匿名SEの学習メモ

1. ネットワーク

1-1. ウェルノウンポート一覧

ポート プロトコル TCP / UDP 概要
20 / 21 FTP TCP ファイル転送、20はデータ転送用、21は制御信号用
22 SSH TCP 暗号化されたリモートログイン
23 Telnet TCP 非暗号化のリモートログイン
25 SMTP TCP メールの送信・転送
53 DNS UDP 名前解決
67 / 68 DHCP UDP IPアドレス配布。67はサーバ、68はクライアントが使用
69 TFTP UDP UDPを使用した、認証のないファイル転送
80 HTTP TCP Web通信
110 POP3 TCP メールの受信
123 NTP UDP 時刻同期
137 / 138 / 139 NetBIOS UDP 初期の名前解決
143 IMAP4 TCP メールの受信(メール自体はサーバ上で管理)
161 / 162 SNMP UDP ネットワーク監視、161は監視用、162は通知(トラップ)用
389 LDAP TCP / UDP 非暗号化のディレクトリサービス
443 HTTPS TCP 暗号化されたWeb通信
445 SMB TCP Windowsのファイル共有
465 SMTPS TCP 暗号化されたメール送信
514 Syslog UDP システムログの転送用
515 LPR(Line Printer Remote) TCP プリンタへの印刷データ送信(クライアント)
587 Submission TCP OP25Bのための送信ポート
636 LDAPS TCP / UDP 暗号化されたディレクトリサービス
993 IMAPS TCP 暗号化されたメール受信(メール自体はサーバ上で管理)
995 POP3S TCP 暗号化されたメール受信
1433 Microsoft SQL TCP データベース
3268 LDAP (GC) TCP / UDP 非暗号化でのグローバルカタログサービス
3269 LDAPS (GC) TCP / UDP 暗号化されたグローバルカタログサービス
3389 RDP TCP / UDP Windowsのリモートデスクトップ
5900 VNC / RFB TCP マルチプラットフォームのリモートデスクトップ
9100 LPD(Line Printer Daemon) TCP プリンタへの印刷データ送信(サーバ)

1-2. ACKフラグ

送信されたデータが確実に相手側に届いたかどうかを確認するために、各セグメントに対して「確認応答(Acknowledgment)」を返す。
ACKフラグがセットされたパケットは、相手側から送られてきたデータに対する受信確認を行うために用いられる。
接続確立(3ウェイハンドシェイク)後は、すべてのパケットにACKフラグが含まれる。

1-3. PSHフラグ

PSHフラグとは、送信側が「このデータはため込まずに、すぐにアプリケーション層へ渡して欲しい」という意図を示すもの。
これにより、受信側は受信バッファにため込んだデータをすぐに上位層へプッシュ(転送)する。

下記2つのシーケンスは同じ意味になる。
右図では4の後にBからACKフラグのみが送信されているが、これはネットワークの状態(遅延ACKアルゴリズム)、またはB側のデータ準備状況に応じた実装の違いで見られることがある。
PSH Sequence 01    PSH Sequence 02
下記のシーケンスは誤り。接続確立後はすべてのパケットにACKフラグが含まれなければならないため、4にはACKフラグがないといけない。

1-4. FTPのモード

(1) アクティブモード
サーバー側が「アクティブ(能動的)」に接続を開始するモード。古くからある標準的な方式。
クライアント側のファイアウォールで「外からの接続」がブロックされることが多く、通信エラーになりやすい。
一方で、サーバ側で開放するポートが20と21に限定できるというメリットがある。
パッシブモードと異なり、データコネクションに使用するポートは限定できず、クライアントで1024〜65535のすべてのポートを開放する必要がある。
制御用コネクション: クライアントからサーバ(ポート21)へ接続
データコネクション: サーバ(ポート20)からクライアント へ接続

(2) パッシブモード
サーバー側が「パッシブ(受動的)」に待機し、クライアントから接続するモード。現在の主流となっている。
接続はすべて「クライアントから外(サーバー)へ」向かうため、クライアント側のファイアウォールに邪魔されにくい。
一方で、サーバ側でデータコネクション用に一定数のポートを開放する必要がある。
開放するポートは、サーバソフトの設定で指定可能(例:50001〜59999に限定する)。
制御用コネクション: クライアントからサーバ(ポート21)へ接続
データコネクション: クライアントからサーバ(ランダムなポート)へ接続

1-5. DTEとDCE

(1) DTE データ端末装置
ネットワークの末端に位置し、ユーザーのデータを送信・受信するデバイス。
役割 データの「発生源」または「最終目的地」
具体例 PC、サーバー、ルーター

(2) DCE データ回線終端装置
DTEをネットワーク(通信回線)に接続するための橋渡しをするデバイス。
役割 信号の変換(アナログ-デジタル間など)や、通信のタイミングを合わせる「クロック信号」の提供
具体例 モデム、CSU/DSU(デジタル回線用の回線終端装置)、ONU(光回線用の回線終端装置)

1-6. パケット交換技術

(1) X.25
1970年代に開発された、非常に歴史のあるパケット交換通信の規格。
OSI参照モデルのレイヤー1〜レイヤー3にまたがる。
「信頼性の低い回線用」「低速」「オーバーヘッド大」というキーワードで覚えておくこと。
特徴 強力なエラー訂正機能を持つ。
当時の通信回線はノイズが多く品質が悪かったため、ネットワーク内の各ノードでデータの誤りがないか逐一チェックし、再送制御を行っていた。
デメリット チェックが多すぎるため、オーバーヘッド(遅延)が大きく低速。

(2) フレームリレー
X.25を簡略化し、1990年代に普及した高速なパケット交換技術。
OSI参照モデルのレイヤー1〜レイヤー2で動作。
「X.25の後継」「オーバーヘッド小」「高速」「レイヤー2」というキーワードで覚えておくこと。
特徴 エラー訂正を省いた「やりっぱなし」通信。
光ファイバーなど回線品質が向上したため、ネットワーク内でのエラーチェックを廃止。
エラーがあれば単にパケットを「破棄」し、エラー訂正は上位層のTCPなどに任せる。
PVC(仮想的な専用線)を構築して通信する。

(3) ATM (Asynchronous Transfer Mode)
パケットではなく「セル」と呼ばれる53バイト固定長の単位で通信する技術。
フレームリレーよりもさらに高速・低遅延を狙ったもの。
「53バイト固定長セル」というキーワードで覚えておくこと。

(4) MPLS (Multi-Protocol Label Switching)
IPパケットに「ラベル」を付加して転送することで、高速・高信頼なルーティングを実現する通信技術。
IPアドレスでの宛先検索ではなく、ラベルに基づく高速なスイッチングを行うため、IP-VPNや優先制御(QoS)に利用され、企業WANなどで広く採用されている。

特徴・メリットとデメリット
高速・効率的 ラベルによる高速な転送(ラベルスイッチング)が可能。
高信頼・QoS対応 帯域確保やQoS(通信の優先度付け)が容易で、音声や動画など重要な通信に適している。
セキュアな閉域網 IP-VPNとして提供されるため、インターネットとは区別された安全な通信が可能。
高速再ルート (FRR) 故障発生時に代替パスへ迅速に切り替える機能(ファストリルート)がある。
高いコスト キャリア閉域網を使用し、品質と安定性が非常に高いが、コストが高く導入に時間がかかる。
MPLSの仕組み
1. ラベル付加 ネットワークの入口(LER:Label Edge Router)で、パケットにラベルを付加。
2. ラベル転送 ネットワーク内(LSR:Label Switching Router)ではラベルを元に通信を転送。
3. ラベル除去 ネットワークの出口でラベルを外す。

関連用語
PVC (Permanent Virtual Circuit) 常に確立されている仮想回線。
SVC (Switched Virtual Circuit) 通信のたびに確立される仮想回線。
CIR (Committed Information Rate) 混雑時でも通信事業者が保証する最低通信速度。

1-7. EUI (Extended Unique Identifier)

ネットワーク機器の物理アドレス(MACアドレス)などを拡張・生成するための規格。特に EUI-64 が重要。
EUI-64 IPv6において、48ビットのMACアドレスをベースに64ビットのインターフェースIDを自動生成する際に使われる。
仕組み MACアドレスの真ん中にFFFEという16ビットを挿入し、特定のビットを反転させる。
プライバシーの懸念 MACアドレスがIPアドレスの一部として公開されてしまうため、個人の追跡が可能になるリスクがある。
現代ではランダムなIDを生成する一時アドレスが推奨されている。

1-8. スペクトラム拡散方式

無線通信(Wi-Fiなど)で、本来必要な帯域よりもずっと広い周波数帯に信号を薄く引き延ばして送る技術。
耐干渉性・耐ノイズ性 特定の周波数に強いノイズ(ジャミング)が入っても、信号の一部しかダメージを受けないため、受信側で元のデータを復元できる。
秘匿性 (傍受の困難さ) 信号が広帯域に薄く散らばっているため、正しいコード(鍵)を知らない第三者には、ただの背景ノイズにしか見えない。
多重アクセス 同じ周波数帯を、異なるコードを使って複数のユーザーが同時に利用できる(CDMA技術の基礎)。

DSSS 直接拡散スペクトラム拡散
仕組み 送信したいデータに「チップコード」と呼ばれる高速なビット列を掛け合わせることで、信号を広い周波数帯域に薄く引き伸ばして(拡散して)送信する。
メリット 耐ノイズ性
特定の周波数にノイズが入っても、信号全体の一部しか影響を受けないため、受信側で復元可能。

秘匿性
拡散コードを知らない第三者には、ただの背景ノイズにしか見えない。

FHSS 周波数ホッピング方式スペクトラム拡散
仕組み 送信側と受信側で、あらかじめ決められた「ホッピング・パターン」に従って、短い時間間隔で周波数を次々に切り替える。
メリット 耐干渉性
特定の周波数にノイズ(干渉)があっても、一瞬で別の周波数に移るため、通信全体が途切れるのを防げる。

秘匿性
ホッピング・パターンを知らない第三者が通信を傍受しようとしても、信号を追いかけるのが非常に困難。

DSSSとFHSSの違い
DSSSは広い帯域に信号を薄く広げる、FHSSは狭い帯域で周波数を次々に切り替える。

OFDM 直交周波数分割多重方式
周波数を直交させて重ね合わせ、効率を最大化する高速通信技術。
データを細かく分け、それぞれを異なる周波数(サブキャリア)に乗せる。
サブキャリア同士の周波数が「直交」するように配置されているため、周波数が一部重なっていても互いに干渉しない
現代のギガビット級Wi-Fiや高速モバイル通信は、この技術を用いられている。

OFDMA (OFD Multiple Access)
OFDMをさらに効率化したもの。Wi-Fi6(802.11ax)などで使用されている。
OFDMは「一度に一人のユーザー」にすべてのサブキャリアを割り当てるが、OFDMAは「一度の通信で複数のユーザー」にサブキャリアを小分けにして割り当てる。
多数のデバイスが同時に接続しても、順番待ち(遅延)が発生しにくくなる。

1-9. スーパーネット

複数の小さなネットワーク(サブネット)を一つにまとめ、大きなネットワークとして扱う技術。
すなわち、ルート集約のこと。

1-10. raw packet

OSの標準的なネットワーク機能(TCP/IPスタック)を通さず、アプリケーションがヘッダーから中身まで直接作り上げた生(Raw)のデータのこと。
通常、アプリケーションがデータを送る際、IPアドレスの付与やTCPのハンドシェイクなどはOS(カーネル)が自動で行う。開発者は「中身のデータ」だけを渡せば済む。
これに対し、raw packetを使用する場合は、アプリケーション側でIPヘッダー、トランスポートヘッダー、ペイロードをすべて自分で記述する必要がある。

使用用途
脆弱性スキャン・ペネトレーションテスト Teardrop攻撃のように、オフセット値をわざと重ねたパケットを作る。
NmapでSYNスキャン(コネクションを完了させない中途半端なパケット)を送る。
パケットキャプチャと分析 Wiresharkなどで流れている生データをそのまま読み取る。
独自のプロトコルの実装 標準的なTCP/UDP以外の特殊な通信を制御する。

セキュリティ上のリスク
IPスプーフィング 送信元IPアドレスを偽造したパケットを簡単に作成できる。
DoS攻撃 不正なヘッダーを持つパケットを大量に生成し、ターゲットのOSをクラッシュさせる。
OSによる制限 現代のOSでは、セキュリティ上の理由から、管理者権限(Root/Administrator)がないとraw socketを作成できないよう制限されている。

1-11. 各種プロトコル

(1) LPD (Line Printer Daemon)
ネットワーク経由で印刷ジョブを送信・管理するための古いプロトコル(TCP 515)。
認証機能が乏しく、偽装(スプーフィング)が容易。
また、バッファオーバーフローなどの脆弱性が報告されており、現代のネットワークでは通常、IPP (Internet Printing Protocol) などに置き換えられるべき。

(2) DNP3
産業用制御システム(ICS/SCADA)、特に電力や水道などの公共インフラで使用される通信プロトコル。
役割 制御センターのコンピュータ(マスター)と、現場の変電所などにあるリモート端末(アウトステーション)の間でデータをやり取りする。
セキュリティ上のリスク 元々セキュリティを考慮せずに設計されたため、暗号化や認証が不十分な場合が多く、攻撃者による不正な操作命令のリスクがある。

(3) L2F (Layer 2 Forwarding)
Ciscoによって開発された、初期のトンネリングプロトコル。
OSI参照モデルの第2層 データリンク層で動作する。
現在は同じ第2層プロトコルである L2TP (Layer 2 Tunneling Protocol) に統合・継承されており、単体で使われることはほとんどない。

(4) L2TP (Layer 2 Tunneling Protocol)
VPNなどで使用されるトンネリングプロトコル。
CiscoのL2FとMicrosoftのPPTPを統合して作られた。OSI参照モデルの第2層(データリンク層)をカプセル化して転送する。
L2TP自体には暗号化機能がなく、トンネルを作る機能しかない。

(4) PPTP (Point-to-Point Tunneling Protocol)
Microsoftなどによって提唱された、非常に普及した古いVPNプロトコル。
TCPポート1723を使用する。
暗号化にはMPPE(Microsoft Point-to-Point Encryption)を使用するが、現在では脆弱性が指摘されており、安全とは言えない。
IPsecやSSL-VPNに置き換えるべきレガシーなプロトコルとして扱われる。

(5) LTP (Lightweight Time Protocol)
非常にシンプルな時間同期プロトコル。
フル機能のNTPを動作させるだけの計算能力やメモリ、電力がないデバイスのために作られた。
認証機能がなく、タイムスプーフィング攻撃に対して脆弱、改ざんのリスクがあるなど、セキュリティ面の問題がある。

(6) SLIP (Serial Line IP)
電話線などのシリアル回線でIPパケットを転送するための古いプロトコル。
特徴 データのパケット化のみを行い、エラー訂正や認証機能、IPアドレスの自動割り当て機能などが一切ない。
現状 より高機能な PPP (Point-to-Point Protocol) に完全に置き換えられている。

(7) SLAP (Serial Line Authentication Protocol)
SLIPのような単純なシリアル接続に認証機能を追加しようとした古い試み。公式な標準として普及したものではない。
試験では、「SLIPには認証がない」という事実を強調するための比較対象や、ダミーの選択肢として現れることがある。

(8) PAP (Password Authentication Protocol)
ダイヤルアップ接続などで使われていた、最もシンプルな認証プロトコル。
ユーザー名とパスワードを暗号化せず「平文」で送信するため、セキュリティが低い。

(9) SPAP (Shiva Password Authentication Protocol)
かつての通信機器メーカー「Shiva」が開発した、PAPの独自拡張版。
パスワードを暗号化して送信するが、暗号化アルゴリズムが弱く、現代では安全ではない。
PAP(平文送信)よりはマシだが、CHAP(チャレンジ/レスポンス)よりは遥かに弱い、という立ち位置。

(10) EAP (Extensible Authentication Protocol)
PPPの認証プロトコルをさらに拡張し、パスワード以外の多様な認証方式(電子証明書、スマートカードなど)を利用可能にしたプロトコル。
ダイアルアップやVPN、IEEE 802.1Xの認証などで幅広く利用されている。

(11) CCMP
無線LAN(Wi-Fi)のセキュリティ規格であるWPA2/WPA3で採用されている強力な暗号化プロトコル。
暗号化アルゴリズムに AES を使用する。

1-12. VPNコンセントレーター

大量のVPN接続を効率的に処理するために特化した専用デバイス。
数百〜数千の同時接続ユーザーの暗号化・復号処理を高速に行い、ユーザー認証、トンネルの確立、IPアドレスの割り当てを一括管理する。
通常、ネットワークの境界(DMZや外縁部)に配置される。

1-13. リモートノードコントロール

リモートアクセスの形態の一つで、「リモートアクセスVPN」の別名。
遠隔地のPC(ノード)が、VPNを通じて社内ネットワークに「あたかもLANケーブルで直接繋がっているかのように」接続する方式。
PC自体に社内IPアドレスが割り当てられるため、ファイルの共有や社内アプリの利用が、ローカル環境と同じ感覚でできる。

1-14. ADFS (Active Directory Federation Services)

異なる組織(ドメイン)間や、オンプレミスとクラウドの間でシングルサインオンを実現するための、Microsoftのフェデレーションサービス。
自組織のパスワードを外部に送るのではなく、「アサーション(証明書のようなトークン)」を送ることでセキュリティを担保する。
仕組み SAML や OIDC といった標準プロトコルを使用する。
ユーザーは社内ADにログインするだけで、その認証情報を信頼している外部サービス(Microsoft 365, Salesforceなど)へ安全に受け渡すことができる。

1-15. ジッター

ネットワーク通信において、「パケットの到着時間のばらつき」のこと。
現象 パケットが一定の間隔で届かず、早まったり遅れたりすることで、通信が不安定になる。
影響を受ける通信 リアルタイム通信(VoIP、ビデオ会議、オンラインゲーム)で、音声の途切れや映像の乱れの原因となる。
対策 ジッターバッファを使用してパケットを一時的に蓄積し、一定の間隔で再生することで滑らかにする。

1-16. セルラー方式

通信エリアを「セル(細胞)」と呼ばれる小さな無線エリアに分割し、それぞれのセルに基地局を配置して通信を繋いでいく方式。
仕組み 周波数を再利用することで、限られた電波資源で多数のユーザーが同時に通信できるようにする。
ユーザーが移動しても、隣のセルへ通信をシームレスに引き継ぐ。

1-17. アドレスの種類

(1) APIPAアドレス
DHCPサーバーからIPアドレスを取得できなかった際に、OSが自身に自動的に割り当てるリンクローカルアドレス。
範囲 169.254.0.1 ~ 169.254.255.254
仕組み ARPを使用して、ネットワーク内で重複しないアドレスを自分で探して設定する。
特徴 同じハブやスイッチに繋がっているローカルな端末同士では通信できるが、ルーターを越えた通信(インターネットなど)はできない。

(2) RFC 1918 アドレス
インターネット上でルーティングされない、プライベートネットワーク専用のIPアドレスを定義した規格。
以下の3つの範囲が規定。
クラス 範囲 サブネットマスク 用途
クラスA 10.0.0.0 ~ 10.255.255.255 255.0.0.0 (/8) 大規模企業、データセンター
クラスB 172.16.0.0 ~ 172.31.255.255 255.240.0.0 (/12) 中規模組織
クラスC 192.168.0.0 ~ 192.168.255.255 255.255.0.0 (/16) 家庭内LAN、小規模拠点

1-18. クロストーク

通信ケーブルにおいて、隣接する信号線からの電磁波が干渉し、データが混ざったりノイズになったりする現象。
原因 ケーブル内のワイヤが適切に絶縁・保護されていない場合、一方の線に流れる電流が磁場を生み、隣の線に不要な信号を発生させる。
対策 ツイストペアを使用し、対になる線をねじることで磁界を打ち消し合う。また、シールド (STP) を施すことも有効。

1-19. RESTful API

Webサービス間でデータをやり取りするための、軽量でシンプルな設計スタイル(アーキテクチャ)。
HTTPメソッド(GET, POST, PUT, DELETE)を使用し、ステートレス(状態を保持しない)な通信を行う。
通常、通信の保護にはTLS、認可にはOAuth 2.0などが組み合わされる。
従来のSOAP(XMLベースで複雑)に代わり、現代のクラウド連携やマイクロサービスの主流となっている。

