情報セキュリティマネジメント試験で押さえておきたい用語を一挙にまとめて解説していきます。
〇令和元年度秋期問題の単語と解説
| No. | 英語 | 日本語 | 説明 |
|---|---|---|---|
| 令和元年秋期 | – | – | – |
| 1 | J-CSIP | – | IPAが主導するサイバー攻撃に関する情報を共有する取り組み |
| 2 | CRYPTREC | – | 電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討する日本政府のプロジェクト |
| 3 | CSIRT | – | セキュリティインシデントに対応する専門チーム |
| 4 | JISEC | – | IT製品のセキュリティを評価・認証する制度 |
| 5 | NMAP | – | ネットワークのホストやサービス、OSの情報を探知し、主にポートスキャンや脆弱性チェックを行うツール |
| 6 | Risk acceptance | リスク受容 | そのリスクを意図的に受け入れること |
| 7 | Transaction signature | トランザクション署名 | やり取りした内容が改ざんされていないか確認するための仕組み。MITB対策 |
| 8 | MITB | Man-in-the-Browser | マルウェアに感染したWebブラウザを介して、ユーザーとWebサイト間の通信を傍受・改ざんする攻撃 |
| 9 | Error proof | エラープルーフ | エラーが起きても問題にならないように仕組みを作成しておくこと |
| 10 | Botnet | ボットネット | 不正アクセスによって乗っ取られた多数のコンピュータで構成される、攻撃者の意のままに操られるネットワーク。C&Cサーバーは、このボットネットを統括し、ボット(感染したコンピュータ)に対して指示を送信する役割を担う。 |
| 11 | Internal control | 内部統制 | 企業が健全で効率的に事業活動を運営するための仕組みで、すべての従業員が守るべきルールや体制のことで |
| 12 | Division of duties | 職務分掌 | 組織において、各部署や役職、担当者がどのような仕事をすべきか、その責任と権限を明確にすること |
| 13 | Response time | 応答時間 | – |
| 14 | – | デジタル署名と公開鍵暗号方式 | デジタル署名は、電子文書の作成者と改ざんされていないことを証明するために秘密鍵で署名を行い、公開鍵で検証する。一方、公開鍵暗号は、データの暗号化と復号に公開鍵と秘密鍵のペアを使用する |
| 15 | ARP | – | IPアドレスからMACアドレスを取得する |
| 16 | RARP | – | MACアドレスからIPアドレスを取得 |
| 17 | DNS | – | ドメイン名からIPアドレスを変換する |
| 18 | DHCP | – | IPアドレスを自動割り当てする仕組み |
| 19 | NAT | – | 1つのグローバルIPアドレスに対して、1つのLAN内のデバイスが対応します (1対1) |
| 20 | False Positive | フォールポジティブ | 「誤検知」。本当はOKなのにNGと判定してしまうこと |
| 21 | False negative | フォールネガディブ | 「検知漏れ」。本当はNGなのにOKと判定してしまうこと |
| 22 | WPA3 | – | Wi-Fiのセキュリティプロトコルで、WPA2の後継 |
| 23 | ITU-TX.509 | – | デジタル証明書(電子証明書)および証明書失効リスト(CRL)のデータ形式を定めた標準規格の一つ |
| 24 | BEC | ビジネスメール詐欺 | 攻撃者が企業を標的にして詐欺を働く、メールによる情報収集詐欺の一種 |
| 25 | Adaptive authentication | リスクベース認証 | ログイン時の状況(デバイス、位置情報、行動パターンなど)を分析し、リスクレベルに応じて追加認証を動的に適用するセキュリティ技術 |
| 26 | Run-to-Run control | ランツーランコントロール | 更新処理ごとに、入力データと出力結果を比較検証し、入力データの正確性を確認する手続き |
| 27 | Control total check | コントロールトータルチェック | データを入力する前に合計を計算し、処理後の合計と比較することで、データ入力の間違いや処理の誤りを検出 |
| 28 | Edited validation check | エディドバリデーションチェック | 情報システムに入力されたデータが、定義されたルールや要件に合致しているかどうかをチェックするプロセス |
