CISSP用語集1 Flashcards
(225 cards)
1
Q
(ISC)2 職業倫理規定
A
社会、一般大衆の福利、およびインフラを保護する。法律に違わず、公正かつ誠実に責任を持って行動する。 当事者に対して、十分かつ適切なサービスを提供する。専門知識を高め、維持する。
2
Q
4世代言語
A
プログラム言語を進化の過程を世代になぞらえて分ける考え方です。
3
Q
7パス
A
7回書き込みを繰り返し、ディスクデータを復元できないようにすることです。
4
Q
AAAプロトコル(IAAA)
A
認証·認可·計上の頭文字をとったユーザー本人確認のおける3要素です。
5
Q
ABCDファイヤー
A
燃えるものをカテゴリー化して消火方法を分類する考え方です。
6
Q
ACID特性
A
トランザクション処理をするシステムに持つべき属性、原子性/一貫性/独立性/永続性の頭文字です。
7
Q
AES(Advanced Encryption Standard)
A
DESの後続として登場したブロック暗号化です。AES(Rijindael)では、暗号化の構造としてSPN構造が利用されます。
8
Q
ALU(Arithmetic and Logic Unit)
A
演算の役割を担うCPUの構成要素の一つです。
9
Q
API(Application Programming Interface)
A
プログラムの機能や管理するデータを外部から呼び出して利用するための手順やデータ形式などを定めたものです。
10
Q
ARCNET(Attached Resource Computer NETwork)
A
トークンを使った回線の優先権を決める制御するレガシーのLAN技術です。
11
Q
ARO(Annual Rate of Occurrence)
A
イベントが1年間で発生する頻度です。リスク分析の年間予想損失を算出する際に使われます。
12
Q
ARPAnet(Advanced Research Projects Agency NETwork)
A
世界で初めて運用されたコンピュータネットワークです。
13
Q
ATAセキュア消去
A
SSDのようなATA規格のディスクにおいてソフトウェア操作でデータ削除する方法です。
14
Q
ATM(Asynchronous Transfer Mode)
A
フレームリレーと同じく1つの物理回線を共有して複数の仮想回線を生成することができる技術です。
15
Q
ATO(Authorization To Operate)
A
製品を本番運用環境のシステムに使用しても良いかの承認です。
16
Q
BCI(Business Continuity Institute)
A
事業継続について活動している人たちが情報を互いに交換·提供するための組織です。
17
Q
BEAST攻撃
A
Web通信での暗号化の脆弱性を利用して、盗聴する攻撃です。
18
Q
Bell-LaPadulaモデル
A
データの漏洩が起きないようにするための機密性のセキュリティモデルです。シンプルセキュリティ属性、スターセキュリティ属性、強スターセキュリティ属性が定義されています。
19
Q
Bibaモデル
A
データが勝手に変更されないことを示す完全性セキュリティモデルです。シンプル完全性プロパティ、スター 完全性プロパティ、Invocationプロパティが定義されています。
20
Q
BIOS/UEFI
A
起動時のOSの読み込みのためのマザーボードなどに格納された古いタイプのファームウェアもしくはソフトウェアです。
21
Q
Blowfish
A
ブルース·シュナイアー氏によって開発されたブロック共通鍵暗号化方式です。
22
Q
Bluetooth
A
携帯電話などの小型の低電力デバイスで使用され、短距離でデータを送信できる国際標準規格です。
23
Q
BSD(Berkeley Software Distribution)
A
カリフォルニア大学バークレー校が配布したUNIX系OSおよび関連ソフトウェア群です。対象となるソフト
ウェアの使用と再配布に最小限の制限を課すしており、多くの商用あるいはフリーの派生ソフトウェアを生み出しました。
24
Q
BYOD(Bring Your Own Device)
A
個人利用している機器を会社の業務でも利用可能にする取り組みです。
25
CALEA(Communications Assistance for Law Enforcement Act)
通信会社の傍受協力のための法律です。日本語では、法執行のための通信援助法と言います。
26
CASB(Cloud Access Security Broker)
従業員がクラウドサービスへアクセスする際のコントロールをするシステム基盤です。
27
CASE(Computer Aided Software Engineering)
ソフトウェア開発·修正を支援するソフトウェアです。
28
CAST
対称鍵ブロック暗号ファミリーの一つです。
29
Catch it as you can
ネットワークトラフィックの収集の一つであり、特定のトラフィックポイントを通過するすべてのパケットを
キャプチャしてストレージに書き込み、その後バッチモードで解析を行うことです。大容量のストレージが必要になります。
