searchカテゴリー選択
chevron_left

カテゴリーを選択しなおす

cancel
プロフィール PROFILE

okuraさんのプロフィール

住所
未設定
出身
未設定

自由文未設定

ブログタイトル
情報処理安全確保支援士への道
ブログURL
https://okura-sc.hateblo.jp/
ブログ紹介文
情報処理安全確保支援士資格取得まで、 日々覚えたことを記録します。
更新頻度(1年)

37回 / 51日(平均5.1回/週)

ブログ村参加:2020/04/05

本日のランキング(IN)
読者になる

新機能の「ブログリーダー」を活用して、okuraさんの読者になりませんか?

ハンドル名
okuraさん
ブログタイトル
情報処理安全確保支援士への道
更新頻度
37回 / 51日(平均5.1回/週)
読者になる
情報処理安全確保支援士への道

okuraさんの新着記事

1件〜30件

  • リスク対応とは

    Risk Treatmentリスクに関しての情報を入手、分析、評価した後に行う活動。リスク対応は、以下の4つに分類することができる。 1.リスク回避 リスクの要因そのものを取り除くことでリスクをなくしてしまう対策。 2.リスク移転 リスクを自組織外に移転する対策。 保険への加入や、業務のアウトソースなど。 3.リスク低減 リスクの発生確率の低減や損失を最小化するための措置をとる対策。 4.リスク保有 リスクに対して何もしない対策。 発生頻度が低く、リスクが受け入れ可能と判断された場合の選択肢。 不正リスク対応監査 作者:田中 智徳 発売日: 2020/03/13 メディア: 単行本

  • 衝突発見困難性とは

    ハッシュ値に関する指標同じハッシュ値をとるようなメッセージの組を一つでも見つけることは非常に困難という性質。 ハッシュ値とは、元のデータからある計算式 (ハッシュ関数)によって得られる固定長の値のこと。衝突発見困難性が高いハッシュ関数ほど、セキュリティレベルが高いということになる。 ハッシュ値から元のデータを求めることが困難であることは、原像計算困難性と言う。 暗号技術入門 第3版 秘密の国のアリス 作者:結城 浩 発売日: 2015/09/17 メディア: Kindle版

  • SOAとは

    Service Oriented Architectureサービス指向アーキテクチャ システムを、利用者側から見たサービスという構成単位で構築する手法。 サービスの内容は、利用者側の視点から見た作業単位に対応して決められる。業務環境の変化に柔軟に対応することができるように、個々のサービスが部品として独立しサービス間の関係が疎結合であることが重要。 サービス間の連携にはSOAPやXMLなどの標準化されたデータ形式やプロトコルが用いられる。 SOA大全 サービス指向アーキテクチャ導入・設計・構築の指針 作者:カール・バンク,ディルク・スラマ,山下 眞澄 発売日: 2005/11/23 メディア: …

  • IPスプーフィングとは

    IP Spoofing送信元のIPアドレスを偽装(なりすまし)して通信を行う攻撃手法。DoS攻撃において、攻撃元の特定を困難にすることができる。 IPスプーフィングへの対策・外部から入るパケットの送信元が自ネットワークと同じIPアドレスの場合は破棄する。・外部へ出ていくパケットの送信先が自ネットワークと同じIPアドレスの場合は破棄する。など。 間違いだらけのサイバーセキュリティ対策 目的志向型で実装する効果的なセキュリティ強化策 作者:香山哲司 発売日: 2017/01/31 メディア: Kindle版

  • WAFとは

    Web Application Firewallウェブアプリケーションの脆弱性をついた攻撃を検知・遮断するソフトウェア(またはハードウェア)。 一般的なファイアウォールと異なり、データ部分をアプリケーションレベルで解析できるのが特徴。 ウェブアプリケーション自体にセキュリティの問題があっても、WAF製品を導入することによってそれを無害化できるという便利さがある。 徳丸浩のWebセキュリティ教室(日経BP Next ICT選書) 作者:徳丸 浩 発売日: 2015/11/10 メディア: Kindle版

  • PCIデータセキュリティ基準とは

    Payment Card Industry Data Security Standardクレジットカード情報および取り引き情報を保護するために策定されたクレジット業界におけるグローバルセキュリティ基準。クレジットカードの国際ブランド大手5社共同(VISA,MasterCard,JCB,American Express,Discover)により策定された。カード会員データおよび取り引き情報を保護するための12要件が規定されている。 https://www.pcisecuritystandards.org/documents/PCI_DSS_v3_2_1_JA-JP.pdf PCI データセキュリ…