1-20. SONET

光ファイバーを利用した、高速かつ長距離の同期型デジタル通信の標準規格。
主に通信事業者の基幹網(バックボーン)で使用される。
二重のリング構造を持つことが多く、片方のラインが断線しても瞬時にもう一方で復旧する自己修復(Self-healing)機能がある。
可用性が極めて高く、WANの物理層を支える技術となっている。

2. セキュリティ

2-1. セキュリティとリスクマネジメント

2-1-1. 個人情報の種類

(1) 個人識別情報 (PII)
単体あるいは他の情報と組み合わせることで、特定の個人を識別できるあらゆる情報のこと。
(例:氏名、住所、電話番号、マイナンバー、運転免許証番号、メールアドレス)

(2) 保護された健康情報 (PHI)
PIIの中でも、特に健康状態、医療の提供、医療費の支払いに関する情報のこと。
(例:診断結果、処方箋の内容、通院履歴、手術歴、医療保険の加入状況)

(3) 個人金融情報 (PFI)
金融に関する情報のこと。
(例:銀行口座番号、暗証番号、資産状況)

2-1-2. データに関連する法規制・業界標準

(1) 一般データ保護規則 (GDPR)
世界で最も厳格と言われるEUの法律。EU域内の個人のデータが対象。日本企業でもEUにサービスを提供していれば対象となる。
「忘れられる権利」や、漏洩時に72時間以内の報告義務などがある。

主要な要素
・特定の明確で正当な目的のために情報を収集する必要性
・明言された目的の達成に必要な情報に限定して収集する必要性
・不意の破壊からデータを保護する必要性

権利
忘れられる権利 インターネット上の検索結果やSNS投稿などから、自分の過去の情報を削除するよう求めることができる権利。
アクセス権 自分のデータがどう使われているか「確認」する権利。
データポータビリティの権利 個人が組織に対して提供した個人データを、「構造化され、一般的に利用され、機械判読可能な形式」で受け取り、それを他の組織へ移行することを要求できる権利。
※取得(ダウンロード)、再利用(他のサービスで再利用)、転送(組織Aから組織Bへ送る)を要求できる。

(2) HIPAA 医療保険の相互運用性と責任に関する法律
米国におけるPHI保護の代名詞的な法律。医療機関、保険会社、およびそれらとデータをやり取りするITベンダー(クラウド事業者など)が対象となる。
データの暗号化や、誰がいつアクセスしたかの「監査証跡」を厳格に求める。

(3) カリフォルニア州消費者プライバシー法 (CCPA / CPRA)
米国カリフォルニア州の法律で、米国版GDPRとも呼ばれる。

(4) PCI DSS
クレジットカード情報を安全に取り扱うためのグローバルなセキュリティ基準。
下記2種類のデータが対象。認証データは取引の承認後にシステム内に「保存してはいけない」。
カード会員データ PAN(カード番号)、カード会員名、有効期限
認証データ(保存禁止事項) セキュリティコード (CVV2/CVC2)、PIN

最新のv4.0(2024年4月に完全移行)では、クラウドや多要素認証についての規則が追加された。
多要素認証(MFA)の強化 カードデータ環境へのアクセスにはMFAが必須。
フィッシング対策 フィッシング攻撃への防御策の導入。

(5) FERPA 家族教育権利とプライバシー法
「学生の教育記録(成績、出席状況、懲罰記録など)」のプライバシーを保護するための連邦法。「教育版HIPAA」と考えるとイメージしやすい。
対象 成績表、テスト結果、クラス名簿、出席状況、学費の支払い状況、健康診断結果(学校の保健室が管理するもの)
対象外 氏名、住所、電話番号、生年月日など「名簿情報」として扱われるもの

この法律では、以下の2つの権利を保証している。
閲覧・確認の権利 学校が保管している自分の教育記録を確認し、内容が不正確な場合は修正を求めることができる。
開示制限の権利 本人または保護者の書面による同意がない限り、学校は第三者に教育記録を開示してはいけない。

(6) SOX サーベンス・オクスリー法
投資家を保護するため、企業の財務報告の透明性と信頼性を確保する法律。
財務データが「正しく処理されていること」を証明するため、そのデータを扱うITシステムの管理が不可欠となる。
対象は米国証券取引所に上場している全企業(=株式公開会社)。

下記のセクションは実務に関わるので覚えておくこと。
302条 経営者の責任 CEOやCFOが財務報告の正確性を署名して保証しなければならない。
404条 内部統制の評価 財務報告に係る内部統制の有効性を評価し、監査人による証明を受ける必要がある。
(7) COPPA 児童オンラインプライバシー保護法
1998年に制定された米国の連邦法。
保護者の同意なしに子供の個人情報(名前、住所、メールアドレス、位置情報など)を収集・使用・開示することを禁止している。
対象は13歳未満の子供を対象としたウェブサイトやオンラインサービス、または子供から情報を収集していると知り得たサイト。

2-1-3. アメリカの法規制

(1) ランハム法
1946年に制定された、米国の商標法の根拠となる法律。
商標侵害や虚偽広告を禁止する。サイバースクワッティングなどの法的対抗手段として言及される。
対象:商標(トレードマーク)、サービスマーク
※サイバースクワッティング:他人の商標ドメインを不正に取得すること。

(2) グラス・スティーガル法
1933年に制定された、銀行業務(預金)と証券業務(投資)の分離を定めた法律。
1999年にGLBAによって、この分離規定の大部分が撤廃された。 その結果、金融グループが銀行・証券・保険を一体で扱えるようになり、巨大な顧客データを一元管理する必要が生じたため、情報保護を定めたGLBAの「セーフガードルール」が必要になった。

(3) グラム・リーチ・ブライリー法 (GLBA)
1999年に米国で制定された、金融機関が対象の法律。
顧客の「非公開個人情報(NPI)」の保護や「セーフガード(保護措置)」の確立を義務付けている。
主要なルールは下記の3つ。
金融プライリバシールール 金融機関が顧客の「非公開個人情報(NPI)」をどのように収集し、共有するかを顧客に通知する義務。
顧客には、情報を第三者と共有させない「オプトアウト(拒否)」の権利が与えられる。
セーフガードルール 顧客情報を保護するための情報セキュリティプログラムを策定・実施・維持することを義務付けている。
技術的な対策(暗号化など)だけでなく、管理的な対策(従業員のトレーニングなど)も含む。
プレテキスティング防止規定 ソーシャルエンジニアリングの一種である「なりすまし」によって顧客情報を不正に取得することを禁止する。

(4) GISRA
2000年に制定された政府情報セキュリティ改革法。米国の政府機関に対して、情報セキュリティの計画、実施、報告を義務付けた法律。
2年間の限定的な法律だったため、現在はFISMAに取って代わられている。「FISMAの前身」と覚えておけば良い。

(5) FISMA
2002年に制定(2014年に改正)された、連邦情報セキュリティマネジメント法。政府系コンプライアンスの最重要項目。
対象 米国の連邦政府機関、および政府と契約している民間企業
要件 ・情報システムの棚卸し
・情報の機密性・完全性・可用性(CIA)に基づく分類
・セキュリティ管理策の実施
・NISTのガイドラインに従うこと
FISMAを遵守するために使用されるのが、NISTが発行するSPシリーズ。
NIST SP 800-12 コンピュータセキュリティの概論
NIST SP 800-34 緊急時対応計画
NIST SP 800-37 リスクマネジメントフレームワーク
NIST SP 800-53 連邦情報システム向けのセキュリティ管理策
NIST SP 800-86 インシデントレスポンスへのフォレンジックス技法の統合に関するガイド
NIST SP 800-137 ISCM (Information Security Continuous Monitoring)
定義、確立、実装、分析と報告、対応、レビューと更新のプロセスを踏む

関連用語
NIST SP 800-53などのセキュリティ管理策を組織に適用する際のプロセスとして、スコーピングとテーラリングがある。
スコーピング (範囲設定) どのシステムや資産が「管理策の対象か」を決定すること。
ベースラインのコントロールを保護対象のITシステムに一致させるときに行われる。
不要な管理策を除外する作業も含む(例:無線を使っていないシステムに対する無線セキュリティ設定)。
テーラリング (調整) 選択した管理策を、組織の「個別のニーズ」や「リスク許容度」に合わせて細かくカスタマイズすること。
基本的な管理策(ベースライン)を、より厳しくしたり、代替手段を検討したりする。

(6) デジタルミレニアム著作権法 (DMCA)
1998年に米国で制定された、著作権をデジタル時代に合わせて保護するための法律。
セキュリティ研究者が脆弱性を調査するためにDRM(デジタル著作権管理)を解析することが、この法律に抵触する可能性があるという議論がよくなされる。
ユーザーの一過性のアクティビティ(ネットワーク経由での情報伝送)に対して、プロパイダーは責任を負わない。
主要なポイントは下記2点。
アクセス制御の回避禁止 著作物を守るための「技術的保護手段(コピーガードなど)」を回避したり、回避するツールを配布したりすることを禁止。
セーフハーバー条項 YouTubeなどのISPを対象とした条項。
ユーザーが著作権侵害を行っても、著作権者からの通知を受けて即座に削除すれば、法的責任を免除されるという規定。

(7) 米国輸出管理法規
米国は、国家安全保障上の理由から、特定の技術が「敵対国」や「テロ支援国家」に渡ることを厳しく制限している。
重要な枠組みは下記の2つ。

1. ITAR (International Traffic in Arms Regulations)
対象 軍事用・防衛用の技術や製品(武器、軍事用暗号など)。
管理担当 国務省が担当。
非常に厳格で、米国外の人間(Non-US Person)に技術情報を共有するだけで「輸出」とみなされる。
2. EAR (Export Administration Regulations)
対象 民生用・軍事用の両方に使われる「デュアルユース(二重用途)」技術。
管理担当 商務省が担当。
一般的な商用暗号ソフトやコンピュータは、このEARに基づいて管理される。

(8) Wassenaar Arrangement
米国の法律ではないが、米国を含む多くの国(日本も含む)が参加する国際的な輸出管理の枠組み。
通常兵器やデュアルユース品(暗号技術、監視ツールなど)の輸出を国際的に管理し、テロリストや懸念国への拡散を防ぐ。
「国際的な輸出管理」「デュアルユース」「暗号の輸出制限に関する多国間合意」というキーワードで覚えておくこと。

(9) プライバシーシールド協定 (EU-US プライバシーシールド)
EUと米国の間で個人データを転送するための枠組み。現在は無効と判断されている。
背景 米国などの、EUの厳しいプライバシー保護(GDPR等)の基準を満たさない国へデータを送るための「安全な架け橋」として作られた。
現状 2020年のシュレムスII判決により、米国の監視法がEUのプライバシー権を侵害しているとして、プライバシーシールドは無効化された。
現在の代替手段 標準契約条項(SCC)や、新しく合意された「データプライバシーフレームワーク(DPF)」が使用されている。

(10) 経済スパイ法 (Economic Espionage Act / EEA)
営業秘密の窃取を連邦犯罪として処罰する法律。
2016年には、営業秘密侵害に対する民事執行を連邦裁判所で可能にする「営業秘密防衛法(DTSA)」がEEAの一部として制定され、企業が営業秘密侵害訴訟を起こしやすくなった。
主に以下の2つの条項から構成されている。
第18 U.S.C. § 1831 (経済スパイ) 外国政府やその代理人に利益をもたらす意図または認識を持って営業秘密を盗用する行為を対象とする。
個人の場合、最高で懲役15年および罰金500万ドルが科される。
第18 U.S.C. § 1832 (営業秘密の窃盗) 外国政府の関与がなく、商業的な利益を得る目的での営業秘密の窃盗を対象とする。
個人の場合、最高で懲役10年が科される。

(11) CALEA 法執行のための通信支援法
警察やFBIなどの法執行機関が、裁判所の許可を得た場合に、スムーズに合法的な傍受ができるよう、通信事業者に設備提供を義務付ける法律。
ECPAが「盗聴禁止」なら、CALEAは「捜査協力のためのバックドア(法的窓口)確保」という対の関係になる。

(12) プライバシー法 (Privacy Act of 1974)
政府が個人の情報をどのように収集、維持、使用、普及させるかを規定したもの。
民間企業ではなく「米国政府機関」による個人情報の扱いを制限する法律であるという点が特徴。

(13) ECPA 電子通信プライバシー法
通信の傍受や、保存された電子通信へのアクセスを制限する法律。
1986年に制定され、当初は「電話」がメインだったが、現在はメールやクラウド上のデータにも適用される。

(14) CFAA コンピュータ不正行為防止法
コンピュータへの不正アクセスや、それによる情報の窃取、破壊行為を罰する主要なサイバー犯罪法。
連邦政府のコンピュータ、あるいは「州間・国際的な商取引に関わるコンピュータ(=実質すべてのネット接続PC)」が対象。
悪意を持って、連邦政府コンピュータシステムに年間$5,000を超える損害を与えると、連邦政府に対する犯罪となる。

(15) HITECH法
HIPAAを拡張・強化したもの。医療情報の「電子化」に伴うプライバシー保護を強化した。
特に、データ漏洩時の「通知義務」を厳格化した点が重要。

2-1-4. コモンクライテリア

コモンクライテリア(Common Criteria, CC)は、IT製品・システムのセキュリティ機能を評価する国際規格(ISO/IEC 15408)。
IT製品が指定されたセキュリティ機能を正しく実装しているか、第三者機関が評価・認証することを目的とする。

(1) 保護プロファイル (PP)
IT製品のセキュリティ機能を評価するための国際規格であるコモンクライテリア(ISO/IEC 15408)において「ある特定の製品カテゴリーに対して、共通して求められるセキュリティ要件」をまとめた文書。
作成元 ユーザー、政府機関、業界団体など
内容 理想の要件、特定のメーカーに依存しない、製品カテゴリーごとの基準

(2) セキュリティターゲット (ST)
特定のIT製品が「どのようなセキュリティ機能を持ち、どのような脅威から守るのか」を具体的に宣言した文書。
PPが「理想の要件」であるのに対して、STは「実際の仕様」であり、メーカーからの回答書にあたる。
作成元 メーカー
内容 実際の仕様、PPの要件を自社製品がどう実現しているか記述

関連用語
Target of Evaluation(TOE) 評価対象範囲(どこまでがセキュリティの対象か)の定義
セキュリティ機能要件(SFR) 具体的な機能レベルの要求(例:パスワードは8文字以上、ロックアウト機能など)
セキュリティ保証要件(SAR) 開発プロセスやテストが正しく行われたことを証明するための要求
評価保証レベル(EAL) その製品がどれだけ厳格に検証されたかを示す尺度
EAL1 機能テスト済み、セキュリティリスクが低い製品
EAL2 構造テスト済み、一般的な商用製品
EAL4 手法的設計・テスト・確認済み、多くの商用製品の最高到達点(Windowsやデータベースなど)
EAL7 形式的検証済み設計・テスト済み、軍事などの極めて高い機密性が求められるインフラ

2-1-5. NIACAP

米国の政府機関で使用されていた「認証(Certification)」と「認定(Accreditation)」のプロセス。
現在は「NIST RMF (Risk Management Framework)」や「DIACAP」を経て、より現代的な枠組みに統合されている。
Certification(認証) システムが所定のセキュリティ要件を満たしているか、技術的に評価すること
Accreditation(認定) 認証結果に基づき、経営者(責任者)がシステム運用に伴うリスクを正式に受け入れること

2-1-6. データガバナンスのポジション

(1) 最高データ責任者 (CDO)
組織全体の方針を決めるリーダー。経営層として、データ活用の戦略を立て、予算や人員を確保する。
データのビジネス価値の最大化と、法的リスク(GDPR等)への最終責任を役割とする。

(2) データオーナー
各業務部門でデータの「持ち主」となる責任者。特定の業務領域(営業、人事、財務など)のデータの法的・ビジネス的責任を負う部門長クラス。
データの利用許可(アクセス承認)と、そのデータがビジネス的に正しいことを保証する。
データスチュワードに指示を出すポジション。

(3) データスチュワード
データオーナーの意思を受け、現場でデータの中身を管理する実務責任者(データの現場監督)。
メタデータの整備、データ品質のチェック、現場へのルール徹底などを行う。
戦略(CDO)と技術(データ管理者)の間に立ち、データが「使い物になる状態」を維持する最も稼働が高いポジション。

関連用語
メタデータ 「データについてのデータ」のこと、データの内容・作成日時・作成者・形式などを記述したデータ。

(4) データ管理者
主にIT部門のエンジニア。データの「格納場所(データベースやサーバ)」を技術的に守る。
セキュリティ(暗号化)、バックアップ、可用性の確保、パフォーマンス管理を行う。
日常的なデータ取り扱いのタスクを任されている。

(5) データアナリスト / データサイエンティスト
整備されたデータを使って分析を行う利用者。
データからのインサイト抽出、ビジネス課題の解決を行う。

(6) データプロセッサー
データ管理者から委託を受け、その指示に基づいて個人データを処理する外部の組織や個人などの実務者。
クラウドサービスプロバイダー(AWS, Azureなど)、給与計算代行会社、データ分析会社など。
管理者が「何を、なぜ処理するか」を決めるのに対し、プロセッサーは「(技術的に)どう処理するか」を実行する。

(7) 管理者
システム全体のインフラやプラットフォームを管理する広範な役割。
データへのアクセスと取り扱いの許可割り当てを行う。

(8) 上級管理者
事業継続計画において複数の役割を果たす。
優先順位の設定、リソースの調達、チームメンバー間の論争の仲裁など。

2-1-7. リスクアセスメント手法

「定性的アセスメントでリスクの優先順位を決め、重要なものに対して定量的な分析を行う」というハイブリッドなアプローチが推奨される。
定量化は現実的には難しいため、可能な限り数値を取り入れつつ、判断には定性的な視点も加えるのが実務的なベストプラクティス。

(1) 定量的リスクアセスメント
数値を用いてリスクを客観的に測定する手法。経営層に対して「いくら損失が出るのか」「対策にいくらかけるべきか」を説明するのに適している。
具体的で客観的だが、計算が複雑で時間がかかり、正確なデータ(資産価値や発生頻度)の入手が困難。
SLE 単一損失予想期待値 1回の事故で失われる金額、SLE = 資産価値 (Asset Value) * EF
ARO 年間発生率 1年間にその脅威が何回起こると予想されるか
ALE 年間損失予想期待値 1年間で予想される総損失額、ALE = SLE * ARO
ROI 投資収益率 対策費用が妥当かを判断する指標、(対策前のALE - 対策後のALE) - 年間対策コスト = 節約額
EF 露出係数 「特定の脅威が発生した際、資産の何パーセントが失われるか」を表す割合
危険係数とも言う
損失額を資産額で除して計算する。

(2) 定性的リスクアセスメント
経験や主観に基づき「高・中・低」などのランクでリスクを評価する手法。
迅速に実施可能で数値化しにくい抽象的なリスク(評判などのダメージ)も扱えるが、評価者の主観に左右される。
リスクマトリックス 「発生可能性」と「影響度」を軸にした表を使ってリスクレベルを決定する
デルファイ法 専門家グループが匿名で意見を出し合い、合意形成を図るアンケート手法
ブレインストーミング / インタビュー 現場の担当者から直接リスクを洗い出す

(3) TVA
「脅威、脆弱性、資産」の頭文字を取ったもの。リスクアセスメントの基本構成要素。
Risk = Threat * Vulnerability * Assetと表現されることが多く、この3つを分析することをTVA分析と呼ぶ。
Threat(脅威) 脆弱性を悪用する可能性のある外部・内部の要因
例:ハッカー、地震、内部不正など
Vulnerability(脆弱性) 資産にある弱点
例:バグ、未施錠のドア、教育不足など)
Asset(資産) 守るべき価値のあるもの
例:データ、ハードウェア、人など

2-1-8. セキュリティ管理策

(1) 管理コントロール
組織のポリシー、手順、ガイドラインに関連する管理策。
経営層が定義し、人間の行動を規定するもの。
具体例:
・セキュリティポリシー、手順書(SOP)の作成
・セキュリティ意識向上トレーニング
・職務分離(SoD)や強制休暇

(2) 技術コントロール / 論理コントロール
ハードウェアやソフトウェアのメカニズムを用いて、システムやデータへのアクセスを制限する管理策。
コンピュータシステムが自動的に実行・強制するもの。
具体例:
・認証システム(パスワード、バイオメトリクス、MFA)
・ファイアウォール、IDS/IPS
・アンチウイルスソフト

