【予防処置】Preventive Action
事故が発生する可能性のある不適合又はその他の望ましくない状況の原因を除去するために行なう処置のこと。
2005年10月アーカイブ
【有効性】effectiveness
計画された活動や規定されたルールが実際に実施され、計画した結果が達成された程度のこと。
【保護手段】safeguard
リスクを軽減させるための行為、手続き、仕組み、体制、ル−ル等のこと。。
【分散処理システム】distributed processing system
データの処理をホストコンピュータに接続された複数のコンピュータで分散して行い、処理結果をホストコンピュータに集めて、最終結果を出力するシステムのこと。ホストコンピュータが存在しないで、複数のコンピュータをネットワークで接続して、それぞれのコンピュータで処理を分散して行う場合もある。ホストコンピュータに負荷が集中することを避けることが可能であり、任意のコンピュータで障害が発生しても、その影響を局所化できる。反面、セキュリティ管理が、複雑になり困難であるというデメリットもある。
【不正競争防止法】trade secret
不正な行為により適正な市場競争原理が破壊されないように適正な自由競争を保護するために作られた法律。
不正競争となる15種類の行為が定められ、これらの行為によって営業上の利益が犯された場合に行為の停止や予防の差止請求、損害賠償の請求が可能である。
【不正アクセス禁止法】unauthorized access prohibition law
2000年2月より施行された「不正アクセス行為の禁止等に関する法律」の通称。従来からの電子計算機損壊等業務妨害罪では、不正アクセスによるデータ流出は対象となっていないため、不正アクセスそのものを取り締まることを目的にしている。
他人のIDやパスワードを盗用して不正に利用することや、不正にコンピュータを利用できる状態することは犯罪として罰せられる。
【秘密かぎ暗号方式】secret key cryptosystem
送り手と受け手が同じ鍵を使用する暗号方式。データの暗号化と復号化に同じ鍵を用いる。この鍵を秘密かぎといい、送り手と受け手が他者に見せることのない同じ秘密かぎを持ち、それを使用して暗号化と復号することで安全性が保証される暗号方式。対象かぎ暗号、共通かぎ暗号などと呼ぶこともある。
【認証機関(審査登録機関)】Certification body
ISMSにおいてはJIPDECによって認定された機関のこと。認証システムを運営するのに必要な力量と信頼性を持ち、全ての関係者の利益を代表することにおいて公平である組織
【認証データ】authentication data
パスワードや認証センターが発行する本人証明書等、本人確認のために使用される情報のこと。
【電子透かし】electronic watermark
情報デジタル化時代の流通形態に対応した著作権保護を目的とする技術の一種。
無断複製や改ざんを識別するために、画像データや音楽データに埋め込む認証データであり、スペクトラム拡散という技術により、通常の表示や再生では電子透かしのないものと区別がつかないが、識別ソフトで表示が可能となる。
認証データとして、製品名やユーザID((IDentification)がある。
【電子署名及び認証業務に関する法律】
電子署名法のこと。
平成13年4月1日より施行。
PKI(Public Key Infrastructure)を国として保証し、電子署名に署名や捺印と同等の法的根拠を与える法律。
【適用宣言書】statement of applicability
組織において実施されたリスクアセスメント及びリスク対応のプロセスの結果、またその結論に基づいて組織のISMSに適切で当てはまる管理目的及び管理策について適用、不適用をを記述した文書のこと。
【適合】Conformity
規格が要求する要求事項を満たしていること
【著作権法】copyright law
著作権は著作者がその著作物(アイディアは対象外)に対して持つ独占的、排他的に利用する権利のこと。
情報分野ではプログラム、データベース、ホームページなどに対して著作権は認められている。
プログラム言語、アルゴリズム、プロトコルやインタフェースは著作権の保護対象にはならない。
フリーウェアの著作権は作成者にあり、これを放棄したものではない(使用を認めたものにしかすぎない。)著作権の保護期間は著作物を作成した時点から著作者の死後50年間である。団体名義の著作物は公表後50年間で、創作後50年以内に公表されなかった場合は創作後50年間存続する。
