無線LANにおけるもっとも基本的な暗号プロトコル。WEPキーと呼ばれる、40bitもしくは104bitのキーを用いて暗号化する。暗号化には、初期化ベクトルと共通鍵暗号を用いるが、初期ベクトルの短さが脆弱性とされている。

Wifi Protected Access。 WEPの脆弱性をカバーすべく定められた無線LANセキュリティ規格。暗号アルゴリズムにTKIP(脆弱性により使用非推奨)、CCMPが用いられる。

Domain Keys Identified Mail. 正当なメールサーバから送られてきたメールであることを確認する仕組み。 送信する電子メールのヘッダーと本文から生成されたディジタル署名を送信側メールサーバで(秘密鍵で暗号化して)付加し、受信者が、送信側ドメインのDNSサーバに登録されている公開鍵を使用してディジタル署名の検証を行う。 c.f.)SPFはIPアドレスの認証を、DKIMはデジタル署名の認証を行う。

Extensible Authentication Protocol. 二地点間の接続に用いられるPPPの拡張仕様で、様々な認証方式を利用する手順を定めたもの。クライアントとサーバで認証手順を定めてから通信を開始する。 IEEE802.1X認証において使用される。

Secure / Multipurpose Internet Mail Extension. メールの暗号化とデジタル署名を同時に実現する仕組み。 暗号化は「共通鍵を公開鍵で暗号化する」ことにより、デジタル署名は「メール本文を秘密鍵でハッシュ変換する」ことにより、実現される。 ※DKIMは電子署名により「送信者の認証」を目的としており、S/MIMEはデジタル署名による改ざんの検知が目的のため、用途が大きく異なる。

IPAが運営するサイバー情報共有のための組織。

正規のIPアドレスを入力しているのにもかかわらず、DNSキャッシュポイズニング等で偽サイトに誘導されてしまうこと。餌で釣るフィッシングに対し、あらかじめ餌を撒いておくことから名が付けられた。 対策としては、アクセス先からデジタル証明書を要求することが挙げられる。

IPSecとPPTP

データリンク層で暗号化と認証を行うプロトコル、VPNを実現するために用いられる。MS-CHAP2(チャレンジレスポンス方式)で鍵交換をし、暗号化アルゴリズムにRC4(共通鍵)が用いられる。

IPSec用の情報が入るフィールド。認証だけを行う。 具体的には、ESPから暗号化に関する規定を削除した、認証と改ざんの検出に特化したフレーム構造である。

Encapsulating Security Payload. IPSec用の情報が入るフィールド、暗号化と認証を行う。

Trusted Computer System Evaluation Criteria. 米国国防総省によるセキュリィ評価基準。7段階あり、そのうち上位4段階はTrusted OSとして認められる。

ネットワークを通じたコンピュータ間の利用認証方式のひとつ。

公開鍵の真正性を証明する第三者機関のこと。RA(登録局)、VA(発行局)、IA(検証局)の3つの機能から成る。 信頼するサーバにTLS/SSLサーバ証明書を発行し、レベルに応じてDV,OV,EVの3つから構成される。

画像の通り。 公開鍵+サーバ証明をセットにしたものが、サーバ証明書である。 秘密鍵で暗号化したデータとサーバ証明書が送られてきて、復号化したのちに、CAに鍵の真正性を問い合わせる。

DV：ドメインの所有権 OV：企業の実在 EV：企業の実在+所在地や電話番号等(URL入力バーが🟩になる)

メールの受信側のDNSサーバが送信側のDNSサーバに対して、メールの送信者であることを認証する仕組み。 INT TXT "v=spf1 +ip4:192.168.0.1 -all" このように書くと、「送信側は192.168.0.1からメールを送る可能性はあるが、それ以外のサーバからメールは送らない」ことを意味する。

クライアントからのアクセスに使われる。 イメージとしては、メールソフト(Outlook等)にログインする際に使用される。

メールを実際に送信した差出人のこと。メールがあて先に届かなかった場合、envelope fromのアドレス宛にエラーが戻る。

SSL 3.0のブロック暗号のCBCモードにおける「パディングの最終1バイト分だけをチェックして正しければメッセージ全体が正しいと判断する」という欠陥を突いて、通信内容の解読を試みる攻撃。

