(1)情報セキュリティの目的と考え方
情報の機密性(Confidentiality),完全性(Integrity),可用性(Availability)を確保,維持することによって,様々な脅威から情報システム及び情報を保護し,情報システムの信頼性を高めることを理解する。
用語 | 説明 |
機密性(Confidentiality) | 情報へのアクセスを許可された者のみがその情報にアクセスできるようにする特性。 |
完全性(Integrity) | 情報が正確で改ざんされていないことを保証する特性。 |
可用性(Availability) | 必要なときに情報やシステムにアクセスできる状態を維持する特性。 |
真正性(Authenticity) | 情報や通信が正当なものであることを証明する特性。 |
責任追跡性(Accountability) | 行った行動や操作が特定できるように記録されている特性。 |
否認防止(Non-Repudiation) | 実行された行動や通信が後から否認されないように証明する特性。 |
信頼性(Reliability) | システムや情報が信頼できる状態であることを保証する特性。 |
多層防御 | 複数のセキュリティ対策を組み合わせて防御層を強化する手法。 |
セキュリティバイデザイン | 設計段階からセキュリティを組み込む手法。 |
プライバシーバイデザイン | 設計段階からプライバシー保護を組み込む手法。 |
(2)情報セキュリティの重要性 社会のネットワーク化に伴い,企業にとって情報セキュリティの水準の高さが企業評価の 向上につながること,情報システム関連の事故が事業の存続を脅かす可能性があることから, 情報セキュリティの重要性を理解する。
用語 | 説明 |
情報資産 | 組織にとって価値のある情報やデータ、その管理システムなどを指す。 |
脅威 | 情報システムや情報資産に損害を与える可能性のある外部や内部のリスク要因。 |
脆弱性 | 情報システムの欠陥や弱点で、脅威に対して攻撃されやすい部分。 |
サイバー攻撃 | ネットワークやシステムに対して不正にアクセスし、データを盗む、破壊する、改ざんする行為。 |
(3)脅威
① 脅威の種類 情報資産に対する様々な脅威を理解する。
用語 | 説明 |
事故 | システムやデータに対して予期せぬ事象が発生し、損害が発生すること。 |
災害 | 地震や洪水などの自然災害によって、情報システムに損害が発生すること。 |
故障 | 機器やシステムの不具合により、正常な機能が損なわれること。 |
破壊 | システムやデータが意図的または偶発的に破壊されること。 |
盗難 | 情報資産が盗まれること。 |
侵入 | 許可されていない者がシステムや施設に不正にアクセスすること。 |
不正アクセス | 許可のない者がシステムやデータにアクセスすること。 |
盗聴 | 通信内容が外部に傍受されること。 |
なりすまし | 他人の身分を偽って不正行為を行うこと。 |
改ざん | データやシステムが不正に変更されること。 |
エラー | 誤動作や誤入力によってシステムが期待通りに動作しないこと。 |
クラッキング | 不正な手段でシステムに侵入し、データを破壊または盗む行為。 |
ビジネスメール詐欺(BEC) | 組織の従業員を装って偽のメールを送り、金銭や機密情報を詐取する行為。 |
権限昇格 | システム上の脆弱性を利用して、通常の権限よりも高い権限を取得すること。 |
誤操作 | ユーザーが操作ミスを行い、システムに不具合を引き起こすこと。 |
アクセス権の誤設定 | システムやデータへのアクセス権が適切に設定されていないこと。 |
紛失 | 情報資産が行方不明になること。 |
破損 | 情報やシステムが物理的または論理的に壊れること。 |
盗み見 | 他人の画面や情報を許可なく覗き見る行為。 |
不正利用 | 権限を持たない者が情報資産を不正に使用すること。 |
ソーシャルエンジニアリング | 人間の心理を利用して、情報を詐取する手法。 |
情報漏えい | 機密情報が外部に漏れること。 |
故意 | 悪意を持って行動すること。 |
過失 | 意図せずに間違いを犯すこと。 |
誤謬(ごびゅう) | 認識や判断の誤りによって引き起こされるミス。 |
内部不正 | 組織内の人間による不正行為。 |
妨害行為 | システムや業務を意図的に妨害する行為。 |
SNSの悪用 | ソーシャルメディアを使って悪意のある活動を行うこと。 |
踏み台 | 攻撃者が別のシステムを攻撃するために利用する中間システム。 |
