※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
2 用語と定義
このドキュメントの目的のために、ISO/IEC 27000 および以下に記載されている用語と定義が適用されます。
2.1
攻撃
情報システムおよび/またはその中の情報を破壊、公開、変更、または無効化する試み、またはその他の方法でセキュリティ ポリシーに違反する試み
2.2
攻撃シグネチャ
攻撃の実行に使用され、攻撃が発生したことを発見するために IDPS によっても使用され、多くの場合、ネットワークトラフィックまたはホストログの調査によって決定される一連のコンピューティングアクティビティまたは変更
注記 1:これは攻撃パターンとも呼ばれます。
2.3
証明
IDPS ソフトウェア プログラムとデバイスがリモート パーティに対して身元を認証できるようにする、公開鍵暗号の一種。
注記 1: リモート認証 (2.23) を参照。
2.4
橋
OSI レイヤ 2 のローカル エリア ネットワーク (LAN) を、同じプロトコルを使用する別の LAN に透過的に接続するネットワーク機器。
2.5
暗号化ハッシュ値
ファイルに割り当てられ、後日ファイルを「テスト」して、ファイルに含まれるデータが悪意を持って変更されていないことを確認するために使用される数値
2.6
サービス拒否
DOS
システム リソースへの不正アクセス、またはシステムの操作や機能の遅延により、許可されたユーザーが利用できなくなる
[出典: ISO/IEC 27033‑1:2009]
2.7
分散型サービス拒否攻撃
DDoS
システム リソースへの不正アクセス、または複数のシステムを危険にさらして標的システムの帯域幅またはリソースをフラッディングし、その結果、許可されたユーザーの可用性が失われる方法でのシステム操作および機能の遅延
2.8
非武装地帯
DMZ
境界ルーターと外部ファイアウォールの間の論理的および物理的なネットワーク スペース
注記 1: DMZ はネットワーク間にあり、監視下にある場合がありますが、そうである必要はありません。
注記 2:これらは一般に、公共サービスを提供する要塞ホストを含むセキュリティで保護されていない領域です。
2.9
搾取する
脆弱性を通じて情報システムのセキュリティを侵害するための定義された方法
2.10
ファイアウォール
あるネットワーク環境から別のネットワーク環境へ、またはその逆にすべてのトラフィックが通過し、ローカル セキュリティ ポリシーによって定義された承認されたトラフィックのみが通過する、専用デバイスまたは複数のコンポーネントと技術の複合体で構成される、ネットワーク環境間に配置されるバリアのタイプ。通過させた
[出典: ISO/IEC 27033‑1:2009]
2.11
偽陽性
攻撃がない場合の IDPS アラート
2.12
偽陰性
攻撃があった場合の IDPS アラートなし
2.13
ハニーポット
非常に価値があるように見えるが、実際には捏造されており、正当なユーザーにとっては興味のない情報を欺き、気をそらし、迂回させ、時間を費やすように攻撃者を誘導するために使用されるおとりシステムの総称
2.14
ホスト
インターネットのような TCP/IP ベースのネットワーク内のアドレス指定可能なシステムまたはコンピュータ
2.15
侵入者
被害者のホスト、サイト、ネットワーク、または組織に対して侵入または攻撃を行っている、または行ったことがある個人
2.16
侵入
ネットワークまたはネットワークに接続されたシステムへの不正アクセス、つまり、情報システムに対する悪意のある活動、または情報システム内のリソースの不正使用を含む、情報システムへの意図的または偶発的な不正アクセス
2.17
侵入検知
侵入を検出するための正式なプロセスであり、通常、異常な使用パターンに関する知識を収集すること、およびどの脆弱性がどのように、どの脆弱性がいつ、どのように発生したかを含めて悪用されたことを特徴とします。
2.18
侵入検知システム
ID
侵入が試みられた、発生している、または発生したことを識別するために使用される情報システム
2.19
侵入防止システム
知財
アクティブな応答機能を提供するように特別に設計された侵入検知システムのバリアント
2.20
侵入検知および防止システム
IDPS
侵入検知システム (IDPS) および侵入防止システム (IPS) ソフトウェア アプリケーションまたは悪意のあるアクティビティについてシステムを監視するアプライアンス。IDS の焦点はそのようなアクティビティの発見にのみ警告することですが、IPS は検出時に一部の侵入を防止する強力な機能を備えています。
注記 1:攻撃の防止が望まれる場合、IPS はネットワークに積極的に展開されます。パッシブ モードでデプロイされた場合、そのような機能は提供されず、アラートのみを提供することにより、通常の IDS として効果的に機能します。
2.21
浸透
情報システムのセキュリティ機構を迂回する不正行為
2.22
プロビジョニング
情報技術 (IT) デバイスの正しいソフトウェア、セキュリティ ポリシー、および構成データをロードするプロセス
2.23
リモート認証
デジタル証明書を使用して、IDPS の身元とハードウェアおよびソフトウェア構成を確認し、この情報を信頼できるオペレーション センターに安全に送信するプロセス
2.24
応答
インシデント対応または侵入対応
攻撃または侵入が発生した場合に、情報システムおよびそこに保存されている情報を保護し、通常の運用状態に戻すために実行されるアクション
2.25
ルーター
ルーティング プロトコルのメカニズムとアルゴリズムに基づいてパスまたはルートを選択することにより、異なるネットワーク間のデータ フローを確立および制御するために使用されるネットワーク デバイス。
注記 1ネットワーク自体は、異なるプロトコルに基づくことができます。
注記2ルーティング情報はルーティングテーブルに保持されます。
[出典: ISO/IEC 27033‑1:2009]
2.26
サーバ
他のコンピュータにサービスを提供するコンピュータ システムまたはプログラム
2.27
サービスレベル契約
SLA
クライアントに提供できる、サービス提供者のパフォーマンスおよび障害の結果の測定を含む、テクニカル サポートまたはビジネス パフォーマンスの目標を定義するドキュメント
2.28
センサー
監視下の情報システムまたはネットワークからイベントデータを収集する IDPS のコンポーネント/エージェント
注記1モニターとも呼ばれる。
2.29
サブネット
共通のアドレス コンポーネントを共有するネットワークのセグメント
2.30
スイッチ