著作権は作成者または業務の場合は法人が所有する。
この著作権は相続や譲渡が可能である。
【知的財産権】intellectual property
人間が創作活動により創作されたアイディア等、形のないものに対する財産権のこと。
複製や盗用が容易であるため、保護するために生じた権利であり、工業所有権と著作権の2つに大別される。
著作権は、プログラムの著作権やデータベース著作物に拡大されている。工業所有権においては、特許法や実用新案法で保護され、意匠法で意匠、商標法で商標が保護されている。
【脆弱性】
脅威によって影響を受けうる資産又は資産グループの弱さ。
システム上の欠陥や仕様上の問題点等のこと。
情報システムは進化し、より便利なものとなっているが、複雑なシステムは数々のもろさもあわせて露見させている。
ソフトウェアのバグや仕様上の欠陥だけではなく、想定外の利用形態や設計段階における不備も脆弱性として露見する場合も数多く見られる。
オンライン化が進み利便性が増加する反面、システムは複雑になり種々のもろさも発生している。
【是正処置】Corrective Action
通常の業務を行なっているなかや、定期的な監査等にて検出した不適合又はその他の検出された望ましくない状況の原因を除去するための処置
【情報セキュリティ基本方針】
情報セキュリティに対する経営陣の考えや、従業員に対する行動の指針を表す文書。
ISMS認証基準においては
本文
第4 情報セキュリティマネジメントシステム
2.ISMSの確立及び運営管理
(1)ISMSの確立の中に�Aとして
(ア)ISMSの目標を設定するための枠組みを含み、情報セキュリティに関する全般的な方向性及び行動指針を確立する。
(イ)事業上の要求事項及び法的又は規制要求事項、並びに契約上のセキュリティ義務を考慮する。
(ウ)ISMSを確立し、維持するために必要な戦略上の視点からみた組織環境、並びにリスクマネジメントの構造を確立する。
(エ)リスクを評価するための基準を確立し、定義されたリスクアセスメントの構造を確立する。
(オ)経営陣による承認を得る。
という内容を要求している。
【情報セキュリティ管理システム】information security management system
組織全体の業務リスクの下で情報セキュリティのためのポリシーや目標を確立するためのセキュリティ管理システムとその目標を実現するための手段。
代表的なISMSの規定としてイギリスの国家標準であるBS7799(Information security management,Part1:Code of practice for information security management,Part2:Specification for information security management system)がある。
ここでは、ISMSとして、
・セキュリティ面からの業務内容の理解
・組織の総合的な業務リスクの下でのセキュリティ対策方針 や目的の確立、リスク管理の実施、セキュリティ対策に対 する客観的な評価に基づいての継続的な改善の実施の重要 性などが規定されている。
このために、組織はPDCAのサイクルを回し継続的な改善の実施に努める。
【情報セキュリティポリシー】IT security policy
組織や情報システムにおいて、どのようにして資産を管理し、保護し、配布(通信)するかを定めた基本的な考え方。
ルール、指示、、行為。
組織において、重要で取り扱いに慎重を要する情報を含む資産をどのようにに管理、保護、配布していくかを取り決めた規則。
【情報セキュリティ】information security
情報の機密性、完全性、可用性の維持。責任追跡性、真正性および信頼性の定義、達成、維持に関するすべてのセキュリティ
ひらたく言うと
情報の
・漏洩を防ぐ
・間違い、改ざんを防ぐ
・喪失、紛失を防ぐ
ということになる。
【冗長検査】redundancy test
データを転送したり記憶媒体に書き込む際に、チェック用のデータを付加し、受信時や読出し時に、そのチェック用データを照合してエラーの有無を検査すること。
チェック用のデータとして、パリティビットなどが用いられる。
CRCを参照
【集中型システム】centralized system
一箇所にあるメインのホストコンピュータに複数の端末を接続して、データを処理する形態のシステム。
ホストコンピュータで集中してデータの処理を行なうため、、データの処理効率が良く、セキュリティの確保もしやすいという利点があるが、データ処理時の負荷がホストコンピュータに集中する点や、ホストコンピュータの故障時には、処理そのものに直接影響を及ぼすという欠点もある。