  • VDIとは

    Virtual Desktop Infrastructure デスクトップ仮想化パソコンのデスクトップ環境をサーバ上に仮想環境として用意・集約してサーバ上で稼働させる技術。 利用者がネットワークを通じてVDIサーバ上の仮想デスクトップ環境に接続し、利用者のPCにはVDIサーバからの操作結果画面のみが転送される仕組み。クライアントPCとVDIサーバ間は画面転送プロトコルだけを利用すれば、クライアントPCへのマルウェア等の侵入やPC内のファイル流出を抑止することができる。 狭義でのVDIは、デスクトップ仮想化の実装方式を指す。 VDI方式・・・1ユーザーに対して1つの仮想デスクトップ環境を割り当て…

  • DNSSECとは

    DNS Security ExtensionsDNSにおける応答の正当性を保証するための拡張仕様。ドメイン登録情報にデジタル署名を付加することで、正当な管理者によって生成された応答レコードであることを保証する。サーバとクライアント双方がこの拡張に対応していればDNS応答の偽装や改竄を検出することができる。 実践DNS DNSSEC時代のDNSの設定と運用 (アスキー書籍) 発売日: 2014/02/20 メディア: Kindle版

  • AESとは

    Advanced Encryption Standard2000年にアメリカ政府が標準として策定した共通鍵暗号方式。 以前の標準暗号であったDESの時代経過による相対的な強度の低下などにより、次世代暗号方式として規格化された。 暗号化に用いるブロック長は128ビット、使用する鍵の長さは128/192/256ビットから選択が可能。暗号化は複数の演算を連続して行うラウンドと呼ばれる処理を繰り返すことによって行われる。128ビット鍵では10ラウンド、192ビット鍵では12ラウンド、256ビット鍵では14ラウンドを繰り返す。 暗号技術のすべて 作者:IPUSIRON 発売日: 2017/08/03 メ…

  • CVEとは

    Common Vulnerabilities and Exposures(共通脆弱性識別子)一般公表されている脆弱性情報を掲載している脆弱性情報のデータベース。米国政府の支援を受けた非営利団体のMITRE社が管理運営している。世界各国の製品開発企業、セキュリティ関連企業、調整機関等が広く利用している。1999年のCVE登場以前は、脆弱性に対して製品ベンダーなどが独自に名前を付けていたため、脆弱性を一意に特定することが困難だった。現在では、主要なベンダーから脆弱性情報が公開される時には、CVEIDという番号が付与された上で公開される。 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 …

  • サンドボックスとは

    Sandboxコンピュータ上に設けられた安全なプログラム実行環境。外部から受け取ったプログラムを保護された領域で動作させることにより、システムが不正に操作されるのを防ぎセキュリティを向上させる仕組み。 サンドボックスの例としては、JavaアプレットAdobe Flashなど 砂遊び My Little SandBox マイリトルサンドボックス PlaySet BIGBUILDER 砂 遊び メディア: おもちゃ&ホビー

  • OSコマンドインジェクションとは

    OS command injectionユーザからのデータ入力を受け付けるシステムにおいて、入力値としてOSへの命令文を与えることで、サーバのファイルの不正操作やパスワードの不正取得などを行う攻撃。 コマンドインジェクションを行う攻撃への対処が不十分だと、コンピュータの乗っ取り、他のコンピュータへの攻撃の踏み台、コンピュータウイルスのばらまき、フィッシング詐欺等の悪用が起こり得る。 サイバー攻撃 ネット世界の裏側で起きていること (ブルーバックス) 作者:中島明日香 発売日: 2018/01/19 メディア: Kindle版

  • デジタル証明書とは

    digital certificate公開鍵証明書(public key certificate)とも言う。 インターネット上で行われる公開鍵暗号化方式において、公開鍵が所有者本人のものであることを確認するためのデータセットのこと。 デジタル証明書は、認証局(CA)と呼ばれる第三者機関によって発行される。 暗号技術のすべて 作者:IPUSIRON 発売日: 2017/08/03 メディア: Kindle版

  • SSL/TLSとは

    Secure Sockets Layer / Transport Layer Security インターネット上で通信データを暗号化する技術。通信データを暗号化することで、データの盗聴や改ざんなどを防ぐことができる。 HTTP,SMTP,POP,FTPなどの通信を平文で行うプロトコルに利用されて、アプリケーション層とトランスポート層(TCP)との間で暗号化する。 TLSはSSL3.0の基本設計を引き継いだもの。現在、SSLと呼んでいるものは、実質TLSを指していることも多いが、SSLの名称がまだ一般に広く認知されているため、「SSL/TLS」と併記されることが多い。 マスタリングTCP/IP …

