日に日に高度化かつ巧妙化するサイバー攻撃に対応するため、よりセキュアな製品開発・サービス提供を実現することを目的として、CTI(Cyber Threat Intelligence:サイバー脅威インテリジェンス)を積極的に活用する動きが広がっています。本記事では、CTIの…
EDRとは、PC、サーバー、スマートフォン、タブレットなどの個人デバイス(エンドポイント)で不審な挙動を検知・対応するセキュリティ・ソリューションを意味します。 EDR(Endpoint Detection and Response 、エンドポイントでの検出と対応)とは、エンドポ…
フレームワーク : Webアプリケーションを開発する際、枠組みとして機能する開発ツール ライブラリ : Webアプリケーション開発する際、簡単に活用できるコードの集まり フレームワークとライブラリを自動車に例えると、自動車の仕組みがフレームワークであり…
SASE (Secure Access Service Edge) : WAN (Wide Area Network)とネットワークセキュリティ技術を融合したクラウド基盤セキュリティ技術 SASE(Secure Access Service Edge サシー)とは、2019年Gartnerによって定義された概念で、クラウド環境上の新たなネッ…
パブリッククラウド:クラウドサービス・プロバイダーが個人ユーザや企業向けにインとネット経由でコンピューティングリソースを提供するサービスのこと。 プライベートクラウド:企業・組織が自社専用でクラウド環境を構築し、内部でコンピューティングリソ…
IaaS(Infrastructure-as-a-Service)、PaaS(Platform-as-a-Service)、SaaS(Software-as-a-Service) クラウドサービスの種類であり、提供される構成要素により区別される。 クラウドサービスは提供する構成要素により3つに分けられます。 - IaaS(Infrastructur…
OSS(オープンソースソフトウェア、Open Source Software)ソースコードが公開されており、だれでも自由に利用・複製・修正できるソフトウェア。 OSSは開発者向けのソフトウェアであり、ソフトウェアを構成しているソースコード(ソフトウェアを開発するためプ…
スプーフィング攻撃(Spoofing Attack) いわゆる「なりすまし」によるサイバー攻撃で、「なりすまし攻撃」とも呼ばれる。特にネットワーク・セキュリティにおいて、 攻撃者や攻撃用プログラムを別の人物やプログラムに見せかけ攻撃する手法。 スプーフィング…
AI(人工知能、エーアイ) 人間の様に考え学習することによって問題を解決するコンピューター技術 全世界を揺るがしている新型コロナウイルスの勢いが今も増しています。感染症は一度拡散すれば歯止めがかからないことが多く、初期予測こそが被害の規模を決…
IPS(Intrusion Prevention System, 侵入防止システム)とは不正侵入を探知し遮断する探知システムを言います。 Webサイトを狙った改ざんや、サイバー攻撃から自社のWebサイトを守るためにはセキュリティ対策の強化が必要となります。もはや企業にとって欠かせ…
暗号資産の管理において多数の管理者が存在する場合、暗号資産ウォレットに複数の鍵を生成します。その鍵を使って同時に署名することで取引が行われる署名方式です。 最近ビットコインなど暗号資産(仮想通貨)の価値が急騰するにつれて、ハッキングによる暗…
完全なる情報セキュリテイのためには、情報の機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の3要素を維持しなければなりません。3性質の英語頭文字をとって、「情報のCIA」と称することもあります。 情報セキュリティの目的は、情報の…
インターネット・プロトコル・スイート(以下TCP/IP)は、インターネットネットワークの核心プロトコルのことです。回線交換方式の脆弱性を改善するために開発されたコンピューター間の情報交換方式のことです。 TCP/IPは「Transmission Control Protocol/Inte…
バックドア(backdoor)は、プログラマーが意図的に作ったシステム内の脆弱性、或いはハッカーがシステムにより侵入しやすくするため作ったシステム内の脆弱性のことです。 「バックドア(backdoor)」とはどのような製品やコンピュータシステム、暗号システムあ…
ワームは、コンピューターに侵入して独立的ば実態を持ったまま自己増殖続ける同時に、システムに登録されたメールアドレスなどを利用して自身の複製を添付させてメールを送って拡散する悪性コードの1つです。 「彼はFlucknerに報復するために『ワーム(worm)…
トロイの木馬は、有益な(少なくとも無害な)ソフトウェアに見せかけて、ダウンロードしたユーザーのデータを消去・改ざん・流出などを行う悪性プログラムです。 トロイの木馬としたら、まずホメロスのイーリアスを思い浮かぶ方もいるでしょう。イーリアスで…
SECaaSは「サービスとしてセキュリテイ(Security as a Service)」の略称で、クラウドシステムの様々な種類のモデルを基盤にするセキュリテイサービスやアプリケーションです。 クラウドコンピューティングは、インターネットに接続されているサーバーリソー…
