私物のPCやスマートフォンなどの情報端末を業務に利用することBYOD
情報システム部門の許可を得ずに、私物のPCやスマートフォン、社外のクラウドサービスなどを業務に使うことシャドーIT
企業が社員などに貸与するスマートフォンの設定やアプリケーションを一元管理する仕組みMDM
マルウェアを検知して、コンピュータを脅威から守り、安全性を高めるソフトウェアの総称ウイルス対策ソフト
ウイルス対策ソフトが持っている、既知ウイルスのシグネチャコード(ウイルスを識別する特徴的なコード)を記録したものウイルス定義ファイル
検査対象と既知ウイルスのシグネチャコードを比較して、ウイルスを検出する方法。未知のウイルスは検知できないパターンマッチング方式
サンドボックスと呼ばれる仮想環境で、実際に検査対象を実行して、その挙動を監視することで、ウイルスを検知する。未知のウイルスも検知できるが誤検知もあるビヘイビア方式
OSやソフトウェアに潜むセキュリティ上の脆弱性セキュリティホール
セキュリティホールが確認されたら、それを解消させるため修正プログラムセキュリティパッチ
セキュリティパッチがベンダから提供される前に、セキュリティホールを利用する攻撃ゼロデイ攻撃
正規のアクセス経路ではなく、侵入するために仕組んだ裏口のアクセス経路バックドア
インターネットなどを通じてコンピュータシステムに侵入し、情報の盗聴や窃取、データの改ざんや破壊などのクラッキングを行う攻撃サイバー攻撃
SPAMメールなどの無差別攻撃ではなく、特定の官公庁や企業など、標的を決めて行われる攻撃標的型攻撃
特定の組織を標的に、複数の手法を組み合わせて気づかれないよう執拗に攻撃を繰り返す攻撃APT攻撃
よく利用される企業などのWebサイトにウイルスを仕込み感染させる攻撃水飲み場型攻撃
パスワードを割り出し、解析することパスワードクラック
攻撃対象とする利用者IDを決め、辞書や人名録などに載っている単語やその組み合わせをパスワードとしてログインを試行する辞書攻撃
攻撃対象とする利用者IDを決め、英字や数字、記号を組み合わせたパスワードを総当たりで、ログインを試行するブルートフォース攻撃
よく用いられるパスワードを一つ定め、文字を組み合わせた利用者IDを総当たりで、ログインを試行するリバースブルートフォース攻撃
不正に取得した他サイトの利用者IDとパスワードの一覧表を用いて、ログインを試行するパスワードリスト攻撃
特定のサーバなどに大量のパケットを送りつけることで想定以上の負荷を与え、サーバの機能を停止させる攻撃Dos攻撃
複数のサーバなどから一斉に大量のパケットを送りつける攻撃DDos攻撃
Dos攻撃の対策として、不正な通信を検知して管理者に通報するシステムIDS
Dos攻撃の対策として、不正な通信を検知するだけでなく遮断まで行うシステムIPS
攻撃者が用意した有害な文字列を、利用者のWebブラウザを介して脆弱なWebサイトに送り込み、利用者のWebブラウザ上で実行させる攻撃クロスサイトスクリプティング
クロスサイトスクリプティングの対策として、有害な入力を無害化するものサニタイジング
サニタイジングの一つとして、入力データにHTMLタグが含まれていたら、HTMLタグとして解釈されない他の文字列に置き換える処理エスケープ処理
脆弱性のあるWebアプリケーションの入力領域に、攻撃者が悪意のある問い合わせや操作を行う命令文を注入することで、管理者の意図しないSQL文を実行させる攻撃SQLインジェクション
攻撃者が正規の利用者を装い、情報資産の窃取や不正行為などを行う攻撃なりすまし
セッションIDを攻撃者が窃取して、正規の利用者になりすまして通信するセッションハイジャック
PCが参照するDNSサーバに偽のドメイン情報を注入して、利用者を偽装されたサーバに誘導するDNSキャッシュポイズニング
悪意のあるサイトが、検索結果の上位に表示されるようにするSEOポイズニング
攻撃者が、パス名を使ってファイルを指定し、管理者の意図していないファイルを不正に閲覧する攻撃ディレクトリトラバーサル
Webサイトを閲覧したときに、利用者の意図にかかわらず、PCにマルウェアをダウンロードさせて感染させるドライブバイダウンロード