  • 耐タンパー性とは

    tamper resistance機器やソフトのセキュリティレベルを表す指標。 機器やソフトウェアなどの内部構造や記録されたデータなどが、外部から解析、読み取り、改ざんされにくいようになっているという性質。 タンパーは「改ざんする」という意味。機密情報や暗号化処理などを取り扱うICチップなどが備えている。 耐タンパー性を高める手法・外部から干渉されにくいように機密性を高める・外部から干渉を受けると内部が破壊されてしまう機構を設ける 【Amazon.co.jp 限定】KS TOOLS 1本のTX耐タンパーキーレンチセット3個、8個入り 3 in 1 TX tamperproof key wren…

  • EDoS攻撃とは

    Economic Denial of Serviceサービス停止を目的とするのではなく、標的に経済的な損失を与えることを目的とするDoS攻撃のこと。 クラウドサービスの料金体系は、使用したリソース(トラフィックやストレージ容量)に応じた従量課金制であることが多い。攻撃者は、標的が使用しているクラウドサービスに対して不要なリクエストを大量に送りつけるなどしてリソースの使用量を上げることにより、標的に、本来支払う必要のない利用料を支払わせるように仕向ける。また、攻撃による負荷の増大によってサービス停止となればサービス提供の機会損失にもつながる。 Web担当者のためのセキュリティの教科書 作者:株式…

  • TFTPとは

    Trivial File Transfer ProtocolFTPの簡略化版UDPを用いてファイル転送をするためのプロトコル。 FTPとの違いは、・ユーザ名とパスワードによる認証機能がない・通信ポートは69/UDPを使用する・ディレクトリ一覧取得などの機能がない・コネクション処理のオーバヘッドが少ない イントラネット内のネットワーク機器の設定更新などに使用される。 マスタリングTCP/IP―入門編―(第6版) 作者:直也, 井上,公保, 村山,隆史, 竹下,透, 荒井,幸雄, 苅田 発売日: 2019/12/01 メディア: 単行本

  • 特許要件とは

    日本国内で特許をとるには、以下の要件を満たす必要がある。1.産業上利用することができる2.新規性がある3.容易に考え出すことができない進歩性がある4.先に出願されていない5.公序良俗を害するおそれがない 特許出願より前に公開された発明は、原則として特許を受け取ることができない。 技術者のための特許実践講座 技術的範囲を最大化し,スムーズに特許を取得するテクニック 作者:小川 勝男,金子 紀夫,齋藤 幸一 発売日: 2016/02/18 メディア: 単行本(ソフトカバー)

  • タイムスタンプとは

    Time Stamp正確な時刻を電子文書に付与することで、その時刻にその電子文書が存在していたことを証明する技術。信頼できる第三者機関である時刻認証局(Time Stamping Authority)が発行する電子データ。 電子文書のタイムスタンプが証明すること・ある時刻にその文書が存在していた(存在)・その文書は改ざんされていない(完全性) 改訂版 電子契約の教科書 ~基礎から導入事例まで~ 作者:宮内 宏 発売日: 2019/07/01 メディア: 単行本

  • ダークウェブとは

    dark web GoogleやYahoo等の検索エンジンの検索結果にヒットせず、GoogleChromeやIEなどの一般的なWebブラウザーでは閲覧できないWebサイト群。ダークウェブでは違法性の高い情報などが多く扱われている。 ダークウェブというワードに対して、通常の検索エンジンで検索できる通常のWebサイトをサーフェイスウェブ(表層Web)、通常の検索エンジンでは検索されないように設定されているが、一般的なWebブラウザで閲覧可能なWebサイトをディープウェブ(深層Web)と言う。 ダークウェブの元になった技術は、情報通信の秘匿性を確保するという目的のために考案された技術「オニオン・ルー…

  • ダークネットとは

    darknet インターネット上で到達可能だが、使用されていないIPアドレス群 マルウェアの活動傾向などを把握するために利用される。 特定のホストに割り当てられていない未使用のIPアドレス宛にパケットが送信されることは稀なはずだが、ダークネットを観測すると相当数のパケットが未使用のIPアドレス宛に送信されている。ダークネットを観測することで、インターネット上で行われている不正活動を把握することが可能。基本的にダークネットに到達するパケットは不正なものであるため、観測された全てのパケットを不正なものとみなして分析できる点がダークネット観測の利点。 ダークウェブ(深層Webとは違う) ウイルスとマ…

  • SAMLとは

    Security Assertion Markup Language シングルサインオンやID連携の機能を実現するためのXMLをベースにした標準規格。標準化団体OASISによって策定された。認証情報の交換方法はSAMLプロトコルとしてまとめられていて、SAMLを用いて異なるドメイン間で認証情報を交換することで、複数のドメインを用いるサービスにおいてもシングルサインオンの仕組みやセキュアな認証情報管理を実現することができる。 成長する企業はなぜSSOを導入するのか 作者:日本ヒューレット・パッカード株式会社 発売日: 2017/12/05 メディア: Kindle版

