● 84 entries
ID とアクセス
- AAA フレームワーク認証 (Authentication)、認可 (Authorization)、アカウンティング (Accounting) の 3 つの機能を直列に組み合わせた基本的なアクセス制御モデル。
- Active Directoryマイクロソフトが提供する Windows ネットワーク向けの企業ディレクトリサービスで、ユーザー・コンピュータ・リソースに対する認証、認可、ポリシー管理を一元化する。
- API キーサービスが発行する静的なシークレット文字列。呼び出し元を識別・認証するため、通常は各 API リクエストのヘッダーやクエリパラメータで送信される。
- BPF LSM検証済み eBPF プログラムを LSM フックに装着し、システムコール・ファイル・ソケット・capability に対するカスタム MAC 判定を強制できる Linux Security Module。
- CSRF トークンセッションごとに予測不能な値をフォームやヘッダーに埋め込み、状態を変える要求が自サイトから出たことをサーバーが確認できるようにする仕組み。
- FIDO2FIDO アライアンスの開かれた認証規格で、WebAuthn(ブラウザ API)と CTAP(認証器プロトコル)を組み合わせ、フィッシング耐性のあるパスワードレスサインインを実現する。
- HMAC ベースのワンタイムパスワード (HOTP)RFC 4226 で定義され、共有秘密と単調増加するカウンタから短いコードを導出するイベント型のワンタイムパスワードアルゴリズム。
- JWT(JSON Web Token)署名付き JSON クレームを運ぶ、コンパクトで URL セーフなトークン形式(RFC 7519)。アクセストークン、ID トークン、セッションコンテナとして広く使われる。
- Kerberos対称鍵暗号と信頼された鍵配布センターを用いたチケットベースのネットワーク認証プロトコルで、サービス横断のシングルサインオンを安全に実現する。
- LDAPLightweight Directory Access Protocol。階層型ディレクトリサービスを TCP/IP で問い合わせ・更新する IETF 標準で、通常はポート 389、TLS 利用時はポート 636 を使う。
- Linux CapabilitiesPOSIX.1e ドラフトに基づく Linux カーネル機能で、全能の root 権限を 40 以上の細分化された capability に分割し、プロセスやファイルへ個別に付与できるようにする。
- MFA 疲労攻撃(プッシュ爆撃)正しいパスワードを得た攻撃者が大量の MFA プッシュ通知を被害者に送りつけ、混乱や面倒さから誤って承認させる攻撃。
- NTLM 認証保存されたパスワードハッシュからユーザー身元を証明する Windows 旧来のチャレンジ・レスポンス認証プロトコルで、現代の基準では弱いと評価されている。
- OAuth 2.0リソース所有者が資格情報を共有せずに、サードパーティ製アプリへ API に対する制限付き・スコープ付きのアクセスを委譲できる、オープンな認可フレームワーク。
- OpenID Connect (OIDC)OAuth 2.0 上に構築された ID レイヤーで、クライアントが署名付き ID トークンを通じて利用者の身元を検証し、基本プロフィールを取得できるようにする。
- SAMLID プロバイダとサービスプロバイダのあいだで、認証および認可に関するアサーションを交換するための XML ベースのオープン標準。
- SeDebugPrivilege保持者が LSASS を含む任意プロセスのメモリを開いて読み書きできる、極めて強力な Windows 特権。資格情報窃取を狙う攻撃者にとって最重要のターゲットとなる。
- Signal プロトコルSignal メッセンジャー向けに Open Whisper Systems が開発したエンドツーエンド暗号プロトコルで、X3DH 鍵共有と Double Ratchet アルゴリズムを組み合わせる。
- U2F (Universal 2nd Factor)FIDO アライアンスの開かれた認証規格で、USB、NFC、Bluetooth のセキュリティキーによってパスワードにハードウェア第二要素を追加する。
- WebAuthnW3C 標準の JavaScript API で、プラットフォーム認証器やローミング認証器に保存された公開鍵資格情報を用いて Web アプリが利用者を登録・認証できるようにする。
- アイデンティティとアクセス管理 (IAM)デジタルアイデンティティを定義し、どの ID がどの条件下でどのリソースにアクセスできるかを制御するための技術領域と仕組み。
- アカウンティング (AAA の Accounting)AAA フレームワークの 3 本目の柱で、認証済み ID がいつ・どこから・どのリソースに対して何を行ったかを記録し、監査や課金に用いる仕組み。
- アカウントロックアウト連続失敗回数が設定された閾値を超えた場合に、ログイン試行を一時的または恒久的にブロックし、オンラインでのパスワード推測攻撃を遅延させる制御。
- アカウント列挙対象システムに存在するアカウントやメールアドレス、電話番号を、アプリのレスポンスの差から特定する攻撃。