迷惑メール(スパム) | 無差別に大量に送信される不要なメール。 |
AIに対する脅威 | AIシステムを悪用または攻撃するリスク。 |
攻撃ベクトル(Attack Vector) | 攻撃が行われる経路や手段。 |
攻撃対象領域(Attack Surface) | 攻撃が可能なシステムやネットワークの領域。 |
② マルウェア・不正プログラム
マルウェア・不正プログラムの種類とその振る舞いを理解する。
用語 | 説明 |
コンピュータウイルス | 他のプログラムに感染し、データを破壊したり、システムを停止させたりする悪意のあるソフトウェア。 |
マクロウイルス | ワープロソフトや表計算ソフトなどで使われるマクロ機能を悪用して、感染を広げるウイルス。 |
ワーム | ネットワークを介して自己増殖し、システムに負荷をかける悪意のあるプログラム。 |
ボット | 攻撃者が遠隔操作できるように感染したコンピュータをボットネットに組み込むプログラム。 |
遠隔操作型ウイルス(RAT) | 攻撃者が遠隔で感染したコンピュータを操作できるようにするウイルス。 |
C&Cサーバ | ボットネットの指令を出すコントロールサーバ。 |
コネクトバック | 攻撃者がファイアウォールを回避して遠隔操作するために、感染した端末から接続を開始する手法。 |
リバースシェル | 攻撃者が遠隔からシェル(コマンドライン)を操作できるようにする手法。 |
トロイの木馬 | 有用なプログラムを装いながら、裏で不正な活動を行う悪意のあるソフトウェア。 |
スパイウェア | ユーザーの情報を秘密裏に収集し、外部に送信するプログラム。 |
ランサムウェア | データを暗号化し、復元するための身代金を要求する不正プログラム。 |
キーロガー | キーボードの入力を監視し、パスワードなどの機密情報を盗むプログラム。 |
ルートキット | 不正アクセスを隠すためにシステムの管理権限を奪取し、検出を困難にするソフトウェア。 |
バックドア | 攻撃者がシステムに密かにアクセスするために設置される裏口のプログラム。 |
ステルス技術 | マルウェアの存在を隠すための技術。ポリモーフィック型(変形する)やメタモーフィック型(全く異なる形に変化する)などがある。 |
ファイルレスマルウェア | ファイルを使用せず、システムのメモリ上で動作するマルウェア。 |
エクスプロイトコード | ソフトウェアの脆弱性を攻撃するために作られたコード。 |
エクスプロイトキット | 複数のエクスプロイトを集め、攻撃を自動化するためのツール。 |
(4)脆弱性
情報システムの情報セキュリティに関する欠陥,行動規範・職務分掌の組織での未整備, 従業員への不徹底などの脆弱性を理解する。
用語 | 説明 |
バグ | プログラム内の不具合やエラー。セキュリティリスクを引き起こす場合がある。 |
セキュリティホール | システムやソフトウェアの脆弱な部分で、攻撃者に悪用される可能性のある欠陥。 |
人的脆弱性 | 従業員の不注意や知識不足により発生するセキュリティ上の脆弱性。 |
内部統制の不備 | 組織内の業務管理や規則の不徹底により生じるセキュリティの脆弱性。 |
シャドーIT | 組織が許可していない個人デバイスやクラウドサービスを使用する行為。セキュリティリスクが伴う。 |
バッファエラー | メモリの管理ミスにより、データが溢れ出す脆弱性。攻撃に悪用されることがある。 |
認可・権限・アクセス制御の不備 | ユーザーの権限設定やアクセス制御が適切に行われていない場合に生じる脆弱性。 |
不適切な入力確認 | ユーザー入力が適切に検証されないことで発生する脆弱性。SQLインジェクションなどの攻撃に悪用されることがある。 |
パスワードのハードコード | ソースコード内にパスワードが埋め込まれている状態。外部に漏洩するリスクが高い。 |
認証の欠如 | ユーザーの正当性を確認する認証プロセスが欠けているため、なりすましや不正アクセスが発生しやすくなる。 |
重要情報の平文での保存・送信 | 暗号化されていない状態で重要な情報を保存・送信することで、情報漏えいのリスクが高まる。 |
レースコンディション | 同時に実行される複数の操作が競合し、予期しない結果を招く脆弱性。 |
OWASP Top 10 | Webアプリケーションのセキュリティ脅威に関するトップ10リスト。開発者が対策をすべき代表的な脆弱性を示す。 |
(5)不正のメカニズム
不正行為が発生する要因,内部不正による情報セキュリティ事故・事件の発生を防止する ための環境整備の考え方を理解する。