CSP CSPとは、Cloud Service Providerの略した言葉で、クラウドサービスを提供するベンダーを意味します。最近、独自の付加セキュリティサービスを開発する同時に、セキュリティ専門企業とも協力関係を築いています。 最近、企業のビジネスプラットフォーム…
MariaDB Maria DBは、MySQLと同じソースコードを基盤にするオープンソースのリレーショナルデータベースマネジメントシステム(relational database management system)のことです。 今日はMySQL、PostgreSQLのようなDBMSの一つである、MariaDBを紹介したいと…
PostgreSQL PostgreSQLは、MySQLとオープンソースDBMSで、同じエンタープライズレベルの機能と、多様な拡張機能があります。商用製品「Oracle」と機能が近いこともあり、主に企業情報システムのデータベースなどとして採用されています。 先週は世界中で最も…
MySQL MySQLは、世界中で最もよく利用されているオープンソースのデータベースの一つです。高速で、初心者にも使いやすいという特徴を持っています。複数の人が同時に利用するWebアプリケーションのようなシステムに使うデータベースとして適しています。 最…
OWASP Top 10 OWASP Top 10は、3年周期で発表される、様々なセキュリティ専門家たちが作成した、Webアプリケーションセキュリティ脅威動向に関する文書です。この文書を読むと現在、最も注意すべきの攻撃形式を把握できます。 ウェブ攻撃は日増しに多様にな…
スパムトラップ(Spam Trap) 「スパムトラップ」とは、迷惑メールを特定するため、偽りのメールあどれすを利用する方法です。このアカウントに発送されたメールは、迷惑めーると判定され、受信メールボックスに入れなくなります。 皆さん、メール受信ボックス…
CMS(コンテンツ管理システム、Content Management System) CMS(content management system)は、ウェブサイトを構成するテキストや画像などの、様々なデジタルコンテンツを効率的に管理するシステムのの総称です。 皆さんは、自分のブログを持っているのでし…
ISMS(情報セキュリティマネジメントシステム、Information Secrutiy Management System) 最近、Microsoftは2017年9月27日(現地時間)、 同社のセキュリティ対策ソリューションである「Windows Defender ATP(Advanced Threat Protection)」がISO/IEC27001:2013…
量子暗号通信(Quantum Cryptography Communication) 量子暗号通信は、光の「粒子」である光子を暗号キーに利用した通信のことです。最近、量子暗号通信は、「絶対に安全な暗号化手法」として注目されています。 「量子(quantum)」は、ラテン語で「単位」と…
ファビコン(Favicon) ファビコンは英語であるFavorites(フェイバリット)とIcon(アイコン)の混成語です。インターネットWebブラウザのアドレスバーに表示されるWebサイトを代表する、小さなアイコンのことです。 インターネットを使用しながら、上の写真…
SCADA(Supervisory Control And Data Acquisition) スキャダステムとは、特定の産業現場の全体、または広い産業団地を全般的のことを監視や制御するシステムのことです。 スキャダステムとは、電力施設、水力発電所、原子力発電所などの産業基盤施設から、各…
V2X(Vehicle-to-Everything) V2Xとは、Vehicle to Everything communication。つまり、V2X通信の略です。運転中で有・無線LANを通じて、他の車両や道路などインフラが構築された物事と、交通情報のような情報を交換する通信技術(vehicular communication sys…
セキュリティプロトコル (Security Protocol) セキュリティプロトコルは、データの完全性と秘密にする情報を保護するコミュニケーション・チャンネルを言う言葉です。 セキュリティプロトコルは、完全性(交換される情報が第3者によって変更されていないこと…
トレント (torrent) インターネットのあらゆるところでファイルを少しずつ分けてダウンロードできるようにしたプログラムです。 トレントは、ファイルを受ける時ファイルの主人から直接転送されるものではなく、数人からファイルを受けるマルチ的なファイル…
ビーコン(Beacon) ビーコン(Beacon)は、辞書的意味では「信号、灯台、奉化」などを意味します。 過去にはある情報を知らせるため、周期的に信号を伝送することを意味しましたが、現代ではブルートゥース4.0 LE(Bluetooth Low Energy)を利用した近距離無線通…
データ完全性 (Data Integrity) データの修正を制限したり、万が一の破壊に備えて予めコピーするなど、データを保護し正確性、有効性、一貫性、安定性などを維持しようとする性質のことを言います。 データ完全性とは、データが常に正確な状態を維持するべく…
