関連用語集

事業継続、セキュリティ、エネルギーの関連用語集です。

[索引]   A  |   B  |   C  |   D  |   E  |   F  |   G  |   H  |   I  |   J  |   K  |   L  |   M  |   N  |   O  |   P  |   Q  |   R  |   S  |   T  |   U  |   V  |   W  |   X  |   Y  |   Z  |
  あ  |   か  |   さ  |   た  |   な  |   は  |   ま  |   や  |   ら  |   わ  

A

ASV

Approved Scanning Vendorの略。PCI DSSのセキュリティ基準の内、リモートによるぜい弱性診断を実施する審査機関。審査機関になるにはPCI DSSを策定しているPCI SSCからの認定が必要。現在世界で約350社近くが認定されている。

B

BS7799

「BS」はBritish Standardの略。情報セキュリティ管理行動準則。英国の行政組織と有力企業からなる委員会(BSFD/12)の検討によって作成され、1995年に発行された。セキュリティ運用のガイドライン。この内容がISO/IEC 17799に取り込まれている。

C

CA

Certification Authorityの略。認証局

CERT/CC

Computer Emergency Response Team/Coordination Centerの略。コンピュータ緊急対応センター。インターネットを安全に利用するための不正アクセス対策などを目的とした組織。日本ではJPCERT/CCとして1996年に任意団体として正式に発足し、2003年法人格を取得後している、主にインターネット定点観測事業やぜい弱性情報流通調整機関として活動している。

Common Criteria

Common Criteria for Information Technology Security Evaluationの略。ISO国際標準のベースとして、アメリカ、カナダ、イギリス、ドイツ、フランス、オランダの各政府が中心にまとめたセキュリティの国際基準の集大成。様々な国の商用ベースでの利用を目的としている。 1996年にVersion 1.0、1998年にVersion 2.0が発行された。Version 2.0は語句の修正などわずかな改変を受けた後にISO/IEC 15408として国際標準化されている。また、1999年にVersion 2.1、2006年にはVersion3.1まで発行されている。

D

DLP

Data Loss Preventionの略。社内の重要なデータ（機密情報、個人情報など）を識別し、リムーバブルストレージや電子メール、Web、印刷など様々な経路からの情報漏えい防止対策技術。

DMZ

Demilitarized Zoneの略。非武装セグメントとも呼ばれ、インターネットとプライベートネットワークとの間に、独立して置かれる。このゾーンに、メールサーバ、Webサーバ、DNSサーバ、Proxyサーバなどのサーバを置くことで、プライベートな内部ネットワークを危険にさらすことなく、これらのサービスが提供できる。

DoSアタック

Denial of Service(サービス拒否)の略。悪意ある者が大量の情報を送りつけるなどの方法でサーバを動作できないようにし、サービス提供をできなくさせる攻撃。また、踏み台と呼ばれる複数のコンピュータから同時に行われる攻撃をDDoS(Distributed Denial of Service)アタックという。

I

IDS

Intruder Detection Systemの略。通信回線を常時監視し、ネットワークへの侵入を検知・通報するシステム。不正アクセスパターンを記録しておき、実際に流れているパケットと比較することで、正常な通信であるかどうか判断して、システム管理者に通知する。ファイアウォールではとらえることのできない「攻撃の手口」の認識やファイアウォールを突破した際の「不正侵入者」の検知が行える。

IETF

Internet Engineering Task Forceの略。インターネットの技術の標準化作業や比較的短い期間の技術的課題を問題解決するタスクフォース。120を超えるワーキンググループがありSMTP、POP3、IMAP4、S/MINE、SIPなど様々な仕様を定めている。

IKE

Internet Key Exchangeの略。従来、ISAKMP/Oakleyと 呼ばれていた方式の、鍵交換プロトコルのこと。Diffie-Hellman の手法として知られる共通鍵の交換手法に、改良を加えたもの。安全に、通信相手に暗号鍵を渡すことができる。

IPA

Information-technology Promotion Agency,Japanの略。情報処理振興事業協会。情報処理の振興を図るため、プログラムの開発及び利用の促進ならびに、情報処理サービス業などを営む者に対する助成業務を目的に設立された政府関係機関。

