用語集

Office AGENTに関連するさまざまなキーワードを解説いたします。

ここではWebセキュリティに関連する、さまざまなキーワードを解説させていただきます。「よく聞く用語だけど、実際の意味はわからない…」「Webセキュリティに詳しくなりたい…」というお悩みをお持ちの方にご活用いただけますと幸いです。

ア行

ISMS

ISMSとは、Information Security Management System(情報セキュリティマネジメントシステム)の頭文字を取った名称です。組織を運営するうえで考えられるリスクアセスメントから、必要なセキュリティレベル・プランを決定し、資源を配分して、システムを運用することを指します。ISMSでは、情報セキュリティの主な要素として、「機密性(許可されていない情報を開示しない特性)」「完全性(情報が正確、完全である)」「可用性(利用者が必要な際に情報を取得できる)」を定義しています。資産情報に対して3つの要素を維持して、情報資産の安全性に対する戦略プランを実施する事により、利害関係者から企業としての信頼性を高める事がISMSの目標となります。

ietf

IETFとは、Internet Engineering Task Forceの略称で、インターネットで利用されるさまざまな技術、プロトコルの標準化を促進するために設立された国際的組織の名称です。標準化された技術は、RFC(Request For Comments)として公開されます。現在は、インターネット全般に関する国際的な機関であるISOC(Internet Society)の下部組織となっており、IETFのワーキンググループが討議した技術仕様書は、IESG(Internet Engineering Steering Group)による承認を経てRFCになります。IETFは、異なるオペレーティングシステムで動作するコンピュータの間でデータ通信を実現するため、新しい通信技術が検討され始めた1960年代の終わり頃に発足しました。アメリカの大学院生の個人的な活動に複数の大学の学生が集まり、データ通信のためのハードウェアや通信の規約などにおける技術の標準を模索し始めたのですが、この研究成果が以降のインターネットの普及に大きな力となりました。

ip スプーフィング

IPスプーフィングとは、送信元のIPアドレスを偽装して行う攻撃のことです。IPスプーフィングは、攻撃元を隠すことができるので、DoS攻撃やDDoS攻撃を行うときに利用されることが多い手法です。例えば、社内PCが同じ社内ネットワーク上にある他のサーバーと通信する場合、社内のシステムは信頼できるものと想定し、相手のホストの認証を行わない設定にすることがあります。対して、社外からのアクセスはファイアウォールを導入し、アクセス制御を行うために特定のIPアドレスからしかアクセスを許可しないといった設定を行うことで、強固な環境を構築します。このとき、IPスプーフィングによりIPアドレスを偽装し、外部からのアクセスにも関わらず、社内PCからのアクセスであるかのように見せかけ、ファイアウォールには信用できるシステムと信じさせ認証をすり抜けたりします。

IPS

IPS(Intrusion Prevention System)とは、ネットワークやコンピュータへの不正な侵入を防止するシステムです。サーバーやネットワークにおける外部との通信を監視することで、不正アクセスなどを事前に検知し、攻撃されることを未然に防ぎます。近年では、増加傾向にある不正なアクセスに対して素早く対応するため、脅威に対する情報を自動更新して、最新のウイルスパターンを把握できるIPSも開発されています。不正アクセスの防御を行うIPSに対して、異常を検知した際に不正アクセスの防御は行わず、管理者に知らせるのみのシステムはIDS(Intrusion Detection System)侵入検知システムと呼ばれます。

アクセス 制限

アクセス制限とは、特定のマシンやユーザーからのアクセスを制限し、不正アクセスや誤操作からサーバーやデータを守るためのセキュリティ対策の1つです。「フィルタリング(Filtering)」とも呼ばれます。アクセス制限は内部・外部からのアクセスどちらに対しても設定でき、また大きく分けてブラックリスト方式とホワイトリスト方式の2種類があります。ブラックリスト方式はその名の通りアクセスを禁止するユーザーをリスト化する方式です。一方でホワイトリスト方式は、アクセスを許可するユーザーをリスト化する方式です。アクセス許可レベルによって出来ることが異なり、「閲覧のみ」「書き込み可」などユーザーによって行動を制限することも可能です。

アクセスログ

アクセスログとは、ネットワークを経由したアクセス情報の記録のことを指します。Webサーバー上でどのように操作されたのか、1回の動作ごとにアクセスログが生成されます。アクセスログには、アクセスした日時やアクセスしたファイル名、アクセス元のIPアドレス、送受信のバイト数など様々な情報が含まれます。アクセスログは通常、大量に生成されるため、解析ソフトなどで集計したものを管理者が使用するケースが多いです。また、アクセスログはサーバーの負荷状況の確認や、不正アクセスが発生した場合のアクセス元の特定、アクセスされた情報の確認のために使用されますが、Webサイトのマーケティング目的でも使用されることがあります。

アプリケーション・ゲートウェイ

アプリケーション・ゲートウェイとは、ファイアウォールの技術の1つです。アプリケーションプロトコルレベルでの要求・応答を相手のコンピューターに伝えることで、社内ネットワークとインターネットを切り離して、安全性を向上させる仕組みです。
プロキシと呼ばれる中継を利用して通信を代替するため、アプリケーション・ゲートウェイの技術を用いるサーバーは別名「プロキシサーバー」とも呼ばれます。アプリケーションゲートウェイによって、通信されるデータやPOP/SMTP・FTPなどのコマンド内に不正なものがないかチェックが可能です。データを見ながらの制御も可能で、その際は通信処理をアプリケーションが行うために負荷が大きくなるため、注意が必要です。

暗号化キー

暗号化キーとは、Wi-Fi(無線LAN)に接続するときに必要なパスワードです。「セキュリティキー」とも呼ばれます。暗号化キーは、Wi-Fiルーター本体の側面や裏面にSSIDとともに記載されており、変更することも可能です。暗号化キーの変更は、Wi-Fiルーターの「設定画面」から行うことができます。暗号化の種類には「WEP」「WPA」「WPA2」などがあります。「WEP」に関しては、重大な欠点が見つかっており脆弱性があるため、使用は控えた方が良いでしょう。公衆Wi-Fiでは、あえてアクセスポイントに暗号化や暗号化キーを設定せず、メールやアプリ、ブラウザなどでの登録でユーザー認証をすることも増えています。公衆Wi-Fiは簡単に使用でき便利ですが、通信が傍受・盗聴される恐れがあるため、使用の際はセキュリティに留意する必要があると言えるでしょう。

アンチウィルス

アンチウイルスとはコンピュータにとって有害なウイルス、ワームといったマルウェアを検出、除去するためのシステム、またはそのためのソフトウエアです。基本的にアンチウイルスソフトウエアはコンピュータ内に常駐し、静的スキャンでマルウェアを検出します。検出されたマルウェアを駆除できるようなら駆除しますが、駆除できない場合はプログラムを隔離し、他のプログラムに悪影響が出ないようにアクセスを遮断します。日々増加を続けるマルウェアに対策するため、常にデータの更新を行うことが前提です。コンピュータのセキュリティの上では不可欠な一方で、複数のセキュリティソフトをインストールすると「競合」してしまい、最悪の場合はOS自体が起動不良となってしまうという問題点があります。

アンチスパム

セキュリティソフトには、コンピュータを保護するためのさまざまな機能が搭載されています。この中でもスパムメール(迷惑メール)からの保護を行う機能が「アンチスパム」です。インターネット、電子メールを利用していると、広告が記載されたメールが大量に届きます。このようなメールの中には、ウイルス、ワームなどのマルウェアが組み込まれており、何らかの対策を講じなければコンピュータは危険にさらされてしまいます。アンチスパムは事前にブラックリストとして登録されている差出人からのメールを、スパムメールとして分類します。また、本文中に記載されている特定の文言に反応し、スパムと判別することもあります。なお、送信元のサーバーから安全か否かを判断する方法も一般的です。

インシデント

インシデントとは、「事故にはならなかったが、可能性として重大な事故になっていたかもしれない事態」を指していました。しかし、近年では事故が発生した場合に、何もしなければ被害は拡大する一方であるため(二次災害等)、事故自体に対してもインシデントという言葉が使われるようにもなっています。情報セキュリティでは、ウイルスの感染、不正なアクセス、乗っ取りなど、情報管理において脅威となる事態を指します。過去のインシデント事例から対策を行う事で、事故発生の防止やその他のインシデントを発見する事に役立てられています。インシデントを分析するにあたって、「1件の重大事故(重傷以上)があれば、その背後に29件の軽度の事故があり、300件のインシデントが潜んでいる」というハインリッヒの法則があります。