用語 | 説明 |
不正のトライアングル | 不正が発生する3つの要因「機会」「動機」「正当化」を示す理論。これらが揃うと不正行為が起こりやすい。 |
機会 | 不正行為を行うための状況や環境が整っていること。例として、内部統制の不備や監視の欠如が挙げられる。 |
動機 | 不正を行う人物の背後にある理由や欲求。経済的問題やプレッシャーが動機となることが多い。 |
正当化 | 不正を行う人物がその行為を正当化する心理的プロセス。不正行為を許容できる理由付けを行う。 |
状況的犯罪予防 | 犯罪や不正行為が発生しやすい状況を改善し、行為の発生を防ぐための予防策。 |
割れ窓理論 | 小さな違法行為や規律違反を放置すると、さらなる不正や犯罪が助長されるとする理論。 |
防犯環境設計 | 建物や空間のデザインを通じて、犯罪を未然に防ぐための環境を整備する考え方。 |
(6)攻撃者の種類,攻撃の動機 悪意をもった攻撃者の種類,及び攻撃者が不正・犯罪・攻撃を行う主な動機,流れ,パタ ーンを理解する。
用語 | 説明 |
スクリプトキディ | 他人が作成したツールやスクリプトを使って攻撃を行う初心者レベルのハッカー。知識は浅く、自己顕示欲が強い場合が多い。 |
ボットハーダー | ボットネットを制御して、大規模なサイバー攻撃を行う攻撃者。遠隔操作型ウイルスを用いて攻撃を行う。 |
内部犯 | 組織の内部にいる人間が行う不正行為や攻撃。機密情報の漏えいやシステムの改ざんなどが含まれる。 |
愉快犯 | 犯行を楽しむことが動機で、利益を目的としない攻撃者。無差別に攻撃を行うことが多い。 |
詐欺犯 | 金銭的利益を目的に詐欺行為やサイバー攻撃を行う者。フィッシング詐欺などが一般的な手法。 |
故意犯 | 何らかの理由で故意に犯罪や攻撃を行う者。特定の目的や利益を持つことが多い。 |
ダークウェブ | 匿名性が高く、違法な取引や犯罪行為が行われるインターネットの一部。 |
金銭奪取 | サイバー攻撃者が金銭を盗むことを目的に行う行為。ランサムウェア攻撃が代表的。 |
二重脅迫(ダブルエクストーション) | ランサムウェア攻撃で、データの暗号化に加え、情報の公開を脅迫する攻撃手法。 |
ハクティビズム | 政治的・社会的な理由でサイバー攻撃を行うこと。ハクティビストは特定のメッセージを広めるために攻撃を行う。 |
サイバーテロリズム | 政治的または宗教的動機に基づいてインフラや情報システムを攻撃し、恐怖を引き起こす行為。 |
リークサイト | 漏洩した機密情報やデータを公開するためのウェブサイト。攻撃者が脅迫や圧力をかけるために利用する。 |
脅威モデリング | システムやアプリケーションに対する脅威を分析・評価し、対策を立てる手法。 |
サイバーキルチェーン | サイバー攻撃のプロセスを7つのステップで示したモデル。攻撃を防御するためにどの段階で対策を行うかを分析する。 |
MITRE ATT&CK | サイバー攻撃の戦術や技術をまとめた知識ベース。攻撃者の行動を理解し、防御策を立てるために使用される。 |
MITRE CAPEC | 共通の攻撃パターンを分類し、攻撃者の手口を特定するためのデータベース。 |
(7)攻撃手法
情報システム,組織及び個人への不正な行為と手法を理解する。
用語 | 説明 |
辞書攻撃 | パスワードや暗号を辞書に載っている単語を使って試す攻撃手法。単純なパスワードが狙われる。 |
総当たり(ブルートフォース)攻撃 | 可能なすべての組み合わせを試すことでパスワードを解読しようとする攻撃手法。 |
リバースブルートフォース攻撃 | 一つのパスワードを用いて多数のユーザーのアカウントに対するログイン試行を行う攻撃手法。 |
レインボーテーブル攻撃 | 事前に計算されたハッシュとパスワードの対応を使って、ハッシュを逆算しパスワードを求める攻撃。 |
パスワードリスト攻撃(クレデンシャルスタッフィング) | 盗まれたパスワードのリストを使用して、他のアカウントへの不正アクセスを試みる攻撃。 |
クロスサイトスクリプティング(反射型) | 一時的にページにスクリプトを埋め込む攻撃で、ユーザーがアクセスした時に実行される。 |
クロスサイトスクリプティング(格納型) | 攻撃者がスクリプトをサーバに保存し、他のユーザーがアクセスするとそのスクリプトが実行される。 |
クロスサイトスクリプティング(DOMベース) | ユーザーのブラウザ内でのDOM操作を利用し、悪意のあるスクリプトを実行させる攻撃。 |
