[13]セキュリティ

78問 • 2年前

中澤優斗

通報

問題一覧

情報セキュリティ

常にシステムの脆弱性を探す悪意を持った侵入者がおり、これらの脅威に対して、企業の持つ情報資産をいかに守るかのこと。

情報資産

企業にとって価値のある、あらゆる情報のこと。

脆弱性

コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のこと。

脅威

組織や企業などが保有する情報資産に損失を与える要因（事象）のこと。

情報セキュリティマネジメント(ISMS: Information Security Management System)

組織が自身の情報資産を適切に管理し、それらを守るための仕組み。

ISMS適合性評価制度

組織内での情報の取り扱いについて、機密性、完全性、可用性を一定の水準で確保するための仕組みが整っていることを認定する制度。

情報セキュリティの7要素：機密性

許可された人だけが情報にアクセスできるようにするなどして、情報が漏洩しないようにすること。

情報セキュリティの7要素：完全性

情報が書き換えられたりすることなく、完全な状態を保っていること。

情報セキュリティの7要素：可用性

利用者が、必要な時に必要な情報資産を使用できるようにすること。

情報セキュリティの7要素：真正性

偽造やなりすましでなく、主張する通りの本物であるという特性。

情報セキュリティの7要素：責任追跡性

いつ、誰が、何をしたのかを特定、追跡できる特性。

情報セキュリティの7要素：否認防止

後で「私じゃない」と否定されないようにする特性。

情報セキュリティの7要素：信頼性

意図した通りの結果が得られるという特性。

情報セキュリティ方針

組織のトップが、情報セキュリティに対する考え方や取り組む姿勢を組織内外に宣言すること。

リスクマネジメント

リスクを組織的に管理していくこと。

リスク

組織の情報資産の脆弱性を突く脅威によって、組織が損失を受ける可能性。

リスク受容基準

組織の持つリスクに対して、対応すべきか否かを判断するための基準。

リスクアセスメント

情報資産に対するリスクを分析、評価する作業のこと。　アセスメント：評価、査定 ①リスク特定：リスクを洗い出す。 ②リスク分析：特定したリスクのもたらす結果(影響度)と起こりやすさ(発生頻度)から、リスクレベル(リスクの大きさ)を算定する。 ③リスク評価：算定したリスクレベルをリスク受容基準と照らし合わせて対応の必要性を判断し、リスクレベルに基づいて優先順位をつける。

リスク対応(対策)

リスクアセスメントによって評価を終えたリスクに対し、どのように対処するか対応計画を策定及び実践すること。

リスクコントロール

損失の発生を防止する、もしくは発生した損失の拡大を防止する。

リスクファイナンシング

損失が発生した場合に備えてあらかじめ損失に対応するための費用を確保しておくこと。

個人情報保護法

個人情報の不適切な取り扱いによって、個人の権利利益が侵害されないようにすることを目的とした法律。

プライバシーバイデザイン

個人情報の保護を、システムの設計段階において予防的に組み込んでおこうという考え方。

ユーザ認証

利用者が本人であるかどうかを確認する仕組みのこと。

ログイン

ユーザ認証をパスしてシステムを利用可能状態にすること。

ログアウト

システムの利用を終了してログイン状態を打ち切ること。

ユーザIDとパスワードによる認証

ユーザIDとパスワードの組み合わせを使って個人を識別する認証方法。

バイオメトリクス認証

指紋や声紋、虹彩(眼球内にある薄膜)などの身体的特徴を使って個人を識別する認証方法。生体認証とも呼ばれる。

ワンタイムパスワード

一度きり有効という、使い捨てのパスワードを用いる認証方法。

コールバック

遠隔地からサーバへ接続する場合などに、一旦アクセスした後で回線を切り、逆にサーバ側からコールバック(着信側から再発信)させることで、アクセス権を確認する認証方法。

