用語集

アクセス ACL (Access ACL)

ACL の正式名で,オブジェクトへのアクセスの可否を判断するために参照されます。

ACL (access control list : アクセス制御リスト)

従来の UNIX アクセス許可の拡張 (オプション) で,ユーザおよびグループごとに,読み取り,書き込み,および実行の許可を指定できます。

次の項目も参照: アクセス ACL (Access ACL), 省略時 ACL (Default ACL)

管理者 (administrator)

本書では,システムのセキュリティに携わっているユーザに対して「管理者」という用語を使用します。

監査イベント (audit event)

監査サブシステムで監視して報告するイベント。イベントには,システム・イベント,アプリケーション・イベント,およびサイト定義イベントがあります。イベントは,システム上で実行するコマンド,システム・コール,ルーチン,またはプログラムで発生します。

監査 ID (AUID)

ログイン時に作成され,すべてのプロセスに引き継がれる ID。

監査 (auditing)

保護システム上でセキュリティに関係する動作を記録,調査,および確認することです。

認証 (authenticate)

システムの ID を証明するための証明書をエンティティがシステムに発行するプロセス。

認証方式 (authentication method)

エンティティが認証されるメカニズム。BSD,エンハンスト・セキュリティ,および Kerberos などが含まれます。

BASE (BSD) セキュリティ

BSD UNIX システムで実行される従来のセキュリティ。BASE セキュリティは,ファイル /etc/passwd に存在するユーザ名およびパスワードに基づくユーザ認証からなります。BASE セキュリティは省略時の Tru64 UNIX セキュリティです。

BSD (Berkeley Software Distribution)

カリフォルニア大学バークレー校のコンピュータ・システム・リサーチ・グループの UNIX ソフトウェア・リリース。Tru64 UNIX の機能の一部は BSD をベースとしています。

復号 (decryption)

暗号化アルゴリズムを使って,暗号化されたテキストを平文 (復号されたテキスト) に変換する処理。

省略時 ACL (Default ACL)

ディレクトリに関連付けられた ACL。2 種類の ACL (省略時アクセス ACL と省略時ディレクトリ ACL) で,ディレクトリ内に作成されるファイルおよびサブディレクトリに与えられる ACL が決まります。

ディジタル証明書 (digital certificate)

個人,サーバ,企業,またはその他のプリンシパルの ID の認証,およびそのプリンシパルと公開鍵を結び付けるために使われる電子的なドキュメント。

ディジタル署名 (degital signature)

メッセージの送り主またはドキュメントの署名者の ID を認証するために使われる電子的な署名。

任意アクセス制御 (DAC: discretionary access control)

ディレクトリ,ファイル,デバイス,およびプロセスを含む,システム・リソースへのアクセスを管理します。Tru64 UNIX は,Tru64 UNIX アクセス権および ACL (Access Control List) 使用して,DAC を実現します。

暗号化 (encryption)

暗号化アルゴリズムを使って,平文 (暗号化されていないテキスト) を暗号化されたテキストに変換する処理。

実効ユーザ ID (EUID: effective user ID)

現在のユーザ ID ですが,ユーザ自身の ID とは限りません。たとえば,ログイン ID でログインしたユーザは,別の ID に変わる可能性があります。ユーザが変更した ID は,ユーザが元のログイン ID へ切り替えるまで実効ユーザ ID となります。

エンハンスト・パスワード (enhanced passwords)

エンハンスト・セキュリティ・オプションで提供される拡張属性を持つパスワード。エンハンスト・パスワードは,ファイル prpasswd に格納され,エンハンスト・パスワード,保護パスワード,またはシャドウ・パスワードとも呼ばれます。

エンハンスト・セキュリティ (Enhanced Security)

BASE セキュリティで不足している点を補うオプションのセキュリティ機能。エンハンスト・セキュリティは,エンハンスト・パスワード・プロファイルから構成されています。

次の項目も参照: エンハンスト・パスワード (enhanced passwords)

エンティティ (entity)

