個人情報の取扱について適切な保護措置を講ずる体制を整備している事業者に対して付与するマーク PMS(個人情報保護マネジメントシステム)を認定基準とする

利用者とクラウドサービスプロバイダとの間に単一のコントロールポイントを設けて、利用の可視化・コンプライアンス・データセキュリティ・脅威防御を提供する仕組み。 例えばシャドーITなどを防止することができる。 平たく言うと、プロキシサーバのクラウド版。クラウドサービスの利用状況可視化、利用制御、レポート機能などがある。

保守性 MTTR(平均修理時間)を意味する。

Identity Aware Proxy クライアントとアプリケーション間の通信を仲介するプロキシ、ユーザを認証して、そのユーザに許可されているアプリケーションのみを利用させる。

・鍵が危殆化したwebサイトのFQDN ・鍵が危殆化したと思われる日時

サービス/ユーザーアカウント 要塞化……サーバなどのセキュリティを強化すること

メールの受信側のDNSサーバが送信側のDNSサーバに対して、メールの送信者であることを認証する仕組み。 INT TXT "v=spf1 +ip4:192.168.0.1 -all" このように書くと、「送信側は192.168.0.1からメールを送る可能性はあるが、それ以外のサーバからメールは送らない」ことを意味する。

X.509

「Society5.0」の実現に向けて公表されたセキュリティ対策フレームワーク。 付加価値を想像する活動が直面するリスクを適切に捉えるためのモデルを構築し、求められるセキュリティ対策の全体像を整理する。

Universal Authentication Framework. スマホ+顔で行う認証。 具体的に言うと、FIDO対応の認証器を用いて、デバイス側で生体認証を用いる。

Encapsulating Security Payload. IPSec用の情報が入るフィールド、暗号化と認証を行う。

Secure / Multipurpose Internet Mail Extension. メールの暗号化とデジタル署名を同時に実現する仕組み。 暗号化は「共通鍵を公開鍵で暗号化する」ことにより、デジタル署名は「メール本文を秘密鍵でハッシュ変換する」ことにより、実現される。 ※DKIMは電子署名により「送信者の認証」を目的としており、S/MIMEはデジタル署名による改ざんの検知が目的のため、用途が大きく異なる。

Lightweight Directory Access Protocol. ディレクトリサービス(ネットワーク上の資源を一元管理して検索等を可能にするサービスのこと)との通信に広く用いられるプロトコルのこと。

Identity and Access Management. アクセスコントロールを実現するシステムのこと。 シングルサインオンやID連携、プロビジョニング(他のシステムと連携してアカウントの生成やライセンス・サービスの割り当てを行う)など。

DES、MD4、MD5、Triple DESなど

信頼性 MTBF(Mean Time Between Failure)、つまり平均故障間隔を表す。 要するに、故障から故障までの時間を指す。

DMZのサーバが何者かに乗っ取られた場合、そこを踏み台にして社内LANにアクセスされるケースを防止するため

最も普及している公開鍵暗号方式。 大きな数値の素因数分解に莫大な時間を要することを利用した方式である。

SSL/TLSの拡張仕様のひとつ。 SSL/TLSのハンドシェイク時に、クライアントがアクセスしたいFQDNを伝え、サーバ側がそのホスト名に対応するデジタル証明書を返す。 これにより、複数ドメインのデジタル証明書を利用できるようになる。

Fast IDentity Online認証 パスワードへの依存を軽減するための認証方式の標準化を行っている団体による認証方式のこと。 UAFとU2Fを統合した仕様であり、WebAuthとCTAP(Client To Authentication Protocol)からなる。

・異常を検知するための監視体制の整備 ・必要ファイルのバックアップを取っておくこと

OpenID Connect. OAuthに認証機能を持たせた拡張機能。 OAuthは単にアクセス許可(認可)を与えるだけだったが、それに加えてユーザーが信頼に値するかどうかも確認する(認証)。

