🛡️

用語分類【安全確保支援士】

に公開
情報処理安全確保支援士
tech

支援士勉強向けに出てきた用語を、分類分けしてまとめていっています。

用語に対する頭の整理に利用してください。
※2025年3月更新中、分類も順次整理していきます

情報セキュリティ

  • 機密性(Confidentiality):許可された人だけがアクセスできること
  • 完全性(Integrity):情報が正確でありつづける(改ざんから守られている)こと
  • 可用性(Availability):情報にいつでもアクセスできること
  • 真正性( Authenticity):本物であることを示す特性
  • 責任追跡性(Accountability):誰が何をしたのかを特定できるようにすること
  • 否認防止(NonRepudiation):発生した事象や処理を後になって否定できないように証明する能力
  • 信頼性(Reliability):システムや情報が意図したとおりに動作し、正確であることを保証する概念
     ※否認防止と真正性は完全性に含まれる

暗号化用語

■共通鍵暗号方式

ブロック暗号:ブロックごとに暗号化を行う

  • AES
  • Camelia
  • DES(レガシー技術)

ブロック暗号のモード

  • ECB:平文を一定のサイズに区切って暗号化:現在非推奨
  • CBC:ひとつ前の暗号化ブロックと平文ブロックの排他的論理和を取り、その値を暗号化する
  • CFB:ひとつ前の暗号ブロックを更に暗号化し、平文との排他的論理和から暗号ブロックを作る
  • OFB:暗号アルゴリズムの出力と平文ブロックの排他的論理和から暗号ブロックを得る
  • CTR:ひとつずつ増加していくカウンタを利用した鍵ストリームと、平文ブロックの排他的論理和を取って暗号文ブロックを得る

ストリーム暗号:1ビットor1バイト単位で暗号化する方式

  • Kcipher-2
  • RC4(レガシー技術)

■公開鍵暗号方式

  • RSA
  • 楕円曲線暗号
  • DSA

■ハッシュ関数

特徴

  • 原像計算困難性 ハッシュ値から元のメッセージを見つけるのが難しい
  • 衝突発見困難性 同じハッシュ値になる二つのメッセージを見つけるのが難しい
  • 第二現像計算困難性 メッセージとそのハッシュ値がわかった場合に、そのハッシュ値と同じになる異なったメッセージを見つけるのが難しい

■暗号通信における仕組み

  • 前方秘匿性:暗号通信において、秘密鍵が漏洩しても、それ以前の情報を解読されないようにする仕組み

■CRYPTREC 暗号リスト

  • 電子政府推奨暗号リスト
  • 推奨候補暗号リスト
  • 運用監視暗号リスト

識別・認証・認可・記録(IAM)

■識別(Identification)

→ID管理。利用者ごとのIDを管理する

■認証(Authentication)

→通信相手が本人であるかどうかを確認すること

認証の種類

1.エンティティ認証:相手が本人であることを確認する

  • ユーザー認証:本人であることの確認
    • パスワード認証:知識情報
      • メッセージダイジェスト:ハッシュ関数を使って生成された固定長のハッシュ値
      • ワンタイムパスワード:ログイン時に毎回パスワードを変更する方式
        • S/key:サーバーにパスフレーズを保存し、シードとシーケンス番号を使ってチャレンジを作成。シーケンス番号を1減らすことによって、サーバとクライアントでそれぞれワンタイムパスワードを作成し、一致すれば本人と判断する。
    • 所有物での認証:所持情報
    • バイオメトリクス認証:生体情報
      • 二要素認証(多要素認証)
        →上記の認証の三要素のうち、二つまたは複数を使って本人を確認する認証方法
      • リスクベース認証
        →端末や位置情報・時間等の情報から普段通りかどうかを判断し、異常を感じた場合に追加認証を行う。
      • 生体認証
      • IEEE802.1X認証
      • ICカード認証
      • FIDO認証
  • サーバー認証:正規のサーバーであることの確認
  • クライアント認証:正規の端末であることの確認

2.メッセージ認証:送られてきた文書が本物であるかを確認する

3.電子署名と電子証明書:本人と文書が本物であるかを確認する

  • 電子署名(デジタル署名):署名者本人であることや文書が本人のものであることを、本人が証明する技術

    • トランザクション署名

  • 電子証明書:第三者が署名が本物であることを証明する技術

    • PKI(公開鍵基盤)

      • RA(登録局):ラ(RA)ーメン屋では受付で本人確認が必要
      • CA(認証局):サ(CA)イン屋さんで身分証を発行
      • AA(属性認証局):アスキーアートでプロフィールカードづくり
      • VA(証明書有効性検証局):バ(VA)ッチリ確認

    • CRL:証明書失効リスト

      • OCSP リアルタイムでデジタル証明書の失効状態を検証するプロトコル
        • ITU-X.509:デジタル証明書や証明書失効リスト(CRL)の技術仕様の標準仕様
        • CP 認証局の運用方式や安全性を対外的に示す文書
        • CPS 認証局の運用規定

