● 120 entries
ネットワークセキュリティ
- 5G セキュリティ3GPP TS 33.501 で定義される 5G モバイルネットワークのセキュリティアーキテクチャ。加入者の秘匿性、相互認証、シグナリングおよびユーザプレーンの保護を扱う。
- Always-On VPNネットワークが利用可能になり次第 VPN トンネルを自動確立し、トンネル外通信を拒否する端末レベルのポリシー。Windows、Apple、Android のプロファイルで強制される。
- ARC (Authenticated Received Chain)RFC 8617 で定義されるメール規格。各中継者が直前までの検証結果に暗号署名を付与することで、転送を経ても認証結果を保持できる。
- ARPRFC 826 で定義されたデータリンク層プロトコルで、同一ブロードキャストドメイン内のホストの IPv4 アドレスを MAC アドレスに対応付け、フレーム配送を可能にする。
- BGP ハイジャック攻撃者の自律システム(AS)が、自分が正規に保有していない IP プレフィックスを広告し、世界中のインターネットトラフィックを引き寄せ、必要に応じて傍受する攻撃。
- BGP ルートリークAS が想定されたビジネス関係を超えて経路を広告してしまう意図しない BGP 伝播。グローバルなトラフィックを誤った AS へ流し込むことが多い。
- BIMI対応メールクライアントで認証済みメッセージの横にブランドロゴを表示できるメール規格。DMARC ポリシーが quarantine または reject であることが前提となる。
- CDN セキュリティCDN セキュリティは、コンテンツ配信ネットワークのグローバルエッジを利用し、ユーザー近傍で TLS を終端しつつ DDoS 防御・WAF・ボット管理・TLS の安全運用を提供します。
- CIDR 表記Classless Inter-Domain Routing 表記は、アドレスにスラッシュと有効ビット数を続けて IP プレフィックスを表す書式で、例として 10.0.0.0/8 のように記す。
- DANERFC 6698 で定義されるプロトコル群。DNSSEC で署名された TLSA レコードによって TLS サーバ証明書や公開鍵をサービスに紐付け、公的 CA への依存を軽減する。
- DDoS 緩和DDoS 緩和とは、分散型サービス拒否攻撃が標的のネットワーク・インフラ・アプリケーションの容量を使い切る前に、それを吸収・フィルタリング・経路変更する技術とサービスの総称です。
- DHCPUDP ベースのプロトコル(RFC 2131、ポート 67/68)で、ネットワークに参加するクライアントに IP アドレスやネットワーク設定パラメータを自動的に割り当てる。
- Diameter プロトコルRFC 6733 で標準化された AAA(認証・認可・課金)プロトコル。IMS、LTE EPC、ローミング/IPX 網などで RADIUS を置き換えた。
- DKIMRFC 6376 で定義されるメール認証規格。送信ドメインが送信メールに暗号署名を付与し、受信側でヘッダや本文の改ざんがないかを検証できる。
- DMARCRFC 7489 で定義されるメール認証規格。ドメイン所有者が SPF/DKIM とアライメントに失敗したメッセージの扱いを受信者に指示するポリシーを公開できる。
- DMZ(非武装地帯)外部公開サービスを配置する緩衝ネットワーク区画で、社内 LAN から隔離し、侵害時の影響範囲を抑える役割を担う。
- DNS over HTTPS (DoH)DNS クエリを HTTPS の中に載せて暗号化する仕組みで、経路上の観察者による盗聴や改ざんを防ぐ。
- DNS over TLS (DoT)専用の TLS セッション内で DNS クエリを暗号化し、ネットワーク上での盗聴や改ざんを防ぐプロトコル。
- DNS トンネリングUDP/TCP 53 番ポート上の DNS クエリと応答に任意のデータを埋め込む隠蔽チャネルで、C2 やデータ持ち出しによく利用される。
- DNS ブロックリスト (DNSBL)RFC 5782 で規定される DNS ベースのしくみ。メールシステムが既知のスパムやマルウェア送信元 IP・ドメインの一覧を問い合わせ、遮断・スコアリング・ルーティングに利用できる。
- DNS リバインディング短い DNS TTL を悪用して、ホスト名を最初は攻撃者サーバ、次に内部 IP へ解決させ、同一オリジンポリシーを回避するブラウザ側の攻撃。
- DNSSECDNS レコードの真正性と完全性をリゾルバが検証できるようにするためにデジタル署名を用いる DNS の拡張仕様群。
- EV(Extended Validation)証明書申請組織の法的身分・物理的存在・申請権限を CA が厳格な標準手続きで検証したうえで発行される TLS 証明書。
