CISA勉強しててのメモその1

Photo by Ed Webster on Pexels.com

CISA勉強してて、よく理解できていない言葉メモ

リバースプロキシ プロキシはクライアント(端末)が匿名性を保つために用いていて、これはよく知っていたが、リバースプロキシはサーバの匿名性を保つためのプロキシサーバー

DRP BCP(Business Continuity plan)は知ってたけど、DRPは知らなかった。事業継続計画がBCP、DRPはDisaster recovery planの略。災害復旧計画のこと。有事に事業をどう継続するかというプランに対し、災害でダウンした事業をどう復帰するかのプラン。どっちも大事。RTO (Recovery Time Objective)復旧させる目標値とRPO (Recovery Point Objective): どのくらい前のデータに復旧させるかの目標値を決めることになる。

スプーフィング ハッカーがするなりすましのこと、IPのなりすまし、メールのなりすまし、DNSのなりすましがある。最後のって結構やれそうで、やれたらバレなそうな気がする

ノードリスト ネットワークに繋がる機器のリスト

OOSD オブジェクト指向システム開発 OOSDってこの本しか見つからない。OOS(オブジェクト指向システム)がまずあり、オブジェクト同士がお互いメッセージを送り合うこと。次にOOA(オブジェクト指向分析)がつぎにある。このAnalyticsは要件定義にちかくて、ユースケースとかUMLで表される。そのつぎがOODで、UMLなど使う。Javaみたいなオブジェクト指向言語とはホント相性がよさそう

TCO (Total Cost of Ownership)  コンピューター導入維持総額コスト。昔から使われる言葉なのに久しぶりに見て一瞬わからんかった。Saasとか流行って見かけなくなったのかな?

代替開発アプローチそんな言葉ググってもなかった。代わりになる開発アプローチって書けばいいんだろうねw

エンティティリレーションシップダイヤグラム ER図のことかっ!そう書いてくれw

SDLC Systems Development Life Cycleシステム開発のフェーズをまとめたもの

オンラインプログラミングファシリティ OPL 。対話式でプログラミングをする統合開発環境。

スナップショット バックアップと違ってその瞬間切り取ったデータのこと。作成時間が短い。元データの1割2割程度の容量で済む。元データが破損すると戻らないのがバックアップとちがう弱点

DevOps 開発と運用がお互いに協調してビジネスの価値をより高めその価値をより確実かつ迅速にエンドユーザーに届け続けること

CASE Computer Aided Software Engineeringの略。コンピューター支援をし、作業効率を高めるためのツール

DSS Decision support systemの略。経営幹部が直接コンピューターを操作して意思決定の必要な情報などを取り出せるシステムっぽいけど80年代に流行った概念だとかいてるしそんなソフトがおおそう。今もあるのかな?

DFD Data Flow Diagram (データーフローダイヤグラム)の略。ER図が関係だとすると、これは流れを表現してるよね 

リポジトリ報告書 なんてことばググってもない。うーん。リポジトリとはGITなどのバージョン管理ソフトウェアのバージョンデータを指すからソフトウェアなどの変更履歴の報告書ということじゃないかしら。誰か知ってたらおしえて(ググってわからんこと出題するって・・・)

第4世代言語 4GLともいう。第四世代というのは、機械語を第一世代、アセンブリ言語を第二世代、手続き型言語一般を第三世代で第4世代は対話型。ビジネスマンが対話でプログラミングできるということ・・・なんだけど、これは随分昔のパンチーカードから受け継がれた考え方で、私達が想像するようなお手軽お気軽な言語ではないようだ。これってどこかで現役で動いてるのかな?

ITT Invitation to tenderの略。「ITTもしくはRFP」という書き方をCISAでするから同じっぽく見えるが違うようで、RFPはコストを中心に考える書類で、ITTはコストではなく要件を構造的に伝えること中心のものらしい。

リレーバトン法 システム導入計画に関わる言葉としてググっても日本語ではリレー選手の話しかでてこない。

シャドーイング これも見つからない。ただ英語でシャドーイングというと先生が話した内容をそのまま口ずさむことなので、導入内容を受講生に話してもらうことではないかと思う。

CSPツール (Communicating Sequential Process)並行性に関するプロセス計算の理論のひとつであるらしい。プログラム文を見ると、命令ごとに処理せず、処理そのものを次に移行するような考え方のようだが・・・誰か詳しい人おしえてくださいw

DLP Data loss prevention softwareのこと。情報漏えいを防ぐことを目的とするセキュリティツール、システム。正規表現でこの言葉入ってたら(住所とか生年月日とかだろう)漏洩を防いだりフィンガープリントとよばれるデータのチェックができる箇所を保存してて同じ内容が送られそうになったらブロックするとかができるようだ

エスクロー契約 オークションで用いられるエスクローは商品届かなかったときに返金してくれる仕組みだが、これはソフトウェアの会社が破綻したときにソースコードを提供する契約。そういう条項を設ける事ができるのは知らなかった。ありだよね。役に立つかはソースコード次第だけど。

