233
今回の用語集の範囲は、「基本情報技術者と重なる部分」です。
これは去年、 情報セキュリティマネジメントという試験の試験準備中に自分でまとめたメモです。参考になれば嬉しいですね。
情報セキュリティマネジメント(基本情報技術者との重複領域) | 用語集 | |
日本語 | 解説 |
【クロスサイトスクリプティング(XSS)】 | ▶動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用し、サイト間を横断して悪意のあるスクリプトを混入させることでユーザのクッキーを盗むなどの攻撃を行う行為です。 ▶ XSS脆弱性のあるWebアプリケーションでは、以下の影響を受ける可能性があります。 ▶サイト攻撃者のブラウザ上で、攻撃者の用意したスクリプトの実行によりクッキー値を盗まれ、利用者が被害にあう。 ▶クロスサイトスクリプティングの手口: ・・・Webアプリケーションに用意された入力フィールドに,悪意のあるJavaScriptコードを含んだデータを入力する。 ・・・Webサイトに入力されたデータに含まれる悪意あるスクリプ卜を,そのままWebブラウザに送ってしまうという脆弱性を利用する。 ・・・Webページに,ユーザの入力データをそのまま表示するフォーム又は処理があるとき,第三者が悪意あるスクリプトを埋め込むことでクッキーなどのデータを盗み出す。 ▶(中国語の解説) 跨站腳本攻擊(XSS),是一種利用網頁應用程式中的安全漏洞,故意插入惡意腳本以做惡的行為,跨越不同網站執行攻擊,例如竊取使用者的Cookie等行為。存在XSS弱點的網頁應用程式可能會受到以下影響:攻擊者在其瀏覽器上執行惡意腳本,竊取使用者的Cookie等資訊,對使用者造成損害。同樣地,攻擊者可能在使用者的瀏覽器中執行腳本,以使用者的權限來濫用網頁應用程式的功能。偽造的輸入表單可能會出現在網站上,並透過釣魚攻擊來竊取使用者的個人資訊。 ▶(中国語の解説) 要防範XSS攻擊,需要實施適當的安全措施,包括對輸入數據進行驗證、逃避處理以及對點擊劫持攻擊的防範措施等。網頁開發者應該格外小心XSS攻擊,並採用安全編碼實踐,這是非常重要的 |
【DoS攻撃(Denial of Service) 拒絕服務攻擊】 | ▶サービスを妨害する。 ▶通常ではありえない数のリクエストをサーバに送信することでサーバを過負荷状態にし、サーバのシステムダウンや応答停止などの障害を引き起こさせる攻撃手法です。 ▶DoS攻撃(Denial of Service)は、通常ではありえない数のリクエストをサーバに送信 することでサーバを過負荷状態にし、サーバのシステムダウンや応答停止などの障害を引き起こさせる攻撃手法です。 |
【PKI(Public Key Infrastructure,公開鍵基盤) 】 | 所有者と公開鍵の対応付けをするのに必要なポリシや技術の集合によって実現される基盤 |
【CRYPTREC(Cryptography Research and Evaluation Committees)】 | 電子政府での利用を推奨する暗号技術の安全性を評価,監視する。 |
【暗号の危殆化】 | ▶考案された当時は容易に解読できなかった暗号アルゴリズムが,コンピュータの性能の飛躍的な向上などによって,解読されやすい状態になること ▶計算能力の向上などによって,鍵の推定が可能となり,暗号の安全性が低下すること |
【トロイの木馬】 | データの破壊,改ざんなどの不正な機能をプログラムの一部に組み込んだものを送ってインストールさせ,実行させるものはどれか。 |
【バッファオーバフロー攻撃】 | プログラム中に潜むバグを悪用し、入力データを受け取るバッファ領域の内外を上書きすることで誤動作を引き起こさせる攻撃手法です。 |
