あ行

Active Directory (AD) アクティブディレクトリ
「ディレクトリサービス」というネットワークサービスを、Microsoft Windows 2000 Server以降のバージョンに実装したものです。Active Directoryはユーザやネットワーク上のリソースとその属性を記憶し、システムリソースの管理を一括化して検索できるシステム上の「電話帳・住所録・案内板」のような機能です。Active Directoryで管理できるように、管理者は資源情報をActive Directoryデータベースに登録しておく必要があります。
※リソースとは、サーバ・サービス・プリンタなどの利用可能な機器、ネットワークを利用するユーザや組織に関する情報などを指します。
Active Directory (AD) アクティブディレクトリ
RFC5280違反
RFC5280は、基本的な証明書と失効リストのプロファイル(格納項目)を定義したRFC。この中で、同一の認証局から発行される証明書はユニークなシリアル番号を持たなければならないとされていて、異なる場合は違反となる。
暗号化
暗号化とは、データの内容を第三者にとって解読が困難な値に変換すること。暗号化と暗号化されたデータの復号にも、公開鍵暗号基盤(PKI)を利用している。電子証明書を利用することで、暗号化通信を実現。
EV認証・EV証明書
EV(Extended Validation)証明書は、証明書発行者による審査に一定のガイドラインを設けた電子証明書のこと。ウェブサイト用の証明書(EV SSL)やコードサイニング用の証明書(EVコードサイニング証明書)がある。
SSL
SSL(Secure Sockets Layer)とは、インターネット上での通信データを暗号化し、盗聴や改ざんを防ぐ仕組み(プロトコル)のこと。SSLを使用することで、暗号化された通信データを第三者が盗み見しようとしても解読することができない。
SNI
SNI(Server Name Indication)は、SSL/TLSの拡張仕様の1つで、グローバルIPアドレスごとに証明書を使いわけするのではなく、ホスト名で証明書を使い分けることが可能。実際のSNIの設定や対応可否は、ブラウザやサーバに依存する。
S/MIME
S/MIME(Secure Multipurpose Internet Mail Extensions)とは、電子メールのセキュリティを向上する暗号化方式のひとつで、電子証明書を用いてメールの暗号化とメールへの電子署名を行うことが可能。
S/MIMEを用いるには、送信者と受信者側との両方がS/MIMEに対応する電子メールソフトを使用している必要がある。
FQDN
FQDN(Fully Qualified Domain Name)とは、ホスト名とドメイン名をすべて省略せずに表記したもの。
FQDN(Fully Qualified Domain Name)

か行

改ざん
「改ざん」とは、そのデータの所有者でない悪意ある第三者によってデータの内容を書き換える行為のこと。
改ざんの例
鍵長
鍵長とは、暗号化処理で暗号化と復号に用いられるデータ量(暗号鍵)の大きさを示す尺度で、一般的に1024bit・2048bitといったビット単位で表現される。
鍵長が長ければ長いほど、暗号文は解読しにくくなり安全になり、暗号化・復号に時間がかかるようになる。
極端に短い鍵長の鍵を使用することはセキュリティ上好ましくなく、第三者に解読されてしまう恐れがある。
企業実在認証(OV)
企業実在認証(OV)は、ウェブサイトのドメインの使用権の所有の他、その運営組織が法的に実在すること認証する。第三者データベースに照会の上確認し、さらに申し込みの意思を確認の上証明書が発行される。
共通鍵暗号方式
共通鍵暗号方式とは、暗号化するための鍵とそれを復号するための鍵に同じものを使用する方式。暗号化した際に使用した鍵は、復号する際にも必要になる。共通鍵情報は公開されておらず、送信側と受信側のみで共有されている。
クライアント証明書
クライアント証明書とは、個人や組織を認証し発行される電子証明書のこと。システムやサービス、メールを利用するユーザのデバイス(端末)に証明書をインストールし、そのユーザが正規の利用者であることを認証する身分証明書のような役割を果たしている。
公開鍵暗号方式
公開鍵暗号方式は、暗号化(復号)するときに「公開鍵」と「秘密鍵」という別々の鍵を使う方式。「公開鍵」は公開されている誰でも取得できる鍵なのに対し、「秘密鍵」は 受信側だけが保持している鍵である。
公開鍵暗号方式
コードサイニング証明書
コードサイニング証明書とは、ソフトウェアやプログラムコードへのデジタル署名に用いられる電子証明書のこと。作成元や配布元を認証し、ソフトウェアの改ざん防止や、配布元を認証しなりすまし配信を防ぐ役割を持つ。
コモンネーム
SSLサーバ証明書を生成するのに必要となる情報で、ブラウザでサーバにアクセスする際に入力するFQDNまたはIPアドレスが該当する。