EAM 企業の資産全部を管理するソフトウェア。センサーなどをつかっていろんなものを管理できるようだ

DES Data Encryption Standard。共通鍵暗号方式によるデータ暗号化のアルゴリズムの1つ。二重DES(2DES)は、その名のとおりDESの処理を2回行って安全性を高めようとしたもの。三重もあるみたい。DESは脆弱性があるため、現在は利用が推奨されていない

AES Advanced Encryption Standard。日本語にすると高度暗号化基準。こっちのほうが推奨されている共通鍵暗号方式による暗号方法。この暗号はまだどんな攻撃にも屈していないが、何人かの研究者がこの数学的な構造を利用した攻撃方法が存在するかもしれないと指摘しているらしい(引用Wikiより)。

MD5 暗号学的ハッシュ関数のひとつである。ハッシュ値は128ビット。ハッシュ関数ということは不可逆的な符丁みたいな使い方するものだよね。でもどうやら破られたらしい。(以下Wiki引用)2007年4月IPAはAPOPの脆弱性について警告した[5]。これは電気通信大学の太田和夫(暗号理論)らが発見したもので[6]、APOPのプロトコル上の弱点を利用して、MD5ハッシュから理論的に元のパスワードを求めることが出来るというものである。これの対策としては、SSLの利用が推奨されている。(総当たり攻撃法によるツールは既に公表されている)

セキュアシェル なんのことかとおもえばSSHね。FTPの暗号化されたやつだ。バージョン1とバージョン2があってバージョン1は脆弱性があるみたい。

スタブ 下位モジュールができていないときに、代わりに動かす代用品のこと。単体テストやるなら必要なこともあるよね。

ACID 原子性、一貫性、独立性、耐久性のアクロニウム(acronym)。原子性ってシステムのトランザクションについて全部終わるか、全く終わっていないかどっちかにしろって言う原則。中途半端に届くと困るよね、ということ。

キー配布センター Key Distribution center(KDC)。これはケルベロス(Kerberos)認証とという仕組みの1つがキー配布センター。ケルベロス認証はクラサバのネットワーク環境で、チケットをつかうことでパスワードなしに安全な認証を行える。チケットにはチケットをもらえるためのチケット(TGT:Ticket Granting Ticket)と各サーバ専用チケットの2種類がある。パスワードなしで1種のシングルサインオンオンとして認証を行うことができる。
1)ユーザーがKDCからTGTをうけとる
2)ユーザーが受け取ったTGTを自信の鍵で復号する
3)ユーザーが各サーバ専用のチケットをTGTと一緒にKDCに求める
4)KDCh6が各サーバ専用のチケットを送る
5)ユーザーが受け取った各サーバ専用のチケットをサーバーに提示して認証をもとめる
6)各サーバーは受け取ったチケットと自身のカギで認証を行う
ケルベロスは現在version5。この仕組はMicrosoftのなつかしひActive Directoryで使ってた仕組みのようだ(それでもセキュリティ問題会った記憶もあるけど)

認証局 電子証明書の発行の管轄するところ。プライベートとパブリックがある。SSLの認証のことを指してるのね。最近は無料のもある。

信頼網 中国っぽいけどWeb of trustっていうかPGPのことね。ウェブトラストのことって書いてあるけどWeb Trustというウェブサイトがまともかどうかの証明もあるけど(あれ意味あるのかな?)間違えないよう。Pretty Good Privacyという方法(PGPのほうがよく使う言葉だよね)が代表となってるけど、これはこれで面白いストーリーがあるみたい(国家の武器として輸出禁止にしようという法律をハッキングして公開するなんてかっこいいよね。)公開鍵を皆に公開してやるほうほう。
S/MIMEは逆にSSLみたいに認証局を使う方法。こっちは商売になるから情報豊富だけどPGP使ってる人いるのかな?2000年ごろはよくメールに鍵書いている人いたんだけどね

ステートフルインスペクションファイヤーウォール。パケットフィルタリング型ファイアウォールの機能・方式の1種らしい。通信内容の通過可否を動的に判断する機能らしい。やり取りの前後関係で関係のない通信を遮断することができる。

ステガノグラフィは電子透かしのこと。Moodleなどのオープンバッジもそうだね。音楽や画像に埋め込める。

非対称暗号鍵は公開鍵と秘密鍵など同じカギを使わないこと。公開鍵暗号システムともいう。対象鍵暗号システムは暗号キーと復元キーが同じものDESだが前述の通り利用されていない。長い非対称暗号鍵をつかうとオーバーヘッドがます=労力がかかるから解読されにくくなる

リープフロッグ攻撃とはTELNETで別ホストから攻撃する踏み台利用した攻撃のことらしいが、ググったが見つからず。

マスカレード攻撃は、ネットワークIDなどを偽装する攻撃。IPマスカレードは逆にIDを隠す防御方法。

Toshiaki Ejiri: Born in Fukushima, working as web analytics consultant since 2000.