情報セキュリティの用語集

情報セキュリティの用語集を作りました。

■索引(押したら飛んでいきます)

    

    

A~E F~J K~O

P~T U~Z

■使い方

①上の索引(「あ」「か」「さ」「た」「な」など)を押すと移動します。お探しの用語を早く見つけるのに活用してください。

※例えば、「さ」を押すと、頭文字がさ行のセキュリティ用語が見れる。

②青字(リンク)になっている用語は、管理人ひよこSEが個別記事として作成したものです。なるべく、わかりやすく説明しているので、ぜひ見てね。

スポンサーリンク

あ行

■悪意のある第三者

当事者(関係のある人たち)でない第三者のうち、悪さをしようとしている第三者。

■アドウェア

サイト訪問したときや、何かをダウンロードしたときに、広告を配信するソフトウェア。「マルウェア」(PCに悪さするプログラム)と同義ではないので、勘違いしないように!

■アプリケーションゲートウェイ

プロキシサーバーのこと。外部のインターネットに接続するときに、身元(自分の端末情報)を隠して、「株式会社ひよこ」のようにしたいときに出てくる。

■暗号化

データを見た目でぐちゃぐちゃにして、他の人に見えなくすること。

暗号化の逆(復号化)をすれば、データは元通りになる。

索引に戻る

スポンサーリンク

か行

■改ざん

悪意のある第三者にデータを書き換えられること。

可用性

必要な時にシステムが普通に使えること。情報にアクセスできること。

■完全性

システムに弱点がないこと。情報が妥当性を保っており、正しいこと。

機密性

許可された人だけした情報にアクセスできないようにする(見せたくない人には見せない)こと。

■共通鍵

暗号化と復号化するときに同じ鍵を使うこと。

■共通鍵暗号方式(AES)

データの暗号と復号に共通鍵(同じ鍵)をつかうこと。

通信する相手の数だけ、鍵を作る必要があるので、管理がかなりめんどくさいのが弱点。

そもそも論的に、鍵をどうやって安全に受け渡しするのか?的な問題もある。

クロスサイトスクリプティング(XSS)

攻撃者が、脆弱性(セキュリティ上の欠点)のあるサイトに、悪意のあるスクリプト(書いてある文字通りに実行される簡易プログラム)を仕込むこと。

訪問者がそのサイトに訪れたときに、個人情報を盗む、偽サイトに移動(リダイレクト)させるなど、仕込んだスクリプトで任意の攻撃ができる状態。

※XSS=”Cross Site Scripting”

■公開鍵

データの復号化で、みんなが使える鍵。例えば、Aさんは、自分だけがもつ「秘密鍵」で、データを暗号化。

Aさんの秘密鍵で暗号化されたデータは、Aさんの公開鍵で全員が復号化できる。

■公開鍵暗号方式(RSA)

送信者が受信者の公開鍵で暗号化して、受信者が自分の秘密鍵でデータを復号。

あるいは、送信者が自分の秘密鍵で暗号化して、受信者が送信者の公開鍵でデータを復号する。

秘密鍵と公開鍵を使って、データの暗号化を行う仕組みのこと。

索引に戻る

さ行

■脆弱性(ぜいじゃくせい)

アプリや、サーバー、Webページなどにあるセキュリティ上の欠点のこと。ほおっておくと、サイバー攻撃が成功する。

■生体認証

指紋認証とか、虹彩認証(眼球の薄膜)などで認証すること。バイトメトリクス認証ともいう。

ソーシャルエンジニアリング

技術的なサイバー攻撃ではなく、人の油断やスキを突いた心理攻撃。

例えば、部長から「パスワードを教えてくれ」みたいにメールされたら、「部長の言うことだし・・・」みたいに、「つい」送信してしまう、スキをつく。

「なりすましメール(標的型メール)」は、技術的な攻撃でもあるが、それほど技術的に難しくなく、根本的にはスキを突く攻撃なので、ソーシャルエンジニアリングに分類されることもある。

索引に戻る

た行

中間者攻撃

「実は、Aさんと通信しているつもりが、全く知らないXさんと通信してた」みたく、通信の間に割り込んでなりすましたり、やり取りをのぞき見すること。

■トロイの木馬

正規のプログラムのふりをして、ユーザーに気づかれないところで、インストール・実行させる悪いプログラム。マルウェア。

個人情報や、キーボード入力を盗んだり、悪さは多種多様。

索引に戻る

な行

■なりすまし

やり取りをしている当事者のふりをすること。社員と部長のメールで、「部長のふり」をするのがなりすまし。

索引に戻る

は行

■バイトメトリクス認証

指紋認証とか、虹彩認証(眼球の薄膜)などで認証すること。生体認証ともいう。

■パスワードリスト攻撃

同じパスワードを使いまわしている利用者を狙って、別サイトでも不正ログインすること。

■バックドア

裏口から侵入して(ユーザーの認証なしで)、こそこそと動くプログラム・マルウェアのこと。

ファイアウォール

ファイアウォール。通信の見張り役。

ざっくりとしたイメージをするのであれば、iPhoneの設定の「モバイルデータ通信」の有効/無効みたいな感じ。

ブルートフォース攻撃

パスワードを全通り力づくで試すこと。

古典的ではあるが、意外と対策は難しく、回数制限を設ける(利用者からしたら不便)か、ワンタイムパスワードなどの二段階認証(不便だが、回数制限よりは、まし)を入れるなど。

