ネットワーク WG
Request for Comments: 2504
FYI: 34
分類: 情報提供

E. Guttman
Sun Microsystems
L. Leong
COLT Internet
G. Malkin
Bay Networks
1999年 2月

English

ユーザのセキュリティハンドブック
(Users' Security Handbook)

このメモの位置づけ

このメモは、インターネットコミュニティに情報提供するものです。これは、いかなるインターネット標準をも定めるものではありません。このメモの配布には制限はありません。

著作権表記

Copyright (C) The Internet Society (1999). All Rights Reserved.

要旨

この「ユーザのセキュリティハンドブック」は、「サイトセキュリティハンドブック(SSH) 」の副読本です。これは、ネットワークやシステムをセキュアに保つことを補助するために必要な情報をユーザに提供するものです。

目次

第 1 部: はじめに

1. READ.ME

2. 回線に耳あり

第 2 部: 集中管理されたネットワークにおけるエンドユーザ

3. よく見ろ!

3.1. ダウンロードすることによる危険
3.2. Web で風邪をひかないように
3.3. 電子メールの落とし穴
3.4. パスワード
3.5. ウイルスと他の病
3.6. モデム
3.7. ほったらかしにしないで・・・
3.8. ファイル保護
3.9. 必要なものはすべて暗号化する
3.10. 不要なものはすべて断裁する
3.11. これはいったい何のプログラム?

4. パラノイアは良きこと

第 3 部:ネットワーク化されたコンピュータのエンドユーザによる自己管理

5. 自らのセキュリティポリシーを策定せよ

6. 悪い事態は起きる

6.1. あらかじめ最悪の事態に備える方法
6.2. トラブルの懸念がある場合にどうしたらよいか
6.3. 電子メール

7. ホームアローン

7.1. デーモンを知っておく
7.2. そちらに参ります
7.3. セキュアにせよ!

8. 最後の注意

補遺: セキュリティ用語の小辞典

謝辞
参考文献
セキュリティについての考慮事項
著者のアドレス
著作権表記全文

 


第 1 部:はじめに English

本書は、コンピュータシステムやネットワークのエンドユーザに、どのようにしたらデータや通信のプラーバシーを確保することができるか、また、彼らのシステムやネットワークをセキュアに保つことができるかについて、指針を提供するものです。 本書の第 2 部は、大・中・小規模の企業や大学サイトの「企業ユーザ」に関係があります。本書の第 3 部では、ホームユーザのように自身のコンピュータを管理している人に対応します。

システムやネットワークの管理者は、本書をサイト固有のユーザ用セキュリティガイドの基礎として利用することを望まれるかもしれません。しかし、その場合、まず 「サイトセキュリティハンドブック」 [RFC2196] にあたるべきです。

用語の意味は、本書の末尾の補遺にあります。コンピュータネットワークセキュリティに馴染みがない方のために、概念を紹介しています。

 

1. READ.ME English

インターネットもしくは他のいかなる公共のネットワークに接続する前に、あなたは、アクセスプロバイダーとして利用しようとしているサイトのセキュリティポリシーを入手して、それを読む必要があります。セキュリティポリシーとは、サイトのテクノロジーや情報資産にアクセスするユーザが守らなければならないルールの公式な表明です。1ユーザとして、あなたにはサイトの意思決定者や管理者が策定したポリシーに従う義務があります。

セキュリティポリシーは、サイトのハードウェア、ソフトウェア、データを保護するために存在しています。これは、何がサイトのセキュリティ目標であるか、ユーザには何ができて何ができないか、問題が起きたときに何をすべきか、誰に連絡すべきかを説明し、ユーザに「ゲームのルール」について一般的に知らしめるものです。

 

2. 回線に耳あり English

データネットワーク上の通信を盗聴することは、電話の会話を盗聴することよりもはるかに容易です。いかなるコンピュータの間をデータが流れても、すべてのコンピュータ間の接続は、潜在的にセキュアではありません。たとえあなたが「誰もこんなのを気にはしないさ・・・」と思っていても、ネットワーク上を転送されるすべての情報は、盗聴されるかもしれません。

ネットワーク上を転送される情報は、意図した読者に読まれるばかりでなく、他の者によって読まれるかもしれません。このことは個人的な電子メールや、ファイル転送もしくは Web 経由でアクセスされた慎重を要する情報において起きる可能性があります。あなたのプライバシーを保護する際の詳細な情報については、「Web で風邪をひかないように」「電子メールの落とし穴」の章をご覧ください。

あなたが 1ユーザとして、まず最初に関心をもつべきことは、あなたのコンピュータアカウント(複数もあり得る)の悪用から保護することで、その次にあなたのプライバシーを保護することです。

予防措置をとらない限り、ネットワーク越しにいかなるネットワークサービスにログインするたびに、あなたのパスワードもしくは機密情報は、盗まれる可能性があります。その後、これはあなたがアクセス権限をもっているシステムに、不正なアクセスができるようにするのに使われる可能性があります。場合によっては、結果は明らかです。: 誰かがあなたの銀行のアカウントにアクセスできるようになったとしたら、すぐに預金が失われていることに気づくはずです。あまり明らかでない場合には、金銭的でない性格のサービスが比較的コストのかかるやり方で濫用される場合があります。あなたのアカウントが悪用された場合には、あなたに責任があることになります!

多くのネットワーク サービスは、リモートログインに関連があります。ユーザは、自身のアカウント ID(つまりユーザ名)とパスワード入力を促されます。この情報が暗号化されずにネットワークを通って送信された場合には、そのメッセージは横取りされて他人に読まれる可能性があります。あなたが、「ダイアルイン」サービスのログインする場合は、この限りではありません。この場合、あなたはオンラインサービスプロバイダーなどに電話で接続してログインしていることになります。それは電話回線は、インターネット通信よりも盗聴するのが難しいからです。

ネットワーク越しにログインするプログラムを使用している場合に、そのリスクがあります。( telnet や ftp のような)多くの有名なプログラムがものが(それぞれに)サービスにログインしたりファイルを転送するのに、あなたのユーザ名やパスワードを送信し、そのあと暗号化せずにあなたのデータをネットワーク越しに転送します。

企業のように比較的大きな機関によって通常とられているパスワード盗聴に対する予防措置は、OTP(ワンタイムパスワード)システムを使用することです。

最近までホームシステムやスモールビジネスには、セキュアなログインシステムを採用することは、複雑すぎて高価すぎました。しかし、洒落たハードウェアなしに暗号技術を使用して、これを可能にする製品が増えています。そのような技術の 一例が、SSH(Secure Shell)[SSH] です。これは、フリーと商用のどちらも、様々なプラットフォーム用に入手可能です。(SSH ベースのものを含む)多くの製品でも、データをネットワーク越しに転送する前に暗号化することができます。

 


第 2 部: 集中管理されたネットワークにおけるエンドユーザ English

次の大ざっぱなやり方は、この文書の第 2 部で検討するアドバイスの最も重要な部分の要約を提供します。:

 

3. よく見ろ! English

3.1. ダウンロードすることによる危険 English

ますます豊富になってきているフリーソフトウェアは、インターネット上で入手可能になりました。このエキサイティングな開発は、公共のネットワークを使用する際の最も魅力的な側面のひとつですが、同時に注意も払う必要があります。ファイルによっては、危険である可能性があります。ダウンロードすることによって、その最大のリスクを引き起こします。

ダウンロードしたすべてのファイルを、あなたがそれらの(危険な可能性がある)起源を覚えていられるように保存するように注意してください。例えば、ダウンロードしたプログラムが単に同じ名前だからといって、他のプログラムと間違えてはいけません。これは、ユーザを騙して見慣れたプログラムと信じるプログラムそ実行させて、実際には危険であるというよくある手口です。

プログラムは、あなたに気づかれずにネットワークを使用することができます。覚えておかなければ行けないことは、もしコンピュータが接続されていれば、いかなるプログラムでも、あなたに知らせるか否かを問わず、ネットワークを使用する能力をもつということです。例を挙げます。:

あなたは、ある anonymous FTP サーバーからゲームプログラムをダウンロードしました。これはシューティングゲームのように見えますが、あなたに知られずに、あなたのファイルをひとつずつインターネット越しにクラッカーのマシンに転送しているのです!

