CISSP用語集1

Question 1

(ISC)2 職業倫理規定

Answer 1

社会、一般大衆の福利、およびインフラを保護する。法律に違わず、公正かつ誠実に責任を持って行動する。 当事者に対して、十分かつ適切なサービスを提供する。専門知識を高め、維持する。

Question 2

4世代言語

Answer 2

プログラム言語を進化の過程を世代になぞらえて分ける考え方です。

Question 3

7パス

Answer 3

7回書き込みを繰り返し、ディスクデータを復元できないようにすることです。

Question 4

AAAプロトコル(IAAA)

Answer 4

認証·認可·計上の頭文字をとったユーザー本人確認のおける3要素です。

Question 5

ABCDファイヤー

Answer 5

燃えるものをカテゴリー化して消火方法を分類する考え方です。

Question 6

ACID特性

Answer 6

トランザクション処理をするシステムに持つべき属性、原子性/一貫性/独立性/永続性の頭文字です。

Question 7

AES(Advanced Encryption Standard)

Answer 7

DESの後続として登場したブロック暗号化です。AES(Rijindael)では、暗号化の構造としてSPN構造が利用されます。

Question 8

ALU(Arithmetic and Logic Unit)

Answer 8

演算の役割を担うCPUの構成要素の一つです。

Question 9

API(Application Programming Interface)

Answer 9

プログラムの機能や管理するデータを外部から呼び出して利用するための手順やデータ形式などを定めたものです。

Question 10

ARCNET(Attached Resource Computer NETwork)

Answer 10

トークンを使った回線の優先権を決める制御するレガシーのLAN技術です。

Question 11

ARO(Annual Rate of Occurrence)

Answer 11

イベントが1年間で発生する頻度です。リスク分析の年間予想損失を算出する際に使われます。

Question 12

ARPAnet(Advanced Research Projects Agency NETwork)

Answer 12

世界で初めて運用されたコンピュータネットワークです。

Question 13

ATAセキュア消去

Answer 13

SSDのようなATA規格のディスクにおいてソフトウェア操作でデータ削除する方法です。

Question 14

ATM(Asynchronous Transfer Mode)

Answer 14

フレームリレーと同じく1つの物理回線を共有して複数の仮想回線を生成することができる技術です。

Question 15

ATO(Authorization To Operate)

Answer 15

製品を本番運用環境のシステムに使用しても良いかの承認です。

Question 16

BCI(Business Continuity Institute)

Answer 16

事業継続について活動している人たちが情報を互いに交換·提供するための組織です。

Question 17

BEAST攻撃

Answer 17

Web通信での暗号化の脆弱性を利用して、盗聴する攻撃です。

Question 18

Bell-LaPadulaモデル

Answer 18

データの漏洩が起きないようにするための機密性のセキュリティモデルです。シンプルセキュリティ属性、スターセキュリティ属性、強スターセキュリティ属性が定義されています。

Question 19

Bibaモデル

Answer 19

データが勝手に変更されないことを示す完全性セキュリティモデルです。シンプル完全性プロパティ、スター 完全性プロパティ、Invocationプロパティが定義されています。

Question 20

BIOS/UEFI

Answer 20

起動時のOSの読み込みのためのマザーボードなどに格納された古いタイプのファームウェアもしくはソフトウェアです。

Question 21

Blowfish

Answer 21

ブルース·シュナイアー氏によって開発されたブロック共通鍵暗号化方式です。

Question 22

Bluetooth

Answer 22

携帯電話などの小型の低電力デバイスで使用され、短距離でデータを送信できる国際標準規格です。

Question 23

BSD(Berkeley Software Distribution)

Answer 23

カリフォルニア大学バークレー校が配布したUNIX系OSおよび関連ソフトウェア群です。対象となるソフト
ウェアの使用と再配布に最小限の制限を課すしており、多くの商用あるいはフリーの派生ソフトウェアを生み出しました。

Question 24

BYOD(Bring Your Own Device)

Answer 24

個人利用している機器を会社の業務でも利用可能にする取り組みです。

Question 25

CALEA(Communications Assistance for Law Enforcement Act)

Answer 25

通信会社の傍受協力のための法律です。日本語では、法執行のための通信援助法と言います。

Question 26

CASB(Cloud Access Security Broker)

Answer 26

従業員がクラウドサービスへアクセスする際のコントロールをするシステム基盤です。

Question 27

CASE(Computer Aided Software Engineering)

Answer 27

ソフトウェア開発·修正を支援するソフトウェアです。

Question 28

CAST

Answer 28

対称鍵ブロック暗号ファミリーの一つです。

Question 29

Catch it as you can

Answer 29

ネットワークトラフィックの収集の一つであり、特定のトラフィックポイントを通過するすべてのパケットを
キャプチャしてストレージに書き込み、その後バッチモードで解析を行うことです。大容量のストレージが必要になります。

Question 30

CCPA(California Consumer Privacy Act)