【Business Email Compromise(BEC)】 | ▶(中国語の解説) BEC是指一種詐騙行為,通常涉及對商業或組織的電子郵件系統進行攻擊,以欺騙或詐騙資金、敏感信息或其他價值資產。BEC 也被稱為”CEO 騙局”或”執行官詐騙”。 ▶BEC 通常以以下方式進行: ・・冒充高級管理人員:攻擊者會冒充公司高級管理人員(如CEO、CFO)的身份,發送看似正式的電子郵件,要求財務部門執行某種交易或轉帳資金。這些電子郵件通常看似非常真實,以騙取信任。 ・・社交工程:攻擊者可能會通過研究目標公司的內部運作和員工,以更好地模仿公司的流程和語調,使詐騙郵件看起來更可信。 ・・電子郵件欺騙:攻擊者使用欺騙手法,如偽造郵件標題、電子郵件地址和公司標誌,以使接收者相信這是合法的郵件。 ・・資金轉移:一旦攻擊者成功欺騙接收者,他們可能要求將資金轉移到指定的帳戶,而該帳戶實際上屬於詐騙者。 |
【ハイブリッド暗号方式】 | 公開鍵暗号方式と共通鍵暗号方式を組み合わせることによって鍵管理コストと処理性能の両立を図る。 |
【ポリモーフィック型ウイルス(Polymorphic Virus)】 | ▶感染するごとにウイルスのコードを異なる鍵で暗号化し,同一のパターンで検知されないようにする。 ▶(中国語の解説) 一種電腦病毒,具有一種特殊的能力,可以在每次感染新系統時自動改變自身的程式碼或結構,以避免被傳統的病毒檢測工具所識別和清除。這種自我修改的能力使得多樣化的變體不斷出現,難以追蹤和擊敗。 |
【「從量課金攻擊」(Economic Denial of Service,簡稱 EDoS)】 | ▶クラウド利用企業の経済的な損失を目的に,リソースを大量消費させる攻撃 ▶(中国語の解説) 一種網絡攻擊手法,攻擊者利用這種方法,以經濟損害為目標,對網絡服務或網站進行攻擊。攻擊者通常使用雲端服務提供商或託管服務提供商的從量課金模型來實施這種攻擊。 |
【APT攻撃(Advanced Persistent Threats)】 | ▶持続的標的型攻撃 ▶攻撃者は特定の目的をもち,標的となる組織の防御策に応じて複数の手法を組み合わせて,気付かれないよう執拗(よう)に攻撃を繰り返す |
【OCSP(Online Certificate Status Protocol)】 | ▶リアルタイムでディジタル証明書の失効情報を検証し、有効性を確認するプロトコルです。 ▶【練習問題】 一般に共通鍵暗号方式においてn人が相互に通信を行う場合に必要となる鍵数は、n(n-1)/2。 100人の送受信者が共通鍵暗号方式で,それぞれ秘密に通信を行うときに必要な共通鍵の総数は幾つか? 4950鍵数。 |
【CRL(Certificate Revocation List,証明書失効リスト)】 | ▶CRLには,有効期限内のディジタル証明書のうち失効したディジタル証明書と破棄された日時の対応が提示される。 ▶(中国語の解説) 一種數位證書管理工具,用於確定數位證書的有效性。數位證書是一種用於證明數位通信中的身份和加密數據的安全工具。CRL 則用於追蹤和公佈這些數位證書是否已經失效或被撤銷。 ▶(中国語の解説) CRL 需要定期更新,因為證書的失效情況可能會隨時間而變化。此外,有些安全系統也使用了更現代的方法,如OCSP(Online Certificate Status Protocol,線上證書狀態協議),以實現更及時的證書狀態驗證,而不僅僅依賴於定期的 CRL 更新。 ※也就是說,OCSP是立即更新的,而CRL是定期更新。 |
【VA(Validation Authority)の役割」】 | ディジタル証明書の失効状態についての問合せに応答する。 |
【ダークネット”(Darknet)】 | ▶インターネット上で到達可能,かつ,未使用のIPアドレス空間 ▶(中国語の解説) 互聯網上的一個特殊部分,通常不被一般搜索引擎索引或訪問,並且對於匿名網絡活動具有高度的保密性。它是一個非常隱秘的網絡,通常使用特殊的軟件和技術來實現匿名性和隱密性。 |
