アクティブエックス。Microsoft社が開発したインターネットに関わる技術で、多くは同社のブラウザ、インターネットエクスプローラー(以下、IE)で利用される技術を指す。
【C.I.A (Confidenciality,Integrity,Availability)】
情報セキュリティを考える上での3大基本概念とされるもの。C=Confidentiality(機密性)、I=Integrity(保全性)、A =Availability(可用性)が予め定められた条件のもとで、必要なときにいつでも使える状態に整備されていることを意味する。以上3項目に、「管理統制」と「利便性」を加味することで、情報セキュリティの5大概念とする考え方もある。
▲ページトップへ
サービス不能攻撃。メール爆弾のようにインターネットなどから目的のコンピュータに大量の処理を行なわせるような要求を送り込み、目的のコンピュータを正規の利用者が使用できなくし、ネットワーク上のサービスを使用不能に追い込む攻撃。発展させた手法としてDDoS(Distributed Denial of Service)攻撃:分散型サービス使用不能攻撃というものもある。
強制(的)ブラウズ。正規のルートを通らずに、特定のページへとアクセスすること。何処にも公開されていないWebページのURLを推定してアクセスするような単純な手法から、cookie情報を改ざんしたりすることによって、認証を回避して特定ページにアクセするような手法など、様々な方法がある。それらを組み合わせることにより、サーバーに格納されている各種の情報を取得したり、さらにはサーバーそのものを乗っ取ることができる場合もある。
WebサーバとWebブラウザ間の通信を暗号化するしくみ。個人情報やパスワードなどの機密情報の送信に使われる。 WebサイトのURLが「https://〜」で始まっており、ブラウザの最下段に鍵のマークが表示されているWebサイトの中でやりとりされる情報は暗号化され、第三者に解読できないようになる。ただし、鍵のマークがないサイトへ情報が送られようとする場合もあり、ブラウザがInternet Explorerの場合は、
侵入検知システム。ネットワーク上を流れるパケットの中から、不正アクセス/不正侵入と思われるパケットを発見し、それを管理者に通知、その情報(ログなどを)保存する。その導入方法によるサーバ型とネットワーク型という分け方と、検知方法によるシグネチャベース、統計ベースという分け方がある。いずれも基本的な機能としては前述の通り。また、近年のIDSでは、不正アクセスを検知した際に、各種セキュリティ機器やソフトウェアの設定を自動的に変更するものもある。
▲ページトップへ
Information Security Management Systemの略。情報資産に対するセキュリティを確保するための運用規定や枠組みなどをさす。また、JIPDEC(日本情報処理開発協会)の運用する、ISMS適合性評価制度の認定のことを指す場合もある。ISMS適合性評価制度とは、ISMSを適切に保持・運用していることを第三者機関が評価することにより、外部の人間が企業の情報セキュリティレベルを推し量ることができるようにした制度である。
国際標準化機構のこと。コンピュータやネットワークから品質まで、様々な工業関連分野の統一規格の制定や標準化を行なう組織。ITUなどと協調している。情報セキュリティに関しては、技術ではなく情報資産を適切に保護できる運用体制に関する規定である「ISO 17799」、情報処理システムや情報処理製品の設計、開発、運用を行なう者が遵守すべき情報関連製品や関連システムに必要なセキュリティ要件を規定している「ISO 15408」などがある。
インターネット上の不特定多数のパソコン同士が接続し、相互にファイルを交換できるシステム。またはそれを実現させるソフトウエア。Winny(ウィニー) パソコンに及ぶ危険>>P2Pツール編
▲ページトップへ
POPとはPost Office Protocolの略で、メールを受信する際に使用する。一方SMTPとはSimple Mail Transfer Protocolの略で、メールを送信する際に使用する。つまり、メールを送信する前に、受信する方式のことを指す。多くのISPではこの方式が採用されている。何故このような方式を採用するのか。実は、通常のメールの送信、つまりSMTPには認証機能が備わっていない。公開されているメールサーバに接続すると、誰でもメールを送ることが可能になっている。これでは不正にメールの送信や中継を行うことが可能となってしまう。スパムメール業者などは、このようにメールサーバを不正に利用していることが多い。