Answer 30

カリフォルニア州で可決された包括的なプライバシー法です。日本語では、カリフォルニア州消費者プライバシー法と言います。

Question 31

CFAA(Computer Fraud and Abuse Act)

Answer 31

政府や金融機関などコンピュータに対して意図的な損害を禁止する法律です。日本語では、コンピュータ詐欺と濫用に関する法律といいます。

Question 32

CI/CD(継続的インテグレーション/継続的デリバリー)

Answer 32

アプリケーション開発から本番リリースまでを、自動化し迅速に行うための仕組みです。

Question 33

CIAトライアド

Answer 33

セキュリティの根本原理である機密性、完全性、可用性の頭文字です。

Question 34

CISO(Chief Information Security Officer)

Answer 34

組織における情報セキュリティの最高責任者です。

Question 35

COBIT(Control OBjective for Information and related Technology)

Answer 35

企業のITガバナンスの成熟度を測るフレームワークです。 アメリカの情報システムコントロール協会 (ISACA)とITガバナンス協会(ITGI)が提唱しました。

Question 36

COCOM(Coordinating Committee for Multilateral Export Controls)

Answer 36

冷戦時代にアメリカを代表とする資本主義の国の軍事技術が、ソ連を代表とする共産主義の国への漏れ出ないようにするための委員会です。日本語では、対共産圏輸出統制委員会と言います。

Question 37

COM(Component Object Model)

Answer 37

言語に依存しないオブジェクトの実装方法であり、オブジェクトが作成された環境とは異なる環境でも使用することができます。

Question 38

COPPA(Children’s Online Privacy Protection Act)

Answer 38

インターネット上で安全に子どもサイト向けを使えるように、何の規約もなしに子どもたちを危機にさらすことを禁止する法律です。日本語では、児童オンラインプライバシー保護法といいます。

Question 39

CORBA(Common Object Request Broker Architecture)

Answer 39

OMG(Object Management Group)によって定義された多様なプラットフォーム上で展開されるシステムの通信を容易にするための技術です。

Question 40

COSO(Committee of Sponsoring Organizations of the Treadway Commission)

Answer 40

粉飾決算につながらないように業務の適正化を計るフレームワークを提示している委員会です。

Question 41

COTS(Commercial Off-the-Shelf)ソフトウェア

Answer 41

ベンダーから市販されている既製品のことです。

Question 42

CRIME攻撃

Answer 42

暗号文の圧縮率から元のデータを解読する攻撃です。

Question 43

CryptoLocker

Answer 43

ランサムウェアを先駆けたマルウェアです。

Question 44

CSMA/CD

Answer 44

電話線などの通信ネットワーク上の衝突を回避できる仕組みです。信号を感知(Carrier Sense)しフレーム伝送を行い、フレームが衝突を検出(Collision Detection)するとランダムな時間を待ち送信を開始します。

Question 45

CVSS(Common Vulnerability Scoring System)

Answer 45

3つの基準で脆弱性の深刻さを評価するものです。日本語では、共通脆弱性評価システムと言います。基本評価基準とは、脆弱性そのものの特性を評価する基準です。現状評価基準とは、脆弱性の現在の深刻度を評価する基準です。環境評価基準とは、利用者を含め、最終的な脆弱性の深刻度を評価する基準です。

Question 46

DAD

Answer 46

CIAトライアドの反義語で漏洩(Disclosure)·変化(Alteration)·破壊(Denial)を示します。

Question 47

DES(Data Encryption Standard)

Answer 47

Data Encryption Standardの略。国際的に広く使われたブロック暗号化方式標準です。

Question 48

DevOps

Answer 48

開発手法やツールを使って開発者(development)と運用者(operations)が協力し、より柔軟かつ迅速にシステムを開発すること、もしくはその技術です。

Question 49

Diameter

Answer 49

AAAプロトコルを実現するフレームワークの一つであり、ユーザー認証を要求しリソースに対するアクセス制御を行う際に利用します。

Question 50

DNSキャッシュポイズニング

Answer 50

DNSで行われる名前解決を利用し、本来とは別のサーバにアクセスさせる方法です。

Question 51

DNSファーミング

Answer 51

DNSサーバー内のドメイン名と紐づけられたIPアドレスを不正に書き換えることで、正規のユーザーを偽の Webサイトへ誘導する攻撃です。

Question 52

DoDAF

Answer 52

政府など機密性を重視したシステムの設計を定義したものです。

Question 53

DPD(Data Protection Directive)

Answer 53

EU圏において、国を跨ぐような情報の流通にルールを設けさせる命令です。日本語では、データ保護指令と言います。

Question 54

DR(Disaster Recovery)サイト

Answer 54

本番運用のシステム環境に災害が起きた用の予備のシステムです。

Question 55

DREAD評価システム

Answer 55

ある脅威が自身にとって脅威となりうるかを判断するための評価項目です。

Question 56

ECPA(Electronic Communications Privacy Act)

Answer 56

司法当局が犯罪捜査のために電子メールなどにアクセスする際の決まりです。日本語では、電気通信プライバシー法と言います。

Question 57

EEA(Economic Espionage Act)