クロスサイトリクエストフォージェリ | ユーザーが知らないうちに不正なリクエストを実行させる攻撃。特にセッションが有効な状態で問題となる。 |
クリックジャッキング | ユーザーが意図しない操作をさせるために、透明なボタンを重ねる手法。 |
ドライブバイダウンロード | 悪意のあるソフトウェアが自動的にユーザーのデバイスにダウンロードされる攻撃手法。 |
SQLインジェクション | データベースに対する不正なSQLクエリを挿入して、情報を取得したり変更したりする攻撃。 |
HTTPヘッダインジェクション | 不正なデータをHTTPヘッダに挿入し、Webアプリケーションの動作を変更する攻撃。 |
OSコマンドインジェクション | 外部からの入力を使って、システムのOSコマンドを実行させる攻撃。 |
ディレクトリトラバーサル | 攻撃者が特定のファイルやディレクトリにアクセスするために、パスを操作する手法。 |
バッファオーバーフロー | プログラムのバッファに過剰なデータを送り込み、実行されるコードを変更する攻撃手法。 |
オープンリダイレクトの悪用 | ユーザーを悪意のあるサイトにリダイレクトさせるために、信頼できるサイトのURLを利用する攻撃。 |
中間者(Man-in-the-middle)攻撃 | 通信の中間に割り込み、データを傍受・改ざんする攻撃。 |
MITB(Man-in-the-browser)攻撃 | ブラウザ上で動作するマルウェアを使い、ユーザーの情報を不正に取得する攻撃。 |
第三者中継(オープンリレー) | メールなどの通信を第三者が中継することにより、正規の通信を不正に監視する攻撃。 |
IPスプーフィング | 自分のIPアドレスを隠して他人になりすます手法。 |
DNSキャッシュポイズニング | DNSのキャッシュを攻撃して、ユーザーを偽のサイトに誘導する攻撃。 |
フィッシング(スミッシングほか) | 偽のサイトやメッセージを使って、個人情報を盗む攻撃。スミッシングはSMSを用いたフィッシング。 |
セッションハイジャック | 有効なセッションを不正に利用し、ユーザーとして振る舞う攻撃。 |
セッションIDの固定化(Session Fixation)攻撃 | 攻撃者があらかじめ知っているセッションIDを利用して不正アクセスを行う手法。 |
リプレイ攻撃 | 捕らえたデータを再利用して不正な通信を行う攻撃手法。 |
ドメインフロンティング攻撃 | 複数のドメインを利用して攻撃を行い、攻撃源を隠す手法。 |
多要素認証疲労攻撃(Multi-Factor Authentication Fatigue Attack) | 認証を求めるメッセージを大量に送信し、ユーザーに疲労を与える攻撃。 |
DoS(Denial of Service:サービス妨害)攻撃 | サーバやサービスを正常に利用できなくするために過剰なリクエストを送る攻撃。 |
DDoS攻撃(マルチベクトル型ほか) | 多数のコンピュータから一斉に攻撃を行い、サービスをダウンさせる手法。 |
DRDoS攻撃 | 攻撃者が第三者を利用してDDoS攻撃を行う手法。 |
ICMP Flood攻撃 | ICMPプロトコルを利用し、ネットワークを圧倒させる攻撃。 |
Smurf攻撃 | ICMPのエコー要求を利用してDDoS攻撃を仕掛ける手法。 |
リフレクション攻撃 | 攻撃者がターゲットに対して、第三者を使ってトラフィックを反射させる手法。 |
DNS水責め攻撃(ランダムサブドメイン攻撃) | 複数のDNSサブドメインに対してDDoS攻撃を仕掛ける手法。 |
クリプトジャッキング | 他人のコンピュータを利用して暗号通貨をマイニングする攻撃。 |
標的型攻撃 | 特定の組織や個人を狙った高度な攻撃で、APT(Advanced Persistent Threat)や水飲み場型攻撃、やり取り型攻撃などが含まれる。 |
APT(Advanced Persistent Threat) | 長期間にわたり特定のターゲットを狙った攻撃。通常、高度な技術や資源を持つ攻撃者によるもの。 |
水飲み場型攻撃 | 攻撃者がターゲットの関連するウェブサイトを狙い、マルウェアを埋め込む手法。 |
やり取り型攻撃 | 攻撃者がターゲットに対して連続的に情報を取得し、攻撃を強化していく手法。 |
SEOポイズニング | 検索エンジン最適化(SEO)の手法を悪用して、悪意のあるサイトを上位に表示させる攻撃。 |
ゼロデイ攻撃 | ソフトウェアの脆弱性が公表される前に行われる攻撃。パッチが未適用の状態で悪用される。 |
