【セキュリティ機能】security function
CC(Common Criteria)の規定。評価対象セキュリティ方針が規定する、規則を遵守するために必要となる評価対象。
2005年9月アーカイブ
【セキュリティリスク】Security Risk
脅威が、資産または資産グループの脆弱性を利用して、資産への損失、又は損害を与える可能性。
【セキュリティホール 】security hole
ソフトウェアプログラム設計上のミスなどが原因でシステムに生じたセキュリティ上の弱点。
【セキュリティターゲット】ST : Security Target
CC(Common Criteria)の規定。識別された評価対象の評価に用いられるIT製品やシステムが備えるべきセキュリティ機能に対するセキュリティ要件および要約仕様を記述した文書。
【セキュリティコントロール】Security Controls
セキュリティリスクを軽減するためのセキュリティ管理、慣行、手順及び仕組み。
【スプーフィング】
なりすまし。
攻撃元を隠ぺいするために、偽の送信元IPアドレスを持ったパケットを作成し送ること。他人のユーザIDやパスワードを盗用し,無許可のユーザが正規のユーザとしてふる舞う、あるいは、なりすましてシステムに不正にアクセスすること。
【スパム】spam
インターネットを利用して不当に大量に送りつけられるダイレクトメール。
【スパイラルモデル】spiral model
システムの開発手順を示すモデルの一つ。
ウォータフォールモデルとプロトタイピング手法を混在させたもの。ソフトウェアを分割し、システムの一部分について設計・実装を行い、仮組みのプログラムを元に顧客からのフィードバックやインターフェースの検討などを経て、さらに設計・実装を繰り返していく手法。
【ストリーム暗号】stream cryptography
暗号方式の一種。
平文系列を文字またはビットに分割し、かぎ系列により順次変換する暗号方式。
【ステルススキャン】stealth scan
ポートスキャンの一種。
通常の接続処理を行わずに、単に、接続要求のパケットや切断要求のパケットを送って、そのポートが接続可能か否かをみる。接続処理を行うわけではないので、サーバにログを残さずにポートスキャンを行なうことができる。
【ステルスウイルス】stealth virus
コンピュータウイルスの一種。
自分の存在を隠して、システムに感染していることを検出されないようにしているウイルス。ファイルのタイムスタンプや感染していない状態のイメージを保持したり, 特定のアンチウイルスソフトからの検出を逃れるトリックを使いアンチウイルスソフトやユーザーに認識されないように検出を回避する。自身が存在しているブートを調べようとする動作を横取りして、代わりに感染前のセクタのコピーを検査プログラムに渡す。
【ステートフルインスペクション】statefull inspection
ファイアウォールの機能。
ファイヤーウォールを通過するパケットのデータを読み取り、ネットワーク層より下でパケットを中継しながら、セションの状態や流れるデータの内容までチェックしてパケットの通過や遮断を決める内容を判断して動的にポートを開放・閉鎖する。
【スーパザップ法】superzap
クラッカーによるコンピュータ犯罪の手法。
緊急事態用にシステムが備えている特権機能(全ての制限を回避し,全てのファイルやプログラムにアクセスできる)を利用する方法。
【スイッチングハブ】switching hub
ハブ(ネットワークの中継機器)の一種。
ある端末から送られてきたデータをすべての端末に対して送信するリピータ(通称ハブ)と異なり、受信したパケットのあて先となるMAC(Media Access Control)アドレスを参照して、そのMACアドレスのマシンがつながるポートに対してだけパケットを転送する。
【ジャーナルファイル】journal file
コンピュータやネットワーク機器が稼動中に記録するデータベースやトランザクション処理等の更新内容を記録したファイル。ログファイルとも呼ばれる。障害からの復旧、原因究明等に使用される。
【システム監査予備調査】preliminary audit assessment
システム監査本調査の前に行う、監査対象の業務の実態を把握するための調査。業務にかかわる資料の収集とその分析、現状と問題点の把握、個別計画書の見直し、本調査の範囲と方法の確定を行う。
【システム監査評価】systems audit assessment