Netscape Communication社が開発した、インターネットにおけるパソコン〜サーバ間の通信の安全を確保する、セキュリティを強化した業界標準の通信手段のこと。主にWWWブラウザ〜WWWサーバ間の通信で使われる。通信データの暗号化処理とデジタル署名を使った認証の処理を行う。クレジットカードの番号や個人情報など、重要な項目を入力して送信するサイトではSSL対応であることが必須である。
インターネットをあたかも専用線のように利用して複数拠点の各イントラネット(またはLANなど)を接続し、仮想的なプライベート通信網を構築する技術。インターネットを利用するため、拠点間を伝送する情報および各拠点の内部ネットワークを保護するための高度なセキュリティ措置が必要となる。そのセキュリティ措置として、一般的にはIPSecという暗号通信技術が使用され標準とされている。その他にもPPTP、L2TPなども使われる。また、近年では「IP-VPN」「SSL-VPN」と呼ばれるものもある。VPN構成や暗号通信の方式で異なる点はあるが、いずれもインターネットを専用線のように利用するための技術である。
▲ページトップへ
ファイル共有ソフトの一種。(→P2P )ニューストピックス>>極悪非道のWinnyウイルス〜ネットに流された個人情報たち
スパイウェアの一種。広告を表示させるプログラムのこと。フリーソフトにおいては、ソフトウェアの無料利用条件としてアドウェアを起動させ、ソフトの動作と引き替えに広告を表示させるのが目的だが、中にはユーザーがどんな広告に興味を持ったかという、いわばマーケティング情報を裏で収集し、スパイウェアと同様にネットを通じてアドウェアの製作者に情報を届けさせる作為的なものもある。【関連用語:スパイウェア】 マカフィー・セキュリティサービス
『キー入力の履歴を記録するもの』という意味。スパイウェアの一種。キーロガーがインストールされたパソコンを利用すると、そのパソコンのキーボードでどんな文字が入力されたかが記録され、ネットを通じてキーロガーをインストールした人間に届けられてしまう。つまり、そのパソコンでネットバンクを利用しようものなら、IDやパスワードがキーロガーをインストールした人間に筒抜けになり、ネットバンクの預金が簡単に引き落とされてしまう。実際に不特定多数がパソコンを利用するネットカフェを通じてそういう事件が起きているため、重要な情報の入力は個人専用などの限られたパソコンで行うべきである。
▲ページトップへ
Webサイトをその内容によって閲覧できないように制限する仕組み。閲覧を制限する理由としては、教育や倫理的な問題であったり、企業にその生産性の低下に繋がる行動を規制する意味合いがある。また、アダルトサイトやアングラなサイトには、ウイルスやトロイの木馬などを閲覧者のパソコンに送り込むようなサイトもあり、そのようなものからの防御という用途もある。
不特定多数のコンピュータに次々に感染していき、感染先のコンピュータ・システムに障害を発生させる、人間が意図的に作成した悪意のあるプログラムのこと。行動は、感染、潜伏、発病という3つのサイクルを持つ。単にウイルスとも呼ぶ。単独では活動できず、他のファイルやプログラムの中に埋め込まれており、それらが実行されるときに活動する。パソコンに及ぶ危険>>メール編:ウイルス マカフィー・セキュリティサービス
▲ページトップへ
コンピュータウイルスと違いデータファイルやプログラム中に潜むのではなく単独で活動が可能な悪意のあるプログラム。感染経路はメールだけではなく、セキュリティホールを利用してWebの閲覧によって感染するなどもある。近年では、インターネットに接続するだけで感染するBlasterワームなどが猛威を振るった。パソコンに及ぶ危険>>Web閲覧編:ワーム マカフィー・セキュリティサービス
パソコンを操作している人の肩越しにキータイプなどを盗み見て、パスワードやIDなどの情報を取得すること。非常に原始的な情報の取得方法であるが、現状の企業でも、入退室管理などの物理的なセキュリティが甘い企業は多いため、このような方法は依然として有効であるとされている。
商標としては、米Network General Corporationの登録商標であり、その製品である「Sniffer」を指す。同製品は、ネットワーク上を流れるパケット(小さな情報の固まり)をモニタリングして、ネットワークの障害などを解析するもの。「sniff」とは「くんくん嗅ぎ回る」という意味を持っており、ネットワーク上を流れるパケットをモニタリングして解析する行為自体を「sniffing(スニッフィング)」と呼ぶ。また、そのようなパケットモニタリング/キャプチャツールを総じて「スニファ」と呼ぶこともある。