サイドチャネル攻撃 | システムの実行時の情報を盗むことで、暗号化やデータを解析する手法。 |
テンペスト攻撃 | 電磁波を利用して、コンピュータの画面やデータを傍受する攻撃手法。 |
プローブ攻撃 | サイドチャネル情報を取得するための攻撃手法で、特定のプローブを使ってデータを引き出す。 |
タイミング攻撃 | 処理時間の違いを利用して、秘密情報を漏洩させる攻撃手法。 |
電力解析攻撃 | デバイスの消費電力を測定し、秘密鍵を特定する攻撃。 |
エアギャップに対する攻撃 | 完全に隔離されたシステムに対して物理的または間接的にアクセスし、攻撃を行う手法。 |
サービス及びソフトウェアの機能の悪用 | 特定の機能やサービスの脆弱性を突いて攻撃を行う手法。RLO(Right-to-Left Override)やオープンリゾルバの悪用など。 |
RLO(Right-to-Left Override)の悪用 | 文字の表示順序を操作することで、悪意のある情報を隠す手法。 |
オープンリゾルバの悪用 | DNSリゾルバの設定ミスを利用して、攻撃者がDNSリクエストを送信する手法。 |
バージョンロールバック攻撃 | 古いバージョンのソフトウェアを悪用することで、セキュリティ対策を回避する攻撃手法。 |
AIを悪用した攻撃 | AI技術を利用して、標的型攻撃やフィッシング、マルウェアの生成、脆弱性発見の効率化などを行う攻撃。 |
標的型攻撃・フィッシング・なりすましの巧妙化 | AIを使って、よりリアルななりすましやフィッシング攻撃を実施する手法。 |
マルウェア(バリアント(亜種))の生成 | AIを利用して新たなマルウェアの亜種を生成し、検知を回避する手法。 |
システムの脆弱性発見の効率化 | AI技術を使って、システムの脆弱性を迅速に発見する手法。 |
ディープフェイク | AI技術を使用して作成された偽の音声や映像で、なりすましや誤情報の拡散に利用される。 |
敵対的サンプル(Adversarial Examples) | 機械学習モデルを欺くために特別に作成された入力データ。 |
プロンプトインジェクション | AIモデルに対して不正な入力を行い、意図しない結果を引き出す手法。 |
データポイズニング | トレーニングデータを改ざんして、機械学習モデルの出力を操作する攻撃。 |
モデルインバージョン攻撃 | 学習済みモデルのパラメータを推測し、不正にアクセスする攻撃。 |
メンバーシップ推測攻撃 | 特定のデータがトレーニングデータに含まれているかを推測する攻撃手法。 |
攻撃の準備 | 攻撃のための情報収集やスキャンを行う準備。フットプリンティングやポートスキャンなどが含まれる。 |
フットプリンティング | ターゲットのネットワークやシステムについて情報を収集するプロセス。 |
ポートスキャン | ネットワーク上のオープンポートを特定するためのスキャン技術。 |
RaaS(Ransomware as a Service) | ランサムウェアをサービスとして提供し、他者が利用できるようにするビジネスモデル。 |
ラテラルムーブメント | 一度侵入したシステムから他のシステムへと移動し、さらなる攻撃を行う手法。 |
(8)情報セキュリティに関する技術
① 暗号技術 脅威を防止するために用いられる暗号技術の活用を理解する。また,暗号化の種類,代 表的な暗号方式の仕組み,特徴を理解する。
用語 | 説明 |
暗号技術 | 情報の秘密性を確保するための技術。データを暗号化し、不正アクセスから保護する。 |
CRYPTREC暗号リスト | 日本での暗号の適用性を評価し、推奨するための暗号方式のリスト。 |
暗号方式 | 情報を暗号化・復号化するための手法。共通鍵暗号方式と公開鍵暗号方式に大別される。 |
暗号化(暗号鍵) | データを暗号化するために使用される鍵。暗号文を生成するために利用される。 |
復号(復号鍵) | 暗号化されたデータを元の状態に戻すために使用される鍵。 |
共通鍵暗号方式 | 暗号化と復号化に同じ鍵を使用する暗号方式。 |
公開鍵暗号方式 | 暗号化に公開鍵、復号化に秘密鍵を使用する方式。 |
RSA暗号 | 公開鍵暗号方式の一種で、整数の素因数分解の困難さに基づく暗号。 |
楕円曲線暗号(ECDSA) | 楕円曲線を用いた公開鍵暗号方式。高いセキュリティを持ちながら、短い鍵長での運用が可能。 |
鍵共有 | 暗号化通信において、通信を行う両者が同じ鍵を持つこと。 |
Diffie-Hellman(DH)鍵共有方式 | 二者間で安全に共通鍵を生成するための鍵共有方式。 |
