ブログ

セキュリティ対策辞典・用語集

ソーシャルエンジニアリング

コンピューターシステムとは関係のないところでパスワードなどの情報を盗み出すこと。

電話で話している内容を盗み聞きして情報を盗む。

うしろから覗き込んで情報を得るショルダーハッキング

ゴミ箱をあさって情報を盗むスキャビッシング。

社内でこういったソーシャルエンジニアリングがおきないためにも、社員教育が必要ではないでしょうか。

アクセス権の設定

社内共有データを特定のユーザーに対してはどこまでの処理を可能にするか設定することをアクセス権の設定といいます。「読み取り」「修正「削除」「追加」が設定動作になりユーザー毎に設定することが可能です。

新人には読み取りのみを。部長の場合修正や削除が可能といったところです。

ユーザー認証

社内システムなど、利用しようとするユーザーが誰であるか確認する行為。

ユーザー認証にはＩＤとパスワードを求めるユーザＩＤとパスワードの認証や、生体認証（バイオメトリクス認証）指紋や顔などの体をつかった認証。一度きり有効のワンタイムパスワード、システムを要求されたサーバー側からコールバック（電話確認）して認証するものなど様々あります。

情報セキュリティ

企業の情報を守ることを情報セキュリティといいます。

情報セキュリティで大事なのが、利便性と安全性のバランスを保つということです。

セキュリティマネジメントの基本的な考え方になります。

情報セキュリティの３つの要素

１機密性　情報漏えいを守る

２安全性　安全な状態を守る

３可用性　利用者が情報を使用できる。

このバランスが大事。

セキュリティポリシー

企業として情報セキュリティをどう守るか、どう取り組むかを明文化したものをセキュリティポリシーといいます。

そしてこのセキュリティポリシーは基本方針、対策基準、実施手順の３構成となっており、基本方針は情報セキュリティの向き合い方企業としての方針を決め、対策基準では、その方針を実現するための何をするか、や、基準を決める。実施手順で実現するための具体的な手順を定めます。

個人情報とは

氏名・生年月日・性別・住所・電話番号・家族構成

個人情報保護法とは

個人情報を事業者が適切に取り扱うためのルールを定めたもの

プライバシーマークとは

個人情報の保護体制が整備できている事業者に認定するもの

コンピューターウイルス

コンピューターウイルスは何か特殊なものとおもわれがちだが、他のプログラムと同じただのプログラムのひとつでしかない。

コンピューターウイルスの基準

・発病機能　自分をコピーして他のパソコンへ

・潜伏機能　はじめは、何もせずに潜伏する機能

・自己伝染機能　データを破壊したり、改ざん

コンピューターウイルスの種類

・トロイの木馬（有用なプログラムにみせかけ実行させ、データコピーや悪用する）

・ワーム（自己生成し、他のコンピューターにも派生）

・マクロウイルス（パソコンのマクロ機能を悪用し、表計算やワープロソフトのデータに感染）

・狭義ウイルス（他のプログラムに寄生し感染する）

マルウェアとは

悪意のあるソフトウェア全般を指す。

・スパイウェア（個人情報を盗み外部に送信）

・ボット（感染したコンピュータを遠隔操作する。メール送信や、他のコンピュータを攻撃する）

ウイルス対策ソフト

コンピューターにはいってきたデータをスキャンして安全であるかチェックする。

自分のパソコン内のデータに感染したファイルがないかチェックする。

検出するためには、ウイルス定義ファイルを更新する必要がある。

コンピューターウイルスの予防方法

・ウイルス対策ソフトを常に起動させる

・ウイルス定義ファイルを常に起動させておく

・ハードディスク内を定期的にチェックする

・不用意にネットからデータをダウンロードしない

・よくわからない海外のサイトにはいらない

・メール添付ファイルなどはチェックしてから開くようにする

コンピューターウイルスに感染した時の対処方法

• ネットを切断する②ウイルス対策ソフトでチェックする③システム管理者に伝える。
• ネットワークセキュリティ対策

出入りを制限してネットワークのセキュリティを守ることが大事。

ファイアオール

LANに入る前に不正アクセスを防ぐ（パケットフィルタリングや、アプリケーションゲートウェイ）

パケットフィルタリング

送信元ＩＰアドレス、あて先ＩＰアドレス、プロトコル種別、ポート番号をみてアクセスを許可する。

アプリケーションゲートウェイ

パソコン-プロキシサーバー-外のサイト

パソコンから外の情報を知る時、プロキシサーバー（代理サーバー）を介すことで、不正アクセスを防ぐ。

暗号化技術とディジタル技術

ネットワークからネットワークへと情報・データ（パケット）がいききしているが、このデータ（パケット）が、誰でも閲覧できる状態だとパスワードや見られてしまい危険。

暗号化技術とディジタル技術によって、誰でも情報がみれてしまうことを防ぐ。

どういったネットワークの危険性があるのか

・盗聴（盗み見）　データを第三者に見られてしまう

・改ざん　データを第三者に改ざんされてしまう

・なりすまし　データを第三者に送信されてしまったり返信されてしまう

暗号化とは

データの中身を第三者にわからないようにする事

暗号文とは

暗号化済みの”データ”を暗号文という

複合とは

暗号化された”データ”を元の形にもどすこと

平分とは

暗号化されていない”データ”のこと

鍵

暗号化する為に必要なデータを鍵という

複合する為に必要なデータを鍵という

共通鍵暗号方式とは

暗号化する鍵と複合する鍵（データ）が同じものを共通鍵暗号方式（秘密鍵暗号方式）ともいう。共通の鍵を使う為、他の誰かに知られてはならずに秘密にしないといけないので秘密鍵暗号方式という。

公開鍵暗号方式とは

暗号化に使う鍵と、複合するための鍵が別のもの。

・暗号化は公開鍵で

・複合は秘密鍵で

• 受信側が公開鍵と、秘密鍵のふたつのキーを用意し、相手に公開鍵をわたす。
• 公開鍵をわたされた方はその公開鍵を使い、データを暗号化します。そして送りなおす。
• 送られてきたデータを自分の秘密鍵であける。

公開鍵はいくらばらまいても、複合はできないので、途中でデータを盗聴さあれる恐れがない。

改ざんを防ぐディジタル署名

デジタル署名は通常3つのアルゴリズムからなる。一つは”鍵ペア”を生成する鍵生成アルゴリズム。もう一つは、利用者の秘密鍵を用いて署名を生成するアルゴリズム、それと利用者の公開鍵を用いて署名を検証するアルゴリズムである。署名生成処理で作り出されたデータも”デジタル署名”と呼ぶ。

デジタル署名は”メッセージ”の認証機能を提供する。メッセージは、電子メール、契約書、あるいはより複雑な暗号プロトコルで送受されるデータでも何でも良い。

認証局が発行する公開鍵証明書では、認証局の社会的な信頼性を担保に、利用者の公開鍵と利用者の結びつきを保証している。その際、証明書が（公開鍵使用者が信頼する）認証局によって発行されたものであることを証明するために、デジタル署名が使われている。

CA（認証局とは）

公開鍵が本人のものであると証明する機関のこと。

安全性を証明する仕組みのことを公開鍵基盤といいます。