SSID

SSID(Service Set Identifier)とは、IEEE802.11シリーズで定められている無線LAN(Wi-Fi)のアクセスポイントの識別子です。日本語ではサービスセット識別子と呼ばれます。複数のアクセスポイントがあった場合、無線LANの電波混線を防ぐために、SSIDによってアクセスポイントを識別します。端末機器は、通信範囲にある複数のアクセスポイントからSSIDの情報を受信して、セキュリティキーの入力をするか、SSIDのリストから選択することで接続することができます。無線LAN(Wi-Fi)の識別子は他にも、ローカルに46ビットの乱数からMACアドレスとして生成、管理されるBSSID(基本サービスセット識別子)などがあります。

SSH

SSHとは、Secure Shell(セキュアシェル)の略称で、リモートコンピュータと通信するためのプロトコルです。認証部分を含めネットワーク上の通信がすべて暗号化されるため、安全に通信することができます。従来は、TelnetやFTPなどの手法でリモート通信が行われていましたが、これらはパスワードを暗号化のない平文で送信してしまうため、盗聴のリスクがありました。SSHでは公開鍵暗号を利用し、共通鍵を暗号化して鍵交換を行っています。また、通信自体は高速な共通鍵暗号を使用しているため、速度低下を抑えることが可能です。認証の仕組みもパスワード、公開鍵、ワンタイムパスワードなど多様化してきており、適切な認証方法を選択できます。SSHはAndroidやiOSにも実装されているプロトコルのため、ネットワークにSSHの利用環境が整備されていれば、スマートフォンやタブレットから容易にリモート接続が可能となります。スマートデバイスの所有があたり前になりつつある昨今では、ビジネスでも大きな利用価値が生まれ、大企業向けのルーターなどではSSHを実装したものも販売されています。

SSL

SSLとは、Secure Sockets Layer Webの略称で、ブラウザーとサーバー間で安全に通信するために、ネットスケープ・コミュニケーションズ社によって開発された世界標準のセキュリティーテクノロジーです。IETFにより「TLS(Transport Layer Security)」という名称で標準化も行われています。証明書によるサーバー認証と、Webブラウザーとサーバー間での通信内容を暗号化するという2つの機能を持ち、HTTPに限らずTelnetやFTP、SMTPなどのさまざまなアプリケーションプロトコルの暗号化に利用できます。特に、インターネット・ショッピングなどで、個人情報や決済情報などをやりとりするときに使われており、SSLを使用しているWebサイトでは、URLが「https://」で始まります。

ftp pasv

FTP PASVとは、FTPでデータ転送するとき、クライアント側からデータ転送用の接続をする方式のことです。FTPでは、制御用ポートとデータ転送用ポートの2ポートの伝送路を使用します。アクティブモードでは、クライアントから制御用ポートを使ってFTPの要求がくると、サーバー側からデータ転送を始めようとするのですが、クライアント側のファイヤーウォールによってFTP接続ができないことがあります。これを回避して、FTPを安全に行うためのモードがパッシブモードです。パッシブモードでは、サーバー側から指示があったデータ転送のポートを使い、クライアントの方からサーバーにデータ転送の開始を要求するため、クライアント側のファイヤーウォールによって通信が拒絶されることなくFTPを行うことができます。

オンラインストレージ

オンラインストレージ(Online storage)とは、クラウドストレージ(Cloud storage)とも呼ばれ、インターネット上でファイルを保管する場所を指します。サービス会社が提供しているサーバー上のディスクスペースにファイルをアップロードすることで、インターネット上にファイルを保存することができます。与えられたディスクスペースやアップロードしたファイルは、ID・パスワードなどのログイン情報で保護されおり、共有設定の変更なしで外部へ公開されることはありません。よくある用途としては、大容量ファイルの保存・転送や複数人で作業するための共有スペースとして利用されます。外出先の端末からでも手軽にアクセスできるため、サービスを導入する企業が増えています。

カ行

仮想化サーバ

仮想化サーバーとは、1台の物理サーバーの中で運用される、複数のサーバーのことです。原則として1台の物理サーバーは、1つのOSやアプリケーションしか実行できません。それを1台のサーバー内で複数のサーバーに分割する(仮想化する)ことで、それぞれの仮想化サーバー内で別々のOSやアプリケーションを使用することが可能となります。稼働率が悪かった個々の物理サーバーを1台の仮想化サーバーへ集約することで、稼働率を向上できるなど、サーバーリソースの有効活用が期待できます。また、管理する物理サーバーの数を削減できるため、企業にとっては設置スペースの削減や消費電力、運用コストの低減につながることも大きなメリットです。

クラッカー

クラッカー(Cracker)とは、コンピュータについての専門的知識や高度な技能を悪用して、他者のネットワークへ不正侵入、データの改ざん、破壊をしたりする者のことです。別名、ブラックハットとも呼ばれており、クラッカーが悪意を持って行った不正行為は、「クラック」や「クラッキング」と呼ばれています。似ている用語で、「ハッカー」と呼ばれる場合があります。しかし、ハッカーは「コンピュータに関する専門的な知識や高度な技術を持った者」を指す言葉であり、必ずしも悪行を働くわけではない点が相違点です。用語が浸透する過程で、技術を悪用する者が「ハッカー」と呼ばれるようになったため、情報セキュリティの分野では、悪意のある者はクラッカーとして、ハッカーと区別するべきだという声も増えています。

クラウドストレージ

クラウドストレージ(Cloud storage)とは、オンラインストレージ(Online storage)と同意義の言葉です。インターネットを経由して、さまざまなファイルを保管するサービスのことを指します。サービス提供会社が貸し出しているサーバーのディスクスペースにファイルをアップロードすることで、ユーザーはインターネット上にファイルを保存することができます。自社のファイルサーバー構築の手間が省けるだけでなく、低コストでクラウド上にデータを保存することができます。また、容量が足りなくなった場合は、必要な分だけ容量を増やすことも可能です。導入している企業では、ファイルサーバーとしての用途が多くなっています。

クロスサイトスクリプティング

クロスサイトスクリプティング(XSS)とは、主にPHPやjavaScriptなど、動的なWebページの脆弱性やそれを利用した攻撃のことです。クロスサイトスクリプティングは、3種類の攻撃方法に分類することができます。
1つ目は、不正データを標的サイトのデータベースやログなど、データストアに蓄積させる格納型(持続型)XSS攻撃です。
2つ目は、メールやサイトに悪意のあるリンクを掲載し、それをユーザーに踏ませてブラウザ上でスクリプトが実行される反射型XSS攻撃です。
3つ目は、ブラウザなどのWebアプリケーションでWebページを表示した際に、意図しないスクリプトをWebページへ出力してしまうDOM-based XSS攻撃です。前述の2つと違い、Webアプリケーション側で攻撃を感知できません。XSSへの対策としては、動的な操作をした際にhtmlで意味を持つ記号を別の文字列に置き換える、即ちエスケープ処理をする対策方法などがあります。

クロス サイト リクエスト フォー ジェリ

クロスサイトリクエストフォージェリとは、Webサイトの攻撃手法の一種で、悪意のあるスクリプトやURLにアクセスさせることで、意図しないサイト上の操作を行わせます。正規ユーザーが本来想定されている操作を行ったかのようにリクエストを発生させることができます。クロスサイトリクエストフォージェリによる代表的な被害としては、掲示板への意図しない書き込みや、ショッピングサイトで買うつもりの無い商品を買ってしまうといったものです。クロスサイトリクエストフォージェリは 、Webアプリケーション全体に影響が及ぶので、設計段階から対策を行う必要があるのですが、その対策は全ての画面で行うわけではなく、パスワードの変更など重要な処理を行う画面を選んで対策を行います。

公開鍵暗号方式

公開鍵暗号方式とは、情報を第三者が解読できない暗号に変換することで、インターネット上での安全な情報のやり取りを可能にする暗号化技術のひとつです。元の文を暗号化するときの暗号鍵と、暗号文を復号するときの復号鍵を別にする非対称鍵方式の暗号アルゴリズムで、暗号化には、誰もが入手できる公開鍵を使い、復号には、自分だけが持てる秘密鍵を使用します。ただし、公開鍵は誰でも入手できるため、それが間違いなく本人のものであると証明する必要があります。そこで、認証局という信頼できる第三者機関を設けて、公開鍵の正当性を担保しています。これにより、データの盗聴や改ざん、なりすましなどの防止が可能です。復号のための鍵をやり取りする必要がないため安全性が高く、非対称鍵暗号とも呼ばれています。