前方秘匿性(PFS:Perfect Forward Secrecy) | 過去のセッション鍵が将来のセッションのセキュリティに影響を与えない性質。 |
ハイブリッド暗号 | 共通鍵暗号方式と公開鍵暗号方式を組み合わせた暗号方式。 |
認証暗号 | データの認証と暗号化を同時に行う技術。AEAD(Authenticated Encryption with Associated Data)が代表的。 |
認証付き暗号 | データが改ざんされていないことを確認できる暗号。 |
秘密分散(電子割符) | 情報を複数の部分に分割し、各部分を異なる場所に保管することでセキュリティを向上させる手法。 |
秘密計算 | プライバシーを保ちながら、計算を行う技術。秘密分散方式や準同型暗号方式が含まれる。 |
量子暗号 | 量子力学を基にした暗号技術。量子ビットの特性を利用してセキュリティを強化。 |
耐量子暗号(PQC) | 量子コンピュータによる攻撃に対抗するための暗号技術。 |
ハッシュ関数 | データの要約を生成し、一方向性を持つ関数。SHA-256やSHA-3が例。 |
SHA-256(SHA-2) | セキュアハッシュアルゴリズムの一種で、256ビットのハッシュ値を生成。 |
SHA-3 | SHA-2の後継で、より高いセキュリティを提供するハッシュ関数。 |
一方向性 | ハッシュ関数の特性で、出力から元の入力を推測することが困難であること。 |
第二原像発見困難性 | 特定の出力に対して、異なる入力を見つけることが困難である特性。 |
衝突発見困難性 | 異なる2つの入力が同じハッシュ値を持つことを見つけることが困難である特性。 |
ブロック暗号 | データを固定サイズのブロックに分割して暗号化する方式。AESやCamelliaが例。 |
AES(Advanced Encryption Standard) | アメリカ政府が標準化したブロック暗号方式。広く利用されている。 |
暗号利用モード | ブロック暗号を適用する際の操作方法。CBC(Cipher Block Chaining)やCTR(Counter)などがある。 |
CBC(Cipher Block Chaining) | 各ブロックが前のブロックの暗号文に依存しているブロック暗号利用モード。 |
CTR(Counter) | カウンタを用いて各ブロックを暗号化するストリーム暗号の方式。 |
ストリーム暗号 | データをビット単位で暗号化する方式。KCipher-2が例。 |
軽量暗号 | 制約のあるデバイス向けに設計された、リソース消費が少ない暗号方式。 |
鍵生成 | 暗号化に使用する鍵を生成するプロセス。 |
疑似乱数 | 規則的なパターンを持たない乱数のようなデータ。 |
乱数生成 | 予測不可能な乱数を生成するプロセス。 |
疑似乱数生成器(PRNG) | 疑似乱数を生成するアルゴリズム。 |
鍵管理 | 鍵の生成、保管、配布、廃棄を行うプロセス。 |
ストレージ暗号化 | ストレージデバイス内のデータを暗号化する技術。 |
ファイル暗号化 | 個々のファイルを暗号化する手法。 |
危殆化 | セキュリティが低下すること。 |
ゼロ知識証明 | 知識を証明する際に、証明者がその知識を示さずに真実であることを証明する技術。 |
ブロックチェーン | データの不正変更を防ぎ、信頼性を保証する分散型データベース技術。 |
SSL/TLS暗号設定ガイドライン | SSL/TLSの設定に関するベストプラクティス。 |
ワンタイムパッド | 完全にランダムな鍵を使用する暗号方式。情報を完全に秘匿することが可能。 |
計算量(オーダー記号) | アルゴリズムの効率を評価するための記法。 |
暗号強度(ビットセキュリティ) | 暗号が持つセキュリティの強さを表す指標。 |
情報量的安全性 | 情報理論に基づく安全性の評価。 |
計算量的安全性 | 計算の難易度に基づく安全性の評価。 |
② 認証技術
認証の種類,仕組み,特徴,脅威を防止するためにどのような認証技術が用いられるか, 認証技術が何を証明するかを理解する。
用語 | 説明 |
認証技術 | ユーザーやシステムの身元を確認するための技術。 |
デジタル署名 | デジタルデータの真正性と改ざん防止を保証するための電子的な署名。 |
署名鍵 | デジタル署名を生成するために使用される秘密鍵。 |
検証鍵 | デジタル署名を検証するために使用される公開鍵。 |
XMLデジタル署名 | XMLデータの署名を行うための標準仕様。 |
