いつもお読みいただきありがとうございます。

薬剤師でありながら、ITストラテジストを目指して日々勉強中のmassaです。（薬剤師をやめるわけではないよ。）

学習の進捗状況

基本情報技術者試験の全てのシラバス範囲を一通り勉強しましたー。

当初の予定よりだいぶかかってしまいましたが、概要は掴めた感じはします。

大体半分くらいは知ってるなあっていう感覚がありましたが、逆にいうと半分は初めて知った内容でしたので、これから知識の定着のためのインプットと過去問演習に入ろうと思います。

で、曖昧なところは戻って内容を再確認ですね。
当たり前のことですが、この繰り返しになりそうです。

ちなみに基本情報技術者試験の申込は午前、午後とも終了しました。

どちらも5月の中旬くらいに受けることになりそうです。
そう考えると時間はあまり残されていないんですよね・・・。

まあ、今回必ず受からないといけないわけではないのですが、せっかくなら1回で合格したいところですね。

それから、英語の略語は次が最後です。

まさかPart17まで行くとは思ってもいませんでしたが、今となればこれも隙間時間に見返すにはちょうどいい勉強ツールになっています。

午前・午後とも過去問題を見ると、英語の略語はその意味を問われるだけでなく、設問にもバンバン出てきますので、知らないとどうにもならないですね。

これからは、記憶モードに入るとします。

今回は、セキュリティ関連です。

セキュリティ

OECD

Organisation for Economic Co-operation and Development：経済協力開発機構
世界中の経済、社会福祉の向上を促進するための活動を行う国際機関。1961年設立。「情報システムのセキュリティに関するガイドライン」

BEC

Business Email Compromise：ビジネスメール詐欺
従業員をだまして送金させる行為。

DoS攻撃

Denial of Service attack
ウェブサイトやサーバーに対して過剰なアクセスやデータを送付するサイバー攻撃。複数のコンピューターから一斉にサイバー攻撃をしてくるDDoS攻撃（Distributed Denial of Service attack／分散型サービス拒否攻撃）もある。

ISMS

Information Security Management System：情報セキュリティマネジメントシステム
個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用すること。

JISEC

Japan Information Technology Security Evaluation and Certification Scheme：ITセキュリティ評価及び認証制度
IT関連製品のセキュリティ機能の適切性･確実性を、セキュリティ評価基準の国際標準であるISO/IEC 15408に基づいて第三者（評価機関）が評価し、その評価結果を認証機関が認証する制度。

JCMVP

Japan Cryptographic Module Validation Program：暗号モジュール試験及び認証制度
暗号モジュールに暗号アルゴリズムが適切に実装され、暗号鍵やパスワードといった重要情報が攻撃者から保護されるとともに、許可された者がいつでもその機能を確実に利用できることを、暗号モジュールのユーザが客観的に把握できるように設けられた第三者適合性評価制度。

CSIRT

Computer Security Incident Response Team：シーサート
コンピュータに関するセキュリティ事故の対応する組織の総称。日本国内では、JPCERT/CC（JPCERTコーディネーションセンター）が代表的なCSIRT。

JPCERT/CC

Japan Computer Emergency Response Team/Coordination Center：JPCERTコーディネーションセンター
インターネットによる不正アクセスの被害に対応するために設立された情報提供機関。主な活動は、「インシデント対応」「脆弱（ぜいじゃく）性情報ハンドリング」「インターネット定点観測システムの運用」「早期警戒」「国際連携」「アーティファクト分析」「制御システムセキュリティ」「国内の関係組織やコミュニティとの連携」の8つ。

NISC

National center of Incident readiness and Strategy for Cybersecurity：内閣官房情報セキュリティセンター
IT戦略本部決定「情報セキュリティ問題に取り組む政府の役割・機能の見直しに向けて」によって設置された、政府全体としての情報セキュリティ対策の統一的・横断的な総合調整機能の強化等のため内閣官房に設置された組織。

IPA/ISEC

Information-technology Promotion Agency/IT SEcurity Center ：IPAセキュリティセンター
情報化社会における見えない脅威から社会を守るため、情報セキュリティに関する情報収集、調査分析、研究開発等、他に類を見ない、一貫した情報セキュリティ対策事業を実施する。経済産業大臣。

DMZ

DeMilitarized Zone：非武装地帯
インターネットなどの信頼できないネットワークと、社内ネットワークなどの信頼できるネットワークの中間に置かれるネットワーク領域。

WAF

Web Application Firewall
Webアプリケーションの脆弱性を突いた攻撃へ対するセキュリティ対策。

CHAP

Challenge Handshake Authentication Protocol：チャレンジレスポンス認証 
PPPなどにおけるチャレンジ／レスポンスという方式を利用したユーザー認証方法。最初にPPPサーバがChallenge Valueという認証のたびに乱数を変更する数値をクライアントに渡し、PPPクライアント側でこの値とユーザー名、パスワードの組を基にして関数値を計算し（メッセージダイジェスト関数値）、それを返す。PPPサーバ側では、受け取ったメッセージダイジェスト関数値と、自分で計算した関数値を比較して同一ならば接続を許可する仕組み。

MAC

Message Authentication Code：メッセージ認証符号
メッセージを認証するための短い情報。ハッシュ関数を用いた方式、共通鍵暗号方式。

AES

Advanced Encryption Standard
無線LANなどの通信データの暗号化に用いられる暗号化アルゴリズム。共通鍵暗号。データの送信者と受信者が同じ暗号鍵を用いて、暗号化と復号を実行。