公開鍵証明書

公開鍵証明書とは、証明書利用者の本人性を証明する証明書を指します。公開鍵暗号では、受信者のためにメッセージを暗号化するのに用いる公開鍵が、正当なものか、他人のものでないか、また改ざんされていないかということを検証する必要があります。これを確認するために公開鍵証明書が使用されます。公開鍵暗号方式を使って構築された認証システムは、利用者が持つ公開鍵証明書を使って、本人の確認を行って信頼を確保します。公開鍵は、信頼できる機関によって発行されていることを表すために、発行した機関の名称、有効期限、利用者に関する情報、公開鍵暗号で使用している暗号アルゴリズム、ハッシュに使用するアルゴリズムなどが含まれています。電子商取引では、本人確認ために公開鍵証明書は欠かせない要素の一つです。

コマンド プロンプト

コマンドプロンプトとは、コマンド(命令)をプロンプト(促す)するものという意味で、コマンドと呼ばれる命令文を用いてWindowsの設定やファイル操作を行うことができるプログラムのことです。通常のPC操作では、マウスでカーソルを移動したり、目的のメニューをクリックしたりします。一方、コマンドプロンプトは、キーボードからコマンドと呼ばれる命令文を入力して操作します。マイクロソフト社のWindows OSや、アップル社のMac OSがアイコンやボタンなどを使って直感的に操作していくGUI(グラフィカル・ユーザー・インターフェース)であるのに対して、文字による命令を入力することからCUI(character user interface、キャラクター・ユーザー・インターフェース)やCLI(command line user interface、コマンドライン・ユーザー・インターフェース)とも呼ばれます。コマンドをうまく利用すれば、PCの作業スピードを格段にスピードアップすることが可能です。

コンテンツフィルタリング

コンテンツフィルタリングとは、インターネットを通じて出入りする情報を、事前に設定した条件をもとに遮断する技術のことです。端末ごとに設定する方法と、ネットワークの出入り口にあるプロキシサーバーなどの通信機器で排除の条件設定をする方法の2種類があります。端末ごとに設定する方法の例として、子供のPCやスマートフォンが不適切なサイトへアクセスできないように保護者が設定することなどが挙げられます。後者の方法の例としては、企業や学校などが社員や学生がコンピュータの私的利用をしないようにネットのアクセス制限をしたり、セキュリティの向上のために設定することが多くあります。フィルタリングの手段にも2つの種類があり、事前に接続するサイトを制限するURLフィルタリングと、ページのコンテンツ内容をリアルタイムでアクセス制限をする動的コンテンツフィルタリングに分類されます。

サ行

サイバー 攻撃

サイバー攻撃とは、サーバーやPCなどのコンピューターシステムに通信インフラから侵入し、そのシステムのデータの改ざんや破壊、そしてデータを盗むことです。攻撃対象が公共機関や国家の場合には「サイバーテロ」と呼ばれます。特定の企業や国家、そして個人を対象にする場合もあれば、不特定多数を無差別に攻撃する場合もあります。目的も様々で、金銭目的の場合もあれば、社会的・政治的な理念にもとづいて攻撃する場合などもあります。サイバー攻撃の種類にはブルートフォースアタック、DOS攻撃、BOF攻撃、セッションハイジャック、OSインジェクション、SQLインジェクション、クロスサイトスクリプティング、ルートキット攻撃などがあります。

サンドボックス

サンドボックスとは、有害なプログラムを保護された領域で開くことにより、システムに出る不具合を防ぐセキュリティ機構です。サンドボックス内で実行されるプログラムは他のプログラムデータから遮断されて動作するため、コンピュータ内のシステムには影響が出ません。有害なマルウェアは常に増え続けており、すべてに対応策を練るのは現実的ではありません。また、ひとつのマルウェアに対策プログラムを開発すれば、その対策をかい潜るマルウェアが開発されるなど、終わりがないことが現状です。そのため、コンピュータ内に攻撃されても問題ない「砂場」を作り、その中で疑わしいファイル・プログラムを実行しよう、というのがサンドボックスの基本的な考え方です。

CGIスクリプト

CGIスクリプトとは、「CGIプログラム」のうち、Perl、awk、sh などコンパイル作業が不要なスクリプト言語で記述されたもののことです。現在、ほとんどのWEBページでは、なんらかのCGIを動かしていますが、CGIスクリプトを利用することにより、よりインタラクティブなページを作ることができ、 通常とは違ったサービスを提供することができるようになります。CGIスクリプトを利用する際に必要となってくるのは、CGIスクリプト設置が可能なサーバ、CGIスクリプトを編集するために必要なテキストエディタ(Windowsに付属のメモ帳などでOKです)、あとは、CGIスクリプトをサーバにアップするFTPソフトなどです。

辞書攻撃

辞書攻撃とは、辞書に載っている単語を、次々と試すことでパスワードを解読する解析方法のことです。本来、パスワードは、利用者自身とは全く関係のない無意味な文字列が望ましいのですが、パスワードを忘れてしまうことを防ぐために、辞書に載っているような単語や、身の回りの名前や番号などを利用することが多々あります。辞書攻撃は、このような単語を、次々と試して行くことにより、パスワードを解析します。また、辞書攻撃では、辞書に載っている単語に数字を加えたものや、大文字と小文字を混ぜたもの、さらには単語を逆から綴ったものなども、パスワードの候補として試す仕組みになっています。対処法としては、人名や意味のある単語をパスワードに用いないことや、記号や数字などをランダムに組み合わせることなどが挙げられます。

ショルダーハック

ショルダーハックとは「ショルダー=肩」、つまり「肩越しにハッキングする」という意味で、相手のタイピングやディスプレイを盗み見て、パスワードなどの重要な情報を盗み出すハッキング手口のことです。パソコンをはじめ、ほとんどのハードウェアやソフトウェアにセキュリティ機能が装備されるようになり、重要な情報を守れるようになりつつあります。しかし、パソコン操作そのものは無防備に行ってしまいがちです。社員や清掃業者、宅配業者などを装って、ショルダーハックを行うことは映画やドラマの話ではなく、身近に起こります。入退出管理を厳密に行い、情報が漏れることを防ぐ必要があります。また、机の上のメモやディスプレイに貼り付けた付箋から情報が漏れる可能性もあるので注意が必要です。

シンクライアント

シンクライアント (Thin client) とは、ユーザーが利用するクライアント端末に最低限の処理のみをさせて、それ以外をサーバー側に処理させる仕組みです。つまり、クライアント端末はサーバー側で処理された結果を画面に表示するだけで、データを端末内に一切保持しません。処理方式には、画面転送型、ブレードPC型、ネットワークブート型の3種類に大きく分類されます。シンクライアントシステムは当初はあまり普及しませんでしたが、近年多発している情報漏えい(企業内で管理している個人情報などが外部に流出すること)対策の手段としても注目を集めています。一方で、サーバーに接続して仮想化デスクトップを利用することに特化しているものをゼロクライアント(Zero client)と呼びます。

シングルサインオン

シングルサインオンとは、1回の認証で複数のシステム(アプリケーション)・サービスにアクセスできることです。1回の認証でアクセスできるということは、複数のユーザーが持つIDとパスワードを統一する必要があります。
社内システムや外部クラウドサービスにおいて、管理者・利用者の手間を省くために導入されるケースが多くなっています。これにより、1つのID/パスワードを管理するだけで、複数のシステム・サービスにログインできます。また、シングルサインオンの手法は、主に「リバースプロキシ方式」「エージェント方式」などがあります。
リバースプロキシ方式は、プロキシサーバがユーザーからの認証を受け付けます。ユーザーをプロキシ経由で接続させる方式で、認証サーバとのやり取りもプロキシサーバが行います。
エージェント方式は、シングルサインオンサーバーと認証サーバーで認証のやり取りを実行して、その後ユーザーがシステムに直接接続できる方式です。アクセスするシングルサインオンサーバーにエージェントソフトをインストールしておく必要があります。

侵入検知システム

IDSとは、Intrusion Detection Systemの略称で、情報システムに対する不正行為や 情報システムの異常を検出し、ファイルやデータベースなどに記録する侵入検知システムのことです。例えば、ファイアウォール前に置かれたIDSは、ネットワーク上を流れるトラフィックを監視していて、不正アクセスと思われるパケットを検知すると、システム管理者に通知します。不正アクセスのパケットなのかの判断は、シグネチャと呼ばれる攻撃パターンのデータベースを使用します。この侵入検知の通知を受けて、管理者は、例えばファイアウォールのフィルタリングを強化して攻撃に備えます。情報システムに依存する組織にとって 不正行為などにより発生する不正アクセス事故は,業務の継続性にも影響を与えかねない深刻な脅威であり,IDS はこれらを速やかに発見,防御できる情報システムの一つです。

