トップ 用語集

用語集

セキュリティー用語集

セキュリティーに関する説明や解説で、良く使われる専門用語・略語を集めて解説しています。SecureStar提供のサービス各種をご利用する上で、また当Webサイト閲覧などにお役立てください。

ひらがな

アルファベット

回答

CHAP

「CHAP」とは、「PPPなどで使用されるユーザ認証の一方式」のことである。

ユーザ認証は、コンピュータを使用してサービスを受けるときに、アクセスしてきた相手が本人であることを特定する一連の手順です。CHAPはこのようなユーザ認証をする場合に使用される認証方式の一つです。特にネットワークを通してユーザ認証するときには、ユーザ名やパスワードの盗聴などに配慮する必要があります。

CHAPの認証は次の手順で行われます。

1.認証する側のサーバが毎回変わる乱数を作成してユーザ側に送ります。
2.ユーザ側のコンピュータは、乱数を使用してユーザ名とパスワードをハッシュ関数(MD5など)で暗号化し、サーバへ送り返します。
3.サーバは、自分が保存しているユーザ名、パスワードを1の手順で作成した乱数で同じように暗号化し、2の手順で送られてきた暗号データと照合します。
4.送られてきた暗号データと、自分が作成した暗号データが同じであれば、正しいユーザと判断します。

この方式は、ネットワーク上でやり取りされるデータがハッシュ関数により暗号化されているため、ユーザ名やパスワードを復元することができません。暗号化されたデータそのものをコピーして、サーバに送り返す「なりすまし」に対しては、ユーザ認証が終わった後も、一定間隔で違った乱数を使用したCHAP認証をすることで回避することができます。

Chief Information Security Officer

「Chief Information Security Officer」とは、「企業・組織内において情報管理およびその運用を担当し、情報セキュリティを統括する担当役員」のことである。

Chief Information Officer

「Chief Information Officer」とは、「組織の情報統括担当役員のこと」のことである。

CORBA

「CORBA」とは、「異なる機種のコンピュータ間で分散的なネットワークシステム環境を構築するための仕様」のことである。

CORBA とは、共通の呼び出し規約に従って動作するソフトウェアの部品(オブジェクト)をネットワーク上の複数のコンピュータに配置して、そのオブジェクトを連携動作させることによりシステムを構築する手法(分散オブジェクト)の技術です。
CORBAによって、プログラミング言語やプラットフォーム、ネットワークプロトコルに依存しない基盤をアプリケーション開発者に提供されます。異機種異言語相互運用性がCORBAの最大の特徴です。

CORBAは、業界団体であるOMG(Object Management Group)の制定するOMA(Object Management Architecture)と呼ばれる概念を基盤とします。OMAは以下の3要素により構成されます。

■ORB (Ojbect Request Broker)
ORBはCORBAの最も基本となる要素で、オブジェクトバスと呼ばれる
ORBによって、ネットワーク上に分散した各オブジェクトはローカル、あるいはリモートのオブジェクトに対して透過的にアクセスすることが可能

■CORBA サービス
CORBAサービスとは、ほとんどのアプリケーションで必要とされるシステムレベルのサービスの集合で、ORBの機能を拡張し、補う
・ネーミングサービス(オブジェクトに対し名前でアクセスする)
・イベントサービス(オブジェクト間のイベント送受信を行なう)など

■CORBA ファシリティ
CORBAファシリティとはCORBAサービスよりも抽象度が高く、アプリケーションに近い上位のサービス群で様々なアプリケーションに適用可能な水平型と、特定の産業分野(ドメイン)に特化した垂直型の2つに分類される

CAN-SPAM法

「CAN-SPAM法」とは、「迷惑メール(スパムメール)を無差別に送信することを取り締まるアメリカ連邦法」のことである。

CAN-SPAM法は、2003年12月にアメリカで制定され、2004年1月1日に施行されました。
CAN-SPAM法には、次のような規制が制定されていて、これに違反した事業者(企業)は罰せられます。
非営利団体、政治団体や宗教団体が送信する広告メールは、CAN-SPAM法規によって規制されません。
・メールヘッダ(宛先、送信元、タイトルなどの制御用データ)や、電子メールの送信に必要な情報の改ざん
・詐欺的な内容の記述
・適切なラベルをつけずに性的な内容のメールを送信する
・公的機関が作成する「Do-Not-Spam」リストに掲載されたアドレスに、無許諾で広告メールを送信する

CAN-SPAM法は、詐欺的でない広告メールを一方的に送付されても、受信者が業者を訴える権利は認められていません。なお、CAN-SPAM法は州法より優先するので、州法レベルで厳しい規制を課す法律が制定されていても、州法の規制が無効になってしまうといった問題もあります。

CERT/CC

「CERT/CC」とは、「「Computer Emergency Response Team/Coordination Center」の略で、「コンピュータ緊急対応センター」のこと」のことである。