- アクセストークン認可サーバーが発行する短命の資格情報。クライアントが API に提示し、ユーザーやサービスの代わりに保護リソースへアクセスする。
- あり得ない移動の検知同一アイデンティティの連続したサインインが、経過時間内に現実的には移動不可能なほど離れた地理位置から行われた場合に警告する検知。
- エンドツーエンド暗号化 (E2EE)通信の両端のみが鍵を保有し、中継サーバーやネットワーク事業者は平文を読めない暗号化モデル。
- カーネルモードとユーザーモード現代の OS が CPU 上で強制する 2 つの特権レベル。カーネルモード(スーパーバイザ、リング 0)はハードウェアへのフルアクセスを持ち、ユーザーモード(リング 3)は自身のアドレス空間と一部命令のみに制限される。
- クレデンシャルボールトパスワード、API キー、証明書、SSH 鍵などの機密を安全に保管・ローテーション・仲介する、集中管理された監査可能なサービス。
- クレデンシャル収集ユーザー名・パスワード・トークンなど認証情報を大量に集める行為で、通常はその後のアカウント乗っ取りや売買に使われる。
- サービスアカウントアプリケーション・スクリプト・サービスが他のシステムに認証するために用いる非人間アイデンティティで、通常は対話的ログインを行わない。
- ジャストインタイムアクセス(JIT)必要なタイミングと作業範囲に限定して高い権限を一時的に付与し、終了後に自動で剥奪するアクセスモデル。
- シングルサインオン (SSO)信頼できる ID プロバイダで一度だけログインすれば、再度資格情報を入力せずに複数のアプリにアクセスできる認証方式。
- ステップアップ認証現在のセッションで認可された権限よりリスクの高い操作を行う際に、追加または強力な認証要素を要求するパターン。
- セキュアメッセージングアプリ既定でエンドツーエンド暗号化、本人確認、前方秘匿性を適用し、参加者だけがメッセージを読めるよう設計された通信アプリ。
- セッショントークン認証後に発行される不透明な識別子。クライアントが各リクエストで送り返し、サーバーはそれをキーにユーザーのセッション状態を引き当てる。
- セッションリプレイ実ユーザーセッションの DOM・クリック・スクロール・キー入力を記録し、あとから再生して分析できるようにする UX 分析手法。
- セッション管理認証済みセッションを発行・維持・更新・失効させる一連のコントロール。ログアウトや期限切れまで、利用者の身元を後続のリクエストに紐付ける。
- ソーシャルログインGoogle、Apple、Microsoft、Facebook、GitHub などの既存 ID を使ってサードパーティのサイトにサインインする認証パターン。
- デジタルアイデンティティオンラインシステム上で人・組織・デバイスを表す、識別子・クレデンシャル・属性の組み合わせ。
- トークン偽装(Token Impersonation)既存のアクセストークンを複製して別ユーザーのセキュリティコンテキストでコードを実行する Windows の権限昇格手法(MITRE ATT&CK T1134)。
- パスキー (Passkey)フィッシング耐性のある FIDO2/WebAuthn 資格情報。端末に紐付くか同期可能な非対称鍵ペアで、パスワードを暗号学的チャレンジ-レスポンスに置き換える。
- パスフレーズ認証用の秘密として使われる長い単語列または文字列。複雑さよりも高いエントロピーと覚えやすさを重視して選ばれることが多い。
- パスワード利用者がシステムに対して身元を証明するために提示する秘密の文字列。伝統的に単一要素認証の主流。
- パスワードエントロピーパスワードの予測しにくさをビット単位で表す指標で、エントロピーが高いほど攻撃者に必要な試行回数が多くなる。
- パスワードの使い回し複数のアカウントやサービスで同じパスワードを使う習慣で、1 つの漏えいから多数のアカウントが侵害される原因になる。
- パスワードポリシーユーザーパスワードの生成、保存、更新、検証に関するルールを文書化したもので、セキュリティと利便性のバランスを取るために定められる。
- パスワードマネージャー強力かつ一意な資格情報を生成・保管・自動入力するアプリケーション。マスターパスフレーズで保護され、近年は passkey との併用も進んでいる。
- フェデレーテッド ID別々の組織やドメインが共通の ID プロバイダを信頼し合うことで、利用者が同じ ID をどこでも使えるようにする仕組み。
- プッシュ認証ID プロバイダーが信頼済みのモバイルアプリにサインイン要求を送り、利用者がタップ操作で承認または拒否する MFA 方式。
- ベアラトークン(Bearer Token)RFC 6750 で定義された不透明あるいは構造化された資格情報。所持しているだけでリソースへのアクセス権が与えられ、本人確認は行われない。
- マジックリンク認証ユーザーが受信したワンタイム URL(メールや SMS)をクリックするだけでセッションが認証される、パスワードレス方式。
- マシン IDワークロード・デバイス・コンテナ・API クライアントなど非人間エンティティが他システムと認証・信頼関係を結ぶための暗号学的アイデンティティ。