- FTPRFC 959 で定義された旧来のファイル転送プロトコルで、TCP 21 番ポートで制御、20 番ポートでデータを扱う。資格情報やファイルが平文で流れるため、現在ではセキュリティ上ほぼ非推奨となっている。
- GnuPG (GPG)OpenPGP 標準 (RFC 4880、RFC 9580) のフリーソフトウェア実装。メールやソフトウェアパッケージなどのデータの署名・暗号化・復号に利用される。
- HTTP Strict Transport Security(HSTS)HTTP 応答ヘッダーで配信される Web セキュリティポリシーで、宣言した期間中ブラウザに対してそのドメインへ HTTPS でのみアクセスするよう指示する。
- HTTP/2 セキュリティTLS 1.2 以上で動作する HTTP/2(RFC 9113)のセキュリティモデル、および HPACK・多重化・CONTINUATION フレーム・2023 年の Rapid Reset 攻撃にまつわる運用上の落とし穴。
- HTTP/3 / QUICHTTP/3(RFC 9114)は HTTP を QUIC(RFC 9000)上にマッピングしたもの。QUIC は UDP ベースで TLS 1.3 を統合し、ヘッドオブラインブロッキングのないストリーム多重化を実現する暗号化トランスポート。
- HTTPSTLS で保護された接続上で HTTP を伝送することで、Web 通信に機密性・完全性・サーバー認証を提供するプロトコル。
- ICMPRFC 792(IPv4)および RFC 4443(IPv6)で定義されたネットワーク層の制御・診断プロトコルで、ホストやルーターがエラー報告や経路状況の通知に利用する。
- IEEE 802.1X有線・無線ポートに通信を許可する前に、デバイスまたはユーザーを認証するポートベースのネットワークアクセス制御規格。
- IP アドレスIP ネットワーク上のルーティングのためにネットワークインターフェースへ割り当てられる数値識別子で、IPv4(RFC 791)は 32 ビット、IPv6(RFC 8200)は 128 ビット。
- IPsecIP パケットを認証・暗号化することでネットワーク層に安全な通信を提供する、IETF 定義のプロトコル群。
- known_hosts ファイルOpenSSH クライアントの ~/.ssh/known_hosts。サーバの公開鍵を固定し、ホスト鍵の変化を検知して中間者攻撃の兆候を捉えるためのファイル。
- LTE セキュリティ3GPP TS 33.401 で定義される 4G/LTE モバイルネットワークのセキュリティアーキテクチャ。EPS-AKA 認証および RRC・NAS・ユーザプレーンの暗号化を扱う。
- MAC アドレスIEEE 802 で定義された 48 ビットのハードウェア識別子で、ネットワークインターフェースに焼き込まれ、同一データリンク層セグメント内での配送に使われる。
- MTA-STSRFC 8461 で定義されるメールセキュリティ機構。ドメインが受信 SMTP に対する TLS を強制し、信頼できる MX ホスト名を固定することで、ダウングレードや STARTTLS ストリップ攻撃を防ぐ。
- OCSP(オンライン証明書ステータスプロトコル)クライアントが CA のレスポンダに対し、特定の X.509 証明書が有効・失効・不明のいずれであるかを HTTP 上でリアルタイムに問い合わせるプロトコル。
- OpenVPNユーザー空間で動作するオープンソース VPN で、TLS/OpenSSL を用いてピア認証を行い、任意の IP・イーサネット通信をトンネルする。
- PGP1991 年に Phil Zimmermann が考案した、メール・ファイル・メッセージのためのエンドツーエンド暗号化・電子署名方式。
- RADIUSネットワーク機器がユーザーまたはデバイスのアクセスを認証・認可・課金するために広く使われている AAA プロトコル。
- S/MIME公的または企業 CA が発行する X.509 証明書を用いて、MIME 形式メールの署名と暗号化をエンドツーエンドで行う IETF 規格。
- SASESASE は Gartner が 2019 年に提唱したクラウド配信型アーキテクチャで、ネットワークエッジで SD-WAN と SWG・CASB・ZTNA・FWaaS などのセキュリティサービスを統合します。
- SFTPSSH セッション内部で動作し、通常 TCP 22 番ポート上で認証・暗号化されたファイルおよびディレクトリ操作を提供するセキュアなファイル転送サブシステム。
- SPF (Sender Policy Framework)RFC 7208 で定義されるメール認証方式。ドメイン所有者が、エンベロープ MAIL FROM に自ドメインを使って送信できる IP やホストを DNS で宣言する。