| 29 | SPF | – | 電子メールの送信元ドメインが詐称されていないかを検証する送信ドメイン認証技術 |
| 30 | – | ランダムサブドメイン攻撃 | ランダムサブドメイン攻撃は攻撃対象のDNSサーバーに意味のないランダムなサブドメインを大量に問い合わせて、DNSサーバーの機能を停止させるサイバー攻撃 |
| 31 | PCI-DSS | – | クレジットカードの会員データを安全に取り扱うための国際的なセキュリティ基準 |
| 32 | Mirror port | ミラーポート | 特定のポートを流れるデータをコピーして別のポートに流してやる機能 |
| 33 | VDI | – | デスクトップ仮想化 |
| 34 | – | TCP23番ポート | Telnetサーバの接続待ち受け用に用いられる |
| 35 | Telnet | – | ネットワーク経由で別のコンピュータにアクセスし、遠隔操作するためのプロトコル |
| 36 | – | SMTP25番ポート | SMTPでメールを送るときに使われる(サーバ側の)ポート |
| 37 | S/MIME | – | 公開鍵暗号方式で電子メールを暗号化し、電子署名することでセキュリティを強化する技術 |
| 38 | Incident | インシデント | 事故や事件に発展する可能性のある、好ましくない出来事 |
| 39 | JISQ20000 | – | ITサービスマネジメントシステム(ITSMS)の要求事項を規定した規格 |
| 40 | – | 既知の誤り | 根本原因が判明し、一時的な回避策(ワークアラウンド)または恒久的な解決策が見つかった問題 |
| 41 | – | 問題 | ITサービスの品質低下を引き起こしている、または引き起こす可能性のある根本原因 |
| 42 | Brute force | ブルートフォース | IDを固定してパスワードを総当たりする攻撃 |
| 43 | Reverse brute force | リバートブルートフォース | パスワードを固定してIDを総当たりする攻撃 |
| 44 | walk-through method | ウォークスルー法 | レビュー対象物の作成者が、プロジェクトメンバーを招集して、成果物や設計書などを机上で確認し、問題点や改善点を見つけるためのレビュー手法 |
| 45 | audit module method | 監査モジュール法 | システム自体にデータを抽出・記録するモジュールを組み込んでおき、出力されたデータから監査を行うこと |
| 46 | Penetration test | ペネトレーションテスト | システムやネットワークの脆弱性を確認するために、ホワイトハッカーが実際に攻撃を試みるテスト |
| 47 | AES | 共通鍵暗号方式な暗号化のやり方 | |
| 48 | Symmetric-key cryptography | 共通鍵暗号方式 | 暗号化と復号に同じ鍵を使う暗号方式 |
| 49 | honey pot | ハニーポット | 悪意のある攻撃を受けやすいように設定した機器を、おとりとしてネットワーク上に公開することにより、サイバー攻撃を誘引し、攻撃者の特定や攻撃手法を分析する手法 |
| 50 | JISQ270000:2019 | JISQ270000:2019の是正措置 | サービスマネジメントシステム(SMS)の運用中に発生した問題や非適合(不適合)事項に対して、その原因を特定し、再発防止策を講じるための活動 |
| 平成31年春期 | – | – | – |
| 51 | JISQ2700:2014 | JISQ270000:2014のアカウンタビリティ | リスク所有者 |
| 52 | IPS(Intrusion Prevention System) | – | ネットワークやサーバへの不正アクセスを検知・防御するセキュリティシステム |
| 53 | – | SSL/TLSアクセラレータ | SSL/TLSによる暗号化や復号の処理を専門的に行う機器のこと |
| 54 | – | リスクレベル | リスクの重大さを評価する尺度(3以上が高い) |
| 55 | – | 情報セキュリティ目的 | 組織がその目標を達成するために、情報資産を保護すること |
| 56 | – | トップマネジメント | マネジメントレビューの実施性 |
| 57 | – | セキュリティ対策のための統一基準 | – |
| 58 | JISEC | – | IT製品のセキュリティを評価・認証する制度 |
