用語集

1. 用語集を作るにいたったきっかけ

コンピュータのことばは略語が多いから、こんがらっている。 そこで、用語集を作っておいて、すぐに参照できるようにしようとしたのがきっかけである。 最初はセキュリティスペシャリストに特化していたが、徐々に広げていきつつある。

2. 高度情報処理技術者用の用語のまとめ

A-Z

AES

Advanced Encryption Standard の略。共通鍵暗号の一種。ブロック長は 128 ビット固定であり、 鍵の長さは 128, 192, 256 ビットのいずれかから選択できる。 暗号化の反復処理の回数を段数という。これは鍵長が 128 ビットの場合は 10 段、192 ビットは 12 段、256 ビットは 14 段と決まっている。

BPMN

Business Process Modeling Notation の略。 ワークフローとしてビジネスプロセスを描画するグラフィカルな標準記法である。 BPMN のページも参照。

C & C サーバ

コマンド＆コントロールサーバー

サイバー攻撃などにおいて、 マルウェアに感染したコンピューター群(ボットネット)を制御したり、 命令を出したりする役割を担うサーバのこと。 命令(Command)と制御(Control)の頭文字をとっている。

C & C ということばは、NEC のスローガン Computer & Communication やカレーショップ C & C を連想させるが、 もちろん関係ない。

CRL

Certificate Revocation List (CRL) は有効期間内に無効となった公開鍵証明書のシリアル番号の一覧。 有効期限内のディジタル証明書のうち、失効したディジタル証明書と失効した日時の対応が提示される。 公開鍵証明書を発行した認証局 CA または検証局 VA が発行し、電子署名する。 CRL の仕様は ITU が定めた標準仕様である X.509 で決められている。
参考：CRL モデル(www.ipa.go.jp)

DDoS 攻撃

Distributed Denial of Service 攻撃の略。例として、DNS amp 攻撃がある。

DKIM

DomainKeys Identified Mail の略。スパムメールの対策の一つ。 送信側メールサーバでディジタル署名を電子メールのヘッダに付加し、 受信側メールサーバで検証する。

DNS

Domain Name Servers または Domain Name Service の略。 DNS には、サーバ名を知らせるとその IP アドレスを教えるという機能がある。

DNS のレコードには次の種類がある。

• SOA : ゾーン（ドメイン）情報を管理する
• NS : ドメインの DNS サーバ名を指定する
• A : ホストの IPv4 アドレス
• AAAA : ホストの IPv6 アドレス
• PTR : IP アドレスに対するホスト名
• CNAME : ホスト名のエイリアス
• MX : ドメインのメールサーバ名
• TXT : ホスト名に関連付けるテキスト情報（文字列）の定義。 自ドメインで送信を許可するメールサーバを指定する SPF レコードはここに記載する。

DNS への問い合わせをクエリ (query) という。

DNS キャッシュポイズニング

DNS から教えてもらった IP アドレスが悪意のあるサイトであれば、そこに誘導することになる危険である。 これを DNS キャッシュポイズニングという。DNSSEC はこの問題への対策である。

DNS amp 攻撃

DNS サーバのキャッシュ機能を悪用する DDoS 攻撃の一種。 攻撃者はキャッシュ情報を提供する DNS サーバに偽の情報を送り付けて事前にキャッシュさせておき、 あらためて多数のコンピュータからキャッシュの内容が応答となるような攻撃対象を問い合わせ元とする偽の問い合わせを送るようにさせる。 これにより、攻撃対象に大量の応答を送るようにさせて、攻撃対象のコンピュータ機能をマヒさせるようにする。

DNS が踏み台にされることを防ぐためには、DNS サーバをキャッシュサーバとコンテンツサーバに分離し、 インターネット側から DNS キャッシュサーバに問い合わせできないようにする。

amp とは増幅器 (アンプリファイア, amplifier ）のことである。オーディオのアンプと同じである。

DNSSEC

DNSSEC (DNS Security Extensions) とは、DNS にセキュリティ機能を追加するための拡張仕様のこと。 DNSSEC では、ディジタル書名を利用して、問い合わせへの対応が、本来の DNS サーバからの応答かどうか、 パケット内容が改ざんされていないか、問い合わせたレコードが存在するかを検証することができる。

