セキュリティ・認証関連

Webページに簡易的なIDとパスワードをかける仕組みです。

公開前確認や限定公開で使われます。

強固な認証方式ではないため用途を選びます。

複数の要素を組み合わせて本人確認する方式です。

パスワード、端末、認証アプリ、生体情報などを使います。

MFAとも呼ばれます。

本人だけが知っている情報による認証要素です。

パスワードやPINが該当します。

認証の一要素として使われます。

指紋、顔、声など身体的特徴を使う認証です。

スマートフォンやPCのログインで使われます。

本人確認の一方式です。

パスワードを使わずにログインする認証方式です。

端末内の鍵と生体認証などを組み合わせます。

フィッシングに強い認証として使われます。

セキュリティや運用上の問題が発生した事象です。

情報漏洩、不正アクセス、障害などを含みます。

対応記録や再発防止の対象になります。

ログイン画面や認証手続きの安全性を高める考え方です。

多要素認証、試行回数制限、通知などを含みます。

アカウント保護に関係します。

人の操作ミスや確認漏れによる誤りです。

誤送信、設定ミス、削除ミスなどが例です。

仕組みや手順で減らす対象です。

不正なSQLを入力してデータベースを操作しようとする攻撃です。

情報漏洩や改ざんにつながる場合があります。

入力値の検証やパラメータ化で対策します。

多数の通信を送りつけてサービスを妨害する攻撃です。

Distributed Denial of Serviceの略です。

ネットワークやサーバーに負荷をかけます。

Single Sign-Onの略です。

一度の認証で複数サービスを利用できる仕組みです。

企業のアカウント管理で使われます。

既知の攻撃パターンと照合して検知する方式です。

マルウェア対策や侵入検知で使われます。

未知の攻撃には別の検知方式も組み合わせます。

Next Generation Anti-Virusの略です。

振る舞い検知などを使う次世代型のアンチウイルスです。

従来型のパターン検知を補う製品群です。

Endpoint Detection and Responseの略です。

PCやサーバーなど端末の挙動を監視・調査します。

侵害後の検知や対応に使われます。

メールを受信するためのプロトコルです。

サーバーから端末へメールを取り込む方式です。

IMAPと比較されることがあります。

APIを悪用して不正アクセスや情報取得を試みる攻撃です。

認証不備、過剰な権限、入力検証不足が狙われます。

API公開時のセキュリティ確認に関係します。

APIに存在する安全上の弱点です。

認可漏れ、入力検証不足、情報露出などが含まれます。

外部連携が増えるほど確認対象になります。

データを暗号化するなどして利用できなくし、金銭を要求する攻撃です。

メール添付、脆弱性、不正アクセスなどをきっかけに侵入します。

バックアップ、権限管理、更新管理、訓練が対策になります。

フォーム送信などが人間による操作かを確認する仕組みです。

スパム投稿や不正な自動送信を減らすために使われます。

問い合わせフォームやログイン画面の防御に関係します。

不正アクセス、情報漏洩、改ざん、障害に備える取り組みです。

認証、権限管理、バックアップ、WAF、更新管理などを含みます。

Webサイト運用の基本項目です。