セキュリティ
問題一覧
1
セッションIDとは セッションIDとは、サイトにアクセスしたユーザーのセッションを一意に識別するために、付与される情報で、CookieやURLのリクエストパラメータの一部に付与されるものです。 Webページにログインを行うときのIDがセッションIDの典型例です。
2
TPM(Trusted Platform Module)は、PCのマザーボード上に直付けされるセキュリティチ ップで、暗号化と復号、鍵ペアの⽣成と管理、ハッシュ値の計算、乱数⽣成、デジタル署 名の⽣成・検証などの機能を有します。 TPMによって提供されるセキュリティ機能には以下のようなものがあります。 OSやアプリケーションの改ざん検知 端末認証 プラットフォームの整合性の検証 ストレージ全体の暗号化
3
受信した電⼦メールが正当な送信者から送信されたものであることを保証する送信ドメイン認証技術 デジタル署名はDKIM
4
サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指⽰すべき「重要10項⽬」をまとめたものです。具体的には、経営者のリーダーシップの下での体制整備と対策の進め⽅、社会やステークホルダに対する情報開⽰のあり⽅などが取りまとめられています。
5
URLパラメータやフォームデータなどの外部パラメータによって指定されたWebページに遷移するようにしているWebアプリケーションが、実装不備により、無制限にURLを受け⼊れてしまう状態です。攻撃者がこの脆弱性を悪⽤することで、利⽤者は、気付かないうちに信頼できるWebサイトから悪意のあるWebサイトに誘導されてしまい、誘導した先でフィッシングなどの被害に遭う危険があります。 Webサイトにアクセスすると⾃動的に他のWebサイトに遷移する機能を悪⽤し,攻撃者が指定した偽のWebサイトに誘導する。
6
⼀般的に問題が発⽣する可能性の⾼い限界値や境界値を⼊⼒して、問題が発⽣しないかどうかを検証する⼿法です。
7
確認すべき複数の要因をうまく組み合わせることによって、なるべく少ない実験回数で効率的に検証する⼿法です。
8
通常想定される運⽤条件下の⾼負荷をかけた状態でソフトウェアを動作させ、問題が発⽣しないかどうかを検証する⼿法です。
9
ソフトウェアの脆弱性関連情報とその対策情報とを提供し,情報セキュリティ対策に資する JVNは(Japan Vulnerability Notes)は、⽇本で使⽤されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを⽬的とする脆弱性対策情報ポータルサイトです。脆弱性関連情報の受付と安全な流通を⽬的とした「情報セキュリティ早期警戒パートナーシップ」に基いて、2004年7⽉よりJPCERT コーディネーションセンターと独⽴⾏政法⼈情報処理推進機構(IPA)が共同で運営しています。JVNに掲載されている情報は、脆弱性が確認された製品とバージョン、脆弱性の詳細や分析結果、製品開発者によって提供された対策や関連情報へのリンクなどで、対策にはパッチだけではなく回避策(ワークアラウンド)が掲載される事もあります
10
組織的なインシデント対応体制の構築や運⽤を⽀援する⽬的でJPCERTコーディネーションセンターが作成したもの
11
プライバシーセパレータは、同⼀の無線LANに接続された⼦機同⼠の通信を禁⽌する機能です。店舗内Wi-fiや公衆無線LANサービスのように⾒知らぬ他⼈同⼠が同じ無線L ANに接続する場⾯で、利⽤者のセキュリティ保護のために設定されます。
12
強制アクセス制御を設定することによって,ファイルの更新が禁⽌できるので,システムに侵⼊されてもファイルの改ざんを防⽌できる。
13
通信の暗号化、デジタル証明書を利⽤した改ざん検出、ノード認証を含む統合セキュアプ ロトコル。その名のとおりOSI基本参照モデルのトランスポート層で動作する
14
ブロックチェーン
15