FeRAM

Ferroelectric Random Access Memory

強誘電体（強絶縁体）を用いた RAM である。強誘電体は高速でアクセスすることが可能である。原理的には１ビット記憶させるのには１誘電体で可能である。 また、内容を維持するためのリフレッシュは必要としない。

HMAC

Hash-based Message Authentication Code の略。秘密鍵とデータ関数からなる符号であるメッセージ認証符号 (Message Authentication Code, MAC) のハッシュ値。 ハッシュ関数は、MD5 や SHA-1 などが使える。

IEEE 802.1Q

タグ VLAN の標準化番号

IPsec

TCP/IP のインターネットプロトコルを拡張して、暗号化通信の機能と通信内容の認証を提供するプロトコル。 インターネット VPN を実現する技術である。 AH、ESP、IKE という複数のプロトコルによって構成される。 コンピュータどうしが通信する場合ではトランスポートモードによる IPsec が、 ゲートウェイどうしが通信する場合はトンネルモードによる IPsec が使用できる。

L2SW

L2SW イーサネットフレームの宛先 MAC アドレスを確認し、 宛先 MAC アドレスが存在するポートだけにイーサネットフレームを送出する。 リピータハブよりイーサネットフレームが盗聴される危険性が低いと言われたが、 ARP スプーフィングを用いえると、L2SW を用いたネットワークでも盗聴の危険性が高くなる。

MD5

与えられた入力に対して128ビットのハッシュ値を出力するハッシュ関数である。 現在では奨励されていない。日本の CRYPTREC では、SHA-256以上を推奨している。

MITB

Man in the Browse の略。 インターネット上で取引を行うときに仕掛ける攻撃手法の一つ。 利用者の PC にマルウェアをしかけ、ブラウザからの送信内容を書き換えて攻撃者の口座に送金させる。

NIC

LANカード

ネットワークアダプタ

NIC (Network Interface Card) は、コンピュータがネットワーク通信を行なうために使用するハードウェア。

OP25B

迷惑メールの対策の一つ。Outbound Port 25 Blocking の略。 動的 IP アドレスが割り当てられた ISP 内のコンピュータから、 宛先ポート番号が 25 (SMTP) の直接通信を遮断する。 この代わりに用いられるのが TCP のサブミッションポート（ポート番号 587）である。

PAN

PAN ( Primary Account Number ) は、カード会員番号のこと。一般にはクレジットカード番号を指す。

PWM

PWM (Pulse Width Modulation : パルス幅変調 ) とは、 矩形波の周波数を一定に保ったまま、そのデューティ比を変化させる変調方式である。 PWM 信号はデジタル信号ではない。

RADIUS

Remote Authentication Dial-In UserService は、 ユーザからの着信を受け付けて認証を担当する機器とユーザ情報を保持する機器が独立しているときに、 両者の間で安全に認証関連情報をやり取りするためのプロトコル。

Return-to-libc攻撃

バッファオーバーランによってコールスタック上のリターンアドレスを別のサブルーチンへのアドレスへ書き換え、 さらにスタック上の引数に当たる位置も書き換えることで、サブルーチンを呼び出させるコンピュータセキュリティの攻撃手法である

RSA 暗号

公開鍵暗号の一種。この暗号方式を考案した三人の頭文字からこの名前がある。

SHA-1

ハッシュ関数の一種。160 ビット　（２０バイト）のハッシュ値を生成する。 脆弱性が報告されている。

SHA-256

ハッシュ関数の一種。256 ビット（ 32 バイト）のハッシュ値を生成する。 CRYPTREC で推奨されているハッシュ関数である。

SHA-512

ハッシュ関数の一種。512 ビット（ 64 バイト）のハッシュ値を生成する。 CRYPTREC で推奨されているハッシュ関数である。

SMART

SLA およびプロジェクト計画における目標値が、具体的 (Specific) 、測定可能 (Measurable) 、達成可能 (Achievable) 、適切 (Relevant) 、 および適時 (Timely) であるべきということを覚えやすくするための頭字語。ITIL v3 の巻末用語集より。