ブラインド署名 | 署名者が内容を知らない状態で署名を行う方式。プライバシーを保ちながら認証を行う。 |
グループ署名 | 特定のグループのメンバーが署名を行う際、メンバーの身元を隠したまま署名する方式。 |
トランザクション署名 | 特定の取引に対するデジタル署名。取引の完全性を保証する。 |
タイムスタンプ(時刻認証) | デジタルデータに対して時刻を記録することで、データの存在を証明する手法。 |
メッセージダイジェスト | メッセージを要約した固定長のデータ。ハッシュ関数を用いて生成される。 |
メッセージ認証 | メッセージが改ざんされていないことを確認するプロセス。 |
MAC(Message Authentication Code) | メッセージ認証符号。メッセージと秘密鍵から生成され、メッセージの整合性を保証する。 |
HMAC | MACの一種で、ハッシュ関数と秘密鍵を組み合わせたメッセージ認証符号。 |
CMAC | ブロック暗号を用いたメッセージ認証符号。 |
フィンガプリント | ユーザーの指紋などの生体情報を用いた認証方法。 |
チャレンジレスポンス認証 | 認証サーバーが送信するチャレンジに対し、クライアントが適切なレスポンスを返すことで認証する方式。 |
リスクベース認証 | ユーザーの行動や環境に基づき、認証の強度を調整する方式。 |
コードサイニング | ソフトウェアやデジタルコンテンツにデジタル署名を行い、その正当性を保証する手法。 |
エンティティ認証 | ユーザーやデバイスの身元を確認するプロセス。 |
③ 利用者認証
利用者認証のために利用される技術の種類,仕組み,特徴を理解する。
用語 | 説明 |
利用者認証 | ユーザーの身元を確認するためのプロセス。 |
ログイン(利用者 ID とパスワード) | ユーザーがサービスにアクセスするための基本的な認証方法。利用者IDとパスワードを使用する。 |
アクセス管理 | システム内のリソースへのアクセス権を管理するプロセス。 |
ICカード | 集積回路を持つカードで、認証や支払いに使用される。 |
PINコード | 個人識別番号。ユーザーが自分を識別するために使用する短い数字。 |
Kerberos方式 | ネットワーク上での認証を安全に行うためのプロトコル。チケットを使用してユーザーの身元を確認。 |
LDAPサーバでの認証 | Lightweight Directory Access Protocolを用いた認証方法。ディレクトリサービスからユーザー情報を取得。 |
ワンタイムパスワード | 一度限り使用できるパスワード。特定の時間やイベントに基づいて生成される。 |
多要素認証 | 複数の認証要素(知識、所有、生体情報)を組み合わせてユーザーを認証する方法。 |
多段階認証 | 認証を複数のステップに分けることでセキュリティを強化する手法。 |
パスワードレス認証 | パスワードを使用せず、他の手段(生体情報、デバイス認証など)でユーザーを認証する方法。 |
FIDO UAF | Fast Identity Online User Authentication。ユーザーがデバイスを使って認証する標準。 |
FIDO U2F | Fast Identity Online Universal 2nd Factor。二要素認証を提供するための標準。 |
FIDO2 | FIDO U2Fの進化版で、パスワードレス認証を可能にする。 |
WebAuthn | FIDO2の一部で、ウェブアプリケーションでの認証を可能にするAPI。 |
Passkeys | ユーザーが認証するためにデバイスが生成するデジタルキー。 |
EMV 3-D セキュア | オンライン取引のセキュリティを強化するためのプロトコル。 |
アイデンティティ連携 | 複数のサービス間でユーザーのアイデンティティ情報を共有する方法。 |
OpenID Connect | OAuth 2.0を基にしたアイデンティティ連携のプロトコル。 |
SAML | Security Assertion Markup Language。異なるドメイン間での認証を行うための標準。 |
IdP(Identity Provider) | ユーザーの認証情報を管理し、他のサービスに提供する組織やシステム。 |
IDaaS(Identity as a Service) | クラウドベースで提供されるアイデンティティ管理サービス。 |
シングルサインオン | 一度の認証で複数のサービスにアクセスできるようにする仕組み。 |