偽装対象と全く同じSSID、事前共有鍵(パスワード)を設定する。

画像の通り。 公開鍵+サーバ証明をセットにしたものが、サーバ証明書である。 秘密鍵で暗号化したデータとサーバ証明書が送られてきて、復号化したのちに、CAに鍵の真正性を問い合わせる。

内閣にサイバーセキュリティ戦略本部を設置し、NISC(情報セキュリティセンター)をNISC(内閣サイバーセキュリティセンター)に改組すること。 行政機関・重要インフラのサイバーセキュリティ確保や、民間事業者・研究機関などの自発的な取組の推進を担う。

記憶・所有・生体

可用性 稼働率で表すことができる。 稼働率は、MTBF/MTBF+MTTRで表せる。

stateパラメタの利用の推奨。 あるサービスが認証を求める段階で、推測困難なstateパラメタを発行し、外部サービスによるログイン執行後にユーザから返却してもらい、なりすましの有無を検知する。

IPAが運営するサイバー情報共有のための組織。

検証環境を用意して、既存のシステムやアプリが動作するかを確認する

SSL3.0/TLS1.0のCBCモードの脆弱性を利用して選択平分攻撃を行い、Cookie(平分)を得る攻撃のこと。 Browser Exploit Against SSL/TLS の略称。

「保証型監査」： 情報セキュリティに関するマネジメントやコントロールが監査手続を実施した限りにおいて適切であることを伝達する監査形態 「助言型監査」： 監査対象の情報セキュリティ上の問題点を検出し、必要に応じて改善提言を行う監査形態のこと。

Universal Second Factor. FIDOのひとつ、2段階要素を行うプロトコル。 通常のパスワード認証に加えて、USBやNFC、Bluetoothなどを用いたキーを使用する。

クライアントからのアクセスに使われる。 イメージとしては、メールソフト(Outlook等)にログインする際に使用される。

ネットワークを通じたコンピュータ間の利用認証方式のひとつ。

正規のIPアドレスを入力しているのにもかかわらず、DNSキャッシュポイズニング等で偽サイトに誘導されてしまうこと。餌で釣るフィッシングに対し、あらかじめ餌を撒いておくことから名が付けられた。 対策としては、アクセス先からデジタル証明書を要求することが挙げられる。

DESの安全性を応急的に高める方式の共通鍵暗号アルゴリズム。 鍵Aで暗号化▶鍵Bで復号化▶鍵Cで暗号化、という3段階の手順を経る。 暗号化・復号化に膨大な時間を要する難点を抱えている。

SMTPサーバを用いてメールを送信する時に、IDとパスワードを用いてユーザの認証を行う方式のこと。

監査証拠 システム監査側の監査意見の正当性を証明するための証拠。 監査調書 システム監査人の監査意見の正当性を証明するための調書。要するに、全プロセスを経て収集した、監査証拠をはじめとする文書類の総称のこと。 監査証跡 監査を行うにあたり、時系列で順を追って再現し、検証することが可能な記録(主に監査ログを指す)のこと。

ディスクイメージ(記憶装置に書き込まれた情報をそのまま保全したもの)

社内サーバや端末にボットやバックドアが仕掛けられて、外部を攻撃したり機密情報を持ち出したりするのを防止するため

Embedded Device Security Assurance. 組み込み機器のセキュリティ保証に関する認証制度。

情報セキュリティ管理策の実践のための規範。より具体的な管理策を選定するための参考、ベストプラクティスである。

Digital Signature Algorithm 離散対数問題と呼ばれる数学上の問題を安全性の根拠とするデジタル署名方式のひとつ。 ハッシュ値と秘密鍵を含む計算により、デジタル署名を生成してメッセージに添付する。

