セキュリティ関係でよくでてくる単語を調べてみた
通常、HTTPプロトコルはホームページなどを表示させる時に使用し、ページの閲覧やファイルのダウンロードなど、サーバからクライアントへのデータ送信が主流です。
しかし、WebDAV(Web-base Distributed Authoring and Versioning)を導入する事によりHTTPプロトコルを使用して内部または外部よりサーバのパス(フォルダ)を共有しデータ(ファイル)のダウンロード(読込)とアップロード(書込み)を可能にすることができます。
リバースプロキシ(英: Reverse proxy)
または逆プロキシは、特定のサーバへの要求を必ず経由するように設置されたプロキシサーバ。 一般的なプロキシとは異なり不特定多数のサーバを対象としない。
ブルートフォースアタック
総当たり攻撃(そうあたりこうげき)。暗号解読方法のひとつで、可能な組合せを全て試すやり方。
ポートスキャン
ポートスキャンとは、ネットワークを通じてサーバにアクセスし、セキュリティ上の脆弱性、セキュリティホールを チェックすることを指します。インターネット上で公開されているサーバーはTCP/IPと呼ばれるプロトコルに従って動作し、アプリケーションやサービス ごとにポートが決められています。ポートスキャンは、このポートに順番にアクセスし、サーバ内で動作しているアプリケーションソフトやOSの種類を調べ、 侵入口となりうる脆弱なポートがないかどうか調べます。
ポートスキャンは、現在では不正アタックの準備として使用されるイメージがありますが、本来はファイアウォールなどの設定を確認するために使用されるものです。
クロスサイトスクリプティング(英: cross site scripting)
ウェブページの部分をユーザからの入力をそのままエコーバック(オウム返し)することによって生成しているアプリケーションのセキュリティ上の不備を利用して、サイト間を横断して悪意のあるスクリプトを注入する攻撃のことをいう。
SQLインジェクション(英: SQL Injection)
アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。 また、その攻撃を可能とする脆弱性のことである。
Security&Trust ウォッチ(42):今夜分かるSQLインジェクション対策 - @IT
<OSコマンドインジェクションとは?>
閲覧者からのデータの入力や操作を受け付けるようなWEBサイトで、プログラムに与えるパラメータにOSに対する命令文(コマンド)を紛れ込ませて不正に操作する攻撃。
w3af
Webアプリケーションの攻撃および監査フレームワークです。w3afのコア部分やプラグインはPythonで実装されています。SQLインジェクションのチェックやクロスサイトスクリプティング(XSS)、ローカル/リモートファイルインクルージョンなどを含めた130以上のプラグインが提供されています。
OpenVAS
かつてオープンソースソフトウェアとして開発・リリースされていたセキュリティスキャナ「Nessus」から派生したセキュリティスキャ ナだ。Nessusは2005年にリリースされたバージョン3以降、非オープンソースライセンスで提供される商用ソフトウェアとなったが、オープンソース で公開されていたバージョン2系をベースに拡張を続けたものがOpenVASとなる。コミュニティベースで開発され無償で利用できるだけでなく、脆弱性 データベースは日々更新が続けられており、開発を支援する独Greenbone Networksによる商用サポートも提供されている。
WAF
Webサイトの前面に配置することでWebサイト、およびその上で動作するPHPなどのWebアプリケーションを狙った攻撃を防御するセキュ リティ対策製品です。F/W(ファイアウォール)やIPS(IDS)といった従来のゲートウェイセキュリティ対策製品とWAFの違いは、防御できる通信レ イヤーと防御できる攻撃にあります。
(JPCERTコーディネーションセンター、英: Japan Computer Emergency Response Team Coordination Center、略称:JPCERT/CC)は、コンピュータセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う一般社団法人
ITパスポートの試験が今日なので最後の悪あがきします
うかるきがしない笑
ダイジョブかな。。
デバイスドライバ(ドライバソフト/ドライバプログラム)
コンピュータ内部に装着された装置や、外部に接続した機器を制御・操作するためのソフトウェア。
ISDN (Integrated Services Digital Network)統合デジタル通信網と訳される。デジタル回線による電話サービスで、高速で安定したデータ転送が可能。NTTが提供するサービスとしては64Kbpsの回線を使用する一般向けのINSネット64と光ファイバーケーブルを使って1.5Mbpsのデータ転送が可能なINSネット1500がある。回線と通信機器の接続にはDSUやTAといった専用装置が必要。