Answer 57

営業秘密(trade secret)を漏らしたら罰する刑事法です。日本語では、連邦経済スパイ法と言います。

Question 58

ElGamal暗号

Answer 58

離散対数問題を利用した公開鍵アルゴリズムです。

Question 59

EOL(End of Life)

Answer 59

製品·サービスに関するサポートを受けることができなくなる期限を指します。

Question 60

EOS(End of Service)

Answer 60

製品·サービスは販売を終了する期限を指します。

Question 61

FCOE(Fiber Channel over Ethernet)

Answer 61

フレームをカプセル化してイーサネット上で動作させるためのプロトコルです。

Question 62

FERPA(Family Educational Rights and Privacy Acts)

Answer 62

名簿情報など学生の教育記録もプライバシーとして保護する法律です。日本語では、家庭教育の権利とプライバシーに関する法律と言います。

Question 63

FIDO(Fast IDentity Online)

Answer 63

パスワードを使わずに認証を行うための技術の開発と標準化を行う業界団体です。FIDO2は、FIDO Allianceが推し進める認証技術の1つです。

Question 64

FISMA(Federal Information Security Management Act)

Answer 64

連邦政府関連の組織は毎年、行政管理予算局(OMB)にセキュリティ報告書を送るように求める法律です。 日本語では、連邦情報セキュリティマネジメント法です。

Question 65

Fraggle攻撃

Answer 65

適当な文字列を生成するCHARGEN機能を使った攻撃です。

Question 66

FTP(File Transfer Protocol)

Answer 66

ファイルを転送してくれる通信プロトコルです。

Question 67

GDPR(General Data Protection Regulation)

Answer 67

データ保護指令をより厳しくしたEU市民のプライバシー法です。日本語では、一般データ保護規則と言います。

Question 68

Goguen-Meseguerモデル

Answer 68

非干渉概念論の基礎となるマルチレベルの完全性モデルです。

Question 69

GPL(GNU General Public License)

Answer 69

ユーザーがソフトウェアを実行、調査、共有、および変更する自由を保証するライセンスです。

Question 70

HA(High Availability)クラスター

Answer 70

可用性の高いシステムを目指しつつ、複数のコンピュータを集約しクライアントからは1つのコンピュータとして見せる構成です。

Question 71

HAVAL

Answer 71

1024ビットのブロックを使用し、様々なビットのハッシュ値を生成することのできるハッシュ関数です。

Question 72

HIPAA(Health Insurance Portability and Accountability Act)

Answer 72

電子化した医療情報に関するプライバシー保護·セキュリティ確保について定めた法律です。日本語では、医療保険の携行性と責任に関する法律と言います。

Question 73

HITECH(Health Information Technology for Economic and Clinical Health Act)

Answer 73

HIPPAの強化版であり、データ管理だけではなく医療関係の事業提携者に対しても適用する法律です。日本語では、経済的及び臨床的健全性のための医療情報技術に関する法律と言います。

Question 74

HVAC(Heating, Ventilation, and Air Conditioning )

Answer 74

機器が壊れないような環境づくりの要素、温度(heating)と換気(ventilation)と空調(air condition) の頭文字です。

Question 75

IAM(Identity and Access Management)

Answer 75

ユーザーとアクセスを一元管理するための仕組み。

Question 76

ICMP(Internet Control Message Protocol)

Answer 76

レイヤー3の通信プロトコルです。通信状態の確認をするために使われます。

Question 77

IDaaS

Answer 77

サービスで利用するアカウント情報の管理、ログイン負担に弾力性を持たせることのできるクラウドサービスです。

Question 78

IDEA(International Data Encryption Algorithm)

Answer 78

ブロック暗号の共通鍵暗号方式の一つです。広く使われていたNIST公認のDESの安全性が危ぶまれ、代わりとなるアルゴリズムとしてIDEAが提案されましたが、結局失敗に終わりました。

Question 79

IDEALモデル

Answer 79

プロセス改善のモデルの一つです。開始(Initiating)、診断(Diagnosing)、確立(Establishing)、行動 (Acting)、学習(Learning)の頭文字を取っています。

Question 80

IEEE 802.11

Answer 80

IEEEにより策定された広く普及している無線LAN規格の一つです。

Question 81

ILOVEYOU

Answer 81

知人から知人に告白するようなメール文面で感染するマルウェアです。

Question 82

IMAP(Internet Message Access Protocol)

Answer 82

TCPポート143で実行される、クライアントサーバー電子メールアクセスプロトコルです。

Question 83

IoT(Internet of Things)

Answer 83

日常品をインターネットに接続してサービス拡充する動きです。

Question 84

IPsec

Answer 84

パケットを暗号化してインターネットを安全に通信する仕組みです。実行時に、セキュリティアソシエーション (SA)を作成することによって、IPsec セッションを生成します。SA は通信セッションとして扱われ、接続に関するあらゆる構成とステータス情報を記録しています。SA は単方向の接続単位で扱われ、双方向の場合にはSAは2本あります。