多くの企業の環境では、ダウンロードすることと、インターネットからとったソフトウェアの実行を明確に規制しています。

3.2. Web で風邪をひかないように English

Web ブラウジングする際の最大のリスクは、ファイルをダウンロードすることです。Web ブラウザーは、いかなるファイルでもインターネットからとることを許してしまいます。「ダウンロードすることによる危険」をご覧ください。

Web ブラウザーは、たとえ全体が分からない場合でもファイルをダウンロードしてしまいます。それゆえ、ファイルをダウンロードすることによってもたらされるリスクは、たとえあなたが活発にわざわざ外に出て、ファイルをとらなくてもあるのです。あなたがネットワーク越しにとってきた、いかなるファイルも潜在的に危険であると考える必要があります。( Web ブラウザーのキャッシュの中のファイルもです。)誤ってそれらを実行してはいけません。それは、それらが悪意を持ったプログラムであるかもしれないからです。(プログラムもファイルであることを覚えておいてください。あなたは、テキストファイルをダウンロードしたと信じているかもしれませんが、それが実際にはトロイの木馬プログラム、スクリプト等であるかもしれません。)

Web ブラウザーは、プログラムをダウンロードして、あなたの代わりに自動的に、もしくは手動によって実行します。あなたは、これらの機能を実行不能にすることができます。これらを実行可能なままにした場合、あなたがその結果を理解していることを確かめてください。あなたは、あなたの会社のセキュリティポリシーのみならず、Web ブラウザーについてくるセキュリティガイドも読む必要があります。あなたは、ダウンロードしたプログラムをあなたのマシン上で実行するのにはリスクがあることを知っている必要があります。「これはいったい何のプログラム?」をご覧ください。

フォームをもった Web ページは、よくあります。電子メールと同様、Web ブラウザーから Web サーバーへ送信されたデータは、セキュアでないことを認識してください。いくついかのメカニズムが、これを防ぐために作られました。最もよく知られているのが SSL(Secure Sockets Layer) [SSL] です。この機能は、多くの Web ブラウザーに作り込まれています。これはユーザの Web ブラウザーと Web サーバーの間を転送されるデータを暗号化するので、途中の誰もそれを読むことができません。

Web ページが本物に見えても、実際には偽物であることはありえます。本物の Web ページの外観をコピーするのは容易であり、要求された Web サーバーとコンタクトするネットワーク プロトコルを横道にそらして Web ブラウザーを偽物に導くことも可能です。

その脅威は、SSL を Web ページが本物であることを証明するのに使用することによって護ることができます。「セキュア」ページがダウンロードされた場合、そのWeb ブラウザーの「ロック」もしくは「キー」が、そのことを示します。これをダブルクリックするとよいでしょう。: あなたがアクセスした Web ページと関連付けられた「証明書」をご覧ください。各 Web ブラウザーでは、このやり方は異なっています。その証明書には、その所有者と発行者が記載されています。これが信頼するに値する場合には、あなたはおそらく OK でしょう。

3.3 電子メールの落とし穴 English

電子メール以外で受け取ったメッセージについて一般に問題となることは、電子メールで受け取ったメッセージについてもいえます。例えば、その送信者は書かれている通りの人ではないかもしれません。電子メールセキュリティソフトウェアが使用されていない場合には、メッセージを送ったかを確実に判断することは極めて困難です。これは、電子メール自身が様々なビジネスを行うのに適当なやり方ではないことを意味します。電子メールのメッセージを偽って誰かから送られたように見せることは非常に簡単なことなのです。

あなたが電子メールを使用する際に考慮する必要がある他のセキュリティの論点は、プライバシーです。電子メールは、インターネットにおいてコンピュータからコンピュータへ転々とします。メッセージはコンピュータどうしの間を移動し、読まれるまでユーザのメールボックスにあるので、他人が見ることができてしまいます。この理由により機密情報もしくは極めて個人的な情報を電子メールで送る前に 2度よく考えるのがよいといえます。あなたは、クレジットカード番号や他の慎重を要するデータを決して保護されていない電子メールで送ってはいけません。「回線に耳あり」をご参照ください。

この問題に対処するためには、プライバシープログラムが入手可能です。これらの中には電子メールパッケージに組み込まれているものもあります。

多くの電子メールユーザが好んで使う他のサービスに、電子メール転送があります。これは極めて慎重に利用する必要があります。下記のシナリオを考えてみて下さい。:

あるユーザが、個人的に ISP(インターネットサービスプロバイダー)にアカウントを持っていて、すべての電子メールをそこで受け取りたいと考えています。彼女は、仕事の電子メールがプライベートのアドレスに転送されるように設定します。彼女が仕事で受け取るすべての電子メールは、インターネット越しに移動して彼女のプライベートアカウントに届きます。この過程で、この電子メールには、読まれる脆弱性があるといえます。仕事で彼女に送られた慎重を要する電子メールメッセージが、電子メールが辿る多くの過程でネットワーク盗聴者によって読まれる可能性があります。

仕事で送受信する電子メールは、プライベートなものではないことを銘記してください。雇用者に確認してください。それは雇用者は(場合によっては)法的に、あなたの電子メールを読んだり利用することができる可能性があるからです。電子メールの法的な位置づけは、各国で施行されている情報のプライバシーに関する法律によって違います。

多くのメールプログラムでは、電子メールメッセージにファイルを添付することができます。電子メールで届くファイルは、他のファイルと同様です。ファイルがコンピュータへ入ってくるすべての経路は危険である可能性があります。その添付ファイルが、単なるテキストメッセージである場合には問題ありません。しかし、テキストメッセージ以外のものである可能性があります。その添付ファイル自体がプログラムもしくは実行可能なスクリプトである場合には、それを実行する前に特別な注意を払う必要があります。「ダウンロードすることによる危険」の章をご覧ください。

3.4 パスワード English

パスワードは、予防措置をとらない限り、侵入者に容易に推測されてしまう可能性があります。あなたのパスワードは、数字、大文字と小文字、句読点の組み合わせである必要があります。あらゆる言語の実際にある単語や単語の組み合わせ、ナンバープレートの番号、名前等を避けてください。最善のパスワードは、"2B*Rnot2B" のように(ただし、このパスワードは使わないように!)組み立てられた並びです。(例: あなたが忘れないフレーズからの頭文字の組み合わせ)

つい、パスワードを書き留めてしまいがちですが、やらないようにしてください。もし書き留める場合には、覚えるまで身につけて、覚えたら裁断してください!決してパスワードを端末の上に貼ったり、ホワイトボードに書きっぱなしにしてはいけません。あなたは、PIN コードを ATM カード上に書いたりしますか?あなたは、アカウントごとに異なるパスワードをもつ必要があります。ただし、覚えられないほど多くのパスワードであってはなりません。あなたはパスワードを定期的に変更する必要があります。

あなたは、決してパスワードをスクリプトやログイン手順の中に保存してはいけません。それは、これらをあなたのマシンにアクセスできる誰でもが使用することができてしまうからです。

あなたが本当にあなたのシステムにログインしていることを確認してください。それは、ログインプロンプトが現れてあなたのパスワード入力を求めることは、あなたがそれらを入れなければならないことを意味しないからです。通常でないログインプロンプトは避け、ただちにそれらをあなたのセキュリティ連絡先に報告してください。ログイン時に何かおかしいことに気づいた場合、あなたのパスワードを変更してください。

ネットワーク越しにパスワードを送る場合に暗号化する予防措置がとられていない限り、ネットワーク越しにシステムにログインする場合に可能であれば「OTP(ワンタイムパスワード )」を使う必要があります。(このためのアプリケーションがあります。)ネットワーク越しにログインすることに関するリスクについての詳細は、「回線に耳あり」をご覧ください 。

3.5 ウイルスと他の病 English

ウイルスの本質は、コンピュータに感染する方法をもった、ユーザが望みもしない小さなソフトウェアです。ウイルスがその宿主に入り込んでから何をするかは、いくつかの要因に依存します。: そのウイルスが何をするようにプログラムされているか? そのウイルスが、該当のコンピュータシステムのどの部分を攻撃したか?