(3) 物理コントロール
施設や設備などの物理的な環境を守り、人や物の侵入を制限・検知するための管理策。
現実世界で目に見える、触れることができる障壁。
具体例:
・フェンス、壁、鍵
・防犯カメラ(CCTV)
・警備員
・消火設備、バックアップ電源

関連用語
ジョブローテーション 従業員に定期的に異なる職務を担当させる、「不正の発見」と「属人化の防止」を目的とした管理的なセキュリティ対策。
同じ人間がずっと同じ権限を持ち続けると、不正を隠蔽しやすくなる。担当を変えることで、前任者の不正が発覚する可能性が高まる。
知る必要性 特定の業務を遂行するために、その情報を「知る必要がある人」にのみアクセスを許可する原則。
同じ「マネージャー」という権限を持っていても、業務上「知る必要がない」ため、Aプロジェクトの担当者はBプロジェクトの機密ファイルを見ることはできない。
職務分離 (SoD) 不正や誤りを防ぐため、1つの重要業務を複数人で分担し、相互牽制を働かせる内部統制の仕組み。
1人に権限を集中させないことで、資産の横領や操作ミスによるリスクを最小化する。

2-1-9. 事業継続計画

※BCPでもDRPでも、常に最優先されるのは「人命の安全(Life Safety)」

(1) 事業継続計画 (BCP)
災害やシステム障害などの緊急事態が発生した際に、「重要なビジネス機能を中断させない」、あるいは「許容範囲内の時間で再開させる」ための包括的な戦略。
ステップ1:プロジェクトの開始 ・経営陣からの承認と予算の確保
・プロジェクトチームの結成
ステップ2:ビジネス影響分析(BIA) ・どの業務が重要かを特定し、停止した場合の影響(損失)を評価する最重要プロセス
・ここで MTO、RTO、RPOなどの指標を決定する
ステップ3:戦略の開発 ・BIAで決めた目標(RTOなど)を達成するための具体的な方法を選ぶ
例:ホットサイトの契約、データのミラーリング、代替要員の確保
ステップ4:計画の策定 ・具体的な手順書を作成し、誰が、いつ、どこで、何をするか明文化
ステップ5:テスト、訓練、メンテナンス ・計画が実際に機能するかを確認、組織の変化に合わせて計画を更新し続ける

(2) 災害復旧計画 (DRP)
災害発生時に、停止したITシステムやネットワーク、データをどのように復旧・再開させるかに特化した計画。
目標 RTOとRPOを達成すること
活動内容 バックアップからのリストア、代替サーバーへの切り替え、ネットワークの再構成など

(3) 事業継続マネジメント (BCM)
BCPを維持・向上させるための「継続的なプロセス(ライフサイクル)」。一般的に、国際標準であるISO 22301に基づいたライフサイクルで説明される。
BCM = 仕組み、BCP = 成果物であり、BCMの枠組みの中でBCPを作るという関係になっている。
ステップ1:BCMプログラムの管理 ・経営陣による方針(ポリシー)の策定
・責任者の任命と予算の割り当て
ステップ2:組織の理解 ・BIAとリスクアセスメントを実施
・どの業務が優先順位が高いか、どの程度の中断が許容されるか(MTO/RTO/RPO)を明確化
ステップ3:事業継続戦略の決定 ・BIAの結果に基づき、コストと効果のバランスを考えて復旧戦略を選択
例:ホットサイトの導入やサプライヤーの多重化など
ステップ4:BCPの策定と実施 ・実際にインシデント対応計画や事業継続計画(BCP)を文書化
ステップ5:演習、維持、レビュー ・テストと訓練:計画が有効か検証
・監査と見直し:組織の変化(新しいシステムの導入など)に合わせて計画を更新

(4) 最大許容停止時間 (MTD Maximum Tolerable Downtime / MTO Maximum Tolerable Outage)
その業務やシステムが止まった際、「これ以上止まると致命的なダメージになる」という限界の時間。
同義語としてMAO(Maximum Allowable Outage)と呼ばれることもある。

(5) 目標復旧時間 (RTO / Recovery Time Objective)
災害や障害によって業務が停止してから、「システムや機能が再び利用可能になるまで」の目標時間。
業務が停止することによる経済的損失や、代替手段(手書き作業など)でどれくらい持ちこたえられるかによって決まる。
必ず RTO < MTO という関係が成立しなければならない。

(6) 目標復旧時点 (RPO / Recovery Point Objective)
障害が発生した際、「過去のどの時点までのデータなら失われても許容できるか」を指す。
主にバックアップの頻度を決定するための指標となる。
例:RPOが24時間であれば、1日1回のバックアップで済むが、RPOが0(データ消失不可)であれば、リアルタイムのミラーリングが必要

(7) 業務復旧時間 (WRT / Work Recovery Time)
業務が正常に再開できるまでの時間。
ITシステムが復旧しても、データの検証や設定の再投入などの時間が必要になる。
「RTO + WRT = 実際の復旧時間」となり、これがMTOを超えないように設計する。

(8) 平均故障寿命 (MTTF / Mean Time To Failure)
修理しない使い捨ての部品(電球など)や、次に故障するまでの稼働時間の平均。
数値が高いほど、製品の信頼性が高い。

(9) 平均修復時間 (MTTR / Mean Time To Repair)
故障が発生してから、修理が完了して復旧するまでの中断時間の平均。
数値が低いほど、保守性が高く、迅速な復旧ができる組織であることを示す。

(10) 平均故障間隔 (MTBF / Mean Time Between Failures)
修理可能なシステムや機器が、故障してから次に故障するまでに正常に稼働した時間の平均。
MTBF = 総稼働時間 / 総故障回数

(11) エスクローエージェント
中立な立場で「預かりもの」を管理する第三者のこと。

ソフトウェア・エクスロー
内容 ソフトウェア開発会社が倒産した場合に備え、ソースコードを第三者(エスクローエージェント)に預けておく仕組み。
目的 ベンダーがいなくなっても、ユーザー企業が自力で保守を継続できるようにするため(事業継続性)。
鍵エスクロー
内容 暗号化鍵の予備を第三者に預けておく仕組み。
目的 従業員が鍵を紛失したり、司法当局が法的にデータを復号する必要がある場合に備えるため。

(12) 重要レコードプログラム
BCPにおいて、「事業を再開するために絶対に欠かせない重要書類」を特定し、保護するための管理計画。
対象 財務記録、法的契約書、顧客名簿、知財、システム構成図など。
内容 これらの「重要レコード」を分類し、バックアップ(電子ボールディング等)を取り、安全な場所(耐火金庫や遠隔地)で保管・更新する手順を定める。

2-1-10. ガバナンスの計画

(1) 戦略的計画
組織の最も高いレベルで策定される、長期的なビジョン。
期間 長期(通常3〜5年)
策定者 経営層(上級管理職、ボードメンバー、CISOなど)
内容 組織の全体的なセキュリティ方針(ポリシー)の決定、大きな予算の確保、リスク許容度の設定。
=「どこに向かうのか」
(2) 戦術的計画
戦略を実現するために、より具体的な目標を定める中期的な計画。
期間 中期(通常6ヶ月〜1年)
策定者 中間管理職(ITマネージャ、セキュリティチームリーダなど)
内容 特定のプロジェクトの実施(例:次世代ファイアウォールの導入、全社的なMFAの展開)、リソースの割り当て。
=「戦略をどう具体化するか」
(3) 運用計画
日々の業務を円滑に進めるための、短期的かつ詳細な計画。
期間 短期(月次、週次、日次)
策定者 現場の担当者、管理者
内容 パッチ適用のスケジュール、バックアップの実施、アクセスログのレビュー、トレーニングの実施。
=「日々の防御をどう実行するか」
(4) 統括的計画
「統合的なセキュリティプログラム」や、IT全体の進むべき道を示す「ITマスタープラン」を指すことが多い。
役割 戦略・戦術・運用のすべてを包含し、矛盾がないように統合したもの。
特徴 異なる部門(人事、法務、ITなど)の計画を一つにまとめ、組織全体の事業継続性やコンプライアンスを保証する。

2-1-11. ITガバナンスのためのフレームワーク

(1) COBIT
ビジネス目標とITの整合性を重視し、「経営側の統制(何をすべきか)」に焦点を当て、ITをコントロールするための枠組みを提供する。
ISACA(情報システムコントロール協会)が策定したもので、ITの専門家だけでなく、経営陣や監査人が「ITが正しく使われているか」を確認するための共通言語を提供する。

5つの原則
1. ステークホルダーのニーズを満たす 組織の目的(利益、リスク最適化、リソース最適化)をバランスよく達成する。
2. エンタープライズ全体をカバーする IT部門だけでなく、組織の全領域にわたってガバナンスを適用する。
3. 単一の統合フレームワークを適用する 他の標準(ISO, ITIL, NIST等)と整合性を持たせ、一貫した管理を行う。
4. 包括的なアプローチを可能にする 「イネーブラー(可能にする要素)」を組み合わせて管理する。
5. ガバナンスとマネジメントを分離する ガバナンス(EDM):評価(Evaluate)・指示(Direct)・監視(Monitor)、経営層の仕事。
マネジメント(PBRM):計画(Plan)・構築(Build)・実行(Run)・監視(Monitor)、現場マネージャーの仕事。
7つのイネーブラー(Enablers)
ガバナンスを効果的に機能させるための7つの構成要素。
プロセス 業務の手順
組織構造 誰が決定権を持つか
原則・ポリシー・フレームワーク 行動の指針
情報 組織で扱われるデータそのもの
文化・倫理・行動 人々の意識
人材・スキル・能力 実行する人の質
サービス・インフラ・アプリケーション 使用する技術

(2) ITIL
ITサービスを効率的に管理・運用するためのベストプラクティス(成功事例集)。
焦点 ITサービスマネジメント(ITSM)
役割 「どうすればユーザーに価値のあるITサービスを安定して提供できるか」という運用の現場に焦点を当てる。
重要概念 サービスライフサイクル
1. サービス戦略
2. サービス設計
3. サービス移行
4. サービス運用
5. 継続的サービス改善 (CSI)

(3) ISO/IEC 27001 & 27002
情報セキュリティマネジメントシステム(ISMS)の国際標準規格。
ISO/IEC 27001 (要求事項) 組織がISMSを構築・運用・改善するための「ルール」を定めたもの。「認証」を受けるための基準。
ISO/IEC 27002 (実践の指針) ISO/IEC 27001で求められるセキュリティ対策を具体的にどう実施すべきかを示すベストプラクティス集(管理策のカタログ)。

(4) COSO
不正な財務報告を防ぐために策定された、「内部統制(Internal Control)」のフレームワーク。
焦点 財務報告の信頼性、コンプライアンス、業務の効率性
役割 セキュリティというよりは、会計やガバナンスの観点から「組織が正しく運営されているか」をチェック。
5つの構成要素 1. 統制環境 (Control Environment)
2. リスクアセスメント (Risk Assessment)
3. 統制活動 (Control Activities)
4. 情報とコミュニケーション (Information & Communication)
5. モニタリング活動 (Monitoring)

各フレームワークの使い分け
COBITを選ぶケース 経営戦略に基づいて、「ITをどう統制し、財務的な正当性を保つか」を定義したい場合。
・ITとビジネス目標を整合させたい
・ガバナンスとマネジメントを分離したい
・ステークホルダーのニーズをバランスよく満たしたい
ITILを選ぶケース 日々のパッチ適用、バックアップ、変更管理などの「実作業」を標準化したい場合。
・サービスデスクやヘルプデスクの効率を上げたい
・システムの変更管理の手順を確立したい
・SLA(Service Level Agreement)を管理したい
ISO/IEC27001 & ISO/IEC 27002を選ぶケース 決定された方針を具体的な「セキュリティ管理体制」に落とし込みたい場合。
・第三者機関による認証を受け、信頼を得たい
・ISMSを構築したい
・ベストプラクティスに基づいた管理策のリストが欲しい
COSOを選ぶケース 経営戦略に基づいて、「ITをどう統制し、財務的な正当性を保つか」を定義したい場合。
・財務報告の信頼性を確保したい
・SOX法への準拠が必要
・全社的な内部統制を強化したい

2-1-12. SSAE-18

サービス事業者(クラウド業者など)の内部統制を評価し、SOC(Service Organization Control)レポートを発行するための監査基準。
アウトソーシング先(サプライヤー)のリスク評価において、信頼できる証跡として扱われる。
SOC1 財務報告に焦点を当てた報告書
SOC2 セキュリティ、可用性、機密性などに焦点を当てた報告書(事業継続コントロールを含む)
SOC3 SOC2の要約版(一般公開用)

タイプ1とタイプ2
タイプ1 「特定の時点」の評価。
ある特定の日付において、管理策が適切に設計されているかを評価する。
「ルールが実際に守られ続けているか」までは証明できない。
タイプ2 「一定期間」の評価。
通常6ヶ月から1年といった「期間」にわたって、管理策が適切に設計され、かつ有効に運用されていたかを評価する。
実際の運用ログなどを詳しくチェックするため、タイプ1よりもはるかに信頼性が高い。運用状況の有効性を確認するにはタイプ2が必要。

2-1-13. 慎重な人間の原則

法的責任や「適切な注意」を定義する際の基礎となる考え方。一言で言えば、「同じ状況において、分別のある(慎重な)個人なら当然行うであろうレベルの注意を払っているか?」という判断基準のこと。
例えば、下記のような状況が考えられる。
・パッチ管理:重大な脆弱性が公開された際、慎重な管理者なら「すぐにパッチを当てる」か「代替策を講じる」
・バックアップ:重要なデータを扱っているなら、慎重な管理者なら「バックアップを取っておく」
・パスワード:慎重な管理者なら、サーバーのパスワードは「初期設定から変更する」

(1) 妥当な注意 (Due Care)
ある状況で慎重な人間が行うであろう、合理的かつ標準的な注意。
特定されたリスクに対して、実際に「行動する(守る)」こと。
具体例:
・調査で判明した脆弱性にパッチを適用する
・従業員にセキュリティ教育を実施する
・ファイアウォールを適切に設定・運用する
・リスクアセスメントの結果に基づいて対策を導入する

(2) 適切な注意 (Due Diligence)
責任ある当事者が、リスクを理解し、適切な決定を下すために行う調査や分析。
リスクを特定し、組織が何をすべきかを「知る(調べる)」ための継続的な努力。
「妥当な注意」より具体的な要素になっている。
具体例:
・新しいベンダーと契約する前に、その企業のセキュリティ体制を調査する
・システムを導入する前に、脆弱性診断を行う
・適用される法規制を特定する
・リスクアセスメントを実施すること自体

2-1-14. クォーラム認証

特定の操作を実行するために「m人の権限者のうち、最低n人が同意すること」を求める仕組み。別名「m of n 制御」。
例:5人の鍵管理者のうち、3人が集まらないとマスターキーを復元できない設定など。
「二人制制御(Dual Control)」を拡張した概念で、内部不正を防ぐ抑止力となる。

Fair Cryptosystems アプローチ
暗号鍵の管理における、鍵エスクロー(預託)の信頼性を高めるための手法。
クォーラム認証の考え方が使われる。
仕組み 秘密鍵を一つの場所に預けるのではなく、複数の信頼できる第三者(エージェント)に分割して預ける方法。
目的 単一のエスクロー業者が勝手に鍵を復元してデータを盗み見るのを防ぐ。
法執行機関などが鍵を必要とする際は、複数の分割片を集めなければならない。

2-1-15. 組織の運営

(1) フィットネス評価
ある人物が「職務に適しているか(誠実性や信頼性があるか)」を判断するプロセス全体。
主に採用時や重要な役職への昇進時に行う、バックグラウンドチェック、薬物検査、ソーシャルメディアレビューなど。

(2) 退職処理
1. アクセス権の即時停止 退職が決まった(または解雇を通告した)瞬間に、ネットワーク、クラウド、メール、VPNなどの全アカウントを無効化(Disable)する。
2. 物理資産の回収 貸与しているノートPC、スマートフォン、USBメモリ、IDカード、鍵などをすべて回収する。
3. 退職面談(エグジットインタビュー) 雇用時に署名した秘密保持契約(NDA)が退職後も有効であることを改めて説明し、再度署名を求めることもある。
4. 物理的アクセスの禁止 オフィスやサーバー室への入室権限を削除し、必要であれば守衛や受付に通知する。

(3) NCA 競業避止契約
従業員が退職後に、雇用主と競争する事業を行うことや、競合他社に転職して情報を利用することを防ぐ契約。
NDA (秘密保持契約)とセットで、「雇用契約の条項」として締結する。

2-1-16. セキュリティプログラム

人的セキュリティを強化するためのナレッジ転移。
(1) 意識啓発 (Awareness)
すべての従業員を対象とした、最も基本的で広範な活動。
情報セキュリティに関する最低限の理解の基準を確立する。
目的 「何が」脅威であるかを認識させ、個人の行動を変えること。
内容 「不審なメールは開かない」「離席時は画面をロックする」といった基本的なルールの周知。
特徴 短時間で繰り返し行う必要がある。ポスターやニュースレターなどが使われる。

(2) トレーニング (Training)
特定の役割(ロール)を持つ人々を対象とした、実務的なスキル習得活動。
職務を果たすためんい必要な知識を得られるようになっている。
目的 自分の業務を「どのように」安全に行うかのスキルを習得すること。
内容 開発者向けのセキュアコーディング、管理者向けのファイアウォール設定手順など。
特徴 ワークショップやハンズオン形式が多く、具体的な「やり方」に焦点を当てる。
(3) 教育 (Education)
リーダーやスペシャリストを対象とした、理論的・概念的な学習活動。
目的 「なぜ」その対策が必要なのか、背景にある原理原則を理解すること。
内容 リスクマネジメント理論、法規制の背景、セキュリティアーキテクチャの設計思想。
特徴 大学の学位やCISSPのような認定資格の学習が該当する。長期的な視点での判断力を養う、

2-1-17. TCSEC

1980年代に米国国防総省が策定した、コンピュータシステムのセキュリティ評価基準。通称「オレンジブック」。
軍用調達においてコンピュータ製品の安全性・信頼性を評価するために作られた。
欧州のITSECや米国のCTCPEC等と統合され、現在の国際標準であるCC(Common Criteria / ISO/IEC 15408)へと発展した。
D(最低)から A(最高)までの階層がある。
D セキュリティ機能がない。
C1 ユーザーごとのアクセス制御(DAC)を実装。
C2 C1に加え、監査記録(オーディット)やユーザーごとのログ機能。
B1 ラベル付けされたセキュリティ保護(MAC:強制アクセス制御の導入)。
B2 MACに加え、隠れチャネルの分析が必要。
B3 セキュリティ監視機能の強化。
A1 設計の正当性を数学的・形式的に検証。

2-2. 資産のセキュリティ

2-2-1. データラベリング

情報の分類に基づき、データに物理的・論理的なタグ(ラベル)を付与すること。
システムや人間が、そのデータの機密レベルを一目で判断できるようにする。

政府・軍用の分類
主に国家安全保障への影響度によって階層が決まる。
最高機密 (Top Secret) 漏洩した場合、国家安全保障に「重大な損害」を与える恐れがある情報。
機密 (Secret) 漏洩した場合、国家安全保障に「深刻な損害」を与える恐れがある情報。
部外秘 (Confidential) 漏洩した場合、国家安全保障に「損害」を与える恐れがある情報。
非機密 (Unclassified) 機密指定されていない情報。ただし、公開して良いとは限らない。

民間用の分類
企業活動における競争優位性や、法的・プライバシー上のリスクによって決まる。企業によって名称は異なるが、下記の4段階が一般的。
専有 (Proprietary) 営業秘密。漏洩すると企業の存続や利益に致命的な打撃を与えるもの。
例:新製品の設計図、未発表の買収計画
プライベート (Private) / 重要 (Sensitive) 内部ビジネスデータ。PIIやPHIなど、漏洩すると法的罰則やプライバシー侵害のリスクがあるもの。
例:社員の給与、住所、顧客名簿、組織図、社内電話帳、社内会議の議事録
公開 (Public) 顧客と共有する情報。誰が見ても問題がない情報。
例:プレスリリース、製品カタログ、公式サイトの内容

2-2-2. データの保存

(1) データ残留
ストレージからデータを削除したり初期化したりした後も、物理的な媒体上に残っている「データの断片」のこと。
多くのOSでは削除操作をしても、実際にはデータのインデックスを消しているだけで、実データは上書きされるまで残り続けるため発生する。

