セキュリティ

ビジネスインパクト分析

障害や災害によりシステムが停止した場合の事業への影響を評価する分析手法。

リスクアセスメント

リスクアセスメントは、リスク特定、リスク分析およリスク評価の全般的なプロセスである。

IDS（Intrusion Detection System、侵入検知システム）

異常を検知した場合に、管理者に通知するなどの処置を行うシステム。
ネットワーク型IDS（NIDS）、ホスト型IDS（HIDS）

ISMS（情報セキュリティマネジメントシステム）

Plan（計画）

• リスクアセスメントの実施
• 情報セキュリティポリシの策定など

Do（実行）

• 情報セキュリティポリシに基づく対策の実施
• セキュリティ教育の実施など

Check（評価）

• 対策の実施状況の監視・評価など

Act（見直し・改善）

• 情報セキュリティポリシの見直し
• 問題の是正・改善など

サイバーセキュリティ経営ガイドライン

• セキュリティ投資にリターンは望めないので、経営者がリーダシップをとって対策を推進すべきである。
• 系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要である。
• 平時からのセキュリティ対策に関する情報開示など、ステークホルダーとの適切なコミュニケーションが必要である。

S/MIME（Secure/Multipurpose Internet Mail Extensions）

暗号技術を使用して「認証」「改ざん検出」「暗号化」などの機能を電子メールソフトに提供するもの。

セキュリティバイデザイン（SBD）

情報セキュリティを企画・設計段階から確保するための方策。

サラミ法

不正行為が表面化しない程度に、多数の資産から少しずつ詐取する方法である。

プライバシーセパレーター

同一の無線LANに接続された子機同士の通信を禁止する機能。

ジャンクメールフィルター

無差別に配信されているスパムメールを迷惑メールとして振り分ける技術。

C&C（コマンド&コントロール）サーバ

攻撃者がマルウェアに対して指令となるコマンドを送信し、マルウェアが仕掛けられたコンピューターの動作を制御するために用いられる外部の指令サーバー。

SMTP-AUTH（SMTP Authentication）

メール投稿にあたってユーザ認証の仕組みがないSMTPを拡張し、ユーザ認証機能を追加した仕様。

LANアナライザー

LAN上を通過するパケットを監視したり記録するためのハードウェアまたはソフトウェアのこと。

WAF（Web Application Firewall）

Webアプリケーションの防御に特化したファイアウォールで、パケットのヘッダー部に含まれるIPアドレスやポート番号だけでなくペイロード部（データ部分）をチェックし、攻撃の兆候の有無を検証。

パケットフィルター型ファイアウォール

通過するパケットのIPアドレスとポート番号を見て通過の可否を決めます。

Webビーコン

Webページなどに小さい画像を埋め込み、利用者のアクセス動向などの情報を収集する仕組み。

ハニーポット

意図的に脆弱性をもたせたシステム又は、ネットワーク。

CSIRT（Computer Security Incident Response Team、シーサート）

対象とする範囲でセキュリティ上の問題が起きていないかどうかを監視するとともに、セキュリティインシデントの発生時に対応にあたるチームや組織の総称。

ファジング

ソフトウェアの脆弱性を検出できる。

ディレクトリトラバーサル攻撃

ユーザが入力したファイル名をパラメーターとして受け取り、それをもとに処理を行うアプリケーションに対して行われる攻撃手法。

セッションハイジャック

セッションIDによってセッションが管理されるとき、攻撃者がログイン中の利用者のセッションIDを不正に取得し、その利用者になりすましてサーバにアクセスする。

セキュアブート

コンピューターの起動時にOS起動ファイルやドライバーのディジタル署名を検証し、起動プロセスを認証することで、不正なプログラムの実行を未然に防止する仕組み。