ADSL(Asymmetric Digital Subscriber Line)非対称デジタル加入者線。既存の電話回線を利用するが、音声電話に使用しない高い周波数を利用することで、高速のデータ通信を可能にする技術。アメリカでは1997年よりサービスが開始されている。日本では1999年末からNTTが接続実験サービスを開始している。
「BPR」
「ビジネスプロセス・リエンジニアリング」(Business Process Re-engineering)の略。 企業活動の目標(売上、収益率など)を達成するために、既存の業務内容や業務フロー、組織構造、ビジネスルールを全面的に見直し、再設計(リエンジニアリング)すること
NAT(Network Address Translation)
インターネットプロトコルによって構築されたコンピュータネットワークにおいて、パケットヘッダに含まれるIPアドレスを、別のIPアドレスに変換する技術
ロードモジュール
ハードディスクなどのコンピュータの外部記憶装置に記録されるファイルの種類の一つ。ロードモジュールは、メモリに読み込んで実行できるプログラムファイルのことである。ロードモジュールの拡張子がWindowsでは「.exe」になっているので、「EXEファイル(エグゼファイル)」と呼ばれることもある。
ファンクションポイント法(ファンクションポイントほう、英: function point method)
1979年にIBMのアレン・J・アルブレヒト(A.J.Albrecht)が考案したソフトウェアの規模を測定する手法の1つ
OEM(オーイーエム、英: original equipment manufacturer)
他社ブランドの製品を製造すること、またはその企業である
シンクライアント (Thin client)
ユーザーが使うクライアント端末に必要最小限の処理をさせ、ほとんどの処理をサーバ側に集中させたシステムアーキテクチャ全般のことを言う(広義のシンクライアント)。
不正侵入者が、一度マシンに侵入した後、再度このマシンへの侵入を試みる時の仕掛け。
core competence. コア・コンピタンス
企業の中核となる強みのこと。
日常の業務につきながら行う教育訓練(On The Job Training)と、通常の仕事を一時的に離れて行う教育訓練(Off The Job Training)
CAE(英: computer aided engineering)
コンピュータ技術を活用して製品の設計、製造や工程設計の事前検討の支援を行うこと、またはそれを行うツールである。
SLM(サービスレベル管理/サービスレベルマネジメント)
通信サービスやIT
デッドロック(deadlock)
複数のプロセスが互いに相手の占有している資源の解放を待ってしまい、処理が停止してしまうこと
アドウェア (Adware)
広告を目的とした通常は無料のソフトウェアである。 なかには、ユーザーに告知せずに何らかの情報を収集するような、マルウェアであるものもある。
サーバ上でウェブページなどを動的に生成したりデータ処理を行うために、Javaで作成されたプログラム及びその仕様
ITパスポートの試験が明日なので一夜漬けします
1か月前ぐらいに申し込んだITパスポートの試験がいよいよ明日になりました。。
時間がないので、よくでる単語をまとめてみます。
マネジメント・バイアウト(MBO、Management Buyout、経営陣買収)
会社経営陣が株主から自社株式を譲り受けたり、事業部門統括者が当該事業部門を事業譲渡されたりすることで、オーナー経営者として独立する行為である。
コンカレントエンジニアリング
製品の開発プロセスを構成する複数の工程を同時並行で進め、各部門間での情報共有や共同作業を行なうことで、開発期間の短縮やコストの削減を図る手法。
システム方式設計
システムのハードウェア構成,ソフトウェア構成を明確にする。
個人の持つ知識や情報を組織全体で共有し、有効に活用することで業績を上げようという経営手法。事業部制をしいてると、おろそかになりやすいね。
ファシリティマネジメント
効率的な活動のために行う,建築物の設備・人員組織などについての総合的な管理
インシデント
ITサービスを阻害する事象や作業
内部のチェック、ソースチェック
オブジェクト施行
データとデータに対する処理を一つのまとまりとすること
デュアルシステム
情報システムの信頼性を高める手法の一つで、システムを2
クロスサイトスクリプティング(英: cross site scripting)
ウェブページの部分をユーザからの入力をそのままエコーバック(オウム返し)することによって生成しているアプリケーションのセキュリティ上の不備を利用して、サイト間を横断して悪意のあるスクリプトを注入する攻撃
情報システムに蓄積した巨大なデータの集合をコンピュータによって解析し、これまで知られていなかった規則性や傾向など、何らかの有用な知見を得ること
ビックデータの解析とか?
