索引に戻る

セキュリティホール

security hole

ソフトウェアの設計ミスなどによって生じた、システムのセキュリティ上の弱点のこと。インターネット上に繋がれたサーバー（公開されているサーバー）については、基本的に誰でもアクセスできる仕組みのため、セキュリティホールを塞がないまま放置しておくと、クラッカーなど悪意のあるユーザに不正にコンピュータを操作されてしまう可能性がある。　攻撃を受けると、情報の改ざんや機密情報の漏洩などはもちろん、他のコンピュータへ不正にアクセスするための踏み台として利用される場合などがあるため非常に危険である。ソフトウェアにセキュリティホールが発見された場合は、対策のための修正プログラム（パッチ）が無償で配布されるが、インストールしない限り効果を得ることができないので、システム管理者などは常に注意を払う必要がある。

セキュリティポリシー

security policy

セキュリティポリシー（Security Policy） とは、企業全体の情報セキュリティに関する基本方針を文書化したものです。セキュリティ対策基準や、情報資産に対する考え方、コンプライアンス（法令順守）などについて記されています。セキュリティポリシーをホームページ上で公開する企業も増えています。個人情報の指針を文書化したプライバシーポリシー（個人情報保護指針）とは、目的や対象が異なるものです。

セキュリティ監査

セキュリティ監査とは、セキュリティホールの洗い出しや、セキュリティ問題に つながる脆弱な設定など、システムやネットワークのセキュリティレベルを技術面 から監査する作業のこと。

セッション

session

セッションとは、2台のネットワーク機器間で使用される接続の単位のことで、Webアプリケーションではデータの転送が終了し、サーバ／クライアントのどちらかから切断するまでを1つのセッションとみなされる。つまり同一のユーザが一定時間内に何ページ読み込もうと、セッションは1とされる。この一定時間とは、個別に設定が可能なため一概には言えない。

ゼロデイアタック

Zero-day Attack

ソフトウェアにセキュリティ上の脆弱性(セキュリティホール)が発見されたとき、セキュリティホールの情報やセキュリティパッチが広く公開される前に、その脆弱性を悪用して行なわれる攻撃のこと。 セキュリティホールの情報やセキュリティパッチが公開されるまでのタイムラグを利用されるため、未然防止が難しく有効な解決策はまだない。

脆弱性

Vulnerability

　ネットワークセキュリティ・情報セキュリティに関して「脆弱性」といった場合 は、システム上のセキュリティに関する欠陥や仕様上の問題点、ならびに企業・組 織・個人に対する行動規範の不徹底や未整備などを指す。 　システムの脆弱性はハードウェアの欠陥やソフトウェアのバグが多いが、こうした 明白な欠陥のほか、開発者が予想しなかった利用形態や設計段階での見落としとい ったような、潜在的な問題点が脆弱性として後から認知されることも少なくない。 また、機密情報の管理体制が整っていないなどといった企業・組織・個人に対する 行動規範の不徹底や未整備も脆弱性となりうる。これらはシステム的脆弱性と区別 するために人為的脆弱性と呼ばれる。 　人為的脆弱性はシステムの脆弱性に比べ対策が遅れ気味であるが、組織の施設内部 に物理的に侵入されて、情報を持ち去られる、内部の人間によって故意に情報が漏 らされるといったように、人為的脆弱性を故意に突かれた場合、システムのセキュ リティは役に立たない。それだけに人為的脆弱性は情報セキュリティにおいて極め て重要な要素である。