「システムがその目的から乖離<カイリ>することを予防し乖離したときは、それを直ちに発見し、正常な状態に戻す(回復させる)機能」という統制機能の評価
【解読】decipherment,decryption
暗号文から平文に戻すこと
【下位レベル設計】 low level design
CC(Common Criteria)の規定。上位レベル設計に対し、より詳細な部分のレベルの設計
【隠れチャネル】convert channel
悪用される危険性がある信号チャネル
不正な情報フロー
【システム監査基準】system audit criteria
情報システムを監査するための基準。
コンピュータシステムの
・信頼性
・安全性
・効率性
等を確保するため、監査対象から独立したシステム監査人が監査に使用する。
・一般基準
・実施基準
・報告基準
等がある。
【システムの完全性】system intefrity
システムが本来果たすべき機能を正確に実行できること。
システムが意図的または偶発的な不正操作によって妨害されたりしない状態。
【システム】system
CC(Common Criteria)の規定。特定の目的及び運用環境を伴う特定のIT設備。
【サブジェクト】subject
操作を行う能動的なエンティティ。
【コンポーネント】component
CC(Common Criteria)の規定。個々の評価対象に対して選択可能な機能要件または保証要件の単位。
【コンピュータワーム】computer warm
自分自身で複製を作成し、ネットワークを伝わって、コンピュータに感染して破壊活動を行なう独立したプログラム。コンピュータウイルスのように、ファイルやプログラムに寄生して伝搬するのではなく、自分でセキュリティホールを見つけて潜り込み、コンピュータの性能を低下させたり、動作不能にする。
【コンピュータウイルス】computer vires
他人のコンピュータに進入し、データの破壊や改ざんなど、なんらかの被害を及ぼす目的で形成された悪性のプログラム。
【コールバック】call back
本人性確認のため、電話回線で外部から情報システムにアクセスしてきた際、発信者の電話番号にかけ直してから接続する方式。あらかじめ登録されている電話番号にかけ直す事で、発信者を認証できる。
【ケルベロス】Kerberos
暗号による認証方式の一つ。1987年にアメリカのマサチューセッツ工科大学(MIT)で開発された(Kerberos version 4)と呼ばれる認証方式。分散システム環境で利用者を一元的に管理するために開発された。秘密鍵暗号(共通鍵暗号)を用いることにより、クライアント/サーバアプリケーションに強固な認証システムの提供が可能。クライアントとサーバのIDを検証するだけでなく、プライバシーを確保するためとデータの保全のためにクライアントとサーバの間の通信の全てを暗号化する。
【クラッキング】cracking
コンピュータやネットワークのセキュリティホールをついて不正侵入を行い、データの窃盗や改ざん、削除などを行う犯罪行為。
【クラス】class
CC(Common Criteria)の規定。機能要件や保証要件の断層構造における最上位のグループ。
【キーリカバリ】key recovery
暗号かぎを回復するプロセスのこと。暗号かぎを第三者機関に預託する方式や、暗号データを作成したときに使用した暗号かぎを回復するための情報を暗号データの中に埋め込む方式などにより、暗号化されたデータを緊急時に正規の手順を踏まずに復号化する。
【かぎ管理】key management
暗号化と復号に用いる暗号かぎを安全に管理すること。
かぎの生成、保管、配送、認証、更新、廃棄など管理の対象として含まれる。
【オレンジブック】orange book
1985年にアメリカ国防総省が定めた情報システムセキュリティ評価基準。TCSEC(Trusted Computer System Evaluation Criteria)の通称。
【オブジェクト】object
サブジェクトが実行する操作の対象。
【エンティティ】entity
情報資源、データ資源として管理すべき対象のこと。実体。
【エレメント】element
CC(Common Criteria)の規定。最小単位のセキュリティ要件。具体的な要求事項はこのエレメントに規定され、要件を選択する最小単位であるコンポーネントの中に含まれる。含まれるエレメントの個数は各コンポーネントによって異る。
【ウォーターフォームモデル】waterfall model
プログラムを作成手法の1つ。上流工程から下流工程に開発を進めていく方式。
(例)
基本設計(要求仕様の確定、基本構想)