OSI 参照モデルのレイヤー 2 またはレイヤー 3 で通常実装されるスイッチング技術を使用して、内部分散メカニズムによってネットワーク接続デバイス間の接続を提供するデバイス。
注記 1:スイッチは、スイッチで使用される技術がポイント ツー ポイント ベースで接続を設定するため、他のローカル エリア ネットワーク相互接続デバイス (ハブなど) とは異なります。
[出典: ISO/IEC 27033‑1:2009]
2.31
テスト アクセス ポート
タップ
通常、ネットワーク パケットにオーバーヘッドをインストールしないパッシブ デバイスですが、スイッチがポートに関するレイヤー 2 情報を維持できるネットワークに対してデータ収集インターフェイスを非表示にするため、セキュリティ レベルも向上します。
注記 1: TAP は複数のポートの機能も提供するため、IDPS 機能を失うことなくネットワークの問題をデバッグできます。
2.32
トロイの木馬
無害なアプリケーションを装う悪意のあるプログラム
2.33
ウイルス
悪意を持って設計されたソフトウェアであり、ユーザーやユーザーのシステムに直接的または間接的に害を及ぼす可能性のある機能を含むマルウェアの一種
2.34
仮想プライベートネットワーク
VPN
暗号化を使用することによって、および/または実際のネットワークを介して仮想ネットワークのリンクをトンネリングすることによって、物理ネットワークのシステム リソースから構築される、使用が制限された論理コンピュータ ネットワーク。
[出典: ISO/IEC 18028-3:2005]
2.35
脆弱性
1 つ以上の脅威によって悪用される可能性がある資産またはコントロールの脆弱性
[出典: ISO/IEC 27000:2012]
参考文献
| [1] | ISO/IEC 1540, 情報技術 — セキュリティ技術 — IT セキュリティの評価基準 |
| [2] | ISO/IEC 18028-3:2005, 情報技術 — セキュリティ技術 — IT ネットワーク セキュリティ — 3: セキュリティゲートウェイを使用してネットワーク間の通信を保護する |
| [3] | ISO/IEC 18028-4:2005, 情報技術 — セキュリティ技術 — IT ネットワーク セキュリティ — 4: リモート アクセスの保護 |
| [4] | ISO/IEC 18028-5, 情報技術 — セキュリティ技術 — IT ネットワーク セキュリティ — 5: 仮想プライベート ネットワークを使用してネットワーク間の通信をセキュリティで保護する |
| [5] | ISO/IEC 2000, 情報技術 — サービス管理 |
| [6] | ISO/IEC 27010:2012, 情報技術 — セキュリティ技術 — セクター間および組織間通信のための情報セキュリティ管理 |
| [7] | ISO/IEC 27033-1:2009, 情報技術 — セキュリティ技術 — ネットワーク セキュリティ — 1: 概要と概念 |
| [8] | ISO/IEC 27033-2:2012, 情報技術 — セキュリティ技術 — ネットワーク セキュリティ — 2: ネットワーク セキュリティの設計と実装に関するガイドライン |
| [9] | ISO/IEC 27035:2011, 情報技術 — セキュリティ技術 — 情報セキュリティ インシデント管理 |
| [10] | ISO/IEC 27001, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件 |
| [11] | ISO/IEC 27002, 情報技術 — セキュリティ技術 — 情報セキュリティ管理のための実施基準 |
2 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27000 and the following apply.
2.1
attack
attempts to destroy, expose, alter, or disable information systems and/or information within it or otherwise breach the security policy
2.2
attack signature
sequence of computing activities or alterations that are used to execute an attack and which are also used by an IDPS to discover that an attack has occurred and often is determined by the examination of network traffic or host logs
Note 1 to entry: This can also be referred to as an attack pattern.
2.3
attestation
variant of public-key encryption that lets IDPS software programs and devices authenticate their identity to remote parties
Note 1 to entry: See remote attestation (2.23) .
2.4
bridge
network equipment that transparently connects a local area network (LAN) at OSI layer 2 to another LAN that uses the same protocol
2.5
cryptographic hash value
mathematical value that is assigned to a file and used to “test” the file at a later date to verify that the data contained in the file has not been maliciously changed
2.6
denial-of-service
DoS
unauthorized access to a system resource or the delaying of system operations and functions, with resultant loss of availability to authorized users
[SOURCE: ISO/IEC 27033‑1:2009]
2.7
distributed denial-of-service attack
DDoS