CAPTCHA | 自動プログラムによる攻撃を防ぐためのテスト。ユーザーが人間であることを確認する。 |
AAA(認証,認可,アカウンティング) | 認証(ユーザー確認)、認可(アクセス権限)、アカウンティング(使用履歴記録)のプロセス。 |
eKYC(electronic Know Your Customer) | 電子的手段で顧客確認を行うプロセス。特に金融サービスでの利用が増加。 |
④ 生体認証技術
利用者確認に利用される技術の一つである生体認証技術の種類,仕組み,特徴を理解する
用語 | 説明 |
生体認証技術 | ユーザーの身体的または行動的特徴を基にした認証技術。 |
身体的特徴 | ユーザーの身体的特性に基づく認証方法。 |
静脈パターン認証 | 手のひらや指の静脈パターンを用いた認証方法。静脈は内部にあるため、偽造が難しい。 |
虹彩認証 | 目の虹彩の独特なパターンを用いてユーザーを認証する方法。非常に高い精度を持つ。 |
顔認証 | 顔の特徴を分析してユーザーを識別する方法。 |
網膜認証 | 目の網膜の血管パターンを利用した認証方法。 |
行動的特徴 | ユーザーの行動パターンに基づく認証方法。 |
声紋認証 | ユーザーの声の特徴(ピッチ、トーン、リズムなど)を基にした認証方法。 |
署名認証 | ユーザーの署名のスタイル(筆圧やスピード)を分析して認証する方法。 |
本人拒否率(FRR) | 本人が正しく認証されなかった場合の割合。 |
他人受入率(FAR) | 他人が誤って認証された場合の割合。 |
⑤ 公開鍵基盤
PKI(Public Key Infrastructure:公開鍵基盤)の仕組み,特徴,活用場面を理解する。
用語 | 説明 |
PKI(Public Key Infrastructure:公開鍵基盤) | 公開鍵暗号技術を利用して、通信の安全性を確保するための仕組み。 |
デジタル証明書(公開鍵証明書) | 公開鍵とその所有者の情報を含む電子的な証明書。信頼性のある第三者によって発行される。 |
ルート証明書 | PKIの最上位に位置する証明書で、トラストアンカーとして機能する。 |
トラストアンカー(信頼の基点) | 信頼できる証明書のルート。通常、ルート証明書によって管理される。 |
中間 CA 証明書 | ルート CA から発行された証明書で、ユーザーやサーバーに対して証明書を発行する。 |
サーバ証明書 | サーバーの身元を証明するためのデジタル証明書。 |
クライアント証明書 | クライアントの身元を証明するためのデジタル証明書。 |
コードサイニング証明書 | ソフトウェアやアプリケーションの整合性と発行者の信頼性を証明するための証明書。 |
CRL(Certificate Revocation List:証明書失効リスト) | 失効した証明書の一覧。信頼性のあるCAによって定期的に更新される。 |
OCSP | 証明書の失効状況をリアルタイムで確認するためのプロトコル。 |
CA(Certification Authority:認証局) | デジタル証明書を発行し、管理する組織。 |
VA(Validation Authority) | 証明書の有効性を確認するための機関。 |
GPKI(Government Public Key Infrastructure:政府認証基盤) | 政府機関向けのPKI。国のサービスやシステムでの利用が想定される。 |
BCA(Bridge Certification Authority:ブリッジ認証局) | 異なるPKI間の相互運用性を確保するための機関。 |
ITU-T X.509 | デジタル証明書や公開鍵の標準規格。 |
証明書パス検証 | 証明書の信頼性を確認するために、ルート証明書から対象証明書までのパスを確認するプロセス。 |
サブジェクト | 証明書の所有者(ユーザーやサーバー)の情報。 |
CP/CPS(Certificate Policy/Certification Practice Statement) | 証明書の利用方針や運用手順に関する文書。 |
CAA(Certificate Authority Authorization) | 特定のドメインに対して証明書を発行するCAを指定するためのリクエスト。 |
証明書自動発行(SCEP,ACME) | 証明書を自動的に発行・管理するためのプロトコル。 |
CA/Browser Forum | ウェブブラウザとCA間の相互運用性を確保するための基準を策定するフォーラム。 |