30
CCPA(California Consumer Privacy Act)
カリフォルニア州で可決された包括的なプライバシー法です。日本語では、カリフォルニア州消費者プライバシー法と言います。
31
CFAA(Computer Fraud and Abuse Act)
政府や金融機関などコンピュータに対して意図的な損害を禁止する法律です。日本語では、コンピュータ詐欺と濫用に関する法律といいます。
32
CI/CD(継続的インテグレーション/継続的デリバリー)
アプリケーション開発から本番リリースまでを、自動化し迅速に行うための仕組みです。
33
CIAトライアド
セキュリティの根本原理である機密性、完全性、可用性の頭文字です。
34
CISO(Chief Information Security Officer)
組織における情報セキュリティの最高責任者です。
35
COBIT(Control OBjective for Information and related Technology)
企業のITガバナンスの成熟度を測るフレームワークです。 アメリカの情報システムコントロール協会 (ISACA)とITガバナンス協会(ITGI)が提唱しました。
36
COCOM(Coordinating Committee for Multilateral Export Controls)
冷戦時代にアメリカを代表とする資本主義の国の軍事技術が、ソ連を代表とする共産主義の国への漏れ出ないようにするための委員会です。日本語では、対共産圏輸出統制委員会と言います。
37
COM(Component Object Model)
言語に依存しないオブジェクトの実装方法であり、オブジェクトが作成された環境とは異なる環境でも使用することができます。
38
COPPA(Children's Online Privacy Protection Act)
インターネット上で安全に子どもサイト向けを使えるように、何の規約もなしに子どもたちを危機にさらすことを禁止する法律です。日本語では、児童オンラインプライバシー保護法といいます。
39
CORBA(Common Object Request Broker Architecture)
OMG(Object Management Group)によって定義された多様なプラットフォーム上で展開されるシステムの通信を容易にするための技術です。
40
COSO(Committee of Sponsoring Organizations of the Treadway Commission)
粉飾決算につながらないように業務の適正化を計るフレームワークを提示している委員会です。
41
COTS(Commercial Off-the-Shelf)ソフトウェア
ベンダーから市販されている既製品のことです。
42
CRIME攻撃
暗号文の圧縮率から元のデータを解読する攻撃です。
43
CryptoLocker
ランサムウェアを先駆けたマルウェアです。
44
CSMA/CD
電話線などの通信ネットワーク上の衝突を回避できる仕組みです。信号を感知(Carrier Sense)しフレーム伝送を行い、フレームが衝突を検出(Collision Detection)するとランダムな時間を待ち送信を開始します。
45
CVSS(Common Vulnerability Scoring System)
3つの基準で脆弱性の深刻さを評価するものです。日本語では、共通脆弱性評価システムと言います。基本評価基準とは、脆弱性そのものの特性を評価する基準です。現状評価基準とは、脆弱性の現在の深刻度を評価する基準です。環境評価基準とは、利用者を含め、最終的な脆弱性の深刻度を評価する基準です。
46
DAD
CIAトライアドの反義語で漏洩(Disclosure)·変化(Alteration)·破壊(Denial)を示します。
47
DES(Data Encryption Standard)
Data Encryption Standardの略。国際的に広く使われたブロック暗号化方式標準です。
48
DevOps
開発手法やツールを使って開発者(development)と運用者(operations)が協力し、より柔軟かつ迅速にシステムを開発すること、もしくはその技術です。
49
Diameter
AAAプロトコルを実現するフレームワークの一つであり、ユーザー認証を要求しリソースに対するアクセス制御を行う際に利用します。
50
DNSキャッシュポイズニング
DNSで行われる名前解決を利用し、本来とは別のサーバにアクセスさせる方法です。
51
DNSファーミング
DNSサーバー内のドメイン名と紐づけられたIPアドレスを不正に書き換えることで、正規のユーザーを偽の Webサイトへ誘導する攻撃です。
52
DoDAF
政府など機密性を重視したシステムの設計を定義したものです。
53
DPD(Data Protection Directive)
EU圏において、国を跨ぐような情報の流通にルールを設けさせる命令です。日本語では、データ保護指令と言います。
54
DR(Disaster Recovery)サイト
本番運用のシステム環境に災害が起きた用の予備のシステムです。