RSA

Rivest Shamir Adleman
発明した３人の名前「R. L. Rivest、A. Shamir、L. Adleman」に由来。公開鍵暗号方式で使われるアルゴリズムの一種。鍵の交換だけでなく暗号化とデジタル署名を実現するアルゴリズム。

PKI

Public Key Infrastructure：公開鍵基盤
公開鍵暗号技術と電子署名を使って、 インターネット上で安全な通信ができるようにするための環境（インフラ）。

CA

Certification Authority：認証局
デジタル証明書を発行する信頼できる組織。デジタル証明書の認証局の種類の一つで、上位の認証局による認証を受けず、自分の正当性を自ら証明する認証局。

CRL

Certificate Revocation List：証明書失効リスト
認証局などが管理する失効した証明書のリスト。認証局 (CA) から発行された有効期間が満了していないすべての証明書の失効情報を記載。

GPKI

Government Public Key Infrastructure：政府認証基盤
政府が運営する公開鍵基盤（PKI）。

BCA

Bridge Certification Authority：ブリッジ認証局
複数の認証局と相互認証証明書を交換し、相互接続を可能とする認証局。政府機関。

OCSP

Online Certificate Status Protocol
公開鍵証明書の失効状態を取得するための通信プロトコル。

S/MIME

Secure Multipurpose Internet Mail Extensions
電子証明書を用いた電子メールのなりすまし対策技術。送信者と受信者側との両方がS/MIMEに対応する電子メールソフトを使用している必要あり。

PINコード

Personal Identity Number：個人識別番号
パスワードと同義。

IPSec

Security Architecture for Internet Protocol
ネットワーク層。暗号化によってパケットの秘匿や改ざん検知を実現するプロトコル。IETF（Internet Engineer Task Force）が中心となって標準化を行ったネットワークセキュリティ技術。パケット内のデータの改ざんを防止するためのパケット認証を行うAH（Authentication Header）、認証と暗号化まで行うESP（Encapsulating Security Payload）、暗号アルゴリズムの情報や共通鍵を交換するためのIKE（Internet Key Exchange：鍵交換）の3つのプロトコル。「トランスポートモード」と「トンネルモード」。

TLS

Transport Layer Security
IETF（Internet Engineer Task Force）によってSSLをもとに標準化させたもの。

SSH

Secure Shell
アプリケーション層。リモートコンピュータと通信するためのプロトコル。

SPF

Sender Policy Framework
ドメインごとのメール送信サーバのIPアドレスを管理する。メールアドレスにおけるなりすましを防ぐための技術の一つ。DNSを利用するのが特徴。

DKIM

DomainKeys Identified Mail
電子署名を利用して電子メールの送信元の偽装を防止する技術。メールを送信する際に送信元が電子署名を行い、 受信者がそれを検証することで、 送信者のなりすましやメールの改ざんを検知。SPF と、 DKIMとを組み合わせたDMARC (Domain-based Message Authentication, Reporting and Conformance)と呼ばれるメール認証技術もある。

SMTP-AUTH

SMTP Authentication
メール送信時にSMTP(送信)サーバーに対して認証を取る方式。認証された場合のみメール送信を許可。

OAuth

Open Authorization
一度のユーザ認証で、異なる複数のWebサイトやネットサービスで、認証情報を受け渡して利用するためのプロトコル。

DNSSEC

DNS Security Extensions
公開鍵暗号やハッシュ値を利用したDNSの拡張仕様。DNS応答が正しいサーバーから応答されたものであるか検証する仕組み。

EAP

PPP Extensible Authentication Protocol
PPP（Point-to-Point Protocol）を拡張し、追加的な認証方法をサポート。サーバ／クライアントの双方で電子証明書を利用するEAP-TLS（Transport Layer Security）。

IDS

Intrusion Detection System：侵入検知システム
不正侵入の兆候が確認できた場合に、管理者へ警告メールを通知するなどのアクションを起こすシステム。

IPS

Intrusion Prevention System：侵入防止システム
IDSに異常を検知した場合の対処として通信のブロックを行う機能を付加した仕組み。

UTM

Unified Threat Management：統合脅威管理
複数の異なるセキュリティ機能を1つのハードウェアに統合し、集中的にネットワーク管理を行うこと。

WEP

Wired Equivalent Privacy：共通鍵暗号方式で無線データを保護。40ビットの文字列による「共通鍵」とSSLと同じ暗号化アルゴリズムである「RC4」とを組み合わせたもの。秘密鍵はWEPキー。

WPA

Wi-Fi Protected Access
無線LANの暗号化方式。WEPの欠点を改善するために、 一定時間ごとに暗号鍵を変更。SAE（Simultaneous Authentication of Equals）と呼ばれる仕組みを用いて暗号化に利用する鍵を生成する。

OP25B

Outbound Port 25 Blocking
自ネットワークから外部ネットワークへのTCP 25番ポートの通信を遮断することにより、 spamメールやvirusメールの送信を抑制しようとする技術。

セキュリティ対策は、薬局だけじゃないとは思いますが、言うまでもなくICT化するに当たっては必須ですよね。

特に個人情報を大量に扱う以上、漏洩のリスクは最大限に抑えたいものです。

と言いながら、案外軽く見積もられている気もしなくもないですが・・・。

では、また。