Smurf 攻撃

ICMP の応答パケットを大量に発生させ、 攻撃対象機器の通信負荷を増大させることで、サービスの停止を狙う攻撃手法。 Smurf 攻撃の手順は次の通り。

1. 攻撃対象機器の IP アドレスの入手
2. 上記 IP アドレスを送信元として偽装した ICMP のパケットをネットワーク全体にブロードキャストで送信
3. 上記パケットを受信したネットワーク内機器が一斉に ICMP のパケットを返信
4. 攻撃対象機器の通信負荷増大

英語で smurf とは、素性を偽って参加する (こと|人) 。Smurf 攻撃に使われたプログラム名でもある。

SPF

Sender Policy Framework

電子メールにおける送信ドメイン認証のひとつ。スパムメール対策の一つでもある。 差出人のメールアドレスが他のドメインになりすましていないかどうかを検出することができる。 SPF もしくは SPF認証 とも呼ばれる。

SPF という用語は、最近では特定の方法で飼育された豚に対してつけられることがある。しかしこれは、 Specific Pathgen Free 、すなわち「あらかじめ指定された病原体をもっていない」という意味であり、 コンピュータセキュリティの SPF とは別物である。

SSH

暗号や認証の技術を利用して、安全にリモートコンピュータと通信するためのプロトコル。 ftp を安全にしたプロトコルでもある。

Windows の実装例では、PuTTY がある。

Super Science Highschool とは関係ない。

SSL

Secure Sockets Layer

TCP を利用するアプリケーションに対し、通信の暗号化機能と認証機能を提要するセキュリティプロトコル。 Web ブラウザと Web サーバ間の通信を暗号化するための事実上の標準プロトコルとして利用されている。

SSL を発展させたものが TLS (Transport Layer Security) であり、 最近は SSL/TLS とセットになって使われている。最新バージョンは、 SSL 3.0 , TLS 1.2 である。

プロトコルは、サーバ　Hello Request 、クライアント Client Hello 、サーバ Server Hello でやりとりされる。

SSL-VPN

SSL-VPN の基本的動作には、次の 3 方式がある。

1. リバースプロキシ
2. ポートフォワーディング
3. L2 フォワーディング

SYN FLOOD 攻撃

TCP 接続要求である SYN パケットを大量に送信する攻撃。

SYSLOG

ログを収集、転送する UNIX で一般的に使われているプロトコル。

TLS

SSLを参照。

TPM

TPM (Trusted Platform Module) とは、TCG (Trusted Computing Group) と呼ばれる業界団体が作成した仕様に準拠したチップの名称。 俗にセキュリティチップという。TPM は下記の仕様に準拠している。

• PC が正しいものであり、TPM に準拠しているか検証する。
• ハードウェアおよびソフトウェアの改ざんを検証する。TPM を取り外すと、改ざんされていることを検証し、PC は起動しない。
• 暗号化されたハードディスクの情報を復号化するためのカギをチップ内に内蔵し、チップから取り出せない。
• 暗号処理機能をもつ。

上記から鍵ペアの生成機能があることがわかる。TPM を搭載した PC から暗号化されたハードディスクを取り出して他の PC に接続しても、 復号化して読みだすことはほとんど不可能である。

UARP

調歩同期型（Universal Asynchronous Receiver Transmitter　）の頭文字語。 RS-232 や RS-422 が有名である。（エンベデッドシステムスペシャリスト）

UDP FLOOD 攻撃

サイズが大きい UDP パケットを大量に送信する攻撃

UDP

IP の上位層のパケット。コネクションレスなプロトコルである。UDP ポートの開閉は次のように調べる。 UDP パケットを送る。 ICMP unreachable の受信があれば、そのポートは開いている。

