トップ 用語集

用語集

セキュリティー用語集

セキュリティーに関する説明や解説で、良く使われる専門用語・略語を集めて解説しています。SecureStar提供のサービス各種をご利用する上で、また当Webサイト閲覧などにお役立てください。

ひらがな

アルファベット

回答

レーベルゲートCD

「レーベルゲートCD」とは、「ソニーミュージックエンタテイメント(SME)の提唱により開発されたレーベルゲート技術で著作権保護されたCD」のことである。

レーベルゲートCDには、コピーコントロールCDと同様のプロテクトが施されており、ほとんどの音楽CDプレーヤーで再生できますが、音飛び防止装置付きプレーヤーやCD-R/RWの再生に対応したプレーヤー、カーナビなどでは再生できない場合があります。

CCCDとの相違点は、コンピュータ上で再生するための暗号化された音楽データも同時に記録されており、専用の「MAGIQLIP」というソフトウェアで再生することができます。しかし、レーベルゲートCDのMAGIQLIPはインターネットを通じて著作権管理する構造だったので、コンピュータで再生するためには必ずインターネットに接続する環境が必要でした。

この点を改良して、現在ではレーベルゲートCD2になり、MAGIQLIP2を使ってレーベルゲートCDのディスクから再生するだけであれば、インターネットへの接続が必要なくなりました。

レーベルゲートCDからコンピュータに音楽データをコピーするときは、インターネットへの接続が必要です。初回はコピーを無料でできますが、次回以降は1曲200円×収録曲数分の料金がかかります。

レーベルゲート

「レーベルゲート」とは、「ソニーミュージックエンタテイメント(SME)の提唱により開発されたコピーコントロールCD(CCCD)の一種」のことである。

レーベルゲートCDには、コピーコントロールCDと同様のプロテクトが施されており、ほとんどの音楽CDプレーヤーで再生できますが、音飛び防止装置付きプレーヤーやCD-R/RWの再生に対応したプレーヤー、カーナビなどでは再生できない場合があります。

コピーコントロールCDとの相違点は、コンピュータ上で再生するための暗号化された音楽データも同時に記録されており、専用の「MAGIQLIP」というソフトウェアで再生することができます。しかし、レーベルゲートCDのMAGIQLIPはインターネットを通じて著作権管理する構造だったので、コンピュータで再生するためには必ずインターネットに接続する環境が必要でした。この点を改良して、現在ではレーベルゲートCD2になり、MAGIQLIP2を使ってレーベルゲートCDのディスクから再生するだけであれば、インターネットへの接続が必要なくなりました。

レーベルゲートCDからコンピュータに音楽データをコピーするときは、インターネットへの接続が必要です。初回はコピーを無料でできますが、次回以降は1曲200円×収録曲数分の料金がかかります。

リバースエンジニアリング

「リバースエンジニアリング」とは、「完成しているソフトウェアやハードウェア製品を解析して、技術情報を入手すること」のことである。

すでに製品化されているソフトウェアやハードウェアを分解、解析などして、製品の目的、材質、構造、仕様などの技術情報を入手する行為をリバースエンジニアリングと呼びます。

ハードウェアの分野では同じ製品のコピーを作り出せるとともに、開発コストを極端なまでに下げることができます。ソフトウェアの分野では、逆アッセンブルなどをすることで、ソースコードレベルまで解析し、機能を実現するプログラムの仕組みを分析したり、脆弱性がないかを検証することができます。

例えば、ウイルスの解析に利用すれば、感染の仕組みや感染後の動作、感染経路などを特定できるので、そのウイルスに対するセキュリティ対策を立てることができます。自社製品の場合は、セキュリティホールがないかなどを検証する手段として利用できます。

しかし、他社製品をリバースエンジニアリングする場合、元製品の著作権や特許権を侵害する可能性が大きくなるので、その利用には細心の注意が必要です。

リバースプロキシ

「リバースプロキシ」とは、「接続要求を特定のサーバの代理サーバとして受け取り、本来のサーバへアクセスを中継すること」のことである。

リバースとは、逆方向の意味で、社内ネットワークからの接続を中継するProxy Serverがフォワードであれば、インターネットからのアクセスを内部のサーバへ仲介することからリバースプロキシといわれています。

