セキュリティ・認証– category –
-
PCI DSSとは|クレジットカード業界の情報セキュリティ基準
PCI DSS(Payment Card Industry Data Security Standard)はクレジットカードの会員情報を扱う全ての事業者が遵守すべき情報セキュリティ基準で、Visa、Mastercard、American Express、Discover、JCBの5ブランドが2004年12月に共同で策定したことに始まる... -
GDPRとは|EUが定める個人データ保護の一般規則
GDPR(General Data Protection Regulation、EU一般データ保護規則)はEUと欧州経済領域における個人データ保護を統一する規則で、正式番号はRegulation (EU) 2016/679である。2016年4月に採択され、2年間の準備期間を経て2018年5月25日から完全適用された... -
ISO 27001とは|情報セキュリティマネジメントの国際規格
ISO/IEC 27001は情報セキュリティマネジメントシステム(ISMS)の要求事項を定めた国際規格であり、2005年に英国規格BS 7799-2を母体として初版が発行され、2013年改訂を経て2022年10月に第3版が公開された。組織が情報資産のリスクを評価し、適切な管理策... -
NISTとは|米国立標準技術研究所が定める情報セキュリティ規格
NIST(National Institute of Standards and Technology、米国立標準技術研究所)は1901年に商務省傘下の標準局として設立され、1988年に現在の名称へ改称された連邦機関である。物理計測から暗号アルゴリズムまで幅広い標準化を担い、情報セキュリティ分... -
OWASPとは|Webセキュリティを牽引する非営利コミュニティ
OWASP(Open Worldwide Application Security Project)は2001年にMark Curpheyが立ち上げた非営利団体であり、Webアプリケーションのセキュリティに関する知見、ツール、ガイドラインをオープンに共有することを目的としている。代表作であるOWASP Top 10... -
WAF — Webアプリ前面で攻撃を弾くアプリケーションファイアウォール
WAF(Web Application Firewall)は、HTTPやHTTPSの通信を解釈し、Webアプリケーション特有の攻撃パターン(SQLインジェクション、XSS、SSRF、ファイル取り込みなど)をリクエスト単位で検査・遮断するセキュリティ機器・サービスの総称です。オープンソー... -
ゼロデイ — パッチが間に合わない未公開脆弱性とその攻撃
ゼロデイ(zero-day、0-day)とは、ベンダーやコミュニティが公式パッチを提供する前の未公開脆弱性、またはそれを悪用する攻撃を指します。「対応に使える日数がゼロ」という意味合いから生まれた呼称で、イランの核施設を狙ったStuxnet(2010年公開)、C... -
SSRF — サーバ自身を踏み台に内部リソースへ届く攻撃
SSRF(Server-Side Request Forgery、サーバサイドリクエストフォージェリ)は、Webアプリケーションが「ユーザーから渡されたURLにサーバ側からアクセスする」処理を持つときに、そのURLを攻撃者が操作し、本来外部からは届かないはずの内部ネットワーク... -
中間者攻撃 — 通信路に割り込み盗聴と改ざんを行う古典脅威
中間者攻撃(Man-in-the-Middle、MITM)は、通信を行う2者の間に攻撃者が密かに割り込み、やり取りされる内容を盗み見たり、書き換えたりする攻撃の総称です。公開鍵暗号方式の研究黎明期から議論されてきた古典的脅威で、ホテルや空港のオープンWi-Fi、AR... -
DDoS攻撃 — 多数の端末から束で押し寄せるサービス停止攻撃
DDoS(Distributed Denial of Service、分散型サービス妨害)攻撃は、世界中の多数の感染端末やレンタルサーバから一斉に大量の通信を浴びせ、標的のWebサイト・API・ネットワークをサービス継続不能に追い込む攻撃です。1996年9月、ニューヨークの老舗ISP...