実在する会社や金融機関を装って電子メールを送信し、偽のWebサイトに誘導し、個人情報を騙し取る攻撃フィッシング
プログラムが用意している入力用のデータ領域を超えるサイズのデータを入力することで、想定外の動作をさせる攻撃バッファオーバーフロー攻撃
罠サイトのコンテンツ上に著名なサイトのボタンを透明化して配置し、意図しない操作をさせるクリックジャッキング攻撃
Webページなどに埋め込まれた小さな画像。利用者のアクセス動向などを収集するための画像。個人情報が漏洩することはないが、無断でアクセス情報などを取得できるWebビーコン
サイバー攻撃を行う前に行う情報収集フットプリンティング
サーバなどのネットワーク機器に対して、接続可能なサービスを探るために、解放されていて攻撃できそうなサービスがあるかどうかを調査する行為ポートスキャン
磁気ディスクやUSBメモリのデータを複製したり、ネットワークやサーバの監視をしたりして、コンピュータ犯罪の証拠となる電子データを集め、解析することデジタルフォレンジクス
人が容易に解読できる平文を「暗号化アルゴリズム」と「暗号化鍵」を使って、容易に解読できない暗号文に変換すること暗号化
暗号化鍵と復号鍵が共通の暗号方式。送信者は「共通の秘密鍵」で暗号化し、受信者は「共通の秘密鍵」で復号する共通鍵暗号方式
代表的な共通鍵暗号方式で、無線LANの暗号規格であるWPA2で使われているAES
暗号化鍵と復号鍵が異なる暗号方式。送信者は「受信者の公開鍵」で暗号化し、受信者は「受信者の秘密鍵」で復号する公開鍵暗号方式
代表的な公開鍵暗号方式で、非常に大きな数を素因数分解することが困難なことを利用したものRSA
代表的な公開鍵暗号方式で、RSAに比べて短い鍵長で同等の安全性を提供できるもの楕円曲線暗号
「送信者が本人であるかを受信者が確認できる」のと同時に、「電子文書の内容が改竄されていないことを受信者が確認できる」仕組み。「送信者の秘密鍵」で暗号化し、「送信者の公開鍵」で復号するデジタル署名
私物のPCやスマートフォンなどの情報端末を業務に利用することBYOD
情報システム部門の許可を得ずに、私物のPCやスマートフォン、社外のクラウドサービスなどを業務に使うことシャドーIT
企業が社員などに貸与するスマートフォンの設定やアプリケーションを一元管理する仕組みMDM
マルウェアを検知して、コンピュータを脅威から守り、安全性を高めるソフトウェアの総称ウイルス対策ソフト
ウイルス対策ソフトが持っている、既知ウイルスのシグネチャコード(ウイルスを識別する特徴的なコード)を記録したものウイルス定義ファイル
検査対象と既知ウイルスのシグネチャコードを比較して、ウイルスを検出する方法。未知のウイルスは検知できないパターンマッチング方式
サンドボックスと呼ばれる仮想環境で、実際に検査対象を実行して、その挙動を監視することで、ウイルスを検知する。未知のウイルスも検知できるが誤検知もあるビヘイビア方式
OSやソフトウェアに潜むセキュリティ上の脆弱性セキュリティホール
セキュリティホールが確認されたら、それを解消させるため修正プログラムセキュリティパッチ
セキュリティパッチがベンダから提供される前に、セキュリティホールを利用する攻撃ゼロデイ攻撃
正規のアクセス経路ではなく、侵入するために仕組んだ裏口のアクセス経路バックドア
インターネットなどを通じてコンピュータシステムに侵入し、情報の盗聴や窃取、データの改ざんや破壊などのクラッキングを行う攻撃サイバー攻撃
SPAMメールなどの無差別攻撃ではなく、特定の官公庁や企業など、標的を決めて行われる攻撃標的型攻撃
特定の組織を標的に、複数の手法を組み合わせて気づかれないよう執拗に攻撃を繰り返す攻撃APT攻撃
よく利用される企業などのWebサイトにウイルスを仕込み感染させる攻撃水飲み場型攻撃
パスワードを割り出し、解析することパスワードクラック
攻撃対象とする利用者IDを決め、辞書や人名録などに載っている単語やその組み合わせをパスワードとしてログインを試行する辞書攻撃
