舎利弗の煩悩

公式読むのメンドイので、かんたんにまとめとく

【情報セキュリティ】ど忘れしがちアルファベット(略称)集

f:id:bonno-sariputra:20210905142528j:plain

なかなか記憶に定着しないアルファベット(略称)を厳選しました。
情報セキュリティ編です。
試験直前に見るとよろしい。

機器やソフトウェア

TPM (Trusted Platform Module)

バイス上で様々なセキュリティ機能を提供するためのモジュール。
暗号化用アルゴリズムエンジン、ハッシュエンジン、鍵生成器、乱数生成器、不揮発性メモリ(鍵などを保管)などを備える。

IDS (Intrusion Detection System)

リアルタイムに関しし、侵入や攻撃を検知する。 大きく2種類に分類。

  • NIDS (Network-Based Intrusion Detection System) ネットワーク型侵入検知システム
  • HIDS (Host-Based Intrusion Detection System) ホスト型侵入検知システム

NIDSはネットワークにプロミスキャスモードで接続する機器として使用。 HIDSはホストにインストールして使用。

IPS (Intrusion Prevent System)

NIDSの防御機能を強化したもの。
NIDSと同じようにプロミスキャスモードで接続して使用できる。そのときはNIDSと同等の機能となる。
ネットワーク間をさえぎるように接続することで不正なアクセスを確実に遮断、より強力な防御が可能となる。 「アプライアンス型」「ソフトウェア型」「クラウド型」の3タイプある。

WAF (Web Application Firewall)

WEBアプリケーションの機能に特有の驚異にたいしてIPS的な働きをする製品。
XSSSQLインジェクション、OSコマンドインジェクションなどを防ぐ。
IPSと同じく「アプライアンス型」「ソフトウェア型」「クラウド型」の3タイプある。

EDR (Endpoint Detection and Response)

PCやサーバにインストールして不審な挙動を検知し、迅速な対応を支援するソフトウェア。

認証、アクセス制御、証明書

DAC (Discretionary Access Control)

任意アクセス制御
Windowsでも採用されている方式。ファイルごとに所有者、読取り、書込み、実行の権限を設定出来る。

MAC (Mandatory Access Control)

強制アクセス制御
ユーザ、プロセスごとにセキュリティレベルを設定して、それに応じて強制的にアクセスを制御する。
ファイルごとにアクセス権を自由に設定することは出来ない。
Trusted OSで採用される方式。

RBAC (Role-Base Access Control)

ロールベースアクセス制御
営業部長、経理部長、取締役など、組織内の部署や役職に対してロールを定義し、それらにアクセス権限を付与する方式。ユーザに対して複数のロールを割当てる。
ロール単位でアクセス権を管理できるため運用を軽減。

WEP (Wired Equivalent Privacy)

無線LANに実装されている暗号化方式。
脆弱性が指摘され最近では使われなくなった。

WPA (Wi-Fi Protected Access)

無線LANに実装されている暗号化方式。
WEPの代わりに広く普及している暗号化方式。
IEEE801.1X認証が採用されている。
現在は暗号化を強化したWPA2が使われている。
また、さらにセキュリティが強化されたWPA3が発表(2018年6月)され注目を集めている。

LDAP (Lightweight Directory Access Protocol)

ネットワーク機器やユーザーなどの情報を管理するディレクトリサービスへ接続するためのプロトコル
X.500ディレクトリサービスをサポート。ポート389を使用する。
Microsoft Active Directoryで使用されている。

PKI (Public Key Infrastructure)

公開鍵基盤。信頼できる第三者機関の認証局によって証明書を発行してもらい、身分を証明する仕組み。

CA (Certificate Autority)

PKIにおいて証明書を発行する認証局

CRL (Certificate Revocation List)

有効期限よりも前に失効させたデジタル証明書の一覧

OCSP (Online Certificate Status Protocol)

証明書が失効されていないかをリアルタイムで確認するプロトコル
OCSP サーバーには CRL が保存されており、その CRL に問合せのあったシリアル番号を照合し確認結果を返す。

ガイドライン、方法論

OWASP (Open Web Application Security Project)