1988年11月に、米国DARPAが中心となって米カーネギーメロン大学内に設置されたのが始まりです。CERT/CCは、主にインターネットで発生するセキュリティインシデントへの対応のための活動を行っている。具体的には不正アクセス、不正プログラム、システムの脆弱性問題などに関する情報の収集、分析、啓蒙などを行っています。

同様の組織は世界各国に存在しますが、これらは米CERT/CCの支部ではありません。しかし、ともに協力関係にあり、情報交換などが行われています。

日本では1992年に「JPCERT/CC」が発足し、現在は有限責任中間法人の民間の非営利団体として活動しています。世界のCSIRT組織の交流を目的とした国際組織FIRST(Forum of Incident Response and Security Team)にも参加しています。また、アジア太平洋地域のCSIRTフォーラムAPCERTにも参加しています。

経済産業省から業務委託を受けており、脆弱性関連情報などの告示、調整の指定機関となっています。活動内容には、事前対応としての「普及啓発」、事後対応としての「インシデント対応業務」、インターネット定点観測システム「ISDAS」の運用、「脆弱性情報の公開」などがあります。

CISO

「CISO」とは、「企業・組織内において情報管理およびその運用を担当し、情報セキュリティを統括する担当役員」のことである。

CISO(Chief Information Security Officer 最高情報セキュリティ責任者)は、企業・組織内でコンピュータシステムのセキュリティ対策だけでなく、機密情報や個人情報の管理なども含めた情報セキュリティ全般を統括する担当役員のことです。実際の役割や仕事内容としては、セキュリティポリシーの策定、個人情報の扱い運用やその監査、コンピュータのセキュリティ対策、機密管理規程の策定、リスク管理、情報漏洩事故の防止などの統括が挙げられます。

CIOの担当範囲が経営戦略および情報システム中心ということに比べ、コンピュータで管理しない情報についてもセキュリティ面での管理やリスク管理もCISOの担当範囲になります。個人情報保護法が’05年4月から施行され、また個人情報の流出などが社会的な問題となっているため情報セキュリティ管理の責任者という位置づけのCISOの役割も重要で責任も大きくなっています。

CIO

「CIO」とは、「Chief Information Officerの略で組織の情報統括担当の役員のこと」のことである。

他には最高情報責任者、情報統括責任者、情報戦略統括役員などともいわれます。CIOの役目は

1) CEO(最高経営責任者)が立案した経営戦略を元に情報戦略を立案する
2) ITを活用して社内の変革を図る(チェンジリーダー)
3) 全社的な情報化の方向性を社内に示す
4) 全体最適を図りつつ情報化投資を行う
5) 情報化プロジェクトを管理する

等があります。一般的には情報システム部の部長が兼任されることが多いようですが、従来の情報システム部の部長の役割には、他部門から上がってきた情報システム化の要件を調整するという受け身のイメージがあります。CIOはこれと異なり、自らが情報化戦略を立案し、それを推進していくという、より積極的な役割を持つものです。企業経営における情報化の重要性が認識される現在においては、この積極的な面に重点を置くという意味をこめてCIOという呼称を使うことが多いようです。

セキュリティという面に注目すると、セキュリティに対する投資はお金を生みません。ですから、セキュリティへの投資には腰が及びがちになります。しかしながら、ひとたびセキュリティ上の問題が発生すると、これは企業の根幹を揺るがす重大な事態となります。セキュリティはこのような性質を持ちますから、CIOを中心とした強力な体制で推進していく必要があります。

CBEFF

「CBEFF」とは、「バイオメトリックデータの交換フォーマットに関する規格」のことである。

バイオメトリクス技術関連の国際標準化は、国際標準化機構(ISO)と国際電気標準会議(IEC)の第1合同専門委員会(ISO/IEC JTC1)内に設置された第37分科委員会(SC37)を中心として進められています。

1992年に米国の国立標準技術研究所(NIST)と国家安全保障局(NSA)により、CBEFFの第1バージョンが策定されました。本バージョンは2001年にNISTIR6529として発行されています。その後、NISTとバイオメトリックコンソーシアムが共同で設立したワーキンググループにより、CBEFFの拡張バージョンが検討されています。

2004年度は、BioAPI(アプリケーションが呼び出す関数)が入出力パラメータとして使用するデータの基本構造を定義した19785-1 CBEFF Part 1と、登録オーソリティの運用手続きである19785-1 CBEFF Part 2が可決されました。

CA

「CA」とは、「主にインターネット取引などで使用されるデジタル認証(公開鍵証明書)などを発行する機関(認証局)」のことである。

CAにはパブリックCA、プライベートCAの2種類があります。パブリックCAは、電子署名法で規定されている指定業者です。不特定多数の電子商取引や個人のホームページでデジタル認証が使用されます。