SYNフラッド攻撃

SYNフラッド攻撃とは、サーバを機能停止に追い込むDoS攻撃の手法の一つです。TCPで接続を確立するには、クライアントがサーバにSYNパケットを送信し、サーバがクライアントにACKパケットを返信し、最後にクライアントがACKパケットを送り返すという手順を踏みます。最後のACKパケットが届くまでサーバ側は応答待ちのまま待機することになり、その接続のためにメモリ領域などのリソースを開放できなくなります。悪意のある攻撃者が大量のSYN要求を送信し、わざとACKパケットを送らずに放置すると、サーバ側の応答待ちの接続数が限界を超え、新たに接続を受け付けられない状態になります。TCPの接続手順を変えるわけにはいかないため、根本的な防御方法はありませんが、同じIPアドレスから何度も繰り返しSYN要求が送られてきたら、接続を拒否するなどの設定を行うことで、かなりの割合で攻撃を回避することが可能です。

スクリプト キディ

スクリプトキディとは、インターネット上で公開されている操作が簡単なクラックツールを利用して、システムの脆弱性を利用して攻撃やいたずらを行う人のことです。一般にクラッカーは自分自身でシステムの脆弱性を調査したり、攻撃方法を開発したりしてその腕を競い合っていることが多いのですが、対照的に、クラッカーが発見した脆弱性や攻撃方法を利用してシステムに不正に侵入したり、興味本位にいたずらを行ったりする人々がスクリプトキディにあたります。クラックツールはすでに広く知られているセキュリティホールを悪用するように作成されているため、セキュリティパッチを適切に用いることで、ほとんどのスクリプトキディによる攻撃は防止することができます。

ストレージ

ストレージ(Storage)とは、データを保管、保存する場所です。ストレージにはさまざまな種類があり、コンピューターやスマートフォン、タブレット端末などの内部に設置された、内蔵HDD(ハードディスク)や内蔵SSD(ソリッドステートドライブ)を「内部ストレージ」、または「内蔵ストレージ」と呼びます。逆に、外付けHDDやmicroSDなどの取り外しが可能な記憶装置のことを「外部ストレージ」と呼びます。「内部ストレージ」は保存容量を増やすことはできませんが、「外部ストレージ」は容量の大きいものに変えることで、保存容量を増やすことが可能です。また、インターネット上のサーバーにデータの保存ができるものは「オンラインストレージ」や「クラウドストレージ」と呼びます。

ストレージサーバー

ストレージサーバー(Storage server)とは、自身の管理している記憶装置(ストレージ)を、ネットワークを通じて他のコンピューターと共有することのできるコンピューターのことです。「ファイルサーバー(File server)」とも呼ばれます。ストレージサーバーにあるファイルは、簡潔に言い表すと「共同のファイル置き場」のようなもので、許可されていれば誰でも他のコンピューターを通して読み書きが可能になります。ストレージサーバーはアクセス権限を個別に設定することが可能であり、原則としてインターネット上では公開されない領域でデータを管理するため、オフィスで使用する書類やファイルなどの一括管理に最適です。

スパイウェア

スパイウェアとは、情報を盗むことを目的としたソフトウェアです。ユーザーのPC上での行動や個人情報などを監視し、感染したPC上でのユーザーに気づかれないように情報を盗み悪用することです。スパイウェアはウイルスと異なり、情報を盗むことを目的としているため、感染したことに気づきにくいことや、繁殖しないため他のパソコンに感染しないことが特徴です。スパイウェアの種類にはキーロガー、アドウェア、ブラウザハイジャッカー、リモートアクセスツール、リモートアクセスツール、ダイヤラーなどの種類があります。感染しないようにするためには、ウイルス対策ソフトが効果的です。もしも感染してしまった場合には、ウイルス対策ソフトを利用したり、インストールした覚えのないソフトウェアを自己判断で削除する必要があります。

スマーフ攻撃

スマーフ攻撃とは、攻撃対象のコンピュータに対して、大量の偽のパケットを送りつける攻撃手法です。Pingコマンドで利用するICMPというプロトコルを使いIPアドレスを偽造し、ターゲットへ大量のパケットを送りつけ、コンピュータの機能を停止させるDoS攻撃の一種です。Pingコマンドとは、特定のホストコンピュータへの接続を確認する手法のことです。送信者はエコーリクエストを送り、相手はエコーリプライを投げ返します。この一連の流れによりホストコンピュータへの接続を確認することができますが、スマーフ攻撃ではこれを悪用して攻撃が行われます。スマーフ攻撃はエコーリクエストの送信元IPアドレスを攻撃対象のアドレスに改ざんし、相手のコンピュータに大量のエコーリクエストを送信します。これに対して相手のコンピュータは大量のエコーリプライを送り返す必要があるため、大きな負荷が発生し、機能停止に陥るというわけです。

脆弱性

脆弱性とは、コンピュータソフトウエア・ハードウエア・およびシステム全般のセキュリティ上における欠陥のことを指し、セキュリティホール(安全性欠陥)とも呼ばれます。欠陥の原因として挙げられることは、開発時の設計ミスやシステムの不具合などです。脆弱性が悪用されると、本来不可能な遠隔操作が可能になってしまいます。それによって情報の流出にもつながり、悪意のある第三者からの不正アクセスやウイルス感染の危険が考えられます。脆弱性を完全に無くすことは難しいため、脆弱性が発見された場合、開発者側は欠陥を改善した更新プログラム(パッチ)を配布します。つまり、ユーザーは更新情報を確認し、迅速にアップデートを行う必要があります。

セキュリティ ホール

セキュリティホールとは、ソフトウェア(OS、ブラウザ、表計算ソフトなど)において、システムの設計ミスやプログラムの不具合が原因で発生した「情報セキュリティ上の欠陥」のことです。「脆弱性」とも呼ばれます。セキュリティホールを修正しないままコンピュータを使用していると、社内システムへ不正に侵入され、重要なデータを改ざん・盗難されたり、ウイルスに感染したりするといった危険が非常に高くなります。セキュリティホールが発見されると、ソフトウェアを開発したメーカーは修正プログラム(パッチ)を作成して提供を行います。つまり、ユーザーは迅速にソフトウェアのアップデートを行い、セキュリティホールへの対策を打つことで、コンピュータの安全性を保持することができます。

セキュリティポリシー

セキュリティポリシー(情報セキュリティポリシー)とは、企業や組織内の情報セキュリティ対策について、方針・体制・対策など、総合的・体系的、かつ具体的に取りまとめた行動指針です。
セキュリティポリシーには、企業や組織全体の社内規定・規則など、「情報セキュリティの必要性」「情報セキュリティに対する方針と考え」「顧客情報の取り扱い」などを具体的に記載します。
セキュリティポリシーを制定する際に重要なことは、担当者だけがセキュリティ対策を心掛けるのではなく、情報資産を取り扱うすべての従業員が情報セキュリティへの高い意識を持つことです。そうしなければ、情報漏洩やウイルスなどから組織を守ることは難しいでしょう。セキュリティポリシーは「制定している」「存在する」だけではなく、実行しなければ意味がありません。

ソーシャル エンジニアリング

ソーシャル・エンジニアリングとは、人間の心理を巧妙に利用したり、作業ミスにつけ込んだりすることで、相手の持っている情報を入手したり特定の行動を取らせたりすることです。焦りを感じる状況を作り出すなどの手法を用い、正しい判断ができない状態の人間から、情報を盗み出します。旧来から行われている手法の1つが、ネットワークの管理者などになりすまし、パスワードを電話で聞く手法です。また、パスワードなど重要な情報を入力している後ろから情報を盗み見る「ショルダーハッキング」もソーシャル・エンジニアリングの1つです。ゴミ箱に捨てられた資料から情報を抜き取る「トラッシング」と呼ばれる手法もあります。情報を抜き取られると企業のセキュリティを脅かすことになるため、情報漏えいしないようパスワードや資料の管理などについては、予めルールを決めておくことが重要です。