【守秘義務】confidential duty
職務上知ることができた秘密を他に漏らさないという義務のこと。公務員、弁護士、公認会計士、医師などの職業にあるものには、特に法律でこの義務が定められる。
国家公務員法第100条には「職員は、業務上知りえた秘密を漏らしてはならない。その職を退いた後といえども同様とする。」と定めている。
【自己訂正方式】self correcting system
データ転送において、誤り訂正符号(ECC:Error Correctiong Code)を用いてコード変換し、受信の際にその符号を用いてデータをチェックして、データに誤りがあれば自動的に誤りを訂正する方法。誤り訂正符号は、データ処理の対象となるチャネルや記憶媒体の特性に応じて異なる。
【事業復旧計画】Business Recovery Plan
通常の事業運営を妨げるなんらかの事故が発生した場合に、影響を受けた事業運営を早急に復旧することを目的とした計画のこと。
【残留リスク】Residual Risk
セキュリティ管理策が実施されても、なおも残存するセキュリティリスクのこと。
【最小特権】least privilege
データ等の情報資産を適切に保護するため、システムやデータの利用に際して、すべての使用者およびプロセスに対して、
業務に必要最小限必要なアクセス権しか与えないという仕組み。これにより、システムやデータに対する故意やご操作による破壊等を防ぐことができる。
【再送訂正方式】request repeat system
データを送信する際に、受信側にて送信データに誤りを検出した場合、送信側に対し、そのデータの再送を要求し再度送信させることによって誤りを訂正させる方法。
【差分解読法】differential cryptanalysis
強力な暗号解読法の一種。
DES(Data Encryption Standard)型の秘密かぎ暗号に適用できる選択平文攻撃の手法。大量の平文と暗号文の組み合わせを使用して暗号解読する方法。。DESのような暗号化と復号が同じ操作を施す暗号には、排他的論理和が多数用いられる。
この排他的論理和は線形演算のために、2つの平文の差分も元の平文と同じ演算を施される。この特徴を利用した解読法。
【高信頼パス】trusted path
CC(Common Criteria)の規定。利用者と評価対象セキュリティ機能とが、評価対象のセキュリティ方針を実現するのに必要な信頼度を確保するための通信手段のこと。
【高信頼チャネル】trusted channel
CC(Common Criteria)の規定。評価対象セキュリティ機能と相手側の信頼できるIT製品とが、評価対象のセキュリティ方針を実現するのに必要な信頼度を確保するための通信手段。
【工業所有権】industrial property
知的財産権の1種。生産活動に関係した知的財産を対象にする権利。
もともとは工業に関した所有権をさしていたが商業、農業、採取産業の分野にわたっても用いられる。特許権、実用新案権、意匠権、回路配置権、不正競争防止法、商標権、商号権などがある。
【公開かぎ証明書】public key certificate
認証局が、利用者の公開かぎと個人情報およびセンタ名、発行日、有効期限等の情報の組み合わせに対して電子署名した情報。本人に渡されるとともに、ネットワーク上のデータベースで公開される。送信者が暗号文を送りたいときには、このデータベースより受信者の公開かぎを取得する。また、受信者が電子署名を検査したいときにも送信者の公開かぎを、このデータベースより取得する。
【公開かぎ基盤】PKI (Public Key Infrastructure)
認証局が通信当事者に対して通信当事者の信頼性と公開かぎの正当性を保証すること。認証局の信頼性を確保するために、電子署名認証法により、第三者認証機関の資格認定を行う。S/MIME(Secure/Multipurpose Internet Mail Extention),SSL(Secure Socket Layer), SET(Secure Electronic Transaction)などがPKIを利用する。
【公開かぎ暗号方式】public key cryptography
暗号化に先だって、秘密かぎと公開かぎと呼ばれる2つのかぎのペアを作成する。
秘密かぎは送信者のみがもっており、他人に渡す必要はない。
公開かぎは他人が内容を書き換えたりできないような場所(例えば、信頼できる認証センタなど)に保管しておき、必要に応じて公開する。