| 59 | SOC(Security Operation Center) | – | 組織のネットワークやシステムを24時間365日監視し、サイバー攻撃の検知や分析、対応を行う専門組織 |
| 60 | – | TCP80番ポート | Webサーバがクライアントからの接続を待ち受けてHTTPでデータを返信する標準のポート |
| 61 | – | UDP53番ポート | インターネットなどの通信でアプリケーションの種類や通信規約(プロトコル)の識別に用いられるポート番号 |
| 62 | – | システム監査報告書に記載する指摘事項 | 調査結果に事実誤認がないことを監査対象部門に確認した上で、監査人が指摘事項とする必要があると判断した事項を記載 |
| 63 | – | プロジェクトリスクの説明 | ロジェクトの目標達成を妨げる可能性のある、不確実な事象 |
| 64 | RFP(Request for Proposal) | – | 具体的な提案を依頼する際に使用される文書 |
| 65 | – | シックスマグマ | 統計学的手法を用いて、業務プロセスのばらつきを減らし、品質を向上させるための経営管理手法 |
| 66 | – | テキストマイニング | 大量のテキストデータから意味のあるパターンや情報を抽出する手法。アンケートから情報を得る際に活用する |
| 67 | – | マーケットバスケット | 消費者が購入する財・サービスの、品目および量の組み合わせ |
| 68 | – | アクセスログ分析 | Webサイトに訪問したユーザーの行動記録(ログ)を集計・分析し、サイトの改善やWebマーケティング戦略の最適化につなげる手法 |
| 69 | JISQ27017 | – | ISMSクラウドセキュリティ認証 |
| 70 | JISQ22301 | – | 事業継続マネジメントシステム(BCMS)に関する国際規格。事業の中断・阻害を引き起こす事象への組織的な対応策の構築および運用、BCMSのパフォーマンスおよび有効性の監視・レビュー、継続的改善を要求事項としている |
| 71 | JISQ27014 | – | 情報セキュリティガバナンスについての概念および原則に基づくガイダンス |
| 72 | CSMS(Control Systems Security Management Systems) | – | サイバーセキュリティマネジメントシステム |
| 73 | – | 委託物の特段の取り決めのない場合の権利 | 請負契約や委託契約で特段の取り決めがない場合、著作権は原則として委託先(受注者)に帰属 |
| 74 | BPO(Business Process Outsourcing) | – | 企業の業務プロセスを丸ごと、または一部を外部の専門業者に委託すること |
| 75 | BCP(Business Continuity Plan) | – | 自然災害やシステム障害などの緊急事態発生時に、企業の事業を継続または迅速に復旧させるための計画 |
| 76 | – | クライアントサーバーシステムの特徴 | サーバは必要に応じて処理の一部をさらに別のサーバに要求するためのクライアント機能を持つことがある |
| 77 | – | アクセスポイント制限(機器毎) | MACアドレス |
| 78 | – | アクセスポイント制限(人毎) | WPA-PSK |
| 79 | – | SMTPサーバー | メールの送信(配送)の際に必要となるサーバー |
| 80 | – | POP3サーバー | メール受信の際に必要となるサーバー。メールを読むためにはメールのダウンロードが必要 |
| 81 | – | IMAPサーバー | メール受信の際に必要となるサーバー。受信者はメールサーバーに保存したままの状態でメールを読むことが可能(ダウンロードは不要) |
| 82 | DNS cache poisoning | DNSキャッシュポイゾニング | DNSサーバのキャッシュに偽の情報を書き込み、ユーザーを偽のWebサイトに誘導する攻撃手法 |
| 83 | – | プロジェクトの特徴 | 「有限性」「独自性」。明確な開始と終了があり、有期性を持つこと、そして独自の目標を達成するために行われること |
| 84 | Anti passback | アンチパスバック | 入退室管理システムで使われる機能で、入室時の認証記録がないと退室を許可しない仕組み |
| 85 | Opt-in | オプトイン(メール) | 事前にメール配信の同意を得た上で送信するメールのこと |
| 86 | Opt-out | オプトアウト(メール) | 受信者がメールの配信停止を要求すること |
| 87 | – | リスクファイナンシング | 想定、顕在化、評価 |