CSMA/CA方式において、2つの端末間の遮蔽物や位置関係によっては送信フレームを受信できないことがあり、このとき、互いに他方の端末の送信を検知できないことになるため、同時送信による衝突が起こること。

DNSコンテンツサーバがドメイン応答時にデジタル署名を付加し(この時、デジタル署名を秘密鍵で暗号化する)、DNSキャッシュサーバが公開鍵を用いてDNSSEC応答の正当性を確認する仕組みのこと。

メールをサーバ上に保存する(IMAP)か、端末上に保存する(POP3)か。 どちらもメールを受信する際に用いるプロトコルである。 ちなみに、 POP3 = Post Office Protocol 3 IMAP = Internet Message Access Protocol

Virtual Router Redundancy Protocol. デフォルトゲートウェイとなるルータやL3スイッチの冗長構成を実現するプロトコル。 複数台のルーターに共通して使える仮想IPアドレスと仮想MACアドレスを用意し、インシデント発生時にはフェールオーバで待機系に処理を移すことで、継続的な利用を可能にすること。

ICMPの応答パケットを大量に発生させ、それが攻撃対象に送られるようにする攻撃のこと。 pingではない点に注意。

Secure Access Service Edge ネットワークのセキュリティ機能をクラウド上に統合して、利用者にサービスとして提供していこうという考え方のこと。

「保証型監査」： 情報セキュリティに関するマネジメントやコントロールが監査手続を実施した限りにおいて適切であることを伝達する監査形態 「助言型監査」： 監査対象の情報セキュリティ上の問題点を検出し、必要に応じて改善提言を行う監査形態のこと。

Identity and Access Management. アクセスコントロールを実現するシステムのこと。 シングルサインオンやID連携、プロビジョニング(他のシステムと連携してアカウントの生成やライセンス・サービスの割り当てを行う)など。

・利用申請書で事前申請制にする ・ログで確認できるようにする ・ログそのものの操作権限を与えない

SMTPサーバを用いてメールを送信する時に、IDとパスワードを用いてユーザの認証を行う方式のこと。

無線LAN(有線LAN)におけるユーザ認証の規格のこと。 パソコン端末を物理的にLANスイッチに接続し、IEEE802.1X認証サーバによる認証を経て、ネットワークを使用できるようになる仕組み。 認証には、EAPを用いる。

Fast IDentity Online認証 パスワードへの依存を軽減するための認証方式の標準化を行っている団体による認証方式のこと。 UAFとU2Fを統合した仕様であり、WebAuthとCTAP(Client To Authentication Protocol)からなる。

共通鍵をあらかじめプリンシバルとKDCに登録しておく。

Kerberos認証で使用する認証チケットを窃取したり、不正に作成したりすることにより、サービスを不正利用する攻撃のこと。 不正に作成したTGTをゴールデンチケット、ST(Service Ticket)をシルバーチケットと言う。

Kerberos認証において、窃取したST(Service Ticket)に対して、サーバ管理者アカウントのパスワードを総当たり攻撃で解読し、管理者になりすましてサーバを乗っ取る攻撃のこと。

Lightweight Directory Access Protocol. ディレクトリサービス(ネットワーク上の資源を一元管理して検索等を可能にするサービスのこと)との通信に広く用いられるプロトコルのこと。

あるwebサービスに保有しているリソースを、別のwebサービスでも使えるように認可して連携するためのプロトコル。 Twitterとかで色んなサービスにログインできるあれ。

stateパラメタの利用の推奨。 あるサービスが認証を求める段階で、推測困難なstateパラメタを発行し、外部サービスによるログイン執行後にユーザから返却してもらい、なりすましの有無を検知する。

パスワードエラーが一定回数連続して発生したら、"ログインを一定時間拒絶する"

内閣にサイバーセキュリティ戦略本部を設置し、NISC(情報セキュリティセンター)をNISC(内閣サイバーセキュリティセンター)に改組すること。 行政機関・重要インフラのサイバーセキュリティ確保や、民間事業者・研究機関などの自発的な取組の推進を担う。

リモートアクセスの脆弱性を緩和するために、アクセスサーバと認証サーバを分離したシステムのこと。 認証サーバに認証を一元化することで、AAAフレームワークを実現できる。

HTTP Strict Transport Security. webサーバがHTTPヘッダの中で指定する項目のひとつ。 初回HTTP通信時のヘッダの項目として定義すると、次回以降の通信で必ずHTTPS通信を行うように指示する。 ただし、初回の通信時や、有効時間が切れた場合は、httpでの通信も可能になってしまう点に注意。