UDP FLOOD 攻撃

サイズが大きい UDP パケットを大量に送信する攻撃

UTM

Unified Threat Management

統合脅威管理

各種脅威からネットワークを防護する手法および機器。

具体的には、ファイアウォールと VPN 機能をベースに、下記のセキュリティ機能

• アンチウイルス
• 不正侵入防御および検知 (IDS, IPS)
• コンテンツフィルタリング
• アンチスパム

を統合的に管理する手法である。 また、それらセキュリティ機能が統合された機器のことも指す。

VLAN

LAN において物理的な接続形態から独立させて仮想的なネットワークを構築する技術。 ブロードキャストドメインを分割することができる。

VPN

共有型ネットワークを利用して、あたかも専用線を利用しているかのようなセキュリティレベルを確保した通信形態をいう。 インターネットを経由するインターネット VPN と、 通信キャリアが提供する通信網を利用する IP-VPN に大別される。

WAF

Web 上のアプリケーションのファイアウォールであり、サーバへのアクセス内容を監視して、 不正アクセスの検査、処理、ログ取得の機能があり、攻撃による影響を低減させる。

あ―お

インシデント

サービスに対する計画外の中断，サービスの品質の低下，又は顧客へのサービスにまだ影響していない事象。

インターネット VPN

インターネットを用いる VPN 。インターネット VPN を実現する技術には IPsec と SSL がある。

か―こ

外部スキーマ

ユーザからの要求に応じるために作成されるスキーマであり，具体的にはビューのことである。

概念スキーマ

データ構造の物理的な実現方法とは独立定義したスキーマであり、SQL 文の CREATE TABLE によって生成される定義体が相当する。

可用性

Availability

許可された者が必要なときに情報や情報資産にアクセスできることを確実にすること。 ウイルス感染や攻撃などによるシステムダウンにより情報が使えなくなることを防ぐことを指す。 → 情報セキュリティの三要素

可用性管理

IT サービスが必要とされるときに、合意した条件のもとで要求された機能を果たせる状態にある能力 について、定義し、分析し、計画し、測定し、改善する活動を行なう。

完全性

Integrity

情報や情報の処理方法が、正確で完全であるようにすること。 情報改ざんを防ぐことを指す。 → 情報セキュリティの三要素

機密性

Confidentiality

許可された者だけが情報にアクセスできるようにすること。情報資産への不正侵入やなりすましを防ぐこと。 → 情報セキュリティの三要素

共通鍵暗号方式

暗号化と復号に同一の（共通の）鍵を用いる暗号方式をいう。AES や DES が知られている。 →公開鍵暗号方式

クッキーモンスターバグ

Web ブラウザーに存在する脆弱性の一つ。 一部の Web ブラウザーにおいて、セッション(Webアクセスの単位)管理に使うクッキー(Cookie)が正しく送信されないという問題。 これにより、攻撃者が用意したセッションIDの値を閲覧者のWebブラウザーに強制的にセットし、 セッションを乗っ取ることで、攻撃者がユーザーになりすますことが可能となるセッション・フィクセーションや、 クロスサイトリクエストフォージェリーなどの影響を受けやすくなる。

クッキーモンスターの名前は、セサミストリートのマペットとして有名なクッキーモンスターにちなんでいるものと思われる。 左は、私の家にあったクッキーモンスターの絵柄のシールである。

共通鍵暗号方式

暗号化と復号に別個の鍵を用い、暗号化のための鍵を公開できるようにした暗号方式をいう。 RSA が知られている。 →共有鍵暗号方式

顧客

サービスを受ける組織又は組織の一部。

注記 1 顧客は，サービス提供者にとって組織の内部又は外部のいずれでもあり得る。

注記 2 JIS Q 9000:2006 から部分的に採用

さ―そ

サイバー攻撃

Cyber Attack

脆弱性のあるシステムを標的とした悪意をもった行為。文脈から明らかなときは単に攻撃と呼ばれる。

• DNS amp 攻撃
• Smurf 攻撃
• SYN Flood 攻撃
• UDP Flood 攻撃

VOW の何巻だったか、こんな話があった。「家族に“攻撃の反対語は何というでしょう”と尋ねたら、“迎撃”という答があったり、 はては“先制攻撃”と答える者もあったりした。」通常、攻撃の反対語は防衛や防御である。サイバー攻撃に対応した対策は、 防衛というより防御であろう。多重防御、ということばもある。