■認証フレームワーク

  • IEEE802.1x
    • 認証する側:認証サーバ
    • 認証の要求を受ける:オーセンティケータ
      • 認証サーバとオーセンティケータ間はRadiusプロトコルでやり取りされる
    • 認証される側:サプリカント
      • オーセンティケータとサプリカント間はEAPOL(EAP over LAN)でやり取りされる

■認証プロトコル

EAP

  • EAP-PEAP:暗号通信内で利用者IDとパスワードによる利用者認証
  • EAP-MD5:暗号通信内でCHAPを用いたチャレンジレスポンスによる利用者認証
  • EAP-TLS:デジタル署名による認証サーバとクライアントの相互で認証を行う
  • EAP-TTLS:あらかじめ、登録した共通鍵によるサーバ認証と、時刻同期のワンタイムパスワードにより利用者認証を行う
  • EAP-FAST:証明書なしで運用可能、PACと呼ばれる共通鍵を事前に作成して認証を行う。

メッセージ認証符号(mac)

  • CMAC
  • HMAC

■認可(Authorization)

→適正な権限をユーザーに与えること

  • 認可の技術
    • OAuth

■アカウンティング(Accounting)

→利用者のアクセスログを記録すること

AAAフレームワーク

  • 認証・認可・アカウンティングの頭文字でAAA
  • RFC2904で規定

    プロトコル

    • RADIUS
    • DIAMETER

■シングルサインオン:あるサービスで認証・認可された内容を別のサービスで利用すること

  • 共有手段

    • SAML(XMLベースでの共有)
    • クッキー方式(Cookieを使った共有)
    • kerberos方式
    • リバースプロシキ方式

  • OpenID

  • OAuth

  • FIDO

  • FIDO2

  • WebAuthn

  • WPA3

  • Enhanced Open(パスワードなしで端末とAP間の通信を暗号化)

攻撃関係用語

パスワード関係

  • ブルートフォース攻撃(総当たり攻撃)
    →正解のパスワードに行きつくまで、しらみつぶしにパスワードを試す攻撃
  • 辞書攻撃
    →意味のある単語を試し、パスワードを発見する攻撃
  • パスワードリスト攻撃
    →外部から入手したID・パスワードを用いて、その他のサイトにログインできるかを試す攻撃
  • レインボー攻撃
    →パスワードがハッシュ値で保存されているものに対してハッシュ値を取得し、平文パスワードとハッシュ値のリストからパスワードを推定する攻撃

サイドチャネル攻撃

  • テンペスト攻撃(電磁波解析攻撃)
  • 故障利用攻撃
  • タイミング攻撃
  • 電力解析攻撃
  • プロービング

DOS攻撃

  • Smurf攻撃(スマーフ攻撃)
  • SYN flood攻撃
  • UDP flood攻撃
  • HTTP POST flood攻撃
  • メールボム攻撃
  • マルチベクトルDDos攻撃
  • DRDos攻撃

関連平文攻撃
ショルダーハッキング
ジャミング
プロービング
スミッシング
中間者攻撃(MITM攻撃)
スキャベンジング

Webサイトに対する攻撃

SQLインジェクション
HTTPヘッダーインジェクション
クロスサイトスクリプティング
クロスサイトリクエストフォージェリ
セッションハイジャック

OSコマンドインジェクション
ビジネスメール詐欺
ランサムウェア
パスワードスプレー攻撃
パスワードリスト攻撃
ディレクトリトラバーサル攻撃
DNSアンプ攻撃
DNSリフレクタ攻撃
DNSキャッシュポイズニング攻撃

  • カミンスキー攻撃

パスワードリスト攻撃
クリプトジャッキング
キーロガー
Pass the hash攻撃
エクスプロイトコード

サイバーキルチェーン

  • 偵察
  • 武器化
  • 配送
  • 攻撃
  • インストール
  • 遠隔操作
  • 目的達成

ルートキット 攻擊ツールの痕跡を隠蔽するツール

ポートスキャナー
iLogScanner
MyJVN
Remote Access Tool
シグネチャコード

脆弱性検査ツール
ウイルス対策ソフト

マルウェア検出技術

  • コンペア法
  • パターンマッチング法
  • チェックサム法
  • ヒューリスティック法
  • ビヘイビア法

CVE(共通脆弱性識別子)
CCE(共通セキュリティ設定一覧)
CWE(共通脆弱性タイプ一覧)
CPE(共通プラットフォーム一覧)
CVSS(共通脆弱性評価システム)