- SSESSE は SASE のセキュリティ部分で、SWG・CASB・ZTNA と多くの場合 DLP・FWaaS を含むクラウド配信型のセットを通じて、インターネット・SaaS・社内アプリへの通信を保護します。
- SSHRFC 4251 で規定されたポート 22 上の暗号化ネットワークプロトコルで、信頼できないネットワーク上でも認証・暗号化・完全性保護されたリモートログイン、コマンド実行、トンネリングを提供する。
- SSH エージェント転送OpenSSH の機能で、-A や ForwardAgent yes で有効化すると、リモートホストに UNIX ソケットを公開し、そこからローカルの SSH エージェントを使って次のホストへ認証できる。
- SSH 鍵の種類OpenSSH がユーザおよびホスト認証で受け付ける非対称鍵アルゴリズム。RSA、ECDSA(NIST 曲線)、現在の推奨デフォルトである Ed25519 が含まれる。
- SSL VPNTLS(歴史的には SSL)上で通信をトンネル化し、Web 標準ポート経由で専用 VPN プロトコルなしにリモートアクセスを可能にする VPN。
- SSL ストリッピング被害者の HTTPS 接続を密かに平文の HTTP にダウングレードさせ、攻撃者が通信内容を読み取り改ざんできるようにする中間者攻撃。
- SSL(Secure Sockets Layer)1990 年代に Netscape が開発した、Web 通信を暗号化するための TLS の歴史的前身であり、現在は正式に非推奨とされている。
- STARTTLSRFC 3207 で定義される SMTP/IMAP/POP3/XMPP の拡張。プロトコルの挨拶後にプレーンテキスト接続を TLS にアップグレードし、メールサーバ・クライアント間で日和見的暗号化を可能にする。
- SWGSecure Web Gateway(SWG)は、オンプレミスまたはクラウドのプロキシで、ユーザーの Web トラフィックを検査し、利用ポリシーを適用してマルウェア・フィッシング・情報漏えいを遮断します。
- TACACS+Cisco が開発した AAA プロトコルで、認証・認可・アカウンティングを分離し、クライアントとサーバー間のペイロード全体を暗号化する。
- TCPコネクション指向のトランスポートプロトコル(RFC 9293)で、IP 上で 2 つのエンドポイント間に順序保証・信頼性・輻輳制御を備えたバイトストリームを提供する。
- TCP/IP相互接続されたネットワーク上でパケットのアドレッシング、ルーティング、フラグメント化、信頼性ある配送方法を定義する 4 階層のインターネットプロトコル群。
- TLS ハンドシェイクTransport Layer Security の初期プロトコル交換で、サーバ(必要に応じてクライアント)を認証し、それ以降のセッションを暗号化する対称鍵を導出する。
- TLS(トランスポート層セキュリティ)IETF が標準化した暗号プロトコルで、ネットワーク上の 2 つのアプリケーション間の通信に機密性・完全性・認証を提供する。
- UDPRFC 768 で定義されるコネクションレスのトランスポートプロトコルで、ポート間でデータグラムを最小限のオーバーヘッドで送るが、信頼性や順序の保証はない。
- VLAN仮想 LAN(IEEE 802.1Q)は、イーサネットフレームに 12 ビットの VLAN ID をタグ付けして、スイッチポートを別々のブロードキャストドメインに分割する。
- VoIP セキュリティVoIP 通話(SIP シグナリングと RTP メディア)を盗聴・不正課金・サービス拒否・なりすましから守るための一連のコントロール。
- VoLTE セキュリティVoice over LTE のセキュリティ。4G/5G データベアラ上で運ばれる SIP/RTP の音声通話に対する IMS 認証、シグナリング、メディアの各保護を指す。
- VPN キルスイッチVPN トンネルが切断された瞬間にホストのすべての通信を自動遮断し、暗号化されていない経路への意図しないリークを防ぐ仕組み。
- VPN スプリットトンネリング選択した通信(企業のサブネットなど)のみを暗号化トンネル経由とし、それ以外の通信は直接インターネットへ出す VPN の設定。
- VPN(仮想プライベートネットワーク)公衆網上に暗号化・認証されたトンネルを構築し、あたかも専用網経由のように通信を扱う技術。
- WAAPWAAP(Web アプリケーションおよび API 保護)は WAF の現代版で、API セキュリティ、ボット管理、DDoS 対策を単一のクラウドサービスに統合したものです。