(2) データ侵害
セキュリティ上の事故により、機密情報が盗まれる・漏洩する・閲覧される・改ざんされるといった事態になること。

(3) ビット腐敗
保存されているデータが時間の経過とともに壊れてしまう現象。データのビットが何らかの物理的な理由で勝手に反転してしまうこと。
磁気の変化、絶縁体の劣化、宇宙線、メディアの物理的劣化などの原因により発生する。

(4) データ風化
ビット腐敗を含む、デジタルデータが読み取り不能になっていくプロセス全般を指す広義の言葉。

(5) データスクラビング
ストレージ(特にRAIDやZFSなどのファイルシステム)が、バックグラウンドで定期的にデータを読み取り、チェックサムを用いてエラーがないか検査・修復する機能。

(6) データ保持ポリシー
組織がデータを「いつまで保管し」「いつ破棄するか」を定めた内部規定。
目的 ・法律(税法、雇用法、HIPAAなど)で定められた期間、証拠を保持する(=法令遵守)
・不要なデータを持ち続けることで、漏洩時のダメージが拡大するのを防ぐ(=リスク削減)
・ストレージ費用の節約(=コスト削減)
リーガルホールド 訴訟が予想される場合、通常の保持期限に関わらずデータの破棄を一時停止し、証拠を保存しなければならない。

2-2-3. データの消去

(1) ゼロフィル
ストレージの全領域に「0」を書き込む処理。クリアリングの手法の1つ。

(2) クリアリング
標準的な読み取りツールでは復元できないようにデータを上書きする処理。キーボードからの操作やソフトウェアによる上書き(オーバーライト)が一般的。
同じ組織内(部署移動など)でストレージを再利用する場合に適している。
高度な研究室レベルの設備(磁気顕微鏡など)を使えば、残留磁気からデータが復元される可能性がわずかに残る。

(3) パージング
消磁により磁気記録を完全に破壊する処理。組織外への譲渡や、機密性の高いデータの完全な抹消の際に使用する。
消磁とは、磁化した金属や磁石から磁気を取り除き、0にする処理のこと

(4) サニタイズ
不要になった媒体からデータを完全に消去し、いかなる手段(フォレンジック調査など)を用いても復元できないようにする一連のプロセス。
クリアリング、パージング、破壊を行う。

データ消去方法比較
手法 強さ 再利用 主な実施内容 復元の可能性
OS操作による削除 極小 可能 インデックスのみ消去 容易(市販ソフトで復元可能)
ゼロフィル 低〜中 可能 全領域に「0」を書き込む 困難(市販ソフトで不可)
クリアリング 可能 ソフトウェアによる上書き 困難(残留磁気の解析が必要)
パージング 不可 消磁や鍵破棄 ほぼ不可能(物理的復元も不可)
物理破壊 最高 不可 シュレッダー、溶解、破砕 不可能

2-2-4. データ損失防止 DLP

データのライフサイクル全体を通じて機密情報の漏洩を防ぐための技術的コントロール(=機密性の確保が目的)。
一言で表すと、機密データが組織の外に出ようとするのを検知して阻止する仕組み。
データがどのような状態にあるときにDLPが機能するかを区別する必要がある。

・Data in Use (使用中のデータ)
場所 エンドポイント(PCやサーバ)のメモリ上。
対策 USBメモリへのコピー禁止、プリントスクリーンの制限、クリップボードからの貼り付け防止など。
実行形態 各PCにエージェントをインストールし、USB接続やアプリケーションの挙動を監視。
・Data in Motion / Transit (移動中のデータ)
場所 ネットワーク上(ゲートウェイ)。
対策 送信メールの添付ファイルのスキャン、HTTP / HTTPS通信(Webアップロード)の監視と遮断。
実行形態 ネットワークの出口(ゲートウェイ)に配置し、全ユーザーの通信を監視。
・Data at Rest (保存中のデータ)
場所 ストレージ、ファイルサーバー、データベース、クラウド。
対策 保存されているファイルの中に機密情報(マイナンバー、クレジットカード番号など)が含まれていないかスキャンし、必要に応じて隔離や暗号化を行う。
実行形態 SaaS内のデータをスキャンし、外部共有を制限。

DLPが「これは機密データだ」と判断する方法(DLPの検知手法・コンテンツ分析)はいくつかある。
パターンマッチング クレジットカード番号や正規表現を使って特定の形式のデータを探す。
データベース指紋 データベース内の特定のフィールドと照合する。
ファイル指紋 ファイル全体のハッシュ値を記録しておき、そのコピーが流出しようとした際に検知する。
キーワード・メタデータ 「機密」「社外秘」といった単語や、ファイルに付与されたラベル(分類タグ)を確認する。

EDM (Exact Data Matching)
データ漏洩防止(DLP)で使用されるデータ検出技術。
仕組み 守るべき具体的なデータの「ハッシュ値」を作成して登録しておく。
特徴 ネットワークを流れるデータの中に、登録された「正確な(Exact)」値と一致するものがあるか照合する。
メリット キーワード検索(例:「カード番号」という言葉を探す)よりも、実際の機密データの流出を高い精度で検知できる。

2-2-6. MDM (Mobile Device Management)

組織が所有、または業務利用(BYOD)されるスマートフォンやタブレットを遠隔から一元管理する技術。

主な機能
リモートワイプ 紛失時にデータを遠隔消去する。
ポリシー強制 パスコード設定の義務化や、特定アプリの使用禁止。
資産管理 OSのバージョンや導入アプリの把握。

2-2-5. ストレージのセキュリティ

(1) オーバープロビジョニング領域 (ウェアレベリング領域)
主にSSDなどのストレージにおいて、ユーザーからは見えない「予備の記憶領域」のこと。
書き込み速度の維持と、製品寿命の延長(ウェアレベリング)のために存在する。
通常の方法でデータを消去しても、この領域にデータが残ってしまう可能性があり、ストレージ全体を物理的に破壊するか、コントローラレベルでの「消去コマンド」を実行しなければならない。

(2) スラック領域
ファイルがセクターやクラスターのサイズにぴったり収まらないために生じる「未使用の余白」のこと。
仕組み ファイルシステムはデータを「クラスター」という固定単位で管理する。
例えばクラスターが4KBの場合、1KBのファイルを保存しても、4KBのクラスターが一つ占有される。
この時、残りの3KBの隙間がスラック領域となる。
セキュリティ上のリスク ・情報の隠蔽
攻撃者や内部不正者が、この「余白」に秘密のデータを隠すことがある。通常のOS(エクスプローラーなど)からは見えない。

・データ漏洩
保存されていた古いデータの破片がこの領域に残っている場合があり、フォレンジックツールで復元される可能性がある。

(3) 不良セクターとスペアセクター
不良セクター 物理的な損傷や磁気劣化により、データの読み書きができなくなったセクター。
スペアセクター 不良セクターが発生した際に代わりに使用するために、あらかじめドライブ内に用意されている予備の領域。
セキュリティ上のリスク ドライブの制御チップ(コントローラ)は、不良セクターを見つけると自動的にスペアセクターへデータを移し、不良箇所を隠蔽する。
通常の消去ソフトでは、この「隠された不良セクター」にアクセスできないため、機密データが物理的に残ってしまうことがある。

2-3. セキュリティアーキテクチャーとエンジニアリング

2-3-1. 古典的セキュリティモデル

(1) サブジェクト・オブジェクトモデル
「誰が(サブジェクト)」「何に(オブジェクト)」アクセスするかを整理するための枠組み。セキュリティモデルのベースとなる考え方。
サブジェクト データにアクセスしようとする能動的なエンティティ(例:ユーザー、プログラム)。
オブジェクト サブジェクトによってアクセスされる受動的なリソース(例:ファイル、データベース、メモリ領域)。

(2) Bibaモデル
データの「完全性を重視する」モデル。信頼性の低いデータが、信頼性の高いデータに混ざらないようにする。一言で表すと「下のガセネタを信じるな、上の重要書類を汚すな」となる。
No Read Downは「単純完全性属性(Simple Integrity Property)」、No Write Downは「*完全性属性(*-Integrity Property)」という原則で呼ぶ。
No Read Down (NRD) 自分より低い整合性レベル(信頼できない情報源)のデータは読めない。
No Write Up (NWU) 自分より高い整合性レベルのデータに書き込んではいけない。

(3) Bell-LaPadulaモデル (BLPモデル)
軍隊などでよく使用される「機密性を重視する」モデル。高い権限を持つ人が、低い権限の情報を漏らさないようにする。一言で表すと「上の秘密を盗み見るな、下のやつにバラすな」となる。
No Read Upは「単純セキュリティ属性(Simple Security Property)」、No Write Downは「*セキュリティ属性(*-Security Property)」という原則で呼ぶ。
No Read Up (NRU) 自分より高いセキュリティレベルのデータは読めない。
No Write Down (NWD) 自分より低いセキュリティレベルにデータを書き込んではいけない。

(4) Clark-Wilsonモデル (商用完全性モデル)
Bibaモデルよりも実務的なビジネス用途を想定したモデル。単にレベルで分けず、「職務分掌」や「監査証跡」の概念を取り入れている。
ユーザーが直接データをいじるのではなく、必ず「適切な手続き(プログラム)」を介して操作することで、不適切な変更を防ぐ。
職務分掌 一人のユーザーが最初から最後まで全ての操作を完結できないようにする。
監査証跡 「誰が、いつ、どのプログラム(TP)を使って、どのデータ(CDI)をどう書き換えたか」という一連のプロセスを、後から完全に再現・検証できるように記録すること。

関連用語
TP (Transformation Procedures / 変換手続き) データを操作するための特定のアプリケーションやソフトウェア。
CDI (Constrained Data Items / 制限付きデータ項目) TPを通じてのみ操作が許される重要なデータ。
UDI (Unconstrained Data Items / 制限なしデータ項目) このモデルの管理外にある、重要度の低いデータ。
IVP (Integrity Verification Procedures / 完全性検証手続き) データが正しいかチェックする仕組み。

(5) Brewer-Nashモデル (チャイニーズウォール)
利益相反を防ぐための動的なモデル。ユーザーが過去にどのデータにアクセスしたかに基づいてアクセス権を変える。
例: A社のコンサルティングをしている担当者は、競合であるB社の機密データにはアクセスできなくなる。

(6) Harrison-Ruzzo-Ullmanモデル (HRUモデル)
アクセス権の管理そのものに焦点を当てたモデル。
オブジェクト(ファイルなど)の作成や削除、権限の譲渡など、アクセス制御行列の「整合性」を数学的に定義している。

(7) Graham-Denningモデル
アクセス制御の「動作」を定義する形式的なセキュリティモデル。
サブジェクト(ユーザー)がオブジェクト(ファイル等)に対して、どのように権限を作成、削除、付与、転送するかという8つの主要保護ルールまたはアクションを定義する。
サブジェクトとオブジェクトの安全な作成と削除に重点を置いている。

(8) Sutherlandモデル
データの完全性を維持するための整合性モデル。不正な変更を防ぐために、情報の流れを制御する。
「推論攻撃」を防ぐための状態マシンモデルに基づいており、干渉を防ぐことに重点を置いている。

2-3-2. マイナーなハッシュ関数

(1) HAVAL
1992年に開発されたハッシュ関数で、MD5の設計思想をベースにしている。
ユニークな特徴として、下記の点が挙げられる。
出力の長さが可変 128、160、192、224、256ビットの5種類から出力サイズを選択できる。
計算回数(ラウンド数)が可変 3〜5ラウンドから選択でき、セキュリティ強度と処理速度のトレードオフを調整可能。

(2) RIPEMD-160
欧州で開発された、ビットコインなどで使われる160ビットハッシュ。
学術的信頼性(オープンな学術コミュニティにより設計・検証)と、並列計算による安全性の確保が特徴。
ビットコインでは、公開鍵をSHA-256でハッシュ化し、その結果をさらにRIPEMD-160でハッシュ化する。
※一方のアルゴリズムに未知の脆弱性が見つかっても安全性を保ち、かつアドレスを短くするため。

2-3-3. ソルトとペッパー

(1) ソルト
ユーザーごとに生成される公開されたランダムなデータ。
保管場所 データベース内に、ハッシュ化されたパスワードと一緒に保存。
目的 同じパスワードを持つユーザーでも、ハッシュ値が異なるようにし、レインボー攻撃を無効化する。

(2) ペッパー
システム全体(または特定のサービス)で共通の、秘匿されたランダムなデータ。
ペッパー単体で使うというより、ソルトとペッパーを併用することによる多層防御として使用する。
保管場所 アプリケーションコード内、環境変数、またはHSMなどの専用ハードウェアなど、データベースとは別の場所に保存。
目的 SQLインジェクションなどによりデータベースの中身が漏洩しても、ハッシュ値の計算を完結させないようにする。

2-3-4. ブロック暗号

(1) Blowfish
暗号学者ブルース・シュナイアーによって1993年に設計されたブロック暗号。
構造 Feistelネットワーク構造
ブロック長 64ビット
鍵長 32〜448ビットの可変長
特徴 ・パブリックドメイン:ライセンスフリーで誰でも無料で利用可能
・処理速度:特にソフトウェア実装において非常に高速
・後継:64ビットブロックの限界を克服するために、128ビットブロックに対応したTwofishが後に開発


(2) Twofish
Blowfishの設計者であるブルース・シュナイアー氏らによって、AESの候補として開発されたブロック暗号。
構造 Feistelネットワーク構造
ブロック長 128ビット
鍵長 128、192、256ビット
特徴 ・パブリックドメイン:Blowfishと同じくライセンスフリーで、誰でも自由に利用可能
・AESファイナリスト:AESの最終選考に残った5つのアルゴリズムの一つ
※Rijndael、Serpent、Twofish、RC6、MARSが最終候補となり、Rijndaelが選ばれた。
・鍵依存のSボックス:計算中に使用される「Sボックス(置換表)」が鍵の内容に応じて変化するという高度な設計

(3) Serpent
AESの候補として、ロス・アンダーソン、イーライ・ビハム、ラーズ・クヌーセンらによって設計されたブロック暗号。
構造 SPN構造(AESと同じ構造)
ブロック長 128ビット
鍵長 128、192、256ビット
特徴 ・超保守的な設計:非常に多くのラウンド数(32ラウンド)を持ち、将来的な解読技術に対しても耐性を持つAESの最終選考5つの中で、「最も安全」と評された
・速度:安全性を重視した設計で、ソフトウェアでの実行速度はAESよりも遅いことがAESに選ばれなかった一因

(4) IDEA
1991年にスイス(チューリッヒ工科大学)で開発されたブロック暗号。
構造 Lai-Massey構造
ブロック長 64ビット
鍵長 128ビット
特徴 ・PGP(Pretty Good Privacy)での採用:開発当初のPGPの標準暗号として採用されたことで一躍有名になった
・信頼性:56ビットのDESが弱くなった時期に、128ビットの鍵を持つ強力な代替案として注目された
・現状:現代では64ビットのブロックサイズが小さすぎるとされ、AESにその座を譲っている

(5) Skipjack
米国国家安全保障局(NSA)によって開発された対称鍵暗号アルゴリズム。
特徴 80ビットの鍵長を持つブロック暗号で、かつて「クリッパーチップ」というハードウェアに搭載されていた。
政府が暗号を復号するための鍵の一部を保管(寄託)し、法的な必要があれば通信を傍受できる設計。
すでに旧式とみなされており、現代のAESなどに取って代わられている。

※ブロック暗号の内部構造
Feistel構造 DES、Blowfish、Twofishで使用、暗号化と復号のプロセスがほぼ同じで実装が容易
SPN構造 AESやSerpentで使用、置換と転置を繰り返す、より数学的な並列処理に向いた構造

2-3-5. 暗号学の原理

(1) Kerckhoffsの原理
19世紀の軍事暗号学者オーギュスト・ケルクホフスが提唱した、暗号設計における最も重要な鉄則。
原理 暗号システムの安全性は、鍵以外のすべて(アルゴリズムなど)が公になっても、保たれなければならない。
本質 システムの中に「秘密」を多く作れば作るほど、それが漏洩した時のダメージが大きくなる。
そのため、「アルゴリズムは公開して世界中の専門家に検証させ、秘密にするのは『鍵』だけに絞るべきだ」という考え方。

(2) Heisenbergの原理
物理学(量子力学)における「不確定性原理」のこと。
物理学的定義 ある粒子の位置と運動量を、両方とも正確に知ることはできない(片方を詳しく測ろうとすると、もう片方の状態が乱れる)
セキュリティとの関わり 量子鍵配送の理論的根拠となっている。
データを運ぶ「光子(量子)」を誰かが盗聴(測定)しようとすると、その瞬間に粒子の状態が変化する。
物理法則に基づき、「盗聴されたことが確実に検知できる」ことを証明している。

2-3-6. 物理的セキュリティ

(1) ターンスタイル
物理的なアクセス制御に使用される「回転式ゲート」のこと。
一度に一人しか通過できないように制限し、テイルゲーティング(共連れ)を物理的に防止する。
マンラップなどと組み合わせて、許可された人間だけがエリアに入ることを保証する。

(2) Faradayケージ
電磁波を遮断するために、導体(金属網など)で囲まれた空間や容器のこと。
外部からの電磁干渉(EMI)を防ぐとともに、内部からの電磁波の漏れ(テンペスト)による情報漏洩を防ぐ。

(3) マントラップ
2つのドアに挟まれた小さな部屋のこと。
一つ目のドアが開いている間は二つ目のドアがロックされ、両方が同時に開くことはない。
テイルゲーティング(共連れ)の防止。また、不審者が侵入しようとした際に、その空間に閉じ込めることができる。

(4) ピギーバック
許可された人の後ろについて、不正に制限区域に侵入する行為。

テイルゲーティングとの違い
テイルゲーティング 許可された人に気づかれずに(あるいはドアが閉まる前に)こっそり入る。
ピギーバック 許可された人が善意で(または騙されて)「いいですよ、どうぞ」とドアを開けたままにして一緒に入る。

(5) ポータル
物理セキュリティの文脈では、建物の「入口」や「門」そのものを指すが、特に高度なセキュリティにおいては「セキュリティ・ポータル」を指す。
ターンスタイル、マントラップ、生体認証、金属探知機などが一体化した統合型のエントランスシステム。
物理的な境界(ペリメーター)において、人を通すための「制御された開口部」としての役割を果たす。

(6) ワイヤリングクローゼット
建物内のネットワーク配線や通信機器(スイッチ、パッチパネルなど)が収められた小さな部屋や配電盤のこと。
物理セキュリティの脆弱なポイントになりがち。ここに侵入されると、直接パケットをキャプチャされたり、不正なデバイスを接続されたりする。

(7) HVAC 空調システム
暖房、換気、空調の総称。サーバーの過熱防止に使用する。

(8) カード類
スマートカード マイクロチップ(ICチップ)を内蔵した、最も高度で安全なカード。
チップ内に演算能力とメモリを持ち、データの暗号化やデジタル署名をカード内部で実行できる。
接触型: 金色の端子があり、リーダーに挿入して通信する。
非接触型: RFID技術を使用し、かざすだけで通信する。
プロキシカード 近接型カードとも呼ばれ、主にオフィスへの入退室管理に使用される。
内部にアンテナコイルと単純なICが入っており、カードリーダーから発せられる電磁波を受けて、自身の「固有ID番号」を送信する。
スマートカードのような複雑な演算機能はなく、あらかじめ書き込まれた番号を送る。
通信が暗号化されていない、リプレイ攻撃に弱いなどの脆弱性がある。
磁気ストライプカード カードの裏面に磁気テープが貼り付けられた、最も伝統的なカード。
磁気粒子を特定のパターンで並べることでデータを記録する。
誰でも安価なスキミングデバイスでデータをコピーでき、偽造が非常に容易。
三相カード (2-Factor / 3-Factor Card) 単なるカードに、追加の認証要素を組み合わせる。
例1(液晶付き): カード上のボタンを押すと、ワンタイムパスワード(知識)が表示される。
例2(指紋センサー付き): カード自体に指紋リーダーがあり、本人確認(固有)ができないとカードが動作しない。
CAC (Common Access Card) 米国国防総省(DoD)で標準的に使用されているスマートカード(ICカード)の一種。
カード内のチップにデジタル証明書(PKI)が格納されており、電子署名やメールの暗号化にも利用される。
PIVカード (Personal Identity Verification Card) 米国連邦政府職員や契約業者に発行される、電子証明書を搭載した高セキュリティICカード。
(9) バッジ読み取り装置
社員証やアクセスカードを読み取り、建物や部屋への入退室を管理する物理的セキュリティデバイス。
磁気ストライプ 古いタイプで、偽造に弱い。
プロキシカード 無線でIDを読み取る。
スマートカードリーダー チップと対話し、高度な認証を行う。