さ行

CAA
CAA (Certificate Authority Authorization)とは、DNSレコードの中に、そのドメインに対して証明書を発行できる認証局の情報を記述し、意図してない認証局からの証明書の誤発行を防止するもの。
CA(Certificate Authority ) 認証局
認証局の役割の1つは電子証明書を発行することです。たとえば、メールの暗号化などに使われるクライアント証明書の発行の場合、登記事項証明書や印鑑登録証明書を用いて申請元の企業が実在しているかを確認したりします。 2つ目の役割は、失効の依頼を受けた電子証明書や秘密鍵の危殆化の可能性のある証明書を失効させることです。

認証局には、パブリック認証局とプライベート認証局という2種類の形があります。 パブリック認証局が発行する電子証明書のルート証明書は、一般的なウェブブラウザやメールソフトにあらかじめ組み込まれており、ルート証明書の配布やインストールが不要なため、取引先など外部とのやり取りに電子証明書を利用す場合に煩雑な設定が必要なく便利です。

プライベート認証局は、事業会社などが独自の運用基準を設けて設立したものです。ルート証明書の配布や設定などに手間が掛かりますが、運用規程を自由に設定できるため、社内だけなど限られたネットワークで電子証明書を利用する場合は、プライベート認証局を設立し電子証明書を発行する方が便利です。
CMS (Cryptographic Message Syntax) 暗号メッセージ構文
暗号メッセージ構文は暗号化保護メッセージに関するIETFの標準規格です。任意形式のデジタルデータに対してデジタル署名、メッセージ認証、メッセージダイジェストもしくは暗号化を行うために使います。
Cryptographic Message Syntax (CMS)
CMC (Certificate Management messages over CMS) 
証明書の管理・発行・失効などの手続きに使われるメッセージを定めたドキュメントです。
Certificate Management Messages over CMS
事後否認
事後否認とは、当事者のどちらかが、情報をやりとりした事実を否定したり、内容が改ざんされていると主張したりすること。
事後否認の例
常時SSL
常時SSL(Always On SSL)とは、ウェブサイトのすべてのページを暗号化(SSL/TLS化)すること。ログイン情報や決済情報だけでなく、Cookieへの不正アクセス(盗聴)も防止することが可能。

た行

TLS
TLS(Transport Layer Security)とは、インターネット上でのデータの通信を暗号化し、盗聴や改ざんを防ぐ仕組み(プロトコル)のこと。TLSは「SSL3.0」を元に開発された経緯があり、「SSL/TLS」と表記されることが多い。
電子証明書
電子証明書は、インターネットや電子の世界で持ち主の情報を証明する身分証明書の役割を持つ。電子証明書には、印鑑証明書の印影にあたる公開鍵のほかに、証明書の発行先情報や証明書の発行元である認証局の情報が組み込まれている。
電子署名
電子署名とは電子証明書の利用方法の一つで、実社会でのサインや印鑑(印影)に相当する。通常、電子署名をする場合は、電子証明書が含まれており、電子証明書が実社会における「印鑑証明書」なら、電子署名は「印影」と同じ役割を果たしている。
電子署名を行うことで、公開鍵暗号基盤(PKI)を利用して、データの改ざん検知や署名者の証明を行うことが可能。
ドメイン
Active Directoryでは、「ドメイン」単位で管理範囲を定義します。1つのドメインを作成すれば、その組織(グループ)内にあるマシン・グループ・ユーザ・サービスなどを集中管理することができます。
※Active Directoryにおいてのドメインとは、ウェブサイトのドメインとは異なります。
ドメインコントローラ
Windowsネットワークにおいて、ログオン認証を行うためのアカウントまたはドメイン情報を一括管理するサーバのことです。ドメインコントローラはドメインを制御管理するためのコアシステムで、最も重要な役割は、システムリソースが登録されたデータベースの維持・保持とユーザ認証です。
※ユーザ認証とは、ユーザがあるサービス(PCやマシンなど)をログオンする際に、そのユーザが登録された本人であるかどうかを認証する処理です。
ドメインツリー
Active Directoryで複数のドメイン(グループ)を作り、階層構造に連ねた管理単位をドメインツリーといいます。同じドメインツリーに属するドメインであれば、ドメインが別々であっても、お互いのリソースを共有利用できます。また、同一組織内であっても、別のドメインツリーを構築すれば、階層を分けることができます。
ドメインツリー
ドメイン認証(DV)
ウェブサイトのドメインの使用権を所有していることを認証する。組織の実在性は確認しないため、登記簿謄本などの書類提出は不要であり、個人事業主による証明書の申請が可能。
盗聴
「盗聴」とは、インターネット上でやりとりされる情報を、第三者にのぞき見られること。電子メールやウェブブラウザなどを使って通信される情報は、多くのサーバーを経由し、様々な通信経路を辿る。その中身は、ある程度の技術をもった人ならば、誰にも知られず簡単に見ることが可能。
盗聴の例