Webサイトや電話、テキストメッセージによって、サイバー犯罪行為にさらすその他の行動を取らせようとするように設計されたもの。

偽装対象と全く同じSSID、事前共有鍵(パスワード)を設定する。

同一生成元ポリシー。 スキーム(プロトコル)、ホスト、ポート番号の3つの組み合わせのこと。

「Society5.0」の実現に向けて公表されたセキュリティ対策フレームワーク。 付加価値を想像する活動が直面するリスクを適切に捉えるためのモデルを構築し、求められるセキュリティ対策の全体像を整理する。

経営者の認識する「3原則」と経営者がCISO(最高セキュリティ責任者)等に指示すべき「重要10項目」から構成される。

中小企業が情報セキュリティ対策に取り組むことを自己宣言するもの。

監査証拠 システム監査側の監査意見の正当性を証明するための証拠。 監査調書 システム監査人の監査意見の正当性を証明するための調書。要するに、全プロセスを経て収集した、監査証拠をはじめとする文書類の総称のこと。 監査証跡 監査を行うにあたり、時系列で順を追って再現し、検証することが可能な記録(主に監査ログを指す)のこと。

全般統制 ITを活用した業務処理統計が有効に機能する環境を保証する間接的な統制(=全体を俯瞰して適切にコントロールされているか) 業務処理統制 個々のアプリケーションシステムにおいて、承認された取引が全て正確に処理・記録されていることを確保する(単体で見た時に適切にコントロールされているか)

個人情報の取扱について適切な保護措置を講ずる体制を整備している事業者に対して付与するマーク PMS(個人情報保護マネジメントシステム)を認定基準とする

情報セキュリティマネジメントシステムの要求事項。ISMSを確立・実施・維持・継続的に改善するための要求事項である。

情報セキュリティ管理策の実践のための規範。より具体的な管理策を選定するための参考、ベストプラクティスである。

製品が十分なセキュリティ機能を装備していることを評価するための基準。

フィッシングサイト

二段階(多段階)認証 認証の三要素「知識」「所有」「生体」のうち、同じものを複数回使用すること。 二要素(多要素)認証 認証の三要素「知識」「所有」「生体」のうち、異なるものを複数回使用すること。 パスワード(記憶)とワンタイムパスワード(所有)は、二要素認証である。

記憶・所有・生体

Universal Authentication Framework. スマホ+顔で行う認証。 具体的に言うと、FIDO対応の認証器を用いて、デバイス側で生体認証を用いる。

Universal Second Factor. FIDOのひとつ、2段階要素を行うプロトコル。 通常のパスワード認証に加えて、USBやNFC、Bluetoothなどを用いたキーを使用する。

OpenID Connect. OAuthに認証機能を持たせた拡張機能。 OAuthは単にアクセス許可(認可)を与えるだけだったが、それに加えてユーザーが信頼に値するかどうかも確認する(認証)。

信頼性 MTBF(Mean Time Between Failure)、つまり平均故障間隔を表す。 要するに、故障から故障までの時間を指す。

可用性 稼働率で表すことができる。 稼働率は、MTBF/MTBF+MTTRで表せる。

保守性 MTTR(平均修理時間)を意味する。

完全性 コンピュータシステムが保持するデータを故意や過失によって喪失・改ざんされる可能性のことである。

ファイアウォールを通過する個々のセッション状態を管理し、その状態に基づき動的にポートを開閉することで、詳細なアクセス制御を実現するファイアウォールのこと。

X.509

Certificate Signing Request デジタル証明書を申請・取得するためにCAへ提出する証明書署名要求のこと。

SSL/TLSの拡張仕様のひとつ。 SSL/TLSのハンドシェイク時に、クライアントがアクセスしたいFQDNを伝え、サーバ側がそのホスト名に対応するデジタル証明書を返す。 これにより、複数ドメインのデジタル証明書を利用できるようになる。

SSL3.0/TLS1.0のCBCモードの脆弱性を利用して選択平分攻撃を行い、Cookie(平分)を得る攻撃のこと。 Browser Exploit Against SSL/TLS の略称。