| 88 | – | 保証型監査 | 監査対象が監査手続きにおいて適切である旨(または不適切である旨)を監査意見として表明する監査の形態 |
| 89 | – | 助言型監査 | 監査対象の情報セキュリティ対策に存在する問題点や改善の余地を特定し、具体的な改善策を提案する. |
| 90 | – | 保証型監査、助言型監査の切り替え | 助言型の監査から手掛け、被監査側の情報セキュリティ対策が一定水準に達した段階で保証型の監査に切り替えるという方策が考えられる |
| 91 | – | 監査報告書の指摘事項 | 監査人が指摘事項と判断したもので、審査会などで事実確認が行われたもの |
| 92 | – | インシデントの内容 | 計画外の中断、品質低下、まだ影響していない事象 |
| 93 | – | サポートユーティリティ | ライフライン |
| 94 | PCI-DSS | – | クレジットカード情報を保護するための情報セキュリティ基準 |
| 95 | – | メッセージ認証符号 | 相手から届いたメッセージが途中で改竄やすり替えに合っていないか検証するための短い符号 |
| 96 | – | 紛失、盗難時の情報漏洩 | ハードディスクの暗号化、パスワードかける |
| 97 | JISQ15001 | – | 個人情報の保護を目的とし、企業などさまざまな組織が個人情報を適切に管理するためのマネジメントシステムを定めた要項 |
| 98 | – | システム監査基準 | 企業などの情報システムの監査を行うシステム監査人が順守すべき規範を定めたガイドライン |
| 99 | – | 外観上の独立性 | 監査人(またはシステム監査人)が監査対象と利害関係がないと第三者から見ても判断される状態を指す |
| 100 | – | 精神上の独立性 | 監査人が公正で客観的な判断を下せるように、利害関係や感情に左右されずに、自らの専門家としての判断を堅持する精神状態のこと |
| 101 | – | IPマスカレード | ルーターが持つ機能の一つで、LAN内の複数の機器が1つのグローバルIPアドレスを共有してインターネットに接続できるようにする技術 |
| 102 | CSIRT(Computer Security Incident Response Team) | – | コンピュータセキュリティインシデント対応チーム |
| 103 | – | 組織的CSIRT | 組織のコンピューターセキュリティインシデントに対応する専門チーム |
| 104 | – | 国際連携CSIRT | 国や地域を代表する形で、そこに関連したインシデントに関する問い合わせ窓口として活動 |
| 105 | – | JPCERTコーディネーションセンター | CSIRTの一種。コンピュータセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う一般社団法人 |
| 106 | – | 分析センター | 分析結果の正確性と機密性を確保し、組織全体の信頼性を向上させるために不可欠 |
| 107 | – | 共通鍵暗号方式 | 暗号化と復号に同じ鍵を使う暗号方式(ペアごとに鍵がたくさん必要) |
| 108 | – | 公開鍵暗号方式 | 暗号化鍵を公開、秘密鍵で複合 |
| 109 | – | デジタル署名 | 送信時:秘密鍵で署名を作成 受信時:送信時の公開鍵で署名の検証する |
| 平成30年春期 | |||
| 110 | – | JISQ27017:2016における、提供および利用に適用する方針 | クラウドサービスプロバイダとカスタマ |
| 111 | AES | – | 共通鍵暗号方式 |
| 112 | PKI | – | 公開鍵基盤 |
| 113 | RSA | – | 公開鍵暗号方式 |
| 114 | SHA-256 | – | ハッシュ関数の一種 |
| 115 | – | 他人の著作物を無断で公開したら何権の侵害になるか | 公衆送信権 |
| 116 | – | CSIRTマテリアル | 企業などでサイバーセキュリティ対応を行う組織を構築するための知見をまとめた資料。JPCERT/CCが制作・公開している。 |
| 117 | – | ISMSユーザーズガイド | JIPDEC |
| 118 | – | ポート番号 | コンピュータがデータ送信を行う際の通信先のプログラム(アプリ)を特定するために使用される情報 |
| 119 | – | スイッチのポート | VLANID |
| 120 | – | MACアドレス | LANにおいてNICを識別する情報 |
| 121 | – | 割れ窓理論 | 小さな無秩序(例えば、割れた窓ガラスやゴミの放置など)を放置することで、徐々にそれがエスカレートし、地域全体の秩序が損なわれ、犯罪が増加するという理論 |
