正行為をする原因をまとめた理論で、米国の犯罪学者のドナルド・R・クレッシー氏により提唱されました。 次の三つが揃ったとき、不正行為が発生するとしています。 機会：「作業の実行者と承認者が同じ」「承認者が作業内容…

PCI DSSとは、クレジットカード情報を保護し、安全に取り扱うことを目的として、クレジットカード情報を取り扱う事業者に対するセキュリティ基準を定めた規格の一つで、2004年にVISA、MasterCard、AmericanExpressなどが共同で策定した基準です。 PCI DSSで…

CRLとは、ディジタル証明書の失効リストのことで、有効期限内に失効となったディジタル証明書がシルアル番号で記載されています。 CRLの仕様はITU（国際電気通信連合）のX.509で規定されています。 CRLは、ディジタル証明書を発行した認証局（CA：Certificat…

信頼性とは、情報セキュリティの要素の一つで、情報システムによる処理に欠陥や不具合がなく、期待した処理が確実に行われているという特性のことです。 JIS Q 27001:2014（情報セキュリティマネジメントシステムー用語）では、以下のように定義されています…

真正性とは、情報セキュリティの要素の一つで、利用者、プロセス、システム、情報などのエンティティが、それが主張する本人である（なりすましではない）という特性のことです。 JIS Q 27001:2014（情報セキュリティマネジメントシステムー用語）では、以下…

ディレクトリトラバーサル攻撃とは、Webサーバ等のようにユーザが入力したファイル名にしたがって処理を行うコンピュータシステムにおいて、特殊な文字列を指定することにより、通常は外部からのアクセスを想定していないディレクトリやファイルを不正に閲覧…

ディジタル署名とは、文書やメッセージなどデータのの真正性を証明するために付加する短い暗号データのことです。 電子署名とも言われる場合がありますが、電子署名は押印やサインに相当する証明手段を電子的な手段で実現したもの全般を意味する総称です。 …

ソーシャルエンジニアリングとは、ソーシャル（社会的）な手段によって、パスワードや重要情報を不正に得ようとする手口のことです。 エンジニアリングとありますが、技術的な方法というより、人の心理に付け込む方法になります。 社会的な手段とは、コンピ…

ハッシュ関数とは、任意の長さのデータを入力すると固定長のビット列を返す関数です。このビット列のことをハッシュ値またはメッセージダイジェストと言います。 入力データが同じであれば、常に同じメッセージダイジェストが生成される。 入力データがわず…

ディジタル証明書とは、暗号化通信やディジタル署名に用いる公開鍵の通信において、受信者が公開鍵の所有者を確認するために同封される一連のデータセットのことです。別の呼び方として、サーバ証明書、電子証明書、公開鍵証明書などがあります。 ディジタル…

２要素認証とは、利用者の本人確認などの認証において、二つの異なる方式の認証手段を組み合わせることです。これにより精度と安全性を高めることができます。 認証の方式は主に以下のように分類できます。 WYK（What You Nnow）認証：本人しか知らない情報…

DMZとは、インターネットなど組織の外部と接続するネットワークにおいて、外部と内部の両方のネットワークの中間に位置付けられた領域のことで、ファイアウォールなどを介してネットワークが分離され構成されます。 DMZという言葉は軍事用語であり、紛争地域…

ブルートフォース攻撃とは、考えられる全ての種類の文字列などの組み合わせを総当りで試行して、パスワードや暗号鍵を解読する方式のことです。 「brute force」は「力づく」という意味です。 例えば、０〜９の数字10個と、A〜Zの英大文字26個の組み合わせで…

スニッフィングとは、ネットワーク上のパケットを盗聴する行為です。 暗号化されていないデータは全て見ることができて、ユーザ名やパスワード、クレジットカード番号などの個人情報、メール本文など、本人に気づかれないで盗み見することができます。 通常…

辞書攻撃とは、ユーザのパスワードを推測するための攻撃方法の一つで、辞書に載っている一般的な名詞などの単語（administrator、managerなど）や、パスワードに使用されることが多い文字列（root、1111など）を１つずつ試していく攻撃です。 大文字、小文字…

ディジタルフォレンジックスとは、コンピュータ犯罪に対する科学的調査において、コンピュータなどの電子機器に残る記録を収集・分析し、その法的な証拠を明らかにする手段や技術の総称をいいます。 対象となるパソコン、サーバ、ネットワーク機器、携帯電話…

内部不正とは、組織の内部者の不正行為による情報セキュリティインシデントの発生のことをいいます。 外部からの不正アクセスよりも多くの顧客情報や製品情報などの秘密情報が漏えいするケースもあり、賠償や信用失墜など組織にも甚大な影響をもたらします。…

IDSとは、内部ネットワークに対する外部（インターネットなど）からの攻撃を検知するための侵入検知システムのことです。 IDSには、NIDS（ネットワーク型IDS）とHIDS（ホスト型IDS）の２つがあります。 NIDS（Network-based IDS） ネットワーク上に配置して…

JVNとは、ソフトウェアの脆弱性対策情報ポータルサイトのことで、2004年からJPCERT/CC（JPCERTコーディネーションセンター）とIPA（独立行政法人情報処理推進機構）によって運営されています。 JVNの設立の経緯は、脆弱性関連情報の受付と安全な流通を目的と…

ISMS（情報セキュリティマネジメントシステム）とは、組織内での情報資産の取り扱いについて、その確保すべきセキュリティ水準を定め、計画や規約、体制を整備して運用していく取り組みのことです。 ISMSは、国際規格のISO/IEC 27001、国内規格JIS 27001に定…

タイムスタンプとは文書データに付与された日時情報のことですが、情報セキュリティにおいては、文書データの存在証明と原本保証性を証明するために、この日時情報を利用するサービスをタイムスタンプサービスといい、タイムスタンプ機関（時刻認証局、TSA：…

危殆化とは、暗号技術において、コンピュータ性能など技術の進歩により暗号強度が低下してしまうことです。 危殆化により、当初は解読が難しかった暗号アルゴリズムが容易に解読できるようになったりします。 例えば、1976年に開発された共通鍵暗号方式のDES…

情報セキュリティインシデントとは、情報セキュリティに関する事件や事故のことです。具体的には、情報漏えい、改ざんや消失、日常使用している機能の停止または極端な性能の低下などがあります。 情報セキュリティインシデントによる損害を最小限に抑えるた…

リスクレベルとは、JIS Q 27000:2014（情報セキュリティマネジメントシステムー用語）では、以下のように説明されています。 結果とその起こりやすさの組み合わせとして表現される、リスクの大きさ（目的に対する不確かさの影響） これ以外にも、リスク基準…

リスクとは、情報資産に対する脅威と脆弱性により発生するもので、その危険度によりメリハリのある投資を行うことで、効率的なセキュリティ管理を行うことができます。 リスクマネジメントとは、主にリスクの評価を行うリスクアセスメントと、リスクアセスメ…

リスクとは、情報資産に対する脅威と脆弱性により発生するもので、その危険度によりメリハリのある投資を行うことで、効率的なセキュリティ管理を行うことができます。 リスクマネジメントとは、主にリスクの評価を行うリスクアセスメントと、リスクアセスメ…

ディザスタリカバリとは、災害などによってシステムが停止するなどの被害が発生した際に、できるだけ早く回復させて、事業を早期に再開させるための手段や手順の総称のことです。 地震などの自然災害だけでなく、機器故障、不正アクセスなどのサイバー攻撃な…