IPS

Intrusion Prevention Systemの略。サーバやネットワークへの不正アクセスや不正侵入などを検知・遮断する機能。検知までを行うIDSを拡張し、不正な通信パケットの破棄、遮断を行える。

IPsec

IP Securityの略。VPN(Virtual Private Network)を構築するためのセキュリティプロトコル。IPパケットを暗号化して送受信するため、TCPやUDPなど上位のプロトコルを利用するアプリケーションソフトはIPSecが使われていることを意識する必要はない。IPv6は、IPSecを標準サポートしている。

IPv6

既存のIPプロトコル(IPv4)に対して、アドレス空間の拡張(現行4バイトから16バイト)とルーティング負荷の軽減(ヘッダー部分の簡易化、固定長化)を目的に開発されたプロトコル。

ISMS

Information Security Management Systemの略、情報セキュリティマネジメントシステム。組織が保有する情報資産について、どのような脅威とぜい弱性があるかを認識し、その脅威が発生する頻度などを考慮に入れたリスクの算出から、リスクを軽減するような対策を講じていくためのマネジメントフレームワーク。ISMSの要求事項の定義書としてISO/IEC 27001がある。

ISO/IEC 15408

「製品やシステムのセキュリティ上の品質」を保証する標準。Common Criteriaを元に1999年に国際規格化された。Common CriteriaにおけるST、PP、TOEなどの、製品やシステムの設計や仕様作成の基準を基に、セキュリティ機能の検証と開発／製造／運用に関する資材を検査し、セキュア化を評価するための基準。

ISO/IEC 17799

「セキュリティ維持のための組織や運用」を規定する標準。システム(企業のサービス提供に必要な情報システム)の運用維持のために「セキュリティ対策」及び「トラブル発生時においてもシステムを継続する」という観点で 何を実施するべきかを記したガイドライン。2007年に規格番号が27002に変更された。国内ではJIS Q 27002として規格化されている。

ISO/IEC 27001

「組織のISMS構築における要求事項の定義書」英国規格BS7799-2：2002を基にISOにて内容が修正され、2005年に発行された。国内ではJIS Q 27001として規格化されている。

ISO/IEC 27002

「情報セキュリティ管理のベストプラクティスをまとめた実施規範」。推奨する管理策集としてISO/IEC 27001から参照される。英国規格BS 7799-1を元にISO/IEC 17799（日本語版JIS X 5058：2002）として規定され、2007年に規格番号が27002に変更された。国内ではJIS Q 27002として規格化されている。

ITU

International Telecommunications Unionの略。国際通信連合。事実上、世界中のすべての政府に会員資格のあるものとして国際連合により設立された、通信の標準を制定する国際的な組織。

ITU-T

ITU Telecommunication Standardization Sectorの略。ITUの中で電子通信の標準化を担当する部会。

J

JCSI

Japan Certification Services, Inc.の略。日本認証サービス株式会社。

L

LDAP

Lightweight Directory Access Protocolの略。X.500 ディレクトリサービスを軽量、簡素化し、インターネットで利用するためのサービスプロトコル。X.500は非常に汎用性が高いディレクトリサービスプロトコルであるが、複雑で大規模なものとなってしまう。そこで、WWWブラウザやメールソフトウェアなどからも簡単に利用できるように、簡素化したプロトコルとして開発されたもの。現在までに動作が軽量化されたバージョン2、セキュリティが強化されたバージョン3が定義されている。

M

MPLS

Multi Protocol Label Switchingの略。IPパケットに固定長のラベルをつけてより単純に、パケットを目的地まで転送するためのパケット転送制御方式。ラベルを使ってIPパケットの経路や処理を区別することで、電話網における「回線」の概念を導入することができ、要求される品質に応じたトラヒックの制御を行うことが可能。

O

OTP

One Time Passwordの略。ワンタイムパスワード

P

P2Pアプリケーション

ノード（パソコン）がサーバ機能とクライアント機能の両方を備え、ノード間(Peer to Peer)で論理ネットワークを構築し直接通信するアプリケーション。P2Pアプリケーションの普及によりネットワークの帯域の圧迫や、ファイル共有を通じた悪意のあるプログラム(ワーム)による論理ネットワークを通じた情報漏洩などが課題となっている。