企業のもつ重要な要素が企業のビジョン・戦略にどのように影響し業績に現れているのかを可視化するための業績評価手法です
複数の専門家にその分野の将来予測や未知の事柄の推計などをしてもらうための技法として考案
技術経営(ぎじゅつけいえい、英語:technology management)
人間の生産活動や社会活動を取り扱う学問分野である。日本ではMOT(Management of Technology)と呼ぶ
SFA(営業支援システム)
企業で利用される情報システムやソフトウェアの一種で、営業活動を支援して効率化するもの。既存顧客や見込顧客のそれぞれについて、営業活動に関連する情報を記録・管理することができる
CIM
建設分野で広がっているBIMを土木分野にも広げ、公共事業の一連の過程で、ICTツールと3次元データモデルの導入・活用により、建設事業全体の生産性向上を図ろうとする取り組み
MRP
Material Requirements Planningの略です。
日本語で言うと、「資材所要量計画」と言います。
インターネットを用いた物品販売の手法、または概念の1つであり、販売機会の少ない商品でもアイテム数を幅広く取り揃えること、または対象となる顧客の総数を増やすことで、総体としての売上げを大きくするもの
BPR「ビジネスプロセス・リエンジニアリング」(Business Process Re-engineering)
企業活動の目標(売上、収益率など)を達成するために、既存の業務内容や業務フロー、組織構造、ビジネスルールを全面的に見直し、再設計(リエンジニアリ ング)することを言います。
コンピュータやインターネットなどの情報技術(IT:Information Technology)を利用したり使いこなしたりできる人と、そうでない人の間に生じる、貧富や機会、社会的地位などの格差。
SOA(Service Oriented Architecture:サービス指向アーキテクチャ)
アプリケーションなどをコンポーネント化(部品化)し,それらを組み合わせてシステムを作る設計手法である。
プログラムで用意してあるバッファの大きさを超えるデータが送り込まれ、データが溢れることである。 また、データを溢れさせることで、システムに誤動作を起こしたり、悪意のあるプログラムを実行することを指す。
ペネトレーションテスト(侵入テスト/ペンテスト)
通信ネットワークで外部と接続されたコンピュータシステムの安全性を調査するテスト手法の一つで、既に知られている手法を用いて実際に侵入や攻撃を試みる方式。
通信手順(プロトコル)が異なる二者間やネットワーク間の通信を中継する機器やソフトウェア、システムの一種で、最上位層のプロトコルの違いに対応できるもの。
DHCPサーバ
インターネットなどのネットワークに一時的に接続するコンピュータに、IPアドレスなど必要な情報を自動的に発行するサーバ。
コンピュータの導入や、管理維持に関わるすべてのコストの総額をさす。 以前は、コンピュータの初期導入費用が評価をされていたが、現在は、複雑化したこともあり、維持や管理にかかる費用も含めたTCOが重要視されている。
東京から気軽にいける!イルカと泳げる島〜三宅島編
クレイジージャーニーDVD発売イベントに潜入
5月3日の祝日に行ってきました。
家から始発で出発。4時半おきで、赤坂サカスに到着したのが6時くらいでしょうか。
既に100人ぐらいの列が。
ここから3時間待機です(*_*)
ただ本とか動画みてたらわりとあっという間だった。唯一心配していた便意にも打ち勝ちました。
9時にDVDと整理券ゲットして、14時50分に再度集合です(一回家に帰りました)
年齢層はわりと高め。
整理番号161なのでけっこう前のほうです。
9列目の真ん中!
イベント始まると写真撮影NG。
最初はジャーニー3人とペナルティヒデの4人でトーク
丸山ゴンザレス
ヨシダナギ
ゴンザレスはゴンザレス感がやっぱでてた。
胃が弱いらしい。
そしてMC3人登場。
そもそも参加した理由の一つとして、ダウンタウンの松本さんを生でみる機会なんかないと思ったから。
テレビっ子だった私は態度にこそあらわさないが、心の中では大興奮でした。
生のまっちゃんのトークもおもろかった。
最後にジャーニー3人と握手。
ゴンザレスは終始めっちゃ笑顔でゴンザレス感でてた。
こういうのは東京にいないとなかなかできないから、いい思い出になった。
立ち見はあまりみれてなさそうだったから、頑張って朝から並んでよかった。
ちなみにこの日、電車でカズレーサーが隣にすわってきたり、生島ひろしともすれ違ったりと人生で一番芸能人にお会いした日でした。
もうこんな日はないでしょう(*_*)