55
DREAD評価システム
ある脅威が自身にとって脅威となりうるかを判断するための評価項目です。
56
ECPA(Electronic Communications Privacy Act)
司法当局が犯罪捜査のために電子メールなどにアクセスする際の決まりです。日本語では、電気通信プライバシー法と言います。
57
EEA(Economic Espionage Act)
営業秘密(trade secret)を漏らしたら罰する刑事法です。日本語では、連邦経済スパイ法と言います。
58
ElGamal暗号
離散対数問題を利用した公開鍵アルゴリズムです。
59
EOL(End of Life)
製品·サービスに関するサポートを受けることができなくなる期限を指します。
60
EOS(End of Service)
製品·サービスは販売を終了する期限を指します。
61
FCOE(Fiber Channel over Ethernet)
フレームをカプセル化してイーサネット上で動作させるためのプロトコルです。
62
FERPA(Family Educational Rights and Privacy Acts)
名簿情報など学生の教育記録もプライバシーとして保護する法律です。日本語では、家庭教育の権利とプライバシーに関する法律と言います。
63
FIDO(Fast IDentity Online)
パスワードを使わずに認証を行うための技術の開発と標準化を行う業界団体です。FIDO2は、FIDO Allianceが推し進める認証技術の1つです。
64
FISMA(Federal Information Security Management Act)
連邦政府関連の組織は毎年、行政管理予算局(OMB)にセキュリティ報告書を送るように求める法律です。 日本語では、連邦情報セキュリティマネジメント法です。
65
Fraggle攻撃
適当な文字列を生成するCHARGEN機能を使った攻撃です。
66
FTP(File Transfer Protocol)
ファイルを転送してくれる通信プロトコルです。
67
GDPR(General Data Protection Regulation)
データ保護指令をより厳しくしたEU市民のプライバシー法です。日本語では、一般データ保護規則と言います。
68
Goguen-Meseguerモデル
非干渉概念論の基礎となるマルチレベルの完全性モデルです。
69
GPL(GNU General Public License)
ユーザーがソフトウェアを実行、調査、共有、および変更する自由を保証するライセンスです。
70
HA(High Availability)クラスター
可用性の高いシステムを目指しつつ、複数のコンピュータを集約しクライアントからは1つのコンピュータとして見せる構成です。
71
HAVAL
1024ビットのブロックを使用し、様々なビットのハッシュ値を生成することのできるハッシュ関数です。
72
HIPAA(Health Insurance Portability and Accountability Act)
電子化した医療情報に関するプライバシー保護·セキュリティ確保について定めた法律です。日本語では、医療保険の携行性と責任に関する法律と言います。
73
HITECH(Health Information Technology for Economic and Clinical Health Act)
HIPPAの強化版であり、データ管理だけではなく医療関係の事業提携者に対しても適用する法律です。日本語では、経済的及び臨床的健全性のための医療情報技術に関する法律と言います。
74
HVAC(Heating, Ventilation, and Air Conditioning )
機器が壊れないような環境づくりの要素、温度(heating)と換気(ventilation)と空調(air condition) の頭文字です。
75
IAM(Identity and Access Management)
ユーザーとアクセスを一元管理するための仕組み。
76
ICMP(Internet Control Message Protocol)
レイヤー3の通信プロトコルです。通信状態の確認をするために使われます。
77
IDaaS
サービスで利用するアカウント情報の管理、ログイン負担に弾力性を持たせることのできるクラウドサービスです。
78
IDEA(International Data Encryption Algorithm)
ブロック暗号の共通鍵暗号方式の一つです。広く使われていたNIST公認のDESの安全性が危ぶまれ、代わりとなるアルゴリズムとしてIDEAが提案されましたが、結局失敗に終わりました。
79
IDEALモデル
プロセス改善のモデルの一つです。開始(Initiating)、診断(Diagnosing)、確立(Establishing)、行動 (Acting)、学習(Learning)の頭文字を取っています。
80
IEEE 802.11
IEEEにより策定された広く普及している無線LAN規格の一つです。
81
ILOVEYOU
知人から知人に告白するようなメール文面で感染するマルウェアです。