機密性(Confidentiality) 許可された正規のユーザーだけが情報にアクセスできる特性を⽰す 完全性(Integrity) 情報が完全で、改ざん・破壊されていない特性を⽰す 可⽤性(Availability) システムが正常に稼働し続けることの度合い。ユーザーが必要な時にシステムが利⽤可能 である特性を⽰す
16
SMTP-AUTHを使⽤して,メール送信者を認証する。
17
不正な動作の可能性があるプログラムを特別な領域で動作させることによって,他 の領域に悪影響が及ぶのを防ぐ。
18
マルウェアに感染しているファイルを,マルウェアに感染していないと判断する。
19
共通鍵暗号方式
20
公開鍵暗号方式
21
送信側のメールサーバで電⼦メールにデジタル署名を付与し,受信側のメールサー バでそのデジタル署名を検証して送信元ドメインの認証を⾏う
22
NISC
23
CVSS(Common Vulnerability Scoring System,共通脆弱性評価システム)は、情報システ ムの脆弱性に対する汎⽤的な評価⼿法で、これを⽤いることで脆弱性の深刻度を同⼀の基 準のもとで定量的に⽐較することが可能です。
24
SEOポイゾニング
25
OSやアプリケーションソフトウェアの脆弱性を悪⽤して攻撃するツール
26
RSA暗号と⽐べて,短い鍵⻑で同レベルの安全性が実現できる
27
PCにマルウェアを感染させ,そのPCのCPUなどが有する処理能⼒を不正に利⽤し て,暗号資産の取引承認に必要となる計算を⾏い,報酬を得る。
28
デジタル証明書のシリアル番号,証明書発⾏者の識別名(DN)のハッシュ値などをOC SPレスポンダに送信し,その応答でデジタル証明書の有効性を確認する。
29
他人受入率が顔認証と比べて低い
30
ディスクを解析し、削除されたログファイルを復元することで不正アクセスの痕跡を発見する
31
CVE
32
PCの起動時にOSのプログラムやドライバのデジタル署名を検証して、デジタル署名が有効なものだけを実行してOS起動完了前にマルウェアを防ぐこと
33
送信元と宛先のIPアドレスとポート番号
34
う
35
あ
36
マルウェアがIoT機器やサーバなどの攻撃対象を探すために送信するパケット
問題一覧
1
セッションIDとは セッションIDとは、サイトにアクセスしたユーザーのセッションを一意に識別するために、付与される情報で、CookieやURLのリクエストパラメータの一部に付与されるものです。 Webページにログインを行うときのIDがセッションIDの典型例です。
2
TPM(Trusted Platform Module)は、PCのマザーボード上に直付けされるセキュリティチ ップで、暗号化と復号、鍵ペアの⽣成と管理、ハッシュ値の計算、乱数⽣成、デジタル署 名の⽣成・検証などの機能を有します。 TPMによって提供されるセキュリティ機能には以下のようなものがあります。 OSやアプリケーションの改ざん検知 端末認証 プラットフォームの整合性の検証 ストレージ全体の暗号化
3
受信した電⼦メールが正当な送信者から送信されたものであることを保証する送信ドメイン認証技術 デジタル署名はDKIM
4
サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指⽰すべき「重要10項⽬」をまとめたものです。具体的には、経営者のリーダーシップの下での体制整備と対策の進め⽅、社会やステークホルダに対する情報開⽰のあり⽅などが取りまとめられています。
5
URLパラメータやフォームデータなどの外部パラメータによって指定されたWebページに遷移するようにしているWebアプリケーションが、実装不備により、無制限にURLを受け⼊れてしまう状態です。攻撃者がこの脆弱性を悪⽤することで、利⽤者は、気付かないうちに信頼できるWebサイトから悪意のあるWebサイトに誘導されてしまい、誘導した先でフィッシングなどの被害に遭う危険があります。 Webサイトにアクセスすると⾃動的に他のWebサイトに遷移する機能を悪⽤し,攻撃者が指定した偽のWebサイトに誘導する。
6
⼀般的に問題が発⽣する可能性の⾼い限界値や境界値を⼊⼒して、問題が発⽣しないかどうかを検証する⼿法です。
7