データを送信する場合には、送信者は送信相手の公開かぎで送信データを暗号化する。受信者は自分の秘密かぎを使用して復号する。
秘密かぎと公開かぎが必ずペアになって暗号化と復号が行われる。
このために、共通かぎ方式に比較すると、かぎの受け渡しが安全、受信者分の復号かぎを準備する必要がないなどの特徴がある。しかし、かぎの長さを最低限、512ビット以上にしなければならない、数値計算によって暗号化や復号を行うために、その処理に時間がかかる、などの問題もある。
【誤り訂正符号】error correcting code
通信回線上でデータの転送等送受信を行なう場合や記憶媒体上にデータを格納する場合において、データに誤りが発生していることが検出された場合、一定範囲の誤りに対して、それを訂正するための符号。一定の長さの情報ビットに、誤り訂正用のビットを付加して符号を構成する。
【誤り検出符号】error detecting code
通信回線上でデータの転送等送受信を行なう場合や記憶媒体上にデータを格納する場合、データに、誤りが発生していないことを検出するための方法。誤り検出のために、冗長性を付加した符号を使用する。代表的なものとしてパリティ符号がある。
【個人情報保護法】data privacy law
近年の情報処理技術の発達により、各種事業者が所有する顧客データや従業員情報等のデータが簡単に加工、編集が可能となり、データの不正な流通もまた可能となっている。
個人情報の有用性に配慮しつつ、個人のプライバシー保護と個人データの適切な管理を指導し個人の権利権益を保護するため平成15年5月に成立・公布された。
・利用目的を本人に明示する
・利用目的を明示したうえ本人の了解を得て取得する
・情報は常に正確なものとして完全性を保つ
・情報の安全性を保つ
・本人が閲覧可能、本人に開示可能、本人の同意のない 目的外利用については本人申し出による使用の停止等 の透明性を保つ
などが主な原則となっている。
平成17年4月より全面施行。
【個人情報】pribacy deta
特定の個人を識別できる情報。
個人に関する情報であって、その情報に含まれる氏名や、生年月日、または、個人別に付けられた番号、記号その他の符号、画像や音声によって当該個人を識別できる情報のこと。
(その情報だけでは識別できないが、他の情報と容易に照合することができ、それによって当該個人を識別できるものを含む。)
【脅威】Threat
システム又は組織に危害を与える、事故の潜在的な原因。自然災害、人的攻撃や操作ミス、情報機器の故障等自然や人間が引き起こす好ましくない事象。
【機密性】confidentiality
「アクセスを許可された者だけが情報にアクセスできることを確実にすること」
機密情報は機密情報として認識され、組織内でアクセスを許可されたものだけが情報にアクセスできることを確実にすること。
【機能強度】SOF : Strength of Function
CC(Common Creteria)の規定。セキュリティ機構を直接攻撃することによって、そのセキュリティを破ることができる攻撃力に対して、対抗できる評価対象のセキュリティ機能の強度。
【奇数パリティ】odd parity
データの誤りを検出する手法の一種。データの作成や送信時に、データに含まれる「1」の数を数え、これが常に奇数個になるようにパリティビットをセットする。
【監査証跡】audit trail
情報システムが安全で、信頼でき、効率的であることを証明するための証拠となるもの。各種ログ、分析資料等がある。
【監査証拠】Audit Evidence
監査基準に関連し、かつ、検証できる、記録、事実の記述又はその他の情報
【監査基準】Audit Criteria
対照のための資料として用いる一連の規格、方針、手順又は要求事項
【監査員】Auditor
監査を行う力量をもった人
【監査モジュール法】embedded audit module
システムの動作状況を監視する方法の1種。システムに組み込まれた監査用モジュールが、一定の条件のデータが発生するたびにこれを監査用ファイルに記録して、これを後でチェックする。
【完全性】integrity
「許可された利用者が必要なときに、その情報及び関連する資産にアクセスできることを確実にすること」データの改ざんや、旧版の資産の誤使用等の内容な状態を維持する。
【解読】decipherment, decryption
暗号文から平文に戻すこと。
【稼働率】availability