攻撃対象とする利用者IDを決め、英字や数字、記号を組み合わせたパスワードを総当たりで、ログインを試行するブルートフォース攻撃
よく用いられるパスワードを一つ定め、文字を組み合わせた利用者IDを総当たりで、ログインを試行するリバースブルートフォース攻撃
不正に取得した他サイトの利用者IDとパスワードの一覧表を用いて、ログインを試行するパスワードリスト攻撃
特定のサーバなどに大量のパケットを送りつけることで想定以上の負荷を与え、サーバの機能を停止させる攻撃Dos攻撃
複数のサーバなどから一斉に大量のパケットを送りつける攻撃DDos攻撃
Dos攻撃の対策として、不正な通信を検知して管理者に通報するシステムIDS
Dos攻撃の対策として、不正な通信を検知するだけでなく遮断まで行うシステムIPS
攻撃者が用意した有害な文字列を、利用者のWebブラウザを介して脆弱なWebサイトに送り込み、利用者のWebブラウザ上で実行させる攻撃クロスサイトスクリプティング
クロスサイトスクリプティングの対策として、有害な入力を無害化するものサニタイジング
サニタイジングの一つとして、入力データにHTMLタグが含まれていたら、HTMLタグとして解釈されない他の文字列に置き換える処理エスケープ処理
脆弱性のあるWebアプリケーションの入力領域に、攻撃者が悪意のある問い合わせや操作を行う命令文を注入することで、管理者の意図しないSQL文を実行させる攻撃SQLインジェクション
攻撃者が正規の利用者を装い、情報資産の窃取や不正行為などを行う攻撃なりすまし
セッションIDを攻撃者が窃取して、正規の利用者になりすまして通信するセッションハイジャック
PCが参照するDNSサーバに偽のドメイン情報を注入して、利用者を偽装されたサーバに誘導するDNSキャッシュポイズニング
悪意のあるサイトが、検索結果の上位に表示されるようにするSEOポイズニング
攻撃者が、パス名を使ってファイルを指定し、管理者の意図していないファイルを不正に閲覧する攻撃ディレクトリトラバーサル
Webサイトを閲覧したときに、利用者の意図にかかわらず、PCにマルウェアをダウンロードさせて感染させるドライブバイダウンロード
実在する会社や金融機関を装って電子メールを送信し、偽のWebサイトに誘導し、個人情報を騙し取る攻撃フィッシング
プログラムが用意している入力用のデータ領域を超えるサイズのデータを入力することで、想定外の動作をさせる攻撃バッファオーバーフロー攻撃
罠サイトのコンテンツ上に著名なサイトのボタンを透明化して配置し、意図しない操作をさせるクリックジャッキング攻撃
Webページなどに埋め込まれた小さな画像。利用者のアクセス動向などを収集するための画像。個人情報が漏洩することはないが、無断でアクセス情報などを取得できるWebビーコン
サイバー攻撃を行う前に行う情報収集フットプリンティング
サーバなどのネットワーク機器に対して、接続可能なサービスを探るために、解放されていて攻撃できそうなサービスがあるかどうかを調査する行為ポートスキャン
磁気ディスクやUSBメモリのデータを複製したり、ネットワークやサーバの監視をしたりして、コンピュータ犯罪の証拠となる電子データを集め、解析することデジタルフォレンジクス
人が容易に解読できる平文を「暗号化アルゴリズム」と「暗号化鍵」を使って、容易に解読できない暗号文に変換すること暗号化
暗号化鍵と復号鍵が共通の暗号方式。送信者は「共通の秘密鍵」で暗号化し、受信者は「共通の秘密鍵」で復号する共通鍵暗号方式
代表的な共通鍵暗号方式で、無線LANの暗号規格であるWPA2で使われているAES
暗号化鍵と復号鍵が異なる暗号方式。送信者は「受信者の公開鍵」で暗号化し、受信者は「受信者の秘密鍵」で復号する公開鍵暗号方式
代表的な公開鍵暗号方式で、非常に大きな数を素因数分解することが困難なことを利用したものRSA
代表的な公開鍵暗号方式で、RSAに比べて短い鍵長で同等の安全性を提供できるもの楕円曲線暗号
「送信者が本人であるかを受信者が確認できる」のと同時に、「電子文書の内容が改竄されていないことを受信者が確認できる」仕組み。「送信者の秘密鍵」で暗号化し、「送信者の公開鍵」で復号するデジタル署名