ウイルスには、特定の日になると、というような特定の条件のもとでのみ動作する「時限爆弾」がありますし、特定の関連したプログラムが動作しない限り、システム中に隠れているものもあります。さらに常時動作しており、危害を加える期をうかがっているものもあります。巧妙なウイルスには、単にシステムの設定を変更したり、隠れてしまうものがあります。

あなたのシステムに、どんなソフトウェアをインストールするかについて慎重であってください。できるならば「信頼できる入手元」からのソフトウェアを使用してください。いかなるソフトウェアをインストールするときにも、その前にあなたのサイトのポリシーをチェックして下さい。: サイトによっては、セキュリティやシステム保守問題を避けるために、管理者にのみソフトウェアのインストールを許可しています。

集中管理されたサイトには、ウイルスの脅威を扱うためのポリシーやツールがあります。あなたのサイトポリシーにあたるか、もしくは、あなたのシステム管理者からウイルス問題を解消する正しい手順を聞き出してください。

ウイルス検出ツールが、あなたのシステムの問題があることを示している場合、それを報告する必要があります。あなたにそのウイルスを渡したと思われる人にだけでなく、あなたのサイトのシステム管理者にも通知する必要があります。平静であることが重要です。ウイルスに脅えることは、実際のウイルス発生 以上の遅れや混乱を引き起こします。ウイルスについて広くアナウンスする前に、ウイルス検出ツールを使用して、できれば技術的能力のある人物の支援のもと、その存在を確認するようにしてください。

トロイの木馬プログラムやワームは、しばしばウイルスとともに分類されます。トロイの木馬プログラムは、「これはいったい何のプログラム?」の章の中で扱っています。この節の目的においては、ワームはウイルスの 1種とみなす必要があります。

3.6 モデム English

あなたはコンピュータに何かを追加する場合においては、常に注意深くある必要があります。特に、データが流れる機器においては注意深くある必要があります。あなたは、集中管理されたコンピューティング環境においては、あなたのコンピュータに何かを接続する前に許可を得る必要があります。

モデムは特別なセキュリティ リスクをもたらします。多くのネットワークは、公衆ネットワークからの正面の攻撃を防ぐために設計された一連の予防措置によって保護されています。あなたのコンピュータがこのようなネットワークに接続されている場合でモデムも使用する際には、特に注意しなければなりません。「セキュア」なネットワークに接続されたまま、リモートネットワークに接続するのにモデムを使用することはありえることです。あなたのコンピュータは、今やあなたのネットワークの防御における穴となりえます。認可されていないユーザが、あなたのコンピュータ経由であなたの組織のネットワークに侵入することができてしまうかもしれません。

モデムを接続したままにして、あなたのコンピュータをリモートコンピュータにダイアルインできるようにしておいた場合に、どのようなことになるかを理解してください。すべての適用可能なセキュリティ機能を正しく使用するようにしてください。多くのモデムは、デフォルトで呼び出しに応えます。呼び出しにあなたのコンピュータが応答する準備ができていない限り、あなたは自動応答を OFF にする必要があります。「リモートアクセス」ソフトウェアにはこれを要求するものがあります。あなたのコンピュータを電話でアクセスできるようにする前に、あなたの「リモートアクセス」ソフトウェアのすべてのセキュリティ機能を使用するようにしてください。

電話番号を掲載しないことで、誰かが電話回線経由であになたのコンピュータに侵入することを防ぐことができるわけではないことを知っておいてください。モデムを検出するために多くの電話回線を調べて、それから攻撃を放つことは、とても簡単なことなのです。

3.7 ほったらかしにしないで・・・ English

端末もしくはコンピュータにログインしたまま、どこかへ行ってしまうようなことをしてはいけません。できる限りパスワードロックがかかるスクリーンセイバーを使用してください。これらは、コンピュータがしばらく使われていないと動くように設定することができます。

不吉なことと思われるかもしれませんが、誰かがあなたの仕事を消しにやって来ることは、ありえない事ではありません。あなたがログインしたままの場合、誰でもやって来て、あなたが説明責任を負うものに対していたずらをすることができてしまいます。例えば、厄介な電子メールがあなたの名前で、あなたの会社の社長に送られる場合や、あなたのアカウントが違法なポルノを転送するのに使用される場合に巻き込まれるトラブルを想像してみて下さい。

あなたのコンピュータ物理的なアクセスができる人であれば誰でも、ほぼ間違いなく侵入することができます。それゆえ、誰にあなたのマシンへのアクセスを許すかに際して、慎重であってください。あなたのマシンを物理的にセキュアにすることが不可能な場合、ハードディスク上のデータファイルを暗号化するのが賢明です。可能であれば、コンピュータがあるオフィスへの 扉に鍵をかけるのも賢明でしょう。

3.8 ファイル保護 English

共有システム、もしくはネットワーク化されたファイルシステム上のデータファイルとディレクトリは、注意と保守を要求します。このようなシステムには 2つのカテゴリがあります。:

3.9 必要なものはすべて暗号化する English

さらに、プライベートなファイルがあります。あなたは、他人にはアクセスして欲しくないファイルを持っている事でしょう。この場合、ファイルを暗号化するのが賢明です。このようにすれば、たとえあなたのネットワークに侵入されたり、またはシステム管理者が「ジキルとハイド」のハイド氏となっても、あなたの秘密情報を入手することはできません。あなたがコンピュータを共有している場合にも、暗号化は非常に重要です。例えば 、ホームコンピュータを友達のルームメイトと共有し、ただし電子メールや金銭的な情報はプライベートにしたい、ということがあるかもしれません。暗号化によって共有しつつ、プライベートな使用が可能になります。

ファイルを暗号化する前に、あなたはあなたのサイトのセキュリティポリシーをチェックする必要があります。雇用者や国によっては、暗号化されたファイルの保存や転送を明文で禁止、もしくは制限していることがあります。

あなたがファイルを暗号化するのに使用するパスワード、もしくは鍵については注意してください。安全に鍵をかけることは、詮索好きな目から避けるのに役立つばかりでなく、それらをセキュアに保つのにも役立ちます。; あなたが 、それらをなくした場合、あなたのデータを復号することもできなくなってしまいまうのです!!複数のコピーを保存しておくのが賢明でしょう。例えばあなたの会社が鍵寄託ポリシーをもっている場合には、このことが要求されることでしょう。このことによって、パスフレーズを知っているただ 1人の人が去ったり、または雷が落ちることの対策になります。