アクセス権

社内で共有している書類を、「許可された人だけが閲覧できるようにする」というように設定ができること。

ソーシャルエンジニアリング

コンピュータシステムとは関係のないところで、人の心理的不注意をついて情報資産を盗み出す行為。

ショルダーハッキング

パスワードなどの重要な情報を入力しているところを後ろから近づいて、覗き見ること。

スキャビンジング

ゴミ箱を漁って有用な情報を盗み出すこと。

パスワードリスト攻撃

不正に取得した他サイトの利用者IDとパスワードの一覧表を用いて、ログインを試行すること。

ブルートフォース攻撃

特定のIDを一つ定め、文字を組み合わせたパスワードを総当たりして、ログインを試行すること。総当たり攻撃ともいう。

リバースブルートフォース攻撃

ブルートフォース攻撃の逆で、パスワードを一つ定め、文字を組み合わせた利用者IDを総当たりして、ログインを試行すること。逆走あたり攻撃ともいう。

レインボー攻撃

ハッシュ値から元のパスワード文字列を解析する手法。パスワードになりうる文字列とハッシュ値との組みをテーブル化しておき、入手したハッシュ値から元の文字列を推測する。

SQLインジェクション

アプリケーションの脆弱性により本来の意図ではない不当な「SQL」文が作成されてしまい、「注入(injection)」されることによって、データベースのデータを不正に操作される攻撃のこと。

DNSキャッシュポイズニング

DNSのキャッシュ機能を悪用して、一時的に偽のドメイン情報を覚えさせることで、偽装Webサイトへと誘導する手法のこと。

DoS(Denial of Service)攻撃

電子メールやWebリクエストなどを、通常ではあり得ないほど大量にサーバへ送りつけることで、ネットワーク上のサービスを提供不可能にする手法。

DDoS(Distributed Denial of Service)攻撃

DoS攻撃を、複数のコンピュータから一斉に行う手法。

フィッシング

金融機関などを装った偽装Webサイトに利用者を誘導し、暗証番号をはじめとする個人情報を不正に取得しようとする手法。

rootkit

バックドアを作り、侵入の痕跡を隠蔽するなどの機能を持つ不正なツール。

バックドア

正規のアクセスルートではなく、侵入するために仕組んだ裏口のアクセス経路のこと。

ハニーポット

侵入者やマルウェアの挙動を監視するために、意図的に脆弱性を持たせた機器をネットワーク上に公開し、おとりとして用いる手法。

CAPTCHA

コンピュータには読み取ることが難しいよう歪めるなどした文字を判読させることにより、人間による操作・入力であることを確かめるために行われるテスト。

コンピュータウイルス

「自己伝染機能」、「潜伏機能」、「発病機能」の3つの基準のうち、どれか一つでも該当したもの。・自己伝染機能：自分のコピーを他のコンピュータにも生成して感染を広げる。・潜伏機能：対策を遅らせる狙いなどで、感染後もしばらくは大人しくしている。・発病機能：プログラムやデータを破壊したり、予期しない動作を行う。

狭義のウイルス

他のプログラムに寄生して、その機能を利用する形で発病するもの。

マクロウイルス

アプリケーションソフトの持つマクロ機能を悪用したもので、ワープロソフトや表計算ソフトのデータファイルに寄生して感染を広げる。マクロ：アプリケーションソフトでよく用いる操作手順をセットにして登録しておき、任意に呼び出して実行させることができる機能。

ワーム

自身単独で複製を生成しながら、ネットワークなどを介してコンピュータ間に感染を広めるもの。

トロイの木馬

有用なプログラムであるように見せかけてユーザに実行を促し、その裏で不正な処理(データのコピーやコンピュータの悪用など)を行うもの。

マルウェア

コンピュータウイルスを含む悪意のあるソフトウェア全般を指す。

スパイウェア

情報収集を目的としたプログラムで、コンピュータ利用者の個人情報を収集して外部に送信する。

ボット

感染した第三者のコンピュータを、ボット作成者の指示通りに動かすもの。 C&C(Command and Control)サーバ：ボットに指令を下すサーバ。

ウイルス対策ソフト

マルウェアを検知して、コンピュータを脅威から守り、安全性を高めるソフトウェアの総称。ウイルス定義ファイルを用いてウイルスを検出する。

ウイルス定義ファイル

既知ウィルスの特徴を記録したファイル。日々新種のウイルスが発見されるため、ウイルス定義ファイルは常に最新に保つことが重要。

ビヘイビア方式(動的ヒューリスティック法)

サンドボックスと呼ばれる仮想環境で、実際に検査対象を実行して、その挙動を監視することで、ウイルスを検出する。

サンドボックス

プログラムがシステムの他の部分に悪影響を及ぼすことのないように設計された環境のこと。

セキュアブート

コンピュータの起動時に、信頼性が確認できるソフトウェアしか実行できないように制限する機能。

ファイアウォール

インターネットと企業内LANの間に設置され、事前に決められたルール（ファイアウォールルール）のもとで通してよい情報かを判断し、不正アクセスやサイバー攻撃を防ぐ仕組み。