利用者が初めて訪れた時のアクセス要求や、期限切れしたあと(※HTTPS接続の強制には時間が決まっている)の1回目のアクセスはhttpでも可能であること。

TSA：Time Stamp Authority 時刻認証局、タイムスタンプの発行とその有効性の証明を行う。 TAA：Time Assessment Authority TSAに正確な時刻を配信する機関。

利用者とクラウドサービスプロバイダとの間に単一のコントロールポイントを設けて、利用の可視化・コンプライアンス・データセキュリティ・脅威防御を提供する仕組み。 例えばシャドーITなどを防止することができる。 平たく言うと、プロキシサーバのクラウド版。クラウドサービスの利用状況可視化、利用制御、レポート機能などがある。

攻撃者が用意したwebページの前面に透明化した別のwebページを重ねることで、ユーザを視覚的にだまし、不正なwebページのコンテンツを操作させる攻撃。 対策はHTTPレスポンスヘッダーの「X-Frameg-Options」である。これが設定されたページは、他ドメインサイト内のフレーム要素に読み込まれることが禁止される。

Embedded Device Security Assurance. 組み込み機器のセキュリティ保証に関する認証制度。

・鍵が危殆化したwebサイトのFQDN ・鍵が危殆化したと思われる日時

暗号化されない！ chat GPTと検討した日々を思い出せ。

セッションの開始時に動的に暗号鍵を生成・共有機 し、通信が終了すると鍵を破棄するもの。 SSL/TLSやWPAにおいて用いられる。

Digital Signature Algorithm 離散対数問題と呼ばれる数学上の問題を安全性の根拠とするデジタル署名方式のひとつ。 ハッシュ値と秘密鍵を含む計算により、デジタル署名を生成してメッセージに添付する。

最も普及している公開鍵暗号方式。 大きな数値の素因数分解に莫大な時間を要することを利用した方式である。

ログを記録すること自体は可能だが、平分で記録することが出来ない。

NTTと三菱電機が共同開発した、共通鍵暗号アルゴリズムのこと。 ブロック長128bit、鍵長128,192,256bitである。

共通鍵暗号方式のひとつ。 1bit単位で暗号化や復号が可能なストリーム暗号で、WEPやWPA、SSL/TLS、SSHなどの様々なプロトコルの暗号方式のひとつして採用された。

SHA-1(安全性に難あり)の後継規格。 ハッシュ値の長さに応じてSHA-224、SHA-256、SHA-512があり、これらを総称した名前である。

DESの安全性を応急的に高める方式の共通鍵暗号アルゴリズム。 鍵Aで暗号化▶鍵Bで復号化▶鍵Cで暗号化、という3段階の手順を経る。 暗号化・復号化に膨大な時間を要する難点を抱えている。

DES、MD4、MD5、Triple DESなど

警告が表示される

DMZのサーバが何者かに乗っ取られた場合、そこを踏み台にして社内LANにアクセスされるケースを防止するため

社内サーバや端末にボットやバックドアが仕掛けられて、外部を攻撃したり機密情報を持ち出したりするのを防止するため

Unified Threat Management IDSやIPS、ウイルス対策ソフトなどを取り込んで進化したファイアウォールのこと。

IDS 不正な侵入を監視・検知すること IPS 不正な通信に侵入される前に食い止めること

ログの改ざんや削除を防止するため。

秘密鍵が盗まれても悪用できないようにするため Tips)秘密鍵はファイルであり、ファイルに対してパスフレーズの設定が可能である。

SSH接続したリモートホストから、さらに次のリモートホストにSSH接続できる機能のこと。 ex)hopuserから社内環境にアクセスする

ディスクイメージ(記憶装置に書き込まれた情報をそのまま保全したもの)

その会社内ほ全てのPC及びサーバからのアクセス(マルウェアは他のPCやサーバに感染拡大する可能性があるので)

マクロウイルス 例えばWordやExcelを開こうとした時、ハッシュ値は登録されているので問題ないが、その中身によってマルウェアに感染することがある

サービス/ユーザーアカウント 要塞化……サーバなどのセキュリティを強化すること

検証環境を用意して、既存のシステムやアプリが動作するかを確認する

・異常を検知するための監視体制の整備 ・必要ファイルのバックアップを取っておくこと

Identity Aware Proxy クライアントとアプリケーション間の通信を仲介するプロキシ、ユーザを認証して、そのユーザに許可されているアプリケーションのみを利用させる。