トップ 用語集

用語集

セキュリティー用語集

セキュリティーに関する説明や解説で、良く使われる専門用語・略語を集めて解説しています。SecureStar提供のサービス各種をご利用する上で、また当Webサイト閲覧などにお役立てください。

ひらがな

アルファベット

回答

悪意のあるコード

「悪意のあるコード」とは、「情報システムが提供するサービスを妨害するプログラムの総称」のことである。

代表的な悪意のあるコードとして、コンピューターウイルス、ワーム、バックドア、キーロガーなどがあります。コンピューターウイルスだけでも数万種類が存在し、増加しています。このような悪意のあるコードは、次々と登場する新しい技術、セキュリティ技術に対応して作り出されて、改良されています。

悪意のあるコードには、システムを停止または遅延させるような直接的に影響を与えるタイプ、システムの管理者や利用者のアクセス権限を奪うタイプ、IDやパスワードを入手することが目的で、間接的にシステムに影響を与えるタイプなどに分類することができます。既存のシステムに大きな影響を及ぼす悪意のあるコードは、簡単に入手できません。しかし、システムの安全を防止する上で、悪意のあるコードをいち早く入手し、対処する研究する目的でハニーポットが使われることがあります。

悪魔の双子攻撃

「悪魔の双子攻撃」とは、「安全なアクセスポイントだと見せかけて、接続してきたコンピュータの通信内容を盗む行為のこと」のことである。

現在、屋外や外出先からインターネット接続するためには、アクセスポイントである、Wi-Fiや無線LANに対応したホットスポット、フリースポット、無線LANアクセスポイントなどを頻繁に利用します。
通常は、ホテルや会議場、駅、ファーストフード店、ファミリーレストランなどにある正規のアクセスポイントに接続します。

しかし悪魔の双子攻撃は、正規のアクセスポイントを偽装して、一般ユーザをアクセスさせ、正規のアクセスポイントとほとんど同じか、全く同じ画面を表示してインターネットへ接続します。このため接続したユーザが気づくことはほとんどありません。そして、このアクセスポイントを利用したユーザの通信内容を盗聴して、IDやパスワード、クレジットカード番号などを盗み出そうとするわけです。また、接続したコンピュータにキー入力した内容を盗聴するキーロガーやトロイの木馬などを感染させることもあります。

「悪魔の双子攻撃」という言葉は、2005年1月にロンドン科学博物館ダナセンターのセミナーで、英国クランフィールド大学のフィル・ノーブルズとブライアン・コリンズ教授が警告を行ったときに使用した言葉が語源になっています。正反対の道徳性を持った双子のことを「悪魔の双子」と呼ぶことから、「悪魔の双子攻撃」と付けられたようです。

アクセスコントロール

「アクセスコントロール」とは、「利用者がシステム上の情報を利用できるか権限を決めて制御すること」のことである。

必要な情報を必要とする利用者にアクセスを実現させることで、システムに置かれている情報に対する機密性を確保することができます。また、システムを監査する監査ツール、脆弱性を発見する診断ツールに対しては、悪用されることがないように、システム監査人、システム管理者など限定した管理が必要となります。

アクセスコントロールを確実にするには、システムを初めて利用する時のアカウント申請書と共に、アクセス権限付与シートなどでアクセス対象を明確にし、責任者の承認をとる方法が有効です。また、システムの内部監査では、定期的にアクセスコントロールが適切に行われているかチェックすることがあります。

アクセス許可

「アクセス許可」とは、「システムの資源や情報を利用するために許可された状態または、許可すること」のことである。

利用するユーザ側から見た場合、アクセスコントロールされたシステムに正規の手順でログオンし、自分に許された範囲でシステムの資源や情報を利用できる状態になっていることです。
自分に許されている資源や情報は、アクセスが許可され自由に利用することができるようになります。
これに対して、自分には許可されていない資源や情報にはアクセスが許可されないので、利用することができません。

管理するシステム側から見た場合、個別のユーザに対して、どの資源や情報までアクセスできるのかを設定し、アクセス範囲を制限します。
これにより、システム管理者の設定に従ってアクセスコントロールされます。
ネットワークのサーバOSなどには、ユーザ認証とともに、アクセスしてきたユーザに合わせてアクセスコントロールをするための機能が付加されています。

アクセス履歴

「アクセス履歴」とは、「アクセスしてきたユーザの履歴情報のこと」のことである。

情報システムにアクセスしてきた相手先ユーザの情報を逐一履歴として残したデータのことです。
TCP/IPを使用した情報システムの場合、例えば、Webサーバにアクセスした接続元のIPアドレスや日時、エラーの状態、アクセスしたファイル名、ダウンロードしたファイル名、入力されたURLの内容、アクセス元ブラウザの種類などを細かく記録しています。

また、メールサーバの場合は、アクセスしてきた相手のIPアドレスやドメイン名、メールアドレス、送り先のメールアドレス、送受信するメールのサイズ、エラーの状態などが記録されます。