【クラッキング(Cracking)】 | ▶悪意をもってコンピュータに不正侵入し,データを盗み見たり破壊などを行う。 ▶ネットワークに繋がれたシステムに不正に侵入したり、コンピュータシステム、又はソフトウェアを破壊・改ざんするなどのコンピュータを不正利用することです。 ▶(中国語の解説) “克拉克(クラッキング)” 是指以非法方式侵犯計算機軟體或系統的安全性的行為 |
【Autorun.inf】 | ▶(中国語の解説)”Autorun.inf” 是一個用於 Windows 操作系統的特殊文件,通常位於可移動存儲媒體(如USB閃存驅動器、CD/DVD)的根目錄中。這個文件包含了一些指令,用於自動執行特定程序或操作,當這些媒體插入到計算機時。 通常情況下,當您插入一個可移動存儲媒體時,Windows 將自動檢查這個媒體中是否存在 “Autorun.inf” 文件,並根據文件中的指令執行相應的操作,例如自動運行一個安裝程序、打開一個文件夾或播放媒體文件。然而,由於安全風險,自動運行功能在後來的 Windows 版本中被限制。恶意软件和病毒常常利用 “Autorun.inf” 文件來自動執行恶意代码,因此微軟在更新中加強了安全性,並且默認情況下禁用了自動運行功能。這樣做是為了保護計算機不受恶意軟件的侵害。總之,”Autorun.inf” 是一個用於自動執行操作的文件,通常位於可移動存儲媒體中,但由於安全考慮,它的使用受到了限制。 ▶【練習問題】 Autorun.infを悪用したUSBワームの説明のうち,適切なものはどれか?特定ワームのファイル名を登録したAutorun.infファイルをUSBメモリ内に生成する |
【シングルサインオン】 | 一度の認証で,許可されている複数のサーバやアプリケーションなどを利用できる仕組み |
【バイオメトリクス認証】 | 指紋や声紋など,身体的な特徴を利用して本人認証を行う仕組み |
【マトリクス認証】 | 特定の数字や文字の並びではなく,位置についての情報を覚え,認証時には画面に表示された表の中で,自分が覚えている位置に並んでいる数字や文字をパスワードとして入力する方式 |
【Webビーコン】 | ▶利用者のアクセス動向などの情報を収集するためにWebページなどに埋め込まれた画像 ▶(中国語の解説) “Web Beacon”(網頁瀏覽器)是一種常用於網絡分析和在線廣告追蹤中的技術。它也被稱為”網頁信標”或”像素標籤”。Web Beacon 是一個小的圖像或程式碼片段,通常是1×1像素大小,通常是不可見的,嵌入到網頁或電子郵件中。 當用戶訪問包含 Web Beacon 的網頁或打開包含 Web Beacon 的電子郵件時,這些 Web Beacon 會自動請求特定的資源,如圖像或程式碼,從遠程伺服器。這個遠程伺服器的訪問記錄了用戶的行為,包括訪問時間、IP 地址、瀏覽器類型等信息。這使得網站運營者和線上廣告商能夠追蹤用戶的活動和行為,並獲得有關網站流量、廣告效果等方面的數據。 雖然 Web Beacon 在網絡分析和在線廣告追蹤中有用,但它們也引發了隱私問題。因為用戶可能不知道或不願意他們的行為被追蹤,所以一些瀏覽器和防廣告追蹤工具允許用戶禁用或阻止 Web Beacon。 總的來說,Web Beacon 是一種用於在網絡上追蹤用戶活動的技術,它可以提供有關網站訪問者行為的有價值的信息,但也引發了隱私問題。 |
【マルウェア Wanna Cryptor(WannaCry)】 | SMBv1の脆弱性を悪用するなどして感染し,PC内のデータを暗号化してデータの復号のための金銭を要求したり,他のPCに感染を拡大したりする |
【DNSキャッシュポイズニング】 | ▶PCが参照するDNSサーバに誤ったドメイン管理情報を注入して,偽装されたWebサーバにPCの利用者を誘導する ▶(中国語の解説) 給電腦主機假的domain 誘導使用者進到錯誤的網路伺服器 |
