情報セキュリティ検定をはじめ、個人情報に関する検定を開催中。(財)情報協。

 

情報セキュリティ 用語集

索引に戻る

セキュリティホール

security hole

ソフトウェアの設計ミスなどによって生じた、システムのセキュリティ上の弱点のこと。インターネット上に繋がれたサーバー(公開されているサーバー)については、基本的に誰でもアクセスできる仕組みのため、セキュリティホールを塞がないまま放置しておくと、クラッカーなど悪意のあるユーザに不正にコンピュータを操作されてしまう可能性がある。 攻撃を受けると、情報の改ざんや機密情報の漏洩などはもちろん、他のコンピュータへ不正にアクセスするための踏み台として利用される場合などがあるため非常に危険である。ソフトウェアにセキュリティホールが発見された場合は、対策のための修正プログラム(パッチ)が無償で配布されるが、インストールしない限り効果を得ることができないので、システム管理者などは常に注意を払う必要がある。

セキュリティポリシー

security policy

組織内のセキュリティに関する基本的な方針や行動指針のこと。セキュリティ対策基準や個別具体的な実施手順などを含み、情報の取扱いについての基準となるべきもの。情報漏えいを防止するための対策以外にも、コンピュータウイルス感染や人為的トラブル発生時の対処方針までも含める場合もある。セキュリティポリシーを策定し公開することにより、責任の所在が明らかになり、判断基準や実施すべき対策が明確になる。セキュリティポリシーに基づいてネットワーク環境を構成する個々の要素それぞれに適切な設定を行ないながら、維持・運用していくが、時代の変化に合わせて変更・改定を行う必要もある。

ゼロデイアタック

Zero-day Attack

ソフトウェアにセキュリティ上の脆弱性(セキュリティホール)が発見されたとき、セキュリティホールの情報やセキュリティパッチが広く公開される前に、その脆弱性を悪用して行なわれる攻撃のこと。 セキュリティホールの情報やセキュリティパッチが公開されるまでのタイムラグを利用されるため、未然防止が難しく有効な解決策はまだない。