(10) 消火器
消火器の分類
クラスA:普通火災 主に水や冷却効果のある薬剤(濃硫酸と炭酸水素ナトリウム)で温度を下げる。
材、紙、布、ゴム、プラスチックなど、燃えた後に灰が残るものが対象。
クラスB:油火災 二酸化炭素、粉末、泡などで酸素を遮断して消火する(窒息消火)。
ガソリン、オイル、グリース、塗料、アルコールなどの引火性液体やガスが対象。
クラスC:電気火災 非導電性の消火剤(二酸化炭素やハロン)を使用し、酸素を遮断して消火する。
コンピューター、サーバー、モーター、配線など、「通電中」の電気機器が対象。
水や泡などの導電性薬剤を使うと、消火者が感電する恐れがある。
※ハロン消火システムは、フロンガス(CFC)がオゾン層を破壊するため、モントリオール議定書で禁止された。
クラスD:金属火災 特殊な粉末消火剤で消火する。
マグネシウム、チタン、カリウム、ナトリウムなどの可燃性金属が対象。
水や一般的な消火剤をかけると激しく反応し、爆発する危険がある。
クラスK:厨房火災 動植物油、調理用油が対象。
クラスBと似ているが、商業用厨房の非常に高温な油に特化した分類。

(11) サグ
電圧が一時的に低くなる(低下する)現象。電力供給の異常のひとつ。
数サイクルから数秒程度の短期間の電圧低下。
近くで大型のモーターが始動したり、送電網に負荷がかかったりした際に発生する。
対照的に、電圧が一時的に高くなるのはスパイク(Spike)やサージ(Surge)、完全に停電するのはブラックアウト(Blackout)と呼ばれる。

2-3-7. Trusted Computing Base (TCB)

信頼できるコンピューティング基盤のこと。
システム内でセキュリティポリシーを強制するために必要な、すべてのハードウェア、ソフトウェア、ファームウェアの集合体。
TCBに不具合や脆弱性があると、システム全体のセキュリティが崩壊する。
TCBは可能な限り「小さく、単純」であることが望ましい(小さい方が検証が容易なため)。
TCBの外側にあるコンポーネントは、セキュリティ上の脅威になってもシステム全体の根幹は揺るがない。

2-3-8. DACLとSACL

Discretionary ACL (DACL)
役割 アクセス制御
アクセス制御エントリー(ACE)の内容 誰がアクセスできるか (Allow / Deny)
例:Aさんは読み取り可能
System ACL (SACL)
役割 監査
アクセス制御エントリー(ACE)の内容 誰がアクセスしたかをログに残すか (Success / Failure)
例:Bさんが書き込みに失敗したらログに記録せよ

2-3-9. 集約と推論

(1) 集約 (Aggregation)
低い機密レベルの情報を大量にかき集めることで、全体として高い機密レベルの情報が明らかになってしまう現象。

(2) 推論 (Inference)
公開されている情報や、自分がアクセス可能な情報から、「アクセス権のない機密情報」を論理的に導き出してしまう(推測する)現象。

集約と推論の違い
項目 集約 推論
本質 データの収集 データの分析・推測
必要なもの 大量の断片データ 論理的な思考、手がかりとなるデータ
イメージ バラバラの部品を組み立てる 影の形を見て本体の正体を当てる
対策 アクセス制御(一箇所に集めさせない)、出力制限 多ポリモーフィズム、ノイズの混入(攪乱)、クエリ制限

2-3-10. 既知の脆弱性

(1) GHOST
2015年に発見された、Linuxの標準Cライブラリ(glibc)に含まれる重大な脆弱性(CVE-2015-0235)の通称。
脆弱性があった関数 gethostbyname() から名付けられた。
攻撃者が細工したホスト名を処理させることで、リモートから任意のコードを実行される恐れがあった。

2-3-11. TOGAF (The Open Group Architecture Framework)

組織全体のITアーキテクチャを設計・計画・実施・管理するための、世界で最も広く利用されているフレームワーク。
特徴的な手法「ADM」を用いて、ITシステムの設計、計画、運用を体系的に支援し、世界的なベストプラクティスとして採用されている。
ADM (Architecture Development Method) はTOGAFの中核をなす「アーキテクチャ開発手法」で、準備から要件管理までを循環するサイクルで定義している。
ADMは、アーキテクチャ開発サイクルをカバーする10のフェーズについて説明している。

・予備段階
・フェーズA:アーキテクチャのビジョン
・フェーズB:ビジネスアーキテクチャ
・フェーズC:情報システムアーキテクチャ
・フェーズD:技術アーキテクチャ
・フェーズE:機会と解決策
・フェーズF:移行計画
・ステージG:ガバナンスの実装
・フェーズH:アーキテクチャ変更管理
・要件管理

2-3-12. File Vault

AppleのmacOSに標準搭載されているフルディスク暗号化 (FDE) 機能。
AES-XTS技術を用いてMacのデータを保護し、盗難や紛失時に第三者による不正アクセスやデータ読み取りを防止する。
WindowsのBit Lockerに相当する。
役割 ディスク全体を AES-128/256 で暗号化し、OSのログインパスワードと連動してデータを保護する。
特徴 万が一Macが盗難に遭っても、パスワードやリカバリキーがない限り、ディスク内のデータを読み取ることは不可能。

2-3-13. 魔法のドア (Trapdoor)

一方向への計算は簡単だが、逆方向の計算は極めて困難な関数。
特定の「鍵(トラップドアの情報)」を知っている場合のみ、逆方向の計算も簡単に行える。
RSA暗号などの非対称鍵暗号が成立する数学的根拠となる概念で、「トラップドア関数」とも呼ばれる。
例: 巨大な2つの素数の掛け算はコンピュータで一瞬だが、その積から元の素数を割り出す(素因数分解)には膨大な時間がかかる。

2-4. 通信とネットワークセキュリティ

2-4-1. 無線LANのセキュリティ

(1) 悪魔の双子 (Evil Twin)
正規のフリーWi-Fiに偽装した攻撃者による不正なアクセスポイント。
正規のWi-Fiと同じSSIDを使用する。

(2) ウォードライビング
車で移動しながらノートPCやスマホを使い、周囲のアクセスポイントの場所やセキュリティ状況を調査・マッピングする行為。
主にセキュリティの脆弱性調査や、無防備なアクセスポイントを見つけてタダ乗り・不正アクセスに悪用する目的で行われる。
パケットスニファーツールなどを用いて、暗号化されていない通信をキャプチャすることもある。

(3) ウォーウォーキング
歩きながらモバイルデバイスやノートPCを使って、保護されていない無線LAN(Wi-Fi)のアクセスポイントを探し出す行為。
許可されていない野良APの発見や、電波の漏洩状況を確認する「偵察」フェーズの活動として扱われる。
1980年代に電話回線を片っ端からダイヤルしてモデムを探した「ウォーダイヤリング」から派生した。

関連用語
ウォーチョーキング:見つけたWi-Fiの情報を、チョークで壁や地面に記号として残す古い習慣。

(4) サイトサーベイ
無線LANを導入する際や定期的な点検で行う、電波状況の調査。
電波の届かない死角(デッドゾーン)を特定する、電波の漏洩(Signal Leakage)を確認して建物外に電波が飛ばないよう出力を調整する、近隣のアクセスポイントとの干渉を避けるためにチャンネルを設定するなどの目的で行う。

(5) ワイヤレススニファー
Wi-Fiの電波を傍受してパケットをキャプチャするツールやデバイスのこと。
仕組み 無線LANカードを「モニタモード」に設定し、自分宛てではないパケットもすべて収集する。
リスク 暗号化されていない(または弱い暗号化の)通信内容を盗み見られたり、ネットワーク構成を調査されたりする。
対策 強固な暗号化(WPA3など)や、VPNの使用。

2-4-2. 電子メールのセキュリティ

(1) MOSS (MIME Object Security Services)
電子メールのセキュリティを確保するための古いプロトコル規格(RFC 1848)。
機能 デジタル署名による「真正性・完全性」の確保と、暗号化による「機密性」の提供。
特徴 公開鍵暗号(RSA)や一方向ハッシュ関数を利用する。
現状 現代ではS/MIMEやPGPに取って代わられている。
(2) PEM (Privacy Enhanced Mail)
電子メールの秘匿性を高めるために開発された初期のインターネット規格(RFC 1421-1424)。
機能 メールの暗号化、デジタル署名、鍵管理。
現状 メールプロトコルとしてのPEMは使われていないが、「PEM形式」というファイルフォーマット名が今も生きている。
デジタル証明書(SSL/TLS証明書)を「-----BEGIN CERTIFICATE-----」で始まるテキスト形式で保存する際に使われる。

2-4-3. 電話関連のセキュリティ

(1) DISA ダイヤルインサービス
電話交換機(PBX)を外部から操作し、あたかも社内の電話機からかけているかのように外線を利用できる機能。
1990年代から2000年代にかけて、パスコードを破った攻撃者が企業の電話回線を勝手に使い、高額な国際電話をかける「電話不正利用(Phreaking)」の標的となった。

2-4-4. Eコマース

CISSPでは「信頼できないネットワーク(インターネット)上で、いかに安全に商取引を完結させるか」という技術的・管理的フレームワークとして扱われる。
本来は「ネットショッピング」のこと。
誰と誰の取引なのかによって、求められるセキュリティの厳格さや認証方法が変わる。
B2C 不特定多数のユーザーを相手にするため、TLSによる通信の暗号化と、ショップ側の真正性証明が不可欠。
B2B EDI(電子データ交換)やVPNが使われることが多く、より強固な認証や専用回線が求められる。
C2C プラットフォーム側によるエスクロー(第三者預託)決済が、取引の安全性を担保する鍵となる。

Eコマーストランザクション
ECサイト上で発生する商品購入、決済、キャンセルなど、一連の商取引(取引データ)を指す。
インターネット上で行われる金銭や情報のやり取りの安全性をどう確保するか、という文脈で登場する。
単なる「ネットショッピング」の仕組みではなく、その背後で動くプロトコル、信頼モデル、そしてデータの保護(機密性・完全性・真正性)に焦点が当てられる。

Eコマーストランザクションに関わるセキュリティプロトコルとして、下記2つがよく挙げられる。
TLS (Transport Layer Security) Web上のトランザクションにおける事実上の標準。ブラウザとサーバー間の通信を暗号化する。
古いバージョンのSSLは脆弱性があるため、TLS 1.2以上の使用が推奨される。
SET (Secure Electronic Transaction) VISAやMastercardによって開発された、Eコマース専用のプロトコル。
デジタル署名と証明書を駆使し、「ショップ側にクレジットカード番号を教えずに決済できる」という高度なセキュリティを誇っていた。
設定が複雑すぎて普及しながったが、「歴史的な高セキュリティプロトコル」として名前が挙がることがある。

2-4-5. Dチャネル

ISDN(サービス統合デジタル網)で使用される通信チャネルの一種。
データの転送そのものではなく、「制御(シグナリング)」を担当する。電話をかける、切る、着信を知らせるといった「交通整理」のためのチャネル。
実際に音声やデータを運ぶのは「Bチャネル」。

関連用語
BRI 基本速度インタフェース ISDNの中でも比較的小規模な利用を想定した形式。家庭や小規模オフィスなどで多く利用されている。
1つのISDN回線に2本のBチャネルと、1本のDチャネルを持っている。
PRI 主幹速度インタフェース BRIよりも大規模な利用を想定した形式で、一般的に中規模以上の企業や公共機関などで利用されている。
1つのISDN回線には23本のBチャネルと1本のDチャネルが含まれており、より多くの通話やデータ通信を同時に行うことができる。

2-4-6. ファイアウォールの設計

(1) 1層ファイアウォール (Single-Tier)
1台のファイアウォールのみを配置する最も単純な構成。
構造 [インターネット] ↔ [FW] ↔ [内部ネットワーク]
特徴 安価でシンプル、小規模なオフィスや家庭向け。
リスク 単一障害点となる。ファイアウォールが突破されたり、設定ミスがあったりすると、即座に内部ネットワーク全体が攻撃に晒される。

(2) 2層ファイアウォール (Two-Tier)
1台のファイアウォールの中に、「外側」と「内側」の2つの境界を作る構成。
別名はスリーホームド・ファイアウォール (Three-homed Firewall)。
構造 [インターネット] ↔ [FW] ↔ [DMZ] ↔ [(同じ)FW] ↔ [内部ネットワーク]
特徴 1台のデバイスに3つのインターフェース(外部、DMZ、内部)を持たせる。
リスク 論理的にDMZを分離できるが、デバイス自体は物理的に1台であるため、ハードウェアの脆弱性やOSの欠陥が突かれると一気に全域へ侵入される。

(3) 3層ファイアウォール (Three-Tier)
2台の異なるファイアウォールでDMZを挟み込む、最も推奨される標準的な構成。
別名はスクリーンドサブネット (Screened Subnet)。
構造 [インターネット] ↔ [外部FW] ↔ [DMZ] ↔ [内部FW] ↔ [内部ネットワーク]
特徴 高い安全性を持ち、外部FWを突破されても内部FWが第2の防波堤となる。
外部FWと内部FWに異なるメーカーの製品を採用することで、特定の脆弱性が両方を同時に無効化するリスクを軽減できる。

(4) 4層ファイアウォール (Four-Tier)
より高度なセキュリティが求められる環境で、DMZをさらに細分化した構成。
構造 [インターネット] ↔ [FW1] ↔ [Web層DMZ] ↔ [FW2] ↔ [アプリ層DMZ] ↔ [FW3] ↔ [DB層(内部)]
特徴 Web、アプリケーション、データベースなどの各機能を個別のセグメントに分け、それぞれをファイアウォールで保護する。
内部ネットワークの中でも「WebサーバーからDBサーバーへの直接通信」を厳格に制限できる。
デメリット 管理が複雑になり、通信遅延(レイテンシ)が発生しやすくなる。

2-4-7. ローカルメッセージングサーバー

組織内のネットワーク(LAN)内で、メッセージのやり取りや通知を管理するサーバー。
外部のインターネットを経由せずに、社員同士のチャットやシステムアラートを配信するため、外部へのデータ流出リスクを抑えられる。

2-4-8. PGP (Pretty Good Privacy)

公開鍵暗号を使用して、メールやファイルを暗号化・署名するためのプロトコルおよびソフトウェア。
「信頼の網 (Web of Trust)」 という独自のモデルを採用する。中央の認証局(CA)に頼らず、ユーザー同士が互いの公開鍵に署名し合うことで信頼性を担保する。
送信内容の「機密性」だけでなく、デジタル署名による「真正性」と「否認防止」を提供する。

2-4-9. 脅威ベクター

攻撃者がターゲットのネットワーク・システムに侵入したり、マルウェアを送り込んだりするために利用する経路や手段。

具体例
メール フィッシング詐欺、添付ファイル
Web ドライブバイダウンロード、不正な広告
物理 放置されたUSBメモリ、ソーシャルエンジニアリング
ワイヤレス 暗号化されていないWi-Fi

2-4-10. FAA (Flexible Authentication Architecture)

単一のインターフェースで複数の認証方式(802.1X、MAC RADIUS、キャプティブポータル等)を組み合わせ、順次適用・フォールバックできるネットワークセキュリティ構造のこと。
主にシスコシステムズ社製品などで用いられ、端末や環境に応じて柔軟な認証とアクセス制御を実現する。
役割 単一の認証方式に縛られず、ユーザーの環境やデバイスに応じて、証明書、ID/パスワード、生体認証などを組み合わせて利用できるようにする。
CISSPでの文脈 IEEE 802.1X や EAP (Extensible Authentication Protocol) と組み合わせて、無線・有線LANの検疫ネットワークやゼロトラスト環境の構築において言及される。。

2-5. アイデンティティとアクセスの管理

2-5-1. アクセス制御

(1) 強制アクセス制御 (MAC)
OSやシステムが、管理者(システムポリシー)によって強制的にアクセス権を制御する仕組み。
軍事や高度な機密性を要する環境で使われる。Bell-LaPadulaモデルなどは、このMACを実現するための理論モデル。
仕組み 「ユーザーの格付け(クリアランス)」と「データのラベル(機密レベル)」を比較し、システムがアクセス可否を判断する。
特徴 ユーザー(所有者)が自分の判断で権限を変更することはできない。

関連用語
ラティスベース BibaモデルやBLPモデルのように、「階層」と「カテゴリ」の両方を満たさないとアクセスできないモデル。
例:レベル2・人事の権限を持っている人は、レベル1・人事のデータはアクセウ可、レベル2・経理のデータはアクセス不可。
ルールベース 条件を満たさないとアクセスできないモデル。
例:ファイアウォール、時間制限
ロールベース (RBAC) 職務に則りアクセス権を付与するモデル。
属性ベース (ABAC) 属性(場所・時間など)に則りアクセス権を付与するモデル。
例:SD-WAN、ゼロトラスト

(2) 任意アクセス制御 (DAC)
データの所有者が、自分の判断(任意)で誰にアクセスを許可するかを決める方式。
WindowsやLinuxの標準的なファイル共有、Googleドライブの共有設定はこの方式。
仕組み オブジェクト(ファイルなど)を作成したユーザーが、そのオブジェクトに対するACL(アクセス制御リスト)を管理する。
特徴 柔軟性が高く、運用の手間が少ないのがメリットだが、セキュリティ強度は最も低い。
リスク 所有者が誤って「全員にフルコントロール」を与えてしまうなどのヒューマンエラーが起きやすく、トロイの木馬などのマルウェアによって権限が不正に変更されるリスクがある。

(3) ロールベースアクセス制御 (RBAC)
個々のユーザーではなく、その人が組織内で果たす「役割(ロール)」に対して権限を割り当てる方式。
「非任意アクセス制御 (Non-DAC)」の代表例。
企業のActive Directoryグループ、AWSのIAMロールはこの方式。
仕組み 「経理」「人事」「管理者」といったロールを定義し、そのロールに必要な最小限の権限を紐付ける。ユーザーはそのロールに参加することで、間接的に権限を得る。
特徴 人事異動や退職時の権限管理が非常に楽になる。個人に権限を振らないため、「最小権限の原則」を維持しやすくなる。

(4) 暗黙拒否リスト
「許可リストに載っていないものは、すべて拒否する」という、ファイアウォールやACLの根本的な設計原則。
ACLの最後に、目には見えないが「すべてを拒否する(Deny All)」という命令が自動的に入っている状態を指す。

(5) ケイパビリティテーブル
アクセス制御の管理手法の一つで、「サブジェクト側」に紐付けられた権限のリスト。
各ユーザーが「どのオブジェクトに対して、何の操作(読み取り、書き込み等)ができるか」が記されたチケットやパスポートのようなもの。

ACLとの違い
ACLはオブジェクト(ファイル)側に「誰が使えるか」が書いてあるのに対して、ケイパビリティテーブルはサブジェクト(ユーザー)側に「何が使えるか」が書いてある。

(6) 権利管理マトリックス
アクセス制御の状態を視覚化・論理化した二次元の表。
このマトリックスを「列」で切り出したものが ACL (アクセス制御リスト)、「行」で切り出したものがケイパビリティテーブル。
サブジェクト(ユーザー、グループ)
オブジェクト(ファイル、プリンタ、サーバー)
セルの内容 そのサブジェクトがそのオブジェクトに対して持っている権限(Read, Write, Executeなど)

2-5-2. 管理の不備から生じるリスク

(1) 特権クリープ
時間の経過とともに、ユーザーが職務に必要のない権限をどんどん積み上げていってしまう現象。セキュリティの基本原則である「最小権限の原則」が破壊される。
Creepとは「忍び寄る、徐々に増える」という意味。

発生メカニズム
初期状態 ユーザーAが「人事部」に入社し、人事システムの権限を得る。
異動 ユーザーAが「経理部」に異動する。
権限の追加 経理業務に必要な新しい権限が付与される。
不備 本来なら不要になった「人事部」の権限を削除すべきだが、それが忘れられる。
クリープ発生 ユーザーAは「人事」と「経理」の両方の権限を持つことになる。