タ行

DMZ

DMZとは、DeMilitarized Zone(非武装地帯)の略称で、外部ネットワークと社内ネットワークの中間につくられるネットワーク上のセグメント(区域)のことです。隔離されたDMZ内にサーバーを設置することにより、インターネット・DMZ・イントラネットのいずれを通る際にも、ファイヤーウォールを通過しなくてはならなくなります。これによって、外部から不正アクセスが試みられてもファイヤーウォールであらかじめ阻止することができます。その領域が攻撃によって乗っ取られたり(リモートハッキング)しても、もうひとつのファイヤーウォールによって内部ネットワークへの侵入を防ぐことができ、不正侵入された後のマルウェアの感染拡大を防ぐことができたり、業務システムなどへの侵入による機密情報の漏洩を防止することが可能になります。

dlp

DLP(Data Loss Prevention)とは、社内のシステムから外部への情報漏えい防止のために、機密情報のアクセスや特定の操作を監視する仕組みのことを指します。従来の情報漏えい防止対策は不正なユーザーに対する制御・監視を行うことがメインであったため、正規ユーザーの不注意や誤操作、故意による情報持ち出しが防ぐことができませんでした。それに対してDLPではユーザーに対するアクセス制御ではなく、機密情報を自動的に検出し、機密情報が含まれるファイルの利用制限や利用状況の監視などをすることで操作をブロックし、情報の漏えいを防ぎます。また機密情報は事前に定義しておき、社内の情報網をスキャンすることで機密情報を特定することが可能です。

tcp wrapper

TCP wrapperとは、UNIX系ホストコンピュータ向けのセキュリティソフトで、コンピュータにシステムの一部として常駐し、ネットワークを通じて提供されるサービスを管理して通信履歴を保存するソフトウェアのことです。UNIX上で動作するプログラムはTCP/IPというプロトコルを使ってさまざまなサービスを提供しますが、TCP wrapperはこれらのプログラムが外部と交信する際に用いるTCPポートをすべて把握し、通信履歴の保存やアクセスの制御を行います。TCP wrapperを使うと、外部からのアクセスを受け付けるポートの指定、その許可する程度などを細かく指定できます。また、提供するサービスの制限や、通信を受け付けるIPアドレスの制限といったフィルタリングを、サービスごとに設定することも可能です。

デジタル 署名

デジタル署名とは、送られてきたデータの送信元が間違いないか、伝送経路上でデータが改ざんされていないかを確認するための技術です。デジタル署名では、公開鍵暗号方式を利用します。具体的には、送信する情報からハッシュ関数というプログラムを使ってメッセージダイジェストと呼ばれるデータを作り、これを送信者の共通鍵(秘密鍵)で暗号化したものをデジタル署名と呼びます。送信者は、送信するデータと一緒にデジタル署名を送ります。受信者は、情報と一緒に送られてきたデジタル署名を送信者の公開鍵で復号して、メッセージダイジェストを入手し、同時に受け取った情報をもとに、送信者が使ったものと同じプログラムでメッセージダイジェストを作り出します。両方のメッセージダイジェストが同じものであれば、間違いなく本人が送ったもので、途中で改ざんもされていないということが証明されます。

DDoS攻撃

DDoS攻撃(Distributed Denial of Service attack)は、サーバーやネットワークを妨害する攻撃、DoS攻撃の一種です。「分散型サービス妨害攻撃」とも呼ばれています。DoS攻撃の場合は1つのマシンから1つのサービスに過剰なアクセスをすることにより負荷をかけますが、DDoS攻撃の場合は攻撃者が大量の第三者のマシンを不正に乗っ取り、その大量のマシンから一斉に攻撃を行います。攻撃元のマシンが大量に存在するため攻撃元の特定が難しく、対策が打ちにくいのが現状です。対策の1つとしては、乗っ取られる第三者のマシンは国内ではなく海外のものが多いため、サービスの提供対象が国内である場合は、海外からのアクセスを制限するという手段も存在します。

デフォルト アカウント

複数のアカウントを登録して切り替えて使用する場合に、特に指定がないときに優先的に利用されるアカウントのことをデフォルトアカウントと呼びます。また、コンピュータの起動時に自動的に実行されるソフトウェア(常駐ソフトやデーモン、サービスなど)がある場合に、特に管理者による指定や変更がないときに利用するようあらかじめ設定されたアカウントのこともデフォルトアカウントと言います。デフォルトアカウントのユーザー名とパスワードは、ソフトウェアの提供元から一意に決められているため、誰でもアクセスができるようになっているケースが多々あります。誰でもアクセスできるということは、悪意を持った攻撃者であってもアクセスできるという事でもありますから、デフォルトアカウントのユーザー名やパスワードは、変更または削除する方が良いでしょう。

dos 攻撃

DoS攻撃(Denial of Service attack)は、サービスの継続的稼働を侵害または停止させる攻撃のことです。「サービス妨害攻撃」とも呼ばれます。DoS攻撃の種類は、ネットワークやサーバーに対して意図的に大量のデータを送り込み負荷をかけることでシステムを利用不能にさせる攻撃と、脆弱性を突いて例外処理をさせることで利用不能にさせる攻撃の2つに分類されます。過去、大手サイトがDoS攻撃を受け、サーバーがダウンしたりサービスが不能の状態になったりする事件が起きており、攻撃者が逮捕された事例もあります。このDos攻撃を防ぐ技法としては、不正とみられる特定のアクセスを制御する方法や、そもそものデータの通信量を制限する帯域制御などが存在しています。

トロイの木馬

トロイの木馬とは、マルウェアと呼ばれる「プログラムを不正かつ有害に動作させる悪意のあるソフトウエアやコード」の一種です。コンピューターの内部システムを破壊したり、外部から不正なアクセスを手助けしたりと、利用者の同意を一切得ずに不正な動作を起こします。トロイの木馬にはさまざまな種類があり、バックドア型、パスワード窃盗型、クリッカー型、ダウンローダ型、ドロッパー型、プロキシ型がよく見られます。感染してしまった場合の対策としては、セキュリティソフトをインストールして、スキャン・駆除する方法を採ることが一般的です。しかし、このような悪意のあるプログラムは膨大な数で存在するため、セキュリティソフトがインストール済みでも、定期的に更新をしていないと感染してしまう場合があります。

ハ行

パーソナルファイアウォール

パーソナルファイアウォールとは、コンピュータと外部ネットワークの通信を制御するアプリケーションのことです。主に個人利用のパーソナルコンピュータを対象としており、外部ネットワークからの侵入およびコンピュータ内部からの外部ネットワークへの通信を検知、遮断することを目的とします。 形態としては、単体のソフトウェア製品以外にも、アンチウイルスソフトウェアやアンチスパイウェアと組み合わせたセキュリティースイート、オペレーティングシステムの機能として組み込まれているものもあります。ブロードバンドルーターを使用していない場合や、公衆無線LANなどに接続する場合には、パーソナルファイアウォールの利用が特に重要になります。

パケットフィルタリング

パケット フィルタリング(Packet filtering)とは、パケットと呼ばれるデータの塊を検査し、それを通過させても良いかどうかを、指定した条件で判断する機能を指します。主にLAN用のルータやファイアウォールに搭載されている機能です。ネットワークの管理者は、どのような方針でパケットを通過させるかを事前に設定しておきます。その条件に合わせて、パケットの先頭データにある送信元情報や送信先情報、ポート番号、そしてプロトコルと呼ばれるあらかじめ決められた手順情報を参照し、フィルターが掛けられます。人が事前に登録した条件で判断するフィルタリングのほかに、動的フィルタリングや状態監視フィルタリングなどの高度なフィルタリング技術があります。

バックドア

バックドア(Back door)とは、コンピュータへの正規の通信経路や通信手段を介さずに、システムへ侵入するための接続経路のことです。その名の通り、コンピュータにおける「裏口」のことを指します。侵入者が一度コンピュータへの侵入を成功させた際に、再び同コンピュータへ容易にアクセスできるように別経路を仕掛ける行為のことそのものを指す場合もあります。バックドアに気づかずにいると、知らず知らずの間にコンピュータ内部のファイルやシステムに侵入され、情報が持ち出される危険性があります。バックドアの対策として、OSをアップデートしたり怪しげなソフトウェアやアプリケーションを安易にダウンロードしないようにすることが、一番有効な手段と言われています。

バックオリフィス

バックオリフィスとは、リモートでWindowsマシンを制御するソフトウェアで、イタズラやファイルの破壊・改ざんを目的として仕掛けられるクラッキングツールの一種です。バックオリフィスは、クライアントとサーバから構成されており、クライアントとなる部分は、インターネットを通じて第三者のコンピュータに進入します。クライアントプログラムは電子メールの添付ファイルの形で送られ、ユーザーが添付ファイルをうっかり実行してしまうと、「乗っ取り」を行うプログラムがインストールされます。実行可能なリモートアクセスとしては、アプリケーションの起動、キー操作の記録、ファイルの閲覧や送受信、さらにパスワードの盗聴などがあります。

パッチ

パッチとは、ソフトウェアの不具合の修正や小規模な更新をするために用いられる、差分ファイルや修正プログラムのことです。大規模なソフトウェアなどでは、プログラムがバージョンアップするたびに、プログラム全体を入れ替えるのは効率が悪いため、変更のあった部分だけを抜き出し、パッチとして配布することで、古いファイルを最新の状態に更新するという手法がよく用いられます。パッチは、開発元や販売元からインターネットなどを通じて利用者によく無償で配布されます。プログラムのバグを修正するために、実行形式のファイルを直接書き換えることを「パッチを当てる」といいます。また、コンピューターウイルスやクラッキングの攻撃を受けないよう安全性を高めるためのものを特に「セキュリティーパッチ」と呼んでいます。