  • 基本評価基準
  • 現状評価基準
  • 環境評価基準

フレームワーク・ガイドライン

名称 内容 提供元 URL
JIS Q 27001(ISO/IEC 27001・ISMS) 組織の情報セキュリティを確実に管理・運用するための標準規格
JIS Q 27002(ISO/IEC 27002) ISMSの過程で選定・実践すべき情報セキュリティ管理策の規範
JIS Q 27014(ISO/IEC 27014) 情報セキュリティのガバナンスに関する規格、経営層の役割と責任を定めている
JIS Q 27017(ISO/IEC 27017・ISMSクラウドセキュリティ認証) クラウド環境における情報セキュリティ管理策を実践するための規範
JIS Q 30147(ISO/IEC 30147) IoT製品やサービスの安心・安全を確保するためのライフサイクルプロセスの規格
JIS X 5070(ISO/IEC 15408) IT関連製品のセキュリティ機能について、評価・認証を行う制度
PCI DSS(Payment Card Industryデータセキュリティ基準) クレジットカード情報を安全に取り扱うための、国際的なセキュリティ基準
サイバーフィジカルセキュリティ対策フレームワーク 産業界のサプライチェーンにある物理とサイバー空間を守る安全対策指針 経済産業省
サイバーセキュリティ経営ガイドライン(ver2.0) 経済産業省・IPA
中小企業の情報セキュリティ対策ガイドライン
テレワークセキュリティガイドライン 総務省
証拠収集とアーカイビングのためのガイドライン
クラウドサービス利用のための情報セキュリティマネジメントガイドライン 経済産業省
クラウドサービス提供における情報セキュリティ対策ガイドライン 総務省
データセンターセキュリティガイドブック
ISMAP

ソフトウェア管理ガイドライン

NIST(アメリカ国立標準技術研究所)関連
FIPS全般 情報処理標準規格群
FIPS PUB 140-3 暗号モジュールのセキュリティ要求事項
SCAP セキュリティ設定標準化
コンピューターセキュリティインシデント対応ガイド
サイバーセキュリティフレームワーク( CFS)

  • コア
  • ティア
  • プロファイル

ISMAP

  • LIU

ISO/IEC 15408

PMS 個人情報保護マネジメントシステムの整備管理運用に、関する仕組み

EDSA認証:組込機器のセキュリティレベルを評価する認証制度

無線通信

IEEE802.11i 無線LANセキュリティの技術仕様
プライバシーセパレータ
SSIDステルス機能
MACアドレスフィルタリング

メール

OP25B
IP25B

DNS

  • DNSスプーフィング:DNSにあるレコードを変更する攻撃
  • 対策:DNSSEC
    • DNSキャッシュポイズニング:権威DNSへの問い合わせに対し、権威DNSより早く回答することで、キャッシュDNSサーバのレコードを書き換える攻撃
    • 対策:DNSSEC、ソースポートをランダムにする
      • カミンスキー攻撃:同じドメインの存在しないアドレスを問い合わせることで発生する、
      • 対策:上位階層のURLの問い合わせに対し、DNSキャッシュポイズニングを仕掛ける攻撃

政府機関等のサイバーセキュリティ対策のための統一基準群

  • 統一規範
  • 統一基準
  • 対策基準策定ガイドライン

CMMC アメリカ国防総省 サイバーセキュリティ成熟度モデル認定プログラム
CMMI 組織のプロセス改善の能力・成熟度を評価するフレームワーク
SAMM 組織固有のリスクに応じたソフトウェアセキュリティ対策を評価するフレームワーク
SIM3 Open Csirt Foundation セキュリティマネジメントの成熟度モデル

ステートフルパケットインスペクション方式
アプリケーションゲートウェイ方式
サーキットレベルゲートウェイ方式

IPS

  • シグネチャ型
  • アノマリ型
  • プロミスキャスモード
  • インラインモード

サイバー共有イニシアチブ(J-csip)

コンティンジェンシープラン

NICT
NOTICE
総合テストベッド
Daedalusダイダロス

インシデント対応

■CSIRT

セキュリティインシデントに対応するための専門チームのこと

  • JPCERT/CC:日本国内に関するインシデント等の報告の受け付け、対応の支援などを技術的な立場から行なう組織
  • 日本シーサート協会:日本のCSIRTの集まり

■インシデント対応手順:CSIRTマテリアルより

  • 1.インシデント発生前
    • 情報収集・事象分析:自組織に関係あるセキュリティ情報を収集する
    • 脆弱性対応:アップデート等を行い、組織の問題を解消する。
    • 情報提供:従業員への啓もう活動の実施
    • 対応手順:プロセスやマニュアル等の作成
  • 2.インシデント発生時
    • 検知/連絡受付:点検時の発見や監視システムからのアラート、または従業員からの連絡
    • トリアージ:情報収集(内容・影響範囲)や対応の判断(優先順位の設定・応急対応・注意喚起)
    • インシデントレスポンス:分析と対応計画の策定、計画の実施と連絡があった場合は回答
    • 報告・公開:社外への公開や公的機関への連絡、メディアへの対応等
  • 3.インシデント発生後
    • 再発防止策の検討

■インシデント対応キーワード

  • SOAR:セキュリティ監視や対応手順の自動化や効率化を行うための体制・技術・ソリューションのこと
    • S(Security)
    • O(Orchestration:オーケストレーション):情報や証跡を収集するための連携
    • A(Automation):運用の自動化
    • R(Responce):インシデント対応
  • EDR:エンドポイント(端末)の監視や攻撃の検知を行う仕組み
  • デジタルフォレンジックス:インシデント発生時の証拠保全や状況再現、情報分析の技術のこと

Discussion