叡智の三猿

〜森羅万象を情報セキュリティで捉える

気になる情報セキュリティ用語

情報セキュリティで取り扱う用語は意外なほど多くあります。なかにはとっつきにくい用語もあります。ここでは簡易な用語の説明文と、IT系の資格試験からの関連設問を交えることで、馴染みのない用語も意味を理解できた感覚になるページを目指しています。

RAID:気になる情報セキュリティ用語

RAIDは、データを複数のハードディスクドライブに分散して保存することで信頼性の向上と高速化を図る方法です。 RAID0 RAID0は、複数のハードディスクに同時に分散して読み書きを実行します。ストライピングとも呼ばれています。RAID0は読み書きの高速化を実…

バックアップ:気になる情報セキュリティ用語

バックアップは、コンピューターのデータやプログラムなどを、破損・盗難・紛失などの不測の事態に備えて、その複製を別のハードディスクなどに保存することです。主なバックアップ方法として、フルバックアップと差分バックアップがあります。 フルバックア…

フォレンジクス:気になる情報セキュリティ用語

フォレンジクスは証拠保全の意味です。情報セキュリティでは、インシデントの発生において、コンピュータなどの電子機器に残る記録を収集・分析し、その法的な証拠性を明らかにする手段や技術の総称を指します(デジタルフォレンジクス)。ディジタルフォレ…

ハニーポット:気になる情報セキュリティ用語

ハニーポットは、攻撃者の手口を確認するため、あえて脆弱なシステムをおとりとして用意することで、そこに不正侵入者をおびき寄せる手法です。 ハニーポットの例ハニーポットの説明はどれか。 ア サーバやネットワークを実際の攻撃に近い手法で検査すること…

DMZ:気になる情報セキュリティ用語

DMZ(DeMilitarized Zone:非武装地帯)は、一定のセキュリティを保ちながら、外部に公開するネットワークセグメントです。Webサーバやメールサーバを設置するのに使われます。 ネットワークセグメントの例1台のファイアウォールによって,外部セグメント,…

シングルサインオン:気になる情報セキュリティ用語

シングルサインオン(Single Sign On:SSO)は、一度のユーザ認証によって、独立した複数のソフトウェアシステム上のリソースが利用可能になる機能を指します。シングルサインオンにより、システムの利用者は複数のIDやパスワードを記憶する必要がなくなるの…

自由裁量的アクセスコントロール:気になる情報セキュリティ用語

自由裁量的アクセスコントロールはDAC方式ともいわれます。DAC方式はセキュリティ管理者が対象となる情報資源の所有者などにアクセス権限を委ねます。かか自由裁量的アクセスコントロールは強制アクセスコントロールに比べると、柔軟な権限設定ができるメリ…

強制アクセスコントロール:気になる情報セキュリティ用語

強制アクセスコントロールはセキュリティ管理者のみがアクセス権を変更することができることです。MAC方式ともいいます。利用者側でアクセス権を変更できないため、高いレベルのセキュリティが確保できます。かかACLを使ったアクセス管理の一つであるDAC方式…

オフライン攻撃:気になる情報セキュリティ用語

オフライン攻撃は、パスワードに対する脅威のひとつです。攻撃者はパスワードを格納しているファイルを入手し、それを攻撃者のコンピュータにコピーすることで、パスワードを破る手法です。(a)攻撃とは、実際に動作しているサーバにユーザIDとパスワードを…

オンライン攻撃:気になる情報セキュリティ用語

オンライン攻撃は、パスワードに対する脅威のひとつです。攻撃者は動作しているコンピュータにIDとパスワードを送り、認証に成功させるかを調べていくことで不正侵入を試みる手法です。次のパスワードの設定および更新に関する記述で,適切なものには「ア」…

ブルートフォース攻撃:気になる情報セキュリティ用語

ブルートフォース攻撃(総当たり攻撃)は、パスワードに対する脅威のひとつです。攻撃者はパスワードになりそうな文字列として考えられる組み合わせを順々と試すことで、パスワードを破ろうとする手法です。ブルートフォース攻撃に該当するものはどれか。 ア…

辞書攻撃:気になる情報セキュリティ用語

辞書攻撃は、パスワードに対する脅威のひとつです。攻撃者はパスワードになりそうな文字列や辞書に載っている単語をあてはめ、パスワードを推測する手法です。かか辞書攻撃はツールを利用して考えられる文字と数字のすべての組み合わせを試し、パスワードを…

BCP:気になる情報セキュリティ用語

BCPは、地震・津波・パンデミックなどの自然災害やテロによる災害を含め、企業・組織・団体の事業継続計画(Business Continuity Planning)を指します。BCPは、災害によるシステム障害などの危機に直面しても、損害を最小限にしつつ、事業を継続させること…

CVCF:気になる情報セキュリティ用語

CVCFはConstant Voltage Constant Frequencyの略で「定電圧定周波数装置」のことです。電圧や周波数を一定にする装置です。かか電力障害への対策として設置するONUは、電力供給が停止したり、一時的に電圧が低下した場合、内部のバッテリーなどを利用して電…