Question 85

IPアドレス

Answer 85

IPアドレスとは、インターネット通信を行うためのプロトコルです。1970年代に米国国防高等研究計画局 (DARPA)のパケット交換ネットワークをサポートするために設計されました。IPアドレスの規格には、IPv4 とIPv6の2種類あります。

Question 86

ISC/IEC 27031

Answer 86

事業継続計画に特化したフレームワークです。社会的セキュリティ、事業継続マネジメントシステムのガイダンスとして、事業継続マネジメントに関するより実用的なアドバイスを提供しています。

Question 87

iSCSI(Internet Small Computer System Interface)

Answer 87

既存のネットワークインフラストラクチャとプロトコルを活用してストレージと接続できるようにするSANプロトコルです。

Question 88

ISO/IEC 27000シリーズ

Answer 88

ISO(国際標準機構)とIEC(国際電気標準会議)が共同で作った適切な情報セキュリティマネジメント (ISMS)を提供するための決まりです。

Question 89

ITIL(Information Technology Infrastructure Library)

Answer 89

ITサービスマネジメントのベストプラクティスをまとめた書籍です。

Question 90

JAD(Joint Application Development)

Answer 90

開発者と実際の利用者が会話しながらシステム開発することです。

Question 91

JavaScript

Answer 91

世界で最も広く使われているモバイルコードのスクリプト言語です。HTML内にという囲みタグを使って埋め込まれます。

Question 92

JBOD(Just a Bunch Of Disks)

Answer 92

多くの小さいディスクをひとまとめにして大容量にする仕組みです。

Question 93

Kerberos

Answer 93

ユーザーの認証は一回で様々なサービスを利用できるシングルサインオンを実現する方式の一つです。

Question 94

KISSの原則

Answer 94

“Keep it simple, stupid.”(簡潔にしておけ、この間抜け!)の頭文字を取ったものです。設計の簡潔さ成功への重要な要素であり、複雑性は問題を増長します。

Question 95

LAND攻撃

Answer 95

悪いリクエストをブロックするFirewallを貫通する攻撃です。

Question 96

LOL(Living Off the Land)攻撃

Answer 96

攻撃対象となる環境で正規と見なされているプログラムを利用する攻撃です。LOL攻撃に利用される正規のプログラムをLOLBINと言います。

Question 97

MACアドレス(Media Access Control address)

Answer 97

LAN内通信で利用されるネットワークインターフェイスカード(NIC、Network Interface Card)の一意に振られているデータリンク層のアドレスです。

Question 98

MD5(Message Digest 5)

Answer 98

任意の長さの文字列から128ビットの値を生成するハッシュ関数の一つです。

Question 99

Merkle-Hellmanナップサック暗号

Answer 99

ナップサック問題の難解さを利用した暗号化方法です。

Question 100

MyDoom

Answer 100

メールの添付ファイルを介して感染し、感染PCから大量のトラフィックを送るウイルスです。

Question 101

NAT(Network Address Translation)

Answer 101

グローバルIPアドレスとプライベートIPアドレスに変換する機器です。

Question 102

NIST SP 800-30

Answer 102

リスクアセスメントの実施の手引きの規格です。

Question 103

NIST SP 800-34

Answer 103

NISTが公表している災害対策のフレームワークです。

Question 104

NIST SP 800-37

Answer 104

リスクマネジメントフレームワークが定義されている文章です。

Question 105

NoSQL

Answer 105

リレーショナルデータベース以外のデータベース管理システムを指します。

Question 106

OAuth

Answer 106

RFC2749の別システムで管理されているユーザー情報照会などのAPIを呼び出すためのフェデレーションの仕組みです。

Question 107

OCTAVE

Answer 107

CERTで紹介されているリスク評価のフレームワークの一つです。

Question 108

ODBC(Open Database Connectivity)

Answer 108

データベース管理システム (DBMS) にアクセスするプログラムに対して、固有のDB設定に依存せず共通のインターフェースを与えるための仕様です。

Question 109

OECDプライバシーガイドライン

Answer 109

OECDが考えた経済の観点からプライバシーを守るためのガイドラインです。

Question 110

OIDC(OpenID Connect)

Answer 110

OAuthの後発として、ユーザー情報照会APIのためのトークンを安全に渡すための仕組みです。IDトークンなどの概念が整備されました。

Question 111

OSI(Open Systems Interconnection)参照モデル

Answer 111

通信からアプリケーション動作までを7層に分けたレイヤーデザインの一つです。

Question 112

OSSTMM(Open Source Security Testing Methodology Manual)

Answer 112

オープンソースのペネトレーションテストの標準です。

Question 113

OWASP(Open Worldwide Application Security Project)

Answer 113

ソフトウェアやWebアプリケーションのセキュリティ向上を専門とし、研究やガイドラインの作成、脆弱性診断ツールの開発、イベント開催など実施するコミュニティです。

Question 114

P.A.S.T.A.(Process for Attack Simulation and Threat Analysis)