確認すべき複数の要因をうまく組み合わせることによって、なるべく少ない実験回数で効率的に検証する⼿法です。
8
通常想定される運⽤条件下の⾼負荷をかけた状態でソフトウェアを動作させ、問題が発⽣しないかどうかを検証する⼿法です。
9
ソフトウェアの脆弱性関連情報とその対策情報とを提供し,情報セキュリティ対策に資する JVNは(Japan Vulnerability Notes)は、⽇本で使⽤されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを⽬的とする脆弱性対策情報ポータルサイトです。脆弱性関連情報の受付と安全な流通を⽬的とした「情報セキュリティ早期警戒パートナーシップ」に基いて、2004年7⽉よりJPCERT コーディネーションセンターと独⽴⾏政法⼈情報処理推進機構(IPA)が共同で運営しています。JVNに掲載されている情報は、脆弱性が確認された製品とバージョン、脆弱性の詳細や分析結果、製品開発者によって提供された対策や関連情報へのリンクなどで、対策にはパッチだけではなく回避策(ワークアラウンド)が掲載される事もあります
10
組織的なインシデント対応体制の構築や運⽤を⽀援する⽬的でJPCERTコーディネーションセンターが作成したもの
11
プライバシーセパレータは、同⼀の無線LANに接続された⼦機同⼠の通信を禁⽌する機能です。店舗内Wi-fiや公衆無線LANサービスのように⾒知らぬ他⼈同⼠が同じ無線L ANに接続する場⾯で、利⽤者のセキュリティ保護のために設定されます。
12
強制アクセス制御を設定することによって,ファイルの更新が禁⽌できるので,システムに侵⼊されてもファイルの改ざんを防⽌できる。
13
通信の暗号化、デジタル証明書を利⽤した改ざん検出、ノード認証を含む統合セキュアプ ロトコル。その名のとおりOSI基本参照モデルのトランスポート層で動作する
14
ブロックチェーン
15
機密性(Confidentiality) 許可された正規のユーザーだけが情報にアクセスできる特性を⽰す 完全性(Integrity) 情報が完全で、改ざん・破壊されていない特性を⽰す 可⽤性(Availability) システムが正常に稼働し続けることの度合い。ユーザーが必要な時にシステムが利⽤可能 である特性を⽰す
16
SMTP-AUTHを使⽤して,メール送信者を認証する。
17
不正な動作の可能性があるプログラムを特別な領域で動作させることによって,他 の領域に悪影響が及ぶのを防ぐ。
18
マルウェアに感染しているファイルを,マルウェアに感染していないと判断する。
19
共通鍵暗号方式
20
公開鍵暗号方式
21
送信側のメールサーバで電⼦メールにデジタル署名を付与し,受信側のメールサー バでそのデジタル署名を検証して送信元ドメインの認証を⾏う
22
NISC
23
CVSS(Common Vulnerability Scoring System,共通脆弱性評価システム)は、情報システ ムの脆弱性に対する汎⽤的な評価⼿法で、これを⽤いることで脆弱性の深刻度を同⼀の基 準のもとで定量的に⽐較することが可能です。
24
SEOポイゾニング
25
OSやアプリケーションソフトウェアの脆弱性を悪⽤して攻撃するツール
26
RSA暗号と⽐べて,短い鍵⻑で同レベルの安全性が実現できる
27
PCにマルウェアを感染させ,そのPCのCPUなどが有する処理能⼒を不正に利⽤し て,暗号資産の取引承認に必要となる計算を⾏い,報酬を得る。
28
デジタル証明書のシリアル番号,証明書発⾏者の識別名(DN)のハッシュ値などをOC SPレスポンダに送信し,その応答でデジタル証明書の有効性を確認する。
29
他人受入率が顔認証と比べて低い
30
ディスクを解析し、削除されたログファイルを復元することで不正アクセスの痕跡を発見する
31
CVE
32
PCの起動時にOSのプログラムやドライバのデジタル署名を検証して、デジタル署名が有効なものだけを実行してOS起動完了前にマルウェアを防ぐこと
33
送信元と宛先のIPアドレスとポート番号
34
う
35
あ
36
マルウェアがIoT機器やサーバなどの攻撃対象を探すために送信するパケット