セキュリティ用語集 - ウイルスソフト比較＆評価 2011年版

情報ライフサイクル管理 【Information Lifecycle Management, ILM】

自己暗号化ウイルス

同義語：ステルスウイルス　【stealth virus】

自己暗号化ウイルスとは、コンピュータに感染後、アンチウイルスソフトやセキュリティ対策ソフト、
ユーザーに見つからないように、ウイルスの存在を隠すために暗号化を使用する
ウイルスのことをいいます。

この技術のことをステルステクニックといい、感染したコンピュータの履歴や表示を変更したり、
自身をファイル内のデータのように模そうしたりし実行がわからないように行います。

この対策としては、ウイルス定義ファイルを定期的にアップデートし、利用しているセキュリティソフトを
最新の状態で利用する、不明なファイルやWebサイトやファイル共有ソフトのの閲覧や利用をしない
などがあげられます。

シグネチャ 【signature】

別名：署名
関連用語：シグネチャファイル 【signature file】、シグニチャ法

シグネチャとは、文書や電子メール、送信先のアドレス、氏名などをまとめたもの、
またそれらのインデックス方法の一つをいいます。

シグネチャは、英語では『署名』という意味で、データの検索用のインデックス手法の一種で、
メールソフトなどで利用されます。

単語からハッシュ値を得て、その特定のビット列を作成することで作られます。

情報セキュリティ監査

関連用語：情報セキュリティ監査制度

情報セキュリティ監査とは、企業や政府などの情報セキュリティ対策について、
独立かつ専門的知識を有する専門家が、客観的に評価を行う手法のことをいいます。

情報セキュリティ監査を行うことで、セキュリティに関する最新情報を得、脅威と
技術の進化方法についてスキルアップできたり、セキュリティの欠陥の指摘を受ける
ことで、第三者に対して、信頼を獲得したりなどのメリットがあります。

関連サイト：
経済産業省　情報セキュリティ監査制度
http://www.meti.go.jp/policy/netsecurity/audit.htm

セキュリティポリシー　【security policy】

別名：情報セキュリティポリシー 【Information Security policy】

セキュリティポリシーとは、企業や組織における情報セキュリティに対する基本的な
方針を示すものをいいます。

 
セキュリティポリシーは、情報セキュリティ対策、被害（トラブル）を受けた時の対応、
その責任、また企業の教育など、様々な企業（組織）の情報に関する運用の規定がまとめられています。

また、特定のセキュリティ上のトラブルがあった場合は、その時に対応を評価し、見直し、
改善していくといった改善方法を行う場合もあります。

セキュリティポリシーは、企業の信頼にも関係するので、重要な指針の一つだと言えるでしょう。

シングルサインオン 【Single Sign-On:SSO】

シングルサインオンとは、一回のユーザー認証を行うことで複数のコンピュータ、
それらの機能がすべて利用できるようになる認証方法（機能）のことをいいます。

通常は、コンピュータやアプリケーションなどにログインする際は、それぞれでID、
パスワードを記述する必要があり、複数のID、パスワードを管理しなければいけません。

シングルサインオンでは、全てのID、パスワードが一元化管理されているため、一回の
認証で全ての機能が使用できる利点があります。

ただし、ログイン作業が簡素化されます反面、悪意のあるユーザーからの一度の侵入で
全ての機能が乗っ取られてしまう可能性がありますので、セキュリティを強化する
必要があります。

シングルサインオンのセキュリティ対策としては、ワンタイムパスワードを利用したり、
総合セキュリティソフトを全てのコンピュータに導入し、定期的に更新、全てのスキャンを
行うことが有効です。

スクリプトウイルス【script virus】

別名：バンダル 【vandal】

スクリプトウイルスとは、JavaScript、VBScript、ActiveX,、BAT、 PHPなどの
スクリプト言語で記述されたウイルスのことをいいます。

 
スクリプトウイルスは、アプリケーションやWebブラウザ、Webサーバなどを通じて
実行するプログラムを悪用するウイルスで、ファイルを書き換えたり、変更された
Webページを表示させられたり、特定のWebサイトにリダイレクトされたりなどの
被害を受けます。

対策としては、総合セキュリティソフトを導入し、定期的にソフトのアップデート、
コンピュータのウイルススキャンをする、安全性の低いWebサイトや電子メールを
表示させないなどが有効です。