Answer 114

コンプライアンスとビジネス分析しながら、資産価値を保護する方法を見つける7ステップです。

Question 115

PCI DSS

Answer 115

クレジットカード情報および取り引き情報を保護するためのクレジット業界におけるグローバルセキュリティ基準です。

Question 116

PCI DSS(Payment Card Industry Data Security Standard)

Answer 116

電子決済するときの個人情報流出を避けるためのフレームワークです。

Question 117

PERT(Program Evaluation and Review Technique)

Answer 117

各工程の先行関係を図示することで全体の所要期間を見積もったり、大きな遅れにつながるような工程を見極めるための手法です。

Question 118

POP(Post Office Protorol)

Answer 118

TCPポート110で実行される、クライアントサーバー電子メールアクセスプロトコルです。

Question 119

RADIUS(Remote Authentication Dial In User Service)

Answer 119

ネットワーク上のユーザー認証プロトコルの一つです。ユーザー認証を要求しネットワークリソースに対するアクセス制御を行う際に利用します。

Question 120

RAID(Redundant Array of Independent/Inexpensive Disks)

Answer 120

複数台のハードディスクを1台のハードディスクとして運用するための技術です。記録するデータをどのようにハードディスクに書き込むのかによって物理的な冗長性を向上させる仕組みを持っています。

Question 121

RAM(Random Access Memory)

Answer 121

CPUや画面表示などに利用するときに使う作業用のメインメモリ(主記憶装置)です。RAM上のデータは作業台のように頻繁に書き換えられ、電源が切れるとデータも消えます。

Question 122

RASIS

Answer 122

システムの信頼を評価するReliability(信頼性)、Availability(可用性)、Serviceability(保守性)、 Integrity(完全性)、Security(安全性)の5つの概念の頭文字を合わせた言葉です。

Question 123

RFID(Radio Frequency IDentification)

Answer 123

ワイヤレスで読み取り可能なタグを作成するために使用されるテクノロジーです。

Question 124

RIPEMD-160

Answer 124

160ビットのハッシュ値を持つハッシュ関数です。前身のRIPEMDのアップグレードになるこのバージョンは、互換性維持という目的でのみ使われます。

Question 125

Rivest Cipher

Answer 125

RSA DATA Security(現·RSA Security)社の ロナルド·リベスト(Ron Rivest)が開発した一連の対称型暗号群です。

Question 126

ROM(Read Only Memory)

Answer 126

書き込み不可·読み出しのみ可能なメモリです。フラッシュメモリ(PLD)などが一例です。

Question 127

RSA(Rivest-Shamir-Adleman)

Answer 127

デファクトスタンダードとなっている公開鍵アルゴリズムです。

Question 128

SABSA(Sherwood Applied Business Security Architecture)

Answer 128

ビジネス目標を達成するにあたり、セキュリティ策がちゃんと機能していることを保証するためのフレームワークです。

Question 129

SAML(Security Assertion Markup Language)

Answer 129

異なるインターネットドメイン間でユーザー認証を行うための フェデレーション認証です。

Question 130

SASHIMIモデル

Answer 130

各フェーズの終点と始点の並行稼働を許したシステム開発プロセスのモデルです。

Question 131

Sasser & Netsky

Answer 131

MyDoomに対抗した少年が作ったウイルスです。17歳の少年が世界規模のウイルスMyDoomに対抗する自尊心で作りました。

Question 132

SCAP(Security Content Automation Protocol)

Answer 132

NISTにおいて、情報セキュリティ対策の自動化と標準化のための仕様です。

Question 133

SESAME

Answer 133

PACではASで発行される鍵に非対称鍵も扱うユーザーの認証を行う方式の一つです。

Question 134

SHA

Answer 134

世界標準のハッシュ関数の一群です。NISTが推進するハッシュ関数であり、連邦情報処理規格 (FIPS)180 としても知られる政府公式出版物 Secure Hash Standard (SHS) で指定されています。

Question 135

SIEM(Security Information and Event Management)

Answer 135

システム機器の状態を一か所にかき集め、何か問題がないかを確認する統合運用です。ファイアウォールや IDS/IPS、プロキシなどから出力されるログやデータを一元的に集約し、システムの全体像を把握します。

Question 136

Skipjack

Answer 136

国政府の連邦情報処理規格 FIPS 158、Escrowed Encryption Standard(EES)で使用が承認されたブロック暗号化アルゴリズムです。

Question 137

Slammer

Answer 137

マイクロソフトサーバの脆弱性を利用して、 ランダムなIPアドレスに自分のコピーを作るウイルスです。

Question 138

SMTP(Simple Mail Transfer Protorol)

Answer 138

TCPポート25で実行される、サーバー間で電子メールを転送するためにメール転送プロトコルです。

Question 139

Smurf攻撃

Answer 139

送信元アドレスを偽装し、大量のエコーを送信する攻撃です。

Question 140

SOAR(Security Orchestration, Automation and Response)