82
IMAP(Internet Message Access Protocol)
TCPポート143で実行される、クライアントサーバー電子メールアクセスプロトコルです。
83
IoT(Internet of Things)
日常品をインターネットに接続してサービス拡充する動きです。
84
IPsec
パケットを暗号化してインターネットを安全に通信する仕組みです。実行時に、セキュリティアソシエーション (SA)を作成することによって、IPsec セッションを生成します。SA は通信セッションとして扱われ、接続に関するあらゆる構成とステータス情報を記録しています。SA は単方向の接続単位で扱われ、双方向の場合にはSAは2本あります。
85
IPアドレス
IPアドレスとは、インターネット通信を行うためのプロトコルです。1970年代に米国国防高等研究計画局 (DARPA)のパケット交換ネットワークをサポートするために設計されました。IPアドレスの規格には、IPv4 とIPv6の2種類あります。
86
ISC/IEC 27031
事業継続計画に特化したフレームワークです。社会的セキュリティ、事業継続マネジメントシステムのガイダンスとして、事業継続マネジメントに関するより実用的なアドバイスを提供しています。
87
iSCSI(Internet Small Computer System Interface)
既存のネットワークインフラストラクチャとプロトコルを活用してストレージと接続できるようにするSANプロトコルです。
88
ISO/IEC 27000シリーズ
ISO(国際標準機構)とIEC(国際電気標準会議)が共同で作った適切な情報セキュリティマネジメント (ISMS)を提供するための決まりです。
89
ITIL(Information Technology Infrastructure Library)
ITサービスマネジメントのベストプラクティスをまとめた書籍です。
90
JAD(Joint Application Development)
開発者と実際の利用者が会話しながらシステム開発することです。
91
JavaScript
世界で最も広く使われているモバイルコードのスクリプト言語です。HTML内にという囲みタグを使って埋め込まれます。
92
JBOD(Just a Bunch Of Disks)
多くの小さいディスクをひとまとめにして大容量にする仕組みです。
93
Kerberos
ユーザーの認証は一回で様々なサービスを利用できるシングルサインオンを実現する方式の一つです。
94
KISSの原則
“Keep it simple, stupid.”(簡潔にしておけ、この間抜け!)の頭文字を取ったものです。設計の簡潔さ成功への重要な要素であり、複雑性は問題を増長します。
95
LAND攻撃
悪いリクエストをブロックするFirewallを貫通する攻撃です。
96
LOL(Living Off the Land)攻撃
攻撃対象となる環境で正規と見なされているプログラムを利用する攻撃です。LOL攻撃に利用される正規のプログラムをLOLBINと言います。
97
MACアドレス(Media Access Control address)
LAN内通信で利用されるネットワークインターフェイスカード(NIC、Network Interface Card)の一意に振られているデータリンク層のアドレスです。
98
MD5(Message Digest 5)
任意の長さの文字列から128ビットの値を生成するハッシュ関数の一つです。
99
Merkle-Hellmanナップサック暗号
ナップサック問題の難解さを利用した暗号化方法です。
100
MyDoom
メールの添付ファイルを介して感染し、感染PCから大量のトラフィックを送るウイルスです。
101
NAT(Network Address Translation)
グローバルIPアドレスとプライベートIPアドレスに変換する機器です。
102
NIST SP 800-30
リスクアセスメントの実施の手引きの規格です。
103
NIST SP 800-34
NISTが公表している災害対策のフレームワークです。
104
NIST SP 800-37
リスクマネジメントフレームワークが定義されている文章です。
105
NoSQL
リレーショナルデータベース以外のデータベース管理システムを指します。
106
OAuth
RFC2749の別システムで管理されているユーザー情報照会などのAPIを呼び出すためのフェデレーションの仕組みです。
107
OCTAVE
CERTで紹介されているリスク評価のフレームワークの一つです。
108
ODBC(Open Database Connectivity)
データベース管理システム (DBMS) にアクセスするプログラムに対して、固有のDB設定に依存せず共通のインターフェースを与えるための仕様です。
109
OECDプライバシーガイドライン
OECDが考えた経済の観点からプライバシーを守るためのガイドラインです。
110
OIDC(OpenID Connect)
OAuthの後発として、ユーザー情報照会APIのためのトークンを安全に渡すための仕組みです。IDトークンなどの概念が整備されました。