認証の対象となるユーザ,プログラム,システム。

ER (external representation : 外部表現)

ACL の POSIX 適合 ASCII 表現であり,ユーザへの表示に使います。

次の項目も参照: IR (internal representation : 内部表現)

評価基準 (evaluation criteria)

トラステッド・コンピュータ・システム評価基準 (TCSEC: Trusted Computer System Evaluation Criteria)。Tru64 UNIX システムのエンハンスト・セキュリティ機能は,この基準に合うように設計されています。

ホスト・ベース認証 (host-based authentication)

ホスト名およびユーザ名での識別 (パスワードではなく) に基づく非対話式の UNIX 認証方式。

IPsec

TCP/IP 転送プロトコルを使って交換されるデータに対して,IP レイヤでリモート認証サービスを提供するプロトコル。

IR (internal representation : 内部表現)

ACL ライブラリ・ルーチンで使う ACL のバイナリ表現。

次の項目も参照: ER (external representation : 外部表現)

Kerberos

コンピュータ・ネットワークのサービスに対する要求を認証するセキュア・メソッド。

KDC (Key Distribution Center)

プリンシパル間のやり取りを仲介し,秘密鍵認証の使用時に,専用のセッション・キーを作成します。

次の項目も参照: ER (external representation : 外部表現)

LDAP (lightweight directory access protocol)

TCP/IP で稼動するインターネット標準の分散型のクライアント/サーバ・ディレクトリ・サービス・プロトコル。

ログイン・スプーフ・プログラム (login spoofing program)

パスワードを盗むために,login プログラムのように見せかけたプログラム。たとえば,スプーフ・プログラムでは,使われていない端末にログイン・プロンプトを出力し,ユーザからの入力を待ちます。

NIS (Network Information Service)

ローカル・エリア・ネットワーク (LAN) の情報を共用するための分散型クライアント/サーバ・データ検索サービス。

オペレータ (operator)

システムの日常的保守を担当している人。これには,バックアップ,ライン・プリンタの保守,およびその他の保守タスクなどがあります。

次の項目も参照: システム管理者 (system administrator)

プリンシパル (principal)

ユーザ,サービス,アプリケーション,またはホスト。

プロセス ID (PID:)

実行中のプロセスに割り当てられた重複しない番号。

プロセス (process)

オペレーティング・システムが制御する単位。プロセスは必ず 1 つのプログラムを実行しています。このプログラムは,現在のプログラムがシステム・コール exec() を呼び出したときに置き換わります。現在のプログラムが保護されている (trusted) とき,そのプロセスは保護されていると見なされます。

次の項目も参照: プログラム (program)

プログラム (program)

プロセスによって実行されるように設計,コンパイル,インストールされた実行可能ファイル内のアルゴリズム一式。プログラムは,システムのセキュリティ・ポリシを満たしているときに保護されていると見なされます。

次の項目も参照: プロセス (process)

公開鍵認証 (public key authentication)

接続中の 2 つのプリンシパル (通常,クライアントとサーバ) が,公開鍵や秘密鍵を使って互いとユーザを認証し,そこで交換されるデータを暗号化または復号する暗号化方法。

PPID (parent process ID : 親プロセス ID)

親プロセス,つまり生成元プロセスの ID。

root

スーパユーザ (システム管理者) のログイン名。

ルート・ディレクトリ (root directory)

UNIX システムのツリー状のファイル構造の最上位ディレクトリの名前。つまり,絶対パス名の先頭です。パス名の中のルート・ディレクトリは,先頭のスラッシュ (/) で表されます。ルート・ディレクトリ自身は単独のスラッシュで表します。

ルート・ファイル・システム (root file system)

基本的なファイル・システムであり,その他のファイル・システムはすべてこの上にマウントされます。ルート・ファイル・システム内には,オペレーティング・システムのファイルがあり,これらのファイルで残りのシステムを実行します。

秘密鍵認証 (secret key authentication)

接続中の 2 つのプリンシパル (通常,クライアントとサーバ) が,セッション鍵と呼ばれる 1 つの秘密鍵を使ってシステムとユーザを認証し,そこで交換されるデータを暗号化または復号する暗号化方法。

