トップ 用語集

用語集

セキュリティー用語集

セキュリティーに関する説明や解説で、良く使われる専門用語・略語を集めて解説しています。SecureStar提供のサービス各種をご利用する上で、また当Webサイト閲覧などにお役立てください。

ひらがな

アルファベット

回答

虹彩認証

「虹彩認証」とは、「個人ごとに必ず異なっている身体的特徴である虹彩の模様を使って本人であることを確認すること」のことである。

虹彩とは、目の瞳孔の周りにある黒目(日本人の場合)の部分であり、瞳孔から外側へたくさんの皺が走っています。この皺のパターンは、個人ごとに異なり一生変わらないとされています。虹彩認証は、指紋、虹彩、網膜、静脈パターン、声紋、顔など身体的特徴を使って本人確認を行う生体認証の一つです。生体認証は、暗証番号やパスワードなどに較べ、本人になりすましにくい認証の方法であるため最近関心が高まっています。

虹彩認証を行うときには、装置へ向かって目を向ける必要があり、健康上問題のない赤外線が照射されます。コンタクトや眼鏡は虹彩パターンの読取には問題がありません。装置はやや大きく高額ですがセキュリティレベルおよび精度は生体認証の中では最も優れています。

ただし、生体認証にはいくつかの根本的な問題があることが指摘されています。

 ・認証に用いる生体部位の損傷、変形などへの対処で別な認証が必要となる可能性
   これに対処するためには、生体認証以外の認証方法が必要となる可能性があります。

 ・認証に用いる生体部位をもともと持たない個人への対処で別な認証が必要となる可能性
   これに対処するためには、生体認証以外の認証方法が必要となる可能性があります。生体認証以外の認証方法を導入しない場合、人権上の問題が発生する可能性があります。

 ・偽造の可能性
   すでにいくつかの生体認証では偽造が可能であることが実証されています。他の生体認証についても同様の可能性があります。

 ・変更不能もしくは困難
   通常のパスワードであれば漏洩した場合、変更することが可能です。しかし、生体認証に用いられる部位が偽造された場合、もとの個人の生体そのものを変更することは不可能ではありませんが、人権上の問題があり困難です。

 ・別人を本人と誤認する可能性
   生体認証の精度上の問題により別人を本人と誤認する可能性があります。

 ・プライバシーおよび人権上の問題となる可能性
   「生体認証」というと悪いイメージはないかも知れませんが、内容は「関係者に指紋押印を強制し、電子的に共有、管理する」ということです。企業や団体が生体認証に用いる部位のデータを登録するように職員に強制できるかどうかは人権上の問題をはらんでいます。また、情報漏洩あるいは目的外使用などによって深刻な人権問題などに発展する可能性があります。

これらの点から現時点では常識的には生体認証は限定した範囲でしか利用できないと考えるのが妥当です。

サービス拒否攻撃

「サービス拒否攻撃」とは、「システムのサービスに処理能力を上回る大量のデータを送りつけ、サービスを遅延、停止させる攻撃」のことである。

サービスパック

「サービスパック」とは、「ソフトウェアの発売後に見つかった不具合を修正するプログラムがまとめられたもの」のことである。

サービスパックは「Service Pack」の頭文字を取って「SP」と呼ばれることもあります。さらに「SR(サービスリリース)」と呼ばれることもあります。

ソフトウェアの発売後に不具合が発見されることは珍しくありません。これは発売スケジュールの関係で十分な検証ができないケースや、メーカーが想定していない使われ方、組み合わせで不具合が発生するケースがあるためです。通常、不具合が確認されると、メーカーがその不具合に対する修正プログラム(パッチ)を提供します。このパッチを1月単位など定期的に、あるいはある程度の数がまとまった時点でまとめて提供するものをサービスパックといいます。サービスパックは、製品やメーカーなどによって「アップデータ」や「サービスリリース」と呼ばれることもあります。サービスパックは、1回の適用で複数の不具合を修正できるので、手間がかからないことが特徴といえます。ただし、サービスパックの提供によって脆弱性が発覚することもあり、これを攻撃するウイルスなどが登場する可能性も高いので、公開されたらなるべく早く適用しましょう。