Answer 140

セキュリティインシデントの監視、理解、意思決定、アクションを効率的に行えるようにする技術です。

Question 141

SPN構造(Substitution Permutation Network Structure)

Answer 141

SubBytes(各バイトをテーブルを使って変換)、ShiftRows(順番を入れ替え)、MixColumns(4バイトごとに行列演算)、AddRoundKey(ラウンド鍵を使ってXOR変換)を繰り返すことで暗号化します。

Question 142

SPOF(Singe Point Of Failure)

Answer 142

一つの障害ポイントにより、システム全体が停止される構成を指します。

Question 143

SQLインジェクション

Answer 143

DB操作でよく使われるSQL構文を入力文字列として利用し、意図しないSQLを実行する攻撃です。

Question 144

SSH(Secure Shell)

Answer 144

安全に遠くからコンピュータを動かせるようにするサービスです。

Question 145

SSIDステルス

Answer 145

無線LANアクセスポイントの周囲に自身のSSIDを知らせるビーコン発信を停止することです。

Question 146

SSL/TLS

Answer 146

アプリケーションデータの機密性を保護する仕組みです。SSL/TLSはデータを暗号化し、他のアプリケーションと合わせて利用されます。

Question 147

Stop, look and listen

Answer 147

ネットワークトラフィックの収集の一つであり、各パケットはメモリ上で基本的な方法で解析され、特定の情報のみが将来の解析のために保存される方法です。入ってくるトラフィックを分析していくために、より高速な処理性能が必要となります。

Question 148

Storm Worm

Answer 148

話題のニュースを記載したメールからトロイの木馬を感染させるウイルスです。

Question 149

STRIDE

Answer 149

多くのシステム製品に見られる代表的ななりすまし(Spoofing)、改ざん(Tampering)、否認 (Repudiation)、情報漏洩(Information disclosure)、サービス不能(Denial of service)、権限昇格(Elevation of privilege)の6つの脅威の頭文字です。

Question 150

TACACS(Terminal Access Controller Access- Control System)

Answer 150

ユーザー認証を要求しネットワークリソースに対するアクセス制御を行う際に利用します。ネットワーク機器で有名なシスコという会社があり、TACACSはシスコが独自に提供している仕様です。

Question 151

TCB(Trusted Computing Base)

Answer 151

ハードウェア、ソフトウェア、ファームウェアまで、包括的にセキュリティ機能を担保した基盤です。

Question 152

TCP(Transmission Control Protocol)

Answer 152

信頼性のあるレイヤ4通信を担保するためのプロトコルです。TCPスリーウェイハンドシェイクを使用して、
ネットワーク全体に信頼性の高い接続を作成します。TCP接続した場合、分散して到着したセグメントを並べ替えたり、欠落しているセグメントを再送信できます。

Question 153

TCP/IPモデル

Answer 153

OSI参照モデルよりもシステムの概念に近いレイヤーデザインです。アプリケーション、トランスポート、インターネット、ネットワークインターフェースの4階層に分かれます。

Question 154

TCPスリーハンドシェイク

Answer 154

TCP通信が開始される前の通信の信頼を担保するための仕組みです。通信相手への要求をTCPパケットにはフラグで示します。フラグにはいくつかあります。SYN、ACK、RST、FINなどです。TCPスリーハンドシェイクは、SYN、SYN-ACK、ACKの3つのステップで実行されます。

Question 155

TCPフラグ

Answer 155

パケット内容を示すTCPヘッダ内の6ビットのフィールドです。

Question 156

Teardrop

Answer 156

IPパケットの分割前に戻すときのオフセットを偽造することでシステムを停止させる攻撃です。

Question 157

Telnet

Answer 157

遠くからコンピュータを動かせるようにするサービスです。

Question 158

TFTP(Trivial File Transfer Protocol)

Answer 158

FTPよりも軽量化したファイル転送サービスです。

Question 159

TOC/TOU(Time Of Check to Time Of Use)

Answer 159

ある条件をチェックしてから、そのチェック結果を使用するまでの間にシステムが変更されることで発生するソフトウェアのバグです。多くの場合、ファイルを探してからファイルを読む間に別のファイルに差し替えてしまう攻撃です。

Question 160

TOGAF(The Open Group Architecture Framework)

Answer 160

ビジネス、アプリケーション、データ、テクノロジーの観点から見る、エンタープライズアーキテクチャのフレー ムワークです。

Question 161

TPM(Trusted Platform Module)

Answer 161

他のディスクとは別に暗号鍵を入れておく用の小さいディスク(チップ)です。

Question 162

TrickBot

Answer 162

脆弱なBIOSやUEFIにマルウェアを侵入させ検出を回避するためのルートキットです。

Question 163

Trike

Answer 163

許容できるリスクを中心に考える脅威モデルです。資産(データ)とデータを扱う人·システムを列挙します。 それぞれデータに対する作成·読取·更新·削除を明確にします。すると、データが誰が更新されてそのデータを誰に渡るのかという流れを図にすることができます。