バッファオーバーフロー

バッファオーバーフロー(バッファオーバーラン)は、コンピュータのプログラム上で、設計者が意図していないメモリ領域にバグが起きることです。このバグが発生すると、深刻なセキュリティホールになります。バッファオーバーフローが生じた場合には、コンピューターのプログラムは至急改善する必要があります。
主な原因としては、処理する情報量がバッファ領域を超えたことにより、CPUがバッファ領域を超えた情報を格納してしまうことが挙げられます。このような状態になるとメモリ上の不正な場所に情報を格納する症状が発生します。そのため、プログラムが誤作動を起こして、プログラムに不具合が生じてしまいます。
このような症状が起きないようにするためには、バッファにデータを保存する際に、データサイズがバッファを超えないように注意しましょう。標準関数のなかで、バッファサイズをチェックせずコピーする関数は、最初から使用しないことが大切です。

ハングアップ

ハングアップとは、コンピューターやソフトウェアが動作中に機能停止、あるいは正常に機能しなくなった状態のことです。フリーズと同じ意味で使われることがあります。フリーズは完全に機能が停止することに加えて、一時的な停止状態や長時間処理が掛かる状態です。
原因としては、ハードウェアの問題、ソフトウェアの問題、周辺装置の設定不備など、さまざまです。このような状態になった場合には、操作自体を行うことが不可能なため、強制終了する必要があります。Windowsでは[Ctrl]+[Shift]+[Esc]キー、Macでは[command]+[option]+[esc]キーを押すとアプリケーションを強制終了できます。

pki

pkiとは、Public Key Infrastructureの略称で、公開鍵暗号技術と電子署名を使って、 インターネット上で安全な通信ができるようにするための環境のことです。データの盗聴や改ざんを防ぐためのインフラとして近年注目が高まっています。公開鍵暗号技術では、誰もが入手できる公開鍵で通信データを暗号化し、自分だけが持つ秘密鍵で復号しますが、その相手が間違いなく「本物」である必要があります。PKIでは、認証局(CA)という「信頼できる」認証機関を設けて、電子署名による電子証明書とともに公開鍵を発行、管理し、通信相手の正当性を証明する仕組みを提供します。これにより、通信データの盗聴や改ざんを防ぐだけでなく、通信相手のなりすましを防止することができます。

PGP

PGPとは、Pretty Good Privacyの略称です。米国のフィリップ・ジマーマン氏が開発した暗号技術で、電子メールなどの署名・暗号化に使われています。公開鍵と秘密鍵という2つの鍵でそれぞれ暗号化と復号を行なう公開鍵暗号アルゴリズムを用いて、メッセージの暗号化を行ないます。公開鍵暗号方式のメリットは、秘密鍵を移動させる必要がないため情報漏洩を防げること。そして受信者側の場合、毎回鍵を生成する必要がないことです。デメリットは暗号化や復号化の速度が遅い点です。PGPの暗号化方式を標準化した仕様は「OpenPGP」と呼ばれ、IETFによって1998年にRFC 2440として公開されました。これにより、オリジナルのPGPソフトウェア以外にも、GNUプロジェクトによるオープンソースソフトウェアGnuPG(GPG、GNU Privacy Guard)など、様々なソフトウェアの暗号化にPGP方式が取り入れられるようになりました。

ヒューリスティック スキャン

ヒューリスティックスキャンとは、アンチウィルスソフトなどで採用されているコンピュータウィルスの検知手法のうち、プログラムの動作パターンを分析してコンピュータウィルスか否かを判別する手法のことです。「発見的方法による検知」という意味で、人間が行うようなさまざまな試行錯誤を行ってウイルスを見つけます。ヒューリスティックスキャンの特長は、システム領域やDLLの書き換えなど、通常のプログラムが実行しないようなウイルス特有の挙動を検知してウイルスを発見することにあります。これにより、ウイルス定義ファイルに記述されていない未知のウイルスであっても検知が可能になります。
ただし、ウイルス誤認の確率はパターンマッチング式よりも高くなります。これは、ウイルスと思われる挙動を原理にして検知しているためです。

標的型攻撃

標的型攻撃とは、ネットワーク上で行われるサイバー攻撃の一種です。ネットワーク経由で行われるサイバー攻撃の多くが無差別に不特定多数のユーザーを対象としていることに対し、標準型攻撃は特定の組織、情報をターゲットとしています。公的な機関や製造業の企業が狙われるケースが多いです。愉快犯的に不特定多数のユーザーへの被害を与えるサイバー攻撃とは異なり、何らかの目的の下に行われます。そのため、ほとんどがプロフェッショナルによる犯行と考えられます。攻撃は、ウイルスが添付された偽装電子メールから始まることが一般的です。添付されるウイルスは、対策プログラムで検出できないことを事前に確認されているため、不用意に開いてしまう被害に遭ってしまいます。

ファイアウォール

ファイアウォールとは、外部ネットワークからの攻撃など、望まないアクセスから防御するためのソフトウエアやハードウエアのことを指します。防御したいアクセスを火に例えて、ファイアウォール(防火壁)と呼ばれています。社内ネットワークを防御し、セキュリティを高める目的で使用されており、標的型の攻撃やトロイの木馬を防ぐ効果も期待されています。また、外部からの攻撃を防ぐだけでなく、内部から外部へのアクセス制限に使用されていることもあります。ファイアウォールによるアクセス制御は、パケット情報を検査して行われるものです。その防御方法には、パケットフィルタ型、サーキットレベルゲートウェイ型、アプリケーションゲートウェイ型などがあります。

ファイル サーバー

ファイルサーバーとは、ネットワークの中でメンバーがデータを保存・共有など、データのやり取りができるサーバーコンピュータのことです。ファイルサーバー上で、共有しているファイルを編集すると、メンバーは常に最新のファイルを手に入れることができ、作業効率の向上が望めます。ファイルサーバーを活用することで、メンバー個々のパソコンに格納されているデータを一元管理できる、メンバー個々のパソコンに障害が発生しても、ファイルサーバーにデータが保存されていれば復旧が容易となる、メディアを使わずにデータのやり取りができるなどのメリットがあります。ただしトラブルを避けるためには、あらかじめメンバー間で、保存するデータのルールを作っておくことが必要です。

ファイルストレージ

ファイルストレージとは、ネットワーク接続ハードディスク(NAS=ネットワーク・アタッチト・ストレージ)を利用して、ファイルやドキュメントデータの共有・保存ができる場所です。大容量のデータを、端末本体に保存せずに取り出しできることが最大のメリットです。近年では、導入費や運用費の低コスト化が可能になり、外部のオンラインファイルストレージサービスへの移行が顕著になっています。自社でハードディスクを用意してファイルサーバー環境の構築をする場合はコストが掛かりますが、セキュリティ面のリスクが低く、カスタマイズの自由度が高い点はメリットです。どちらもセキュリティ面やコスト面でのメリット・デメリットが存在するため、内容を確認してから導入・運用するべきです。

フィッシング

フィッシングとは、実在する信頼度が高い送信者(銀行やショッピングサイトなど)を装いメールを送りつけます。緊急を装う文面や、もっともらしい文面で偽のWebサイト(フィッシングサイト)に誘導した後は、IDやパスワードなどのアカウント情報を入力させて、情報を盗み出す行為です。偽のWebサイトは、実在のWebサイトと見た目が同じで区別がつかないように偽造してあり、ひと目では判別できない場合があります。URLも巧妙に偽装されており、アルファベットの「オー」を数字の「ゼロ」(o → 0)、アルファベットの「エル」を数字の「イチ」(l → 1)などと見間違えるような表示にして、偽のWebサイトに誘導されるケースが多く発生しています。

vpn ルータ

VPNルータとは、VPN(バーチャル・プライベート・ネットワーク)の規格であるPPTPやIPsecを直接通信できるルータのことを指します。最近では、初期導入時や機器交換時にルータへの設定について情報を入力する必要のない「クラウド管理型VPNルータ」なども登場しています。この「クラウド管理型VPNルータ」の利用時は、ルータ・VPN接続に必要な情報を、事前にクラウド側のVPN管理センタへ登録します。これにより、設置した際にインターネットに接続するだけで、VPN環境を簡単に構築することができます。VPNルータは主に高速大容量通信とセキュリティレベルで選ぶ事が多いですが、最大拠点接続数や利用のしやすさなども重要なポイントとなります。