↓
機能設計(外部機能の設計)
↓
内部設計(詳細な処理の設計)
↓
プログラム設計
↓
プログラミング
↓
テスト
↓
運用/保守
【インパクト】Impact
事故の結果
【アプリケーションゲートウェイ】application gateway
ファイアウォール機能の1つ。クライアントからは単なるアプリケーションと同じに見えるタイプのファイアウォールの形式。内部ネットワークとの通信をアプリケーションレベルで中継し、そのアプリケーションでデータの内容を含めて管理する。ゲートウェイサーバはプロキシ(proxy:代理)サーバと呼ばれている。
【アドレススキャン】address scan
IPアドレスが実在するかを調査する手法
【アクセス管理】access control
情報システムやデータに対して、正しく権限を与えられた利用者が、与えられたアクセス権限の範囲でこれらの資源にアクセスできるようにする管理方法。機密性を担保する。
【WEP】Wired Equivalent Privacy
無線通信における暗号化技術。IEEE(Institute of Electrical and Electronics Engineers : アメリカ電気電子技術者協会)により定められた。送信されるパケットを暗号化することで、有線通信同様の安全性を確保する。
【WDMZ】Wireless DeMilitarized Zone
ワイヤレス非武装地帯。無線LAN専用のセグメントを社内LANとは独立させ、無線用のアクセスポイントだけを接続したネットワークを構築する。
【VPN】Virtual Private Network
公衆(プライベートでない)の通信路を実質的には専用(プライベートな)の通信路として利用する技術。
認証技術や暗号化を用いてインターネット上に仮想的な専用回線を提供し、LAN(Local Area Network)間接続に利用したネットワーク形態。
【UPS】Uninterruptible Power Supply
無停電電源装置。コンピュータ装置と電源との間に設置し、電源障害の発生時にシステムを停止させないために、自動的にUPS内部のバッテリから代替電力を供給する。
電池や発電機を内蔵している。正常時に電源の一部を蓄電し、異常時にバッテリの電源に切り替える「給電切替方式」や、バッテリは充電と放電を繰り返し正常・異常を問わずインバータを利用して給電する「インバータ方式」などがある。
【UDP】User Datagram Protocol
インターネットで利用される標準プロトコル。
TCP/IP(Transmission Control Protocol / Internet Protocol)に含まれるプロトコルの一種。TCP同様にOSI(Open Systems Interconnection)基本参照モデルではトランスポート層にあたる。通信相手との仮想的な伝送路を設定せずにデータを転送するコネクションレス型通信であるのが特徴。受信確認応答や再送制御がなく、転送速度は高いが信頼性は低く、伝送データが確実に届く保証はない。大量のデータを効率よく転送するには適しているため、ストリーミング型通信で採用されている。
【TCP/IP】Transmission Control Protocol / Internet Protocol
インターネットやイントラネットで標準的に使われる通信プロトコル。OSI(Open Systems Interconnection)基本参照モデルでは
TCP:第4層 (トランスポート層)
IP:第3層 (ネットワーク層)
に該当する。
【syslog】System logging
サーバやネットワーク機器のメッセージログ情報を収集するプロトコル。
【SSL】Secure Sockets Layer
アメリカのネットスケープ社が開発したセキュリティ機能付きのHTTPプロトコル。暗号化規格で、通信データを暗号化して、Webサーバとブラウザとの間で安全なデータ交換を目的とする。HTTP(Hyper Text Transfer Protocol)だけではなく、FTP(File Transfer Protocol)にも対応している。
【SSI】Server Side Includes
HTMLファイル内に組み込みコマンドを記述し、Webサーバにクライアントが接続してブラウザがそのファイルを要求した際に、サーバ側でコマンド処理を施した後、処理結果をその場所に挿入してクライアントに送信する技術。
【SSH】Secure Shell