マクロウイルス 例えばWordやExcelを開こうとした時、ハッシュ値は登録されているので問題ないが、その中身によってマルウェアに感染することがある

Certificate Signing Request デジタル証明書を申請・取得するためにCAへ提出する証明書署名要求のこと。

Virtual Router Redundancy Protocol. デフォルトゲートウェイとなるルータやL3スイッチの冗長構成を実現するプロトコル。 複数台のルーターに共通して使える仮想IPアドレスと仮想MACアドレスを用意し、インシデント発生時にはフェールオーバで待機系に処理を移すことで、継続的な利用を可能にすること。

二段階(多段階)認証 認証の三要素「知識」「所有」「生体」のうち、同じものを複数回使用すること。 二要素(多要素)認証 認証の三要素「知識」「所有」「生体」のうち、異なるものを複数回使用すること。 パスワード(記憶)とワンタイムパスワード(所有)は、二要素認証である。

あるwebサービスに保有しているリソースを、別のwebサービスでも使えるように認可して連携するためのプロトコル。 Twitterとかで色んなサービスにログインできるあれ。

Kerberos認証において、窃取したST(Service Ticket)に対して、サーバ管理者アカウントのパスワードを総当たり攻撃で解読し、管理者になりすましてサーバを乗っ取る攻撃のこと。

DV：ドメインの所有権 OV：企業の実在 EV：企業の実在+所在地や電話番号等(URL入力バーが🟩になる)

情報セキュリティマネジメントシステムの要求事項。ISMSを確立・実施・維持・継続的に改善するための要求事項である。

Secure Access Service Edge ネットワークのセキュリティ機能をクラウド上に統合して、利用者にサービスとして提供していこうという考え方のこと。

IPSec用の情報が入るフィールド。認証だけを行う。 具体的には、ESPから暗号化に関する規定を削除した、認証と改ざんの検出に特化したフレーム構造である。

共通鍵をあらかじめプリンシバルとKDCに登録しておく。

SSL 3.0のブロック暗号のCBCモードにおける「パディングの最終1バイト分だけをチェックして正しければメッセージ全体が正しいと判断する」という欠陥を突いて、通信内容の解読を試みる攻撃。

Domain Keys Identified Mail. 正当なメールサーバから送られてきたメールであることを確認する仕組み。 送信する電子メールのヘッダーと本文から生成されたディジタル署名を送信側メールサーバで(秘密鍵で暗号化して)付加し、受信者が、送信側ドメインのDNSサーバに登録されている公開鍵を使用してディジタル署名の検証を行う。 c.f.)SPFはIPアドレスの認証を、DKIMはデジタル署名の認証を行う。

SHA-1(安全性に難あり)の後継規格。 ハッシュ値の長さに応じてSHA-224、SHA-256、SHA-512があり、これらを総称した名前である。

経営者の認識する「3原則」と経営者がCISO(最高セキュリティ責任者)等に指示すべき「重要10項目」から構成される。

ICMPの応答パケットを大量に発生させ、それが攻撃対象に送られるようにする攻撃のこと。 pingではない点に注意。

メールを実際に送信した差出人のこと。メールがあて先に届かなかった場合、envelope fromのアドレス宛にエラーが戻る。

秘密鍵が盗まれても悪用できないようにするため Tips)秘密鍵はファイルであり、ファイルに対してパスフレーズの設定が可能である。

暗号化されない！ chat GPTと検討した日々を思い出せ。

ログの改ざんや削除を防止するため。

フィッシングサイト

Wifi Protected Access。 WEPの脆弱性をカバーすべく定められた無線LANセキュリティ規格。暗号アルゴリズムにTKIP(脆弱性により使用非推奨)、CCMPが用いられる。

SSH接続したリモートホストから、さらに次のリモートホストにSSH接続できる機能のこと。 ex)hopuserから社内環境にアクセスする

同一生成元ポリシー。 スキーム(プロトコル)、ホスト、ポート番号の3つの組み合わせのこと。

メールをサーバ上に保存する(IMAP)か、端末上に保存する(POP3)か。 どちらもメールを受信する際に用いるプロトコルである。 ちなみに、 POP3 = Post Office Protocol 3 IMAP = Internet Message Access Protocol

