情報セキュリティの用語集を作りました。
■索引(押したら飛んでいきます)
■使い方
①上の索引(「あ」「か」「さ」「た」「な」など)を押すと移動します。お探しの用語を早く見つけるのに活用してください。
※例えば、「さ」を押すと、頭文字がさ行のセキュリティ用語が見れる。
②青字(リンク)になっている用語は、管理人ひよこSEが個別記事として作成したものです。なるべく、わかりやすく説明しているので、ぜひ見てね。
あ行
■悪意のある第三者
当事者(関係のある人たち)でない第三者のうち、悪さをしようとしている第三者。
■アドウェア
サイト訪問したときや、何かをダウンロードしたときに、広告を配信するソフトウェア。「マルウェア」(PCに悪さするプログラム)と同義ではないので、勘違いしないように!
■アプリケーションゲートウェイ
プロキシサーバーのこと。外部のインターネットに接続するときに、身元(自分の端末情報)を隠して、「株式会社ひよこ」のようにしたいときに出てくる。
■暗号化
データを見た目でぐちゃぐちゃにして、他の人に見えなくすること。
暗号化の逆(復号化)をすれば、データは元通りになる。
か行
■改ざん
悪意のある第三者にデータを書き換えられること。
■可用性
必要な時にシステムが普通に使えること。情報にアクセスできること。
■完全性
システムに弱点がないこと。情報が妥当性を保っており、正しいこと。
■機密性
許可された人だけした情報にアクセスできないようにする(見せたくない人には見せない)こと。
■共通鍵
暗号化と復号化するときに同じ鍵を使うこと。
■共通鍵暗号方式(AES)
データの暗号と復号に共通鍵(同じ鍵)をつかうこと。
通信する相手の数だけ、鍵を作る必要があるので、管理がかなりめんどくさいのが弱点。
そもそも論的に、鍵をどうやって安全に受け渡しするのか?的な問題もある。
攻撃者が、脆弱性(セキュリティ上の欠点)のあるサイトに、悪意のあるスクリプト(書いてある文字通りに実行される簡易プログラム)を仕込むこと。
訪問者がそのサイトに訪れたときに、個人情報を盗む、偽サイトに移動(リダイレクト)させるなど、仕込んだスクリプトで任意の攻撃ができる状態。
※XSS=”Cross Site Scripting”
■公開鍵
データの復号化で、みんなが使える鍵。例えば、Aさんは、自分だけがもつ「秘密鍵」で、データを暗号化。
Aさんの秘密鍵で暗号化されたデータは、Aさんの公開鍵で全員が復号化できる。
■公開鍵暗号方式(RSA)
送信者が受信者の公開鍵で暗号化して、受信者が自分の秘密鍵でデータを復号。
あるいは、送信者が自分の秘密鍵で暗号化して、受信者が送信者の公開鍵でデータを復号する。
秘密鍵と公開鍵を使って、データの暗号化を行う仕組みのこと。
さ行
■脆弱性(ぜいじゃくせい)
アプリや、サーバー、Webページなどにあるセキュリティ上の欠点のこと。ほおっておくと、サイバー攻撃が成功する。
■生体認証
指紋認証とか、虹彩認証(眼球の薄膜)などで認証すること。バイトメトリクス認証ともいう。
技術的なサイバー攻撃ではなく、人の油断やスキを突いた心理攻撃。
例えば、部長から「パスワードを教えてくれ」みたいにメールされたら、「部長の言うことだし・・・」みたいに、「つい」送信してしまう、スキをつく。
「なりすましメール(標的型メール)」は、技術的な攻撃でもあるが、それほど技術的に難しくなく、根本的にはスキを突く攻撃なので、ソーシャルエンジニアリングに分類されることもある。
た行
「実は、Aさんと通信しているつもりが、全く知らないXさんと通信してた」みたく、通信の間に割り込んでなりすましたり、やり取りをのぞき見すること。
■トロイの木馬
正規のプログラムのふりをして、ユーザーに気づかれないところで、インストール・実行させる悪いプログラム。マルウェア。
個人情報や、キーボード入力を盗んだり、悪さは多種多様。
な行
■なりすまし
やり取りをしている当事者のふりをすること。社員と部長のメールで、「部長のふり」をするのがなりすまし。
は行
■バイトメトリクス認証
指紋認証とか、虹彩認証(眼球の薄膜)などで認証すること。生体認証ともいう。
■パスワードリスト攻撃
同じパスワードを使いまわしている利用者を狙って、別サイトでも不正ログインすること。
■バックドア
裏口から侵入して(ユーザーの認証なしで)、こそこそと動くプログラム・マルウェアのこと。
ファイアウォール。通信の見張り役。
ざっくりとしたイメージをするのであれば、iPhoneの設定の「モバイルデータ通信」の有効/無効みたいな感じ。
パスワードを全通り力づくで試すこと。
