トップ 用語集

用語集

セキュリティー用語集

セキュリティーに関する説明や解説で、良く使われる専門用語・略語を集めて解説しています。SecureStar提供のサービス各種をご利用する上で、また当Webサイト閲覧などにお役立てください。

ひらがな

アルファベット

回答

擬似アタック

「擬似アタック」とは、「ペネトレーションテストとも呼ばれる、コンピュータシステムのセキュリティ上の脆弱性を確認するため不正侵入等を試みるテスト手法のこと」のことである。

疑似アタックの内容としては、不正侵入の他、DoS攻撃に対する耐久性の確認、不正侵入により踏み台にされないか、等のテストを行います。擬似アタックを行う技術者集団は、タイガーチームと呼ばれることもあります。

テスト手法としては、テスト用に提供されている各種のソフトを利用する他、セキュリティに精通した人物が実際に様々な攻撃を仕掛けてみる手法があります。ソフトを利用した場合、簡易に確認ができますが、画一的な手法でしか確認ができず、様々な状況を想定したセキュリティの確認ができない欠点があります。

一方で、セキュリティ精通者を利用した確認はコストがかかる欠点があり、両者をうまく組み合わせることが必要です。疑似アタックは自社のセキュリティの確認のために実施される他、企業のセキュリティ水準を確認するため、情報セキュリティ監査と組み合わせて実施される場合もあり、外部の業者によるサービスが提供されています。

偽装

「偽装」とは、「メールアドレスやIPアドレス、画面等を本物のように見せかけて利用者をだますこと」のことである。

具体的には以下のような偽装が挙げられます。

1.発信者メールアドレスや電話番号、IPアドレス等の偽装
2.画面(クレジット番号の入力画面等)の偽装と当該画面への誘導
3.URLの偽装(Web画面のステータスバーやアドレスバーのURL表示)やリンク先偽装
4.セキュリティパッチを偽装したウィルス
5.偽装メール
6.トロイの木馬など、ファイル名を偽装した不正プログラム
7.その他

上記のみならず、新手の偽装も次々と登場します。各種偽装工作により、利用者をだまし、個人情報(ID、パスワード、氏名、住所、電話番号、クレジット番号等)の取得や架空請求、ウィルスの感染等、さまざまな悪事が行われます。

このような攻撃に対処するためには、最新のセキュリティ侵害情報に気を配り、特に個人情報の入力や添付ファイルを開く、プログラムを実行する際には十分な注意が必要です。

グローバルIPアドレス

「グローバルIPアドレス」とは、「インターネットに接続されている機器に割り当てられている一意なIPアドレスのこと」のことである。

TCP/IPで使用するIPアドレスには、インターネットに接続して使用するグローバルIPアドレスと、LAN内でのみ使用するプライベートIPアドレスの2種類があります。

グローバルIPアドレスは、インターネットを使用して通信する機器には必ず割り当てられるアドレス(住所のようなもの)で、1つの機器には他の機器に割り当てられていない一意なIPアドレスを使用する必要があります。これにより、世界中に広がるインターネットから一意なコンピュータを特定して通信することができるようになっています。

現在、主に使われているIPアドレスは、IPv4と呼ばれるもので、1~255までの数値を「.(ピリオド)」で区切った4つのブロックとして指定できます。例えば「セコムトラストネット株式会社」のWebサーバであれば、「61.114.178.84」が指定されています。しかし、現在IPアドレスの枯渇が表面化しており、IPv6に移行しようとしています。

世界中のグローバルIPアドレスを一元的にIANAが管理しており、それぞれの国にあるNICが、IANAの割り当てに従い、各組織に割り当を行います。このため、グローバルIPアドレスを調べれば、どの国にあるサーバであるかを確認することができます。