UPS:気になる情報セキュリティ用語

UPSはUninterruptible Power Supplyの略で「無停電電源装置」のことです。UPSは停電が起きてしまったときに電気を一定時間供給し続けるための装置です。かかUPSを設置することにより、停電時に機器を安全にシャットダウンすることができるようになるだけでは…

フールプルーフ:気になる情報セキュリティ用語

フールプルーフは、利用者が操作を誤っても危険が生じなかったり、そもそも誤った操作や危険な使い方ができないような仕掛けを設計段階で組み込むことです。安全性や信頼性を確保するための設計のうち、フールプルーフに該当するものはどれか。 ア 装置が故…

フェールセーフ:気になる情報セキュリティ用語

フェールセーフはシステムに障害が発生しても安全が維持できるようにする考え方です。フェールセーフの具体例として、信号機は故障や停電により正常な稼働が出来なくなった場合、赤点滅と黄点滅を表示することで安全を確保するよう設計していることが挙げら…

フェールソフト:気になる情報セキュリティ用語

フェールソフトは障害対策の考え方で、機器が故障しても一部の機能を減らして運転を続けることです。フェールソフトの具体例としてよく挙げられるのは、飛行機です。飛行機にはエンジンが複数搭載されていて、エンジンがひとつ壊れても飛び続けることができ…

フォールトトレランス:気になる情報セキュリティ用語

フォールトトレランス は、耐障害性という意味です。火災や電力障害などがきっかけで、システム障害が発生した場合に、稼働を継続させる対策です。障害に対する対処法としては、機器が故障しても一部の機能を減らして運転を継続するフェールソフトと、安全確…

ワンタイムパスワード:気になる情報セキュリティ用語

ワンタイムパスワードは、言葉通り、本人のネットワーク上の認証において、毎回変化する 1回限りのパスワードです。ワンタイムパスワードの方式は以下の2つに大別されます。 タイムスタンプ認証方式 認証をする際の時刻をもとにワンタイムパスワードを生成…

コールドサイト:気になる情報セキュリティ用語

コールドサイトは、機器やシステムを冗長化して信頼性を向上させるバックアップシステムのひとつです。稼働中と同じ構成の予備の機材などを用意しておきますが普段は停止させておきます。障害が発生して設定やデータの投入を行うので、回復までに時間はかか…

ホットサイト:気になる情報セキュリティ用語

ホットサイトは情報システムの障害対策として可用性を維持するために行われる予備となるバックアップシステムです。本システムと同じプログラムやデータを常に同期させることで、本システムに障害が発生した際、即時に運用を切り替えることが可能です。対し…

耐タンパ性:気になる情報セキュリティ用語

耐タンパ性 は、ICチップなどの情報記録媒体が、外部から記録されたデータなどを解析されたり、改ざんが されにくいようにする状態を指します。※こちらも見てみてください。 www.three-wise-monkeys.comハードウェアなどに対して外部から不正に行われる内部…

ショルダーハック:気になる情報セキュリティ用語

ショルダーハックは、パソコンを操作する人の背後や隣で、パスワードなどの秘密情報を入力する様子を盗み見ることで、不正に情報を得ることです。ソーシャルエンジニアリングと呼ばれる、コンピュータの技術的な隙ではなく、人間の隙を突いて情報を不正に入…

ピギーバック:気になる情報セキュリティ用語

セキュリティを確保するべきエリアに外部からの侵入を拒む方法は入退室を管理することです。入室を管理するには、認証が必要です。認証方法としては、①IDカード、②パスワード、③バイオメトリックスがあります。このとき、入室権限を持った社員の後について不…

スキャベンジング:気になる情報セキュリティ用語

スキャベンジングはゴミあさりのことです。重要な紙媒体がゴミとして捨てられるのは脅威です。情報セキュリティでは、廃棄した紙やハードディスクなどから、企業の機密情報や個人情報を盗み出すことをスキャベンジングといいます。紙媒体はシュレッダーで廃…

ISO/IEC 27001(JIS Q 27001):気になる情報セキュリティ用語

ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。情報の機密性・完全性・可用性の3要素(情報セキュリティのCIAといいます)をバランスよくマネジメントし、情報を有効活用するための組織の枠組みを示しています。 ISM…

プライバシーマーク:気になる情報セキュリティ用語

プライバシーマークは、JISQ15001(個人情報保護マネジメントシステム ― 要求事項)という、事業者が取り扱う個人情報を適切に管理するための標準である、日本規格協会の原案によって策定された日本工業規格に基づく認証です。プライバシーマークの認証は、…

マイナンバー法(番号利用法):気になる情報セキュリティ用語

マイナンバー法(番号利用法)は、社会保障、税、災害対策に於ける行政の効率化や公平・公正な社会の実現を目的とするマイナンバー制度の根拠となる法律です。住民に割り当てされるマイナンバーを含む情報は特定個人情報といいます。特定個人情報は、マイナ…

不当競争防止法:気になる情報セキュリティ用語

不当競争防止法は、企業間の競争が「公正」に行われるための法律です。そして、不正競争防止法の営業秘密は「秘密として管理されている生産方法、販売方法、その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないもの」と定義され…