パケットフィルタリング

パケットのヘッダで判断し、通信通過の可否を決定する。ヘッダ：データの先頭につけられた、データの情報を記述した部分。

プロキシサーバ

LANの中と外の間に位置して、外部とのやりとりを代行して行う機能。外のコンピュータからはプロキシサーバしか見えないので、LAN内のコンピュータが不正アクセスの標的になることを防ぐ。

ペネトレーションテスト

システムを実際に攻撃して、ファイアウォールや公開サーバに対するセキュリティホールや設定ミスの有無を確認する検査手法。

ファジング

検査対象となるプログラムに対して、想定外のデータを大量に送りつけることで不具合が生じないか確認するテスト。

盗聴

データのやり取り自体は正常に行えるが、途中で内容を第三者に盗み読まれるという危険性。

改ざん

データのやり取りは正常に行えているように見えながら、実際は途中で第三者に内容を書き換えられてしまうという危険性。

なりすまし

第三者が別人になりすまし、データを送受信できてしまうという危険性。

暗号化

データの中身を第三者にはわからない形へと変換すること。

復号

暗号化されたデータを元に戻すこと。

共通鍵暗号方式

暗号化鍵と復号鍵が共通の暗号方式。送信者は「共通の秘密鍵」で暗号化し、受信者も同じ「共通の秘密鍵」で復号する。　⚪︎特徴　　・第三者に知られることなく、安全に通信相手に鍵を配布する必要がある。　　・通信相手ごとに鍵を作成する必要があるため、鍵の管理が煩雑になる。　　・暗号化や複合の処理にかかる負担が少なく、公開鍵暗号方式に比べて処理が速い。

公開鍵暗号方式

暗号化鍵と復号鍵が異なる暗号方式。送信者は「受信者の公開鍵」で暗号化し、受信者は対の「受信者の秘密鍵」で復号する。 ⚪︎特徴　　・一方の鍵を公開するため、鍵の交付や管理が容易。　　・暗号化や複合の処理にかかる負担が大きく、共通鍵暗号方式に比べて処理が遅い。

デジタル署名

公開鍵暗号方式の技術を応用し、「途中で改ざんされていないか」と「誰が送信したものか」を確認できる仕組み。

ハッシュ化

ハッシュ関数を使用して、電子文書から文字列(ハッシュ値、またはメッセージダイジェスト)を作成すること。

認証局(CA:Certificate Authority)

その個人や法人が間違いなく本人であることを確認、認証し、電子証明書を発行するための機関。

SSL(Secure Sockets Layer)

インターネット上での通信を暗号化して、盗聴や改ざんを防ぐプロトコル(仕組み)。

VPN(Virtual Private Network)

特定の人のみが利用できる仮想的な専用ネットワークのこと。

IPsec(Security Architecture for Internet Protocol)

ネットワーク層で動作するIP通信に、暗号化や認証機能を持たせることで、より安全に通信を行えるようにしたプロトコル。

[2]２進数の計算と数値表現

[2]２進数の計算と数値表現

[4]デジタルデータのあらわし方

[4]デジタルデータのあらわし方

[5]CPU(Central Processing Unit)

中澤優斗 · 38問 · 2年前

[5]CPU(Central Processing Unit)