暗号化プログラムは入手可能な状況にありますが、その品質は、まちまちであることを知っておく必要があります。例えば、PGP(Pretty Good Privacy)は、強力な暗号化機能を提供します。多くの通常のソフトウェアアプリケーションが、データを暗号化する機能を持っています。これらにある暗号化機能は、非常に弱いといえます。

暗号化ソフトウェアについて詳しくないかもしれません。簡単に使えるソフトウェアが入手可能となりつつあります。

3.10 不要なものはすべて断裁する English

あなたは、何がごみ箱に投げ捨てられているかをみて驚くことでしょう。: 打ち合わせのノート、過去のスケジュール、内線電話のリスト、コンピュータプログラムのリスト、顧客との書簡や市場分析まであります。これらすべては、競争企業や採用応募者、さらにスクープを探している熱心な(飢えた?)ジャーナリストに対して弱点をさらすことになります。ごみ箱あさりの脅威は現実ですので真剣に考えてください!すべての有用である可能性のある文書を処分する前に断裁してください。

多くの場合、ファイルの削除では実際には消えないことも知っておく必要があります。古いハードディスクに価値ある情報が残らないようにする唯一の方法は、それを再フォーマットすることです。

3.11 これはいったい何のプログラム? English

ここ数年、プログラムは、より複雑になってきました。これらは、しばしば、危険なやり方で拡張することができます。このような拡張は、アプリケーションをより柔軟、パワフル、カスタマイズできるようにしてくれます。これらはまた、エンドユーザに様々なリスクをもたらします。

 

4. パラノイアは良きこと English

多くの人々は認識していませんが、ソーシャルエンジニアリングは、多くの攻撃者がコンピュータシステムにアクセスするのに使うツールです。コンピュータ侵入について人々がもつ一般的な印象は、それらは攻撃者が見つけたコンピュータシステムにある技術的欠陥の結果であるというものです。人々は、侵入は 、純粋に技術的なものであると考えがちでもあります。しかし実際には、ソーシャルエンジニアリングは、攻撃者がセキュリティバリアをすり抜けるのを助けるのに大きな役割を果たしています。その攻撃者がそのシステムに認可されたアクセスを全くも 持たない場合、これは、しばしば保護されたシステムへの便利な飛び石の役割を果たします。

ソーシャルエンジニアリングは、この文脈において、「システムへの認可されていないアクセスを得るために、正規のコンピュータユーザの信頼を得る行為 」と定義することができます。その信頼は、正規のコンピュータユーザがシステムの秘密を明かしたり、または誰かを助けたり、意図せず、という程度です。ソーシャルエンジニアリングを行うことによって、攻撃者は簡単にセキュリティバリアを突破するのに役立つ価値ある情報や支援を得ることができます。熟達したソーシャルエンジニアは、本物のように聞こえますが、欺瞞に満ちたものです。

大部分の場合において、ソーシャルエンジニアリングを使う攻撃者は、電話で行います。これは攻撃者自身の身元を守るシールドとなるばかりでなく、作業を容易にもします。それは攻撃者が、よりその作業を行う機会の多い特定の誰かであると名乗ることができるからです。

ソーシャルエンジニアリングには、いくつかの類型があります。一般的に使用されるものについて、ここにいくつかの例を掲げます。:

ソーシャルエンジニアリングの被害者にならないようにする方策として覚えておかなければならない重要なことは、パスワードは秘密にするものであるということです。あなたの個人的なアカウント用のパスワードは、あなただけが知っているようにする必要があります。あなたのアカウントに何かをする必要のあるシステム管理者は、あなたのパスワードを要求する事はありません。管理者がもっている権限では、あなたのパスワードを知るまでもなく、あなたのアカウント上の作業を行うことができます。管理者があなたのパスワードを聞き出す必要はないのです。

ユーザは、自身のアカウントの使用を守り、自分自身の使用のために使うようにする必要があります。アカウントは、たとえ臨時のシステム管理者、もしくはシステムの 保守技術者とであっても共有してはいけません。大部分の保守作業は、エンドユーザには与えられていない特別な権限を必要とします。システム管理者は、自身の作業用アカウントをもつので、エンドユーザのアカウントでコンピュータシステムにアクセスする必要はありません。

サイトに来るシステム保守技術者は、(あなたが知っている)現地サイトの管理者と同伴でなければなりません。サイトの管理者に聞き覚えがない場合、もしくは技術者が 1人できた場合、あなたの知っているサイトの管理者に、その技術者がそこにいて不自然でないかチェックするために問い合わせるのが賢明です。それでも多くの人々は、これをやりません。それは、これをやることによってパラノイアになっているように見えたり、訪問者をほとんど信用していないように見えることは困るからです。

あなたの会話している相手が名乗っている通りの人であると確信を持てるのでない限り、そのような人に秘密情報を明かしてはなりません。しばしば攻撃者は、あなたが電話で声を知っている人のように聞こえるようにすることもできるかもしれません。人の識別を 2重にチェックすることは、常に良いことです。あなたがそのようにできない場合に最も賢明なことは、秘密を明かさないことです。あなたがシステム管理者である場合、パスワードのユーザへの割り当てと再割り当てのためのセキュリティの手続きがあるはずであり、あなたはそのような手続きに従う必要があります。あなたがエンドユーザである場合には、システムの秘密を誰にも明かす必要は全くありません。会社によっては複数の ユーザに共通アカウントを割り当てているところがあります。あなたが、そのようなグループに含まれてしまった場合、グループのメンバーであると名乗る人が本当であることがわかるように、グループの全員を知っておくようにしてください。

 


第 3 部: ネットワーク化されたコンピュータのエンドユーザによる自己管理 English

ホームユーザもしくは自身のネットワークを管理しているユーザは、集中管理されたネットワークのユーザとほぼ同じ論点をもっています。第 3 部で行う追加的なアドバイスの要約を掲げます。:

 

5. 自らのセキュリティポリシーを策定せよ English

あなたは、事前に許容できるリスクを判断し、この判断に依拠する必要があります。あなたの判断を、定期的に、また必要性が生ずるごとに、レヴューするのも賢明です。単に、ネットワークからいかなるソフトウェアをも、ダウンロードすることを避けるようにするのも賢明です。ソフトウェアは、よくわからない源泉から、ビジネスの記録や、他の価値あるデータや、情報が失われたり盗まれたらダメージのあるデータを蓄積しているコンピュータに来てしまうことになるのです。

システムが様々な用途に使われる場合、例えば、レクリエーション、文通や家計簿つけに使う場合、おそらくあなたは、ある種のソフトウェアをダウンロードすることで危険を冒すことになるでしょう。あなたは、避け難く、見かけとは異なるものを入手する一定のリスクを負います。

複数のユーザによって共有されている場合、コンピュータ上にプライバシーソフトウェアをインストールすることには価値があります。このようにすれば、ルームメイトである友人があなたのプライベートなデータなどにアクセスすることはありません。

 

6. 悪い事態は起きる English

あなたのファイルが改ざんされたことに気がついた場合、もしくは、何らかの方法であなたの承諾なしにアカウントが使用されていたことを突き止めた場合、ただちにあなたのセキュリティ連絡先に通知する必要があります。誰があなたのセキュリティ連絡先であるかを知らない場合、まず、あなたの ISP(インターネットサービスプロバイダー)のヘルプデスクに問い合わせてみてください。

6.1 あらかじめ最悪の事態に備える方法 English

ウイルスの問題を避ける方法が 3つあります。:

1. ごちゃ混ぜにしない

できる限り、どんなソフトウェアをあなたのシステムにインストールするかについて注意してください。出所が不明、もしくは不確かなプログラムを動作させてはいけません。あなたが再フォーマットしたのでない限り、古いフロッピーディスクを使って、特にその古いフロッピーディスクがソフトウェアを展示会などから持ち帰った媒体であった場合には、プログラムを実行したり、再起動してはいけません。