古典的ではあるが、意外と対策は難しく、回数制限を設ける(利用者からしたら不便)か、ワンタイムパスワードなどの二段階認証(不便だが、回数制限よりは、まし)を入れるなど。
ま行
■マルウェア
何か悪さをするソフトウェアやプログラムのこと。”malicious software”の略。
トロイの木馬、ワーム、スパイウェア、一部のアドウェアなどが代表例。
※アドウェアは、ただの広告であれば「マルウェア」にならないが、PCの設定を改ざんするものもあるので、ある意味では・・・。
や行
■ユーザ認証
特定のサイトを表示するのに、「あなた誰?」と聞くこと。パスワードなどを入力して、本人確認をする。
ら行
■ログイン
ユーザー認証が終わったユーザーに対して、システムを利用可能にすること。
■ログアウト
システムの利用が終わったユーザーのログイン状態を打ち切ること。多くの場合、セキュリティ対策として、「●●分以上の操作がない場合は、自動でログアウトします」となっている。
わ行
■ワンタイムパスワード
一時的に利用されるパスワード。ログインしようとしたときに、別のしくみ(メールやSMSなど)でワンタイムパスワードが通知され、利用者はそれを入力。
万が一、悪意のある第三者に、パスワードを見破られても、別でワンタイムパスワードを入力しないとログインできない。
ブルートフォース攻撃などに対しては、かなり有効的な対策。
■ワーム
自分自身を複製して、どんどん他のPCに拡散していくマルウェア。
宿主を必要としないので、はじめに感染したPCでワームを除去しても問題は解決しない。
ちなみに、英語で”worm”であり、ミミズなどの細長い虫の総称らしい。
A~E
■AES(共通鍵暗号方式)
データの暗号と復号に共通鍵(同じ鍵)をつかうこと。
通信する相手の数だけ、鍵を作る必要があるので、管理がかなりめんどくさいのが弱点。
そもそも論的に、鍵をどうやって安全に受け渡しするのか?的な問題もある。
■CA(認証局)
公開鍵が、本人のものである・正当なものであることを示す機関。
■CAPTCHA認証
ロボットではなく、人間がアクセスしていることを確認する。
「タイルから車を選べ」みたいなやつがそれ。
■BYOD
私物のUSBやスマホを持ち込んで業務に使用すること。
“Bring Your Own Device”の略であり、セキュリティ上の課題はあるが、テレワークがきっかけで認めざるを得ないところも増えて、トレンドワードの一つになった。
DNS(ドメイン・ネットワーク・サーバー)のキャッシュ(一次情報)を書き換えて、訪問者を偽サイとに誘導すること。
DNSは、IPアドレス(XXX.XXX.XXX.XXXのようなやつ。Xは数字)とサイト(yahoo.co.jpなど)の紐づけをキャッシュとして保持しているので、それを書き換えてしまう攻撃。
1つの端末から、大量アクセスして、サーバーを落とす攻撃。
コンサートのチケット争奪戦は、Dos攻撃とは言えないが、管理している側からすれば、似たようなもの・・・。
Dos攻撃の複数バージョン。端末A、端末B、端末C、端末D⇒サーバーXに大量アクセスして落とす。
F~J
ファイアウォール。通信の見張り役。
ざっくりとしたイメージをするのであれば、iPhoneの設定の「モバイルデータ通信」の有効/無効みたいな感じ。
■IDS
侵入検知システム。文字通り、特定のネットワークへの侵入をリアルタイムで検知・通知するシステム。
“Intrusion Detection System”の略。
K~O
・・・ないかも(´▽`*)。
P~T
■PKI(公開鍵基盤)
公開鍵の安全性を示すための仕組み。その一つが、CA(認証局)
■RSA(公開鍵暗号方式)
送信者が受信者の公開鍵で暗号化して、受信者が自分の秘密鍵でデータを復号。
あるいは、送信者が自分の秘密鍵で暗号化して、受信者が送信者の公開鍵でデータを復号する。
秘密鍵と公開鍵を使って、データの暗号化を行う仕組みのこと。
検索結果に出てくるサイトを改ざんして偽サイトに誘導するか、自分自身で上位をとって、検索結果を汚染すること。
U~Z
■WAF
Webサーバーの通信の見張り役。Web Application FireWall
Webサーバーと利用者の通信で、怪しいことやってないかを監視している。
攻撃者が、脆弱性(セキュリティ上の欠点)のあるサイトに、悪意のあるスクリプト(書いてある文字通りに実行される簡易プログラム)を仕込むこと。
訪問者がそのサイトに訪れたときに、個人情報を盗む、偽サイトに移動(リダイレクト)させるなど、仕込んだスクリプトで任意の攻撃ができる状態。
※XSS=”Cross Site Scripting”