【「シャドーIT」(Shadow IT)】 | ▶業務への利用には,会社の情報システム部門の許可が本来は必要であるのに,その許可を得ずに勝手に利用されるデバイスやクラウドサービス,ソフトウェアを指す用語はどれか。 ▶(中国語の解説) 指在組織內,未經組織正式IT部門或管理政策的許可,而進行的IT活動。這包括員工使用自己的設備或雲端服務來管理和使用與業務相關的數據和應用程序的情況。 |
【バックドア】 | ▶システム内に攻撃者が秘密裏に作成した利用者アカウント ▶一度不正侵入に成功したコンピュータやネットワークにいつでも再侵入できるように設けられた侵入口のことを指します。 |
【チャレンジレスポンス方式 (挑戰回應方式)】 | 利用者が入力したパスワードと,サーバから送られてきたランダムなデータとをクライアント側で演算し,その結果を確認用データに用いる |
【セッションハイジャック】 | サーバとクライアント間の正規のセッションに割り込んで,正規のクライアントに成りすますことで,サーバ内のデータを盗み出す。 |
【SQLインジェクション】 | データベースに連携しているWebページのユーザ入力領域に悪意あるSQLコマンドを埋め込み,サーバ内のデータを盗み出す。 |
【SHA-1 (Secure Hash Algorithm 1,安全散列算法)】 | ▶160ビットの出力データを生成し,改ざんの検出に利用するアルゴリズム ▶(中国語の解説) SHA-1是一種哈希函数。現在已經不太使用了,取而代之的是比較安全的SHA-256 或 SHA-3 (電子署名就會用到) |
【監査技法】 | ▶①インタビュー法 インタビュー法は、監査対象の実態を確かめるために、システム監査人が、直接、関係者に口頭で問い合わせ、回答を入手する技法です。 ▶②ウォークスルー法 ウォークスルー法は、データの生成から入力、処理、出力、活用までのプロセス、及び組み込まれているコントロールを、書面上で、又は実際に追跡する技法です。 ▶③監査モジュール法 監査モジュール法は、コンピュータ支援監査技法の1つで、システム監査人が指定した抽出条件に合致したデータをシステム監査人用のファイルに記録し、レポートを出力するモジュールを、本番プログラムに組み込む技法です。 ▶④ペネトレーションテスト法 ペネトレーションテスト法は、システム監査人が一般ユーザのアクセス権限又は無権限で、テスト対象システムへの侵入を試み、システム資源がそのようなアクセスから守られているかどうかを確認する技法です。 |
【OECDプライバシーガイドライン】 | ▶①目的明確化の原則 収集目的を明確にし、データ利用は収集目的に合致するべきである ▶②利用制限の原則 データ主体の同意がある場合、法律の規定による場合以外は目的以外に利用使用してはならない ▶③収集制限の原則 適法・公正な手段により、かつ情報主体に通知又は同意を得て収集されるべきである ▶④データ内容の原則 利用目的に沿ったもので、かつ、正確、完全、最新であるべきである ▶⑤安全保護の原則 合理的安全保護措置により、紛失・破壊・使用・修正・開示等から保護するべきである ▶⑥公開の原則 データ収集の実施方針等を公開し、データの存在、利用目的、管理者等を明示するべきである ▶⑦個人参加の原則 自己に関するデータの所在及び内容を確認させ、又は意義申立を保証するべきである ▶⑧責任の原則 管理者は諸原則実施の責任を有する |
