SSL用語集

S

セキュリティーサーバー(Secure Server)

セキュアソケットレイヤー(Secure sockets layer: SSL)のようなセキュリティープロトコルを使用するWebサーバー。データ、メッセージ、およびクレジットカードを受け入れるためのオンライン支払いゲートウェイを暗号化/復号し、詐欺や偽の証明、サードパーティによる改ざんを防ぎます。セキュアサーバーから商品を購入すると、ユーザーのクレジットカード情報などの個人情報はインターネットを介してマーチャントのサーバーへ移動する間、確実に暗号化されます。普及しているプロトコルとして、SSL、HTTPS、SSH2、SFTP、PCT、IPsecがあります。

セキュアソケットレイヤー(SSL) (Secure Sockets Layer: SSL)

暗号化とSSLを使用するインターネットプロトコル。クライアントとサーバー間でデータの秘密を守ってデータ完全性を確保し、インターネットセキュリティーとプライバシーが保護された取引を行います。SSL HTTPはまたオプションとして、デジタル証明書のセキュアなSSL確認によってクライアントとサーバー間でピアエンティティ認証を提供します。SSLはHTTPの下で、トランスポートプロトコル(TCP)の上のレイヤーにあります。SSLはそれが要約しているアプリケーションから独立しており、他の高いレベルのプロトコルをSSLの上のレイヤーとして見えない形で置くことができます。SSLには2つのレイヤーがあります。(a) SSLの低いレイヤーであるSSLレコードプロトコルはトランスポートプロトコルの上にあり、より高度なプロトコルをカプセル化します。(b) SSLの高いレイヤーはサーバー認証のために非対称暗号化を提供します。非対称暗号化は、デジタルID署名またはクライアント認証(クライアントの身元をサーバーに対して確認するプロセス)機能を持つ証明書を使って、セキュアサーバーのデジタル実在をクライアントに対して確認します。またSSLプロトコルを使用すると、アプリケーションプロトコルによるデータの送受信に先立って、データ機密保持に使用される対称暗号化アルゴリズムと非公開セッション鍵をネゴシエートできます。鍵ハッシュはカプセル化されるデータにデータ完全性サービスを提供します。

セキュア状態(Secure State)

不正なSSL証明書がセキュア状態を提供するような形で対象にアクセスできる主体がまったくない状態

セキュリティーアソシエーション(Security Association)

(a) 複数の組織間で確立される関係で、いずれの組織も交換するデータを保護できます。この関係は防御メカニズムをネゴシエートしますが、その防御メカニズムは持っていません。(b) IPsec内でセキュリティー目的で生成される単方向(一方向)ロジカル接続として使用され、ah、espのいずれかと使われますが、両方とは使われません。セキュリティーアソシエーションが提供するセキュリティーサービスは、選択したプロトコル、IPsecモードトランスポート/VPNトンネル、エンドポイント、SSLプロトコル内オプションサービス選択などによって決まります。セキュリティーアソシエーションは、(a)目的地のIPアドレス, (b) プロトコル識別子、または (c) セキュリティーパラメーターインデックス - によって認識されます。

セキュリティー監査(Security Audit)

システムのポリシー、記録、アクションに関する自己評価検証および調査で、これによってシステム制御機能の確認や、従来のセキュリティーポリシーやプロセスに対する遵守の保証、セキュリティーサービス違反の発見、対策の必要性を意味する変更の推奨などを行います。基本監査の目的は、セキュリティー関連の事件やアクションを開始したり、それに参加したりするシステムの結果責任を確立することです。セキュリティー監査情報を作成、記録する手段が必要であり、また攻撃やセキュリティー障害を検出、検査するために監査足跡を検証、分析する方策も必要となります。

隠ぺいによるセキュリティー(Security by Obscurity)

ほとんどの場合、否定的に使用される用語で、システムに関する情報をまったく公表しないでシステムのインターネットセキュリティーおよびオンラインセキュリティーを保護しようとする手順を指します。この手順はシステムの動作を誰も理解しないという見込みのもとで行われます。