コンピュータシステムが正常に稼働している確率。で、システムの信頼性を評価する指標として使用される。MTBF(Mean Time Between Failures:平均故障間隔)とMTTR(Mean Time To Repair:平均修理時間)から稼働率=MTBF÷(MTBF+MTTR)で求められる。
【可用性】availability
「認可された利用者が、必要な時に、情報及び関連する資産にアクセスできることを確実にすること」情報が正しい状態、情報が完全である状態、および、情報の処理方法が正しい状態及び完全である状態を保つこと。
【下位レベル設計】low level design
CC(Common Criteria)の規定。上位レベル設計をプログラムおよび/またはハードウェアを作成するための基礎として使用できるモジュールなどの詳細レベルへ詳細化する設計仕様。
【隠れチャネル】covert channel
意図的に作ったものではないが、悪用される危険性がある信号チャネル、不正な情報フローのこと。
【一方向性関数】unreversible function
計算は簡単であるが、逆関数の計算は困難もしくは不可能である関数。計算が容易であるとは、一般に多項式時間で計算できる場合を意味する。第三者に暗号化鍵が漏洩したとしても直ちに暗号を解読されるという事態にはなりづらい。
【違法コピー】illegal copy
市販ソフトウェアの使用許諾契約の範囲外となるコピーやレンタル、著作権法を侵害するソフトウェアの複製、コンピュータへのインストール等の不正行為のこと。
【依存性】dependency
ISO/IEC 15408(以下、CC(Common Criteria)と呼ぶ)に規定される。
ある要件が満たされるためには他のある要件がみたされなければならないという要件間の依存関係のこと。
コンポーネント単位で、依存するコンポーネントが指定されている。
【暗号化メール】encrypted e-mail
第三者による、盗聴(閲覧)・改ざん・成りすまし等のリスクを回避するため送信内容を暗号化した電子メール。
【安定性】stability
システムが安定して稼働すること。信頼性(障害を発生させないで稼働する)、稼働性(常時システムを利用できる)、保守性(故障時に早期に復旧できる)、機密性(暴露から保護できる)、完全性(破壊から保護できる)等の観点からシステム全体の安定性を測ることが出来る。
【ワンタイムパスワード】one time password
リモートからサーバにネットワーク経由でアクセスする場合にはおいて、利用者の認証のために1回だけ使用できる使い捨てのパスワードのこと。
【ロールフォワード】roll forward
障害が発生したときに、処理前のバックアップファイルとログファイルの更新履歴を使用して、更新処理を行い障害直前の状態に回復させること。
【ロールバック】roll back
障害が発生したときに、復旧が可能な最新の状態を基に、データの更新内容を記録したログファイルの情報を使用して、更新前の状態に戻して改めて処理を開始すること。
【リファレンス検証機構】reference validation mechanism
CC(Common Criteria)の規定。耐タンパー性をもつ、いつでも呼び出せる、ならびに容易に十分な分析および試験ができるという特性をもつリファレンスモニタの概念を実装する仕組み。
【リファレンスモニタ】reference monitor
CC(Common Criteria)の規定。評価対象のアクセス制御方針を実現する機構の概念。
【リスク分析】risk analysis
リスク因子を特定するための、及びリスクを算定するための情報の系統的使用。ぜい弱性および脅威分析を踏まえてリスクの識別とその程度を分析する。リスクアセスメントのプロセスの一部である。
システム固有のリスク分析は行わないで、システム共通のリスクの存在を想定して、これに基づいてリスク分析を行う方法と、システム固有の機器構成や業務処理状況を踏まえてリスクの分析を行う方法とがある。
【リスク評価】risk evaluation
リスクアセスメントのプロセスの一部であり、リスクの重大さを決定するために、算定されたリスクを与えられたリスク基準と比較するプロセス。
【リスク対応】risk treatment
リスクを変更させるための方策を、選択及び実施するプロセス。
適切な管理策の採用、リスク受容、リスク回避、リスク移転の4つの方策がある。
【ペリル】peril
損失を発生させる事故や事象のこと。
ハード・ソフト障害、自然災害、犯罪、不正アクセスなど。
【プロトタイピング】protoryping