▲ページトップへ
知らない間にパソコンにインストールされるように仕組み、利用者の個人情報などを外部に流出させるプログラムのこと。フリーソフトに紛れてインストールされるケースが多く、表面上はソフトの正しい動作をしているように見せかけ、その裏ではパスワードなどの入力履歴が記録された情報や、メールソフトに蓄積されたメールアドレスなどを収集していることがある。収集した情報はインターネットを通じてスパイウェアの製作者に届けられるため、ネット接続を要するフリーソフトには注意する必要がある。【関連用語:アドウェア】 マカフィー・セキュリティサービス
組織の内部で情報資産を保護するための規定。コンピュータに限ると、外部(一般にはインターネット)からアクセス可能な内部ネットワーク上のサービス、資源、アクセスできる人物、および内部からアクセス可能なインターネット上のサービス、資源などを定義する。ファイアウォールなどセキュリティ機器の配置/設定はセキュリティポリシーに基づいて構築される。
技術的な方法を使わずに、物理的な方法で重要な情報を盗み出すことの総称。例としては、A社へ侵入しようとたくらむクラッカーが、A社の情報システム部に電話をして「○○部の××だが、部長からIDとパスワードを忘れてしまったので、教えて欲しいと言われているのだが」といって、情報を聞き出すことなどである。
公開鍵暗号を用いて作成する、ネットワーク上で間違いなく本人であることを証明するための電子的なサイン(署名)。公開鍵暗号では、秘密鍵と公開鍵の2つの鍵が1対として作られる。秘密鍵は本人しか知らないものであり、公開鍵はその名の通り公開されている。
▲ページトップへ
インターネット上のメールアドレスやWWWサーバ、個人、組織などについて、その存在を証明するために発行する電子的な情報。電子証明書自体はだれでも自由に作成できるので、第三者を詐称することも可能である。電子証明書があれば安心安全というわけではないことを知っておこう。
ギリシャ神話の「トロイの木馬」と同じように、ターゲットのコンピュータに入り込んで、不正行為を行うプログラム。便利なプログラムやゲームに見せかけて、ユーザに実行を促す。実行されると、表面的には何も起こらなかったり実際にゲームなどができたりするが、その裏側では、不正にファイルを操作(削除や書き換え)を行ったり、個人情報を勝手に送信したり、クラッカーの自由に出入りできるようにバックドア(裏口)を設置したりする。マカフィー・セキュリティサービス
▲ページトップへ
各個人の持つ固有の身体的な特徴を利用して認証する仕組みのこと。固有の特徴を用いるため、システムをあざむくことが困難となり、認証強度としては非常に高いシステムとなる。認証の要素として使われるのは、指紋、虹彩、静脈パターン、声紋などさまざまである。
ネットワーク上を流れる情報は「パケット」と呼ばれる、小さな情報の固まりに分割されている。そのパケットには「送信元」「送信先」「IPアドレス」「ポート番号」などの情報が格納されている。その情報により、通信を許可したり禁止したり制御する方法がパケットフィルタリングで、ファイアウォールではこの方法により、通信を制御している。
コンピュータ犯罪者の意味で使われることが多いが、元々は、コンピュータに強い関心を持ち、コンピュータを使って種々の実験を行ったり、コンピュータの限界を確かめるために様々な処理を試したりする者を指す言葉。クラッカーとは、コンピュータやネットワークの技術を使い、不正に他人のコンピュータやネットワークに侵入してシステムの破壊、情報の盗聴、改ざん、破壊などを行ったり、ネットワーク上の秘密情報を盗聴したりする者。
▲ページトップへ
その名の通り裏口。クラッカーがいったん侵入に成功したサーバなどに仕掛ける、自分専用の入り口。正規のユーザに気づかれないよう、かつ次回からの侵入が容易になるように仕掛ける。このような場合は、ログの改ざんなどがされている可能性は高く、侵入の痕跡を見つけることは困難であるとされている。マカフィー・セキュリティサービス
一般的には内部ネットワークと外部の境界に設置し、外部からの攻撃を防ぎ内部ネットワークを保護するためのシステムを指す。Windows XPに標準搭載されたため、個々のコンピュータを守るパーソナルファイアウォールと呼ばれる仕組みが広く利用されつつある。基本的には、外部から内部へのアクセスを制限して、内部のセキュリティを守る。マカフィー・セキュリティサービス