Question 164

Twofish

Answer 164

ブルース·シュナイアー(Bruce Schneier)氏が開発した128、192、256ビットの鍵長、ブロック長は 128ビットの共通鍵暗号化方式です。

Question 165

Tキャリア·Eキャリア

Answer 165

最も普及しているWANの2つのキャリアである、米国のTキャリアと欧州のEキャリアです。

Question 166

UDP(User Datagram Protocol)

Answer 166

TCPと比べシンプルなレイヤー4の通信プロトコルです。送信完了の有無を確認するすべはなく、送信してもその通信が相手に届いていることを保証しません。TCPと比べ高速であるため、劣化しても良いデータ音楽のストリーミング、DNS通信等に利用されます。

Question 167

VAST

Answer 167

アジャイルの観点に立った脅威モデルです。視覚的に(Visual)、柔軟に(Agile)、簡潔に(SimpleThreat) の略です。

Question 168

VM(Virtual Machine)エスケープ

Answer 168

仮想化されたコンピュータにおいて仮想ホストから本体のコンピュータを操作することです。

Question 169

VoIP(Voice over Internet Protocol)

Answer 169

ネットワーク上に音声を伝送するプロトコルです。

Question 170

WannaCry

Answer 170

身代金にビットコインを要求するランサムウェアです。

Question 171

Web of Trustモデル

Answer 171

公開鍵の所有者を自身が信頼できる人物に保証してもらう仕組みです。

Question 172

アーカイブビット

Answer 172

前回のフルバックアップまたは増分バックアップ以降にファイルが変更されたかどうかを示すフラグです。 WindowsのNTFSではファイルにアーカイブビットが設定されています。

Question 173

アウトオブバンド特定証明

Answer 173

メールや電話などで直接本人とコンタクトをとるような本人確認です。

Question 174

アクセス制御マトリクス

Answer 174

アクセスするもの(サブジェクト)を列、利用される機能(オブジェクト)を行として、アクセス権限をまとめた表です。

Question 175

アクセス制御リスト

Answer 175

ユーザごとに使える機能をまとめた表です。

Question 176

アクティブモニタリング

Answer 176

登録済のパケットを検知するモニタリング方式です。

Question 177

アジャイルソフトウェア開発

Answer 177

システム開発は柔軟にやった方が良いという考え方です。

Question 178

アセンブリ言語

Answer 178

ADD/SUB/JMPのような値の交換のみの言語です。CPUの処理そのものを記載したものであり、01で表現される機械語を“一応”人間でもわかるように英字略語に当てはめて記述したものです。

Question 179

アドウェア (Adware)

Answer 179

ユーザに広告を見せ収益を得るソフトウェアです。

Question 180

アプリケーションレベルゲートウェイ

Answer 180

アプリケーションが交換する情報に対してアクセス制限するファイヤーウォールです。

Question 181

アンテナ

Answer 181

電波を送受信するための導体です。

Question 182

イーサネット

Answer 182

主に建物内でコンピュータをケーブルで繋いで通信する有線LANの標準の一つです。

Question 183

インシデント

Answer 183

機密性·完全性·可用性に関わる悪影響を及ぼす事象です。

Question 184

インスタントメッセージング

Answer 184

2人以上のユーザーがリアルタイムの「チャット」を介して相互に通信ができます。

Question 185

インターネット倫理

Answer 185

インターネットを利用する開発者、管理者、使用者に持つべき倫理に関して提示したものになります。インター ネットの資源への認可されていないアクセスを得ようとすること、インターネットの意図された利用を混乱させること、そのような活動を通じて資源(人、能力およびコンピュータ)を無駄にすること、コンピュータベースの情報の完全性を破壊すること、ユーザのプライバシーを侵すこと、それぞれをしないこと。

Question 186

インターフェーステスト

Answer 186

試験対象のアプリケーションの通信口に対して行うテストです。

Question 187

インタプリター言語

Answer 187

機械語が実行されるたびにコードを解釈する実行形式でプログラミング言語を区分した際の呼び名です。コンパイラ言語と異なり、実行時に機械語に変換されます。

Question 188

ヴィジュネル暗号

Answer 188

A-Zのストライプに並んだ表を使う暗号方法です。

Question 189

ウイルス

Answer 189

ユーザの操作なしに伝染し、他のプログラムにくっつくマルウェアです。

Question 190

ウェルノンポート

Answer 190

定番なサービスのために予約されている0番から1023番のポート番号です。

Question 191

ウォークスルー

Answer 191

管理者と重要な担当者のグループが集まり、復旧プロセスについて話し合うことです。

Question 192

ウォークスルードリル

Answer 192

災害を想定して行う模擬災害テストです。

Question 193

ウォーターフォールモデル

Answer 193

後戻りせず開発手順を進めていく開発モデルのことです。

Question 194

ウォードライビング

Answer 194

街を車などで移動しながら、脆弱な無線LANのアクセスポイントを捜し回ることです。

Question 195

エアギャップ

Answer 195

2つのネットワーク領域を物理的に接触することがないように構成する物理的なセキュリティ制御の一つです。

Question 196

エキスパートシステム

Answer 196

素人でも専門家レベルの問題解決が可能となるシステムのことです。専門家の知識をシステムに蓄積し、システムが完璧な意思決定を支持します。たとえ利用者が素人でも専門家並みの判断ができるというわけです。