スマーフ攻撃 【Smurf attack】

関連用語：ping、ICMP（Internet Control Message Protocol）、DoS攻撃

スマーフ攻撃 とは、「ping（ピング）」コマンドで利用するICMP（Internet Control Message
Protocol）プロトコルを用いて、送信元IPを偽装して、特定ターゲットに大量のパケットを送りつける
攻撃方法のことをいいます。

スマーフ攻撃は、DoS攻撃の一種で、ターゲットのネットワークやコンピュータに過負荷を与えるので、
サーバの処理が出来なくなったり、通信速度が落ちたり、最悪の場合はサービスが不能に
なってしまいます。

Smurf攻撃遺作としては、パーソナルファイアウォールを利用して、ICMPパケットの
送信元アドレスをチェックしたり、動作を制限したりする、ブロードキャストパケットの
フィルタリングを行うなどがあります。

サービス拒否攻撃　【Denial of Service attack：DoS】

別名：サービス妨害攻撃、サービス不能攻撃

サービス拒否攻撃とは、インターネットのサーバを攻撃、もしくは破壊する攻撃のことを
いいます。

サービス拒否攻撃は、クラッキングとも呼ばれ、インターネット上のWebサーバやメールサーバ、
FTPサーバなどに対して無意味な大量のデータを送りつけ、特定のサーバを過負荷でダウンさせたり、
サービスの妨害を行う手法です。

サービス拒否攻撃から防御するためには、クラッキング対策が備わっている総合セキュリティソフトウェアを
利用したり、クラッキング対策ツールを利用したるするのが有効です。

シーザー暗号 【Caesar cipher】

 
別名：カエサル暗号

シーザー暗号とは、ガイウス・ユリウス・カエサルが最初に作成した暗号方法の
ことをいいます。

 
シーザー暗号は、単一換字式暗号の一種で、アルファベットを何文字かシフトして
暗号化する方法です。

シフト数は固定で復号化なその逆をすればよいという単純な方法で、セキュリティ効果は
低い初期の暗号といえるでしょう。

Syslog （シスログ）

関連用語：Syslogプロトコル

Syslogとは、メッセージのログを取得し、記録したり、特定のサーバに
送信したりするための標準規格のことをいいます。

Syslogは、 1980年代にエリック・オールマンが開発し、始めのうちは、sendmail だけに
利用されていました。

プロトコルは、Syslogプロトコルといい、クライアント/サーバ型でSSL/TLS による
暗号化が可能、RFC 3164で標準化されています。

スキミング【skimming】

関連用語：スキマー 【skimmer】

スキミングとは、、クレジットカードやキャッシュカードなどの個人情報を不正に読み込み、複製する犯罪の
ことをいいます。

 
スキミングは、スキマー（スキミングマシン）という装置を利用し、情報を盗み出し、
複製することで、商品やサービスを購入したり、現金を引き出したりします。

スキミング対策としては、ICカードを利用したり、セキュリティ対策がきちんとされているパソコンや
信用のおける店舗での購入を心がけたりなどが有効です。

情報漏えい

別名：情報漏洩（じょうほうろうえい）

情報漏えいとは、企業や個人情報を外部に漏らすこと、盗まれてしまうことをいいます。

情報漏えいの原因は、ノートパソコンや記憶媒体（フロッピー、CD,DVDやHDDなど）の盗難、
データの不正持ち出しなど人的なケースやコンピュータウイルスやマルウェアなど
セキュリティ対策の不備、電子メールの誤操作などインターネット上に流出するケースなどが
あります。

情報漏えいを行うことで、企業イメージの低下や個人情報流出によるプライバシーの侵害や
金銭的な被害につながる危険性がありますので注意が必要です。

この対策としては、企業、組織、団体、個人で、ファイル共有ソフトなどを利用しない、
アンチウイルスソフトを導入するなどセキュリティ対策を行い、情報漏えいが発覚された時に
行うべき作業を前もって決めておくことが重要です。