このため、アクセス履歴は膨大な容量になるので、アクセスログを解析するソフトを利用して、必要な情報を抽出して解析することが必要になります。
これらの記録を分析することで、正常なアクセスか不正アクセスかを判定できるので、不正アクセスであった場合は、相手のIPアドレスなどをブラックリストなどに載せるなどして、さらにセキュリティを高めていくことができます。

アクセスログ

「アクセスログ」とは、「アクセス履歴」の別称である。

アクセストークン

「アクセストークン」とは、「Windows2003(WindowsNT系)ネットワークで使用されるユーザーのセキュリティ識別情報」のことである。

Windows2003ネットワークは、ネットワークを使用する際に各自のユーザー情報(ユーザーアカウント)、つまり、ユーザー名とパスワードを入力する作業が必要です。
ユーザー情報が、使用するコンピュータ(ローカルコンピュータ)、またはユーザー情報を集中的に管理しているコンピュータ(ドメインコントローラ)のデータベースに転送され、データベースの該当するユーザー情報と検証されます。入力したユーザー情報の内容がデーターベースに登録されている情報と一致すると、ネットワークに参加(システムにログオン)することができます。

ログオンの際に、ユーザーのアクセストークンが生成されて、各さまざまなセキュリティ情報が格納されます。ネットワーク上のサービスを提供しているコンピュータには、アクセストークンのコピーが伝播されて、ユーザーはアクセストークン内に格納されている資源へのアクセス情報に則った作業ができるようになります。

例えば、ネットワーク上にあるServerAのフォルダFには、Usersフルコントロールのアクセス許可が設定されていたとします。別のパソコンからシステムにログオンしたBさんはUsersグループのメンバーです。この場合、Bさんがログオンした際に、BさんはUsersグループのメンバーであるというアクセストークンがネットワーク上に情報として流れるので、BさんはフォルダFをフルコントロールで使用することができます。

暗号化

「暗号化」とは、「許可された者にのみ情報を読むことができるよう一定の規則に従って情報を変換すること」のことである。

情報を暗号化して保管することによって、悪意のある第三者が暗号化された情報を盗んだとしても、内容を知ることができません。暗号化は、機密性を確保することができる利点があります。暗号化する規則は、暗号アルゴリズムと呼ばれ、情報を取り扱うシステム、利用方法によって選択されます。許可されていない者が、暗号化された情報を元の情報に戻す行為を解読といいます。パスワードによって暗号化されている情報を解読するには、ブルートフォースアタック、ディクショナリアタックなどの方法があります。暗号化された情報は、第三者が内容を見ることで、暗号化されたことを知ることができます。

一方、暗号化された情報であることを気づかせないステガノグラフィーという技術があります。暗号の広義な意味で、ステガノグラフィーは含まれ、電子透かし技術として実用されています。

暗号アルゴリズム

「暗号アルゴリズム」とは、「情報を暗号化する一定の規則のこと」のことである。

暗号アルゴリズムには、大きく分けて、共通鍵暗号方式と公開鍵暗号方式の2つがあります。前者は、情報の送り手と受け手が同一の秘密鍵をもつ方式で、暗号化と復号で同じ鍵を使います。後者は情報の送り手と受け手のどちらか一方が秘密鍵をもつ方式で、公開鍵と秘密鍵の対になる2つの鍵を使ってデータの暗号化と復号を行ないます。

共通鍵暗号方式は高速処理が可能ですが、送信相手の数だけ秘密鍵が必要になり管理が煩雑です。公開鍵暗号方式は秘密鍵が1つと管理は容易ですが、暗号化及び復号が複雑なため処理速度は遅くなります。

したがって実務においては、データ自体は共通鍵暗号方式で暗号化し、共通鍵自体は公開鍵暗号方式で暗号化して送るというように、両方のアルゴリズムを併用することも行なわれています。

暗号化テキスト

「暗号化テキスト」とは、「暗号化アルゴリズムとキーで暗号化されたテキストのこと」のことである。

ここでは、以下のように非常に簡単な例を通じて、暗号化テキストが作られるしくみを説明いたします。

いま、「HAL」という暗号化されていないアルファベットだけからなる文字列があります。
これらの文字をアルファベットで3文字分だけ後にずらして、第三者に対してすぐにはわからないようにします。つまり、文字Hを3文字分だけ後にずらして「K」、文字Aを3文字分だけ後にずらして「D」、文字Lを3文字分だけ後にずらして「O」に置き換わります。このようにして「HAL」は「KDO」という文字列に変換されました。
このとき、「HAL」を平文(プレーン・テキスト)、「何文字後にずらす」ことが「暗号化アルゴリズム」、「3文字後にずらす」場合の「3」が「キー」、変換後の「KDO」という文字列が「暗号化テキスト」と言えるでしょう。
元の平文に戻すには、「何文字前にずらす」という「復号アルゴリズム」を使って、暗号の時と同じ「3」というキーを使って復号します。