プログラムを開発時に、まず試作品(プロトタイプ)を作成し、それをテストによって修正し、必要な機能追加により完成させる方法。開発の各段階でその都度、プログラムの処理内容を確認する。
【プロテクションプロファイル】PP : Protection Profile
CC(Common Criteria)の規定。ある評価対象の分野に関して利用者の要求を満たす、実装に依頼しないセキュリティ要件を記述した文書。オペレーティングシステム、データベース、ICカード、ファイアウォール、e-ビジネスなどのPPが存在する。
【プロセスアプローチ】
ISMS認証基準で推奨される、組織においてISMSを確立、導入、運用、監視、維持、ISMSの有効性の改善を行なう場合に使われる手法の一つ。組織が行う活動を断片的に考えるのではなく、相互に関連する一連のプロセスとしてとらえ、相互関係を適切に把握、運営管理することに合わせ一連のプロセスをシステムとして適用すること。
【プロキシサーバ】proxy server
インターネット上の目的のコンテンツ(ファイルやWebページ等)をユーザのコンピュータの代わりに取って来てくれる機能を提供するサーバ。セキュリティの確保のために使用される。
【ブリッジ】bridge
LAN(Local Area Network)とLANとの間を接続する機器。OSI(Open Systems Interconnection)基本参照モデルのデータリンク層に相当する機能を持つ。
【ブラックボックステスト】black box test
システムの内部構造とは無関係に、外部から見た機能を検証するプログラムのテスト方法。
あるプログラム単位をブラックボックス(内容が把握できないもの)として、そのプログラム部分への入力内容と出力結果を照合することにより、プログラム処理の内容の妥当性を検証する。プログラムの処理内容自体をテストしないためにブラックボックスと呼ぶ。
【フットプリンティング】foot printing
目標としているコンピュータに攻撃を行う前に行う情報収集。不正侵入のためにポートスキャンを行ってポートの使用状況を調べたり、Ping攻撃の可能性を調べるためにシステム設定の不備を調べたりする。
【フォールトトレラントコンピュータ】 fault tolerant computer
障害の発生に備え、多重化された機器構成をとることにより、その機器の一部で障害が発生しても処理を継続できるようにしたコンピュータ。
【フェールソフト】fail sofutware
プログラムの処理中に障害が発生した場合、その障害箇
所だけを切り離し、処理を継続できるようにした機能。
【フェールセーフシステム】fail safe system
障害が発生した場合、その影響が安全な方向になるようにする制御方式。セキュリティ管理機能の動作に障害が発生して、正常なチェックができなくなれば、業務プログラムの動作を停止させ不正利用を防ぐ、といったもの。
【フールプルーフ】fool proof
製品や設備、ソフトウェア等において利用者が誤った操作をした場合でも、システム全体の故障や誤動作につながらないようにする設計方法。
【ファミリ】family
CC(Common Criteria)の規定。
セキュリティ対策方針に対応する機能および保証要件の単位。コンポーネントから構成される。
【ファイアウォール】fire wall
内部のネットワークと外部ネットワーク(インターネットワーク)とを接続する際に、2つのネットワーク間のアクセスを制御するために使われる機能。
あらかじめ設定されたルールに従ってデータの送受信を行なう。
【パリティ符号】parity code
パリティチェックが付加された符号。
データ通信においてパリティ検査によるエラーが検出されると、再送する。
【パリティチェック】parity check
データの誤りを検出する手法の一つ。
データが妥当なデータであるかどうかの判定基準。
【ハミング符号】Hamming Code
データの誤りを検出し、訂正するための誤り訂正符号の一種。ハミングによって考案された。ハミングコードと呼ばれる符号をつけることによって、2ビットの誤りの検出と、誤りが1ビットの場合の訂正が可能となる。
高速な誤り訂正処理が出来る。
【バッファオーバフロー攻撃】buffer overflow attack
バッファサイズを超えるような長さのデータを意図的に送信する攻撃。
【ハッシュ関数】hash function
任意の長さのデータから、固定長の文字列(ハッシュ値と呼ぶ)に要約するための一方向性の関数である。任意のデータからハッシュ値を生成でき、ハッシュ値からは、もとのデータは生成できない。
【バックドア】back door
