Appendix A 用語集
•二要素認証(2FA) – 2要素認証は、アカウントログインに第2レベルの認証を追加したもの
•アドレス空間配置のランダム化(ASLR) – メモリ破損のバグ悪用をより困難にする手法
•アプリケーションセキュリティ(Application Security) – OS やネットワークではなく,OSI参照モデルのアプリケーション層を構成するコンポーネントの分析に重点をおく、アプリケーションレベルのセキュリティ
•アプリケーションセキュリティ検証(Application Security Verification) – OWASP ASVS に沿って実施するアプリケーションの技術的評価
•アプリケーションセキュリティ検証報告書(Application Security Verification Report) – 対象となるアプリケーションの分析と検証結果をまとめた報告書
•認証(Authentication) – アプリケーションのユーザが正当であることの検証
•自動検証(Automated Verification) – シグネチャを使って脆弱性を見つける自動ツール(動的解析ツール、静的解析ツール、その両方)を用いた検査
•ブラックボックステスト(Black box testing) – アプリケーションの内部構造や仕組みを調べずにアプリケーションの機能を調べるソフトウェアテストの方法
•コンポーネント(Component) – 独立したコード単位。ディスクや他のコンポーネントと通信するネットワークインターフェイスとの関連をもちます
•クロスサイトスクリプティング(Cross-Site Scripting (XSS)) – クライアントからコンテンツへのスクリプトの注入を可能にする、Web アプリケーションに典型的なセキュリティ上の脆弱性
•暗号モジュール(Cryptographic module) – 暗号アルゴリズムを実装し、暗号鍵を生成する、ハードウェアやソフトウェア、ファームウェア
•CWE - Common Weakness Enumeration(CWE)は、コミュニティが開発した一般的なソフトウェアセキュリティの弱点一覧。共通言語、ソフトウェアセキュリティツールの測定基準、および脆弱性の特定・軽減・防止の取り組みのベースラインとして機能します
•DAST – 動的アプリケーションセキュリティテスト(DAST)技術は、実行状態にあるアプリケーションのセキュリティの脆弱性を示す状況を検出するように設計されています
•設計検証(Design Verification) – アプリケーションのセキュリティアーキテクチャに関する技術的評価
•動的検証(Dynamic Verification) – アプリケーションの実行中に脆弱性のシグネチャを用いて問題点を検出する自動化ツールを使用すること
•グローバル一意識別子(GUID) – ソフトウェアで識別子として使用される一意の照会番号
•HTTP – 分散、コラボレーション、ハイパーメディア情報システム用のアプリケーションプロトコル.World Wide Web におけるデータ通信の基盤
•ハードコードされた鍵(Hardcoded keys) – コード、コメント、ファイルなど、ファイルシステムに格納されている暗号化鍵
•入力バリデーション(Input Validation) – 信頼できないユーザ入力を正規化およびバリデーションします
•悪性コード(Malicious Code) – アプリケーションの開発時にアプリケーションのオーナに気付かれることなく導入されるコードであり,アプリケーションのセキュリティポリシーを回避します。ウイルスやワームなどのマルウェアとは異なります!
•マルウェア(Malware) – アプリケーションの実行時に、ユーザや管理者に気付かれることなくアプリケーションに侵入する実行コード
•Open Web Application Security Project (OWASP) – The Open Web Application Security Project (OWASP) は、アプリケーションソフトウェアのセキュリティ向上に注力する、自由でオープンなコミュニティ。OWASP のミッションは、アプリケーションのセキュリティを"見える化" することで、人や組織が、アプリケーションセキュリティのリスクについて十分な情報に基づいた決断を下すことができることです。http://www.owasp.org/ を参照
•個人を特定できる情報Personally Identifiable Information (PII) - 単独または他の情報と共に使用して、1人の人物を識別したり、連絡したり、居場所を特定したり、または状況に応じて個人を識別したりできる情報
•位置独立実行形式(PIE) – 位置独立実行可能ファイル(PIE)は、1次メモリのどこかに配置されて、絶対アドレスに関係なく適切に実行される機械語
•公開鍵暗号基盤(PKI) – 公開鍵暗号基盤(PKI)は、公開鍵をエンティティのそれぞれのIDにバインドする取り決めです。バインディングは、認証局(CA)での証明書の登録および発行のプロセスを通じて確立
•vSAST – 静的アプリケーションセキュリティテスト(SAST)は、アプリケーションのソースコード、バイトコード、セキュリティの脆弱性を示すコーディングおよびバイナリを分析するために設計された一連の技術。SASTソリューションは、実行されていない状態の「インサイドアウト」からアプリケーションを分析
•SDLC – ソフトウェア開発ライフサイクル
•セキュリティアーキテクチャ(Security Architecture) – アプリケーションの設計を抽象化したもの。どこでどのようにセキュリティ管理策を使用しているか、また、ユーザデータとアプリケーションデータを保持する場所とデータの機密性について記述します
•セキュリティ設定(Security Configuration) – アプリケーションにおけるセキュリティの管理を左右するランタイム設定
•セキュリティ管理(Security Control) – セキュリティチェック(例:アクセス制御の検査など)を実行する、あるいは呼出し結果がセキュリティに影響を与えうる(例:監査レコードの生成など)、機能や構成要素
•SQLインジェクション(SQL Injection) – データ駆動型アプリケーションに対する攻撃に使用されるコードインジェクション技法の 1 つ。悪性 SQL 文がデータの入力箇所に挿入されます
•SSOアプリケーション(SSO Application) – シングルサインオン(SSO)は、ユーザが1つのアプリケーションにログインした後に、再認証を必要とせずに自動的に他のアプリケーションにログインする。例えば、Googleにログインすると、Youtube、Google Docs、Gmailなどの他のGoogleサービスにアクセスすると、自動的にログインします
•脅威モデリング(Threat Modelling) - 脅威の主体、セキュリティゾーン、セキュリティ管理、重要な技術資産やビジネス資産を明らかにするための、精緻なセキュリティアーキテクチャの構築に基づく手法
•Transport Layer Security – ネットワークの通信セキュリティを提供する暗号プロトコル
•URI/URL/URLフラグメント(URI/URL/URL fragments) – Uniform Resource Identifier (URI) は、名前または Web リソースを識別するために使用される文字列。多くの場合リソースへの参照として使用されます
•検証者(Verifier) – OWASP ASVS の要件に基づいてアプリケーションをレビューする個人またはグループ
•vホワイトリスト(Whitelist)'' – アプリケーションにおいて許可されているデータまたは操作のリスト (例:入力バリデーションで許可されている文字のリストなど)
•X.509証明書(X.509 Certificate) – X.509証明書は、広く受け入れられている国際的なX.509公開鍵暗号基盤(PKI)標準を使用して、公開鍵が証明書に含まれるユーザやコンピュータまたはサービスIDに属していることを確認するデジタル証明書