フィルタリング

フィルタリングとは、Webページを評価し、一定の基準に満たないページにはアクセスできないようにする機能です。主に、青少年保護を目的として導入されます。ノートパソコンやタブレット、スマートフォンなどインターネットに接続するデバイスの多様化とともに、青少年が健全ではないWebページにアクセスするリスクが増えました。フィルタリングは、このようなリスクを軽減するために導入された技術です。アクセス制限の方式にはあらかじめ有害なサイトを決めておく「URLフィルタリング」や接続時の内容から判断する「動的コンテンツフィルタリング」があります。アダルト、ギャンブル、グロテスク、出会い、といった内容がフィルタリングの主な対象です。

vpn

「VPN(Virtual Private Network)とは、インターネット上の利用者間に確立されたプライベートなネットワークです。仮想プライベートネットワークとも呼ばれます。VPNによって接続されたコンピュータ間のデータ送受信は、暗号化、認証化によって第三者による侵入から守られます。また、パブリックなネットワークであるインターネット上に、直接接続可能なイントラネットの拡張ができることも、VPNによる恩恵のひとつです。専用通信回線では通信相手が固定となりますが、LAN間接続VPNでは多数の加入者と帯域を共有することも可能です。VPNが利用されるプロトコルは、SSH/TLS (SSL)/IPsec/PPTP/L2TP/L2F/MPLSなどが代表的です。

ブートセクタ

ブートセクタとは、ストレージ内の特殊な記憶領域のひとつで、OSを起動するためのプログラムや設定情報などが記録されたものです。記憶媒体を分割する最小の記録単位であるセクタひとつ分(通常は容量512バイト)であるため、このように呼ばれています。コンピュータウイルスの中には、ブートセクタにプログラムを寄生させて悪事を働くものもあります。またエクスプローラなど普通のツールでは見ることができないため、ここに潜んでユーザーからの削除を免れようとするものもあります。このブートセクタに感染するウイルスのことをブートセクタウィルスといいますが、ウイルスがファイル形式ではないため発見がむずかしいウイルスです。

フットプリンティング

フットプリンティングとは、ネットワーク上に存在している、コンピュータシステムに攻撃する準備として、個人や企業・団体などの情報を収集することを指します。集める情報としては、ドメイン名やIPアドレス、システムアーキテクチャー、動作しているサービスなどあります。攻撃者はこれらの情報を基に、攻撃対象のセキュリティ体制やセキュリティ上の弱点を探し出し、攻撃ルートや方法、使用するツールなどを決定します。フットプリンティングへの対策としては、公開情報(特に組織やシステムに関わる情報など)を必要最小限にし、ネットワーク不正侵入検知ツール(商用IDSやsnortなど)の活用により、攻撃者の足跡を検出するしくみを整えます。

ブラウザクラッシャー

ブラウザクラッシャーとは、Webブラウザ、またはOSの脆弱性を悪用して、動作に異常を起こすHTMLコード・スクリプト言語です。「ブラクラ」という略称で呼ばれることもあります。
ブラウザクラッシャーでよくある手口が「ウィンドウ無限表示」です。該当ページを開いた際に、新しいウィンドウが無限に立ち上がります。その他にも、JavaScriptの処理を無限ループさせるものや、過剰な負荷をかけてマシンをフリーズさせるものなどが主流です。
対策方法としては、タブブラウザを使用したり、ポップアップを事前に無効設定にしたりするなどが挙げられます。近年は不快な画像や音声・動画などにアクセスさせて、精神的な攻撃を行うことが、派生用語として「精神的ブラクラ」とも呼ばれています。

フリー アドレス

フリーアドレス(Free address)とは、社員が専用のデスクを持たずに、自由なデスクで仕事ができる制度です。Google社など有名IT系企業やベンチャー企業などで導入され始め、オフィススタイルの1つとして注目されています。フリーアドレス制のメリットは、デスクを固定しないことで、オフィスのレイアウト変更の手間やコストが削減できます。さらには、自分の部署以外の人と隣り合って座ることで、新たなコミュニケーションが生まれ、オフィス内のマンネリ化防止や社員のモチベーションのアップ、気分転換につながるなどの効果があります。ですが、固定デスクがないので、常備したい書類などをしまうロッカーの完備など初期費用がかかる点がデメリットです。

ブルート フォース アタック

フブルートフォースアタックとは、暗号やパスワードを解読、解析するための手法のひとつです。考えられる全ての暗号鍵を自動化されたプログラムによって入力し、復号化プログラムによって、暗号が意味のある文字列になるかどうかを試行錯誤しながら調査します。あらゆる形態の暗号に対して有効ですが、鍵の長さが増えると考えられる鍵のパターンの数は幾何級数的に増大するため、効率の悪い方法と言えます。ただし実際の攻撃はコンピュータが行うため、時間さえかければ有効な方法です。パスワードが数字4桁など短く単純ならばコンピュータで自動的にすべての組み合わせを調べるのは容易ですが、使える文字の種類や長さが増えるに従って考えられる組み合わせの数は幾何級数的に増大するため、ある程度以上に複雑な情報はこの方法で割り出すことは難しいといえます。

プロキシ

プロキシ(Proxy)とは、元々は「代理」という意味を持っており、内部のコンピュータに代わり外部のインターネットに接続するコンピュータ、またはその機能を持つソフトウエアです。プロキシー、プロクシ、プロクシーなどとも呼ばれ、企業などが保有する内部のコンピュータと外部のインターネットの間にあります。プロキシには一般的にHTTP、FTP、Telnet、SMTPあるいはPOP等のプロトコルに対応したものが存在しますが、単純に「プロキシ」と呼ぶ場合にはHTTPプロキシ(Webプロキシ)のことを指します。コンピュータが直接インターネットに接続するのではなく、コンピュータとインターネットの中継役にプロキシサーバーが入り、情報のやり取りを行います。

プロキシサーバー

プロキシサーバーとは、インターネットを接続させていない内部ネットワークとインターネットの接続を代理で行うサーバーを指します。プロキシサーバーを利用して通信の中継を行うことによって、キャッシュ機能により過去に受信したデータを蓄積できたり、アクセス記録をつけたりすることが可能です。また、データのフィルタリングができるため、特定のWebサイトへのアクセスを禁止したり、受信コンテンツのウイルスチェックをしたりもできます。さらに、PCが直接インターネットにアクセスせずに、プロキシサーバーがアクセスするため、IPアドレス、OS、ブラウザなどの固有情報を漏らすことなくインターネットを閲覧することができます。

プロトコル

プロトコルとは、コンピュータや機器同士で通信をするときの手順を決めた約束ごとです。「ネットワークプロトコル」「通信プロトコル」とも呼ばれます。プロトコルの身近な例として、Webサイトを見るときは「HTTP」「HTTPS」、メールを受信するときは「POP」、メールを送信するときは「SMTP」、ファイルを転送するときは「FTP」、といったプロトコルがあります。異なる機種・メーカーの端末同士でも、プロトコルが同じであれば通信可能です。逆に、プロトコルが異なる場合は通信することができません。例えば、電話には電話のプロトコル、トランシーバーにはトランシーバーのプロトコルがあるため、電話とトランシーバー間では通話できません。

ペネトレーション テスト

ペネトレーションテストとは、通信ネットワークで外部と接続されたコンピュータシステムの安全性を調査するテスト手法のひとつです。ソフトウェアの保安上の弱点(脆弱性)や設定の不備などを利用して、外部からのアクセスにより乗っ取りやサービス停止、非公開の情報の取得などができるかどうかを調査します。dos攻撃(サービス拒否攻撃)にどれくらい耐えられるかを調べたり、侵入された際にそこを踏み台にして他のコンピュータや外部のネットワークを攻撃できるかどうかなどを調べる場合もあります。ほとんどの企業では、最適なペネトレーションテストに必要な体制の構築、疑似攻撃手法の確立などを実施することは大変です。また、一度ペネトレーションテストを実施すると「これで大丈夫」と安心してしまう場合もあるようですが、セキュリティに関しては継続的に見直し、改善するサイクル作りが不可欠です。導入して終わりではなく、運用にも目を配る必要があります。

ポート スキャン

ポートスキャンとは、クライアントとサーバーのアプリケーションの接続窓口に当たるポートに外部からパケットを送信し、反応を確認することを指します。一般的にファイル転送(FTP)は21番、メール送信(SMTP)は25番、インターネット通信(HTTP)は80番、メール受信(POP3)は110番などのようにポート番号が決まっていますが、ポートスキャンを実施することによって、解放されているポート番号、使用されているアプリケーションの種類や設定などを調べることができます。ポートスキャンは、攻撃者が攻撃前に脆弱性を持つポートを見つけたり、サーバー管理者がサーバーのセキュリティ上の問題を検出したりする目的で用いられます。