111
OSI(Open Systems Interconnection)参照モデル
通信からアプリケーション動作までを7層に分けたレイヤーデザインの一つです。
112
OSSTMM(Open Source Security Testing Methodology Manual)
オープンソースのペネトレーションテストの標準です。
113
OWASP(Open Worldwide Application Security Project)
ソフトウェアやWebアプリケーションのセキュリティ向上を専門とし、研究やガイドラインの作成、脆弱性診断ツールの開発、イベント開催など実施するコミュニティです。
114
P.A.S.T.A.(Process for Attack Simulation and Threat Analysis)
コンプライアンスとビジネス分析しながら、資産価値を保護する方法を見つける7ステップです。
115
PCI DSS
クレジットカード情報および取り引き情報を保護するためのクレジット業界におけるグローバルセキュリティ基準です。
116
PCI DSS(Payment Card Industry Data Security Standard)
電子決済するときの個人情報流出を避けるためのフレームワークです。
117
PERT(Program Evaluation and Review Technique)
各工程の先行関係を図示することで全体の所要期間を見積もったり、大きな遅れにつながるような工程を見極めるための手法です。
118
POP(Post Office Protorol)
TCPポート110で実行される、クライアントサーバー電子メールアクセスプロトコルです。
119
RADIUS(Remote Authentication Dial In User Service)
ネットワーク上のユーザー認証プロトコルの一つです。ユーザー認証を要求しネットワークリソースに対するアクセス制御を行う際に利用します。
120
RAID(Redundant Array of Independent/Inexpensive Disks)
複数台のハードディスクを1台のハードディスクとして運用するための技術です。記録するデータをどのようにハードディスクに書き込むのかによって物理的な冗長性を向上させる仕組みを持っています。
121
RAM(Random Access Memory)
CPUや画面表示などに利用するときに使う作業用のメインメモリ(主記憶装置)です。RAM上のデータは作業台のように頻繁に書き換えられ、電源が切れるとデータも消えます。
122
RASIS
システムの信頼を評価するReliability(信頼性)、Availability(可用性)、Serviceability(保守性)、 Integrity(完全性)、Security(安全性)の5つの概念の頭文字を合わせた言葉です。
123
RFID(Radio Frequency IDentification)
ワイヤレスで読み取り可能なタグを作成するために使用されるテクノロジーです。
124
RIPEMD-160
160ビットのハッシュ値を持つハッシュ関数です。前身のRIPEMDのアップグレードになるこのバージョンは、互換性維持という目的でのみ使われます。
125
Rivest Cipher
RSA DATA Security(現·RSA Security)社の ロナルド·リベスト(Ron Rivest)が開発した一連の対称型暗号群です。
126
ROM(Read Only Memory)
書き込み不可·読み出しのみ可能なメモリです。フラッシュメモリ(PLD)などが一例です。
127
RSA(Rivest-Shamir-Adleman)
デファクトスタンダードとなっている公開鍵アルゴリズムです。
128
SABSA(Sherwood Applied Business Security Architecture)
ビジネス目標を達成するにあたり、セキュリティ策がちゃんと機能していることを保証するためのフレームワークです。
129
SAML(Security Assertion Markup Language)
異なるインターネットドメイン間でユーザー認証を行うための フェデレーション認証です。
130
SASHIMIモデル
各フェーズの終点と始点の並行稼働を許したシステム開発プロセスのモデルです。
131
Sasser & Netsky
MyDoomに対抗した少年が作ったウイルスです。17歳の少年が世界規模のウイルスMyDoomに対抗する自尊心で作りました。
132
SCAP(Security Content Automation Protocol)
NISTにおいて、情報セキュリティ対策の自動化と標準化のための仕様です。
133
SESAME
PACではASで発行される鍵に非対称鍵も扱うユーザーの認証を行う方式の一つです。
134
SHA
世界標準のハッシュ関数の一群です。NISTが推進するハッシュ関数であり、連邦情報処理規格 (FIPS)180 としても知られる政府公式出版物 Secure Hash Standard (SHS) で指定されています。