セキュア・シェル (Secure Shell)

コマンドの使用時に交換されるデータに対して,リモート認証サービスを提供するネットワーク・コマンド一式を備えたクライアント/サーバ・アプリケーション。

セキュリティ属性 (security attributes)

セキュリティを実現するためのトラステッド・コンピューティング・ベース (TCB) によって使用されるパラメータ。セキュリティ属性には,さまざまなユーザおよびグループ ID が含まれます。

SIA (Security Integration Architecture : セキュリティ統合アーキテクチャ)

セキュリティ統合アーキテクチャは,セキュリティ・メカニズムが使われる順序を管理します。

次の項目も参照: 保証機能 (vouching)

SSO (Single Sign On)

Kerberos を使って,ftp, rcprloginrsh,および telnet ネットワーク・コマンドの使用時に交換されるデータに対し,リモート認証サービスを提供するクライアント/サーバ・ソフトウェア。

サイト定義イベント (site-defined event)

アプリケーション・ソフトウェア (つまり,オペレーティング・システムではない) で作成される監査イベント。

スプーフ・プログラム (spoofing program)

ログイン・スプーフ・プログラム (login spoofing program) を参照

システム管理者 (system administrator)

システム管理者は,ファイル・システムの保守と修復,アカウントの作成,およびその他の管理作業を担当します。

TCB (trusted computing base : トラステッド・コンピューティング・ベース)

ハードウェア,ソフトウェア,およびファームウェア一式で,これらが一体となってシステムのセキュリティ・ポリシを実現します。Tru64 UNIX のTCB には,システムのハードウェアおよびファームウェア,トラステッド Tru64 UNIX オペレーティング・システムと,セキュリティ・ポリシを実現するトラステッド・コマンドおよびユーティリティが含まれます。トラステッド Tru64 UNIX システムと併せて提供されるオペレーティング・システムおよびその他のソフトウェアは,セキュリティの要件を満たしています。

従来のセキュリティ (Traditional security)

BASE (BSD) セキュリティ を参照

平凡性チェック (triviality check)

簡単に推測できるパスワードを使わないようにするために,パスワードに対して行うチェック。平凡性チェックにより,辞書にある単語,ユーザ名,およびユーザ名を少し変えた単語をパスワードとして使うのを防ぐことができます。

トロイの木馬 (Trojan horse)

ユーザによって起動されたときに,ユーザのデータを盗むか,ユーザのファイルを破壊するか,またはトロイの木馬を仕掛けた人が再度ユーザのアカウントにアクセスできるようにする仕組みを作成するプログラム。ウィルスとワームは,トロイの木馬の一種です。

次の項目も参照: ウィルス (virus), ワーム (worm)

ウィルス (virus)

システム上の他のプログラムまたはファイルに潜入し,使用できる手段 (ディスク・ファイル,ネットワークなど) で別の同じようなコンピュータに自己複製を行うように設計されたコンピュータ・プログラム。ウィルスは,「感染」対象のプログラムまたはシステムに損害を与えたり破壊したりするように設計され,多くの場合,ウィルスのプログラマの誕生日のような,特定の日時に発症するようにプログラムされています。

次の項目も参照: トロイの木馬 (Trojan horse) , ワーム (worm)

保証機能 (vouching)

セキュリティ・メカニズムが,先に実行されたセキュリティ・メカニズムの認証処理を信頼できるようにする技法。この機能は,セキュリティ統合アーキテクチャ (SIA) で実現されます。

ワーム (worm)

システム上の他のプログラムまたはファイルに潜入し,使用できる手段 (ディスク・ファイル,ネットワークなど) で別の同じようなコンピュータに自己複製を行うように設計されたコンピュータ・プログラム。ワームは,損害を与えるようには設計されていませんが,本来の処理のために用意されているリソースを占有するので有害です。

次の項目も参照: トロイの木馬 (Trojan horse) , ウィルス (virus)