ジャーナリングファイルシステム (Journaling file system) ファイルシステム(ディスク)に使用者が作業した変更事項を反映する前に、ジャーナル(ファイルシステム内に保存された円形ログ)内に生成される変更事項を追跡するシステムです。 使用者がシステムを…
FIDO (Fast IDentity Online) FIDO(Fast IDentity Online)は、オンライン環境でのIDやパスワード方式の代わりに、指紋認証、虹彩認識のような生体認識技術を活用し、より便利かつ安全な個人認証を遂行する技術です。 一言で言うと、「パスワードの代わりに、…
アドウェア(adware) プログラム実行中に広告を見せてくれるプログラムのことを意味します。よく「特定のソフトウェアを実行、または設置後に自動的に広告を表示する」プログラムまで、アドウェアとして分類されます。 1.症状症状は、代表的にはデスクトップ…
セキュリティ認証 ソフトウェアやシステムについて品質をある基準によって検査し、その優秀性を評価することです。 企業のIT資産及び情報管理の重要性の増加とともに、ハッカーの攻撃はますます多様化しています。よって、企業の情報を保護するためのセキュ…
アンドロイドエミュレータ (Android Emulator) 既存スマートフォンで利用していたものをPCでも駆動できるようにすることです。 アンドロイドエミュレータとは、既存にスマートフォンだけで利用していたAppをPCでも利用できるようすることです。代表的にブル…
IoT (モノのインターネット) IoT(モノのインターネット)はInternet of Thingsの略語です。一言でいうと、物や人、場所そしてプロセスなどすべての有・無形のモノが繋がって構成されるインターネットです。広告でよく見ることができるスマート冷蔵庫やスマー…
SQLインジェクション (SQL injection) Webアプリケーションの弱点を悪用し、アプリケーションの開発者が予想できなかったSQL構文が実行されるようにすることで、データベースを非正常的に操作する攻撃です。 SQL(Structured Query Language)は、主にWebアプ…
キーロギング (Keylogging) 使用者がキーボードでPCに入力する内容を密かに横取りし、記録する行為です。 ハードウェア、ソフトウェアを活用した方法(キーロガー)から電子・音響技術を活用した技法まで、様々なキーロギング方法が存在します。 キーロギング…
SSO(統合認証基盤、Single Sign-On) 使用者が一つのIDとパスワードだけで、様々なシステムに接続できるようにする認証システムです。 最も普遍的な認証システムの一つであり、一つのシステムで認証に成功すれば、他の関連システムに対するアクセス権限まです…
ステガノグラフィー (Steganography) 情報をイメージファイルやMP3ファイルなどで暗号化し、隠す深層的な暗号技術であり、機密情報を伝達したり、情報ハッキングに使われます。 ステガノグラフィーを利用すると、写真やビデオ、オーディオファイルなどに秘密…
KMS (Key Management System) 暗号システムにおいて、暗号化鍵を管理する過程の一環であり、すべてのデータ暗号化システムの核心です。 KMSとは、暗号システムにおいて暗号化鍵を管理する過程の一環であり、すべてのデータ暗号化システムの核心です。 特に、…
コネクティッドカー (Connected Car/Smart Car) 既存の自動車技術とモノのインターネット(IoT)技術を融合させ、自動車内外の状況をリアルタイムで認識しながら高い安全性と便利性を提供する人間親和的な自動車です。 最近急浮上しているIoT(Internet of Thin…
VPN (Virtual Private Network) データ暗号化手法を通じて公衆通信回線を私設のように安全に利用できるようにして、企業の回線費用を大きく節約させてくれる企業通信サービスです。 VPNはファイアウォール、侵入検知システムとともに、現在最も一般的に使用…
ホワイトリスト (Whitelist) ブラックリストの反対の概念で、安全性が立証されたIPアドレス、プログラムなどをデータベースで作り上げたリストです。 毎月1000万個以上新しく発生して、流布され、マルウェア、迷惑メール、金融・決済会社の詐称サイトなど、…
ファーミング(Pharming) ファーミングとは、フィッシング(Phishing)に引き続き登場した新しいインターネット詐欺の手口です。ユーザーが自分のウェブブラウザで正確なウェブページアドレスを入力しても、偽ウェブページにアクセスするこで個人情報を盗まれる…
オフプレミスとは、オンプレミスの反意語でインターネットネットワークに接続されたサーバファームやクラウドの遠隔実行環境を意味します。オンプレミスとオフプレミスの、最も大きな違いは「すぐ企業内の構築型として使うか、クラウド基盤の貸出サービスを…
対称鍵 (Symmetric Key) 対称鍵とは、暗号化のアルゴリズムの一つで、暗号化と復号に同じ暗号鍵を使うアルゴリズムを意味します。 対称鍵とは、暗号化のアルゴリズムの一つで、暗号化と復号に同じ暗号鍵を使うアルゴリズムを意味します。 対称鍵暗号(Symmetr…