- ユーザー アカウント制御(UAC)Windows Vista で導入されたセキュリティ機能。対話セッションを制限付きトークンで実行し、管理者操作で昇格する前に同意または資格情報の入力を求める。
- ユーザー名列挙ユーザー名そのものが存在するかどうかをアプリのレスポンスから判定する、アカウント列挙の一形態。
- リスクベース認証 (RBA)サインインごとにリアルタイムでリスクスコアを算出し、許可・追加認証・拒否といった応答を切り替える認証戦略。
- リフレッシュトークンユーザーの再ログインなしに、OAuth 2.0 認可サーバーから新しい短命なアクセストークンを取得するために用いる長命の資格情報。
- ロールベースアクセス制御(RBAC)権限をユーザーに直接ではなくロールに付与し、ユーザーはロール割り当てを通じてアクセス権を継承する認可モデル。
- ワークフォースアイデンティティ組織の従業員・委託先・内部サービスのアイデンティティ、クレデンシャル、アクセス権を扱う領域。顧客向け CIAM とは区別される。
- ワンタイムパスワード (OTP)1 回のログインまたは短い時間枠の間だけ有効な短い数字コード。通常は第 2 認証要素として使われる。
- 強制アクセス制御(MAC)リソース所有者ではなく中央のポリシーが、主体と客体に付与された機密区分やクリアランスに基づいてアクセスを強制するモデル。
- 継続的認証ログイン時だけでなく、行動シグナルやデバイスシグナルを用いてセッション全体にわたりユーザー本人性を検証し続ける認証アプローチ。
- 検証可能なクレデンシャル(Verifiable Credential)ある主体について発行者が行う、改ざん検知可能で暗号学的に署名された主張を、W3C Verifiable Credentials データモデルで表現したもの。
- 行動的生体認証打鍵リズム・マウス操作・歩行・タッチ操作などのユーザー固有の振る舞いをプロファイル化し、なりすましを検知する継続認証技術。
- 最小権限の原則ユーザー・プロセス・サービスに対し、その業務に厳密に必要な権限だけを付与し、それ以上は与えないというセキュリティ原則。
- 時間ベースのワンタイムパスワード (TOTP)RFC 6238 で定義され、共有秘密と現在時刻から短いコードを導出して 30 秒ごとに更新するワンタイムパスワードアルゴリズム。
- 時間要素 (認証)アクセスを時間帯・曜日・セッション持続時間に基づいて制限・評価する文脈的認証要素で、リスクベースのポリシーと組み合わせて用いられることが多い。
- 自己主権アイデンティティ(SSI)個人や組織が、中央集権的なアイデンティティプロバイダに頼らず、自身のクレデンシャルを保持し直接提示するアイデンティティモデル。
- 所持要素 (あなたが持っているもの)ハードウェアトークン、スマートカード、認証アプリ、登録済み端末など、ユーザーが保有する物理的または暗号的な対象に基づく認証要素。
- 場所要素 (あなたのいる場所)GPS 座標、IP ジオロケーション、オフィスの Wi-Fi など、ユーザーの地理的・ネットワーク的な所在を用いてサインインを評価する文脈的認証要素。
- 生体認証指紋・顔・虹彩・声紋など、個人固有の身体的・生理的特徴によって本人確認を行う認証方式。
- 生体要素 (あなた自身)指紋・顔・虹彩・声・タイピングリズムなど、ユーザーの生体的特徴に基づく認証要素。
- 相互認証通信する双方(クライアントとサーバー、または 2 つのサービス)がデータ交換前に互いの身元を暗号学的に証明する認証方式。
- 属性ベースアクセス制御(ABAC)主体・リソース・アクション・環境の属性に基づいてポリシーを評価し、アクセス要求の許可可否を判断する認可モデル。
- 多要素認証 (MFA)アクセスを許可する前に、通常は異なるカテゴリに属する 2 つ以上の独立した要素を要求する認証方式。
- 知識要素 (あなたが知っているもの)パスワード・PIN・パスフレーズ・秘密の質問の答えなど、ユーザーが知っている情報に基づく認証要素。
- 適応型認証デバイス、位置情報、振る舞いなどのシグナルに応じて、要求する認証要素の強度と数をリアルタイムに調整する認証方式。
- 特権アクセス管理(PAM)管理者権限を持つアカウントやシステムへのアクセスを安全に管理・制御・監視・監査するためのプラクティスとツールの総称。
- 二要素認証 (2FA)本人確認のために、通常はパスワードに加えてもう 1 つの要素を必要とする、ちょうど 2 要素の多要素認証。
- 任意アクセス制御(DAC)リソース所有者が、誰にどの操作を許可するかを自由に決定するアクセス制御モデル。
- 認可認証済みの ID が、どのリソースに対してどの操作を、どの条件下で実行できるかを判断するプロセス。
- 認証アクセス権を与える前に、利用者・端末・サービスが本当に名乗っているとおりの実体であることを確認するプロセス。
- 分散型識別子(DID)W3C 標準で定義され、主体自身が直接管理する識別子。中央集権的なレジストリに依存せず、暗号鍵情報を持つ DID Document に解決される。
- 漏えいパスワード (Pwned Password)既知の情報漏えいに含まれていたパスワード。Troy Hunt 氏の Have I Been Pwned により公開されており、ユーザーの秘密として使用してはならない。