クラッカーの侵入や攻撃を受けたサーバに不正に仕掛けられたセキュリティ上の秘密の裏口。クラッカーは侵入したシステムにリモートログインの入り口を作り、簡単に再侵入できるようにする。
【バックアップ】backup
データのコピーを取って保存すること。業務処理中に障害が発生した場合には、このバックアップファイルとログファイルに記録されたデータの更新記録を使用して、障害発生前の状態に復旧する。
【ハッカー】hacker
本来の意味としてはコンピュータやネットワークに関する専門知識と高度な技術を持ち、高機能なソフトウェアを開発したり、バグなどを簡単に発見したりする能力を持つ人のこと。プログラマ間の尊称。他人のコンピュータに侵入し不正を行うものをクラッカーといいハッカーとは区別する。
【ハザード】hazard
ハザードとは損失の発生と大きさを増大させる要因を指す。ペリルの発生によって損失を引き起こす要因となるもの。建物の構造がぜい弱である、プログラム構造がぜい弱である、などがある。
【パケットフィルタリング】packet filtering
ファイアウォール機能の1つ。送られてきたパケットIP(Internet Protocol)レベルでチェックし、許可されていないパケットの通過を拒否する。
通過を許可するかしないかはファイアウォールの管理規則として、前もって設定しておく。通過を許可する(あるいは、拒否する)、発信元アドレス、あて先アドレス、サービスのポート番号などがある。
【ネームサーバ】name server
IP(Internet Protocol) アドレスとホスト名の相互変換を行うサーバ。インターネット上でのコンピュータの名前にあたるドメイン名を、住所にあたるIPアドレスと呼ばれる4つの数字の列に変換する。IPアドレスはネットワーク接続されたすべてのコンピュータ間で一意になるように付けられ、ビット列で表現されている。また利用者が扱いやすいように、コンピュータに文字列によるホスト名を付けて通信相手を特定する。
【ニムダ】Nimda
自己増殖ウイルス(ワーム)の一種。2001年9月にインターネット上で
猛威を振るった。
Microsoft社のWindowsシリーズのOSを搭載したコンピュータに感染する。
感染すると自身を共有ドライブのすべてのファイルにコピーし、併せて、IIS(Internet Information Server)が動作しているサーバでは公開ファイルの改ざんを行い、利用者がこのファイルを閲覧するとウイルスを自動実行する。このため、Webサイトを閲覧しただけで感染する。
【なりすまし】masquerading
無許可のユーザが正規のユーザとして振舞うこと。あるいは、なりすましてシステムに不正にアクセスすること。ネットワーク上にて他人の名前やIDを利用して活動する行為全般を指す。スプーフィングともいう。
【トンネリング】tunneling
あるプロトコルのパケットの中に別の種類のプロトコルのパケットをカプセル化して送信する技術。TCP/IP(Transmission Control Protocol / Internet Protocol ) パケットの中にカプセル化するこことをIPトンネリングという。IPプロトコルをサポートしていないネットワークのパケットもIPトンネリングによってインターネットで送信できるし、IPv4パケットをIPv6環境で使用できるようにトンネリングを行なったりもする。
【トロイの木馬】Ttrojan horse
一見正常に動作しているようにみせてコンピュータへ進入し、システムを破壊したり、データの盗聴、改ざんや破棄を行うようなプログラムのこと。
プログラム内部に不正なコードが隠されている。
他のコンピュータウイルスのように感染することはしないし、自身での増殖も行なわない。
通常は、ゲームソフトやユーティリティプログラムとしてインストールされる。
【トレードシークレット】trade secret
工業所有権の1つで、企業の財産的秘密情報。
企業が開発した開発設計図や製造のノウハウ、顧客名簿など。この権利を守るために不正競争防止法がある。
【トレーシング法】tracing
特定のトランザクション処理を詳細に追跡し、プログラムの処理が正確であることを確認する方法。
【トリプルDES】triple Data Encryption Standard
暗号方式の一種
IBM社が開発、同社で開発したDESの場合、かぎの長さが64ビットであるため、高速のコンピュータで総当り計算すれば解読される危険性がある。
その危険性を回避するため、DESによる処理を3回行うものがトリプルDES。
【テンペスト】tempest