アプリケーション層において認証や暗号化を行うプロトコル。ネットワークを介し、別のコンピュータにログインし、遠隔でコマンドを実行するためのプログラム。
Telnet(Telecommunication Network)の機能をセキュアにしたもの。FTP(FIle Transfer Protocol)クライアントのような操作で安全にファイル転送もできる。
【SMTP】Simple Mail Transfer Protocol
TCP/IP(Transmission Control Protocol/Internet Protocol)における電子メールを送信するためのプロトコル。
メールソフトから送信側のメールサーバへの送信、および送信側メールサーバから受信側メールサーバへの送信(メール中継)に用いる。SMTPではユーザID(IDentification)とパスワードによる認証は必要としない。
【SHA】Secure Hash Algorithm
認証やディジタル署名などに使用するハッシュ関数の一種。任意の長さのデータから160ビットのハッシュ値を生成する。デジタル署名のためのメッセージダイジェスト、暗号化、ファイルのデータの一致チェックなどに使用される。アメリカ政府の標準ハッシュ関数として採用されている。
【SET】Secure Electronic Transaction
インターネットを通じて安全にクレジットカード決済を行なうための技術仕様のこと。インターネットを介して接続された顧客、店舗、認証機関、クレジットカード会社の4者間決済のために使用されるプロトコル。
【S/MIME】Secure Multipurpose Internet Mail Extensions
電子メールの標準的な暗号化方式。
電子メールの暗号化と電子署名に関する国際規格であり、電子メールの通信プロトコルであるMIMEの拡張版。RSA公開鍵暗号方式を用いてメッセージを暗号化して送受信する。送信側、受信側ともにS/MIMEに対応している必要がある。
【RSA】
公開かぎ暗号方式のアルゴリズム。開発者のRivest(リベスト)、Shamir(シャミアー)、Adelrman(エーデルマン)の3人の頭文字をとって命名される。暗号かぎと復号かぎが異なる。公開鍵で暗号化、秘密鍵で復号化を行うだけでなく、秘密鍵で暗号化、公開鍵で復号化できる仕組みになっている
【RC】Riverst Cipher
共通かぎ方式の暗号アルゴリズム。
ブロック方式やストリーム方式を採用して、かぎの長さを可変にできるところに特徴がある。
【RAID】Redundant Arrays of Inexpensive Disks
1つのコンピュータシステムに複数のディスクを並列に接続し、それらをまとめて1台のハードディスクとして管理する技術。複数ハードディスクは論理的に1つの装置として管理される。分散してデータを記録するため、高速化が図られ、安全性も向上する。高速性や安全性のレベルにより複数のレベルがある。
【RADIUS】Remote Authentication Dial-in User Service
ダイヤルアップ接続のための認証システム、または認証を行うためのプロトコル
電話回線などを通じて接続を要求してきたユーザの認証情報(パスワードなど)はアクセスサーバを経由し、認証サーバに送信される。そこで認証情報の確認が行われ、その結果をアクセスサーバに伝える。
【PPTP】Point to Point Tunneling Protocol
暗号通信のためのプロトコル
Microsoft社によって提案されたIPトンネリングによるVPN(Virtual Private Network)用セキュリティプロトコル。ダイヤルアップで用いられるPPP(Point to Point Protocol)のセキュリティ強化版。
【POP】Post Office Protocol
インターネット上、もしくはイントラネット上でクライアントがメールサーバより電子メールを受信するためのプロトコル。ユーザ認証を必要とする。電子メールの送信に使用されるSMTPとセットで利用される。
【Ping攻撃】
PingはIP(Internet Protocol)の上位プロトコルにあたるICMP(Internet Control Message Protocol)を使用してネットワーク疎通を確認したいkコンピュータに対し、パケットを発行し、そのパケットが正しく送達され返答しているかを確認するためのプログラム。そのPingコマンドを大量に送信することによって相手サーバを過負荷状態にする(DoS(Denial of Service)攻撃)。その他、特定のパケットサイズの上限を超えるパケットを送信しシステムをダウンさせる。IPアドレスのブロードキャストアドレスを利用して、Pingコマンドの[ECHO_REQUEST]コマンドを大量に送信し、[ECHO_RESPONSE]の大量発生を誘発してネットワーク全体を過負荷状態にする等の攻撃がある。