[6]メモリ

[6]メモリ

[7]ハードディスクとその他の補助記憶装置

中澤優斗 · 33問 · 2年前

[7]ハードディスクとその他の補助記憶装置

[8]その他のハードウェア

[8]その他のハードウェア

[9]基本ソフトウェア

[9]基本ソフトウェア

[10]ファイル管理

[10]ファイル管理

[11]データベース

[11]データベース

[12]ネットワーク＿１

[12]ネットワーク＿１

[12]ネットワーク＿２

[12]ネットワーク＿２

[14]システム開発

[14]システム開発

[15]システム周りの各種マネジメント

[15]システム周りの各種マネジメント

[16]プログラムの作り方

[16]プログラムの作り方

[17]システム構成と障害対策

[17]システム構成と障害対策

[18]企業活動と関連法規

[18]企業活動と関連法規

[19]経営戦略のための業務改善と分析手法

中澤優斗 · 14問 · 2年前

[19]経営戦略のための業務改善と分析手法

14問 • 2年前

中澤優斗

[20]財務会計は忘れちゃいけないお金の話

中澤優斗 · 18問 · 2年前

[20]財務会計は忘れちゃいけないお金の話

18問 • 2年前

中澤優斗

問題一覧

情報セキュリティ

常にシステムの脆弱性を探す悪意を持った侵入者がおり、これらの脅威に対して、企業の持つ情報資産をいかに守るかのこと。

情報資産

企業にとって価値のある、あらゆる情報のこと。

脆弱性

コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のこと。

脅威

組織や企業などが保有する情報資産に損失を与える要因（事象）のこと。

情報セキュリティマネジメント(ISMS: Information Security Management System)

組織が自身の情報資産を適切に管理し、それらを守るための仕組み。

ISMS適合性評価制度

組織内での情報の取り扱いについて、機密性、完全性、可用性を一定の水準で確保するための仕組みが整っていることを認定する制度。

情報セキュリティの7要素：機密性

許可された人だけが情報にアクセスできるようにするなどして、情報が漏洩しないようにすること。

情報セキュリティの7要素：完全性

情報が書き換えられたりすることなく、完全な状態を保っていること。

情報セキュリティの7要素：可用性

利用者が、必要な時に必要な情報資産を使用できるようにすること。

情報セキュリティの7要素：真正性

偽造やなりすましでなく、主張する通りの本物であるという特性。

情報セキュリティの7要素：責任追跡性

いつ、誰が、何をしたのかを特定、追跡できる特性。

情報セキュリティの7要素：否認防止

後で「私じゃない」と否定されないようにする特性。

情報セキュリティの7要素：信頼性

意図した通りの結果が得られるという特性。

情報セキュリティ方針

組織のトップが、情報セキュリティに対する考え方や取り組む姿勢を組織内外に宣言すること。

リスクマネジメント

リスクを組織的に管理していくこと。

リスク

組織の情報資産の脆弱性を突く脅威によって、組織が損失を受ける可能性。

リスク受容基準

組織の持つリスクに対して、対応すべきか否かを判断するための基準。

リスクアセスメント

リスク対応(対策)