  • 共通フレームとは

    ソフトウェアの構想から開発、運用、保守、廃棄に至るまでのライフサイクルを通じて必要な作業項目、役割等を包括的に規定した共通の枠組み。プロセスごとに作業の主体者(役割)を定義して責任の所在を明らかにしている。 目的は、日本において、ソフトウェア開発に関係する人々(利害関係者)が、「同じ言葉で話す」ことが出来るようにするため。 背景は、1.利害関係者同士の認識のズレによるトラブルの発生がある。2.取引における作業項目、役割分担等が明確でなく取引の適正化がされていない。 作成者は、ユーザ企業、ベンダ企業、IPA/SEC、大学、経済産業省からなる開発プロセス共有化部会。 プロダクトの品質はプロセスの品…

  • マッシュアップとは

    Mashup 公開されているWebサービスのAPIを組み合わせて一つの新しいWebサービスのように機能させること。 既存のWebサービスを利用して加工し、短期間でWebサービスの開発ができることから、新しい開発技法として注目されている。 マッシュアップの語源は、2つ以上の音源からトラックの一部を取り出して、それらをもともとあった曲のようにミックスし重ねて一つにする音楽の手法。 Google Maps APIプログラミング入門 改訂2版 (アスキー書籍) 作者:勝又 雅史 発売日: 2014/06/23 メディア: Kindle版

  • アーランとは

    erlang 電話の分野で用いられる単位時間当たりのトラフィック量(呼量)を表す単位。 1アーランは1つの資源を継続的に利用している状況を意味している。単位時間(例えば1時間)に1本の回線を100%利用したときのトラフィック量が1アーラン。 デンマークの電話技師であり、トラフィック理論を提唱したAgner Krarup Erlangの名に由来している。 納得する情報通信ネットワーク入門 第6巻: トラヒックとふくそう制御 作者:白井豊 発売日: 2016/11/20 メディア: Kindle版

  • 隠れ端末問題とは

    hidden node problemネットワーク通信の分野において、ALOHAや、CSMA/CA、IEEE 802.11などのプロトコルで発生する問題。無線LAN通信においては、アクセス制御方式としてCSMA/CAが採用されている。互いに相手の通信を検知できない関係にある複数の機器が、同じ機器に向けて同時に信号を送信してしまい、信号の衝突(コリジョン)が発生してしまう問題。 無線LAN技術 最強の指南書 発売日: 2019/10/03 メディア: Kindle版

  • OP25Bとは

    Outbound Port 25 Blockingインターネットサービスプロバイダ(ISP)の顧客が自前のメールサーバから迷惑メールを送信したり、ウイルスに感染したPCからウイルスメールが送信されることを防止するために、ISP側で許可した特定のサーバ以外のSMTP(TCP25番ポート)の送信を遮断する対策。 そのため、自前でメールサーバを構築しているユーザーは、Submissionポート(TCP587番)やISPの用意する転送用のメールサーバを利用する必要がある。 スパムメールの教科書 作者:綾太, 渡部,健二, 愛甲 メディア: 単行本

  • フールプルーフとは

    fool proof人の間違いの発生頻度を下げることに対応した設計方法。入力データのチェックやエラーメッセージの表示などの機能を加えることで、人為的ミスによるシステムの誤動作を防ぐようにする。 製品事故に学ぶフールプルーフ設計 作者:内崎 巌 発売日: 2009/03/01 メディア: 単行本

  • アレスタとは

    避雷器電力機器や電力の供給を受ける通信機器を、雷などにより生じる異常高電圧(雷サージ)から保護するサージ防護機器。電源回路とアースの間に設置されたアレスタは、回路に侵入した雷サージを自身に引き込んで大地に放流すると同時に、電気機器に流れる電圧を機器の絶縁耐力よりも低い電圧まで下げて機器を異常電圧から保護する。

  • WPA2とは

    Wi-Fi Protected Access 2 無線LANの業界団体Wi-Fi Allianceが策定した無線LANの暗号化方式の規格。 WPA2では暗号化方式として、WPA2-AESとWPA2-TKIPの2つが規定されている。両方式とも一定時間ごとに暗号鍵を更新することで解読攻撃への耐性を高めている。エンタープライズモードでは機器認証にIEEE802.1Xを使用する。パーソナルモードでは事前共有鍵(PSK)を使用した機器認証を行う。

カテゴリー一覧
商用