なお、上記の例は、主として暗号化アルゴリズム、キー、暗号化テキストの関係を表すために用いています。したがって、例えば、暗号化アルゴリズムにおける「文字Z」以降の文字のずらしかた等や、復号アルゴリズムにおける「文字A」以前の文字のずらしかた等は説明を省略しています。

暗号

「暗号」とは、「許可された者にのみ情報を読むことができるよう一定の規則に従って符号化された情報のこと」のことである。

暗号は次のような基本的な機能を持っています。

1.情報の秘密を守り、特定の受信者にのみ内容の把握を許す
2.発信者の発した情報であることを確認する
3.不正な改ざんがされていないことを確認する

暗号の機能1は情報の機密性向上の役割を担い、第三者による盗聴を防止します。暗号の機能2は情報発信者の認証を行い、「なりすまし」や「否認」を防ぐことに寄与ています。また、暗号の機能3は、情報の完全性を向上させています。この3つの要素を持つ暗号は、安全な情報通信ネットワーク及びシステムの重要な構成要素となっています。

なお、情報は暗号アルゴリズムによって暗号化されます。暗号化された情報を解読することを復号と呼びます。暗号化されていないプレーン・テキスト(平文)を暗号化したものを暗号化テキストと呼びます。

アプリケーションファイアウォール

「アプリケーションファイアウォール」とは、「Webサーバで稼動するアプリケーションに対する攻撃を封じるための技術」のことである。

アプリケーションファイアウォールは、ウェブアプリケーションの脆弱性をついた攻撃(クロスサイドスクリプティング、バッファオーバーフロー、セッションハイジャック、SQLインジェクションなど)を防御することができます。

Webアプリケーションファイアウォールは、クライアントからの通信を中継する際に、中身を精査して、不正な文字列が含まれている場合にエラーページを表示します。HTTPSの通信の場合には、暗号化された情報を復号する必要があるのでその作業を実施しています。

アプリケーションゲートウェイ

「アプリケーションゲートウェイ」とは、「アプリケーション・レベル・プロキシーとも呼ばれ、ファイアウォール技術の1つ」のことである。

アプリケーションゲートウェイは、データ部分まで見て通信を制御したい場合に利用するファイアウォール機能です。

アプリケーションゲートウェイでは、パケットの中に書かれたOSI参照モデルの最上位層であるアプリケーション層の要求と応答を目的のコンピュータに伝えることで通信を実現しています。
アプリケーションゲートウェイを使用することによって、不正なデータやコマンドがないかをチェックすることが可能になります。
しかし、ゲートウェイ処理をアプリケーションが実行するために、それにかかる負荷は高くなってしまいます。

アプリケーションゲートウェイは、「Proxy」と呼ばれる中継のプログラムを用意して、Proxyがクライアントからの通信を受け、外部にある目的のサーバに対する接続を行うことで、クライアントとサーバを仲介する仕様になっているため安全です。
このため、ProxyとかProxy Serverと呼ばれることもあります。

インターネット上の自殺予告事案への対応に関するガイドライン

「インターネット上の自殺予告事案への対応に関するガイドライン」とは、「インターネット上での自殺予告に対し、ISP等が警察から発信者情報開示要求を受けた際の判断基準及び手続きを示したもの」のことである。

2005年(平成17年)10月5日に以下の4団体により策定されました。
社団法人電気通信事業者協会
社団法人テレコムサービス協会
社団法人日本インターネットプロバイダー協会
社団法人日本ケーブルテレビ連盟

インターネット上の掲示板等で自殺予告や集団自殺を呼びかける書き込みがなされ、これを発見した人からの通報を受けた警察がISPに対して発信者情報開示を求めるケースが増えた事への対応として検討されました。発信者情報は書き込みをした人の氏名、住所等を指します。

通信の秘匿は、憲法や電気通信事業法等で認められた権利であるため、発信者情報の開示はこの侵害にあたります。しかし、刑法で定められた緊急避難の要件を満たしていれば、ISPは通信の秘密である発信者情報を警察に対して開示することが許されることが明確化されています。

また、それぞれの自殺予告が緊急避難であるかどうかの判断の基準と発信者情報を開示する際の手続きが示されています。

インターネット上の自殺予告事案への対応に関するガイドライン(PDF)

(2007/12)

インターネットVPN

「インターネットVPN」とは、「プライベートなネットワークの構築で拠点間の一部にインターネットを利用する技術、または構築されたネットワーク」のことである。

インターネットを使用してネットワークを構築すると、安価に構築できる利点がありますが、通信経路上でデータが盗聴、改ざんされる恐れがあります。

インターネットVPNでは拠点間で通信するデータを暗号化することによって、安全を確保しています。インターネットを経由してリモートで会社のシステムに安全に接続できることから、自宅や出張先からの安全な利用が確保できる利便性もあります。海外とのネットワークを構築する場合、これまでは国際専用線、国際フレームリレーが中心となってきましたが、利用料金が高い問題がありました。しかし、インターネットVPNは安価で容易に構築できることから、採用する企業が増えてきています。

ScanNetSecurity

SecureStarのサービス一覧

  • WebAlert
  • AlertMe
お問い合わせ
ISMS