対策
定期的なアカウントレビュー マネージャーやデータ所有者が、部下の権限が現在の職務に適切かどうかを定期的に確認する。
プロビジョニング・再プロビジョニング・デプロビジョニングの自動化 入社や異動、退職のプロセスとシステム権限を連動させ、役割が変わった瞬間に古い権限を自動で削除するようにする。
ロールベースアクセス制御の徹底 個人ではなく「役割」に権限を紐付け、異動時に「役割」を付け替えることで権限をリセットする。
IAM(ID管理)システムの導入 IDのライフサイクル全体を一元管理し、権限の可視化を行う。

(2) アグリゲーション
複数の「機密ではない情報」を集約することで、全体として「機密性の高い情報」を導き出せてしまうリスク。
例: 「データの閲覧権限」と「エクスポート権限」を別々に持っている場合、それらを組み合わせて個人情報を持ち出すことが可能になる。

(3) インソアンス
複数のID管理システム間で、同一人物に対して異なるアイデンティティ情報が混在してしまう状態。
職務分離がシステム上で正しく機能しなくなる。
例: システムAでは「申請者」、システムBでは「承認者」として登録されている場合、一人のユーザーがプロセスを完結できる。

(4) ゴーストアカウント / ゾンビアカウント
すでに組織を離れたユーザーのアカウントが、削除されずに有効なまま残っている状態。
攻撃者が元社員になりすまして侵入するための絶好の入り口となる。
デプロビジョニング(権限削除)プロセスの自動化により対策が必要。

2-5-3. 信頼関係の概念

特にActive Directoryやマルチプラットフォーム環境における信頼関係。
組織が肥大化したり、他社と提携したりする際に、異なる管理境界(ドメインやレルム)の間でユーザー認証を共有するために使用される。

(1) 外部信頼
「異なるフォレストにある特定のドメイン」、または「ADドメインではないレガシーなWindowsドメイン(NT 4.0など)」との間に結ぶ信頼関係。
会社分割や特定のプロジェクトなど、フォレスト全体を統合するほどではないが、特定のドメインリソースだけを共有したい場合に使われる。

特徴
非推移的 (Non-transitive) AドメインがBドメインを信頼し、BがCを信頼していても、AとCの間に自動的に信頼は発生しない。
限定的 フォレスト全体ではなく、指定した特定のドメイン同士のみが繋がる。

(2) レルム信頼
Windows(Active Directory)と、Windows以外のシステム(UNIX/Linuxなど)の間で、Kerberos認証を共有するための信頼関係。
「レルム(Realm)」とは: Kerberos認証における管理単位のこと。Active Directoryにおけるドメインに相当。
大学や研究機関のように、WindowsサーバーとLinuxサーバーが混在しており、一度のログインで両方のリソースを使わせたい(SSO:シングルサインオン)場合に使用する。

特徴
クロスプラットフォーム Windows環境と非Windows環境(MIT Kerberosレルムなど)の橋渡しする。
推移的・非推移的の両方可 設定により、信頼を連鎖させるか個別に止めるかを選択できる。

(3) フォレスト信頼
2つの独立したActive Directoryフォレスト間で構築される、最も広範で強力な信頼関係。
会社Aの全社員が、会社Bの許可されたリソースに、自分のIDでそのままアクセスできるようにする仕組み。
通常、Active Directoryのフォレストはセキュリティの最終境界であり、フォレストが異なればお互いのユーザーを認識できない。
しかし、フォレスト信頼を結ぶことで、双方向(または片方向)の認証パスを作成する。

特徴
推移的 (Transitive) フォレストAとフォレストBが信頼を結べば、フォレストA内のすべてのドメインが、フォレストB内のすべてのドメインを(権限の範囲内で)信頼することになる。
要件 両方のフォレストの機能レベルが Windows Server 2003 以上 である必要がある。
DNSの解決 お互いのフォレストの名前を解決できるよう、DNSフォワーダなどの設定が不可欠。

(4) ショートカット信頼
Active Directoryのフォレスト間やドメイン間で使用される認証のショートカット。
複雑なドメイン階層における認証の効率化ができる。

特徴
概念 通常、複雑な階層構造を持つドメイン間で認証を行うには、ツリーを上から辿っていく必要がある。
しかし、頻繁に通信する特定のドメイン同士に「直接の信頼関係」を結ぶことで、認証時間を短縮(ホップ数を削減)できる。
メリット 認証パフォーマンスの向上。

各信頼の比較
項目 外部信頼 レルム信頼 フォレスト信頼 ショートカット信頼
範囲 特定のドメインのみ 非Windows (Kerberos) フォレスト全体 特定ドメイン間の近道
性質 非推移的 任意 推移的 推移的
主な用途 レガシー接続、限定的共有 Linux/UNIXとの連携 M&A、大規模統合 認証パフォーマンスの向上

2-5-4. 認証の3要素

Type1 Knowledge(知識) 例:パスワード、PIN、秘密の質問
Type2 Possession(所有) 例:スマートカード、ハードウェアトークン、スマホのOTPアプリ
Type3 Inherence(固有) 例:指紋、虹彩、顔認証

2-5-5. 参照テンプレート

生体認証において、比較の基準となる登録データのこと。
最初に指紋や虹彩をスキャンした際、その特徴点を抽出してデータ化したものを「参照テンプレート」としてデータベースに保存する。
実際に指をかざした時のデータと、「参照テンプレート」を照合して本人確認を行う。

2-5-6. LDAPの認証モード

(1) 匿名認証
ユーザー名やパスワードを入力せずに、ディレクトリサーバーに接続するモード。
仕組み クライアントが認証情報を送らずに接続を要求し、サーバーがそれを許可する。
用途 公開されている電話帳や、誰でも閲覧可能な基本情報の検索に使用される。
セキュリティ上の懸念 機密性が皆無。
攻撃者が内部のユーザーリストやシステム構成を列挙するために悪用されるリスクがあるため、現代の企業環境では原則として無効化すべき設定。

(2) 簡易認証
ユーザー名(DN:識別名)とパスワードを送信して認証を行う、最も一般的なモード。
仕組み クライアントが「私はこのユーザーです、パスワードはこれです」と明示して接続する。
セキュリティ上の懸念 デフォルトの状態では、パスワードは平文でネットワークを流れる。
対策 LDAPS(636番ポート) や、StartTLS を併用して、通信経路自体をSSL/TLSで保護することが必須。

(3) SASL
簡易バインドよりも高度で、柔軟な認証フレームワークを利用するモード。
セキュアな方式を含む幅広い認証タイプがサポートされている。
仕組み LDAPプロトコル自体に認証機能を固定せず、Kerberos(GSSAPI)や証明書認証、ワンタイムパスワードなどの外部認証メカニズムを利用する。
メリット パスワードを直接ネットワークに流さない仕組み(チャレンジ/レスポンスなど)を選択できるため、より強固なセキュリティを実現できる。

2-5-7. XMLベースの規格

(1) XACML (eXtensible Access Control Markup Language)
XMLベースの認可のためのポリシー記述言語およびアーキテクチャ。
「誰が、どのリソースに、どのような条件でアクセスできるか」というルールを標準化された形式で記述する。
ABAC(属性ベースのアクセス制御)を実現するために使われる。

主要コンポーネント
PAP (Policy Administration Point) ポリシーを作成・管理する場所。
PDP (Policy Decision Point) アクセス要求がポリシーに適合するか判断する「頭脳」。
PEP (Policy Enforcement Point) 判断結果に基づいて、アクセスを実際に許可・拒否する「執行機関」。

(2) SPML (Service Provisioning Markup Language)
ユーザーアカウントやアクセス権限のプロビジョニング(作成・更新・削除)を自動化するためのXMLベースの規格。
異なるプラットフォーム間(例:人事システムとActive Directory)で、ユーザーの追加や削除といった「ID管理操作」を連携させるために使用される。
最近では、より軽量でモダンな SCIM (System for Cross-domain Identity Management) に取って代わられつつある。

2-5-8. グローバルカタログサービス

Active Directoryのマルチドメイン環境において、フォレスト内のすべてのオブジェクトの情報を検索可能にするサービス。
ユーザーが他のドメインに所属している場合でも、名前やメールアドレスだけでそのユーザーを検索できるように、全オブジェクトの「一部の属性(サブセット)」を保持する。
ログオン時のユニバーサルグループのメンバーシップ確認や、フォレスト全体を跨ぐ検索に使用される。

2-5-9. Higgins と Shibboleth

アイデンティティの連携で使用される技術。
(1) Higgins
異なるベンダーやプラットフォーム間で、ユーザーが自分のアイデンティティ情報を統合・管理できるようにするためのオープンソース・フレームワーク。

(2) Shibboleth
大学や研究機関で広く使われているオープンソースのフェデレーション(シングルサインオン)ソフト。
SAMLをベースにしており、組織を跨いでリソースを共有する際に使われる。

2-5-10. LDAP-S と S-LDAP

(1) LDAP-S (LDAP over SSL/TLS)
通信を開始する前にSSL/TLSのハンドシェイクを行い、トンネル全体を暗号化する(HTTPSと同じ考え方)。
636番ポートを使用する。

(2) S-LDAP (Secure LDAP / StartTLS)
通常の389番ポートで通信を開始し、途中で「StartTLS」コマンドを送って暗号化に切り替える方式。
一つのポートで平文と暗号化の両方に対応できる柔軟性がある。

2-5-11. AAAプロトコル

AAA (Authentication / Authorization / Accounting) のためのプロトコル。
(1) RADIUS
ネットワーク接続時(Wi-Fi、VPN、有線LAN)のAAAを一元管理するプロトコル。
ユーザー・端末情報をRADIUSサーバで集中管理し、アクセスポイントなどの機器がこれを利用することで、安全なネットワーク入口の制御を実現する。
デフォルトではUDPを利用し、パスワードのみを暗号化する。

(2) TACACS (Terminal Access Controller Access-Control System)
Ciscoが開発したプロトコル。最新は TACACS+。
ネットワークデバイスに使用する。
RADIUSと違い、「認証」と「認可」を完全に分離しており、ペイロード全体を暗号化するためより安全。
RADIUSは、不特定多数のユーザーがネットワークに接続する際の認証に、TACACS+はネットワークエンジニアがルーターやスイッチにログインして設定変更を行う際の「管理者権限の管理」に使用する。

(3) Diameter
RADIUS(半径)の2倍という意味で名付けられた、RADIUSの後継プロトコル。
モバイルネットワーク(LTE/5G)や大規模環境向けに設計されており、信頼性と拡張性が大幅に向上している。

(4) OpenID Connect (OIDC)
OAuth 2.0をベースとした、Web向けの認証(Authentication)プロトコル。現代のフェデレーション(連携)認証におけるデファクトスタンダード。
ユーザーが「Googleアカウントでログイン」するような、シングルサインオン(SSO)を実現する。
OAuth 2.0は「認可」のみだが、OIDCはその上に「IDトークン(ユーザーの身元情報)」を加えることで「認証」を可能にしている。

2-5-12. Kerberos認証

SSOを実現するための認証方式の一つ。Active Directoryなどで利用されている。

Kerberosの構成要素
AS (Authentication Server) ユーザーから認証要求を受け取り、IDとパスワードを確認した上で、セッション鍵とTGTを発行するサーバー。
Kerberosにおける「最初の認証窓口」。
セッション鍵 ユーザーとAS間で共有される一時的な対象鍵。
ユーザーとTGSとの通信は、このセッション鍵を使って暗号化する。
CISSPでは、セッション鍵を「クライアント / TGS鍵」とも呼ぶ。
TGT (Ticket Granting Ticket) 利用したいサーバー用のSTを発行してもらうための中間チケット。
具体的には、「セッション鍵」「ユーザーのID(プリンシパル名)」「有効期限」「特権属性証明書(認可情報)」をTGSの秘密鍵で暗号化したもの。
初回ログイン時に発行され、有効期限内でのみ使用可能。
KDC (Key Distribution Center) サーバーとユーザー認証情報を一元管理するシステム。
AS、TGS、データベースから構成される。
TGS (Ticket Granting Server) TGTを基に、実際にサービスへアクセスするためのSTを発行するサーバー。
KDCに登録された各システムへのアクセスを制御する。
ST (Service Tickert) 特定のサーバー(サービス)にログインするための専用チケット。
CISSPでは、STを「クライアント/サーバーチケット」とも呼ぶ。

Kerberosによる認証の手順
1. 認証情報送信 ユーザーがASに認証情報(IDとパスワード)を送信する。
この時、ユーザーは認証情報をAESで暗号化して送信する。
2. セッション鍵およびTGT生成 ASは正当なユーザーであることを確認し、「セッション鍵」と「タイムスタンプが押されたTGT」を生成する。
この時、ASはユーザーのパスワードのハッシュ値(=ユーザーの秘密鍵)を取り出し、セッション鍵を暗号化する。
また、ASはKDC (TGS)の秘密鍵を使ってTGTを暗号化する。
3. セッション鍵とTGT受領 セッション鍵とTGTを受け取ったユーザーは、自身の秘密鍵でセッション鍵を復号する。
4. ST要求 ユーザーはオーセンティケータと呼ばれる認証子を生成し、セッション鍵で暗号化する。
ユーザーはTGTおよびオーセンティケータをTGSに送信し、STを要求する。
※TGTはKDC (TGS)の秘密鍵で暗号化されたままの状態。
5. ST生成 TGSはTGTを自身の秘密鍵で復号し、オーセンティケータおよびTGTの有効性(=オーセンティケータがセッション鍵で復号できること、TGTのタイムスタンプが古くないこと)を確認する。
有効性が確認できた場合、STを生成してユーザーに送信する。
6. サービスにアクセス ユーザーは取得したSTを、接続したいサービスへ送信し、アクセスする。
7. サービスアクセス STが有効期間内であれば、サービスへのアクセスが許可される。

Kerberosの弱点
1. KDCが単一障害点となる
2. KDCの侵害によって、攻撃者が任意のユーザーになりすますことができる
3. パスワードを推測されやすい

Kerberosの代替モデル
(1) KriptoKnight
IBMによって開発された、Kerberosに似た認証プロトコル。
Kerberosが対称鍵のみを使うのに対し、KriptoKnightは計算リソースが少ない環境でも動作するよう設計されている。

(2) SESAME
Kerberosの弱点を補うためにヨーロッパで開発されたモデル。
非対称鍵(公開鍵暗号)をサポートし、より高度な認可機能を持っているのが特徴。

2-5-13. X.500 と OpenLDAP

(1) X.500
ディレクトリサービス(電子電話帳のようなデータベース)の構造を定義した、国際標準規格(OSIモデル)。
階層構造(ツリー構造)を持ち、DIT (Directory Information Tree) と呼ばれる。

(2) OpenLDAP
X.500の複雑な機能を簡略化したプロトコルであるLDAPを実装した、オープンソースのソフトウェア。
デフォルトでuserPassword属性を平文で保存する。パスワードをセキュアな形式で指定することが、プロビジョニングシステムを構築する管理者またはプログラマーの責任となる。
※「LDAPはX.500の軽量版である」という関係性が重要。

2-5-14. カスケード

セキュリティにおいて、一つの事象が次の事象を引き起こし、連鎖的に影響が拡大していく現象を指す。
カスケード障害 一つのサーバーがダウンしたことで、その負荷が他のサーバーに流れ、次々とシステム全体がダウンすること。
カスケード認可 管理者が権限をユーザーに付与し、そのユーザーがさらに別のユーザーに権限を付与できる仕組み。
この場合、元の管理者の権限を削除すると、連鎖的に全ユーザーの権限が削除される設定にすることがある。

2-5-15. DAA (Designated Approving Authority)

システムの運用を許可するための最終的な権限を持つ役職者、またはそのプロセス。リスクの「受容(Acceptance)」を決定する責任者。
システムの残存リスクを評価し、そのリスクを組織として受け入れた上で、システムの稼働(認可)を公式に承認する。
現在は主に AO: Authorizing Official と呼ばれることが多い。

2-5-16. Active Directory

Active Directoryについては下記のサイトがわかりやすいので、そちらを参照。

1. Active Directoryとは?
2. Active Directoryの認証の仕組み
3. Active Directoryの基本構成

2-6. セキュリティの評価とテスト

2-6-1. テストツール

(1) 脆弱性スキャンツール
システムに既知の脆弱性(CVEなど)がないかを確認するツール。
ツール名 対象 役割
Nikto Webサーバ サーバー上の危険なファイル、古いバージョンのソフト、設定ミスを高速にスキャンするオープンソースのツール。
OpenVAS ネットワーク全体 総合的な脆弱性スキャナ。Nessusのオープンソース版から派生したもので、OSやサービスの脆弱性を網羅的に探す。
MBSA (Microsoft Baseline Security Analyzer) Windows環境 Microsoft公式のツール。パッチの適用状況や、Windows特有の設定ミス(脆弱なパスワード、不要なサービスなど)をチェックする。

(2) 侵入テストツール
実際に攻撃を試行(エクスプロイト)し、侵入が可能かを確認するツール。
ツール名 対象 役割
Metasploit 脆弱性全般 最も有名なペネトレーションテスト(侵入テスト)用フレームワーク。
脆弱性を突く攻撃コード(エクスプロイト)を実行し、ターゲットを制御下に置くまでのプロセスを自動化・支援する。
sqlmap データベース WebアプリケーションのSQLインジェクション脆弱性を自動で検知し、実際にデータベースの内容を抜き出す(エクスプロイトする)ための専用ツール。

(3) 特殊なテストツール
ツール名 対象 役割
zzuf ファジング アプリケーションへの入力データをわざとランダムに破壊し、プログラムがクラッシュするかを確認する。
「ミューテーション・ベース」のファザーとして有名。
john パスワードクラッキング 保存されたハッシュ化パスワードに対し、辞書攻撃やブルートフォース攻撃を行い、元のパスワードを特定する。認証強度のテストに使われる。
Cain & Abel パスワードリカバリ ネットワーク上の通信をキャプチャ(スニッフィング)してパスワードを抽出したり、ハッシュ化されたパスワードを解析(辞書攻撃、総当たり攻撃、レインボーテーブル攻撃)したりする。。
また、VoIPの会話を録音したり、ルーティングプロトコルを解析したりもする多機能なツール。
脆弱性診断や攻撃手法として用いられる。

2-6-2. ペネトレーションテストの形式

(1) ブラックボックス
内部情報を一切持たずに外部から攻撃する。ハッカーの視点。

(2) ホワイトボックス
ソースコードやネットワーク図をすべて持った状態で調査する。最も詳細。

(3) グレーボックス
ユーザー権限などの限定的な情報を持ってテストする。内部不正者の視点など。

2-6-3. スキャンの形式

(1) パッシブスキャン
ターゲットに対して直接データを送りつけることなく、ネットワーク上を流れるパケットのヘッダー情報やペイロードを「盗み見る」ことで脆弱性や資産情報を収集する手法。
パケットキャプチャを使用して、稼働しているOSのバージョン、利用されているアプリケーションやプロトコル、ネットワークの構成や通信経路を推測する。

メリット
システムへの負荷がゼロ 直接通信しないため、ターゲットの動作に一切影響を与えない。
検知されにくい ターゲットのログにスキャンの痕跡が残らないため、ステルスな偵察に向いている。
重要インフラへの適用 わずかな負荷で停止する可能性がある医療機器(OT)や工場制御システム(ICS/SCADA)など、アクティブスキャンが危険な環境で非常に重宝される。
継続的な監視 常時パケットを監視することで、新しいデバイスがネットワークに繋がった瞬間に検知できる。

デメリット
情報の正確性に欠ける 実際に通信が発生していないサービスや、暗号化されている通信の内容までは把握できない。
時間がかかる 特定の情報を得るためには、その通信が自然に発生するまで待ち続ける必要がある。

(2) アクティブスキャン
スキャナが特定のプロトコルでリクエストを送信し、返ってきた応答(または応答がないこと)から情報を判断する。

仕組み
ポートスキャン 各ポート(1〜65535)に接続を試み、サービスが稼働しているか(Open/Closed/Filtered)を確認する。
Open:そのポートでアプリケーションやサービスがアクティブに待ち受けている(SYN/ACKが返る)。
Closed:そのポートにアクセスは可能だが、待ち受けているアプリケーションが存在しない(RSTが返る)。
Filtered:スキャンパケットが途中で遮断され、ターゲットまで届いていない(応答なし/ICMPエラー)。
バナーグラビング 接続した際に返ってくるテキスト(バナー)から、OSの種類やソフトウェアのバージョンを特定する。
脆弱性診断 既知の脆弱性(CVE)に関連する特有のリクエストを送り、脆弱な反応が返ってくるかを確認する。