サービスリリース

「サービスリリース」とは、「サービスパック」の別称である。

サイバー犯罪条約

「サイバー犯罪条約」とは、「欧州評議会(EC)が2001年11月にハンガリーで開催されたサイバー犯罪国際会議で、欧州26カ国と日本、アメリカ、カナダ、南アフリカが署名して成立した条約」のことである。

インターネットなどを利用した犯罪の共通的な定義、犯罪捜査や刑事訴追を行う方法を規定しています。コンピュータウイルス、詐欺、不正アクセス、文書偽造などのコンピュータに関する犯罪、児童ポルノの配布のようなコンテンツに関する犯罪、違法コピーなどの知的財産権の侵害に関する犯罪などに対処しています。

刑事訴追に関しては、各国に対して証跡となるアクセスログの保管、データの保存をはじめ、犯人の引渡しに関する内容が盛り込まれています。既に同条約に署名した日本は、法律の見直しに着手しています。

サイバーテロ

「サイバーテロ」とは、「コンピュータやネットワークを通じて行われるテロ行為」のことである。

重要な社会的な基盤である電力、航空、通信、金融などが標的にされる可能性が高いといわれています。大規模なサイバーテロは未だ起きていませんが、海外の報告書によれば、電力システムに侵入して、停電が可能であることが検証できたことが報告されています。

通常のテロ行為と異なり、ネットワークを経由して攻撃が可能となることから、新しいテロ行為として注目されています。サイバーテロとして想定されている攻撃方法としては、コンピュータウイルスによるデータの破壊、不正アクセスによるシステムの権限奪取によるテロ行為、システムが提供しているサービスに過度にアクセスすることによる処理速度の遅延に伴う妨害行為が挙げられています。サイバーテロに対する定義はまだなく、効果的な防止策も模索している段階です。

最高技術責任者

「最高技術責任者」とは、「全社的視点で企業における技術戦略・経営戦略の全体最適を図り、取締役会の元でCEOを補佐する、技術専門性と事業推進力を持つ経営幹部のこと」のことである。

最高情報責任者

「最高情報責任者」とは、「組織の情報統括担当の役員のこと」のことである。

最高情報セキュリティ責任者

「最高情報セキュリティ責任者」とは、「企業・組織内において情報管理およびその運用を担当し、情報セキュリティを統括する担当役員」のことである。

最小限の特権管理

「最小限の特権管理」とは、「許可されたソフトウェアを実行するために必要最小限の特権だけを各ユーザに与えるセキュリティ管理のこと」のことである。

ユーザに特権をできるだけ持たせない方が、システムへの不正侵入やサービスの不正使用が起こりにくくなります。

ここで「最小限の特権」には、「許可される特権そのものを最小限にする」だけではなく、「特権の使用時間を最小限にする」「特権の有効期間を最小限にする」「特権を認めるプログラムモジュールを最小限にする」「利用できるファイルやデータを最小限にする」「特権を利用できる機器を最小限にする」「特権を利用する場所を最小限にする」など多様な意味があります。

なお、不正アクセス対策基準Ⅴ.1.(3)②にも「コンピュータを管理するために与えられた最上位の権限(以下「特権」とする。)によるコンピュータの利用は、必要最小限にすること。」と記述されています。

産業技術総合研究所

「産業技術総合研究所」とは、「IT技術やナノテクノロジーなどの幅広い分野で各種の研究を行っている、日本最大級の公的研究機関」のことである。

産業技術総合研究所(通称「産総研」)は、経済産業省の所管組織として2001年4月に独立行政法人化した、日本最大級の研究組織です。東京本部とつくばセンターを中心に全国の研究拠点とネットワークを結ぶと共に、産業界、大学との連携、協力も盛んです。セキュリティに関する研究活動も活発な機関です。