あなたのコンピュータにどのようなファイルが保存されているかについて、細心の注意を払うならば、ほとんどすべてのウイルス感染のリスクは、なくすことができます。詳細については「ダウンロードする際の危険」をご覧ください。

2. 定期的にスキャンする

あなたのシステムを定期的によくチェックしてください。今日、大部分のコンピュータプラットホーム用の優れた、ウイルス チェックとセキュリティ監査を行うツールが入手可能です。それらを使用し、可能であれば、それらを定期的に自動実行するように設定して下さい。また、これらのツールのアップデートを定期的にインストールし、新しいウイルスの脅威を知っておくようにしてください。

3. 異常に注意する

「異常を検出できないから異常がない」というのは真ではありませんが、これはよいルールであるといえます。あなたのシステムの動きに親しんでおく必要があります。説明のつかない異常がある場合、(例えば、あるべきはずのファイルがない、見慣れない新しいファイルがある、ディスクの空きスペースが「なくなっている」場合、)ウイルスの存在をチェックする必要があります。

あなた自身のコンピュータを維持管理する責任がある場合、あなたのコンピュータの機種用のコンピュータ ウイルス検出ツールに慣れ親しんでおく必要があります。あなたは、最新のツール(すなわち 3ヶ月以内のもの)を使う必要があります。既に報告されているウイルスが、あなたの組織で「発生」している場合、あるいは、あなたがフリーウェアを使用していた場合、他人が使用したフロッピーディスクをファイルを運ぶのに使用していた場合などには、あなたのコンピュータをテストすることが非常に重要です。

6.2 トラブルの懸念がある場合にどうしたらよいか English

あなたのホームコンピュータにウイルスがあるとか、悪意を持ったプログラムが動作したとか、システムが侵入されたといった懸念がある場合、最も賢明な行動は、まずそのシステムをすべてのネットワークから切断することです。入手可能であれば、ウイルス検出ソフトウェア、またはシステム監査ソフトウェアを使用する必要があります。

最重要のシステムファイルに損傷がないか、勝手な変更がないか、悪意を持った変更がないかをチェックすることは、手動で行うには非常に退屈な作業です。幸い多くのウイルス検出プログラムが、PC や Macintosh コンピュータ用に入手可能です。セキュリティ監査プログラムが UNIX ベースのコンピュータ用に入手可能です。ソフトウェアがネットワークからダウンロードされた場合には、ウイルス検出ツール、もしくは監査ツールを定期的に動作させるのが賢明です。

ホームシステムが攻撃されたことが明らかになったら、それはクリーンアップするときです。理想的には、システムをスクラッチから再構築する必要があります。これはハードディスク上のすべてを消去することを意味します。次に、OS(オペレーティングシステム)をインストールし、次にそのシステムが必要とするすべての追加的なソフトウェアをインストールしてください。その OS(オペレーティングシステム)や追加的なソフトウェアをバックアップストレージからではなく、オリジナルの配布フロッピーディスク、もしくは CD-ROM からインストールするのが最良といえます。この理由は、システムはしばらく前に侵入されたことがあり、そのバックアップ システム、もしくはプログラムファイルには、改ざんされたファイル、もしくはウイルスがある可能性があるからです。システムをスクラッチからリストアすることは退屈ですが、やる価値があります。セキュリティインシデントの前にインストールしていた、すべてのセキュリティ関連のフィックスを再インストールすることを忘れてはいけません。これらは、確認された確かな源泉から入手してください。

6.3 電子メール English

保存された電子メールに気をつけることを覚えておいて下さい。ISP(インターネットサービスプロバイダー)によって提供されたストレージにある送受信した電子メール(もしくは、すべてのファイル)のコピーは、脆弱性を持っています。そのリスクは、誰かがアカウント侵入し、古い電子メールを読む可能性があるというものです。あなたの電子メールファイルや、すべての慎重を要するファイルは、あなたのホームマシン上に保存するようにしてください。

 

7. ホームアローン English

ホームユーザに油断がある場合、ホームシステムは、インターネット越しに侵入される可能性があります。ホームシステム上のファイルは、盗まれたり、改ざんされたり、破壊され たりする可能性があります。侵された場合、そのシステム自体は、いつか将来、再びアクセスされる可能性があります。本章においては、インターネットのホームユーザに関する論点について記述し、推奨事項をまとめます。

7.1 デーモンを知っておく English

インターネットに直接接続するために、PPP を使用するホームシステムは、ますます普及しています。このようなシステムは、「サービス」と呼ばれる種類のプログラムを動作させている場合、最大のリスクをもっています。あなたがサービスを動作させている場合、結果的に、あなたのコンピュータをネットワーク越しに他人が利用可能にしているのです。サービスには、このようなものがあります。:

一般に、インターネット上で運行するプログラムには、2種類のプログラムがあります。:(Web ブラウザーや電子メールプログラムのような)クライアントや、( Web サーバーやメールサーバーのような)サーバーです。

ホームシステム上で動作する大部分のソフトウェアは、クライアントです。; しかし、かつてのクライアントプラットフォーム(例: PC)上のサーバーソフトウェアが、より多く入手可能になってきています。バックグラウンドで動作するサーバーソフトウェアは、「デーモン」と呼ばれます。(ディーモンと発音します。)デーモンとして動作している、多くのインターネットサーバーソフトウェアプログラムは、"inetd"(インターネット デーモン)や "talkd"( Talk デーモン)のように、`d' で終わる名前をもっています。このようなプログラムは、動作するように設定された場合、クライアントがネットワーク越しにある特定のサービスを要求することを待ちます。

ホームコンピュータ上でサービスを動作させることのセキュリティに関する限り、覚えておくべき 4つの非常に重要なことがあります。

一般的に、どんなソフトウェアでもネットワーク デーモンを起動することができます。安全であるための方法は、あなたが使用している製品を知ることです。あなたが製品を使用することによって実際にサービスを動作させているかを見出すために、マニュアルを読んでください。そして何か疑問がわいたときには、その会社に問い合わせるか、フリーソフトウェアの作者にメールしてください。

ホームマシン上でリモートログインサービスを動作させているホームユーザは、非常に深刻なリスクに直面します。このサービスは、ホームユーザが、インターネット上の他のコンピュータから自身のホームマシーンにログインすることをできるようにし、極めて便利である可能性があります。しかしその危険性は、誰かが密かにログインを観察していて、将来、思い立ったらいつでも、その ユーザになりすますことができることです。リモートログインについての予防措置を述べている「回線に耳あり」をご覧ください。

できるならば、あなたのサーバーソフトウェアにあるセキュリティに関連するすべての「ログをとる」オプションを活動させてください。このログをとることによる恩恵を得るためには、 あなたは、このようなログを定期的にレヴューする必要があります。ログがしばしば非常に速く膨張するので、あなたは、ハードディスクが満杯にならないように注意する必要があることを知っておく必要もあります!