- Web アプリケーションファイアウォール(WAF)リバースプロキシ型のフィルタとして HTTP/HTTPS トラフィックを検査し、SQL インジェクションや XSS、ボットによる不正利用などの Web 攻撃をアプリ到達前に遮断する。
- WEP (Wired Equivalent Privacy)1997 年に策定された最初の Wi-Fi 秘匿プロトコルで、現在ではすでに破られており、本番運用には不適とされる。
- Wi-Fi 6EWi-Fi 6(802.11ax)を 6 GHz 帯に拡張した規格。Wi-Fi Alliance は同帯域の認証機器とネットワークに対し WPA3 のみを必須とする。
- Wi-Fi 7IEEE 802.11be の通称。320 MHz 幅、4K-QAM、Multi-Link Operation を導入し、WPA3 をセキュリティの必須ベースラインとする。
- Wi-Fi 認証解除攻撃Wi-Fi 認証解除攻撃は、保護されていない 802.11 管理フレームを悪用し、クライアントをアクセスポイントから強制的に切断することで、DoS や後続攻撃を可能にします。
- WireGuard最新の暗号プリミティブを固定的に採用し、Linux カーネルの一部として動作するシンプルでモダンな VPN プロトコル。
- WPA2Wi-Fi Protected Access の第二世代で、AES-CCMP と IEEE 802.11i を採用し、2004 年以降 Wi-Fi セキュリティの事実上の標準となっている方式。
- WPA3Wi-Fi Protected Access の第三世代で、SAE による認証・前方秘匿性・パーソナル/エンタープライズ Wi-Fi 向けの強化された保護を提供する。
- X.509 証明書信頼された CA の署名によって公開鍵と身元を結びつける、標準化されたデジタル証明書の構造。
- ZTNAZTNA は、ID・デバイス・コンテキストを継続的に評価したうえで、特定の社内アプリにのみアクセスを許可するモデルで、既定でネットワーク全体へのアクセスは与えません。
- アノマリベース検知正常な活動のベースラインを構築し、そこからの逸脱を潜在的に悪意があるものとして検出するアプローチ。
- オポチュニスティック TLS双方が対応していれば TLS を使い、そうでなければ平文にフォールバックする暗号化方針。STARTTLS を使うが強い認証のないメールサーバ間で典型的に見られる。
- カナリアトークンハニートークンの一種で、起動された瞬間に静かに本部へビーコンを送り、不正アクセスやデータ取り扱いの早期警報として機能する。
- グレイリスト未知の送信者三つ組に対して最初は SMTP の一時拒否を返し、規約どおりに再送が行われた場合のみメッセージを受け入れるアンチスパム技術。
- サイト間 VPN拠点・データセンター・クラウド VPC など 2 つのネットワーク間に恒常的な暗号化トンネルを張り、両側のホストが透過的に通信できるようにする方式。
- サブドメイン乗っ取り宙吊りになった DNS レコード(多くは CNAME)が、誰にも所有されていないクラウドや SaaS リソースを指している隙を突き、攻撃者がそのリソースを取得してサブドメインに成りすます攻撃。
- サブネット共通のプレフィックスを持つ連続した IP アドレス範囲で、ネットワーク内の 1 つのブロードキャストドメインとルーティング境界を定義する。
- シグネチャベース検知観測したトラフィック・ファイル・挙動を、既知の悪性パターン(シグネチャ)のデータベースと突き合わせて悪意ある活動を検出する手法。
- ステートフルファイアウォールアクティブな接続の状態をコネクションテーブルで追跡し、確立済みセッションと一致する戻りトラフィックを自動的に許可するファイアウォール。
- ステートレスファイアウォール接続状態を追跡せず、各パケットを静的ルールに基づいて個別に評価するファイアウォール。
- セキュアメールゲートウェイ境界またはクラウドサービスとして、ユーザーの受信箱に届く前にスパム・フィッシング・マルウェア・情報漏えい・ポリシー違反を入出双方向のメールでフィルタする。
- ゼロトラストネットワークユーザー・デバイス・サービスをデフォルトで信頼せず、すべての接続をアイデンティティに基づき継続的に検証するネットワーク設計。
- ディープパケットインスペクション(DPI)ヘッダだけでなくパケットのペイロード全体を検査し、アプリケーション・コンテンツ・脅威を識別する技術。
- トランスペアレントプロキシネットワーク経路上に挟まれ、クライアント側の設定なしにトラフィックを傍受するプロキシ。
- ネットワークアクセス制御 (NAC)デバイスとユーザーがネットワークに接続する前に認証し、その後も継続的にポスチャ要件を強制するためのポリシーと技術の集合。