【クライアントサーバシステム(客戶端服務器系統)】 | ▶クライアントとサーバが協調して,目的の処理を遂行する分散処理形態であり,サービスという概念で機能を分割し,サーバがサービスを提供する。 ▶(中国語の解説) 戶端伺服器系統是一種垂直功能分散系統,它將系統的功能分為具有服務請求和處理結果輸出角色的“客戶端”以及專門處理請求(服務)的“伺服器”。伺服器可以包括各種類型,如資料庫伺服器、列印伺服器、郵件伺服器、檔案伺服器等。由於每個伺服器都獨立執行特定的處理,因此容易實現各功能的性能提升。 |
【応答時間(レスポンスタイム)】 | ▶Webブラウザに表示された問合せボタンが押されてから,Webブラウザが結果を表示し始めるまでの時間 ▶利用者がシステムへの処理要求を全て完了した時点から、システムが最初の反応を返すまでの時間のことです。 ▶同じような意味ですが、クライアントサーバ間のデータ通信で、サーバにリクエストを行ってからサーバから最初の1バイトを受け取るまでの時間をTTFB(Time To First Byte)と言います。 |
【「オプトイン」と「オプトアウト」】 | ▶オプトイン(Opt-in) 事前に同意を得た相手だけにメールを送信できる ▶オプトアウト( Opt-out) ・メールの送信は自由に行うことができ、受け取りたくない者は個別に受信拒否通知を行う ・”特定電子メール、広告宣伝メールを配信する際には、原則としてオプトイン方式によらなければなりません。 |
【CIOが果たすべき主要な役割】 | 情報化戦略を立案するに当たって,経営戦略を支援するために,企業全体の情報資源への投資効果を最適化するプランを策定する。 |
【ディジタルフォレンジックス(Digital Forensics)】 | ▶インシデントの調査やシステム監査にも利用できる,証拠を収集し保全する技法。 ▶(中国語の解説)數位取證是在安全事件如非法存取或資訊外洩發生時,收集並分析需要用於原因追蹤和法律證據的電子記錄的過程。取證 (forensics) 一詞中包含著「科學調查」和「法醫學的」等含義,因此直譯的話就是「電子科學調查」。 |
【コンティンジェンシープラン(Contingency Plan)】 | 應變計劃是針對已知但發生不確定的風險,例如事件、事故或災害等,制定的應對措施行動計畫,以應對當風險變得明顯時的情況。 |
【監査調書】 | 監査人が行った監査手続の実施記録であり,監査意見の根拠となる。 |
【RTO(Recovery Time Objective,目標復旧時間)】 | 業務中断後、どれだけの時間で復旧させるかを示す目標値です。事業継続計画で用いられる用語であり,インシデントの発生後,次のいずれかの事項までに要する時間を表すもの |
【JVN(Japan Vulnerability Notes)】 | ソフトウェアなどの脆弱性関連情報や対策情報 |
【ポートスキャンツール】 | サーバへの侵入口となり得る脆弱なポートを探すために,攻撃者のPCからサーバのTCPポートに順番にアクセスするプログラム |
【サニタイジング (sanitizing)】 | Webサイトへの不正な入力を排除するために,Webサイトの入力フォームの入力データから,HTMLタグ,JavaScript,SQL文などを検出し,それらを他の文字列に置き換えるプログラム |
【スパイウェア】 | 利用者の意図に反してPCにインストールされ,利用者の個人情報やアクセス履歴などの情報を収集するプログラム |
【ルータ】 | ネットワーク同士を接続し、IPアドレスを基にパケットの送信先を決定する機器です。LAN同士やLANとWANを接続して,ネットワーク層での中継処理を行う |
【送信/受信】 | 送信用がSMTP、受信用がPOP3とIMAP4 |
【RAID5】 | 最低でも3台の磁気ディスクが必要となるが,いずれか1台の磁気ディスクが故障しても全データを復旧することができる |
