ダウングレード攻撃とは

Downgrade attackSSL/TLS通信に対する攻撃手法SSL/TLS通信時のサーバーとクライアントに、脆弱性のあるSSL/TLSのバージョンや、強度の弱い暗号化アルゴリズムの使用を強制することで、脆弱性を突いた通信傍受などを行う攻撃。 攻撃の種類には、FREAK、Logjam、バージョンロールバック攻撃などがある。 マスタリングTCP/IP SSL/TLS編 作者:Rescorla,Eric,齋藤 孝道,貞, 古森,利之, 鬼頭 発売日: 2003/11/01 メディア: 単行本

リスク対応とは

Risk Treatmentリスクに関しての情報を入手、分析、評価した後に行う活動。リスク対応は、以下の4つに分類することができる。 1．リスク回避 リスクの要因そのものを取り除くことでリスクをなくしてしまう対策。 2．リスク移転 リスクを自組織外に移転する対策。 保険への加入や、業務のアウトソースなど。 3．リスク低減 リスクの発生確率の低減や損失を最小化するための措置をとる対策。 4．リスク保有 リスクに対して何もしない対策。 発生頻度が低く、リスクが受け入れ可能と判断された場合の選択肢。 不正リスク対応監査 作者:田中 智徳 発売日: 2020/03/13 メディア: 単行本

衝突発見困難性とは

ハッシュ値に関する指標同じハッシュ値をとるようなメッセージの組を一つでも見つけることは非常に困難という性質。 ハッシュ値とは、元のデータからある計算式 (ハッシュ関数)によって得られる固定長の値のこと。衝突発見困難性が高いハッシュ関数ほど、セキュリティレベルが高いということになる。 ハッシュ値から元のデータを求めることが困難であることは、原像計算困難性と言う。 暗号技術入門 第3版 秘密の国のアリス 作者:結城 浩 発売日: 2015/09/17 メディア: Kindle版

SOAとは

Service Oriented Architectureサービス指向アーキテクチャ システムを、利用者側から見たサービスという構成単位で構築する手法。 サービスの内容は、利用者側の視点から見た作業単位に対応して決められる。業務環境の変化に柔軟に対応することができるように、個々のサービスが部品として独立しサービス間の関係が疎結合であることが重要。 サービス間の連携にはSOAPやXMLなどの標準化されたデータ形式やプロトコルが用いられる。 SOA大全 サービス指向アーキテクチャ導入・設計・構築の指針 作者:カール・バンク,ディルク・スラマ,山下 眞澄 発売日: 2005/11/23 メディア: …

IPスプーフィングとは

IP Spoofing送信元のIPアドレスを偽装(なりすまし)して通信を行う攻撃手法。DoS攻撃において、攻撃元の特定を困難にすることができる。 IPスプーフィングへの対策・外部から入るパケットの送信元が自ネットワークと同じIPアドレスの場合は破棄する。・外部へ出ていくパケットの送信先が自ネットワークと同じIPアドレスの場合は破棄する。など。 間違いだらけのサイバーセキュリティ対策 目的志向型で実装する効果的なセキュリティ強化策 作者:香山哲司 発売日: 2017/01/31 メディア: Kindle版

WAFとは

Web Application Firewallウェブアプリケーションの脆弱性をついた攻撃を検知・遮断するソフトウェア(またはハードウェア)。 一般的なファイアウォールと異なり、データ部分をアプリケーションレベルで解析できるのが特徴。 ウェブアプリケーション自体にセキュリティの問題があっても、WAF製品を導入することによってそれを無害化できるという便利さがある。 徳丸浩のWebセキュリティ教室（日経BP Next ICT選書） 作者:徳丸 浩 発売日: 2015/11/10 メディア: Kindle版

PCIデータセキュリティ基準とは

Payment Card Industry Data Security Standardクレジットカード情報および取り引き情報を保護するために策定されたクレジット業界におけるグローバルセキュリティ基準。クレジットカードの国際ブランド大手5社共同(VISA，MasterCard，JCB，American Express，Discover)により策定された。カード会員データおよび取り引き情報を保護するための12要件が規定されている。 https://www.pcisecuritystandards.org/documents/PCI_DSS_v3_2_1_JA-JP.pdf PCI データセキュリ…