Question 197

エクストリームプログラミング

Answer 197

2人1組で話し合いながら柔軟にプログラム開発する方法です。

Question 198

エフェメラルキー

Answer 198

一時的な暗号経路確保のために利用される暗号化キーです。

Question 199

エンティティ整合性

Answer 199

各レコードが特定できるものであることです。各レコードには、nullではない一意のプライマリ値があることです。一つの属性によって担保される必要はなく、属性の組み合わせによって担保されても良い。主キーの制約がこの整合性を担保します。

Question 200

オープンソース

Answer 200

利用が無料なプログラムです。

Question 201

オープンソースインテリジェンス(OSINT)

Answer 201

一般に公開され利用可能な情報を源に、機密情報を収集する手法です。

Question 202

オールペアテスト

Answer 202

ブラックボックステストの設計手法の一つで、入力パラメータの各ペアの可能な離散的な組み合わせをすべて実行するようにテストケースを設計するものです。

Question 203

おとり捜査

Answer 203

被害者のふりをして犯人の内部に入り込むことです。

Question 204

オニオンルーティング

Answer 204

たくさんのサーバーを経由することで、何処から何処に向かう通信なのかわからなくさせる方法です。

Question 205

オブジェクトリクエストブローカー

Answer 205

異なる機器上に分散するプログラムのための処理伝達ソフトウェアです。

Question 206

オブジェクト指向データベース

Answer 206

整数、文字列などのデータではなく、テキスト、音声、動画のデータ形式が混在するデータ群をオブジェクトとして格納します。

Question 207

オブジェクト指向言語

Answer 207

オブジェクトという考え方で設計されるプログラミングのことです。

Question 208

オペレーティングシステム

Answer 208

コンピュータは、プログラム(ソフトウェア)の命令に従って、主記憶装置(ハードウェア)からプログラムを読み込み、CPU (ハードウェア)に命令を実行させたりと、ソフトウェアの内容をハードウェアに対する指示に変換するソフトウェアです。

Question 209

カーネル

Answer 209

OSの核であり、アプリケーションの実行を許可しプロセス管理やハードウェアとソフトウェアを中継するプログラムです。

Question 210

カウンタモード

Answer 210

1つずつ増加するカウンタを暗号化の入力とするブロック暗号化アルゴリズムです。

Question 211

カバートチャネル

Answer 211

通常、使用されない経路を経由して情報を伝達するために使用される方法になります。

Question 212

ガバナンス

Answer 212

利害関係者のニーズを評価して、信頼を維持するための管理体制です。

Question 213

ガバメント

Answer 213

利害関係者のニーズを評価して、信頼を維持するための管理体制です。主に、CEO、CIO、CSOの役割になります。

Question 214

カプセル化

Answer 214

アプリケーションで扱うデータを通信データとして使えるようにするための方法です。上位のデータに下層のデータを付与することをカプセル化といいます。

Question 215

ガントチャート

Answer 215

プロジェクトの各段階を作業単位まで階層構造で示す表であり、縦軸に作業内容·担当者·開始日·終了日·作業間の関連情報を記載し、横軸に時間を記載します

Question 216

キークラスタリング

Answer 216

同じ平文を別々の鍵で暗号化したのに、同じ暗号文になる現象です。

Question 217

キーロガー

Answer 217

コンピュータのキーボード操作を常時記録するハードウェアもしくはソフトウェアです。

Question 218

キャプティブポータル

Answer 218

HTTPセッションを横取りし、特定のWebページに強制誘導させる仕組みです。

Question 219

脅威モデリング

Answer 219

アプリケーションのアーキテクチャに起こりうる脆弱性を事前に特定する手法のことです。

Question 220

クラークウィルソン(Clark-Wilson)モデル

Answer 220

ユーザーとデータの間にプログラムの存在を定義したセキュリティモデルです。

Question 221

クラウド

Answer 221

ハードウェアを仮想化しサーバ機能を提供するサービスです。

Question 222

クラッカー

Answer 222

コンピュータに危害を加える人です。

Question 223

グラハムデニング(Graham-Denning)モデル

Answer 223

サブジェクトとオブジェクトに対して、8つのルールをマッピングしたモデルです。R1~R8までの操作(ルー ル)に集約できる整理がされています。

Question 224

グラハムデニング(Graham-Denning)モデル

Answer 224

サブジェクトとオブジェクトに対して、8つのルールをマッピングする中立型のモデルです。

Question 225

グラム·リーチ·ブライリー法

Answer 225

銀行業、投資業と保険業の兼業規制を緩めた法律です。グラムさんとリーチさんとブライリ―さんが作りました。