【応答時間(レスポンスタイム response time )】 | ▶Webブラウザに表示された問合せボタンが押されてから,Webブラウザが結果を表示し始めるまでの時間利用者がシステムへの処理要求を全て完了した時点から、システムが最初の反応を返すまでの時間のことです。 ▶(中国語の解説)從使用者按下按鍵後到電腦開始有反應的時間(比較短的時間) |
【ターンアラウンドタイム】 | ▶Webブラウザを起動してから,最初に表示するようにあらかじめ設定したWebページの全てのデータ表示が完了するまでの時間 ▶(中国語の解説)從使用者按下按鍵後到電腦完成所有反應的時間(比較長的時間) |
【フェールソフト(Fail soft)】 | 故障が発生した場合,一部のサービスレベルを低下させても,システムを縮退して運転を継続する設計のこと |
【フェールセーフ(安全的停止)】 | システムの一部が故障しても,危険が生じないような構造や仕組みを導入する設計のこと |
【フールプルーフ(防呆裝置)】 | 人聞が誤った操作や取扱いができないような構造や仕組みを,システムに対して考慮する設計のこと |
【クラウドサービスモデル】 | ①SaaS(Software as a Service) サービス提供事業者が運用するソフトウェアをインターネット経由で利用する形態。利用者は限られた範囲でソフトウェアをカスタマイズして使用できる。 ②PaaS(Platform as a Service) アプリケーションを稼働させるための基盤(プラットフォーム)”をサービスとして提供する形態。利用者は自身が購入または開発したアプリケーションをプラットフォーム上に実装し、管理・運用する。 ③IaaS(Infrastructure as a Service) システムを構築するためのハードウェア資源(CPU・メモリ・ストレージ・ネットワーク資源)をサービスの形で提供する形態。利用者は提供された基盤の上に任意のOSやミドルウェアを導入し、その上にソフトウェアを構築する。 ④DaaS(Desktop as a Service) 個人ごとのデスクトップ環境をインターネット経由で提供する形態。クライアントPCにはネットワークに接続できる環境とディスプレイだけを用意すればよく、データ管理やアプリケーションの実行は全てクラウド上のサーバ上で行われる。 |
【特許権】 | ▶産業上利用することができる新規の発明を独占的・排他的に利用できる権利であり,所轄の官庁への出願及び審査に基づいて付与される権利 ▶(中国語の解説)需要提出申請,不像著作權是作品完成後即擁有 |
【請負契約】 | 成果物の対価として報酬を得る契約 請負業者(受委託者)が開発した著作物の著作権は、原則として請負業者に帰属します。 ただし、通常は著作権譲渡特約などをすることにより、発注元(委託者)に著作権が帰属するようにします。 【請負企業(受委託者)】 ■請負企業の従業員は、請負企業の指揮命令によって業務に従事する ■請負企業の従業員の労働条件は、請負企業が管理する ■業務の遂行に関する指導や評価を自ら実施する。 ■勤務に関する規律や職場秩序の保持を実施する。 ■請け負った仕事の欠陥に対し,期間を限って責任を負う。 |
【準委任契約】 | ▶善管注意義務を負って作業を受託する契約 ▶(中国語の解説)強調對專業判斷和管理 |
【労働者派遣契約】 | 発注者(派遣先)の指揮命令下で作業を行う契約 ■派遣元の責任 ・派遣先での時間外労働に関する法令上の届出 ・雇用関係終了後の雇用に関する制限を行わないこと ・労働者の希望や能力に応じた就業の機会を確保すること ・労働者の教育訓練の機会を確保すること ■派遣先の責任 ・指揮命令 ・派遣労働者に指示する業務の遂行状況の管理 ・派遣労働者の休日や休憩時間の適切な取得に関する管理 ・派遣労働者の日々の就業で必要な職場環境の整備 ・派遣契約内容を派遣労働者を指揮命令する者やその他の関係者に周知すること ・休暇取得のルールを発注者(派遣先)の指示に従って取り決める。 |