やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

パスワード規則の古い常識【パスワードを適切に管理しよう】

パスワード規則の古い常識に従うと逆に攻撃者に見破られてしまうという、そんな話です。 パスワード規則は失敗だった? パスワード推測攻撃の変遷 ではどうやってパスワードを管理するか パスワード規則は失敗だった? インターネットでいろいろなサービスを…

クラウドサービスの無断利用で違反者になる恐れあり【便利なツール利用にはリスクがあることを認識しよう】

ストレージやメール、オフィスソフトなど、クラウドサービスは会社、個人利用問わず、とても便利ですよね。 でも、この便利なサービスも使い方次第で、違反者になってしまう可能性があるんです。 クラウドサービス利用の背景 クラウドサービスのリスク 改正…

クリスマスシーズン到来でサイバー攻撃活発【被害にあわないためにリスクを認識しよう】

12月に入ると周囲が何となくざわつく感じで、気持ちが浮ついた感じなりますよね。 クリスマスシーズンは、若い世代はもちろん、いくつになっても年末に向けてイベントが多くなる時期、楽しくなります。 そんな気分に水を差すようで申し訳ないですが、クリス…

情報セキュリティマネジメント【H29春午後問1設問1(1)】

情報セキュリティマネジメント試験の過去問をやさしく解説していきます。(平成29年度春期午後問1「マルウェア感染への対応」設問1(1))

ホットスタンバイ

ホットスタンバイとは、現用系と予備系の2系統で構成されるデュプレックスシステムの一つで、予備系のOS及び業務用プログラムを稼働させた状態で用意しておき、障害発生時にはすぐに予備系に切り替える方式です。 ホットスタンバイでは、現用系と予備系で処…

著作権法

著作権法とは、著作物(思想又は感情を創作的に表現したもの)や作成した人(著作者)を保護するための法律で、著作者が自身の著作物を独占的に使用したりする権利(著作権)を定義しています。 著作権の保護対象としては、文芸、学術、音楽、美術の創作物や…

不正競争防止法

不正競争防止法とは、市場において事業者間の公正な競争が行われるように、不正行為を定め不正競争の防止を目的として定められた日本の法律です。 被害を被った者は差止め請求や損害賠償請求などができるほか、一部の行為は刑事罰の対象となります。 不正行…

売買契約

売買契約とは、売主が保有している商品や土地などの財産権を、買主に移すことを約束し、買主は売主に代価を支払うことを約束する契約のことで、売主と買主の合意があったときに成立するものです。 一般的な商取引では、買主が注文書によって申し込みの意思表…

電子署名法

電子署名法とは、正式名称を「電子署名及び認証業務に関する法律」といい、ディジタル署名などの電子署名が手書き署名や押印と同等に通用することを定めた日本の法律で、2001年に施行されました。 電子署名法の冒頭の「第一章 総則」部分には以下のように記…

ポートスキャン(port scan)

ポートスキャンとは、ネットワークを介する攻撃手法の一つで、サーバなどコンピュータに対してポート番号の変化させ網羅的に多数のIPパケットを送信することで、稼働しているサービスの種類を外部から調査する手法のことです。 コンピュータが通信を行うには…

WAF(Web Application Firewall) Ver.2

WAFとは、Webサーバにアクセスするデータの内容を監視し、外部からWebアプリケーションプログラムへの攻撃を検知、防御するシステムです。 Webアプリケーションには脆弱性が存在する場合があり、攻撃者がこれを悪用して遠隔操作や窃取などの不正アクセスを行…

IPsec(Security Architecture for Internet Protocol)

IPsecとは、インターネットなどの開かれたネットワーク上において、専用線と同様なセキュリティが確保された通信を行うための暗号化・認証プロトコルの一つです。 IPsecはOSI基本参照モデルのネットワーク層において暗号化などの処理を行います。 したがって…

不正のトライアングル

不正のトライアングルとは、人が不正行為をする原因をまとめた理論で、米国の犯罪学者のドナルド・R・クレッシー氏により提唱されました。 次の三つが揃ったとき、不正行為が発生するとしています。 機会:「作業の実行者と承認者が同じ」「承認者が作業内容…

PCI DSS(Payment Card Industry Data Security Standard)

PCI DSSとは、クレジットカード情報を保護し、安全に取り扱うことを目的として、クレジットカード情報を取り扱う事業者に対するセキュリティ基準を定めた規格の一つで、2004年にVISA、MasterCard、AmericanExpressなどが共同で策定した基準です。 PCI DSSで…

CRL(Certificate Revocation List) Ver.2

CRLとは、ディジタル証明書の失効リストのことで、有効期限内に失効となったディジタル証明書がシルアル番号で記載されています。 CRLの仕様はITU(国際電気通信連合)のX.509で規定されています。 CRLは、ディジタル証明書を発行した認証局(CA:Certificat…