とあるセキュリティ関連の資格の勉強中に自分が分からなかったところをまとめたノートです。
勉強のもとにしている模擬試験があるため、この資格! と銘打って記載していいのか迷い、ぼやかしています。
攻撃者が特定の企業や組織を標的にし、長期に渡って多種多様な手法を用いて攻撃すること。
会社が購入し社員に貸与した端末を、一定の条件下でプライベート使用を認めること。
反意語:BYOD(Bring Your Own Device)
証拠の連続性。証拠を保全し収集する際にハッシュ値を取得し、変更や改ざんがされていないことを証明する。
参考:佐々木良一(2017),J-STAGE,「デジタル・フォレンジック:インシデント時の証拠保全のための技術」(参照:2022-06-21)
電子証明書失効リストのこと。
「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典,「証明書失効リスト (CRL)」(参照:2022-06-23)
DNSサーバのドメインレコードを一覧表示するツール。
悪意のあるFQDNへの名前解決要求に対して、ダミーのIPアドレスを返答し、悪意あるサイトへの接続を防ぐ手法のこと。悪意あるサイトへの接続を拒否し、アクセス時に使用しているポート番号等のデータを収集する。
企業や組織の機密情報が漏洩しないように検知するツールのこと。
PII(Personally Identifiable Information/個人情報)などのデータが外部へ送信される際、送信を防ぐことができる。
IEEE802.1x認証で使用される認証プロトコル。
WPA(Wifi Potected Access)のEnterprise向けのセキュリティとして採用され、認証にはRADIUSサーバを使用する。
IPSecを構成するプロトコルのうちの1つ。
パケット改ざん検知のための認証、ペイロードの暗号化を行う。
参考:「IPsec ( Security Architecture for IP )」ネットワークエンジニアとして(参照:2022-06-21)
Windowsドメイン環境で用いる認証プロトコル。SSO(シングルサインオン)に向いている。
参考:「Kerberos Authentication」ネットワークエンジニアとして(参照:2022-06-21)
モバイルデバイス管理のできるシステムのこと。デバイスの管理、アプリケーションの管理、リモートワイプなどの盗難・紛失対策などをすることができる。
SNSやWebサービス間で権限の許可(authorization)を行うためのプロトコル。
API経由で他サービスにログインできる。
セキュリティ機器(ファイアウォール・IDS/IPS・プロキシサーバ)などのログやデータを一元管理する製品のこと。
Structured Threat Information eXpressionの略。
Trusted Automated eXchange of Indicator Informationの略。検知指標情報自動交換手順。
サイバー脅威情報をサービスやメッセージ交換にて共有する方法を規定したもの。
STIX(Structured Threat Information eXpression)というフォーマットで記述されたメッセージを交換する。
クラウドサービスに必要なセキュリティ管理方法と実装方針を提示したもの。
セキュリティの担保されたソフトウェアを開発するため、各開発フェーズで脆弱性対策などを行うこと。バリデーションは妥当性の確認の意。
踏み台サーバーのこと。
データベース管理システム(DBMS)の機能の一種(ストアドプログラム)。
SQLなどのDBに対する複数の命令をまとめてRDSMに保存する。
アプリケーションがストアドプロシージャにパラメータを渡し実行することで、アプリケーション側でSQL文を組み立てることがない。
そのため、SQLインジェクションの対策の1つとして用いられる。
特定の企業・組織・個人を狙ったフィッシングのこと。
参考:Trend Micro,用語集,「Spear Phishing(スピアフィッシング)」(参照:2022-03-26)
VPN通信のうち、必要なものだけVPNトンネルを通過し、不要なものは直接インターネット通信を行う仕組みのこと。
参考:文系エンジニアの私的ナレッジベース,「スプリットトンネリング」(参照:2022-06-23)
DNSの設定を書き換え、正しいURLを入力したユーザーを、不正なWebサービスにアクセスさせる攻撃方法のこと。
脆弱性スキャンを行った際、本当は脆弱性が無いのに誤って検知されること。
Bluetoothプロトコルを使用して、匿名の迷惑メールやメッセージを送信すること。
Bluetoothプロトコルを使用して端末に不正にアクセスし、情報を盗むこと。
携帯電話内のデータを遠隔操作(リモート)で消去する機能。
復元力のこと。「ーを高める」
参考:IT用語辞典 e-words,「レジリエンス」(参照:2022-06-23)
Crieitは個人で開発中です。
興味がある方は是非記事の投稿をお願いします! どんな軽い内容でも嬉しいです。
なぜCrieitを作ろうと思ったか
また、「こんな記事が読みたいけど見つからない!」という方は是非記事投稿リクエストボードへ!
こじんまりと作業ログやメモ、進捗を書き残しておきたい方はボード機能をご利用ください!