PCI DSS

Payment Card Industry Data Security Standardの略。「カード情報を効果的に保護するための国際的なセキュリティ基準」2006年に国際カードブランド5社(American Express、Discover Financial Services、JCB International、MasterCard Worldwide、Visa Inc.)が共同で設立したPCI SSC(Security Standards Council)によって策定された。クレジット情報を取扱う全ての加盟店・決済代行事業者などがこの基準に準拠することが求められている。

PKCS

Public-Key Cryptography Standardsの略。RSA研究所が提唱する公開鍵暗号技術を利用する上での標準規格の集合。RSA Data Security, Inc.が、Apple、Microsoft、DEC、Lotus、Sun、MITなどと協力して策定したもの。

PKI

電子商取引や電子申請書などにおける情報通信に関して、秘匿のための暗号化、電子署名、否認防止、改ざん検知に用いる証明書の発行や管理を実現する仕組みで、認証局などで構成する。公開鍵暗号方式が技術的な核である。

PP

Protection Profile(プロテクション・プロファイル)の略。TOEに対しセキュリティ機能として何を要求するかを記述した文書。Common Criteria及びISO/IEC 15408で規定している用語。

R

RADIUS

Remote Access Dial-In User Serviceの略。リモートアクセス時に使用する利用者認証プロトコル。

RAS

Remote Access Serviceの略。電話回線経由で行うネットワーク接続機能のこと。PPP接続もこの機能を利用して行う。RASの機能をもつホストにアクセスすることで、そのホストが属するローカルエリアネットワーク内に存在するPCの共有資源にアクセスすることができる。このためユーザ認証やIPアドレスの指定などの設定が必要。

RFID

Radio Frequency Identificationの略。RFIDタグと呼ばれる媒体に記憶された人やモノの個別情報を、無線通信によって読み書き（データ呼び出し・登録・削除・更新など）をおこなう自動認識システムのこと。身近な例にJR東日本のSuicaがある。電池を内蔵して数十メートルの距離で通信が可能なアクティブタブと数センチの距離で通信するパッシブタグなどがある。

RSA暗号

DiffieとHellmanが1976年に提唱した公開鍵暗号方式を、Rivest、Shamir、Adlemanが最初に実現したものである。実現した人達の名前にちなんで、この方式をRSA方式と呼んでいる。

S

S/MIME

Secure/Multipurpose Internet Mail Extensionsの略。RSA社が提唱している暗号化メール規格。S/MIMEは、RSA研究所の提唱するPKCSによって提供される暗号化技術を電子メールシステムにおいて実現している。現在では、数多くのメールクライアント製品に採用されており、事実上の業界標準となっている。

spamメール

受信者の意向を無視して、無差別かつ大量に一括して送信されるメールのこと。そのほとんどが広告メールであり、詐欺サイトなどへの誘導を行うためのURLが記載されていることも多い。

SSL

Secure Sockets Layerの略。Webブラウザなどを利用したデータのやり取りで使用される、セキュリティを守るための仕組み。通信内容を保護するためのデータ暗号化、通信相手のなりすましを防止するための公開鍵証明書による認証、データの改ざん検出機能が提供される。

SSO

Single Sign Onの略。シングルサインオン

ST

Security Targetの略。PPに加えて、セキュリティ対策の実現方法も記述した文書。Common Criteria及びISO/IEC 15408で規定している用語。

T

TOE

Target of Evaluation(評価対象)の略。Common Criteria及びISO/IEC 15408においてセキュリティ評価の対象となる製品/システム。

U

US DOE CIAC

US DOE Computer Incident Advisory Capabilityの略。米国エネルギー省（US DOE）に対してコンピュータセキュリティに関する情報の収集・公開を行っている組織。DOE以外でも情報の利用が可能となっている。

UTM

Unified Threat Managementの略。情報漏洩、ウイルス、ぜい弱性、業務妨害や業務効率低下を狙った攻撃など、インターネットとイントラネットを結ぶ場所に潜む様々な危険や脅威への対策を1つのソフトウェア、またはアプライアンス装置で実現する統合型のセキュリティ製品。ファイアウォールやIPsec-VPN、SSL-VPN、アンチウイルス・スパム、IPS、WEBコンテンツフィルタリングなどの機能を備えている。

