トップ 用語集

用語集

セキュリティー用語集

セキュリティーに関する説明や解説で、良く使われる専門用語・略語を集めて解説しています。SecureStar提供のサービス各種をご利用する上で、また当Webサイト閲覧などにお役立てください。

ひらがな

アルファベット

回答

DES

「DES」とは、「20年にわたり米国標準として使われていた共通鍵暗号化方式」のことである。

共通鍵暗号化方式の一種。暗号化対象のデータを64ビットごとに細分しそれぞれのデータの切れ端(ブロック)に対して暗号化処理を施す、ブロック暗号方式を用いています。使用する鍵の長さは56ビットで、ブロックに対して鍵を使った一方向関数とXORによる演算を繰り返すことで暗号化を実現しています。

IBM社によって開発されたDESは、1977年にはNIST(米国標準技術局)によって連邦標準の暗号化規格として採用され、以後20年にわたり、米国における標準暗号規格として使用され続けてきました。

しかし、コンピュータの計算速度の飛躍的な進歩に伴い、次第にDESの暗号強度は充分なものではなくなっていき、また、DES暗号を破るコンテストも開催され、条件次第では数秒で暗号を破ることが可能であることが明らかとなるに至り、新しい標準暗号の必要性が決定的となりました。

その後、一時的にはDESを3回繰り返すTripleDESにより暗号強度の維持が試みられたがそれも充分ではなく、NISTが公募により採用した新しい標準暗号規格であるAESが、現在では広く普及しています。

DRM

「DRM」とは、「デジタル・コンテンツの著作権を保護するしくみや技術の総称」のことである。

デジタル・コンテンツとは、テキスト、音楽、静止画、動画、などのデジタルデータで表現されたすべてのものを意味します。
デジタルデータは複製及び配布がされやすいことから、著作権者の関知しないところで、デジタル・コンテンツが流通してしまう危険があります。
そこで、デジタル・コンテンツを正しく利用する意識の定着とともに、流通するデジタル・コンテンツの著作権を保護し、なおかつ著作権者へ対価が正しく支払われるしくみが不可欠です。

DRMを実現するには、音楽、静止画、動画、などのデジタルデータに暗号化を施し、再生時に正式な利用者であることを確認するしくみなどが必要になります。
例えば、動画や音楽データをインターネットで購入する際にライセンスキーが発行され、実際に再生する際には、そのライセンスキーを確認するしくみや電子透かしの技術により著作権の所在を明確にする技術などが挙げられます。
これにより、正しく著作権が利用されていることを管理できるようになり、著作者の権利を保護することができます。
DRMの代表的な製品としては、マイクロソフト社の「Windows Media Digital Rights Management」やIBMの「Electronic Media Management(EMMS)」などがあります。

デジタル・コンテンツの著作権を保護するためには、上記のようなしくみや技術のみならず、著作権法などの法的側面の充実や、モラル・倫理といった教育的側面も大変に重要です。

DH

「DH」とは、「DiffieとHalmanにより考案された鍵交換アルゴリズムのこと」のことである。

DHは、1976年に、Whitfield Diffie氏とMartin E. Hellman氏によって考案されました。

共通鍵暗号方式では、暗号化と復号の両方に使う共通鍵の情報を、送信者と受信者の双方が秘密に共有する必要があります。安全でない通信経路を使って、事前にこの共通鍵を安全に相手に渡す方法が問題でした。

DHでは、離散対数問題に基づいた一方向性の関数を利用して、共通鍵そのものではなく、共通鍵から計算した公開情報(配送鍵)を送受信します。たとえ公開情報を第三者に盗聴されても、盗聴者が離散対数問題を解けない限り、直ちに共通鍵を知られることはなく、安全に共通鍵情報を交換することができます。

ただし、Man in the Middle攻撃などにより、通信経路上の情報改変が可能な場合、その安全性は低くなります。

DSA

「DSA」とは、「米国標準技術局(NIST)の定義した電子署名アルゴリズムのこと」のことである。

DSAは、1994年に発表され米国政府向けに認可されたデジタル署名アルゴリズムで、公開鍵暗号方式の一種です。DSAは、離散対数問題と呼ばれる数学の問題を応用したElGamal署名方式の改良し、署名の長さを160bit×2に短縮しています。

なお、DSS(Digital Signature Standard)はFIPS(米国政府調達標準) PUB 186で定義されている米連邦政府標準の一つで、策定当初はDSAのみを適合技術として指定していたため、DSS=DSAという等式が成り立っていました。しかし、2000年に発行されたFIPS PUB 186-2では、DSAに加えてRSAとECDSA(Elliptic Curve Digital Signature Algorithm)の二つも包含されたため、DSS=DSAという等式は成り立ちません。

DH鍵交換アルゴリズム

「DH鍵交換アルゴリズム」とは、「DH」の別称である。

DMZ

「DMZ」とは、「ファイアウォールで守られたインターネットと内部ネットワークの両方から隔離されたネットワークのこと」のことである。

通常、DMZはファイアウォールの内側に作成され、インターネットから頻繁にアクセスされるWebサーバ(HTTPサーバ)やメールサーバ、DNSサーバなどをDMZに配置することで、不正なアクセスから公開サーバ群を守ることができます。