な行

なりすまし
「なりすまし」とは、他人のふりをして様々な行為を行うこと。 インターネットの世界においての「なりすまし」の例は「フィッシング詐欺」で、有名な銀行やショッピングサイトなどを装った電子メールや、本物そっくりに作ったホームページを使って、個人情報やクレジットカード番号などを不正に入手する行為が後を絶たない。
なりすましメールの例
二要素認証
二要素認証とは、『ユーザだけが知っている何か』『ユーザだけが所有している何か』『ユーザ自身の特性(指紋など)』のうち、2つの要素を組み合わせてユーザの身元を確認する仕組みのこと。
認証局
認証局(CA:Certification Authority)の主な役割は「電子証明書の発行と失効」。たとえば、メールの暗号化などに使われるクライアント証明書の発行の場合、登記事項証明書や印鑑登録証明書を用いて申請元の企業が実在しているかを確認する。

は行

PKI
PKI(公開鍵暗号基盤 Public Key Infrastructure)とは、公開鍵と秘密鍵のキーペアからなる「公開鍵暗号方式」という技術を利用し、インターネット上で安全に情報のやりとりを行うセキュリティのインフラ(基盤)のこと。この技術を用いて、暗号化、デジタル署名、認証といった様々なセキュリティ対策を実現。
標的型攻撃
標的型攻撃とは、特定の人物または組織に所属する複数の人物を標的とした、電子メールを用いたオンラインの攻撃方法の一種。業務メールを装ったり、差出人を詐称したり見出し・本文を本物に偽装して受信者の警戒をやわらげ、不正なウェブサイトにアクセスさせて不正なプログラムをインストールさせ、社内システムに侵入し、遠隔操作で顧客情報や機密情報を漏えいさせるなどの被害が発生している。
WHOIS
ドメイン、IPアドレスなどの所有者に関する情報を検索・確認できる仕組み。所有者と連絡を取る手段として活用され、誰でも確認することができる。
フィッシングサイト
「フィッシングサイト」とは、悪意ある第三者が、会員制サイトやECサイトになりすまし、本物を装ったウェブサイトへ誘導するメールを送りつけ、パスワードや決済情報といった重要な個人情報を取得することを目的に作成されたウェブサイトのこと。
VPN
VPN(Virtual Private Network)とは、インターネット上に作られた仮想的なネットワークのこと。
外出先や出張先から組織内ネットワークにリモートアクセスする場合、共有ネットワークが他のユーザも簡単に侵入できる状態であれば、容易に不正アクセスされる恐れがある。
そこで、共有ネットワーク上にプライベートネットワーク(VPN)でセキュアな通信経路を構築することで、不正アクセスを防ぎ、重要なデータを守る事ができる。
フォレスト
Active Directory構造におけるグループ化の最も大きな管理単位をフォレストといいます。ドメインツリー同士が信頼関係を結んだら、分けたドメインツリーを同じ組織として管理できます。このような状態を「フォレスト」といいます。異なるドメインでリソースを管理していても、同じフォレストにあるドメインツリーは、システムリソースも開放になり、相互アクセスすることができます。これをドメイン間に推移的で双方向な信頼関係が自動的に結ばれるといい、Active Directoryは大規模な組織にも対応できますので、優れた拡張性を持っています。

フォレストにあるドメイン間には、推移信頼関係が結ばれます。推移とはGlobalSign.localとGs.localが信頼関係を結び、Gs.localとJp.Gs.localが信頼関係を結んでいると、自動的にJp.Gs.localとGlobalsign.localも信頼関係が結ばれることです。
フォレスト
プロビジョニング
プロビジョニングとは、支給や供給などを意味するProvisionが元となってできた造語で、ユーザから要求があった場合などに備えてネットワークやコンピュータなどのリソースを確保、準備しておくことを意味します。