135
SIEM(Security Information and Event Management)
システム機器の状態を一か所にかき集め、何か問題がないかを確認する統合運用です。ファイアウォールや IDS/IPS、プロキシなどから出力されるログやデータを一元的に集約し、システムの全体像を把握します。
136
Skipjack
国政府の連邦情報処理規格 FIPS 158、Escrowed Encryption Standard(EES)で使用が承認されたブロック暗号化アルゴリズムです。
137
Slammer
マイクロソフトサーバの脆弱性を利用して、 ランダムなIPアドレスに自分のコピーを作るウイルスです。
138
SMTP(Simple Mail Transfer Protorol)
TCPポート25で実行される、サーバー間で電子メールを転送するためにメール転送プロトコルです。
139
Smurf攻撃
送信元アドレスを偽装し、大量のエコーを送信する攻撃です。
140
SOAR(Security Orchestration, Automation and Response)
セキュリティインシデントの監視、理解、意思決定、アクションを効率的に行えるようにする技術です。
141
SPN構造(Substitution Permutation Network Structure)
SubBytes(各バイトをテーブルを使って変換)、ShiftRows(順番を入れ替え)、MixColumns(4バイトごとに行列演算)、AddRoundKey(ラウンド鍵を使ってXOR変換)を繰り返すことで暗号化します。
142
SPOF(Singe Point Of Failure)
一つの障害ポイントにより、システム全体が停止される構成を指します。
143
SQLインジェクション
DB操作でよく使われるSQL構文を入力文字列として利用し、意図しないSQLを実行する攻撃です。
144
SSH(Secure Shell)
安全に遠くからコンピュータを動かせるようにするサービスです。
145
SSIDステルス
無線LANアクセスポイントの周囲に自身のSSIDを知らせるビーコン発信を停止することです。
146
SSL/TLS
アプリケーションデータの機密性を保護する仕組みです。SSL/TLSはデータを暗号化し、他のアプリケーションと合わせて利用されます。
147
Stop, look and listen
ネットワークトラフィックの収集の一つであり、各パケットはメモリ上で基本的な方法で解析され、特定の情報のみが将来の解析のために保存される方法です。入ってくるトラフィックを分析していくために、より高速な処理性能が必要となります。
148
Storm Worm
話題のニュースを記載したメールからトロイの木馬を感染させるウイルスです。
149
STRIDE
多くのシステム製品に見られる代表的ななりすまし(Spoofing)、改ざん(Tampering)、否認 (Repudiation)、情報漏洩(Information disclosure)、サービス不能(Denial of service)、権限昇格(Elevation of privilege)の6つの脅威の頭文字です。
150
TACACS(Terminal Access Controller Access- Control System)
ユーザー認証を要求しネットワークリソースに対するアクセス制御を行う際に利用します。ネットワーク機器で有名なシスコという会社があり、TACACSはシスコが独自に提供している仕様です。
151
TCB(Trusted Computing Base)
ハードウェア、ソフトウェア、ファームウェアまで、包括的にセキュリティ機能を担保した基盤です。
152
TCP(Transmission Control Protocol)
信頼性のあるレイヤ4通信を担保するためのプロトコルです。TCPスリーウェイハンドシェイクを使用して、
ネットワーク全体に信頼性の高い接続を作成します。TCP接続した場合、分散して到着したセグメントを並べ替えたり、欠落しているセグメントを再送信できます。
153
TCP/IPモデル
OSI参照モデルよりもシステムの概念に近いレイヤーデザインです。アプリケーション、トランスポート、インターネット、ネットワークインターフェースの4階層に分かれます。
154
TCPスリーハンドシェイク
TCP通信が開始される前の通信の信頼を担保するための仕組みです。通信相手への要求をTCPパケットにはフラグで示します。フラグにはいくつかあります。SYN、ACK、RST、FINなどです。TCPスリーハンドシェイクは、SYN、SYN-ACK、ACKの3つのステップで実行されます。
155
TCPフラグ
パケット内容を示すTCPヘッダ内の6ビットのフィールドです。
156
Teardrop
IPパケットの分割前に戻すときのオフセットを偽造することでシステムを停止させる攻撃です。
157
Telnet
遠くからコンピュータを動かせるようにするサービスです。
158
TFTP(Trivial File Transfer Protocol)
FTPよりも軽量化したファイル転送サービスです。
159