索引に戻る

ま行

■マルウェア

何か悪さをするソフトウェアやプログラムのこと。”malicious software”の略。

トロイの木馬、ワーム、スパイウェア、一部のアドウェアなどが代表例。

※アドウェアは、ただの広告であれば「マルウェア」にならないが、PCの設定を改ざんするものもあるので、ある意味では・・・。

索引に戻る

や行

■ユーザ認証

特定のサイトを表示するのに、「あなた誰?」と聞くこと。パスワードなどを入力して、本人確認をする。

索引に戻る

ら行

■ログイン

ユーザー認証が終わったユーザーに対して、システムを利用可能にすること。

■ログアウト

システムの利用が終わったユーザーのログイン状態を打ち切ること。多くの場合、セキュリティ対策として、「●●分以上の操作がない場合は、自動でログアウトします」となっている。

索引に戻る

わ行

■ワンタイムパスワード

一時的に利用されるパスワード。ログインしようとしたときに、別のしくみ(メールやSMSなど)でワンタイムパスワードが通知され、利用者はそれを入力。

万が一、悪意のある第三者に、パスワードを見破られても、別でワンタイムパスワードを入力しないとログインできない。

ブルートフォース攻撃などに対しては、かなり有効的な対策。

■ワーム

自分自身を複製して、どんどん他のPCに拡散していくマルウェア。

宿主を必要としないので、はじめに感染したPCでワームを除去しても問題は解決しない。

ちなみに、英語で”worm”であり、ミミズなどの細長い虫の総称らしい。

索引に戻る

A~E

■AES(共通鍵暗号方式)

データの暗号と復号に共通鍵(同じ鍵)をつかうこと。

通信する相手の数だけ、鍵を作る必要があるので、管理がかなりめんどくさいのが弱点。

そもそも論的に、鍵をどうやって安全に受け渡しするのか?的な問題もある。

■CA(認証局)

公開鍵が、本人のものである・正当なものであることを示す機関。

■CAPTCHA認証

ロボットではなく、人間がアクセスしていることを確認する。

「タイルから車を選べ」みたいなやつがそれ。

BYOD

私物のUSBやスマホを持ち込んで業務に使用すること。

“Bring Your Own Device”の略であり、セキュリティ上の課題はあるが、テレワークがきっかけで認めざるを得ないところも増えて、トレンドワードの一つになった。

DNSキャッシュポイズニング

DNS(ドメイン・ネットワーク・サーバー)のキャッシュ(一次情報)を書き換えて、訪問者を偽サイとに誘導すること。

DNSは、IPアドレス(XXX.XXX.XXX.XXXのようなやつ。Xは数字)とサイト(yahoo.co.jpなど)の紐づけをキャッシュとして保持しているので、それを書き換えてしまう攻撃。

Dos攻撃

1つの端末から、大量アクセスして、サーバーを落とす攻撃。

コンサートのチケット争奪戦は、Dos攻撃とは言えないが、管理している側からすれば、似たようなもの・・・。

DDos攻撃

Dos攻撃の複数バージョン。端末A、端末B、端末C、端末D⇒サーバーXに大量アクセスして落とす。

索引に戻る

F~J

FireWall

ファイアウォール。通信の見張り役。

ざっくりとしたイメージをするのであれば、iPhoneの設定の「モバイルデータ通信」の有効/無効みたいな感じ。

■IDS

侵入検知システム。文字通り、特定のネットワークへの侵入をリアルタイムで検知・通知するシステム。

“Intrusion Detection System”の略。

索引に戻る

K~O

・・・ないかも(´▽`*)。

索引に戻る

P~T

■PKI(公開鍵基盤)

公開鍵の安全性を示すための仕組み。その一つが、CA(認証局)

■RSA(公開鍵暗号方式)

送信者が受信者の公開鍵で暗号化して、受信者が自分の秘密鍵でデータを復号。

あるいは、送信者が自分の秘密鍵で暗号化して、受信者が送信者の公開鍵でデータを復号する。

秘密鍵と公開鍵を使って、データの暗号化を行う仕組みのこと。

SEOポイズニング

検索結果に出てくるサイトを改ざんして偽サイトに誘導するか、自分自身で上位をとって、検索結果を汚染すること。

SQLインジェクション

データベースSQL文に変な文字を入れて、悪さすること

索引に戻る

U~Z

WAF

Webサーバーの通信の見張り役。Web Application FireWall

Webサーバーと利用者の通信で、怪しいことやってないかを監視している。

XSS(クロスサイトスクリプティング)

攻撃者が、脆弱性(セキュリティ上の欠点)のあるサイトに、悪意のあるスクリプト(書いてある文字通りに実行される簡易プログラム)を仕込むこと。

訪問者がそのサイトに訪れたときに、個人情報を盗む、偽サイトに移動(リダイレクト)させるなど、仕込んだスクリプトで任意の攻撃ができる状態。

※XSS=”Cross Site Scripting”

索引に戻る

タイトルとURLをコピーしました