片山まさゆきのマンガで、「先生攻撃」「生徒防衛」というダジャレを見たことがある。

そういえば、「アタック No.1」というバレーボールのアニメーションがあった。今でも「パネルアタック 25」がある。

サービス

顧客が達成することを望む成果を促進することによって，顧客に価値を提供する手段。

注記 1 サービスは，一般的に無形である。

注記 2 サービスは，供給者，内部グループ，又は供給者として活動する顧客によって，サービス提供者にも提供され得る。

情報セキュリティの三要素

• 機密性 (Confidentiality)
• 完全性 (Integrity)
• 可用性 (Availability)

頭文字をとって CIA とも呼ぶ。

ステートフルインスペクション方式

ファイアウォールを通過するパケットのデータを読み取り、 通信の許可／拒否を決定するパケットフィルタリング方式を拡張したもの。 ステートフルインスペクション方式では、LAN 側から WAN 側に向けて出されたリクエストパケットをファイアウォールがログに記録する。 そして、WAN 側から何らかのデータ送信があった場合、そのデータ送信に対応するリクエストが LAN 側から出されていた場合のみ、 すなわちログに記録があった場合のみ、その WAN 側からのデータ送信を許可する。 そうでないデータ送信は拒否する。

スパムメール

迷惑メールとも呼ぶ。対策として、DKIM、OP25B、 SPF がある。

セキュリティパッチ

セキュリティホールに対処するために開発元から提供されるソフトウェアのうち、 該当するセキュリティホールだけを修正するプログラム。

ももひきのことを西日本では「ぱっち」と呼ぶ。こちらは、朝鮮語のパチ（ふんどしの意味）からきているといわれる。

ソルト

ハッシュ処理の際に追加するデータのこと。事前に計算済のハッシュとその元入力の対応表で出力を解析される可能性を減らすために使う。

ソルトは当然、アカウントごとに異なるものでなければならない。また、そのままの形式（平文）で保存されなければならない。

もちろん、ソルトは「塩」(salt）の意味。セキュリティに食べ物や調味料があるとなぜか安心するが、食べられるもののたとえとしては他に 「クッキー」ぐらいしか思いつかない。

UNIX の crypt 関数では、限られた種類でかつ 2 文字のみのソルトが用いられていた。

た―と

タグ VLAN

ポートベース VLAN を拡張し、異なるスイッチ間でも VLAN を構築できるようにするもの。

チーミング

複数の機器をまとめて帯域増大や負荷分散、冗長化を行なう仕組み。具体的には、NIC を論理的に束ねて一つに見せる技術。

デューティ比

デューティ比とは、矩形波の 1 周期のうち "H" 期間が占める割合をいう。 "H" 期間と "L" 期間の長さが等しいとき、デューティ比は 50% である。

つこうた

Winny に代表されるファイル共有ソフトがインストールされているＰＣがウイルスに感染した結果、 ＰＣにある公開していけない自分のファイルやメール内容、 業務上知り得た情報がインターネットにアップロードされてしまうこと。 またつこうた、の形でも使う。

なお、ファイル共有ソフトを使わずとも、情報が漏えいしてしまうことがある。

な―の

内部

物理的なデータベース構造をユーザが意識する必要がないように，データを記憶装置上にどのように記憶するか記述したもの。

二要素認証

二種類の認証方式を組み合わせた認証。

認証

被認証者が認証場所に直接アクセスすることなく、遠隔地から電子的に受けた証拠をもって被認証者が正当であることを確認すること。

は―ほ

ハッシュ関数

あるデータが与えられたとき、そのデータを代表する数値を得る関数をいう。セキュリティで使われるハッシュ関数には、 MD5、SHA-1、SHA-256、SHA-512 などがある。

ハッシュ ( hash ) とは、切り刻むという意味である。 ハヤシライスのハヤシがハッシュからきている（ hashed beef with rice ) という説がある（異説あり）。