V

VPN

Virtual Private Networkの略。仮想専用線、仮想施設網などと呼ばれる。VPN機能を備えた専用装置が必要。最近ではファイアウォールやルータなどに機能が組み込まれていることが多い。公衆回線をあたかも専用回線であるかのように利用できるサービス。基本的に、暗号化通信とユーザ認証により実現される。

W

Webコンテンツフィルタリング

WEBサイトの内容などをチェックし、暴力、犯罪やアダルトなど内容が有害と思われるページへのアクセスを制限するプログラム。学校など教育の場で、生徒に悪影響を与えるサイトへの閲覧を禁止する目的に加え、 最近は、組織で業務に関係のないWEBサイトの閲覧による業務効率の低下や情報漏洩へ防止する目的での利用が増加している。

X

X.509

証明書(デジタル証明書)の仕様を定めたITU-T勧告。

あ

アクセスコントロール

情報システム、またはそこに保存されているデータやプログラムに対して、許可される操作と禁止される操作を明確に区別し、それを強制する仕組みを作ること。

暗号化

秘匿すべき情報の表現を組替えて第三者が参照したり利用したりできないようにすること。技術的に様々な方式があるが、大別すると「共通鍵暗号方式」と「公開鍵暗号方式」がある。ネットワークを介して通信する情報やディスクなどの記憶媒体に格納する情報に暗号化が適用される。

インシデントコマンドシステム

災害時の対策・復旧を支援するシステム。緊急地震速報の伝達や安否確認や緊急連絡、設備の被害状況の把握と一元管理を行い、被害想定や策定計画に応じた速やかな体制の確立と組織の早期復旧を支援する。

ウイルス検索エンジン

ウイルス定義情報と実在のファイルを照らし合わせ、ウイルスの検知や駆除を行なうプログラム。

ウイルス定義情報

ウイルス対策ソフトにおいて、ウイルスの検知や情報の修復などに必要なウイルスの情報。 新種のウイルスに対してはこの情報を定期的に更新しておかないとウイルスの検知や修復が行えない。 単に「ウイルス定義」や「ウイルスパターン」などと呼ぶこともある。

か

改ざん

作成者やシステム管理者の許可なく、悪意を持って情報を書き換えること。インターネット不正アクセスに伴う「ホームページ改ざん」や「機密データの改ざん」などがある。

擬似アタック

システムのセキュリティ対策状況を調査するテスト手法のこと。ペネトレーションテストとも言われる。実際に外部からサーバに対して様々な種類の攻撃を試み、問題点の洗い出しやセキュリティの強度や対策レベルの診断に用いられる。

行政機関個人情報保護法

個人の利益を保護することを目的として、行政機関に対し、個人情報を適正に取扱うよう定めた法律。 個人情報保護法とあわせて、平成15年5月に成立した。

共通鍵暗号方式

情報の暗号化と復号に共通の鍵を使う暗号方式。公開鍵暗号方式にくらべて演算が速いため、大量の情報にも適用できる。

金融商品取引法

日本版SOX 法、J-SOX法などとも呼ばれる。証券取引法の内容を抜本改正し、2006年6月7日成立。上場企業は2008年度から財務報告書の信頼性を担保する内部統制の整備・経営者評価・監査が義務付けられた。また、違反に対する処罰が強化されている。

クライアント認証

Webブラウザなどを利用したSSL暗号化通信においてクライアント側(利用者側)をより厳密に認証するための方式であり、 サーバ側(サービス提供側)からの要求に対し、自らの証明書を送信し、「間違いなく本人」であることを証明する。これに対し、サーバ側のみを証明する方式を「サーバ認証」と呼ぶ。

クラッカー

企業や組織の公開サーバで提示している情報の改変や、社内システムへの侵入などの不正侵入を試みる者の呼称。

クラッキング

悪意を持って不当に情報システムのセキュリティを破り、侵入を試みる行為のこと。

公開鍵暗号方式

「公開鍵」、「秘密鍵」といわれる二種類の鍵を使用する暗号方式。暗号化と復号に別の鍵を用い、どちらかの鍵で暗号化したデータは、もう一方の鍵を使ってのみ、復号できる。「秘密鍵」は常に自分の手元に置き、「公開鍵」は相手も取得できるようにしておく。なりすまし、改ざん、否認を防止するためにも使用できる。