グローバル一意識別子

「グローバル一意識別子」とは、「一意な識別子が必要とされるコンピュータおよびネットワーク全体で使用できる値(グローバル一意識別子)のこと」のことである。

改ざん

「改ざん」とは、「改竄」の別称である。

改竄

「改竄」とは、「意図的にオリジナルの情報を第三者が書き換えること」のことである。

セキュリティに関した場合の改竄は、次のような内容を指します。
・Webサイトの書き換え
第三者がWebサイトの内容を勝手に書き換えてしまう行為です。
特に政府関連や公的機関、大企業のWebサイトがその標的になります。Webサーバや関連サーバのセキュリティホールを無くしたり、ファイアウォールで守ったり、サーバにアクセスする管理者の接続条件を厳しくすることなどで改竄を防止します。
・コンピュータ保存されている情報の書き換え
コンピュータに保存されているIDやパスワード、名簿、文書、帳簿、データベースなどの情報を書き換える行為です。
特に電子データは改竄されていることが判断しづらいので注意が必要です。データに対してデジタル署名や暗号化などを施しておくと改竄を防止できます。
・電子メール内容の書き換え
電子メールで送られる文面を途中で書き換える行為です。
デジタル署名や暗号化などで改竄を防止できます。

架空請求

「架空請求」とは、「利用していないサービスの料金を請求する行為のこと」のことである。

実際に利用していないサービスであるにかかわらず、あたかも利用して料金が発生したかのように装って使用料金を請求する行為です。

特に出会い系サイトや有料アダルトサイトなどの情報を元に、架空請求がメールや郵便などで送られてくるケースが多いようです。またすべてのサイトが該当するわけではないですが、携帯電話のワンクリック登録サイトなどで、1度クリックするだけで登録完了の画面が表示され、身に覚えのない請求をされる場合もあります。

架空請求書には「入金がない場合には自宅、勤務先、親戚へ回収に出向く」や「回収のためにさらに金額が上乗せされる」、「弁護士から訴訟手続きを連絡する」、「給与の差し押さえをする」、「信用情報機関のブラックリストに登録する」など、不安をあおる文面が書かれています。しかし、架空請求の場合、文面には矛盾する点が多いので、しっかりと判断することも大切です。

いずれにしろ、正規の手順を表示して登録したサイトでない限り、無効な内容であり架空請求にあたります。もし、架空請求が送られてきた場合は、次のような内容を考慮して行動してください。
・金銭を支払わない。
  1円でも支払うと請求を認めてしまうことになります。
・連絡しない、無視する。
  これ以上の情報を相手に渡さないことが重要です。
・消費生活センター、都道府県警察サイバー犯罪相談窓口、最寄りの警察署に相談、届け出る。
  自分では判断が付かない内容は、専門家に相談してみましょう。
・証拠を保全する。
  送られてきた書簡やメールなどを証拠として保存しておきましょう。

架空請求は大きな社会問題になっています。しっかりとした知識を得て対処することが重要になります。

管理上の脆弱性

「管理上の脆弱性」とは、「コンピュータやネットワークシステムを管理するとき、必要なセキュリティ設定や保守、セキュリティポリシーの遵守などを怠ること」のことである。

管理上の脆弱性には、セキュリティに関するさまざまな事柄が含まれます。
例えば、次のような事柄が管理上の脆弱性につながります。

・セキュリティポリシーの遵守を怠る
・パスワードをメモしてモニタの横に貼ってあることを放置する
・推測しやすいパスワードの利用を黙認する
・必要なサービスパックなど、セキュリティ更新プログラムが適用されていない
・社内ネットワークに個人のノートコンピュータを接続することを黙認する
・社内ネットワークに外部とのVPN接続をするソフトウェアを導入する。または、導入されていることを検知、管理できない
・ユーザ権限を正しく設定していない
・ファイアウォールが正しく設定されていない
・サーバ設置場所に誰でも入室できる

このような脆弱性をなくすためには、システムを管理する側が正しい知識を持ち適切に対処すると共に、ユーザへの啓蒙活動を行っていく必要があります。

また、システムの設定などに起因する管理上の脆弱性をチェックするためのツールを利用することも考えましょう。例えば、Microsoft Baseline Security Analyzer(MBSA)では、修正プログラムの適用有無やシステム設定の確認などを行い、セキュリティ状況の評価をすることができます。

キーロガー

「キーロガー」とは、「ユーザーがコンピュータのキーボードから入力したすべてのキー操作を記録するためのシステムやプログラム」のことである。

キーロガーは、もともとシステム開発などの目的でユーザーが実際にキーボードから入力した文字やキーを叩くタイミング情報などを収集するために作られたものでした。

しかしながら最近では、利用者が気づかないうちにキーボード操作を記録し、悪意のある第三者がそれを収集するといった使われ方をすることが増えています。具体的には、インターネット・カフェなど公共の場所で利用できるコンピュータにキーロガーのプログラムをこっそりと仕掛け、他人が入力したWebアクセスやインターネット・バンキングなどのIDやパスワード情報を収集するというもので、集めた情報を悪用しての犯罪も起こっています。