unauthorized access to a system resource or the delaying of system operations and functions in the way of compromising multiple systems to flood the bandwidth or resources of the targeted system, with resultant loss of availability to authorized users
2.8
demilitarized zone
DMZ
logical and physical network space between the perimeter router and the exterior firewall
Note 1 to entry: The DMZ can be between networks and under close observation but does not have to be so.
Note 2 to entry: They are generally unsecured areas containing bastion hosts that provide public services.
2.9
exploit
defined way to breach the security of information systems through vulnerability
2.10
firewall
type of barrier placed between network environments — consisting of a dedicated device or a composite of several components and techniques — through which all traffic from one network environment traverses to another, and vice versa, and only authorized traffic as defined by the local security policy is allowed to pass
[SOURCE: ISO/IEC 27033‑1:2009]
2.11
false positive
IDPS alert when there is no attack
2.12
false negative
no IDPS alert when there is an attack
2.13
honeypot
generic term for a decoy system used to deceive, distract, divert, and encourage the attacker to spend time on information that appears to be very valuable, but actually is fabricated and would not be of interest to a legitimate user
2.14
host
addressable system or computer in TCP/IP-based networks like the Internet
2.15
intruder
individual who is conducting, or has conducted, an intrusion or attack against a victim’s host, site, network, or organization
2.16
intrusion
unauthorized access to a network or a network-connected system, that is, deliberate or accidental unauthorized access to information systems, to include malicious activity against information systems, or unauthorized use of resources within information systems
2.17
intrusion detection
formal process of detecting intrusions, generally characterized by gathering knowledge about abnormal usage patterns, as well as what, how, and which vulnerability has been exploited to include how and when it occurred
2.18
intrusion detection system
IDS
information systems used to identify that an intrusion has been attempted, is occurring, or has occurred
2.19
intrusion prevention system
IPS
variant on intrusion detection systems that are specifically designed to provide an active response capability
2.20
intrusion detection and prevention system
IDPS
intrusion detection systems (IDPS) and intrusion prevention systems (IPS) software applications or appliances that monitor systems for malicious activities, where IDS focus is to only alert on the discovery of such activity while IPS have the potent to prevent some intrusions upon detection
Note 1 to entry: IPS is deployed actively in the network if attack prevention is desired. If deployed in passive mode, it will not offer such functionality and effectively function as a regular IDS by providing alerts only.