メリット
網羅性と正確性 ネットワーク上に存在するが現在は通信していないサービスも含め、強制的に調査できるため、最も確実な情報を得られる。
スピード 通信が発生するのを待つ必要がなく、短時間で全範囲のチェックが可能。
詳細な調査 パッシブでは分からない、複雑な設定ミスや深い階層の脆弱性まで特定できる。

デメリット
システム負荷と可用性への影響 大量のパケットを送るため、ネットワーク帯域を圧迫したり、古い機器や繊細なOT機器(工場や医療用)をフリーズ・停止させたりするリスクがある。
検知されやすい ターゲット側のIDS/IPSやログに「大量の接続試行」として記録されるため、攻撃の予兆として即座に検知される。
誤検知(False Positive) 応答を機械的に判断するため、セキュリティ製品の偽装応答などに騙されることがある。

パッシブスキャン vs アクティブスキャン
比較項目 パッシブスキャン アクティブスキャン
手法 通信を傍受・観察する 実際にパケットを送って応答を待つ
負荷 なし 低〜高
網羅性 通信が発生しているもの限定 強制的にすべてのポートを調査可能
主な対象 ICS/SCADA、医療機器、隠密偵察 一般的なITサーバー、PC、Webアプリ
ツール例 Wireshark, Zeek (Bro), Tenable.ot Nmap, Nessus, OpenVAS

2-6-4. SCA セキュリティコントロールアセスメント

セキュリティコントロールを評価するための米国政府のプロセス。
セキュリティテストと評価(ST&E)プロセスと組み合わされることが多い。

2-6-5. 脆弱性管理の標準化 (SCAP)

(1) OVAL (Open Vulnerability and Assessment Language)
システムに特定の脆弱性が存在するか、特定の構成になっているかを判定するための「チェック項目(判定基準)」を記述する標準言語(XMLベース)。
システムのセキュリティ状態の説明に使用される。

(2) XCCDF (The eXtensible Configuration Checklist Description Format)
セキュリティ設定のチェックリスト(ベンチマーク)を記述するための標準形式。
OVALと連携し、「パスワードの長さは8文字以上か」といったポリシーを記述する。

(3) SCE (Script Check Engine)
OVALだけでは表現できない複雑なチェックを行うために、外部スクリプト(シェルやPowerShellなど)を実行して判定結果を取り込む仕組み。
セキュリティポリシーの定義と相互運用可能なスクリプトを作成できるように設計されている。

2-7. セキュリティの運用

2-7-1. 攻撃の技術

(1) 知られない状態
主にステルス型ウイルス(Stealth Virus)や攻撃者の隠蔽工作のこと。
自身の存在をオペレーティングシステムやアンチウイルスソフトから隠す技術。
OSのシステムコールをフックして、自分に関連するファイルやプロセスを表示させないように偽装する。

(2) メンテナンスフック
ソフトウェア開発段階に、プログラマーがテストやデバッグ、保守作業を効率的に行うために意図的に組み込んだ「裏口」のこと。
通常のログイン手順や複雑な認証プロセスをバイパスして、特定の機能やシステム特権に直接アクセスできるようにするために作られる。
削除し忘れると、攻撃のターゲットとなる(攻撃者がメンテナンスフックを発見した場合、IDやパスワードを知らなくてもシステムをフルコントロールできる)。
また、メンテナンスフックは正規のコードの中に「隠し機能」のように存在するため、通常の監視(IDS / IPS)では検知しにくい。

(3) イースターエッグ
開発者が遊び心で入れる隠しコマンドやメッセージ。
実害がないことが多いが、セキュリティの観点からは「意図しないコードの混入」として同様に禁止される。

(4) TOC / TOU
競合状態を利用した攻撃手法。
TOC (Time of Check) システムが特定の条件(アクセス権があるか、ファイルが安全かなど)をチェックする瞬間
TOU (Time of Use) システムがその条件に基づき、実際にリソースを使用する瞬間
攻撃の仕組み 1. システムが「アクセス許可あり」とチェック(TOC)した直後
2. 実際にファイルを開く(TOU)までのごくわずかな隙を突いて
3. 攻撃者がファイルを悪意のあるものにすり替える
対策 原子性を確保する(チェックと実行を分割不能にする)ことや、共有リソースをロックすること
(5) 隠れチャネル (Covert Channel)
本来通信用ではない経路を利用して情報を伝達する手法。
「信頼できるシステム」において、本来は情報が流れてはいけない(隔離されているはずの)プロセス間で情報を漏洩させるために使われる。
隠れチャネルを「ストレージ」と「タイミング」の2つに分類して理解するのが良い。
隠れストレージチャネル システムの共有リソース(ストレージ領域)を「伝言板」のように使って情報を伝える手法。
あるプロセスが、別のプロセスからも見える共有リソースの状態(ファイル名、空きディスク容量、レジストリ、特定のフラグなど)を変化させ、それを読み取らせることで通信する。
隠れタイミングチャネル システムの処理速度や反応時間を利用して情報を伝える手法。
CPUの負荷を意図的に上げ下げすることで、相手のプロセスの待ち時間を変化させ、その「時間差」を信号として読み取らせる。

(6) パケットインジェクション
正規の通信セッションに対して、攻撃者が作成した不正なパケットを注入する攻撃手法。
通信の途中に割り込み(MITM)、受信側が正規の送信元からのものと誤認するようなパケットを送り込む。

(7) SPIT (Spam over Internet Telephony)
VoIP(IP電話)におけるスパムのこと。一言で表すと迷惑電話。
自動ダイヤルソフトなどを使って、IP電話網に対して大量の勧誘電話や録音メッセージを送りつける行為。
背景 インターネット経由の通話はコストが極めて低いため、従来の電話よりも大規模なスパム攻撃が可能になる。
対策 ホワイトリストの設定、通話頻度の制限(レートリミット)、CAPTCHAのような対話型認証など。

(8) Teardrop攻撃
IPパケットの特性を悪用した古典的なDoS攻撃の一種。
わざと重なり合うように細切れにしたパケットを送りつけ、受信側のOSを混乱させてフリーズやクラッシュさせる。
正常な通信 パケットA(0-99バイト)、パケットB(100-199バイト)のように、綺麗に繋がる。
Teardrop攻撃 パケットA(0-99バイト)に対し、パケットBのオフセットをわざと「60」などに設定して送る。

(9) Land攻撃
送信元と宛先の情報を全く同じにして、ターゲット自身に自分自身へ返事をさせることで、無限ループに陥らせるDoS攻撃。
自分自身の土地(Land)に引きこもってループさせるという名前の由来。
1. 偽装パケットの作成 攻撃者はraw packetを使用して、特殊なTCP SYNパケットを作成。
2. アドレスの偽装 宛先IPアドレス: ターゲットのIP
送信元IPアドレス: ターゲットのIP(偽装)
宛先ポート: ターゲットの開いているポート(例:80)
送信元ポート: 宛先と同じポート(例:80)
3. 無限ループの発生 ターゲットはパケットを受け取ると、「自分自身」から接続要求が来たと勘違いし、自分自身に対して SYN/ACK を返そうとする。
4. リソース枯渇 結果として、ターゲットのOS内部でパケットが循環し続け、CPUリソースを使い果たしたり、ネットワークスタックがクラッシュしたりする。

(10) 論理爆弾 (Logic Bomb)
特定の「条件(イベントや日時)」が満たされたときに発動するように仕込まれた、悪意のあるプログラムコード。
発動するまでは潜伏しており、ウイルスやワームのように自己増殖はしない。
内部脅威による不正行為としてよく例示される。
例:特定のユーザーのアカウントが削除されたとき(=自分が解雇されたとき)、データを消去するコードを仕込む。

(11) 偽造アサーション
SAMLなどのフェデレーション認証(SSO)において、認証成功を証明する「チケット(アサーション)」を攻撃者が勝手に作り出すこと。
仕組み ADFSなどで発行されるアサーションには、発行元の署名が付いている。もし攻撃者が「署名用の秘密鍵」を盗んだ場合、任意のユーザーになりすました「偽のアサーション」を作成できてしまう。
影響 パスワードを知らなくても、その信頼関係にあるすべてのシステム(クラウドサービスなど)にログインできてしまう非常に危険な状態になる。

(12) BEAST (Browser Exploit Against SSL/TLS)
2011年に発表された、TLS 1.0(およびそれ以前のSSL)に存在する脆弱性を悪用した攻撃。
CBCモードの欠陥を利用する。
仕組み 攻撃者は「初期化ベクトル(IV)」を予測することで、暗号化された通信の中からクッキー(セッション情報)などの機密データを解読する。
対策 TLS 1.1以降へのアップグレード、またはRC4暗号の使用。
現在はRC4自体も脆弱とされるため、TLS 1.2/1.3の使用が標準。

(13) CRIME (Compression Ratio Info-leak Made Easy)
2012年に発表された、SSL/TLSの「データ圧縮機能」を悪用した攻撃。
仕組み 暗号化する前にデータを圧縮すると、中身が重複しているほどデータサイズが小さくなる性質を利用する。
攻撃者は、被害者のブラウザに特定の文字列を注入し、圧縮後のサイズの変化を観察することで、少しずつセッションクッキーの内容を推測する。
対策 SSL/TLSレイヤーでのデータ圧縮機能を無効化する。

(14) ブルースナーフィング攻撃
Bluetooth接続の不備を突き、相手の許可を得ることなく端末内の情報をひったくる攻撃。
特定のBluetoothプロトコルの実装エラー(認証のバイパスなど)を悪用する。攻撃者はターゲットのデバイスと「信頼関係」を結ぶことなく、内部のファイルシステムにアクセスする。
結果、相手の端末から勝手にデータ(連絡先、メール、写真など)を盗み出すことができる。

(15) ブルージャッキング
Bluetoothの脆弱性を突いたいたずら目的の攻撃。
攻撃者は自分のデバイス名を「あなたのiPhoneはハックされました」といった文字列に変更し、周囲の端末に「ペアリング」や「名刺送信」のリクエストを送る。
画面に突然メッセージが表示されるだけで、データが盗まれたり、設定が書き換えられたりすることはない。

(16) VLANホッピング
攻撃者が、本来アクセスできないはずの別のVLANへパケットを送り込む攻撃。
手法1:スイッチスプーフィング 自分の端末を「スイッチ」になりすませ、トランクポートとして接続を確立し、全VLANにアクセスする。
手法2:ダブルタギング 2重にVLANタグ(802.1Q)を付け、外側のタグが剥がされた後に内側のタグで別のVLANへ到達させる。
対策 未使用ポートの無効化、デフォルトVLAN(VLAN 1)の使用停止。

(17) クリスマスツリー攻撃
TCPパケットのヘッダーにあるフラグ(FIN, URG, PSHなど)をすべて「ON」にして送りつける攻撃。
名前の由来は、すべてのフラグが立っている様子が、点灯したクリスマスツリーのように見えることから。
受信側のOSやデバイスが、この「あり得ないパケット」を処理しようとしてリソースを消耗したり、エラーを吐いてクラッシュしたりするのを狙う(DoS攻撃)。

(18) スタックキラー
一般的に 「スタックベースのバッファオーバーフロー」 を指す。
メモリのスタック領域を溢れさせ、リターンアドレスを書き換えて実行権限を奪う。
ASLR(アドレス空間配置のランダム化)により対策ができる。

(19) フラググレネード
IPパケットのフラグメンテーション(断片化)の脆弱性を突いた攻撃の通称。
パケットを細切れにして送り、受信側での再構築時に矛盾(オーバーラップなど)を生じさせ、システムをクラッシュさせる(Teardrop攻撃の類似)。

(20) ソルト復元攻撃
パスワードハッシュの安全性を高めるためのソルトを、何らかの手法で特定または再現しようとする攻撃。
背景 通常、ハッシュ化の際にランダムな値(ソルト)を加えることで、レインボーテーブル攻撃(事前の計算テーブルによる攻撃)を無効化する。
攻撃目的 攻撃者がソルトの生成アルゴリズム(例:ユーザー名やIDを元に生成しているなど)を突き止められれば、特定のターゲットに対して効率的に総当たり攻撃を仕掛けることが可能になる。
対策 ソルトは推測不可能な「暗号学的に強力なランダム値」を使用し、ハッシュ値ごとに異なるものにすることが不可欠。

(21) Ping of Death攻撃
ICMPエコー要求パケットのペイロードの仕様で許可されたサイズ (65,535バイト) 以上のデータを送りつける攻撃。

(22) オフ・バイ・ワン・エラー
特殊なバッファーオーバーフロー。具体例としては下記のようなコード。

int myarray[10];
myarray[10] = 8;

(23) SYN-ACK スプーフィング
TCPの3ウェイ・ハンドシェイクを悪用した攻撃。
攻撃者が送信元IPアドレスを「標的のサーバー」のIPに偽装し、大量のSYNパケットを第三者のサーバー(リフレクター)に送る。
第三者のサーバーは、偽装されたIPアドレス(=標的のサーバー)に対して一斉にSYN-ACKパケットを返す。
標的のサーバーは大量の応答パケットにより、リソースが枯渇する。

2-7-2. マルウェアの種類

(1) マルチパータイト型ウイルス
複数の異なる感染手法を組み合わせて攻撃する、非常に高い生存能力を持つウイルス。
通常のウイルスは「ファイル(実行ファイル)」だけに感染するか、「ブートセクタ(OS起動領域)」だけに感染するかのどちらかだが、マルチパータイト型はその両方を同時に狙う。
ファイルを削除しても、ブートセクタに生き残っていれば再感染する。逆にブートセクタを修復しても、感染ファイルを実行すれば再びブートセクタが書き換えられる。

(2) 暗号化ウイルス
アンチウイルスソフトによるシグネチャ検知を逃れるために、自身のコードを暗号化して隠すウイルス。
ウイルスの本体(ペイロード)を暗号化して保存し、実行時にだけ「復号ルーチン」を使って自分自身をメモリ上で解凍して動かす。
暗号化されているため、ウイルス対策ソフトは「中身」を見てウイルスだと判定できない。
ただし、「復号するためのコード(デクリプター)」自体は暗号化できないため、対策ソフトはこのデクリプターのパターンを見つけることで検知を試みる。
ポリモーフィック型ウイルスの場合は感染するたびに暗号鍵や復号コードそのものを書き換えるため、見た目が毎回変わる。より高度な隠蔽工作である。

(3) Stuxnet
2010年頃に発見された、イランの核施設を標的にした世界初の「物理的破壊を目的としたサイバー兵器」とされるマルウェア。
標的 産業用制御システム(SCADA/PLC)。遠心分離機の回転数を制御不能にし、物理的に破壊した。
拡散 4つのゼロデイ脆弱性を悪用し、インターネットに繋がっていない(エアギャップされた)環境へUSBメモリ経由で侵入した。

2-7-3. CISベンチマーク

非営利団体 CIS (Center for Internet Security) が提供している、OSやアプリケーション、クラウド環境などの「セキュアな設定」のベストプラクティス。
特徴 Windows、Linux、AWS、Azure、Dockerなど、数百の製品に対して「何をどう設定すれば安全か」を具体的に示している。
構成管理 システムを安全な初期状態にするためのガイドラインとして使用される。
コンプライアンス 監査において「標準的な対策ができているか」を評価する際の客観的な指標となる。

2-7-4. バックアップのローテーション

(1) Grandfather-Father-Son (GFS)
最も一般的で、階層的なローテーション方式。
運用のルールがシンプルで、日次・週次・月次のバランスが良い。
子 (Son) 毎日のバックアップ(通常は増分または差分)。1週間分(5〜7個)のメディアを使い回す。
父 (Father) 毎週のフルバックアップ。1ヶ月分(4〜5個)のメディアを使い回す。
祖父 (Grandfather) 毎月のフルバックアップ。1年分(12個)またはそれ以上の期間、長期保存する。

(2) ハノイの塔方式
数学のパズル「ハノイの塔」に基づいた方式で、メディアの数を最小限に抑えつつ、保存期間を最大化する。
仕組み メディアに優先順位をつけ、使用頻度を変える。
メディアA:1日おきに使用。
メディアB:4日おきに使用。
メディアC:8日おきに使用。
メリット 少ない本数で非常に古いデータまで保持できる。
デメリット 管理が複雑で、1本でもメディアが破損すると復元が困難になるリスクがある。

(3) 6巻方式 / 10巻方式
比較的小規模な環境で使われる、シンプルな使い回し方式。
仕組み 月曜日から金曜日までの5枚と、予備の1枚(計6枚)を順番に入れ替えて使用します。
メリット 非常に安価で管理が容易。
デメリット 数日〜1週間程度しか遡れず、長期保存には向かない。

2-7-5. シンセティックモニタリングとリアルユーザーモニタリング

(1) シンセティックモニタリング
本物のユーザーの代わりに、ロボット(スクリプト)を使って定期的にシステムを操作し、正常に動いているかを確認するモニタリング方式。
可用性を維持するための基本的な管理策。

仕組み
シミュレーション 「ログインする」「商品をカートに入れる」「決済する」といった一連のユーザー行動(トランザクション)をスクリプト化する。
定期実行 スクリプトを、世界中のさまざまな拠点(監視サーバー)から、5分おきなどの一定間隔で実行し続ける。
判定 応答速度が遅くなったり、エラーが返ってきたりした場合、本物のユーザーが影響を受ける前に管理者にアラートを飛ばす。

メリット
24時間365日の監視 本物のユーザーが一人もいない深夜の時間帯でも、システムが正常に稼働しているかを常にチェックできる。
ベースラインの作成 常に同じ条件(同じスクリプト、同じ環境)でテストするため、システムの「平常時」のパフォーマンスを正確に測定・比較できる。
プロアクティブな対応 実際のユーザーが不具合に気づいてクレームを入れる前に、システム側で問題を検知して修正できる。
SLA(サービス品質保証)の測定 クラウドサービスなどが、契約通りの可用性を提供しているかを客観的に証明するデータになる。

(2) リアルユーザーモニタリング
本物のユーザーのアクセスからデータを収集するモニタリング方式。
「システムが動いている」だけでなく、「ユーザーにとって使い物になる」状態かを判断する指標になる。
実際のユーザーデータを扱うため、PIIを誤って収集しないよう、データの匿名化(マスキング)が不可欠となる。

仕組み
データ収集 ユーザーがブラウザでページを開くと、その読み込み時間やボタンの反応速度が計測される。
送信 計測されたデータがバックエンドの監視サーバーに送信される。
分析 地理的な場所、デバイスの種類、ブラウザ、通信環境ごとの実際のパフォーマンスを可視化する。

メリット
現実のデータの把握 ユーザーが実際に使っているデバイス(古いスマホ、最新のPC)や回線(高速Wi-Fi、不安定な4G)での「真の体験」が分かる。
ビジネスへの影響分析 「ページの読み込みが2秒遅れると、購入率(コンバージョン)が10%下がる」といった、パフォーマンスとビジネス成果の相関を確認できる。
未知の問題の発見 開発者が想定していなかった特定のブラウザや地域特有の不具合を特定できる。

2-7-6. 電子ボールディング

バックアップデータの転送手法の一つ。
定期的なスケジュールに従って、データベースのログや変更箇所を遠隔地のストレージ(保管庫:Vault)へ一括転送する。
対象的な手法として「リモートジャーナリング(リアルタイムでログを転送)」がある。

2-7-7. フォレンジックイメージング

デジタル証拠を収集する際、証拠媒体の完全なコピーを作成する技術的なプロセス。
単なるファイルのコピーではなく、ビット単位で丸ごと複製する。これにより、削除されたデータやスラックスペース(未使用領域)に残った痕跡も保持できる。
書き込み防止装置を用いて、オリジナルの証拠が書き換えられないようにする。

2-7-8. フェイルオーバー装置

メインのシステム(プライマリ)が故障した際に、自動的に処理を引き継ぐ予備の装置や仕組みのこと。
「可用性 (Availability)」 を維持し、サービスの中断時間を最小限にする。

2-7-9. RFCログ

変更要求 (Request for Change) のログ。
誰が、いつ、なぜ、どのような変更(パッチ適用、設定変更など)をシステムに行ったかの証跡となる。
不適切な変更による障害や、不正な操作を追跡するために不可欠。