リスクアセスメントによって評価を終えたリスクに対し、どのように対処するか対応計画を策定及び実践すること。

リスクコントロール

損失の発生を防止する、もしくは発生した損失の拡大を防止する。

リスクファイナンシング

損失が発生した場合に備えてあらかじめ損失に対応するための費用を確保しておくこと。

個人情報保護法

個人情報の不適切な取り扱いによって、個人の権利利益が侵害されないようにすることを目的とした法律。

プライバシーバイデザイン

個人情報の保護を、システムの設計段階において予防的に組み込んでおこうという考え方。

ユーザ認証

利用者が本人であるかどうかを確認する仕組みのこと。

ログイン

ユーザ認証をパスしてシステムを利用可能状態にすること。

ログアウト

システムの利用を終了してログイン状態を打ち切ること。

ユーザIDとパスワードによる認証

ユーザIDとパスワードの組み合わせを使って個人を識別する認証方法。

バイオメトリクス認証

指紋や声紋、虹彩(眼球内にある薄膜)などの身体的特徴を使って個人を識別する認証方法。生体認証とも呼ばれる。

ワンタイムパスワード

一度きり有効という、使い捨てのパスワードを用いる認証方法。

コールバック

アクセス権

社内で共有している書類を、「許可された人だけが閲覧できるようにする」というように設定ができること。

ソーシャルエンジニアリング

コンピュータシステムとは関係のないところで、人の心理的不注意をついて情報資産を盗み出す行為。

ショルダーハッキング

パスワードなどの重要な情報を入力しているところを後ろから近づいて、覗き見ること。

スキャビンジング

ゴミ箱を漁って有用な情報を盗み出すこと。

パスワードリスト攻撃

不正に取得した他サイトの利用者IDとパスワードの一覧表を用いて、ログインを試行すること。

ブルートフォース攻撃

特定のIDを一つ定め、文字を組み合わせたパスワードを総当たりして、ログインを試行すること。総当たり攻撃ともいう。

リバースブルートフォース攻撃

レインボー攻撃

SQLインジェクション

DNSキャッシュポイズニング

DNSのキャッシュ機能を悪用して、一時的に偽のドメイン情報を覚えさせることで、偽装Webサイトへと誘導する手法のこと。

DoS(Denial of Service)攻撃

DDoS(Distributed Denial of Service)攻撃

DoS攻撃を、複数のコンピュータから一斉に行う手法。

フィッシング

金融機関などを装った偽装Webサイトに利用者を誘導し、暗証番号をはじめとする個人情報を不正に取得しようとする手法。

rootkit

バックドアを作り、侵入の痕跡を隠蔽するなどの機能を持つ不正なツール。

バックドア

正規のアクセスルートではなく、侵入するために仕組んだ裏口のアクセス経路のこと。

ハニーポット

侵入者やマルウェアの挙動を監視するために、意図的に脆弱性を持たせた機器をネットワーク上に公開し、おとりとして用いる手法。

CAPTCHA

コンピュータウイルス

狭義のウイルス

他のプログラムに寄生して、その機能を利用する形で発病するもの。

マクロウイルス

ワーム

自身単独で複製を生成しながら、ネットワークなどを介してコンピュータ間に感染を広めるもの。

トロイの木馬

有用なプログラムであるように見せかけてユーザに実行を促し、その裏で不正な処理(データのコピーやコンピュータの悪用など)を行うもの。

マルウェア

コンピュータウイルスを含む悪意のあるソフトウェア全般を指す。

スパイウェア

情報収集を目的としたプログラムで、コンピュータ利用者の個人情報を収集して外部に送信する。

ボット

感染した第三者のコンピュータを、ボット作成者の指示通りに動かすもの。 C&C(Command and Control)サーバ：ボットに指令を下すサーバ。

ウイルス対策ソフト

マルウェアを検知して、コンピュータを脅威から守り、安全性を高めるソフトウェアの総称。ウイルス定義ファイルを用いてウイルスを検出する。

ウイルス定義ファイル

既知ウィルスの特徴を記録したファイル。日々新種のウイルスが発見されるため、ウイルス定義ファイルは常に最新に保つことが重要。

ビヘイビア方式(動的ヒューリスティック法)

サンドボックスと呼ばれる仮想環境で、実際に検査対象を実行して、その挙動を監視することで、ウイルスを検出する。

サンドボックス

プログラムがシステムの他の部分に悪影響を及ぼすことのないように設計された環境のこと。

セキュアブート

コンピュータの起動時に、信頼性が確認できるソフトウェアしか実行できないように制限する機能。

ファイアウォール

パケットフィルタリング

パケットのヘッダで判断し、通信通過の可否を決定する。ヘッダ：データの先頭につけられた、データの情報を記述した部分。

プロキシサーバ

ペネトレーションテスト

システムを実際に攻撃して、ファイアウォールや公開サーバに対するセキュリティホールや設定ミスの有無を確認する検査手法。

ファジング

検査対象となるプログラムに対して、想定外のデータを大量に送りつけることで不具合が生じないか確認するテスト。

盗聴

データのやり取り自体は正常に行えるが、途中で内容を第三者に盗み読まれるという危険性。

改ざん

データのやり取りは正常に行えているように見えながら、実際は途中で第三者に内容を書き換えられてしまうという危険性。

なりすまし

第三者が別人になりすまし、データを送受信できてしまうという危険性。

暗号化

データの中身を第三者にはわからない形へと変換すること。

復号

暗号化されたデータを元に戻すこと。

共通鍵暗号方式

公開鍵暗号方式

デジタル署名

公開鍵暗号方式の技術を応用し、「途中で改ざんされていないか」と「誰が送信したものか」を確認できる仕組み。

ハッシュ化

ハッシュ関数を使用して、電子文書から文字列(ハッシュ値、またはメッセージダイジェスト)を作成すること。

認証局(CA:Certificate Authority)

その個人や法人が間違いなく本人であることを確認、認証し、電子証明書を発行するための機関。

SSL(Secure Sockets Layer)

インターネット上での通信を暗号化して、盗聴や改ざんを防ぐプロトコル(仕組み)。

VPN(Virtual Private Network)

特定の人のみが利用できる仮想的な専用ネットワークのこと。

IPsec(Security Architecture for Internet Protocol)

ネットワーク層で動作するIP通信に、暗号化や認証機能を持たせることで、より安全に通信を行えるようにしたプロトコル。