マ行

マクロウイルス

マクロウイルス(マクロ感染型ウイルス)とは、ワープロソフトや表計算ソフトなどのプログラムを悪用したコンピュータウイルスの1つです。ワープロソフトや表計算ソフトなどの業務用ソフトには、簡単な作業や頻繁に行う処理を自動化するためのマクロという実行機能(プログラミング言語)が備わっています。この実行機能を悪用したのがマクロウイルスです。
ユーザーがウイルスに感染したファイルを開くと、マクロで書かれたウイルスコードが自動で実行されます。そして、l他のファイルへ感染を広げたり、改ざんを実行したりするなどの被害を及ぼします。マクロウイルスは、業務で使用する文書ファイルなどに感染しているケースが多く、警戒心が薄いままうっかり開かれやすいことが特徴です。
対処法としては、添付されている文書ファイルを容易に開かないようにすることと、ウイルス対策ソフトを適用するという基本的な対処法が必要となります。

マルウェア

マルウェアとは、コンピュータ上で有害な動きをするために制作されたコード、ソフトウエアの総称です。コンピュータウイルス、ワームといったものはすべて、マルウェアとして定義できます。「悪意のコード(malicious code)」「悪意のソフトウエア(malicious software)」「不正プログラム」といった別称もあります。マルウェアの行動には、ユーザーの個人データの破壊、盗難といった悪質なものから、ユーザーが希望しない広告を表示させる迷惑なものまで存在します。また、開発の目的も愉快犯的なものから、営利目的のものまで多岐にわたることも特徴です。増え続けるマルウェアからデバイスを保護するためには、常にセキュリティソフトの刷新を行うことが不可欠です。

ヤ行

utm

UTM(Unified Threat Management)とは、ファイアウォール、VPN、アンチウイルス、不正侵入防御(IDS・IPS)、コンテンツフィルタリング、アンチスパムといった複数のセキュリティ機能をゲートウェイ1台で統合し、ワームやウイルス、ハッキングといった脅威からネットワークを効率的に保護する手法です。「総合脅威管理」とも呼ばれます。管理するゲートウェイを一元化することにより、管理者の負担が軽減され導入コストも下がります。また、多くの製品はトランスペアレントモードによりネットワーク上に「見えない」状態で導入できるので、既に設定したネットワーク構成を新たにカスタマイズする必要がありません。

ラ行

ライトプロテクト

ライトプロテクトとは、メモリーディスクやフロッピーディスクなどのデータ削除や上書きなどを防止する機能です。書く「write」と保護「protect」といった機能から、その名称がつけられています。これら外部記憶装置に対して、データを保存・上書き・削除した際に「ライトプロテクト」という表示がされた場合には、ライトプロテクトがロックされている可能性があります。
記憶装置の種類に関わらず、スイッチやスライドできる突起物が備えられています。これをスライドすることで、メディアへの書き込みが禁止できる仕様です。
例えば、複数人が取り扱う会社の共有ファイルなど、内容を書き換えられると困るデータが保存されている記憶装置に対して、ライトプロテクトが有効になっているケースが多くなっています。

LAN

LANとは、Local Area Network(ローカル・エリア・ネットワーク)の頭文字をとった名称です。同じ建物内やフロアなど、限定された領域内における通信ネットワークを指します。LANの構成方法には、有線を用いる方式と無線を用いる方式があり、無線通信によってLANを構築する方式は、一般的には無線LAN、または「ワイヤレスLAN(Wireless LAN)」と呼ばれています。Wi-Fiも、この無線LANの一種です。一方で、LANに対して電話回線やインターネットを使ってLAN同士を接続するネットワークの構築形態は、Wide Area Network(ワイド・エリア・ネットワーク)と呼ばれています。

ランサム ウェア

ランサムウェアとは、システムへのアクセスを制限するマルウェアの一種です。制限の解除のために感染したコンピュータのユーザーは身代金(Ransom)を支払うように要求されます。このことから「身代金要求型不正プログラム」とも呼ばれています。ランサムウェアは、ネットワークの脆弱性を利用することでコンピュータへと入り込む典型的な「トロイの木馬」タイプのマルウェアです。ユーザーのコンピュータへと侵入したランサムウェアは、ドライブ内の個人ファイルを暗号化しはじめます。高度なランサムウェアになると、共通鍵・公開鍵によるハイブリッドな暗号化を行うものさえあります。この場合、複合鍵を知っているのはマルウェアの作成者のみとなり、ユーザーには手立てがありません。

リモート アクセス

リモートアクセスとは、手元にあるコンピュータから、外部からインターネットなどの通信回線を通して、遠隔地にあるコンピュータ、ネットワークに接続し利用することをいいます。リモートアクセスの用途としては、大きく2パターンあります。1つは、社外から会社(職場)の情報システムにアクセスし、社内業務を行ったり、社内のネットワークにしかない情報を使用する用途です。2つ目は、手元にあるパソコンやスマートフォンで、自宅にあるネットワークに接続している機器を操作したり、稼働しているか確認をする用途です。リモートアクセスは便利である一方、どこからでもアクセスが可能であるために起こるセキュリティ上の危険性も考える必要があります。

リモート vpn

リモートVPNとは、VPN(Virtual Private Network)を利用し、外部からでも特定のイントラネットにアクセスできるようにする技術です。リモートで作業ができる利便性と、トンネリング・暗号化・認証といった技術で実現される、安全な通信が魅力です。近年、ノートパソコンやモバイル端末の普及により、社外でも社内のイントラネットにアクセスして作業をしたい、というニーズが高まっています。従来もインターネットによるリモートアクセスは可能でしたが、インターネット上に存在する脅威への脆弱性から、ビジネスユースとは言えませんでした。企業からの安全な通信、時間や場所に依存しない作業システムという要望に応える形で登場したのが、VPNを利用したリモートアクセスです。

リモートデスクトップ

リモートデスクトップとは、ネットワーク、またはインターネットで接続されている他のコンピューターを遠隔操作する機能です。この機能を備えたソフトウエアを「PC遠隔操作ソフト」や「リモートコントロールソフト」と呼びます。リモートデスクトップが利用可能なソフトウエアは多くあり、WindowsやMacとスマートフォン・タブレット端末など、異なるOSを搭載した機器同士で遠隔操作できるソフトウエアもあります。便利な反面、設定を行えば誰でも遠隔操作が可能となるため、リモートデスクトップを利用した不正アクセスが行われることもあります。そのため、リモートデスクトップを利用する際は、権限やアクセスのブロックなど、万全な対策が必要です。

レジストリ

レジストリとは、Windowsで用いられている設定情報が格納されているデータベースです。レジストリには、さまざまな情報が記録されています。オペレーティングシステム(OS)の基本情報やアプリケーションソフトの設定情報、ユーザーパスワード、拡張子の関連付けなどが保存されています。
レジストリの設定・更新・削除などは、OSやアプリケーションソフトウェアによって自動的に行われます。しかし、レジストリエディターを使用すると、手動で編集することもできます。手動によるレジストリの編集は、システムの設定情報を直接修正するため、OSの動作に異常をきたし、システムが起動しなくなるなど高いリスクを伴います。
レジストリを編集する前には、必ず編集するレジストリのバックアップを取ることが大切です。レジストリの編集中に、何らかの問題が発生した場合は「レジストリの復元」を実行して、レジストリを編集する前の状態に復元することができます。

ロギング

ロギングとは、起こった出来事についての情報などを一定の形式で時系列に記録・蓄積することです。そのように記録されたデータのことを「ログ」と呼びます。コンピュータやネットワーク機器、サーバーによって構築されるシステムは、従来に比べ規模が拡大し管理が難しくなっているため、不正アクセスや情報漏えいなど多くの問題が発生しています。問題発生を防ぐためには、コンピュータやネットワーク機器などの利用状況や通信履歴、システムの稼働状況をデータで記録し管理する必要があります。このデータ「ログ」を時間の経過に沿って定期的に記録することをロギングといいます。 ロギングは、データロガーという温度や湿度、製造現場での生産状況のデータを記録する電子計測器やWebのアクセス状況などを記録するロギングアプリケーションで使用されています。

ワ行

ワーム

ワームとは、自己増殖を続ける独立したプログラムです。ネットワークなどを通じてコンピュータに侵入し、他のシステムに拡散する性質を持ったマルウェアの1種です。コンピュータウイルスと区別される理由として、自身で複製を作り、他のデバイスに感染(自己増殖)することが可能です。さらに、コンピュータウイルスのように、他のプログラムには寄生せず、単独で存在・行動することが挙げられます。ワームは、Webサイト内や電子メールの添付ファイルなどに潜伏しており、感染したファイルにアクセスすることで感染します。感染した場合、コンピュータ内のファイルが破壊され、ハードディスクがフォーマット(初期化)される危険など、さまざまな被害の発生が考えられます。