【PGP】Pretty Good Privacy
電子メールのメッセージを秘匿するための方式。Philip Zimmermann氏を中心とした開発チームによって作られている暗号ソフト。暗号化にはRSAとIDEAが使われている。電子メールの安全性を確保するために、署名付き平文、署名付き暗号文、暗号文、署名付きコード変換文の4つのメッセージタイプをサポートする。
【PAP】Password Authentication Protocol
パスワードを認証するためのプロトコル。ダイヤルアップ接続用のプロトコルとして使われている PPP(Point-to-Point Protocol)で採用しているユーザー認証方式。
ユーザ名とパスワードをPPPサーバに送信し、PPPがユーザ認証を行う。
【OSI基本参照モデル】Open System Interconnection reference model
異なるメーカ間のコンピュータでも相互に通信を可能にするための基本モデル。国際標準化機構(ISO)により制定された、ネットワーク構造の設計方針「OSI(Open Systems Interconnection)」に基づいて作られていてプロトコルを7つの階層に区分し、それぞれの階層での規約を定めている。
【NAT】Network Address Translation
プライベートアドレスとグローバルアドレスのネットワークアドレスを変換するための機能。一つのグローバルなIPアドレスを複数のコンピュータで共有する技術。プライベートアドレスを使用しているイントラネットからインターネットへアクセスする際に必要となり、NATを使用するとグローバルアドレスを節約できる。IPマスカレードと異なり1対1の変換であるために、グローバルアドレスが空いているときにのみ利用できる。
【ISO】(国際標準化機構)
International Organisation for Standardisation
1947年に設立された非政府組織。工業標準の策定を目的とする国際機関。ギリシア語の`isos’(等しい)に由来する
【ISO/IEC 17799】
International Organization for Standardization / International Electrotechnical Commission 17799
情報セキュリティマネジメントの実践のための規範
英国標準であるBS7799-1:1999を基として策定されている。あくまで、情報セキュリティ管理の実践のためのガイドであり、ISMS適合性評価制度等の認証のための基準ではない。
【ISO/IEC 15408】
International ORganization for Standardization/International Electrotechnical Cpmmission 15408
情報技術セキュリティの国際評価基準のこと。
情報技術セキュリティの観点から、情報技術に関連した製品やシステムが適切に設計されているか。その設計が正しく実装されているかどうかを評価するためのセキュリティ基準。製品およびシステムのセキュリティ機能およびそれらに適用される保障の信頼性が明らかになる。
【ISMS】Infomation Security Management System
(情報セキュリティマネジメントステム)
Infomation Security Management System の略。
企業や組織が、自分達が持つ情報のセキュリティを確保、維持するためにルールを作り、ルールに従って運用する枠組みの事。自身の持つ情報に対し、HPの改ざん、ハードウェア/ソフトウェアのトラブル、内部関係者による情報の漏洩等、情報セキュリティ上のリスクを明らかにし、個別の技術対策とは別に、組織として、その価値を分析し、必要なセキュリティのレベルを定める。
セキュリティレベルを担保する組織としてのルールを作り、計画的に情報を守る体制を運用管理していく事を主な目的とする。
【IPマスカレード】IP masquerade
IP(InternetProtocol)アドレス変換を行うプログラム。
1つのグローバルなIPアドレスを用い、アドレス変換する事によって、複数の端末でそのグローバルIPアドレスを共有する技術。