産総研は、次の3つを使命としています。

・日本の産業技術競争力の強化
  ナノテクやバイオ関連・IT関連の先端的な研究を行い、国際社会で勝負できる産業技術を育成します。
・日本全体の産業活性化
  日本の長期的な政策を推し進める上で必要な、エネルギーや環境関連の研究です。
・日本の産業立国として自立
  基盤的な研究を押し進め、高い技術的裏付けを獲得します。

サンドボックス

「サンドボックス」とは、「外部システムへのアクセスを制限したセキュリティ・モデルのこと」のことである。

一般的にはサンドボックスは砂場を意味します。セキュリティ用語としての「サンドボックス」は「子供は砂場の中では自由に遊んでよいが、砂場の外では遊んではいけない」ということを応用したものです。

このセキュリティ・モデルでは、外部システムから受け取ったプログラムを保護された領域内のみで動作させます。外部システムに対する操作は禁じられ、外部システムへのウィルス感染や外部システムへの不正アクセスなどを防ぐことができます。

サンドボックスの例としては、初期のJavaアプレットにおいて、ユーザのディスクやダウンロード元以外のネットワークにはアクセスできなかったことが挙げられます。

セーフガード

「セーフガード」とは、「ISO/TR13335で規定されたGMITS(Guidelines for the Management for IT Security)で取り上げられたリスク管理策、セキュリティ対策のこと」のことである。

ITセキュリティマネジメントのためのガイドラインであるGMITSの5部構成の1つとして「セーフガードの選択」があります。
セーフガードは、リスクを低減するための実践、手順、またはメカニズムと定義されていて、以下のような想定ケースに区分されています。
・ITシステムの種類と特徴に基づきセーフガードを選択する場合
・セキュリティの懸念事項と脅威の評価に基づき選択を行う場合
・詳細リスク分析の結果に基づき選択する場合

また、後で詳細リスク分析を実施するか否かにかかわらず、最低限、次のような基本的はリスク評価を実施することの必要性が記載されています。
・どのようなITシステムを対象としているのか(スタンドアローンPCかネットワーク接続をしているものかなど)
・ITシステムの設置場所および周辺の環境条件はどうなっているのか
・すでにどのようなセーフガードが実装されているのか、または計画されているのか
・実施した評価結果がITシステムにおけるベースラインアプローチのセーフガードを選択するのに十分な情報を提供しているのか

セキュリティプリンシパル

「セキュリティプリンシパル」とは、「認証の対象となり、アクセス権の付与対象となる主体のこと」のことである。

具体的には、ユーザーや、ユーザーが所属するグループなどを指します。
例えば、Windows OSのActive Directoryのセキュリティプリンシパルには、セキュリティ識別子(SID)やグローバル一意識別子(GUID)が割り当てられます。

なお、ロールベースセキュリティを使った認証方式においては、セキュリティプリンシパルとは、ユーザーとそのユーザーに関連付けられたロール(役割)を表します。
ここで、ロールベースセキュリティとは、ユーザー個人ではなく、ユーザーが果たす役割に基づいてユーザーにアクセス許可を与えられるようにする方式を指します。ユーザー個人に対してアクセス許可を与えられるようにする方式はユーザーベースセキュリティといいます。

セキュリティホール

「セキュリティホール」とは、「ソフトウエアの設計ミス、設定ミスなどによって生じたシステムの脆弱性」のことである。

インターネットに接続されたシステムにセキュリティホールがあって放置した場合、不正アクセス、データの改ざんなどの攻撃を受ける可能性が高まります。セキュリティホールに関する情報は、OS、アプリケーションメーカーのセキュリティ情報サイトから入手できます。

セキュリティホールを修復するプログラム(セキュリティパッチ、修正プログラムなど)を適用することで、セキュリティホールをふさぐことができます。購入した製品パッケージをインストールした段階では、セキュリティホールが存在する可能性があるので、直ぐにインターネットに接続せず、セキュリティホールを対処してから接続することが大切です。

ScanNetSecurity

SecureStarのサービス一覧

  • WebAlert
  • AlertMe
お問い合わせ
ISMS