Webアプリケーションセキュリティの分野で自由に利用できる記事、方法論

CISO (Chief Infomation Security Officer)

最高情報セキュリティ責任者。 情報セキュリティに関する意思決定を行う。

CSIRT (Computer Security Incident Response Team)

「シーサート」と読む。 セキュリティ事故が発生した場合に、火消しを行うチーム。 収束後は再発防止の対策も行う。 これらの業務を「インシデント管理(マネジメント)」と呼ぶ。

SOC (Security Operation Center)

システムログやアラートと監視し、何かあればCSIRTに連絡する。

ITIL (Infomation Technology Infrastructure Library)

ITサービスマネジメントにおける業務プロセスや管理手法を体形定期に整理したもの。

BCM (Business Continuity Management)

事業継続管理。ICMSの要求事項。
以下を行い確立する。

BIA (Business Impact Analyze)

事業継続におけるボトルネックとなる業務やリスクを分析し把握する。

BCP (Business Continuity Plan)

目標時間内にどうやって復旧させるかの計画や手順。 BIAの結果を受け策定する。

RTO (Recovery Time Objective)

業務中断後いつまでに業務再開するかを規定

RPO (Recovery Point Objective)

業務中断から遡っていつ時点まで戻すかを規定

NIST (National Institute of Standards and Technology)

重要インフラのサイバーセキュリティを向上させるためのフレームワーク
サイバーセキュリティ対策を5つの観点で分類

特定

サイバーセキュリティの方針を決定。リスクを分析して特定。

防御

適切な対策。

検知

対策を突破された(されそう)な状況をいち早く検知。

対応

検知した異常に対して暫定処置をいち早く講じる

復旧

恒久対処を行い、元通りの状態に復旧

COSO (Committee of Sponsoring Organizations of the Treadway Commission)

内部統制フレームワーク

COBIT (Control Objectives for Information and related Technology)

ITガバナンス、ITUNESマネジメントに関する実践規範

制度、基準

ISMS (Infomation Security Management System)

情報セキュリティマネジメントシステム(ISMS)適合性評価制度 認証基準JIS Q 27001:2014(ISO/IEC 27001:2013)は、ISMS適合性評価制度において、第三者である認証機関が本制度の認証を希望する組織の適合性を評価するための基準である。

J-CSIP (Initiative for Cyber Security Infomation sharing Partnership of Japan)

検知されたサイバー攻撃などの情報を公的機関であるIPAに集約する取り組み

CMMI (Capability Maturity Model Integration)

能力成熟度モデル。 組織のプロセスの発展段階を5段階の成熟度レベルでモデル化。

PCI DSS (Payment Card Industry Data Security Standard)

クレジットカード会員の情報を保護することを目的に定められた、クレジットカード業界の情報セキュリティ基準です。

EDSA (Enbedded Device Security Assurance)

証組込みデバイスセキュリティ保証。 組込み機器を評価対象とした認証制度。

GDPR (General Data Protection Regulation)

EUの個人データ保護指令。 EUで営業、またはEUから受注する場合は対応が必要。 制裁金がエグいことで有名。

SOX法 (Sarbanes Oxley Act)

米国SOX法、米国企業改革法 財務報告の透明性、正確性を確保するための法律。
日本も米国SOX法にならって同等の法律を導入している。

  • 金融商品取引法
  • 財務報告に係る内部統制の評価及び監査の基準案
  • 財務報告に係る内部統制の評価及び監査に関する実施基準

組織

ISAC (Information Sharing and Analysis Center)

一般社団法人。各業界ごとに設立。 サイバー攻撃に関する情報を収集、共有する。

NICS ( National center of Incident readiness and Strategy for Cybersecurity)

内閣サイバーセキュリティセンター 内閣官房に設定された組織で、日本のサーバーセキュリティ戦略の立案と実施の推進を行っている。

その他関連キーワード

IDC (Internet Data Center)

インターネット接続に特化したデータセンタ。非常に広帯域。 クラウド事業者に利用される。

参考

isms.jp

www.compita-japan.com

www.isasecure.org