セキュリティ・認証– category –
-
ISO 27001とは|情報セキュリティマネジメントの国際規格
ISO/IEC 27001は情報セキュリティマネジメントシステム(ISMS)の要求事項を定めた国際規格であり、2005年に英国規格BS 7799-2を母体として初版が発行され、2013年改訂を経て2022年10月に第3版が公開された。組織が情報資産のリスクを評価し、適切な管理策... -
NISTとは|米国立標準技術研究所が定める情報セキュリティ規格
NIST(National Institute of Standards and Technology、米国立標準技術研究所)は1901年に商務省傘下の標準局として設立され、1988年に現在の名称へ改称された連邦機関である。物理計測から暗号アルゴリズムまで幅広い標準化を担い、情報セキュリティ分... -
OWASPとは|Webセキュリティを牽引する非営利コミュニティ
OWASP(Open Worldwide Application Security Project)は2001年にMark Curpheyが立ち上げた非営利団体であり、Webアプリケーションのセキュリティに関する知見、ツール、ガイドラインをオープンに共有することを目的としている。代表作であるOWASP Top 10... -
WAF — Webアプリ前面で攻撃を弾くアプリケーションファイアウォール
WAF(Web Application Firewall)は、HTTPやHTTPSの通信を解釈し、Webアプリケーション特有の攻撃パターン(SQLインジェクション、XSS、SSRF、ファイル取り込みなど)をリクエスト単位で検査・遮断するセキュリティ機器・サービスの総称です。オープンソー... -
ゼロデイ — パッチが間に合わない未公開脆弱性とその攻撃
ゼロデイ(zero-day、0-day)とは、ベンダーやコミュニティが公式パッチを提供する前の未公開脆弱性、またはそれを悪用する攻撃を指します。「対応に使える日数がゼロ」という意味合いから生まれた呼称で、イランの核施設を狙ったStuxnet(2010年公開)、C... -
SSRF — サーバ自身を踏み台に内部リソースへ届く攻撃
SSRF(Server-Side Request Forgery、サーバサイドリクエストフォージェリ)は、Webアプリケーションが「ユーザーから渡されたURLにサーバ側からアクセスする」処理を持つときに、そのURLを攻撃者が操作し、本来外部からは届かないはずの内部ネットワーク... -
中間者攻撃 — 通信路に割り込み盗聴と改ざんを行う古典脅威
中間者攻撃(Man-in-the-Middle、MITM)は、通信を行う2者の間に攻撃者が密かに割り込み、やり取りされる内容を盗み見たり、書き換えたりする攻撃の総称です。公開鍵暗号方式の研究黎明期から議論されてきた古典的脅威で、ホテルや空港のオープンWi-Fi、AR... -
DDoS攻撃 — 多数の端末から束で押し寄せるサービス停止攻撃
DDoS(Distributed Denial of Service、分散型サービス妨害)攻撃は、世界中の多数の感染端末やレンタルサーバから一斉に大量の通信を浴びせ、標的のWebサイト・API・ネットワークをサービス継続不能に追い込む攻撃です。1996年9月、ニューヨークの老舗ISP... -
フィッシング — 偽サイトとメールで認証情報をだまし取る詐欺
フィッシング(phishing)は、銀行・通販・SNS・社内システムなど正規サービスの見た目を模したメールやWebサイトで利用者を欺き、ID・パスワード・クレジットカード番号・ワンタイムコードといった認証情報を入力させて盗み取るオンライン詐欺の総称です... -
ランサムウェア — データを人質に身代金を要求する暗号化攻撃
ランサムウェアは、感染した端末やサーバ上のファイルを暗号化し、復号鍵と引き換えに暗号資産での身代金(ransom)支払いを要求する悪意あるソフトウェアの総称です。1989年にJoseph L. Popp博士が配布したフロッピーディスク「AIDS Trojan」が世界初の事...
