3. インフラ・セキュリティに関連する用語
3.1. インフラストラクチャの用語
3.1.1. CI/CD
CI(継続的インテグレーション)
テストや静的コード解析などの作業を自動化し、継続的に実行する手法。
CD(継続的デリバリー)
各環境へのデプロイ作業を自動化し継続的に実行する手法。
CI/CD
CIとCDを合わせたもの。 以下のことを実行できる。
- ビルドの自動化 ソースコードから実行可能なアプリケーションを構築する。 具体的には、Dockerイメージのpull、依存パッケージのインストール、コンパイルなど。
- テストの自動化 UTなどのテストコードを実行して動作確認をしたり、Rubocop(Ruby)などのコードスタイルチェックなどを行う。
- デプロイの自動化 ビルドしてテストが通ったものを本番環境や検証環境などに自動デプロイする。
代表的なCI/CDツールにはCircleCI、GitHub Actions、PipeCDなどがある。
3.1.2. CDN
CDN(コンテンツデリバリネットワーク)はユーザーになるべく近い場所でコンテンツを配信することにより、高速かつ信頼性の高いサービス提供するというもの。
CDNは分散されたキャッシュサーバー群によるネットワークとも言うことができる。 具体的にはWebアプリケーションで表示する画像や文章を世界中のサーバにキャッシュすることで実現する。
また以下の問題を解決できる。
- 世界中からアクセスのあるWEBアプリケーションやWEBサイトのレスポンスの改善
- Webサーバがダウンした際でもWebアプリケーションの機能の一部が提供できる
- ユーザが直接サーバにアクセスしないのでDDos攻撃やWebサイト改竄の被害をほとんど押さえることができる
代表的なCDNを提供するサービスにはCloudFlareやAWSのCloudFront、Akanamiなどがある。
3.2. セキュリティの用語
3.2.1. SSO
シングルサインオン(Single Sign-On)は「シングル 」と「サインオン」を組み合わせたもの。
「1度システム利用開始のユーザー認証 (ログイン) を行うと複数のシステムを利用開始する際に、都度認証を行う必要がない仕組み」や「1度の認証で、以後その認証に紐づけられている複数のシステムやアプリ・サービスにも、追加の認証なしで利用できる製品・システム・ツール」を指す。
3.2.2. ハニーポット
ハニーポットは、不正な攻撃者の行動・手法などを観察/分析する受動的な目的で設置される罠システム。
ハニーポットには以下のような種類がある。
- 高対話型ハニーポット ... 実際のOSやアプリケーションを利用し、そこに残存している脆弱性などをそのまま不正攻撃者に対して弱点として見せる形式のハニーポット
- 低対話型ハニーポット ... 特定のOSやアプリケーションをエミュレーションして監視する形式のハニーポット
3.2.3. ピボッティング
ピボッティングは侵入したマシンをルータとして利用して他のネットワークにアクセスする技法のことをいう。
ピボッティングでは攻撃者側から直接アク セスできないネットワークに対し侵入したマシンを足掛かりにアクセスすることを可能にする。
3.2.4. SIEM
SIEM(Security Information and Event Management:セキュリティ情報イベント管理)はシステムを構成する機器から自動的にログを収集・分析したり、異常時に通知したりできるソリューション。
具体的にファイアウォールやIDS/IPS、プロキシーなどから出力されるログやデータを一元的に集約し、それらのデータを組み合わせて相関分析を行うことで、ネットワークの監視やサイバー攻撃やマルウェア感染などのインシデントを検知することを目的とした仕組み。
3.2.5. C&Cサーバ(C2サーバ)
C&Cサーバは外部から侵入して乗っ取ったコンピュータを利用したサイバー攻撃を行う際に踏み台のコンピュータを制御したり命令を出したりする役割を担うサーバのこと。
主に防弾ホスティング上で展開される。
3.2.6. UTM
UTM(Unified Threat Management)は統合脅威管理とも呼ばれる1つのハードウェアに複数の異なるセキュリティ機能を統合し、ハッキングやコンピュータウイルスなどの脅威から、ネットワークを包括的かつ効率的に保護する手法のこと。
UTM機器は、ファイアウォール、IDS/IPS、アンチスパム、Webフィルタリング、アンチウイルス、アプリケーション制御などでネットワーク全体を保護する。 UTMはファイヤーウォールと異なり、ファイアウォールや複数の脅威検知機能を組み合わせ、ネットワークを包括的に防御する。
3.2.7. HSTS
RFC 6797で定義されるWebサイトがWebブラウザーにHTTPSでのアクセスを指示することで中間者攻撃を防止するための技術のこと。
3.2.8. SOC
SOC(Security Operation Center)はシステム・ネットワークの状態を監視し、サイバー攻撃の検知や分析・対策を行うことで企業の情報資産を守るための組織のこと。 セキュリティ専門の部署またはサービスとして、24時間365日体制で以下のような対応を行う。
- サイバー攻撃の検知や分析
- システム・ネットワークの状態を監視
- ネットワーク機器やセキュリティ装置・サーバーの監視
- ログ情報の解析や分析
3.2.9. CSIRT
CSIRT(Computer Security Incident Response Team)はセキュリティインシデントが発生した場合に対応する組織のこと。
インシデントが発生した際に行う対応は以下の通り。
- システムの停止から復旧の対応
- SOCが解析した情報を基に再発させないための防止策導入
セキュリティインシデントが発生していない際に行う対応は以下の通り。
- インシデント防止のため脆弱性に関連する情報収集から対策の導入
- インシデント発生時に対応するための社員教育
- CSIRTメンバー内での情報共有
3.2.10. IoC
IoC(Indicator of Compromise)はセキュリティ侵害インジケータなどとも呼ばれる、攻撃発生やどのようなツールが使われたかなどを明らかにする手掛かりとなる情報のこと。
IoCで掲載される情報には以下のようなものがある。
- 攻撃者が使用するマルウェアのファイル名
- 攻撃によって変更されるレジストリ
- 使用されるプロセスの名称
- 通信先のURIやIPアドレス
3.2.11. SCAP
SCAPは脆弱性管理・測定・評価を自動化するための基準のこと。 代表的なものにはCVSSやCVEなどがある。