DAST（動的アプリケーション・セキュリティ・テスト）は、アプリケーションが実行中に外部からの攻撃をシミュレートして、セキュリティ脆弱性を検出する手法です。脆弱性を検出する別の方法であるSAST（静的アプリケーション・セキュリティ・テスト）と比較…

SAST（静的アプリケーション・セキュリティ・テスト）は、アプリケーションのソースコード、バイナリ、オブジェクトコードを解析します。SASTを実行することで、SQL インジェクション、バッファーオーバーフローなどセキュリティリスクを検知します。ソフト…

サイドチャネル攻撃は、物理的な実装や動作に起因する情報漏えいを利用して暗号化された情報を解読する手法です。暗号処理に使用されるデバイスの電力消費、電磁波、処理時間の変動などの情報が攻撃者に暗号鍵やプライバシー情報を取得するのに利用されます…

テンペスト攻撃は、コンピューターやディスプレイなどの周辺機器、さらにはケーブルから放射されている微弱な電磁波を傍受し解析することで元の情報の取得を試みる手法です。テンペスト攻撃の対策としては、電磁波の放射を制御するために、電磁波遮蔽材料を…

スパムアプリケーションは、ユーザーに対して有害なコンテンツ（マルウェアを含む）やサービスを提供するアプリケーションのことを指します。スパムアプリケーションは、不正な手法を用いてユーザーの注意を引き、個人情報を収集し、有料サービスへの課金を…

短縮URL は、ウェブページのURLを短縮したものです。長いURLを短縮することで、文字数を節約し、簡潔な形でリンクを共有することができます。メッセージングアプリやソーシャルメディアなどの文字数制限がある場合に便利です。一方で短縮URLは、URLからリン…

PMBOKは「プロジェクトマネジメント知識体系ガイド（Project Management Body of Knowledge）」の略称です。PMBOKは、プロジェクトマネジメント手法です。PMBOKガイドは、全体最適指向のもと、プロジェクトマネジメントの基本的な概念、プロセス、ツール、テ…

モバイル デバイス管理 (MDM：Mobile Device Management) は、組織全体に展開されているモバイル デバイス （スマートフォン、タブレットなど）を監視、管理、保護するために使用されるセキュリティ ソフトウェアの一種です。 モバイル デバイス管理の主な機…

認証と認可は、情報セキュリティ、アクセス制御に関連する重要な概念です。「認証（Authentication）」は、ユーザーが自分自身であることを確認するプロセスです。通常、ユーザー名とパスワード、生体認証（指紋や顔認識など）、セキュリティトークンなどが…

情報資産は、情報システムに関連付けされる資産を指します。これには機密情報、顧客情報、知的財産、ビジネスプロセス、コンピュータシステムなどの重要な情報が含まれます。情報資産は、組織の成功や競争力を支えるために重要な役割を果たします。ある事業…

アローダイヤグラムは、プロジェクト管理やプロセス分析などで使用されるツールの一種です。PERT図ともいいます。複数のタスクや活動、またはイベントの関係性や依存関係を視覚的に表現するために使用されます。アローダイヤグラムは、各活動を矢印で表すこ…

多要素認証は、ユーザがシステムへのアクセスを許可する際に、複数の要素を組み合わせて認証するセキュリティ手法です。認証は、以下3つのタイプの要素があります： 要 素 認証方式の例 記 憶 パスワード認証/暗証番号（PINコード）等 所 持 端末認証/ICカー…

ゼロデイ攻撃（Zero-Day Attack）は、特定のソフトウェアやハードウェアの脆弱性を攻撃者が発見し、その脆弱性が公に知られていない状態で攻撃する手法のことです。ゼロデイは、セキュリティベンダーやソフトウェアベンダーが脆弱性を発見してから、その問題…

SEOポイズニングは、ウイルスなどを仕込んだページに、SEO対策を施すことで、Googleなどの検索エンジンで上位に表示させる行為を指します。そういう悪意を持った検索結果上位にあるWebサイトには、マルウェアだと分からないような表現でマルウェアをダウンロ…

TPM（Trusted Platform Module）は、情報セキュリティを確保するため、機密情報を保護するハードウエア（ICチップ）です。TPMの主な機能は以下の通りです。 キー管理：TPMは暗号鍵の生成、保管、管理を行います。これにより、重要な鍵情報をハードウェアレベ…