VDIとは

Virtual Desktop Infrastructure デスクトップ仮想化パソコンのデスクトップ環境をサーバ上に仮想環境として用意・集約してサーバ上で稼働させる技術。 利用者がネットワークを通じてVDIサーバ上の仮想デスクトップ環境に接続し、利用者のPCにはVDIサーバからの操作結果画面のみが転送される仕組み。クライアントPCとVDIサーバ間は画面転送プロトコルだけを利用すれば、クライアントPCへのマルウェア等の侵入やPC内のファイル流出を抑止することができる。 狭義でのVDIは、デスクトップ仮想化の実装方式を指す。 VDI方式・・・1ユーザーに対して1つの仮想デスクトップ環境を割り当て…

DNSSECとは

DNS Security ExtensionsDNSにおける応答の正当性を保証するための拡張仕様。ドメイン登録情報にデジタル署名を付加することで、正当な管理者によって生成された応答レコードであることを保証する。サーバとクライアント双方がこの拡張に対応していればDNS応答の偽装や改竄を検出することができる。 実践DNS DNSSEC時代のDNSの設定と運用 (アスキー書籍) 発売日: 2014/02/20 メディア: Kindle版

AESとは

Advanced Encryption Standard2000年にアメリカ政府が標準として策定した共通鍵暗号方式。 以前の標準暗号であったDESの時代経過による相対的な強度の低下などにより、次世代暗号方式として規格化された。 暗号化に用いるブロック長は128ビット、使用する鍵の長さは128/192/256ビットから選択が可能。暗号化は複数の演算を連続して行うラウンドと呼ばれる処理を繰り返すことによって行われる。128ビット鍵では10ラウンド、192ビット鍵では12ラウンド、256ビット鍵では14ラウンドを繰り返す。 暗号技術のすべて 作者:IPUSIRON 発売日: 2017/08/03 メ…

CVEとは

Common Vulnerabilities and Exposures(共通脆弱性識別子)一般公表されている脆弱性情報を掲載している脆弱性情報のデータベース。米国政府の支援を受けた非営利団体のMITRE社が管理運営している。世界各国の製品開発企業、セキュリティ関連企業、調整機関等が広く利用している。1999年のCVE登場以前は、脆弱性に対して製品ベンダーなどが独自に名前を付けていたため、脆弱性を一意に特定することが困難だった。現在では、主要なベンダーから脆弱性情報が公開される時には、CVEIDという番号が付与された上で公開される。 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 …

サンドボックスとは

Sandboxコンピュータ上に設けられた安全なプログラム実行環境。外部から受け取ったプログラムを保護された領域で動作させることにより、システムが不正に操作されるのを防ぎセキュリティを向上させる仕組み。 サンドボックスの例としては、JavaアプレットAdobe Flashなど 砂遊び My Little SandBox マイリトルサンドボックス PlaySet BIGBUILDER 砂 遊び メディア: おもちゃ＆ホビー

OSコマンドインジェクションとは

OS command injectionユーザからのデータ入力を受け付けるシステムにおいて、入力値としてOSへの命令文を与えることで、サーバのファイルの不正操作やパスワードの不正取得などを行う攻撃。 コマンドインジェクションを行う攻撃への対処が不十分だと、コンピュータの乗っ取り、他のコンピュータへの攻撃の踏み台、コンピュータウイルスのばらまき、フィッシング詐欺等の悪用が起こり得る。 サイバー攻撃 ネット世界の裏側で起きていること (ブルーバックス) 作者:中島明日香 発売日: 2018/01/19 メディア: Kindle版

デジタル証明書とは

digital certificate公開鍵証明書(public key certificate)とも言う。 インターネット上で行われる公開鍵暗号化方式において、公開鍵が所有者本人のものであることを確認するためのデータセットのこと。 デジタル証明書は、認証局(CA)と呼ばれる第三者機関によって発行される。 暗号技術のすべて 作者:IPUSIRON 発売日: 2017/08/03 メディア: Kindle版

SSL/TLSとは

Secure Sockets Layer / Transport Layer Security インターネット上で通信データを暗号化する技術。通信データを暗号化することで、データの盗聴や改ざんなどを防ぐことができる。 HTTP，SMTP，POP，FTPなどの通信を平文で行うプロトコルに利用されて、アプリケーション層とトランスポート層(TCP)との間で暗号化する。 TLSはSSL3.0の基本設計を引き継いだもの。現在、SSLと呼んでいるものは、実質TLSを指していることも多いが、SSLの名称がまだ一般に広く認知されているため、「SSL/TLS」と併記されることが多い。 マスタリングTCP/IP …