個人情報保護法

個人情報取扱い事業者に対し、個人情報を適正に取扱うよう定めた法律。個人の利益を保護することを目的として行政機関個人情報保護法とあわせて、平成15年5月に成立した。

さ

サイバーテロ

インターネットなどを通じて行われる情報システムへのテロ行為のこと。各国の国防や社会インフラなどの各種情報システムに侵入し、 データ破壊、改ざんなどを行い、国家や社会機能を麻痺させる行為。

サイン認証

生体認証の一つ。利用者のサイン(自筆)により、利用者本人であることを確認する認証の方式。

指紋認証

生体認証の一つ。利用者の指紋により、利用者本人であることを確認する認証の方式。

証跡管理

ログを収集し、ポリシー通りに運用されているかを分析・評価すること。情報セキュリティのマネジメントや対策が正常に機能しているかの把握や、不正行為などの脅威にさらされていないかの監視、不正行為があった際にその内容や影響範囲を事後的に確認するためなど、管理が煩雑になる場合が多く、PDCAを継続的に行い、改善されていくことが重要になる。

情報セキュリティガバナンス

情報セキュリティ投資の有効性や効率性を、ステークホルダーに説明可能なように戦略性を持って、企業価値向上に向けて前向きな投資を進める考え方。

情報セキュリティポリシー

組織としての情報セキュリティ対策の基本的な考え方と必要なセキュリティレベルを達成するための運用ルールを文章化したもの。情報セキュリティに対する企業全体(経営者)としての意思を統一することを目的に策定される。情報セキュリティポリシーに関連する文書は「基本方針」「対策基準」「対策実施手順」の3階層に分類して整備するとよいとされている。

情報漏洩

内部の機密情報が外部に漏れること。その原因としては、内・外的要因、悪意のあるもの、ミスによるものなど様々あり、人為的な問題が約8割を占めるといわれている。具体的には、紙資料・記憶媒体・携帯電話やモバイルPCなどの紛失・盗難、メール誤送信、ウイルス・スパイウェアによる被害や、ネットワークからの悪意ある不正アクセス、フィッシングなどの悪意のあるサイトへの不用意なアクセス、P2Pアプリケーションによる情報の不正漏洩などがある。

証明書

認証や電子署名に利用する公開鍵がその本人のものであることを証明する電子情報。デジタル証明書ともいう。ITU-TのX.509で形式と内容を規定している。第三者である認証局が本人を確認して証明書を発行することにより、なりすましの防止ができる。

新会社法

2005年6月に成立し、2006年5月より施行。内部統制強化のための法令・規則が整備され、委員会設置会社だけではなく、監査役設置会社においても内部統制の基本方針を決定し、その決議の概要を事業報告書の記載事項とすることが要求される。大会社は内部統制システム構築及び報告が義務づけられている。

シンクライアント

パソコン側(クライアント側)に最低限の機能しか持たせず、サーバ側でアプリケーションやデータなどの資源を一元管理するシステムの総称。狭義では、ハードディスクなどを持たない専用ハードウェアのことを、広義では、サーバ集中型のシステム全体のことを指す。

シングルサインオン

システム毎、アプリケーション毎に利用者がID／パスワードを入力する煩雑さを解消する手段。ディレクトリサーバと連携して、ID/パスワードをシステム、アプリケーション間で持ち回る方法などがある。

スマートカード

CPUやメモリ、セキュリティ回路を搭載したICチップを組み込んだクレジットカード大のプラスチックカード。暗号化などの高機能な演算能力を備える、格納できる情報が多い、アプリケーションの書き換えにより再利用が容易、などの特徴を持つ。

生体認証

人の身体的情報(指紋、声紋、顔、網膜など)を用いて本人を認証する方法。「バイオメトリクス」とも呼ばれる。生体認証を利用することで、「ID/パスワードよりも他人に複製されにくい」、 「ユーザにかかる負担が少なくなる」などの利点が出る。近年では低価格化が進み、ノート型PCなどにも搭載できるようになった。

た

データセンター

DC(Data Center)とも呼ばれる。特に高速で安定したインターネット回線の提供やネットワークセキュリティが強化されたデータセンターのことをIDC(Internet Data Center)と呼ぶ。顧客のサーバの設備場所を提供し、運用・保守を行うサービスと、センター内に設置・構築したサーバやデータ通信機器を貸出すサービスがある。24時間365日の有人監視や、ICカードや生体認証による入退室管理、強固な耐震施設、電源供給・自家発電装置など、高信頼・高セキュリティのサービス・設備を有する。