7.2 そちらに参ります English

リモートログインは、ユーザが快適な自宅から物理的にはリモートのシステムへの特権アクセスをすることができるようにします。

より多くの会社が、従業員が自宅からダイアルアップ接続によって自身のコンピュータアカウントへアクセスして仕事ができるようにしています。インターネット接続の利便性は、低コストと幅広い利用可能性にあり、会社はインターネット経由のそのシステムへのリモートログインを許可します。会社のインターネットアクセスができる顧客には、リモートログインアカウントも与えられます。このような会社には、ISP(インターネットサービスプロバイダー )や銀行さえも含まれます。ユーザはリモートログインするとき、非常に注意深くある必要があります。

「回線に耳あり」の章で検討したように、インターネット接続は盗聴される可能性があります。あなたがリモートログインサービスの使用を望む場合、その接続がセキュアに行うことができることをチェックし、セキュア技術/機能を使用するようにしてください。

接続は、OTP(ワンタイムパスワード)SSH(Secure Shell)SSL(Secure Sockets Layer)のような技術を使用することによって、セキュアにすることができます。OTP(ワンタイムパスワード)は、パスワードを盗むことを無意味にし、SSH は 、接続上を転送されるデータを暗号化します。SSL の検討については「Web で風邪をひかないように」をご覧ください。このようなセキュアサービスは、リモートでログインしようとするシステム上で利用できるようにする必要があります。

7.3 セキュアにせよ! English

あなた自身のホームコンピュータを管理することは、その上で動作させるソフトウェアを選択することを意味します。暗号化ソフトウェアは、データの保護機能を提供します。あなたがコンピュータ上にビジネスの記録や、他の慎重を要するデータを保存している場合、暗号化機能が安全に保存するのに役立ちます。例えば、あなたがあなたのホームコンピュータでネットワークサービスを動作させて、プライベートなディレクトリ上の制限の設定を誤った場合、(認可されているか否かにかかわらす)リモートユーザは、このプライベートなディレクトリ中のファイルにアクセスすることができてしまいます。そのファイルが暗号化されている場合、そのユーザは、それらを読むことができません。しかし、いかなるシステム上で動作するあらゆる暗号化機能についていえることですが、鍵やパスワードを最初に安全に保存する必要があります!

 

8. 最後の注意 English

本書においては、読者に入門と、できる限り簡潔な詳細を提供してきました。現在のセキュリティの論点は、すぐに陳腐化するので、一般的に検討するように努力しましたが、将来インターネットやコンピュータ産業が成長し続けることによって、紹介した例は、適切でなくなるかもしれません。

変化する我々が住んでいる世界の中で、ちょうど住宅をもっている人が、利便性や、その家をセキュアにするための支出に注目するようになってきているのと同様に、コンピュータネットワークのユーザは、セキュリティを無視してはいけません。不便なことがあるかもしれませんが、後悔するよりも安全であることの方が常によいのです。

 


補遺: セキュリティ用語の小辞典 English

Acceptable Use Policy(AUP)

詳細さの程度はありますが、システム、もしくはネットワークの適切な使用法に関する期待を、詳細に規定する一連のルールとガイドラインです。

Account(アカウント)

(Computer) Account をご覧ください。

Anonymous and Guest Log In(匿名ログイン、ゲストログイン)

サービスは、何の認証もなしに利用可能にされる可能性があります。例えば、これは FTP プロトコルについて匿名アクセスを認めるのに、よく行なわれています。アクセスを提供するのに "guest" という名前の特別なアカウントを提供するシステムもあります。典型的には、このアカウントの権限を制限しています。

Auditing Tool(監査ツール)

コンピュータシステムやネットワークのセキュリティ状況や、それらによって提供されるサービスに関して解析するツール。COPS( Computer Oracle Password and Security analyzer )や SATAN( Security Administrator's Tool for Analyzing Networks )が、そのようなツールで有名なものとして挙げられます。

Authentication(認証)

認証とは、ユーザの識別を証明するのに使用される機構のことです。認証のプロセスは、典型的には、本人であることを証拠として、ユーザが名前とパスワードが入力されることを要求します。

Centrally-Administered Network(集中管理されたネットワーク)

ひとつの管理者グループが管理責任を負うシステムのネットワークのことです。その管理者たちは、ネットワークの面倒を見るのに、分権的に働くのではなく、集権的に働きます。

Certificate(証明書)

証明書は、デジタル署名を検証するのに使用されるデータです。証明書は、それを発行した機関が信頼できればこそ信頼に値するものです。証明書は、電子メール メッセージ、もしくは web ページのような特定の署名されたものを検証するのに使用されます。そのデジタル署名、要素、証明書は皆、数学的なプログラムによって処理されます。署名が正当である場合、「この証明書を発行した機関によれば、この署名者は本人(その名前)である」ということができます。

Clean System(クリーンなシステム)

信頼できるソフトウェア配布メディアから入手したオペレーティング システムやソフトウェアをインストールしたばかりのコンピュータのことです。コンピュータにソフトウェアが追加されたり設定が追加されるにしたがって、コンピュータが「クリーン」であるか、あるいは、ウイルスやトロイの木馬によっていたずらされているか、または、システムのセキュリティを低下させる誤った設定がなされていることを判定することは、だんだんと難しくなります。

Client(クライアント)

観点によって異なりますがクライアントは、エンドユーザが、サーバーと呼ばれる他のコンピュータシステム上で提供されるサービスにアクセスするのに使用するコンピュータシステムということができます。また「クライアント」は、他のプログラムによって提供されるサービスにアクセスするためにエンドユーザによって使用されるプログラム、もしくはシステムの一部を指すこともあります。(例えば、Web ブラウザーは、Web サーバーによって提供されるページにアクセスするクライアントです。)

Compound Documents(複合ドキュメント)

「ドキュメント」とは、(一式の)データを含むファイルのことです。このファイルは、複数の部分から成ることがあります。: プレーンドキュメント、暗号化されたドキュメント、デジタル署名されたドキュメント、圧縮されたドキュメント等。複数の部分から成るファイルが、複合ドキュメントと理解されており、それを解読したり操作するためには様々なプログラムの使用が要求されます。このようなプログラムは、そのユーザの知識がなくとも使用されます。

(Computer) Account((コンピュータ)アカウント)

この用語は、特定のコンピュータシステム、もしくはネットワークにアクセスするための認証を表現してします。各エンドユーザは、アカウントを使用する必要があり、最もよくあるのがユーザ名とパスワードの組み合わせですが、エンドユーザがその割り当てられているアカウントの所有者であることを証明する他の方法もあります。

Configuring Network Services(ネットワークサービスを設定する)

管理者の業務の一部で、提供するサービスを決定するネットワークサービスの条件や詳細を設定することに関するものです。Web サーバーについては、誰がどの Web ページにアクセスできるようにするか、どのような情報が後日のレヴュー作業のためにログをとるかを決めることが含まれます。

Cookies(クッキー)

クッキーは、サーバーによる将来の使用のために web サイトへの訪問についての情報を記録します。サーバーは、他のサイトが作成するのクッキーの情報も受け取ることができるので、プライバシーを侵害するおそれがあります。

Cracker(クラッカー)

この用語は、attacker(攻撃者)、intruder(侵害者)もしくは他の悪い野郎を表現するのに使われます。彼らはルールにしたがってふるまわず、セキュリティ機構を迂回しようとし、個人や組織体を攻撃します。

Daemons(デーモン)(inetd, talkd, etc.)