リバースプロキシを使用すると、サーバへの接続は全てリバースプロキシを経由するので、アクセス要求を本来のサーバが直接受けることがなくなるため、セキュリティが強化されます。

さらに、アクセスの多いコンテンツを、リバースプロキシのキャッシュ機能を利用することによってパフォーマンスを向上させることもできます。企業内ネットワークからインターネットのアクセスはProxy Server経由にして、外部から内部への接続はリバースプロキシで中継する経由とネットワークを構築するとセキュリティ向上につながります。

リモート攻撃

「リモート攻撃」とは、「攻撃者がネットワーク経由で別のコンピュータを標的とする攻撃のこと」のことである。

攻撃者は、最初にローカルコンピュータにキーボード等を使用して対話的にログオン(ログイン、サインオンともいう)し、そのコンピュータと同じネットワークまたは全く別のネットワークのサーバを攻撃します。

攻撃者は、セキュリティの弱いコンピュータなどをみつけ、そこを踏み台として、標的とするコンピュータ(サーバなど)を攻撃することがあります。また、セキュリティの弱いコンピュータにウィルスを侵入させ、ネットワーク内にウィルスを感染させてしまうケースもあります。

このようなリモート攻撃を防御するために、ネットワーク内に脆弱性をもつ要素を見つけ、アクセス権限の強化やセキュリティパッチなどによりセキュリティレベルを上げます。

リプレイアタック

「リプレイアタック」とは、「ネットワークの盗聴者がログインシーケンス(IDやパスワードを送る手順)をそのまま記録し、後にこのシーケンスを対象サーバーに投げること」のことである。

この攻撃は、たとえ暗号化によりパスワードそのものが分からなくても、このシーケンスをサーバーに投げることで、正規の利用者からのログインとして認証されてしまいます。

これを防ぐためには、固定パスワードではなく、毎回パスワードを変化させるワンタイムパスワードの導入が有効です。

また、クライアントからサーバーへのアクセスするためのユーザ認証要求に対してリプレイアタックされることを防ぐためのプロトコルとして、CHAP(チャレンジハンドシェイク認証プロトコル)がRFC1994として定義されています。

リスクアセスメント

「リスクアセスメント」とは、「リスクを評価すること」のことである。

情報システムに対するリスクアセスメントでは、情報資産に対する脅威を分析し、脆弱性を調べ、情報資産の重要性を考慮してリスクを分析します。リスクアセスメントを実施する前には、情報資産の洗い出しが行われますが、重要な資産が欠落していれば、リスクアセスメントの結果には反映されません。

リスクアセスメントの結果に対しては、受容できるリスクのレベルによって、セキュリティ対策の必要性を判断できる内容であることが求められます。このため、リスクアセスメントが適切に行われるように、客観的・論理的なリスクアセスメント手順書(もしくは規程)を定めています。情報資産が多い企業では、リスクアセスメント・ツールを採用しているケースもあります。

リスク分析

「リスク分析」とは、「会社などでセキュリティポリシーを作成する際に、会社の情報資産をチェックして、どのようなリスクがあるのか、その程度はどのくらいかといったことを洗い出す作業」のことである。

ISMS認証基準(Ver.2.0)によると、リスク分析は「リスク因子を特定するための、およびリスクを算定するための情報の系統的使用」と定義されていて、災害防止対策のための予防的手段である「リスクアセスメント」のプロセスの一部に位置づけられています。リスク分析をしっかり行っていないと、現実に即したセキュリティポリシーを策定できず、意味のないものになってしまいます。

リスク分析は、情報資産の洗い出しを行い、洗い出された資産に対するリスクを分析するという手順で実施します。まずは情報資産を列挙して分析し、プライオリティをつけ、分析範囲を特定します。情報資産を列挙したら、そのひとつひとつについて所有者や管理者を決めていきます。リスク分析には、具体的に基本アプローチ、詳細アプローチ、融合アプローチ、経験則アプローチの4種類の手法があり、それぞれにメリット、デメリットがあります。