| 122 | – | 日常活動理論 | 犯罪が起こる状況に注目する犯罪機会論の一環 |
| 123 | – | 環境設定による犯罪予防理論 | 環境を整えることで犯罪を予防しようという考え |
| 124 | – | 不正のトライアングル理論 | 個人が不正行為に至る背景を機会、動機、正当化の3つの観点からモデル化したもの |
| 125 | – | 情報セキュリティ目的ポリシー順番 | 基本方針→対策基準→実施手順 |
| 126 | – | WBS | 作業を階層的に細分化して管理可能なものに落とし込んだ表 |
| 127 | – | WAFブラックリスト方式 | あらかじめ定義した不正なパターンや既知の攻撃シグネチャと照合して、不正アクセスを検知・遮断します |
| 128 | – | WAFホワイトリスト方式 | ホワイトリスト方式は定義した通信以外を遮断する |
| 129 | FQDN | – | 完全修飾ドメイン名 |
| 130 | – | SECURITY ACTION | 中小企業、自己宣言 |
| 131 | CVSS | Common Vulnerability Scoring System | 汎用的な評価手法 |
| 132 | – | 無線LANプライバシーセパレータ | Wi-Fiルーターに同時に無線接続している端末同士のアクセスを禁止する機能 |
| 133 | EDOS | – | 過大なアクセスを発生させるなどして攻撃対象に経済的な損失を与え運用停止に追い込む手法 |
| 134 | – | DBの監査ログ | 不正利用の検知や追跡 |
| 135 | – | 電子署名 | 認証するのは民間組織でもOK |
| 136 | – | 監査計画 | 監査人がする |
| 137 | – | 経営者がリーダーシップをとること | 組織全体のセキュリティに関する対策方針を決める、人材の確保、緊急時の対策、情報収集、外部サービス利用の責任を明確にする |
| 138 | – | アクセスを助長する行為 | 他人のIDやパスワードを教えること |
| 139 | – | リスク分析 | リスクの特質を理解し、リスクレベルを決定すること |
| 140 | – | サーバ証明書を取得したら行うこと | 認証局の公開鍵を使用して、認証局のデジタル署名を検証する |
| 141 | – | デジタル署名の目的 | 電子文書の完全性(改ざんされていないこと)と真正性(署名者が正当な人であること)を証明すること |
| 142 | – | 情報セキュリティガバナンス | コーポレートガバナンスの一部がITガバナンスと情報セキュリティの一部 |
| 143 | – | フェールセーフ | 機器やシステムの故障、誤作動、操作ミスなどが発生した場合でも、安全な状態に移行するように設計された仕組み |
| 144 | – | フールプルーフ | 人が誤操作をしたとしても、事故やトラブルが発生しないようにする設計や仕組み |
| 145 | PGP | Pretty Good Privacy | 暗号化ソフトウェア |
| 146 | S/MIME | – | 電子メールのセキュリティを向上させるために暗号化と電子署名を利用する技術 |
| 147 | SET | Secure Electronic Transaction | クレジットカードなどのオンライン決済を安全に行うための標準規格 |
| 148 | Wanna Cry | – | データを「人質」にとって身代金を要求するランサムウェア |
| 149 | – | BAGLEワーム | 身のワーム活動のために不正HTMLを含んだワームメールを任意の宛先に送信するマスメーリング型ワーム活動を行う |
| 150 | – | SQLスラマー | MicrosoftのSQLサーバーの脆弱性を突くワーム |
| 151 | – | VBS LOVELetter | 2000年に発見されたコンピュータウイルスの一種(ワーム) |
| 152 | – | JISQ200000-12:2012でサービスの文書化を行う人 | サービス提供者 |
| 153 | – | リスク受容基準 | リスクアセスメント |
| 154 | – | 適用宣言書 | 自社に適用または除外する管理策とその理由を記載した文書 |
| 155 | – | サイバーセキュリティ本部が設置されているところ | 内閣 |
| 156 | – | セキュアブート | VEFI。デジタル署名で起動プロセスを認証する |
| 157 | – | APT攻撃 | 複数の攻撃手法を組み合わせて特定の組織や個人人対して長期間にわたり行われる持続的なサイバー攻撃 |