製品が十分なセキュリティ機能を装備していることを評価するための基準。

IPSecとPPTP

Extensible Authentication Protocol. 二地点間の接続に用いられるPPPの拡張仕様で、様々な認証方式を利用する手順を定めたもの。クライアントとサーバで認証手順を定めてから通信を開始する。 IEEE802.1X認証において使用される。

完全性 コンピュータシステムが保持するデータを故意や過失によって喪失・改ざんされる可能性のことである。

ログを記録すること自体は可能だが、平分で記録することが出来ない。

公開鍵の真正性を証明する第三者機関のこと。RA(登録局)、VA(発行局)、IA(検証局)の3つの機能から成る。 信頼するサーバにTLS/SSLサーバ証明書を発行し、レベルに応じてDV,OV,EVの3つから構成される。

無線LANにおけるもっとも基本的な暗号プロトコル。WEPキーと呼ばれる、40bitもしくは104bitのキーを用いて暗号化する。暗号化には、初期化ベクトルと共通鍵暗号を用いるが、初期ベクトルの短さが脆弱性とされている。

セッションの開始時に動的に暗号鍵を生成・共有機 し、通信が終了すると鍵を破棄するもの。 SSL/TLSやWPAにおいて用いられる。

Unified Threat Management IDSやIPS、ウイルス対策ソフトなどを取り込んで進化したファイアウォールのこと。

その会社内ほ全てのPC及びサーバからのアクセス(マルウェアは他のPCやサーバに感染拡大する可能性があるので)

無線LAN(有線LAN)におけるユーザ認証の規格のこと。 パソコン端末を物理的にLANスイッチに接続し、IEEE802.1X認証サーバによる認証を経て、ネットワークを使用できるようになる仕組み。 認証には、EAPを用いる。

パスワードエラーが一定回数連続して発生したら、"ログインを一定時間拒絶する"

IDS 不正な侵入を監視・検知すること IPS 不正な通信に侵入される前に食い止めること

ファイアウォールを通過する個々のセッション状態を管理し、その状態に基づき動的にポートを開閉することで、詳細なアクセス制御を実現するファイアウォールのこと。

Webサイトや電話、テキストメッセージによって、サイバー犯罪行為にさらすその他の行動を取らせようとするように設計されたもの。

データリンク層で暗号化と認証を行うプロトコル、VPNを実現するために用いられる。MS-CHAP2(チャレンジレスポンス方式)で鍵交換をし、暗号化アルゴリズムにRC4(共通鍵)が用いられる。

共通鍵暗号方式のひとつ。 1bit単位で暗号化や復号が可能なストリーム暗号で、WEPやWPA、SSL/TLS、SSHなどの様々なプロトコルの暗号方式のひとつして採用された。

攻撃者が用意したwebページの前面に透明化した別のwebページを重ねることで、ユーザを視覚的にだまし、不正なwebページのコンテンツを操作させる攻撃。 対策はHTTPレスポンスヘッダーの「X-Frameg-Options」である。これが設定されたページは、他ドメインサイト内のフレーム要素に読み込まれることが禁止される。

Trusted Computer System Evaluation Criteria. 米国国防総省によるセキュリィ評価基準。7段階あり、そのうち上位4段階はTrusted OSとして認められる。

・利用申請書で事前申請制にする ・ログで確認できるようにする ・ログそのものの操作権限を与えない

全般統制 ITを活用した業務処理統計が有効に機能する環境を保証する間接的な統制(=全体を俯瞰して適切にコントロールされているか) 業務処理統制 個々のアプリケーションシステムにおいて、承認された取引が全て正確に処理・記録されていることを確保する(単体で見た時に適切にコントロールされているか)