万が一、公開サーバが乗っ取られた場合にも、内部ネットワークとは別のネットワークに接続されているので、内部ネットワークに対して直接的な被害が発生するのを防ぐことができます。また、社内ネットワークから公開サーバに対して不正アクセスされることも防ぐことができます。

DMZの構成には大きく分けて2種類の方法があります。

1.2つのファイアウォールやルータを使用する方法
インターネットへの接続に1つ目のファイアウォールやルータを使用してDMZを作成します。このネットワークに公開サーバ群を接続します。さらに、2つ目のファイアウォールやルータをDMZに接続し、社内ネットワークに接続します。使用するファイアウォールやルータの種類を違うものにすることで、セキュリティーを高めることができます。

2.1つのファイアウォールやルータにあるDMZ機能を使用する方法
ファイアウォールにNICを3枚接続し、インターネット、DMZ、社内ネットワークに分けて使用します。また、DMZ機能のあるルータを使用する場合もあります。1つの機器でDMZを構成できるので、導入にかかる費用を削減することができます。

DDoS攻撃

「DDoS攻撃」とは、「複数のマシンから特定のシステムに対して大量のデータを送りつけ、サービスを遅延、停止させる可用性を狙った攻撃」のことである。

DDoSとは、Distributed Denial of Serviceの略です。DoS攻撃が1台のマシンから行うのに対して、DDoS攻撃は事前に準備した複数台のマシンから一斉に攻撃します。攻撃対象はDoS攻撃と同じく、TCP/IPプロトコルやOSのセキュリティホール、提供しているサービスが狙われます。セキュリティパッチを適用することが予防策として挙げられます。また、DDoS攻撃ではネットワークの負荷も大きくなるため、ネットワークを太くする、負荷分散装置(ロードバランサー)を導入する等の防御策があります。

攻撃側は、事前に複数のマシンに侵入し、攻撃用のプログラムを仕掛けていることが、過去の事件から確認されています。

DNS

「DNS」とは、「ホスト名とIPアドレスを対応させるシステムのこと」のことである。

DNSは、ホスト名からインターネットの通信に使用するIPアドレスを調べ、反対にIPアドレスからホスト名を調べることができます。

インターネットでは接続されているすべての機器に一意なIPアドレスが付けられており、インターネットでの通信はすべてIPアドレスを使用して行われます。しかし、IPアドレスは「61.114.178.84」のような数値の羅列であるため、使用するユーザには覚えにくいものです。

そこで、ホスト名が使用できるようになっています。例えば「ScanNetSecurity」のWebサーバであれば「www.netsecurity.ne.jp」というホスト名を使用しています。単なる数値の羅列ではないので、ユーザが覚えやすくなるわけです。「www」の部分をホスト名、「netsecurity.ne.jp」の部分をドメイン名と分けて呼ぶ場合もあります。このホスト名とIPアドレスの対応を調べて、通信できるようにするシステムの総称がDNSです。DNSの情報を管理しているコンピュータをDNSサーバと呼び、ユーザ側からDNSを使用するためのプログラムをリゾルバと呼びます。

例えば、ユーザがホームページを見るためにURLを入力すると、リゾルバはURLの中にあるホスト名を使用してあらかじめ設定されているDNSサーバに問い合わせを送ります。DNSサーバは、自らに記録されているホスト名とIPアドレスの対応表か、他のDNSサーバから転送されてきて一時的に記憶しているキャッシュ内で解答を調べます。もし、解答が見つからない場合は、他のDNSサーバに問い合わせを送り、解答を得て行きます。最終的には、リゾルバに設定されているDNSサーバから解答が返される仕組みです。

DNSサーバは、ルートサーバを頂点に階層的に構築されており、最終的には末端組織のDNSサーバに個別のホスト名とIPアドレスの情報が記録されている分散型データベースを構築しています。
現在ルートサーバは、世界中でAからMまでの13サイトが運用されています。DNSサーバに対するサイバー攻撃に対して冗長性を持たせるため、VeriSign社は、自社が運用する「J」ルートサーバのバックアップサーバを世界各地にある最大100カ所のデータセンターに追加すると発表しています。

DoS攻撃

「DoS攻撃」とは、「システムのサービスに処理能力を上回る大量のデータを送りつけ、サービスを遅延、停止させる攻撃」のことである。

DoSとは、Denial of Serviceの略です。大量のデータを送りつけることによって、ネットワークにも負荷がかかり、サービスの利用者には遅延が発生し、可用性が奪われます。攻撃の対象は、ウェブで提供しているサービスが多く、TCP/IPプロトコルやOSのセキュリティホールが狙われます。

DoS攻撃を防止するには、ネットワーク機器(ルータ)のファームウエアをバージョンアップし、OSにはセキュリティパッチを適用することでDoS攻撃の対象となるセキュリティホールを無くすことです。最新版のOSではパケットフィルタリングを搭載しており、不審なアクセスを拒否することで防止できます。また、ファイアウォールによってシステムへの直接的な被害を防止できるようになってきています。

ScanNetSecurity

SecureStarのサービス一覧

  • WebAlert
  • AlertMe
お問い合わせ
ISMS