SQLインジェクションは、Webサイトにリクエストを送るHTTPのパラメータにSQLの命令を含ませることで、SQLを採用しているデータベースに直接アクセスして不正操作を行う攻撃手法のことです。正常なログインで実行されるSQL文を確認します。下図では顧客テーブ…

HIDDENフィールドをHTMLの入力フォームで使用すると、Webブラウザで表示されません。画面上には表示されないが、サーバー側で利用する必要がある情報がある場合、HIDDENフィールドを使用することができます。その特性から、HIDDENフィールドを使って商品の価…

クエリストリングはクエリ文字列のことで、WebブラウザなどがWebサーバに送信するデータを、送信先を指定するURLの末尾に特定の形式で表記したものです。URLの途中に「?」記号があれば、「?」以降の文字列はクエリストリングとなります。クエリストリングに…

クロスサイトリクエストフォージェリ（Cross-Site Request Forgeries）は、Webアプリケーションのサーバー側機能を、ユーザーの意図に反して勝手に実行させる攻撃です。被害を与えるWebサイトの掲示板などに、ユーザーのパソコンのIPアドレスでアクセスして…

クロスサイトスクリプティング（Cross Site Scripting）は、脆弱なWebサイトをターゲットとして、悪意あるWebサイトからスクリプトをユーザのパソコンに送り込むことで、ユーザーのパソコンの個人情報を搾取する攻撃方法です。略称として「XSS」と表記する場…

サイバーセキュリティ月間は、国民がサイバーセキュリティについての関心を高め、理解を深めるため、政府が主導し、サイバーセキュリティに関する様々な取り組みを集中的に行うことを目的にしています。毎年、2月1日から3月18日までをサイバーセキュリティ月…

Ping of Death 攻撃は、規定サイズ以上のIPパケットを送信し、攻撃対象となる機器をクラッシュさせる攻撃です。ping（ICMP）のパケットの最大長は65,536バイトです。これを超える長さのパケットを受信すると、サービスが停止する可能性があります。Ping of D…

TEAR DROP攻撃は、DoS攻撃（DDOS攻撃）の一種です。TEAR DROP攻撃は、攻撃者はターゲット サーバに断片化されたパケットを送信し、そのサーバに TCP/IPの脆弱性があると、サーバがパケットを再構築できず、過負荷にさせる攻撃です。いまは、多くのシステムや…

LAND攻撃は、攻撃者がSYNパケットを送信し、送信相手を無限ループに陥れる攻撃です。SYNパケットを受信している間は他の処理が行えなくなるので、コンピュータが動作不能になります。LAND攻撃を防ぐには、ファイアウォールのパケット・フィルタリング機能な…

SYNフラッド攻撃は、TCPがセッションを確立する時に行う３ウェイハンドシェイク（下図）を悪用したDoS/DDoS攻撃の一種です。TCPのコネクションは下図のような３ウェイハンドシェイクが使われます。 ３ウェイハンドシェイクSYNフラッド攻撃は、最初にSYNパケ…

DoS攻撃は、情報セキュリティの３つの要素のひとつである可用性を侵害する攻撃手法のひとつです。 サーバやネットワークのリソースに過剰な負荷をかける事でサービスを妨害します。Dos攻撃を発展させた、DDoS 攻撃は、複数のパソコンを踏み台としてターゲッ…

ポートスキャンは、ネットワークコンピュータが持つ複数のポートに対して接続要求と要求に対する応答を確認することで、利用可能なポートを探すことです。ポートはインターネットで特定のサービスへの通信をさせる入り口です。そのプロセスを識別するコード…

fingerは、アプリケーション層で動作するサーバーにログインするユーザの情報を表示するときに使うコマンドです。fingerを悪用し、現在ログイン中のユーザアカウントの情報を盗むリスクがあります。図で示したネットワーク構成において，アプリケーションサ…

SSL-VPNは、暗号化にSSL技術を使用したリモートアクセスVPNです。VPNには、IPsecによるインターネットVPNと、SSLによるVPNの大きく2つがあります。IPsecによるVPNの場合、クライアントPCに必ずIPsec対応のソフトウェアをインストールする必要があります。一…

IPsec（IP Security）は、インターネット上の通信を暗号化するためのプロトコルです。IPsecは、IPネットワーク上の通信に対して、セキュリティサービスを提供するために使用されます。IPsecには、次の2つの主要なプロトコルがあります。 認証ヘッダ（AH）：…