侵入テスト 【penetration test】

読み方：ペネトレーションテスト

侵入テストとは、コンピュータシステムやネットワークなどの脆弱性（セキュリティホール）を
調査するチェックする方法のことをいいます。

侵入テストは実際に自身で侵入や攻撃を試みることで、セキュリティ上の不備な点を見つけ、
対策を行います。

それを行うことで、ハッカー（クラッカー）の不正侵入やDoS攻撃、DDoS攻撃にも未然に防ぐことが出来、
大きな被害を避けられることが出来ます。

例えば、2002年に行った「住民基本台帳ネットワーク」の侵入テストの結果では、長野県が「脆弱性あり」、
総務省が「脆弱性はない」と相違が見られました。

スレットセンス 【ThreatSense】

スレットセンスとは、ESET社のNOD32、ESET Smart Securityに搭載されている
ヒューリスティック・スキャン技術のことをいいます。

スレットセンスは、ウイルスやマルウェア（スパイウェアやアドウェア、リスクウェア）のような
パソコンに対する脅威（Treat）を探知（Sense)するという意味をもっています。

これによって、定義ファイル方式で検出しにくかった新型のウイルスやマルウェアの
検出が高くなり、セキュリティ向上に役立っています。

スニッフィング 【sniffing】

関連用語：パケット・スニッフィング 【packet sniffing】

スニッフィングとは、ネットワーク上を流れているデータを盗聴する行為のことをいいます。

インターネットのデータはパケットと呼ばれますので、パケットスニッフィングとも呼ばれます。

スニッフィングは、通常、通信の状況や障害などの把握を目的として利用されますが、これを
悪用し、アカウント、パスワード、メール内容やクレジット情報などの個人情報を盗む犯罪行為を
指す場合が多いです。

パケットが盗み見されないように、データの暗号化が必要ですが、主流であったWEP方式の解読手法が
発見されたことにより、セキュリティ上その他の暗号化方法を利用するのが好ましいでしょう。

情報漏洩型ハッキングツール 【stealer】

情報漏洩型ハッキングツール とは、トロイの木馬型の不正プログラムの一種です。

情報漏洩型ハッキングツールは、英語ではstealerとも呼ばれ、ユーザや企業のコンピュータにある
アカウントやパスワード、クッキー情報等個人情報、企業機密などを収集するプログラムです。

収集された情報は、Webサイトに掲載される、スパム業者や他社に漏洩されるなどの
被害を受けてしまいますので、注意が必要です。

情報漏洩型ハッキングツールの防衛としては、セキュリティ対策ソフトを導入する、
ウイルス定義ファイル、コンピュータのスキャンを定期的に行う、
不要なアプリケーションやファイルを実行したり、ダウンロードしない
などがあります。

スパムトラップ 【SPAM trap】

スパムトラップ とは、スパム業者やスパムメールアドレスなどを特定するために
使用される手法のことをいいます。

例えば、Webサイト上に電子メールアドレスを掲載して、スパム業者にメールアドレスを
収集させ、様々なスパムメールを収集します。

収集したスパムメールを分析し、リスト化することで、スパム業者を特定したり、
フィルタリングに活用することが出来ます。

他にも、スパムトラップは、スパム受信を承諾するようにチェックされているオプションの意味も持ちますが
一般的には上記の意味で使用されています。

情報セキュリティ 【information security】

情報セキュリティとは、情報の機密性（confidentiality）、完全性（integrity）、可用性（availability）を
維持することという意味で使われています。

現在、企業や組織、個人など多くの人がITを利用している中、必要とされているのが
情報セキュリティ対策となっています。

例えば、情報セキュリティ対策を行っていないと、ウイルスやワームなどに感染し、機密情報がネットワーク上に
流れてしまったり、個人情報が盗まれてしまったりなどの被害を受けてしまう可能性があります。

他にもデータのバックアップを怠っていると、自然災害時などに遭い、データが消えてしまう場合もあります。

こうした様々な要因があることから、各々で情報セキュリティ対策が必要となっています。

初期化 【initialize】

別名：フォーマット 【format】、イニシャライズ

初期化とは、

1）ハードディスクやMO、フロッピーなどの記憶媒体（メディア）内のデータを削除し、記憶出来る状態にすること

2）コンピュータやハードウェアなどをリセットすること、初期状態に戻すこと

3）プログラミング言語において、使用する変数の領域を確保するために行う宣言のこと。ヌル（Null）や
空白が利用されます。

などをいいます。

例えば、コンピュータウイルスやワーム、不正プログラムに感染してしまった場合、
コンピュータ、記憶媒体（メディア）を初期化する必要がある場合もあります。