コンピュータや周辺の情報機器から漏れる電磁波を受信して、情報を盗聴する手法。
【デュアルシステム】dual system
同じシステムを2台用意して同時に同じ処理を行わせるシステム構成法。
高信頼性の確保を目的とする。
2台の装置の間で同じ結果がでるようにシステムを構築して、相互に処理結果が同じであることをチェックする。
結果が異なった場合には、その原因を調査し、障害が発生したシステムを切り離して運用を続ける。
【データ管理】data management
必要とするデータ構造をスムーズに提供することを目的にしたメモリや外部記憶装置などへのアクセスデータの管理。
バックアップやアクセス権限のチェックの適切さなどが監査の対象。
【データの完全性】data management
データが改ざんまたは破壊されていないこと
【ディジタル証明書】digital certificate
ネットワーク上の通信相手を証明するための証明書。
この証明書には、シリアル番号、証明書発行の認証局名、有効期間、所有者名、所有者の公開かぎなどの情報が含まれている。
デジタル証明書の仕様は
ITU-T(International Telecommunication Union-Telecommunication Standardization Sector)のX.509に準拠している。
【ディジタル署名/電子署名】digital signature / electronic signature
データの送信者の身元やデータの安全性を保証し、データの偽造から保護するためにデータに付加される暗号化された署名情報
公開かぎ暗号方式では暗号化と復号は異なったかぎを使用する。
これを使用すると、データの暗号処理を行った人を特定できる。これが電子署名である。
この署名はデータのハッシュ値を自身の秘密鍵を用いて暗号化した署名を文書に付加して送る。受取人は、署名者の公開鍵を用いて署名を復号し、正しい内容かどうか確認する
【チェックポイントリスタート】check point restart
トランザクションやプログラム処理中に発生した障害から復旧するための方法
障害が発生した場合の復旧のために、チェックポイント(時刻、通番など)を挿入した操作に関するバックアップを保持しておく。
障害が検出された場合、直前のチェックポイントまで処理を戻し、再度実行する。
【チェックサム】check sum
データを送受信する際の誤り検出方法の一つ
データを一定のビット数のブロックに分割し、あらかじめデータの合計の値を計算しておいて、データの伝送のときに、データと合計の値を送り、受信側では受信データの合計を計算して、送信側で計算した合計値と比較する。
伝送されたデータの値に誤りがあれば、合計の値は一致しないため、誤りを検出できる。
【タイムスタンプ】time stamp
時刻情報。
ファイルなどの電子データにおいて、
その作成や更新などが行われた日時を示す情報
タイムスタンプには、証拠性が要求される。
証拠性の証明のための、第三者機関により電子データに対して
正確な日時情報を付与し、その時点での電子データの存在証明と
非改ざん証明を行う仕組みや技術のことをさす場合もある。
【セキュリティ方針モデル】security policy model
CC(Common Criteria)の規定
セキュリティの方針を構造的に表現したもの。
セキュリティ機能仕様がセキュリティ方針に一致し、
最終的にセキュリティ機能要件に一致していることを保証するために使用する。
(例)
アクセス制御方針モデル、情報フロー方針モデル等
【セキュリティ評価基準】security evaluation criteria
コンピュータシステムのセキュリティ要件を客観的に評価する基準。
セキュリティ要件は機能要件と保証要件からなる。
【セキュリティ対策方針】security objective
CC(Common Criteria)の規定
識別された脅威に対抗するためのセキュリティ方針
組織のセキュリティ方針や前提を満足するために必要なセキュリティ方針。
セキュリティターゲットの中で、評価対象セキュリティ環境
(脅威、組織のセキュリティ方針、前提)への対抗や対応として規定される。
【セキュリティ対策】security counter measure
リスクを低減する実践、手順、またはメカニズム、仕組み
【セキュリティ属性】security attribute
CC(Common Criteria)の規定
評価対象セキュリティ方針の実施を目的として用いられるサブジェクト、利用者、オブジェクトに関してその特性を規定した情報。