手のひら静脈認証

生体認証のひとつで、皮膚下にある静脈の血管形状パターンを認証情報として利用する。他の血管にくらべ手のひらの静脈は本数が多く複雑なため、高精度の識別能力を発揮し、血管が太いため寒暖に左右されにくい安定した認証が可能となる。

電子決済

電子商取引において代金の支払いや受け取りを現金ではなく、電子的な手続きにより行うこと。個人利用者においては各家庭からの振込み処理やクレジット決済などの利用により現金を持たずに買い物が可能となる。

電子署名（デジタル署名）

紙の文書に関して押印をして真正性を示すのと同様に、電子文書に対して真正性を示すための技術的な仕組み。インターネットなどを利用し情報を送付する際にその情報が、送信者が作成しあるいは確認したものであり、また送信後に改ざんされていないことを確認するための情報。また情報を保存する際にも、同様に作成者と非改ざんの確認に電子署名が利用できる。

トロイの木馬

正体を偽ってコンピュータへ侵入し、データ消去やファイルの外部流出、他のコンピュータの攻撃などの破壊活動を行うプログラム。 トロイの木馬は他のファイルに寄生したりはせず、自分自身での増殖活動も行わない。トロイの木馬は自らを無害なプログラムだとユーザに信じ込ませ、実行させるよう仕向ける。 TROJ_HYBRIS(トロイ・ハイブリス)などが有名。

な

なりすまし

一般には、本人のふりをして、不当に利益を得ようとするもの。電子商取引においてはネットワーク上であれば相手の姿が見えないのをいいことに取引相手になりすまして(取引相手を装って)商品や金品などを横取りすることを目的とするものをいう。

認証局

電子商取引などに利用する、証明書の管理(発行/登録/失効)を行う機関。サービス実施者やサービス利用者が本人であることを証明する。認証サービス事業者は、認証局を持って証明書発行などのサービスを提供する。また、行政機関や民間企業などの組織が自身で認証局を持つこともある。

ネットワーク盗聴

ネットワーク上の通信データを不正に取得する行為。経由サーバなどでパケット収集ツールなどを使い他人のパケットを盗み見ること。なにも対策を行わずに平文（ひらぶん）で情報のやりとりを行うとユーザIDやパスワード、さらにはメールの中身が盗聴される危険があり、なりすましや不正アクセスを助長する原因になる。対策としてSSHやSSLなどの通信暗号化を行う。

は

パターンマッチング

条件式を単純比較できるかたちに変換することで、検索対象のデータの解析やインデックス定義がなくても、安定した性能で検索できるアルゴリズム。アンチウイルスソフトのぜい弱性、定義ファイルを利用したウイルスチェックへの利用をはじめ、複雑な検索条件によるデータベース検索や画像処理技術などに応用されている。

バックドア

企業内部のシステムに侵入した後、またいつでも侵入できるように不正なプログラムを仕込む。多くはそのシステムに本来あった正常なプログラムに化けて仕込まれるため気づきにくい。

ハッシュ化

与えられた原文から固定長の「ハッシュ値」と呼ばれる擬似乱数を生成する演算手法。「メッセージダイジェスト」とも呼ばれる。一方向関数を含むため、ハッシュ値から原文を再現することはできず、また同じハッシュ値を持つ異なるデータを作成することは極めて困難となる。通信の暗号化の補助や、ユーザ認証やデジタル署名などに応用されている。

バリアセグメント

組織のネットワークで、外部のネットワーク(インターネットなど)に接しているセグメントのこと。

否認

受発注、商品購入などの電子的な取引において、中に記された情報(受発注数、期日、金額など)を本人が記したと認めないこと。また、情報発信自体を認めないこと。

秘密鍵

公開鍵暗号方式にて安全にメール、Webなどの通信を行う際の暗号化されたデータの復号や、署名生成に必要な鍵(英：Private key)。本人が所有し、他人に開示してはならない。