他のコンピュータ システム、もしくはプロセスにサービスを提供するためにコンピュータシステム上で動作しているプロセスがあります。典型的には、デーモンは「サーバー」と考えられます。

Decrypting(復号)

ファイルもしくはメッセージの暗号化の逆を行うプロセスで、元のデータを使用したり読めるように戻すために行われる。

Default Account(デフォルトアカウント)

システムやサーバーソフトウェアには、事前に設定されたアカウントをもって提供されるものがあります。このようなアカウントは、あらかじめ定められた(ユーザ名と)パスワードで設定されていることがあり、誰でもアクセスできるようになっていたり、しばしばユーザが最初にログインするのに便利なように添えられていたりします。デフォルトアカウントは OFF にする、もしくは、システムの濫用のリスクを低減するために事前設定されたパスワードを変更する必要があります。

Dial-in Service(ダイアルインサービス)

コンピュータシステムもしくはネットワークに、電話回線ネットワーク経由のアクセスを提供する方法です。コンピュータは、相手のモデムに電話をかけるのにモデムを使用し、今度は接続先が「ネットワークアクセスサービス」を提供します。PPP もご覧ください。

Digital Signature(デジタル署名)

デジタル署名は、数学的なコンピュータプログラムによって生成されます。手書きの署名でもありませんし、それをコンピュータに取り込んだものでもありません。この署名は、作るのに特別なスタンプを必要とするワックスシールのようなもので、電子メールメッセージ、もしくはファイルに添付されます。メッセージ、もしくはファイルの出所は、(専用のツールを使って)そのデジタル署名によって検証されます。

Downloaded Software(ダウンロードされたソフトウェア)

インターネットから取得されたソフトウェアパッケージ。(例: FTP プロトコルの使用)

Downloading(ダウンロードすること)

ネットワーク上のサーバーからファイルを取得する行為。

Email Packages(電子メールパッケージ)

電子メール経由でコミュニケーションをとる場合、エンドユーザは通常、電子メールクライアントを利用します。これは、電子メールを作成、送受信したり読むためのユーザインターフェイスを提供します。様々な電子メールパッケージが同様の基本機能を提供していますが、異なるユーザインターフェイスをもっており、おそらく特別の/追加的な機能ももっています。電子メールパッケージには、暗号化とデジタル署名機能を提供するものがあります。

Email Security Software(電子メールセキュリティソフトウェア)

エンドユーザが、メッセージやドキュメントを潜在的にセキュアでないネットワーク越しに送る前に保護できるようにするために、デジタル署名と暗号化(と復号)によってセキュリティを提供するソフトウェアです。PGP は、そのようなソフトウェアの一例です。

Encrypting / Encryption(暗号化)

これはプライバシー保護のためにデータを並び替える処理のことです。

Encryption Software(暗号化ソフトウェア)

エンドユーザにメッセージやファイルを暗号化するために必要な機能を実際に提供するソフトウェアです。PGP が一例として挙げられます。

End-User(エンドユーザ)

コンピュータシステムやネットワークを利用する(人間)個人のことです。

Files(プログラム、データ、テキスト等)

ファイルには、ユーザのデータのみならず、プログラム、コンピュータオペレーティングシステム、システムの設定データも含まれます。

File Server(ファイルサーバー)

システム上に蓄積されているファイルをネットワーク越しにアクセス権をもったユーザが共有し、作業する手段を提供するコンピュータ システムです。

File Transfer(ファイル転送)

2つのコンピュータシステム間をネットワーク越しに FTP または HTTP のようなプロトコルを使用してファイルを転送する処理をいいます。

Fixes, Patches and installing them(フィックス、パッチ)

ベンダーは、セキュリティの脆弱性の発見に対応して、コンピュータシステムにインストールする必要のある一式のファイルを提供します。これらのファイルはコンピュータシステムもしくはプログラムを「フィックス」もしくは「パッチ」し、セキュリティの脆弱性を除去します。

FTP (File Transfer Protocol)

FTP クライアントと FTP サーバー間のファイルの転送を可能にするプロトコル。

Group of Users(ユーザのグループ)

セキュリティ ソフトウェアには、個人単位ではなく、(ユーザの)グループ単位でパーミッションを設定できるものがあります。

Help Desk(ヘルプデスク)

コンピュータまたはコミュニケーションの問題について、助力を得るために電話をかけることができるサポート主体です。

Internet(インターネット)

接続されたコンピュータ システムとの間でコミュニケーションできるようにするために、TCP/IP スタックと呼ばれる共通のプロトコル群を使用する相互に接続されたネットワークの総称です。

Key Escrow(鍵寄託)

鍵はファイルを暗号化したり復号化するのに使用されます。鍵寄託は、第三者主体が暗号化されたファイル中のデータにアクセスするのに使用する鍵を保管するために使用されます。

Keys Used to Encrypt and Decrypt Files(鍵)

暗号化を利用するために、エンドユーザは一定のデータの形式をとるある種の秘密を入力する必要があり、通常、鍵と呼ばれます。

Log In, システムへのログイン

エンド ユーザが、自身をコンピュータシステムに認証させる際に行う行為です。

Log In Prompt(ログインプロンプト)

システムにログインする際に表示される文字列で、ユーザ名とパスワードの入力を要求します。

Logged In(ログインした)

エンド ユーザが、システムへの正規のアクセスをもっていると証明した場合、彼はログインしたといわれます。

Logging(ログをとること)

システムやサーバーソフトウェアには、よく、イベントの履歴を保持できる機能をもったものがあります。イベントは、ログと呼ばれるファイルに書きこまれるように設定することができます。このログファイルは、後で読むことができ、システムの障害やセキュリティ侵害を識別することができるようにします。

Masquerade(なりすます)(Remote Log In(リモートログイン)を見よ)

コンピュータアカウントにアクセスするために、他人であるふりをする人は、「なりすましている」といわれます。これは、偽りのユーザ名を入力したり、もしくは他人のパスワードを盗んでその人としてログインすることによって成立します。

Network File System( NFS, PC とのファイル共有等)

NFS は、クライアントとサーバー間でファイルを共有する手段を提供するアプリケーションとプロトコルのスーツです。ネットワーク越しにファイルアクセスを提供する他のプロトコルもあります。これらは類似の機能を提供しますが、相互に操作することはできません。

Networking Features of Software(ソフトウェアのネットワーク機能)

ソフトウェアには、データの取得や共有にネットワークを利用する、ネットワーク機能をもったものがあります。ソフトウェアがネットワーク機能をもっているかは、わかりやすいとはかぎりません。

Network Services(ネットワークサービス)

エンド ユーザが作業を行っているローカルコンピュータシステム上では提供されておらず、ネットワーク中のサーバーで提供されているサービス。

OTP (One-Time Password: ワンタイムパスワード)

同じパスワードを何度も再利用する代わりに、毎回ログインするごとに異なるパスワードが使用されます。

Passphrase(パスフレーズ)

パスフレーズは、長いパスワードです。推測しにくいものとするために、しばしば、いくつかの単語と記号の組み合わせから成るようにします。 

Password-Locked Screensaver(パスワードロックされたスクリーンセイバー)

スクリーンセイバーは、モニターの通常の表示を隠すことができます。パスワード ロックされたスクリーンセイバーは、ユーザのパスワードが入力されたときのみ解除することができます。これによって、ログイン システムが濫用されることから防ぎ、現在行っている作業を通りがかりの人から隠します。

Patch(パッチ)

"Fixes, Patches and installing them" をご覧ください。

Permissions(権限)

アクセスコントロールについての別の用語で、ファイルや他の資源へのアクセスをコントロールするのに使用されます。

PGP (Pretty Good Privacy)

PGP は、コンピュータ システム上のファイルを暗号化したりデジタル的に署名するためのツールを提供するアプリケーション パッケージです。特にファイルやメッセージを電子メールで送る前に、暗号化したり署名したりするのに有用です。

Plug-in Modules(プラグインモジュール)

追加的な機能を提供するために( Web ブラウザーのような)他のソフトウェアに組み込まれるソフトウェアコンポーネントです。

Point-of-Contact, Security(連絡先、セキュリティ)

セキュリティ侵害もしくは問題に備えて、多くの組織体では人々に警告したり、適切な対応をとることができる連絡先を設けています。

PPP (Point to Point Protocol)