2.21
penetration
unauthorized act of bypassing the security mechanisms of information systems
2.22
provisioning
process of loading the correct software, security policy, and configuration data for information technology (IT) devices
2.23
remote attestation
processes of using digital certificates to ensure the identity, as well as the hardware and software configuration, of IDPS and to securely transmit this information to a trusted operations centre
2.24
response
incident response or intrusion response
action taken to protect and restore the normal operational conditions of information systems and the information stored in it when an attack or intrusion occurs
2.25
router
network device that is used to establish and control the flow of data between different networks, by selecting paths or routes based upon routing protocol mechanisms and algorithms
Note 1 to entry: The networks can themselves be based on different protocols.
Note 2 to entry: The routing information is kept in a routing table.
[SOURCE: ISO/IEC 27033‑1:2009]
2.26
server
computer system or program that provides services to other computers
2.27
Service Level Agreement
SLA
document that defines the technical support or business performance objectives including measures for performance and consequences for failure the provider of a service can provide its clients
2.28
sensor
component/agent of IDPS which collects event data from information systems or a network under observation
Note 1 to entry: Also referred to as a monitor.
2.29
subnet
segment of a network that shares a common address component
2.30
switch
device which provides connectivity between network connectivity devices by means of internal distribution mechanisms, with the switching technology typically implemented at layer 2 or layer 3 of the OSI reference model
Note 1 to entry: Switches are distinct from other local area network interconnection devices (e.g. a hub) as the technology used in switches sets up connections on a point-to-point basis.
[SOURCE: ISO/IEC 27033‑1:2009]
2.31
test access port
TAP
typically passive devices that do not install any overhead on the network packet but also increase the level of the security as they make the data collection interface invisible to the network, where a switch can still maintain layer 2 information about the port
Note 1 to entry: A TAP also gives the functionality of multiple ports so network issues can be debugged without losing the IDPS capability.
2.32
trojan horse
malicious program that masquerades as a benign application
2.33
virus
type of malware which is software designed with malicious intent containing features or capabilities that can potentially cause harm, directly or indirectly, to the user and/or the user’s system
2.34
virtual private network
VPN
restricted-use logical computer network that is constructed from the system resources of a physical network by using encryption and/or by tunnelling links of the virtual network across the real network
[SOURCE: ISO/IEC 18028‑3:2005]
2.35
vulnerability
weakness of an asset or control that can be exploited by one or more threats
[SOURCE: ISO/IEC 27000:2012]
Bibliography
| [1] | ISO/IEC 15408 (all parts), Information technology — Security techniques — Evaluation criteria for IT security |
| [2] | ISO/IEC 18028-3:2005, Information technology — Security techniques — IT network security — 3: Securing communications between networks using security gateways |
| [3] | ISO/IEC 18028-4:2005, Information technology — Security techniques — IT network security — 4: Securing remote access |
| [4] | ISO/IEC 18028-5, Information technology — Security techniques — IT network security — 5: Securing communications across networks using virtual private networks |
| [5] | ISO/IEC 20000 (all parts), Information technology — Service management |
| [6] | ISO/IEC 27010:2012, Information technology — Security techniques — Information security management for inter-sector and inter-organizational communications |
| [7] | ISO/IEC 27033-1:2009, Information technology — Security techniques — Network security — 1: Overview and concepts |
| [8] | ISO/IEC 27033-2:2012, Information technology — Security techniques — Network security — 2: Guidelines for the design and implementation of network security |
| [9] | ISO/IEC 27035:2011, Information technology — Security techniques — Information security incident management |
| [10] | ISO/IEC 27001, Information technology — Security techniques — Information security management systems — Requirements |
| [11] | ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security controls |