ヒューリスティック検出

アンチウイルスソフトなどで採用されている不正プログラムの検出方法のうち、プログラムの挙動を分析してコンピュータウイルスか否かを判別する手法のこと。パターンマッチングでは検出することのできない未知のウイルスも検出可能であるが、一方、パターンマッチングと比べて正常なプログラムを誤検出する可能性も高くなる。

ファイアウォール

内部ネットワークと外部ネットワーク(インターネットなど)を安全に接続するためのシステム。外部ネットワークからの不正なアクセスを遮断し、内部ネットワークから外部ネットワークにはアクセスできる仕組み。

フィジカルセキュリティ

施設の防犯のための物理的な対策のこと。広義では建設設備、電気設備、空調設備、防災設備まで含んでいる。入退室管理でいうと鍵、カード、生体認証、映像などを利用した侵入防御手段の構築がある。

フィッシング

金融機関などからのメールやWEBサイトを装い、住所、氏名、銀行口座番号や クレジットカード番号などの個人情報を詐取する詐欺行為。釣りの意味から「fishing」が語源とされているが、 偽装の手法が洗練されている(sophisticated)ことから「phishing」と記述される。

復号

暗号化された情報を解読し、元の情報に戻すこと。暗号化

不正アクセス

「不正アクセス行為の禁止などに関する法律」、2000年2月施行。不正アクセスやその助長を禁止して罰則を定めている。また、ネットワークシステム管理者に適切な防御策を講じるよう努める義務を課している。

踏み台

攻撃者が直接攻撃を加えると身元が判明してしまうため、セキュリティの甘いサーバに侵入して、間接的に攻撃を行うこと。またそのサーバ。

プライバシーマーク

個人情報をJIS Q 15001「個人情報保護に関するコンプライアンス・プログラムの要求事項」に準拠して適切に取扱っている民間事業者に対し、マークを付与する制度。財団法人日本情報処理開発協会(JIPDEC)のもとで運営され、JIPDECより指定された「指定機関」が申請受付、審査、付与決定を行なう。

ポートスキャン

TCP/IP通信においてサービス(ftp/telnet/httpなど)にアクセスするための識別番号としてポートという概念を用いる。このポート番号を順番に総当りでアクセスして、サーバが提供しているサービスを調査すること。

ま

メール統制

セキュリティや情報漏えい対策のために、専門部隊による電子メールサーバの設置・運用を行い、社内外でやり取りされる全ての電子メールについて、あらかじめ設定した検査条件を元に一元的な検査・制御を行うこと。具体的にはスパム・ウイルス対策、上司への承認処理、暗号化、社外メール送信時のチェックなどがある。

モニタリング

継続的な監視・調査を行うこと。ITでは情報システムの安全性、ビジネスでは企業の内部統制の有効性評価などを目的に実施される。モニタリングの対象は、業務システムのアクセスや利用状況、セキュリティソフトの導入状況やファイアウォールの稼動状況、ネットワーク上で取得できるログ情報などで、それらの異常から機器故障や不正侵入、内部不正の察知を行うための仕組みを確立し、監視することが求められる。

ら

ログ

情報システムで自動的に生成される定型書式の情報。PCやサーバを操作した履歴やアクセス記録、機器の状態やOSのイベント、ネットワーク通信の内容やデータベースの変更履歴など多岐に渡る。書式が様々なため、分析や監査用のレポート作成などをする際は、正規化や統合管理が必要な場合がある。

わ

ワーム

自己増殖を繰り返しながら破壊活動を行うプログラム。近年ではインターネットの普及により、電子メールなどを介して爆発的な速度で自己増殖するものが出現し、問題となっている。「ワーム型ウイルス」としてコンピュータウイルスの一種として扱うか、分けて扱うかはウイルス対策ソフトメーカーの表現や専門書などによっても異なる。TROJ_HYBRIS(トロイ・ハイブリス)、VBS_LOVELETTER(ヴイビーエス・ラブレター)などが有名。

ワンタイムパスワード

一回ごとに使い捨てるパスワードや、短時間で変更していくパスワードのこと。パスワードがその時1回しか使えないものであれば、パスワード入力時にネットワーク上で第三者が盗聴しても、悪用することができず、伝送路上のデータを保護することができる。ワンタイムパスワードの方式には、カウンタ同期方式、チャレンジレスポンス方式、タイムシンクロナス方式などがある。