IT用語帳

セッション管理

Session Management

せっしょんかんり

Webアプリケーションにおいてユーザーの状態を維持するための仕組みの管理。セッションIDの安全な生成(十分な長さとランダム性)、Cookieのセキュア属性(Secure、HttpOnly、SameSite)の設定、セッションタイムアウト、ログイン時のセッションID再生成などが重要な対策となる。
Web認証セキュリティ対策セキュリティ
情報システムの企画・設計・開発・運用でのセキュリティ確保の推進又は支援に関すること > セキュアプログラミング

関連キーワードの用語

SCISMS(情報セキュリティマネジメントシステム)

組織の情報セキュリティを管理するための仕組み。ISO/IEC 27001(JIS Q 27001)に基づき、リスクアセスメントを行い、適切な管理策を選定・実施・運用・監視・改善するPDCAサイクルを回す。ISMS適合性評価制度により第三者認証を受けることができる。

SC真正性

情報セキュリティの付加的特性の一つ。エンティティ(利用者、プロセス、システム等)が主張するとおりのものであることを保証する特性。認証技術やデジタル署名により確保する。

SCコモンクライテリア(CC)

IT製品やシステムのセキュリティ機能を評価するための国際標準規格(ISO/IEC 15408)。EAL(Evaluation Assurance Level)1〜7の保証レベルで評価し、ST(セキュリティターゲット)やPP(プロテクションプロファイル)を用いてセキュリティ要件を定義する。

SCゼロトラストアーキテクチャ

「何も信頼しない」を前提としたセキュリティアーキテクチャ。社内外を問わず全てのアクセスを検証し、最小権限の原則に基づきアクセス制御を行う。従来の境界型防御に代わり、ネットワークの内外を区別せず、認証・認可を都度実施する。

SCリバースプロキシ

クライアントからのリクエストを受け取り、背後のWebサーバに転送するプロキシサーバ。外部から内部サーバを隠蔽し、SSL/TLS終端、負荷分散、キャッシュ、アクセス制御などのセキュリティ機能を提供する。WAFと組み合わせて使用されることも多い。

SC認証(Authentication)

ユーザーやシステムの身元を確認するプロセス。知識情報(パスワード)、所持情報(ICカード、トークン)、生体情報(指紋、虹彩)の3要素(認証の3要素)があり、複数を組み合わせた多要素認証により安全性を高める。