プライベートCAは、自由に発行が許されている認証局です。自由にデジタル認証を発行できることから、イントラネットや限られた利用を限定した電子商取引で使用されます。パブリックCAは維持に費用がかかることから、プライベートCAの方が数が多く、企業間の電子メールにおけるデジタル署名に使用されています。

CMP

「CMP」とは、「様々なPKIシステム間で使用される、証明書管理に関する通信プロトコルのこと」のことである。

CMPは、CRMF(Certificate Request Message Format)と呼ばれるフォーマットを採用しており、証明書発行、更新、失効、鍵回復、相互認証証明書発行などの様々な機能が含まれます。

CMPの仕様はRFC2510(Internet X.509 Public Key Infrastructure Certificate Management Protocols:インターネット X.509 公開鍵認証基盤(PKI)証明書管理プロトコル)で定められています。

このCMPに対して、CMC(Certificate Management Messages over CMS、CMSはS/MINEの暗号化メッセージシンタックス)は、既存のプロトコル(S/MINE)を使用できるようにするために開発されました。

CSIRT

「CSIRT」とは、「「Computer Security Incident Response Team」の略で、脆弱性情報などの報告を受け、調査、対応活動などを行う組織のことをいい、CERTと呼ばれることもありますが、米CERT/CCの登録商標なので一般的にCSIRTと呼ばれるもの」のことである。

日本の公的な組織では「JPCERT/CC」がこれに当たりますが、企業や自治体レベルの組織や臨時に結成される場合もあります。CSIRTには、組織やその顧客に関するインシデントに対応する「Internal CSIRT」、自社製品の脆弱性に対応する「Vendor Team」、セキュリティベンダなどに代表される「Incident Response Provider」、地域ごとのコンタクトポイントとなる「National CSIRT」など、業務範囲や対象範囲によっていくつかの種類があります。また、さまざまなCSIRTと連携してインシデントへの対応を行う「CC(Coordination Center)」もあり、JPCERT/CCは、National CSIRTとCoordination Centerの両方の機能を持った機関です。さらに、政府組織がCSIRTを持つこともあり、日本では内閣官房情報セキュリティセンター(NISC;National Information Security Center)が設置されています。

個別の業界ごとのCSIRTも存在します。代表的なものは米国のISAC(Information Sharing and Analysis Center)です。通信業界、エネルギー業界など業界ごとにあります。日本では2002年に通信業界を中心としたTelecom-ISACが発足しています。

COPPA

「COPPA」とは、「2000年4月21日から米国で施行された、子供向けサイトに規制を課すことで子供のインターネット上の安全を守ろうとする法律」のことである。

COPPAは、法律文では、COPPR (Children's Online Privacy Protection Rules) と表記されています。日本では、「児童オンラインプライバシー保護法」と訳されています。
COPPAでは、商用サイトが、12歳以下の子供の個人情報を収集する場合に、次のようなことを義務づけています。

・サイト運営者は児童のプライバシー収集方針を親に掲示して、個人情報を収集する前に親の同意を得なければならない
・第三者への開示が可能かどうかという選択肢を付けなければならない

また、親が子供の個人情報にアクセスして、閲覧や削除ができるようにするという内容も加わっています。
COPPAができた背景には、未成年者から個人情報を集めていた商用目的のサイトや、子供を巻き込んだインターネット関連の事件や事故の増加があります。

CPS

「CPS」とは、「信頼される第三者機関が認証を利用する者に対して、信頼性、安全性および経済性などを評価できるように、認証機関のセキュリティポリシー、責任や義務、約款および外部との信頼関係などに関する詳細を規定した文書」のことである。

信頼される第三者機関は、CPSを公開する必要があります。CPSには、認証局(CA)が発行する証明書の特性、証明申請手続き、認証局の鍵管理、証明書の発行や使用、証明書の有効期間の満了、発行機関の義務と責任、証明書の効力停止および失効、監査などが細かく記載されています。

CPSは、認証局の運用規定に相当し、CPSの改訂が生じた場合には、認証局は事前に証明書を使用している利用者に知らせることになっています。

CCRA

「CCRA」とは、「IT製品などの安全性を各国の政策実施機関が客観的に評価し与えた証明書を、日本、アメリカを含む協定国同士で相互に通用できる仕組みのこと」のことである。

CCRAは、1998年にISO/IEC15408(別名:Common Criteria)に基づくIT製品などのセキュリティ評価を開始して、アメリカ、イギリス、フランス、ドイツ、カナダの5か国の政策実施機関により設立されました。日本は、2003年10月に19番目の加盟国になっています。認証取得済製品は2005年9月の時点で、約150品目(うち10数品目が我が国の製品)ほどあります。

CCRAの加盟国には以下のような国があります。
・オーストラリア
・ニュージーランド
・ギリシャ
・イタリア
・オランダ
・ノルウェー
・スペイン
・イスラエル
・スウェーデン
・オーストリア  など

ScanNetSecurity

SecureStarのサービス一覧

  • WebAlert
  • AlertMe
お問い合わせ
ISMS