情報セキュリティマネジメント試験で押さえておきたい用語を一挙にまとめて解説していきます。
〇令和元年度秋期問題の単語と解説
| No. | 英語 | 日本語 | 説明 |
|---|---|---|---|
| 1 | J-CSIP | – | IPAが主導するサイバー攻撃に関する情報を共有する取り組み |
| 2 | CRYPTREC | – | 電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討する日本政府のプロジェクト |
| 3 | CSIRT | – | セキュリティインシデントに対応する専門チーム |
| 4 | JISEC | – | IT製品のセキュリティを評価・認証する制度 |
| 5 | NMAP | – | ネットワークのホストやサービス、OSの情報を探知し、主にポートスキャンや脆弱性チェックを行うツール |
| 6 | Risk acceptance | リスク受容 | そのリスクを意図的に受け入れること |
| 7 | Transaction signature | トランザクション署名 | やり取りした内容が改ざんされていないか確認するための仕組み。MITB対策 |
| 8 | MITB | Man-in-the-Browser | ルウェアに感染したWebブラウザを介して、ユーザーとWebサイト間の通信を傍受・改ざんする攻撃 |
| 9 | Error proof | エラープルーフ | エラーが起きても問題にならないように仕組みを作成しておくこと |
| 10 | Botnet | ボットネット | 不正アクセスによって乗っ取られた多数のコンピュータで構成される、攻撃者の意のままに操られるネットワーク。&Cサーバーは、このボットネットを統括し、ボット(感染したコンピュータ)に対して指示を送信する役割を担う。 |
| 11 | Internal control | 内部統制 | 企業が健全で効率的に事業活動を運営するための仕組みで、すべての従業員が守るべきルールや体制のことで |
| 12 | Division of duties | 職務分掌 | 組織において、各部署や役職、担当者がどのような仕事をすべきか、その責任と権限を明確にすること |
| 13 | Response time | 応答時間 | – |
| 14 | – | デジタル署名と公開鍵暗号方式 | デジタル署名は、電子文書の作成者と改ざんされていないことを証明するために秘密鍵で署名を行い、公開鍵で検証する。一方、公開鍵暗号は、データの暗号化と復号に公開鍵と秘密鍵のペアを使用する |
| 15 | APR | – | IPアドレスからMACアドレスを取得する |
| 16 | RAPR | – | MACアドレスからIPアドレスを取得 |
| 17 | DNS | – | ドメイン名からIPアドレスを変換する |
| 18 | DHCP | – | IPアドレスを自動割り当てする仕組みだよ |
| 19 | NAT | – | 1つのグローバルIPアドレスに対して、1つのLAN内のデバイスが対応します (1対1)。 |
| 20 | False Positive | フォールポジティブ | 「誤検知」を小難しくした表現。本当はOKなのにNGと判定してしまうこと |
| 21 | False negative | フォールネガディブ | 「検知漏れ」を小難しくした表現。本当はNGなのにOKと判定してしまうこと |
| 22 | WPA3 | – | Wi-Fiのセキュリティプロトコルで、WPA2の後継 |
| 23 | ITU-TX.509 | – | デジタル証明書(電子証明書)および証明書失効リスト(CRL)のデータ形式を定めた標準規格の一つ |
| 24 | BEC | ビジネスメール詐欺 | 攻撃者が企業を標的にして詐欺を働く、メールによる情報収集詐欺の一種 |
| 25 | Adaptive authentication | リスクベース認証 | ログイン時の状況(デバイス、位置情報、行動パターンなど)を分析し、リスクレベルに応じて追加認証を動的に適用するセキュリティ技術 |
| 26 | Run-to-Run control | ランツーランコントロール | 更新処理ごとに、入力データと出力結果を比較検証し、入力データの正確性を確認する手続き |
| 27 | Control total check | コントロールトータルチェック | データを入力する前に合計を計算し、処理後の合計と比較することで、データ入力の間違いや処理の誤りを検出 |
| 28 | Edited validation check | エディドバリデーションチェック | 情報システムに入力されたデータが、定義されたルールや要件に合致しているかどうかをチェックするプロセス |
| 29 | SPF | – | 電子メールの送信元ドメインが詐称されていないかを検証する送信ドメイン認証技術 |
| 30 | – | ランダムサブドメイン攻撃 | ランダムサブドメイン攻撃は攻撃対象のDNSサーバーに意味のないランダムなサブドメインを大量に問い合わせて、DNSサーバーの機能を停止させるサイバー攻撃 |
| 31 | PCI-DSS | – | クレジットカードの会員データを安全に取り扱うための国際的なセキュリティ基準 |
| 32 | Mirror port | ミラーポート | 特定のポートを流れるデータをコピーして別のポートに流してやる機能 |
| 33 | VDI | – | デスクトップ仮想化 |
| 34 | – | TCP3番ポート | TCPの23番がTelnetサーバの接続待ち受け用に用いられる |
| 35 | Telnet | – | ネットワーク経由で別のコンピュータにアクセスし、遠隔操作するためのプロトコル |
| 36 | – | SMTP25番ポート | SMTPでメールを送るときに使われる(サーバ側の)ポート |
| 37 | S/MIME | – | 公開鍵暗号方式で電子メールを暗号化し、電子署名することでセキュリティを強化する技術 |
| 38 | incident | インシデント | 事故や事件に発展する可能性のある、好ましくない出来事 |
| 39 | JISQ20000 | – | ITサービスマネジメントシステム(ITSMS)の要求事項を規定した規格 |
| 40 | – | 既知の誤り | 根本原因が判明し、一時的な回避策(ワークアラウンド)または恒久的な解決策が見つかった問題 |
| 41 | – | 問題 | ITサービスの品質低下を引き起こしている、または引き起こす可能性のある根本原因 |
| 42 | brute force | ブルートフォース | IDを固定してパスワードを総当たりする攻撃 |
| 43 | reverse brute force | リバートブルートフォース | パスワードを固定してIDを総当たりする攻撃 |
| 44 | walk-through method | ウォークスルー法 | レビュー対象物の作成者が、プロジェクトメンバーを招集して、成果物や設計書などを机上で確認し、問題点や改善点を見つけるためのレビュー手法 |
| 45 | audit module method | 監査モジュール法 | システム自体にデータを抽出・記録するモジュールを組み込んでおき、出力されたデータから監査を行うこと |
| 46 | Penetration test | ペネトレーションテスト | システムやネットワークの脆弱性を確認するために、ホワイトハッカーが実際に攻撃を試みるテスト |
| 47 | AES | 共通鍵暗号方式な暗号化のやり方 | |
| 48 | Symmetric-key cryptography | 共通鍵暗号方式 | 暗号化と復号に同じ鍵を使う暗号方式 |
| 49 | honey pot | ハニーポット | 悪意のある攻撃を受けやすいように設定した機器を、おとりとしてネットワーク上に公開することにより、サイバー攻撃を誘引し、攻撃者の特定や攻撃手法を分析する手法 |
| 50 | JISQ270000:2019 | JISQ270000:2019の是正措置 | サービスマネジメントシステム(SMS)の運用中に発生した問題や非適合(不適合)事項に対して、その原因を特定し、再発防止策を講じるための活動 |