NAT(Network Address Translation)と異なり、上位プロトコルである TCP/UDP(Transmission Control Protocol/User DAtagram Protocol)のポート番号まで動的に変換される。そのため、1つのグローバルアドレスを利用した複数端末の外部通信が可能になる。
【IPアドレス】IP address
インターネットで個々のコンピュータに割り当てるアドレス。IPv4アドレスは32ビットのアドレスで、8ビットごとに区切った4つの数字により表記する。
【IPv6】Internet Protocol version 6
インターネットで共通に使われている通信手順
(プロトコル)の一種。TCP/IP(Transmission Control Protocol/Internet Protocol)におけるIPアドレス付与体系のバージョン6。バージョン4の次期バージョン。
IPアドレスとして128ビットを割り当てる。
これによってアドレス不足の解消を図る。
暗号化や認証機能の充実によるセキュリティ強化
高速・大容量通信への対応
リアルタイム通信とマルチキャスト通信への強化
等の特徴を持つ。
【ホスト型IDS】
監視対象のコンピュータ上に導入し、ログファイルデータのパターンマッチングによる分析や通信データの監視を行なうことにより、不正アクセスを検出する。
【ハイブリッド型IDS】
ホスト型とネットワーク型を組み合わせたIDSの事。
【ネットワーク型IDS】
ネットワークを流れる通信データを分析して不正アクセスの検出を行なう。
【RA】Registration Authority (認証機関)
CA:Certification Authority(認証局)の機能のうち実際に認証の責任を持つ機能部分
【IP Sec】IP Security
インターネットで暗号通信を行なうための規格。
暗号技術を使ってIPパケットの完全性や機密性を実現する仕組み。IPパケットに対して認証、暗号化を行なう。IPv6(Internet Protocol Version 6)で標準として提供される。
【IDS】Intrusion Detection System
不正侵入検知システム。コンピュータやネットワークに対する不正行為を検出し、通知するためのシステム。ファイアウォールでは防御できないクラッキングや内部不正にかかわる兆候を検知し、事前に警告するクラッカーの追跡(発信元のIP(Internet Protocol)アドレスや踏み台にされたサーバなど)も可能
正常及び不正アクセスパターンを登録し、正常状態以外の物に対する警告を発したり、不正パターンにに類似した物を検出した場合に警告を発するもの等がある。
【ICMP】Internet Control Message Protocol
制御用のプロトコル。IP(internet Protocol)による通信のエラー通知や制御メッセージを転送する。
traceroute(ホストに到達するまでに経由するルータを表示するコマンド)やping(相手のホストの応答状態を調べるコマンド)で、このプロトコルが使用される。
【FTP】File Transfer Protocol (ファイル転送プロトコル)
TCP/IP(Transmission Control Protocol/Internet Protocol)でファイルを転送するためのプロトコル。
FTP(ファイル転送プロトコル)はクライアントからサーバーに対してファイルを送り受けしたり、、ディレクトリの作成やファイルの削除や名前の変更等、サーバのファイルシステムをクライアントから操作するための機能を提供する。
セキュリティ上下記項目は実施する。
・利用者の識別/認証
・パスワードの暗号化
・FTPクライアントのフィルタリング
【DoS】Denial of Service
インターネットのサーバなどを攻撃する手法の一つ
WebサーバやFTPサーバ、メールサーバなど、主にインターネット上の各種サーバに対して一度に大量のサービス接続要求を送りつけサーバを過負荷状態にし、サーバーをダウンさせたり、正当なユーザへのサービスを妨げたりする攻撃のこと。大量のpingコマンドを送付したり、パケットのヘッダ部にある送信元アドレスを受信元アドレスと同じにして送信してパケットを無限ループに陥れたり、複数のマシンが結託して特定のサーバにパケットやメールを送りつけるなどのものがある。
【DNS】Domain Name System