リスクマネジメント

「リスクマネジメント」とは、「リスクアセスメントによって特定されたリスクに対して、そのリスクを低減させる活動プロセスのこと」のことである。

BS7799-2:2002では、「リスクに関して、組織を指揮し管理するための調整された活動をさす」と定義されています。セコムグループでは、リスクマネジメントの3要素として「リスクコントロール」、「クライシスマネジメント」、「リスクファイナンス」が必要と考えます。3つの要素をトータルでマネジメントすることで、はじめて万全のリスクマネジメント体制が整ったといえます。

情報セキュリティにおいても、セキュリティポリシー策定などのリスク発生を抑制するリスクコントロール、診断や監視を含めた実際のセキュリティ対策と事件や事故が起きた場合の被害を最小限にとどめるクライシスマネジメント、さらに個人情報漏洩保険など文字通りの保険であるリスクファイナンスなどが、リスクマネジメントを行う上では欠かせない要素となります。

ローカル攻撃

「ローカル攻撃」とは、「攻撃者が対話的にログオンしているコンピュータを標的とする攻撃のこと」のことである。

攻撃者は、ローカルコンピュータにキーボード等を使用して対話的にログオン(ログイン、サインオンともいう)し、そのコンピュータを攻撃します。

ローカル攻撃者による情報の漏えいや改ざん、root権限など各種権限の入手、及びローカルシステムの管理者グループへのユーザの追加(特権昇格)などに悪用される危険性があります。

攻撃と管理作業との見分けがつきにくいため、攻撃に対する防御がしにくい面があります。したがって、権限のある正規ユーザかどうかを見分けるための対策を強化します。例えば、パスワードを指定回数以上誤った場合に以後のログオンができないようにする等の設定やバイオメトリクス認証の導入等の技術的対策や、入室管理やノートパソコンの管理等の管理面の対策が重要です。

ロールアップ

「ロールアップ」とは、「あるプログラムに対しての修正プログラム、セキュリティ修正プログラム、重要な更新およびアップデートを配布、または利用しやすいようにひとつにまとめた累積的なパッケージのこと」のことである。

Windowsなど、Microsoft社の主力製品ではサービスパックがリリースされています。サービスパックには過去リリースされた製品のバグを修正した更新プログラムなどが含まれていますが、ロールアップパッケージはサービスパックのリリースよりも公開頻度の高いもので、サービスパック公開後に修正された内容などを含む、最新の更新プログラムのセットです。
特にセキュリティロールアップパッケージ(SRP)と呼ばれるものは、セキュリティ上の更新内容を集約したアップデートプログラムを指しています。
更新手順としては、サービスパックを適用後、そのサービスパックに含まれていない修正がある場合にロールアップパッケージの適用を行い、さらに単独のパッチを適用する、ということになります。このことから、ロールアップパッケージは、サービスパックと単独のパッチの中間に位置する規模のものといえます。

ロールベースの承認

「ロールベースの承認」とは、「WindowsNT・2000系列のOSやデータベースシステムで、ロールという、役割やユーザーごとに分類した単位ごとに操作権限、アクセス権を管理し、そのロールを元に承認を行う方法」のことである。

ロールとは、操作権限やセキュリティ権限を目的としてグループ化する単位として用いられるものです。その設定方法はシステムや製品ごとに異なり、たとえばデータベース製品のoracleでは権限を、SQL Serverではユーザーを対象とします。ロールの考え方が権限に対するものである場合は、複数の権限をまとめたロールをユーザーに設定するという方法になります。これに対してユーザーをロールとする考え方では、ロールに対して権限を設定します。
WindowsNT・2000系列では、ユーザーに対するロールベースでのセキュリティ管理の概念が古くから実装されています。
いずれの場合も目的は同一で、OSやデータベースの動作環境、ユーザーの設定、およびファイルやテーブルに対するアクセス権などをロール単位で行うことにより、ユーザー個々に設定する内容を必要最小限にするものです。これにより、セキュリティ管理を容易にすることが可能となります。
また、データベースシステムのロールには、規定値として設定されている固定のもの、ユーザーが自由に設定できるユーザー定義のもの、およびアプリケーションを通してのみ利用できるようなものがあります。

ScanNetSecurity

SecureStarのサービス一覧

  • WebAlert
  • AlertMe
お問い合わせ
ISMS