午後問題で役に立つ「セキュリティ関連用語」一覧1
現在、4月に受験する情報処理安全確保支援士の勉強中です。
個人的に、覚えることが多すぎてうっかり忘れてしまう用語を一覧にまとめました。
まだ始めたばかりなのに1ページ埋まってしまったのでブログに出力。
A4で、近づけばぎりぎり読めるサイズでした。。^^;
まだまだ先が長そうだなぁ、、、
意外と午後問題にも問題文に用語が出てくるのでしっかり覚えておかないと!
(ページの最後にPDF置いておきます)
2022年11月追記:
私の合格した時の方法を反省し、より効率的な勉強法を紹介しています。
よければ参考にしてください。
【必見】未経験でも合格した情報処理安全確保支援士試験の勉強法
情報処理安全確保支援士試験って役に立つの?実務経験がないと合格は難しい?何時間ぐらい勉強したらいいの?どうやって勉強したらいいの?これらをこの記事で答えていきたいと思います。
うっかり忘れそうなセキュリティ用語一覧(その1)
| 項目 | 用語 | 説明 |
| 情報セキュリティの 3つの特性 | 機密性 | 許可された人だけが情報資産にアクセスできるようにすること |
| 完全性 | 情報を書き換えられないようにすること | |
| 可用性 | 正常なサービスをいつでも提供できる状態を維持すること | |
| 情報セキュリティの 付加的な特性 | 真正性 | 利用者や情報そのものが本物であることを明確にすること →なりすましや偽の情報でないことを証明できるようにする |
| 責任追跡性 | ある行為が誰によって行われたかを明確にすること →利用者やシステムの責任を説明できるようにする | |
| 否認防止 | 情報の作成者が作成した事実を後から否認できないようにすること →確かに作成者が行なったと証明できるようにする | |
| 信頼性 | 情報システムの処理が、欠陥や不具合なく確実に行われること →システムを安心して使い続けることができるようにする | |
| リスクに関する用語 | リスクレベル | 結果とその起こりやすさの組み合わせとして表現される、リスクの大きさ |
| リスク基準 | リスクの重大性を評価するための目安とする条件 | |
| リスク特定 | リスクを発見、認識及び記述するプロセス | |
| リスク分析 | リスクの特質を理解し、リスクレベルを決定するプロセス | |
| リスク評価 | リスクが受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセス | |
| リスクアセスメント | リスク特定、リスク分析及びリスク評価のプロセス全体(評価までを行う) | |
| リスク対応 | リスクを修正するプロセス | |
| リスク受容 | 情報に基づいた意思決定によって、リスクを保有することを受け入れる ※受容されたリスクは、モニタリング及びレビューの対象となる | |
| リスク移転 | 保険に加入するなど、リスク発生時の負担を外部に転嫁することによてリスクを処理する | |
| リスク回避 | リスクが発生する可能性を取り去ることによってリスクを処理する | |
| 残留リスク | リスク対応後に残っているリスク ※特定されていないリスクも含まれる | |
| リスクマネジメント | ①リスクアセスメント ②リスク対応方法の洗い出し ③リスク対応の実施 ④リスク及びリスク対応方法の見直し ①~④を継続的に実施する活動 | |
| リスクファイナンシング (リスクファイナンス) | リスクが顕在化して損失が発生した場合に備えて、損失の補填や対応費用などの確保をしておくこと | |
| 不正のトライアングル | 機会 | 不正行為を可能、または容易にする環境の存在 |
| 動機 | 過剰なノルマ、金銭トラブル、怨恨など、不正行為のきっかけとなるもの | |
| 正当化 | 不正行為を納得するための都合の良い解釈や責任転嫁。 | |
| 組織とか機関、仕組み | CSIRT | インシデントが発生した場合その通知を受け取る窓口として機能し、その状況を他のセキュリティ関連組織と連携して把握・分析して適切なレスポンスを提供する組織 ※企業内に設置される「組織内CSIRT」も含まれる |
| JVN | 日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供する脆弱性対策情報ポータルサイト | |
| NISC | 内閣サイバーセキュリティーセンター サイバーセキュリティ戦略の立案と実施の推進などを行う | |
| CRYPTREC | 電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装方法・運用方法を調査・検討するプロジェクト | |
| J-CSIP | サイバー情報共有イニシアティブ 検知されたサイバー攻撃などの情報をIPAに集約し、参加組織間で情報を共有することで、高度なサイバー攻撃対策につなげていく取り組み | |
| GDPR | EU一般データ保護規則 個人データ保護やその取り扱いについて詳細に定められたEU域内の各国に適用される法令 | |
| FIPS PUB 140-2 | 米国連邦標準規格で、暗号モジュールに関するセキュリティ要求事項を定めたもの | |
| IDN | 国際化ドメイン名 ドメイン名にアルファベットや数字以外の漢字やアラビア文字などを使えるようにする仕組み | |
| PKI | 公開鍵基盤 公開鍵暗号技術に基づき、ディジタル証明書やCAによって実現される相互認証の基盤 | |
| CA (認証局) | ディジタル証明書の保持者と公開鍵の信頼性を保証する ・ディジタル証明書を発行する ・CRL(証明書失効リスト)を発行する | |
| RA (登録局) | ディジタル証明書保持者の身元を保証する ・証明書発行や失効などの資格審査の実施 ・ディジタル証明書利用者情報の登録 | |
| VA (証明書有効性検証局) | ・ディジタル証明書の失効情報の集中管理 ・ディジタル証明書内に記載された有効期限の確認 ・CRLの確認 | |
| IEEE 802.15分科会 | 近距離無線通信の使用をまとめるためにIEEE 802.11分科会から独立して設置された分科会 Bluetooth、ZigBee などを標準化した | |
| 不正に関する人物など | スクリプトキディ | インターネット上で公開されている簡単なクラッキングツールを利用して不正アクセスを試みる攻撃者 |
| ボットハーダー | ボットを統制してボットネットとして利用することでサイバー攻撃などを実行する攻撃者 | |
| ハクティビズム | 政治的、社会的な思想に基づき積極的にハッキングを行うこと | |
| ホワイトハッカー | ハッカーのうち、その技術を善良な目的に生かす人のこと | |
| ウイルス、 マルウェアの名称 | Mirai | 工場出荷時の弱いパスワードを使っているIoT機器などに感染を広げるとともに、C&Cサーバからの指令に従って標的に対してDDos攻撃を行う |
| トロイの木馬 | 悪意のないプログラムと見せかけて不正な動きをするソフトウェア。 自己伝染機能はない。 | |
| スパイウェア | コンピュータの内部情報を勝手に外部に送信する、情報収集を目的としたソフトウェア | |
| キーロガー | キーボードの入力を監視し、それを記録するソフトウェア | |
| ランサムウェア | コンピュータをロックしたり重要なファイルを暗号化したりしてシステムへのアクセスを制限し、その制限を解除するための身代金を要求するマルウェア | |
| スケアウェア | ユーザーの恐怖をあおる偽の警告メッセージを表示し、問題を解決するためには金銭を支払うようにと要求するマルウェア | |
| マクロウィルス | 表計算ソフトやワープロ文書などで使用されるマクロを用いて感染するウイルス | |
| ワーム | ウイルスと同様に自己増殖するが、宿主となるプログラムやファイルをもたず、単独で存在するマルウェア |
PDFファイルのダウンロード
投稿
0 件のコメント:
コメントを投稿