TCP/IP(Transmission Control Protocol/ Internet Protocol)におけるホスト名とIPアドレスとを変換するためのシステム。ホスト名とIPアドレスを相互に変換(名前解決)するこれにより、IPアドレスを直接入力せずに、覚えやすドメインの入力が可能となる。
【DMZ】DeMilitalized Zone 非武装地帯
内部および外部ネットワークの中間に位置し、個別のセキュリティポリシを適用することによって、Web、DNS、FTPなどの公開サーバをインターネット側からの不正な攻撃から守り、トータルなセキュリティを確保する。DMZに公開サーバを設置し、インターネットと社内ネットワークとは直接の通信は行わないようにしておけば、公開サーバがクラッキングされても被害が社内ネットワークに及ぶ危険性を軽減できる。
【DES】Data Encryption Standard
代表的名共通かぎ方式の暗号アルゴリズムであり、アメリカの政府標準暗号アルゴリズムの1つ。
かぎの長さは64ビット(各バイトの1ビットはパリティ用。DESはこれを無視するため、実際に使用されるのは56ビット)で、置換方式と転置方式を組み合わせたもの。現在ではあまりにも暗号強度が低すぎるため、Triple DESなど、別の暗号方式が使用されるようになっている。
【DDoS】Distributed Denial of Serice
(分散サービス妨害)
攻撃プログラムを仕掛けた第三者のマシンを踏み台にし、踏み台にした複数のマシンから標的のマシンに対し一斉にDoS攻撃を行う。標的マシンには同時に大量のパケットが送りつけられ処理不能となる。
【CRC】Cyclic Redundancy Check (巡回冗長検査)
データ伝送やディスク、テープなどへの読み書きにおける、データ伝送(読み書き)が正確にできたかどうかを検査するための誤り検出手法の一種。サイクリックコードを用いた誤り検出手法で生成多項式に基づく循環シフトによってコードを生成し、同じ循環シフトで誤りチェックを行う。
【CP】Certificate Processor (証明書処理機関)
CA:Certification Authority(認証局)の機能のうちデジタル証明書(Digital Certificate)の発行および
管理責任を持つ機能部分
【Connectスキャン】Connect scan
ポートスキャンの一種。クライアントがサーバに接続するときにしようするconnectシステムコールを個々のポートに発信して接続処理を行うことによって、稼働しているポートを見つける。Connectスキャンはスリーウェイハンドシェイクを完了させる。複数のコンピュータに同じパターンで接続要求を発信していたり、短時間で同一アドレスから複数のサービスにアクセスが出ているログ情報が残っている場合、このconnectスキャンである危険性が高い。
【CHAP】Challenge Handshake Authentication Protocol
(チャレンジハンドシェイク認証プロトコル)
PPP等における、チャレンジ/レスポンスという方式を利用したユーザー認証方法。
認証する側が任意の文字情報(チャレンジ)を送信する
↓
認証される側はこの文字列とパスワードを組み合わせた情報を特定のアルゴリズムで処理
結果(メッセージダイジェスト関数値)を送り返す
↓
認証する側でも同じ処理を行い、認証される側から送られてきた結果とが一致すれば、認証し接続を許可する
毎回異なるチャレンジを使用するため、ユーザー名とパスワードが一致してもメッセージダイジェスト関数値は基本的には同じにならない。したがって通信回線を傍受されても不正利用される可能性は低い。
【CGI】Common Gateway Interface
Webブラウザの要求を受けてWebサーバが実行するプログラムを起動するためのインタフェース、仕組み。カウンタや掲示板、チャットなどといった仕組みもCGIを使っている。スクリプト言語Perlで記述されることが多い。不正なCGIプログラムによる被害には注意が必要。
【CA】Certification Authority 証明機関。別称認証局。
インターネットでの取引等で使用されるデジタル証明書(公開かぎ証明書)等を発行する機関。
公開かぎ暗号方式を利用して、通信相手の秘密かぎで暗号化されたデータを相手の公開かぎで復号できれば、相手を認証できるが、公開かぎ登録簿自体を改ざんしてしまえば、他人になりすますことが可能になる。これを防ぎ、公開かぎの信頼性を確保するため認証局と呼ばれる信頼できる第三者機関が、本人性を確認し、公開かぎの正当性を証明する。