TOC/TOU(Time Of Check to Time Of Use)
ある条件をチェックしてから、そのチェック結果を使用するまでの間にシステムが変更されることで発生するソフトウェアのバグです。多くの場合、ファイルを探してからファイルを読む間に別のファイルに差し替えてしまう攻撃です。
160
TOGAF(The Open Group Architecture Framework)
ビジネス、アプリケーション、データ、テクノロジーの観点から見る、エンタープライズアーキテクチャのフレー ムワークです。
161
TPM(Trusted Platform Module)
他のディスクとは別に暗号鍵を入れておく用の小さいディスク(チップ)です。
162
TrickBot
脆弱なBIOSやUEFIにマルウェアを侵入させ検出を回避するためのルートキットです。
163
Trike
許容できるリスクを中心に考える脅威モデルです。資産(データ)とデータを扱う人·システムを列挙します。 それぞれデータに対する作成·読取·更新·削除を明確にします。すると、データが誰が更新されてそのデータを誰に渡るのかという流れを図にすることができます。
164
Twofish
ブルース·シュナイアー(Bruce Schneier)氏が開発した128、192、256ビットの鍵長、ブロック長は 128ビットの共通鍵暗号化方式です。
165
Tキャリア·Eキャリア
最も普及しているWANの2つのキャリアである、米国のTキャリアと欧州のEキャリアです。
166
UDP(User Datagram Protocol)
TCPと比べシンプルなレイヤー4の通信プロトコルです。送信完了の有無を確認するすべはなく、送信してもその通信が相手に届いていることを保証しません。TCPと比べ高速であるため、劣化しても良いデータ音楽のストリーミング、DNS通信等に利用されます。
167
VAST
アジャイルの観点に立った脅威モデルです。視覚的に(Visual)、柔軟に(Agile)、簡潔に(SimpleThreat) の略です。
168
VM(Virtual Machine)エスケープ
仮想化されたコンピュータにおいて仮想ホストから本体のコンピュータを操作することです。
169
VoIP(Voice over Internet Protocol)
ネットワーク上に音声を伝送するプロトコルです。
170
WannaCry
身代金にビットコインを要求するランサムウェアです。
171
Web of Trustモデル
公開鍵の所有者を自身が信頼できる人物に保証してもらう仕組みです。
172
アーカイブビット
前回のフルバックアップまたは増分バックアップ以降にファイルが変更されたかどうかを示すフラグです。 WindowsのNTFSではファイルにアーカイブビットが設定されています。
173
アウトオブバンド特定証明
メールや電話などで直接本人とコンタクトをとるような本人確認です。
174
アクセス制御マトリクス
アクセスするもの(サブジェクト)を列、利用される機能(オブジェクト)を行として、アクセス権限をまとめた表です。
175
アクセス制御リスト
ユーザごとに使える機能をまとめた表です。
176
アクティブモニタリング
登録済のパケットを検知するモニタリング方式です。
177
アジャイルソフトウェア開発
システム開発は柔軟にやった方が良いという考え方です。
178
アセンブリ言語
ADD/SUB/JMPのような値の交換のみの言語です。CPUの処理そのものを記載したものであり、01で表現される機械語を“一応”人間でもわかるように英字略語に当てはめて記述したものです。
179
アドウェア (Adware)
ユーザに広告を見せ収益を得るソフトウェアです。
180
アプリケーションレベルゲートウェイ
アプリケーションが交換する情報に対してアクセス制限するファイヤーウォールです。
181
アンテナ
電波を送受信するための導体です。
182
イーサネット
主に建物内でコンピュータをケーブルで繋いで通信する有線LANの標準の一つです。
183
インシデント
機密性·完全性·可用性に関わる悪影響を及ぼす事象です。
184
インスタントメッセージング
2人以上のユーザーがリアルタイムの「チャット」を介して相互に通信ができます。
185
インターネット倫理
インターネットを利用する開発者、管理者、使用者に持つべき倫理に関して提示したものになります。インター ネットの資源への認可されていないアクセスを得ようとすること、インターネットの意図された利用を混乱させること、そのような活動を通じて資源(人、能力およびコンピュータ)を無駄にすること、コンピュータベースの情報の完全性を破壊すること、ユーザのプライバシーを侵すこと、それぞれをしないこと。
186
インターフェーステスト
試験対象のアプリケーションの通信口に対して行うテストです。
187
インタプリター言語
機械語が実行されるたびにコードを解釈する実行形式でプログラミング言語を区分した際の呼び名です。コンパイラ言語と異なり、実行時に機械語に変換されます。
188
ヴィジュネル暗号
A-Zのストライプに並んだ表を使う暗号方法です。
189
ウイルス
ユーザの操作なしに伝染し、他のプログラムにくっつくマルウェアです。