秘密鍵

私有鍵

プライベートキー

公開鍵暗号方式で使用される一対の鍵の組のうち、一般に公開されない鍵をいう。

標的型攻撃

特定の組織内の情報を狙って行なわれるサイバー攻撃の一種。 その組織の構成員宛てにマルウェアが添付された電子メールを送ることなどによって開始される。

品質

ファイアウォール

社内 LAN とインターネットとの境界に位置し、外部から侵入してくる不正なパケットなどを社内に入れないようにしたり、 社内からインターネットに向けて送信される自社業務では用いられない不信なプロトコルの通信を拒否したりすることで、 安全性を高めるための技術。FW と書かれることもある。 Web に特化したファイアウォールは WAF と呼ばれる。

フォールス・ポジティブ

正しい行為を誤って遮断してしまうこと。例として、攻撃ではない HTTP リクエストなどを遮断してしまうことがある。

フォールス・ネガティブ

不正な行為を誤って通過させてしまうこと。例として、攻撃である HTTP リクエストなどを通過させてしまうことがある。

プロトコル

データ通信の規則。

• IP
• UDP
• TCP
• ICMP
• RADIUS
• SMTP
• POP3
• IMAP
• HTTP
• FTP
• SPENGO
• SYSLOG

プロトコルとは外交上の儀礼の意味。

ポートスキャン

ポートスキャンを行うことでポートの開閉、サーバで提供しているサービスの推測が可能になる。 TCP ポートの開閉や UDP ポートの開閉を調べる方法はそれぞれの項参照。 有名なポートスキャンを行うソフトに nmap がある。

ポートベース VLAN

スイッチのポートごとに、VLAN の識別番号である VLAN ID を設定し所属する VLAN を決定する方式。

ま―も

マルチキャスト

必要としているグループのみにパケットを送信する機能。 IPv4 では、クラス D の IP アドレスを使う。 これは、先頭が２進法で 1110 で始まるアドレスである。参考 ユニキャスト、ブロードキャスト

マルチホーミング

Multi Homing

同一の宛先に対するパケットを複数の経路に分散させることができる機能。

水飲み場型攻撃

Watering Hole Attack

標的型攻撃の一種。標的組織の従業員が頻繁にアクセスする Web サイトに攻撃コードを埋め込み、 標的組織の従業員がアクセスしたときだけ攻撃が行われるようにすること。 攻撃者をライオン、攻撃対象ユーザーが普段アクセスするウェブサイトを水飲み場にそれぞれ見立て、 ライオンが水飲み場のそばで水を飲みに来る獲物を待ち伏せすることになぞらえたことから命名された。

無線 LAN

無線 LAN とは、無線通信を利用してデータの送受信を行なう LAN のことである。 無線 LAN を安全に使うには、暗号化と認証を組み合わせて使う必要がある。 無線 LAN の伝送規格には IEEE 802.11a, IEEE 802.11b, IEEE 802.11g, IEEE 802.11n がある。

IEEE は「アイトリプルイー」と読む。

メール爆弾攻撃

サイズが大きい電子メールや大量の電子メールを送信する攻撃。

問題

problem

一つ以上のインシデントの根本原因。

注記 問題の記録が作成された時点では，通常はその根本原因は不明であり， 問題管理プロセスは更なる調査に対して責任をもつ。

や、ゆ、よ、らーろ

ユニキャスト

相手を一つのホストに限定した１：１の通信。注、 マルチキャスト、ブロードキャスト。

リンクアグリゲーション

ポートトランキング

コンピュータとスイッチングハブの間や、２台のスイッチングハブの間で、 複数の物理回線を論理的に１本の回線に束ねる技術。

レイヤ２スイッチ

スイッチングハブ

レイヤ2でフレーム交換を行うブリッジ。

レイヤ3スイッチ

レイヤ3(ネットワーク層)での転送を行う LAN 機器。ルーターとの違いはあいまいだが、 主にハードウェアで処理するものをレイヤ3スイッチといい。ソフトウェアで処理するものをルーターという。

HTTP ステータスコード

まりんきょ学問所 ＞ システムの部屋 ＞ 用語集