機微なデータ

「機微なデータ」とは、「個人情報のうち、宗教、病歴、年収など、特にプライバシー面での配慮が要求されるデータのこと」のことである。

機微なデータの収集や管理に際しては、より一層の安全性や配慮が求められています。
機微なデータには、次の情報が含まれます。
・人種
・民族
・政治的な見解
・宗教または哲学
・性的趣向
・労働組合の会員に関する情報
・健康
・財務
・子供に関する情報

緊急対応支援チーム

「緊急対応支援チーム」とは、「NIRT」の別称である。

個人認証

「個人認証」とは、「システムが予め登録されている利用者本人を識別する行為」のことである。

個人認証には、コンピュータを利用するときに最初に行われるログイン、銀行のATM(自動預け払い機)などのパスワードを入力する行為、指紋認証などの生体認証(バイオメトリクス認証)も個人認証に含まれます。最初に個人認証を行った後で、さらに別のシステムにアクセスする時には、別の個人認証が行われることがあります。例えば、システムの運営管理者が異なる場合や、個人情報のような機密性の高い情報にアクセスする場合に個人認証が行われます。

また、電子商取引のように、本人だけではなく、取引相手に対しても認証を求める場合は、相互認証が行われます。相互認証は、個人認証よりシステムに要求され、セキュリティレベルも高くなります。

個人データ

「個人データ」とは、「個人情報保護法における、「個人情報データベース等を構成する個人情報」のこと」のことである。

個人情報保護法では個人情報を、「個人情報」、「個人データ」、「保有個人データ」という3つのくくりで分類しています。「個人情報」は個人を特定できる情報であり、「個人データ」は「個人情報データベース等を構成する個人情報」と定義され、個人情報を検索が可能なように整理したものを示します。具体的には、コンピュータのデータベースで管理された情報も、また紙で管理されている情報でも検索できるように順番に並べてあれば「個人データ」となります。逆にばらばらになったままの名刺などは個人情報保護法で言う「個人データ」ではなく、「個人情報」となります。個人データを含む個人情報データベース等から印刷した帳票も「個人データ」となります。このように、電子化され、検索可能な個人情報だけでなく、印刷物も個人データになる場合があります。

個人情報保護法では5000件を超える「個人データ」を保有する企業を対象にしています。

「保有個人データ」は「個人データ」で、開示や訂正などのなどができる権限を持つデータで、6ヶ月以上保有されたデータを言います。

個人情報保護法

「個人情報保護法」とは、「2003年5月30日に公布され、2005年4月1日から全面施行された、個人情報に関する法律」のことである。

個人情報保護法では、個人情報取扱事業者(5000名以上の個人情報を保有する)に対して、個人情報の不正な取得の禁止、本人同意を得ずに行う第三者への提供の禁止、個人情報の漏えい防止、苦情への迅速な対応が義務づけられています。

違反した場合は、勧告がなされ、それでも従わない場合は罰則が適用されます。企業が勧告された場合、取引先や顧客への影響は大きく、個人情報保護への対応策が求められています。2004年から2005年にかけてプライバシーマークを取得する事業者が増加した一因にもなっています。

個人情報漏洩保険

「個人情報漏洩保険」とは、「個人情報漏洩時の発覚時のコンサルティングサービス業者への支払いや、損害賠償金や訴訟費用の支払いなどのためのサポートとして、保険会社各社からリリースされているもの」のことである。

度重なる企業の個人情報漏洩事件や、2005年4月から施行された個人情報保護法によって、個人情報を有する企業の危機意識はますます向上しました。

また、リスクマネジメントの観点からも、個人情報保護・管理のための体制整備やそのための教育などが広がり、個人情報漏洩保険のようなリスクファイナンス関連商品も増加傾向にあります。しかし依然として多くの事件が発生しているのが現状です。

ScanNetSecurity

SecureStarのサービス一覧

  • WebAlert
  • AlertMe
お問い合わせ
ISMS