190
ウェルノンポート
定番なサービスのために予約されている0番から1023番のポート番号です。
191
ウォークスルー
管理者と重要な担当者のグループが集まり、復旧プロセスについて話し合うことです。
192
ウォークスルードリル
災害を想定して行う模擬災害テストです。
193
ウォーターフォールモデル
後戻りせず開発手順を進めていく開発モデルのことです。
194
ウォードライビング
街を車などで移動しながら、脆弱な無線LANのアクセスポイントを捜し回ることです。
195
エアギャップ
2つのネットワーク領域を物理的に接触することがないように構成する物理的なセキュリティ制御の一つです。
196
エキスパートシステム
素人でも専門家レベルの問題解決が可能となるシステムのことです。専門家の知識をシステムに蓄積し、システムが完璧な意思決定を支持します。たとえ利用者が素人でも専門家並みの判断ができるというわけです。
197
エクストリームプログラミング
2人1組で話し合いながら柔軟にプログラム開発する方法です。
198
エフェメラルキー
一時的な暗号経路確保のために利用される暗号化キーです。
199
エンティティ整合性
各レコードが特定できるものであることです。各レコードには、nullではない一意のプライマリ値があることです。一つの属性によって担保される必要はなく、属性の組み合わせによって担保されても良い。主キーの制約がこの整合性を担保します。
200
オープンソース
利用が無料なプログラムです。
201
オープンソースインテリジェンス(OSINT)
一般に公開され利用可能な情報を源に、機密情報を収集する手法です。
202
オールペアテスト
ブラックボックステストの設計手法の一つで、入力パラメータの各ペアの可能な離散的な組み合わせをすべて実行するようにテストケースを設計するものです。
203
おとり捜査
被害者のふりをして犯人の内部に入り込むことです。
204
オニオンルーティング
たくさんのサーバーを経由することで、何処から何処に向かう通信なのかわからなくさせる方法です。
205
オブジェクトリクエストブローカー
異なる機器上に分散するプログラムのための処理伝達ソフトウェアです。
206
オブジェクト指向データベース
整数、文字列などのデータではなく、テキスト、音声、動画のデータ形式が混在するデータ群をオブジェクトとして格納します。
207
オブジェクト指向言語
オブジェクトという考え方で設計されるプログラミングのことです。
208
オペレーティングシステム
コンピュータは、プログラム(ソフトウェア)の命令に従って、主記憶装置(ハードウェア)からプログラムを読み込み、CPU (ハードウェア)に命令を実行させたりと、ソフトウェアの内容をハードウェアに対する指示に変換するソフトウェアです。
209
カーネル
OSの核であり、アプリケーションの実行を許可しプロセス管理やハードウェアとソフトウェアを中継するプログラムです。
210
カウンタモード
1つずつ増加するカウンタを暗号化の入力とするブロック暗号化アルゴリズムです。
211
カバートチャネル
通常、使用されない経路を経由して情報を伝達するために使用される方法になります。
212
ガバナンス
利害関係者のニーズを評価して、信頼を維持するための管理体制です。
213
ガバメント
利害関係者のニーズを評価して、信頼を維持するための管理体制です。主に、CEO、CIO、CSOの役割になります。
214
カプセル化
アプリケーションで扱うデータを通信データとして使えるようにするための方法です。上位のデータに下層のデータを付与することをカプセル化といいます。
215
ガントチャート
プロジェクトの各段階を作業単位まで階層構造で示す表であり、縦軸に作業内容·担当者·開始日·終了日·作業間の関連情報を記載し、横軸に時間を記載します
216
キークラスタリング
同じ平文を別々の鍵で暗号化したのに、同じ暗号文になる現象です。
217
キーロガー
コンピュータのキーボード操作を常時記録するハードウェアもしくはソフトウェアです。
218
キャプティブポータル
HTTPセッションを横取りし、特定のWebページに強制誘導させる仕組みです。
219
脅威モデリング
アプリケーションのアーキテクチャに起こりうる脆弱性を事前に特定する手法のことです。
220
クラークウィルソン(Clark-Wilson)モデル
ユーザーとデータの間にプログラムの存在を定義したセキュリティモデルです。
221
クラウド
ハードウェアを仮想化しサーバ機能を提供するサービスです。
222
クラッカー
コンピュータに危害を加える人です。
223
グラハムデニング(Graham-Denning)モデル
サブジェクトとオブジェクトに対して、8つのルールをマッピングしたモデルです。R1~R8までの操作(ルー ル)に集約できる整理がされています。
224
グラハムデニング(Graham-Denning)モデル
サブジェクトとオブジェクトに対して、8つのルールをマッピングする中立型のモデルです。
225
グラム·リーチ·ブライリー法
銀行業、投資業と保険業の兼業規制を緩めた法律です。グラムさんとリーチさんとブライリ―さんが作りました。