PPP は、大部分のエンド ユーザが自身の PC とインターネットサービスプロバイダ間のネットワーク接続を行うのに用いる機構です。いったん接続されたら、その PC はネットワーク上の他のいかなるシステムともデータを送受信することができます。

Privacy Programs(プライバシープログラム)

Encryption Software(暗号化ソフトウェア)についての別の用語で、守秘性、ひいてはこのソフトウェアを利用するエンドユーザのプライバシーを保護するのに使用することを強調したものです。

Remote Access Software(リモートアクセスソフトウェア)

このソフトウェアは、コンピュータを、モデムを使って他のシステムに接続できるようにします。これはまた、コンピュータをモデムへの着信を「リッスン」するようにできます。(このコンピュータは、「リモートアクセスサービス」機能を提供します。)リモートアクセスソフトウェアは、ひとつのコンピュータ、もしくはネットワークへのアクセスを提供します。

Remote Log In(リモートログイン)

エンドユーザがシステムにログインするのにネットワークを使用する場合、この行為は、リモート ログインと呼ばれています。

Security Features(セキュリティ機能)

これは、保護機能を提供、もしくはエンドユーザや管理者が、例えば監査することによって、システムのセキュリティにアクセスできるようにする機能です。

Security Policy(セキュリティポリシー)

セキュリティ ポリシーは、組織体によってセキュリティの論点に対応するために、義務と禁止事項が書かれるものです。このようなガイドラインやルールは、ユーザのためのものであり、物理的なセキュリティ、データセキュリティ、情報セキュリティとコンテンツ(例 : 性的なコンテンツをもったサイトの閲覧を禁止するルールや、ソフトウェアをダウンロードする際に著作権を遵守しなければならないルール等)に関するものです。

Server(サーバー)

サーバーは、ネットワーク越しにクライアントにサービスを提供するコンピュータシステム、もしくはコンピュータシステム上のプロセス群です。

Shared Account(共有アカウント)

通常のアカウントが一人のユーザ専用であるのに対して、共通アカウントは、ユーザのグループによって共有されたものです。このアカウントが悪用された場合、どのユーザの責任かを知ることは非常に困難、もしくは不可能となります。

Sharing Permissions(共有時のパーミッション)

多くのコンピュータシステムでは、ユーザがネットワーク越しにファイルを共有できるようにしています。このようなシステムでは、これらのファイルを誰が読むパーミッション、または書くパーミッションを持っているかをコントロールするのに使用する機構を ユーザに提供することが不可欠です。

Site(サイト)

この用語が用いられる文脈にもよりますが、地理的な位置、組織体の管轄、またはネットワーク アドレスの単位でグループ化されたコンピュータ システムに適用されます。サイトは、典型的には、共通の管理課にあるネットワークのことをいいます。

SSH (Secure Shell)

SSH は、クライアントとサーバー間のプロトコルを提供し、暗号化されたリモート接続ができるようにします。

SSL (Secure Sockets Layer)

このプロトコルは、ネットワーク上で運用されるセキュアでないプロトコルにセキュリティサービスを提供します。SSL は典型的には、Web ブラウザーによってサーバーに送信したデータや、サーバーからダウンロードされたデータを暗号化するのに利用されています。

Systems Administrator(システム管理者)

システムを保守管理し、システム管理者特権をもっている個人をいいます。管理者としてではない作業中は、この個人によるエラーやミスを避けるために、(そのシステムの)管理者として行為する時間を最小限に制限する必要があります。

System Administrator Privileges(システム管理者権限)

システム管理者は、彼らの作業がシステムファイルの保守管理に関わっているので、より多くの権限(より大きなパーミション)を持っています。

System Files(システムファイル)

エンドユーザには属さない、そのシステムの機能をつかさどるシステム上のファイル群です。システムファイルは、システムのセキュリティについて重大な影響力をもっています。

Telnet

ネットワーク越しに他のコンピュータ システムにリモートログインすることを可能にするプロトコルです。

Terminal(端末)

コンピュータシステムに接続された、ユーザや管理者のために(テキストベースの)アクセスを提供するためのダムデバイス。

Terms of Service (TOS)

"Acceptable Use Policy (AUP)" をご覧ください。

Threats(脅威)

システムもしくはネットワークのセキュリティをいたずらする攻撃をしうる脆弱性が存在する可能性。たとえ脆弱性が知られていない場合でも、この定義によって脅威は存在します。

Trojan Horse(トロイの木馬)

自身の中に、このプログラムの作者がこれを利用してシステムにアクセスすることができるようにする手段を持ち込むプログラムをいいます。

Virus(ウイルス)

(ひそかに、悪意を持って)他のプログラムに自己を同化させることによってコンピュータシステム上で自己複製するプログラムをいいます。ウイルスは、様々な方法でコンピュータ システムに感染します。

Virus-Detection Tool(ウイルス検知ツール)

コンピュータ ウイルスを検出し、除去することもできることがあり、必要に応じてユーザに警告するソフトウェアをいいます。

Vulnerability(脆弱性)

脆弱性とは、システム、ネットワーク、アプリケーション、または関連するプロトコルのセキュリティを損なうような、予定外の望まないイベントにつながる可能性がある弱点の存在、設計もしくは実装のエラーのことです。

Web Browser Cache( Web ブラウザキャッシュ)

これはファイル システムの、Web ページや関連ファイルを蓄積するために使用される部分です。毎回、それをネットワークからリロードする代わりに、最近アクセスされたファイルをキャッシュからリロードして利用することができます。

Web Browser Capabilities( Web ブラウザ機能)

エンド ユーザによって使用される Web ブラウザー上の機能のセットをいいます。これは入手可能なプラグインのセットも含みます。

Web Server( Web サーバー)

Web ページへのアクセスを提供するサーバープログラム。Web サーバーには、データベースやディレクトリのような他のサービスへのアクセス機能を提供するものがあります。

Worm(ワーム)

自己複製し、自己増殖するコンピュータプログラムです。ワームはウイルスとは異なり、ネットワーク環境での増殖が想定されています。


謝辞 English

「ユーザズセキュリティハンドブック」は、IETF のサイトセキュリティハンドブックワーキンググループの協働作業の成果です。また、他からも多大な貢献をいただきました。( Simson Garfinkle 氏と Eric Luiijf 氏は、本書について、たいへん有益なフィードバックをしてくれました。Klaus-Peter Kossakowski 氏による「小辞典」の貢献に、深く感謝します。)

参考文献

[GLOSSARY] Malkin, G., Ed.,
「インターネットユーザの小辞典 (Internet User's Glossary)」,
FYI 18, RFC 1983(English) 1996年 8月.
 
[RFC2196] Fraser, B., Ed.,
「サイトセキュリティハンドブック (Site Security Handbook)」,
FYI 8, RFC 2196 1997年 9月.

セキュリティについての考慮事項

本書では、コンピュータユーザは、自身のシステムのセキュリティを向上するために何ができるかを検討しています。

著者のアドレス

Erik Guttman
Sun Microsysytems
Bahnstr. 2
74915 Waibstadt
Germany

電話: +49 7263 911701
EMail: erik.guttman@sun.com

Lorna Leong
COLT Internet
250 City Road
City Forum, London
England

電話: +44 171 390 3900
EMail: lorna@colt.net

Gary Malkin
Bay Networks
8 Federal Street
Billerca, MA 01821
USA

電話: +1 508 916 4237
EMail: gmalkin@baynetworks.com

翻訳者のアドレス

宮川 寧夫
情報処理振興事業協会
セキュリティセンター

EMail: miyakawa@ipa.go.jp


著作権表記全文

Copyright (C) The Internet Society (1999). All Rights Reserved.

This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.

The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.

This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.