2-7-10. ネットワークフローレコード

ネットワーク上の通信の「要約」を記録したデータ。代表的なものにCiscoの NetFlow がある。
内容 パケットの中身(ペイロード)ではなく、「誰が(送信元IP/ポート)」「誰に(宛先IP/ポート)」「いつ」「どれだけの量」通信したかというメタデータのみを記録する。
メリット 通信量(パケット全体)を保存するよりも遥かに軽量で、長期間の保存が可能。

2-7-11. 攻撃検知のツール

(1) Tripwire
ホストベースの完全性チェックツール。
システム内の重要なファイルの「ハッシュ値」をあらかじめデータベースに保存しておき、定期的に現在のハッシュ値と比較して、変更があれば「改ざん」としてアラートを鳴らす。
攻撃者が侵入した後に仕込むバックドアやルートキットの検知に有効。

2-8. ソフトウェア開発セキュリティ

2-8-1. プライバシー・バイ・デザイン

システムの設計段階からプライバシー保護の機能を組み込むという考え方。

7つの基本原則
後手に回らず先手を打つ (Proactive not Reactive) 問題が起きる前に防ぐ。
初期設定としてのプライバシー (Privacy as the Default) ユーザーが何もしなくても最初から保護されている。
デザインへの組み込み セキュリティを後付けの機能にしない。
ポジティブサム (Positive-Sum) セキュリティと利便性の両立(トレードオフにしない)。
エンドツーエンドの保護 データのライフサイクル全体を保護。
可視性と透明性 処理内容をオープンにする。
ユーザー中心 ユーザーの利益を最優先する。

2-8-2. スクリーンスクレーピング

表示画面からデータを「削り取る(scrape)」ように抽出する技術。
データ連携用のAPIなどが用意されていないレガシーシステムからデータを取り出すために、画面上に表示されているテキスト情報や構造をプログラムで読み取る。
RPA(ロボティック・プロセス・オートメーション)などのツールで、古いシステムと新しいシステムを繋ぐ際によく使われる手法。
下記のようなセキュリティ上のリスクがある。
認証情報の露出 IDやパスワードを自動入力させる過程で、スクリプト内に認証情報が平文で保存されたり、メモリ上で露出したりする可能性がある。
脆弱な実装 APIなどの正規のデータアクセス経路を通らないため、入力値の検証が不十分になり、インジェクション攻撃などの隙を生むことがある。

2-8-3. ミューテーションテスト

テスト自体の品質をテストするための手法。
「作成したテスト項目が、バグをちゃんと見つけられるほど強力かどうか」を評価するために行われる。
あえてプログラムに「小さなバグ」を仕込み、テストがそれを検知できるかを確認する。
ソースコードを直接改変するため、ホワイトボックステストの一種に分類される。

2-8-4. ミスユースケーステスト

「攻撃者がシステムをどう悪用(ミスユース)するか」という視点で行うテスト。
正常な動作だけでなく、攻撃シナリオを事前に想定することで、それに対する防御機能(アカウントロック、入力値検証など)が設計に組み込まれているかを確認できる。
ユースケース 例:ユーザーが正しいパスワードを入力して、ログインに成功する。
ミスユースケース 例:攻撃者が他人のIDを使い、ブルートフォースでログインを試みる。
アビューズケース ミスユースケースとほぼ同義だが、より「機能の悪用(例:メッセージ機能をスパムに使う)」に焦点を当てた言葉として使われる。

2-8-5. レビュー手法

(1) パスアラウンドレビュー
作成したコードやドキュメントを、メールや共有フォルダ、またはレビュー専用ツール(GitHubのPull Requestなど)を通じて、複数のレビュアーに「回覧(パスアラウンド)」してコメントをもらう形式。
非公式(インフォーマル)なコードレビュー手法の一種。
全員が同じ時間に集まる必要がない。準備が少なく、日常的に行われる。
(2) Faganインスペクション
最も厳格(フォーマル)で形式的なレビュープロセス。1970年代にIBMのMichael Faganによって提唱された。
非常にコストがかかるが、欠陥検出率が最も高い手法。重要なミッションクリティカルなシステムの開発に採用される。
計画、概要説明、準備、インスペクション、コードの修正、フォローアップの順序で行う。

2-8-6. 脅威モデリング

(1) PASTA
リスク中心のアプローチ。
7つのステップで構成され、攻撃者の視点をシミュレートしつつ、ビジネス目標や影響を重視する。

(2) VAST
自動化とスケーラビリティを重視。
アジャイル開発やDevOpsに統合しやすいよう設計されており、設計者向けと開発者向けの2つの視点を持ってる。。

(3) DREAD図
Microsoftが提唱した脅威評価モデル。各項目を0〜10点でスコア化し、リスクの優先順位を決める。
D (Damage) 損害。攻撃が成功したとき、どれだけひどい被害が出るか。
R (Reproducibility) 再現性。攻撃を繰り返すのはどれくらい簡単か。
E (Exploitability) 悪用可能性。攻撃を実行するのにどれくらいの技術が必要か。
A (Affected Users) 影響を受けるユーザー。どれくらいの範囲のユーザーが被害に遭うか。
D (Discoverability) 発見可能性。その脆弱性はどれくらい見つけやすいか。

2-8-7. SCA ソフトウェア構成分析

(1) PASTA
リスク中心のアプローチ。
7つのステップで構成され、攻撃者の視点をシミュレートしつつ、ビジネス目標や影響を重視する。

(2) VAST
自動化とスケーラビリティを重視。
アジャイル開発やDevOpsに統合しやすいよう設計されており、設計者向けと開発者向けの2つの視点を持ってる。。

2-8-8. 安全な設計

(1) フェイルオープン
システムやデバイスに障害が発生した際、セキュリティをあえて解除して「通過可能(オープン)」な状態にする設計思想。
可用性や人命の安全を、機密性よりも優先する。
例:火災時の電子錠で、停電や火災報知器の作動時に、避難を妨げないよう自動的に解錠する。

(2) フェイルクローズ
障害時に「遮断(クローズ)」する設計。機密性を優先する。
例:銀行の金庫(電力が切れても開かない)、認証サーバー(停止中は誰もログインできない)。

2-8-9. 低減分析

リスクの発生可能性や影響度を低下させるための施策を策定するプロセス。
信頼境界、データフローパス、入力ポイント、特権操作、セキュリティコントロールに関する詳細情報という5つの主要な要素に分解する。
信頼境界 データが異なる信頼レベルの間を移動する場所。
例:インターネットから社内網へ
データフローパス データがシステム内を移動する経路。
入力ポイント ユーザーや外部システムからデータを受け取る場所。
特権操作 管理者権限が必要なアクション。
セキュリティコントロールに関する詳細情報 資産を保護するためにどのような対策が適用されているか、あるいは何が必要かを評価するための具体的かつ技術的な情報。

4. ゲーミング

4-1. ティアリング

ゲーム中に画面にノイズのような横線が表示される場合、GPUとディスプレイで表示に同期ズレ(ティアリング)が発生していると考えられる。
下記2点の設定を見直すことで、ティアリングは解消することができる。

(1) ディスプレイ(TV)の設定で"ゲーミングモード"を有効にする。
(2) GPUやゲームの設定で"垂直同期(VSync)"を有効にする。
※ゲーミングモードとは、ゲームプレイに最適化された表示設定を適用し、表示の遅延を減らす機能。

4-2. ディスプレイ設定

設定項目 用途 有効時の影響 無効時の影響
DNR ・古いDVDや低ビットレートの動画など、元の映像にノイズが多い時
・暗いシーンが多い映画で、ザラザラした粒状感が気になる時 		・暗いシーンのザラザラした粒状感が減る
・肌や壁などの細かい質感が少しぼやける
・動きの速い場面で残像が出やすくなる
・全体的に柔らかい印象になる 		・細部のディテールがくっきりする
・ノイズもそのまま見える
・動きの速い場面での残像が減る
・表示の遅延が少なくなる
MPEG NR ・ストリーミング動画でビットレートが低い時
・古い録画番組など、映像の圧縮artifactsが目立つ時 		・低ビットレート動画の四角いブロックノイズが減る
・文字の周りのモヤモヤが軽減される
・細部が少し溶けたように見えることがある
・映像処理が増えるため、遅延が増えることがある 		・文字やUIがくっきりする
・細部のディテールはそのまま
・表示の遅延が少なくなる
・ゲームでは最も自然な表示になる
Adaptive Luma 映像鑑賞で明暗を自動最適化したい時 画面輝度が自動で変動する 輝度が安定する
SDR to HDR HDR非対応コンテンツをHDR風に見せたい時 コントラストや色域が拡張される 元のSDR表示が維持される

(1) DNR (デジタルノイズリダクション)

DNRは、映像のノイズをソフトウェア的に除去する処理で、フレーム内の空間ノイズやフレーム間の時間的ノイズを低減する。
暗所や低画質ソースで有効だが、処理が強いと輪郭がぼやける・動きで残像や不自然な補正が出ることがある。
ゲーミングPC用途では「無効」にするのが推奨。

(2) MEPG NR (MPEGノイズリダクション)
MPEG NRは映像圧縮(MPEG系)で生じるブロックノイズやモスキートノイズを抑えるための処理で、放送やストリーミング映像に有効。
リアルタイムレンダリング(PCゲーム)では不要かつ逆に画質劣化や遅延を招く場合がある。
ゲーミングPC用途では「無効」にするのが推奨。
※PC→HDMIケーブル→ディスプレイという接続の場合、映像は非圧縮のため本機能は不要。

(3) Adaptive Luma
画面の明るい部分・暗い部分をリアルタイムで解析し、輝度(Luminance)を自動で上下させて見やすくする機能。
動きの多いゲームで誤検出しやすく、視認性低下を招く可能性がある。また、処理に負荷がかかるため表示の遅延にもつながる。
ゲーミングPC用途では「無効」にするのが推奨。

(4) SDR to HDR
SDR to HDRは、ディスプレイがSDR映像を疑似HDRに変換して表示する映像処理機能。
明るさやコントラスト、色の鮮やかさを調整することで、SDR映像を「HDR風」の見た目に変換する。
ゲーミングPC用途では「無効」にするのが推奨。

SDR (Standard Dynamic Range)とは、従来から広く使われてきた標準的な明るさ(輝度)と色の範囲で映像を表現する規格。
HDR (High Dynamic Range)と対比され、暗い部分と明るい部分の差が限定的で、白飛びや黒つぶれが起こりやすいものの、多くのコンテンツで標準的に利用されている。

5. Linuxコマンド集

5-1. スペック表示系

コマンド 動作
lscpu CPU情報を表示する。
free メモリ情報を表示する。

-m : メガバイトで表示
-g : ギガバイトで表示
lsblk HDD情報を表示する。
df HDDの使用量や空き容量を表示する。
-h : GB/MBなどの適当な単位で表示する
du [ディレクトリ] 指定したディレクトリのサイズを表示する。

-s : ファイルの詳細は表示しない
-h : GB/MBなどの適当な単位で表示する

5-2. パッケージ操作系

コマンド 動作
dnf パッケージをインストール・アップデートする。

-y : 確認をすべて「yes」で進める
install : 未インストールのパッケージをインストール
update : インストール済みのパッケージをアップデート
remove : パッケージのアンインストール
check-update : アップデート可能なパッケージを確認
repolist : リポジトリのリストを表示
--exclude=kernel* : カーネル以外をアップデート
--nobest : 最適候補のパッケージのみインストール
--skip-broken : インストール不可のパッケージをスキップ
/bin/rpm -qa | grep [パッケージ名] インストール済みのパッケージを検索する。
wget [URL] URLからファイルをダウンロードする。

-q : メッセージを表示しない
-P [ディレクトリ] : ダウンロードしたファイルをディレクトリに保存
-O [ファイル名] : ファイル名を指定してダウンロード
※"-O -"にすると、保存したファイルを標準出力する("-"は標準出力という意味)

5-3. ユーザー操作系

コマンド 動作
id [ユーザー名] ユーザーが所属するグループを確認する。
useradd [ユーザー名] 新規ユーザーを追加する。

-d : ログインディレクトリを設定
-g : グループIDを設定
-m : ホームディレクトリを作成
-u : ユーザーIDを設定
userdel [ユーザー名] ユーザーを削除する。

-r : ホームディレクトリも削除
usermod -aG [グループ名] [ユーザー名] ユーザーをグループに追加する。
gpasswd -d [ユーザー名] [グループ名] ユーザーをグループから削除する。
passwd [ユーザー名] ユーザーに対してパスワードを設定する。
cat /etc/passwd ユーザー一覧を表示する。
su [ユーザー名] ユーザーを切り替える。
whoami 自分のユーザー名を表示する。

5-4. ファイル操作系

コマンド 動作
ls ディレクトリ内のファイル・フォルダを表示する。

-l : 詳細情報(権限やサイズ)を表示
権限の例 : drwxr-xr-x
1文字目 : 種別("d"はディレクトリ、"-"はファイル、"l"はシンボリックリンク)
2-4文字目 : 所有者に対する権限
5-7文字目 : グループに対する権限
8-10文字目 : その他に対する権限

-a : 隠しフォルダを表示
-h : サイズをわかりやすい形式で表示
vi [ファイル名] ファイルをテキストエディタで開く。
cat [ファイル名] ファイルの内容を表示する。
tail [ファイル名] ファイルの内容を末尾から指定した行数だけ表示する。
-n 数字:指定した行数だけファイルの内容を表示する(オプションなしの場合は10行)
head [ファイル名] ファイルの内容を先頭から指定した行数だけ表示する。
-n 数字:指定した行数だけファイルの内容を表示する(オプションなしの場合は10行)
pwd 現在のディレクトリを表示する。
mkdir [ディレクトリ名] ディレクトリを作成する。

-p : ディレクトリが存在しない場合のみ作成
touch [ファイル名] 空のファイルを作成する。
mv [移動元のファイル] [移動先のディレクトリ] ファイルを移動する。

-f : 同名のファイルがあっても確認せずに上書き
-u : 同名のファイルのほうが新しい場合は移動しない
-b : 上書きされるファイルのバックアップを作成する
-v : 経過を表示する
rm [ファイル名] ファイルを削除する。

-r [ディレクトリ名]:ディレクトリを削除(サブディレクトリも削除)
chown [ユーザー名]:[グループ名] [ディレクトリ名/ファイル名] ディレクトリ/ファイルの所有権をユーザー・グループに変更する。

-R:サブディレクトリの所有権も変更
chmod [権限] [ディレクトリ名/ファイル名] ディレクトリ/ファイルの権限を変更する。

例:chmod 764 hoge.hoge.txt
hoge.txtに対する権限を、所有者はrwx、グループはrw-、その他はr--に変更
4 : r(読取許可)
2 : w(書込許可)
1 : x(実行許可)
tar [ファイル名] 指定したファイルを圧縮 / 解凍する。

c:ファイルを圧縮する
x:ファイルを解凍する
z:gzip形式(*.gz)で圧縮 / 解凍する
j:bzip2形式(*.bz2)で圧縮 / 解凍する
J:xz形式(*.xz)で圧縮 / 解凍する
v:処理したファイルを詳しく出力する
f:ファイル名を指定する

例:tar xvzf ファイル名
ファイル名を指定してgzip(*.gz)を解凍する、処理したファイルを詳しく出力する
xz [ファイル名] 指定したxz形式ファイルを圧縮 / 解凍する。

-k:ファイルを圧縮する
-d:ファイルを解凍する
-v:処理したファイルを詳しく出力する

例:xz -dv ファイル名
ファイル名を指定してxz(*.xz)を解凍する、処理したファイルを詳しく出力する
unzip [ファイル名] 指定したzipファイルを解凍する。
md5sum [ファイル名] ファイルのMD5を計算する。
tee [ファイル名] 入力内容をファイルに書き込み(上書き)、標準出力に出力する。

-a : ファイルに追記する

5-5. ネットワーク系

コマンド 動作
nmcli ネットワークの設定・状況を確認する。

device:ネットワークアダプタの状況を確認
ifconfig IPアドレスを確認する。
ip a IPアドレスを確認する。
※最近はifconfigからipへ以降が進んでいる。
ip address show IPアドレスを確認する。
※MACアドレスも表示する。
ss 接続待ちをしているポートを表示する。

-atn : TCPポートのみ表示
-anu : UDPポートのみ表示
-atnu : TCP・UDP両方のポートを表示
-t : 接続が確立しているポートを表示
ssh [ホスト名] SSH接続する。

-p : ポート番号を指定
-l : ユーザー名を指定 -i : 鍵ファイルを指定
firewall-cmd ファイアウォールの操作。

--list-all : 現在の設定を表示
--add-service : 開放するサービスの追加
--add-port : 開放するポートの追加
--zone=[ゾーン名] : ゾーンの指定
--remove-service : 開放するサービスの削除
--permanent : 再起動後も設定を維持
sftp [ユーザー名]@[ホスト名] SFTP接続する。

-P : ポート番号を指定 ※ホスト名の前に指定すること
-i : 鍵ファイルを指定 例:sftp -P 22 user01@file.sample.com
sftp [ユーザー名]@[ホスト名] SFTP接続する。

-P : ポート番号を指定 ※ホスト名の前に指定すること
-i : 鍵ファイルを指定
例:sftp -P 22 user01@file.sample.com
curl [URLなど] 様々なプロトコルで通信を行うコマンド

-o : 任意の名前を指定して取得したデータを保存
-O : URLの末尾を自動でファイル名にして取得したデータを保存
-s : データを保存中、進捗状況を表示
-I : HTTPレスポンスヘッダの内容を表示

5-6. システム系

コマンド 動作
demsg カーネルが起動後〜現在まで出力したメッセージを確認する。

-w:リアルタイムで新しいメッセージが出力されるのを待つ
-l:表示するレベルを指定、「emerg(高)」「alert」「crit」「err」「warn」「notice」「info」「debug(低)」からカンマ区切りで複数選択可能
journalctl システムログを表示。
--since "YYYY-MM-DD hh:mm:ss":YYYY-MM-DD hh:mm:ssからのログを表示
--until "YYYY-MM-DD hh:mm:ss":YYYY-MM-DD hh:mm:ssまでのログを表示
-p:レベルを絞り込み
  指定できるレベルはemerg, alert, crit, err, warning, notice, info, debugまたは0-7の数字
  err..alertのように指定するとerrからalertまで範囲指定できる
  err, warningなど、カンマ区切りで複数選択はできない
-b:起動時からの全メッセージを表示(-b 2 にすると2回前の起動時のメッセージを表示)
-e:最近のメッセージを表示
-xe:最近のメッセージを詳細情報を含めて表示
-u ユニット名:特定のサービスのメッセージのみ表示(-u sshd など)
--no-pager:ページャ表示しない(grepに渡す場合などに使用)
systemctl サービスの状態を確認する。

list-units --type=service:一覧表示
statu [サービス名]:サービスの状態を表示
shutdown シャットダウンを行う。

-r : 再起動
-h : シャットダウン後、システム停止
now : 今すぐ実行
timedatectl システム時刻を表示する。

list-timezones : 使用可能なタイムゾーンの一覧を表示
set-timezone [タイムゾーン名] : タイムゾーンを設定
date 現在時刻を表示する。
hostname ホスト名を表示する。

hostname [任意の名前] : ホスト名を変更
ps [文字列] 実行中のプロセスを表示する。

a : 端末を持つすべてのプロセスを表示する
x : 端末を持たないすべてのプロセスを表示する
u : ユーザー指向のフォーマットで表示する
-A, -e : すべてのプロセスを表示する。
lsmod 組み込まれているモジュールの一覧を表示する。
getenforce SELinuxのステータスを表示する。返り値は下記の3通り。

Enforcing : 有効(制御有+ログ出力有)
Permissive : 有効(制御無+ログ出力有)
Disabled : 無効

5-7. テキスト処理系

コマンド 動作
grep [文字列] 文字列を検索する(ファイルでも、コマンドの出力結果でも)。

-i : 大文字・小文字を区別せずに検索する
-v : 文字列に一致しないものを検索する
-r : ディレクトリ内も検索する(再帰検索)
-a : バイナリをテキストとして検索する
-c : 検索にヒットした件数を表示する
grep '^127.0.0.1'のように正規表現を使うことで、「先頭が127.0.0.1の行」という抽出もできる
awk '{ アクション }' インプットに対してアクションを行う

{ print $0 } : 行全体を出力
{ print $1 } : 1番目のフィールドを出力
{ print $2 } : 2番目のフィールドを出力
※ awkコマンドではインプットの内容を列に分割して、フィールドとして扱う