▲ページトップへ
クラッカーなどは、直接狙っているサーバなどに侵入すると、どこからアクセスしているか特定され足がついてしまう。それを避けるため、いったん別のサーバなどに侵入し、そこのコンピュータから標的とするコンピュータへと侵入すること。複数のサーバを経由することもある。踏み台にされた場合、侵入の被害を受けた方では、踏み台になっているサーバから侵入されたように見える。
JIPDEC(日本情報処理開発協会)で運用されている、評価認定制度。個人情報の取り扱いに関して、適切な保護措置がとられているかが評価される。コンプライアンス(法令遵守)、従業員への教育、運用実績などが条件とされている。認定を取得して終わりではなく、取得後も年に1回以上の監査が行われ、体制などが維持されるよう努めなければならない仕組みになっている。また、取得企業は消費者からの情報(苦情など)に基づき、JIPDECから改善命令などが出されるなど、その効力を保証される仕組みになっている。
▲ページトップへ
総当たり攻撃とも言われる。ブルートフォース(Brute Force)とは「力ずくで」という意味。パスワードをクラックする際にあらゆる文字・記号などの組み合わせで、手当たり次第に試行していく方法。原始的な方法ではあるが、ブルートフォースアタック専用ツールの1秒間あたりの試行回数は凄まじいため、認証失敗回数によりIDがロックされるといった方法がとられていないシステムでは、あっけなくパスワードを取得されてしまう。
プロキシ(proxy)とは代理という意味。一般ユーザの利用方法としては高速アクセスの実現のために使われる。また、企業においては高速アクセスの実現に加え、セキュリティの確保に使われることが多い。
目的のコンピュータに対して、総当たり的にポートにアクセスして、その応答の有無を調べる行為。TCP/IPのネットワークでは、その用途(アプリケーション(ソフトウェアではない)と呼ばれる)に応じて、通信するためのポート番号と呼ばれるものが用意されている。代表的なアプリケーションに関しては、一般的に使用されるポートが決まっていて、それらはWell Known Portと呼ばれる。(例:HTTPアクセスは80番など)クラッカーは、ポートスキャンを行った結果により、どのポートが解放されているのか、どのアプリケーションが応答可能な状況にあるのかといった情報を入手する。その情報から、弱点のありそうなポートを探し、攻撃を仕掛ける。そのためポートスキャンは、一般的に攻撃の準備行為としてみなされることが多い。
▲ページトップへ
悪意が込められたソフトウェアのこと。malicious software(悪意のあるソフトウェア)を略して mal-ware =マルウェアと呼ばれるようになった。ウイルスやワームなど、ネットワークを通じてパソコンを破壊しようとするものの他に、パソコンをリモートコントロールしようとする類ではトロイの木馬や、ポップアップ広告を偽装したアドウェアなどが有名。マカフィー・セキュリティサービス
Windowsやアプリケーションソフトを動作させるために必要な設定やデータが蓄えられているファイルのこと。レジストリの内容を書き換えることで、Windowsやアプリケーションソフトの動作を改良することも可能になるが、知識がないままに手を入れると動作不良を起こす場合がある。ウイルスの中にはレジストリを勝手に書き換えるようなものがあり、感染した場合はパソコンを正常な状態に戻すのが困難になる。
1度しか使用できない、使い捨てのパスワード。利用者は、必要になるたびに新たなパスワードを生成する、あらかじめ複数のパスワードを用意しておくなどして、アクセスするごとに新しいパスワードを使用する。ネットワーク上でパスワードをコピーされ不正使用される危険を防げる。パスワードの生成方法には様々な方法があり、パスワードを生成するもの(ソフトウェアであったりハードウェアであったり様態は提供ベンダによって異なる)はトークンと呼ばれる。
記事一覧
安全なパスワードとは?
一般的な脆弱性
いやがらせ
ウイルス
Win SP2のセキュリティ機能
架空請求
危険なサイト
危険なプログラム
起訴の可能性
クッキー
XSS
ケータイのウイルス対策
個人情報
個人情報保護法
コンテンツフィルタリング
スパム
チェーンメール
著作権
データのアップロード
データのダウンロード
盗品・詐欺
なりすまし
ネチケット
フィッシング
不正アクセス禁止法
ブラクラ
無線LANの安全な使い方
メールボム
ユーザー管理
ワーム
パソコンのウイルス対策など、安心・安全の情報