- ネットワークアドレス変換 (NAT)ルーターがパケット通過時に IP アドレスとポートを書き換える技術で、多数の内部ホストが少数の公開アドレスを共有できるようにする。
- ネットワークセグメンテーションネットワークを複数のゾーンに分割し、ゾーン間の通信を制御することで侵害を封じ込め、最小権限を強制する設計手法。
- ネットワーク型 IDS(NIDS)ネットワークセグメントから取得したトラフィックを解析し、悪意あるパターンやポリシー違反を検知する侵入検知センサー。
- パケットフィルタリング各パケットのヘッダフィールドを検査し、静的なルールセットに従って通過または破棄を決定するネットワークセキュリティ技術。
- ハニートークン実システムに紛れ込ませた偽データ(認証情報・ファイル・レコード・API キー等)で、利用された瞬間にアラートを発する欺瞞アーティファクト。
- ハニーネット相互接続された複数のハニーポットから成る制御環境であり、現実的なマルチホスト構成の中で攻撃者の挙動を研究するためのもの。
- ハニーポット攻撃者を誘い込み、その手口を観察して本番資産から引き離すために、意図的に公開された囮システムやサービス。
- ファイアウォール定義されたルールセットに基づき、受信および送信トラフィックを監視・制御し、信頼ネットワークと非信頼ネットワークを分離するネットワークセキュリティ機器またはソフトウェア。
- フォワードプロキシクライアント側に設定され、ユーザーに代わって外部サービス宛ての発信要求を中継するプロキシ。
- プロキシサーバークライアントの要求を他のサーバーへ中継する中継サーバーで、クライアントを隠蔽しつつトラフィックの集中検査・フィルタリング・キャッシュを可能にする。
- ポートノッキングサービスポートを既定では閉じ、クライアントが既定の順序で接続を試みた場合にのみ開放する仕組み。
- ポートフォワーディング特定の公開ポート宛てに届いたトラフィックを、ルーターが選択した内部ホストとポートへ転送する NAT の構成。
- ホスト型 IDS(HIDS)サーバやエンドポイントに導入された侵入検知エージェントで、ローカルのファイル・プロセス・ログ・システムコールを監視して悪意ある活動を検出する。
- ボット管理ボット管理は自動化トラフィックを検出し、善良なボットと悪意あるボットを見分けたうえで、それぞれに対して許可・チャレンジ・遮断を行うプラクティスです。
- マイクロセグメンテーション個々のワークロードやアプリケーション単位で許可リストポリシーを適用する、きめ細かなセグメンテーション手法。
- リバースプロキシ1 つ以上のバックエンドサービスの前段に置かれ、クライアントの要求を代わりに受け取って内部へ転送するサーバー。
- リモートアクセス VPN個々のユーザーがノート PC やスマートフォンを使い、インターネット経由で安全に社内ネットワークへ接続するための VPN。
- レート制限レート制限は、識別子(IP、ユーザー、API キー、トークンなど)あたりの単位時間内のリクエスト数を制限する仕組みで、API やアプリを濫用・スクレイピング・総当たり攻撃から守ります。
- ワイルドカード証明書サブジェクト名にアスタリスクを用い、特定ドメイン配下の任意の 1 ラベルのサブドメインをカバーする X.509 証明書(例:*.example.com)。
- 公開鍵基盤(PKI)ポリシー・ソフトウェア・ハードウェア・信頼された機関の総体で、身元と公開鍵を結びつけるデジタル証明書を発行・配布・検証・失効させる。
- 次世代ファイアウォール(NGFW)ステートフル検査に加えて、アプリケーション識別・統合 IPS・ユーザー識別・TLS 復号を組み合わせ、よりきめ細かなポリシーを適用する先進的なファイアウォール。
- 自己署名証明書外部の CA を介さず、証明書に含まれる公開鍵に対応する秘密鍵自身で署名されたデジタル証明書。
- 証明書ピン留め期待する証明書や公開鍵をアプリ側にハードコードし、それと一致しない TLS 接続を拒否することで、不正に発行された CA 証明書を無効化する手法。
- 証明書失効リスト(CRL)CA が定期的に署名・公開する、本来の有効期限前に失効させた証明書の一覧で、依存当事者が失効済み証明書の検出に用いる。
- 侵入検知システム(IDS)ネットワークやホストの活動を監視し、悪意のある挙動を検出してアラートを発する受動的なセキュリティ統制。トラフィックは遮断しない。
- 侵入防止システム(IPS)データパスにインラインで配置され、悪意のあるトラフィックを検知してリアルタイムに遮断・リセット・浄化する能動的なセキュリティ統制。
- 相互 TLS(mTLS)クライアントとサーバーの双方が X.509 証明書を提示し、互いを暗号学的に認証する TLS の拡張方式。
- 認証局(CA)公開鍵をドメイン名や組織などの検証済みの身元と結びつけ、デジタル証明書を発行・署名する信頼された機関。