【ネスぺ対策】丸暗記系用語まとめ

Code Division Multiple Accessの略称。送信データにそれぞれが異なるビットパターンを掛け合わせることで，複数の通信を可能にする方式。

Frequency Division Multipleの略称。送信者にそれぞれが異なる周波数を割り当てる技術で，FDMを用いて接続を行う方式をFDMA（FDM Access）と呼ぶ。OFDMはFDMのうち直交する搬送波を利用する方式で，OFDMを用いて接続を行う方式をOFDMA（OFDM Access）と呼ぶ。

全二重通信のフロー制御方式。バッファとパケット流通量を常に監視し，受信側のバッファが満杯になりそうなときに送信量を制御する。

複数のNICに一つのIPアドレスを割り当てること。下記のような用途がある。

• ロードバランシング：負荷分散
• リンクアグリゲーション：帯域増加
• フォールトトレランス：耐障害性向上

一台のコンピュータに接続している物理NIC数以上のネットワークインタフェースを使用できるようにする技術。

イーサネットフレームにおける先頭8byteのプリアンブルに続く6byteの送信先MACアドレスを読取った時点でデータの転送を開始するスイッチの方式。

Variable-Length Subnet Maskの略称で可変長サブネットマスクのことを指す。

• ポートVLANが設定されたポート：アクセスポート
• タグVLANが設定されたポート：トランクポート

レイヤ2のみで動作させるモードのことを指す

Worldwide Interoperability for Microwave Accessの略称で，2GHz〜11GHz帯のマイクロ波を使って企業や自宅へ無線接続を行う方式を指す。特にWiMaxに接続する基地局を自動で円滑に切り替えるハンドオーバーの機能を付与した規格をモバイルWiMAXaxと呼び，6GHz帯以下の周波数帯が割り当てられている。日本ではウィルコムとUQ Communicationsの二社が総務省の認定を受け，それぞれ周波数帯を割り当てられている。

ピコネット。マスタとスレーブで構成される。

FCoE。通常はSANとLANを繋げることができない点に注意する。

CNA（Converged Network Adapter）

Dedicated Short-Range Communicationの略称。5.8GHz帯を使用する近距離の無線技術であり，有料道路の料金所のETCなどで利用されている。

WDM（Wavelength Division Multiplexing）

異なるAPのエリアに端末が移動しても通信を円滑に継続する，無線LANを提供する側の機能

異なるAPのエリアに端末が移動しても通信を円滑に継続する，端末側の機能

• 事前認証：複数のAPエリアが被っている地点で事前に認証を済ませておく機能
• PMKキャッシュ：一度認証したPMKをキャッシュする機能

Industrial Scientific and Medical Bandの略称で，産業・科学・医療分野で使用するために割り当てられた無線通信の周波数帯のことを指す。2.4GHz帯や5.7GHz帯の一部に該当する。

10BASE-T特有のヘルスチェック信号。100BASE-Tでは，10BASE-Tと自動判別を行うオートネゴシーエーションまたはN-Wayと呼ばれるリンクパルスの拡張機能（FLP：fast link pulse）が備わっている。

いずれも集積回路のハードウェアを表す。ASICはApplication Specific Integrated Circuitの略称で，特定用途向けの大規模集積回路のことを指す。FPGAはField Programmable Gate Arrayの略称で，カスタム可能なASICのようなものを指す。

Multi-Fiber Push Onの略称で，複数のファイバケーブルを集約したコネクタが両端に付いたケーブルのことを指す。

直接波と反射波の到達タイミングのズレによる波形の歪みであるマルチパス干渉を防ぐために，データの最後を一定時間コピーして先頭に付与する仕組みのことを指す。IEEE802.11nでは，このコピー時間を短くするショートガードインターバルという機能が追加された。

タグVLANの規格名でIEEE802.1Qを表す

Commercial National Security Algorithmの略称で，WPA3で対応したAESよりも安全な暗号化アルゴリズム。

Protected Management Framesの略称で，制御信号も暗号化する方式のことを指す

デュアルバンドに対応している端末を電波が干渉しづらい5GHz帯に誘導する機能。

ONUはOptical Network Unitの略称で，光回線終端装置のことを指す。NTEはNetwork Termination Equipmentの略称で，NTTで言うとフレッツ網の終端装置のことを指す。自宅から光回線を通じてインターネットに接続する場合は，まずONUを通じてフレッツ網に接続し，フレッツ網のNTEとPPPoEで接続する。NTEより先はPPPoEのトンネルを抜けてISPのネットワークと接続する。

コネクションレス通信のことを指す。

Power Line Communicationsの略称で，電力線搬送通信のことを指す。

携帯電話事業者による5Gの全国サービスではなく，地域や産業の個別ニーズに応じて地域の企業や自治体等が自らの建物内や敷地内でスポット的に柔軟に構築できる5Gシステムのことを指す。5Gと表記するものの，4.6〜4.8GHz及び28.2～29.1GHzを使用する。

APN（Access Point Name）

Pairwise Master Keyの略称で，無線LANのIEEE 802.1X認証後に認証サーバが生成してAPと端末に配布される暗号鍵の種のことを指す。APと端末はPMKと乱数などを合わせて共通鍵を生成する。

プリマスタシークレットはTLSにおける共通鍵の種であるため，混同しないように注意する。EAP-TLSの場合，PMKはTLSによる認証後に登場する概念である。

• a：石英ガラス（SiO2）
• b：コア
• c：クラッド

• a：シリコン（紫外線硬化樹脂）
• b：光ファイバー素線
• c：ナイロン樹脂
• d：光ファイバー心線

二酸化ゲルマニウム

• SI（Step Index）型：屈折率が均一のため，受信側では信号が歪みやすい
• GI（Graded Index）型：屈折率が均一でなく中心部ほど高くなっているため，受信側では信号が歪みにくい

入射角が小さい光は進む速度が速く，入射角が大きい光は進む速度が速い。入射角とは，光ファイバーと並行の直線と光のなす角と定義される。GI型では中心ほど屈折率が高いため入射角が小さい光は進む速度が遅くなり，外側ほど屈折率が低いため入射角が大きい光は進む速度が速くなる。結果として，両者の進む速度の差が縮まり，受信側では信号が歪みにくくなる。現在のMMFではGI型が主流である。

OTDR（Optical Time Domain Reflectometer）

エージング。IEEE 802.1Dの規格では300sが推奨されている。

Low Power, Wide Areaの略称で，消費電力が低く長距離のデータ通信が可能なネットワークのことを指す。例えば，Wi-SUN（Wireless Smart Utility Network）は920MHz帯を使用するLPWA規格のメッシュ型ネットワークである。

いずれもLPWA（Low Power Wide Area）で用いられる通信方式，つまりIoTなどで用いられる通信方式のことを指す。従来日本では，電波の干渉を防ぐために通信前に他の端末が使用するチャネルを確認するキャリアセンス方式の実装が義務付けられていたが，この仕組みはやや複雑であるため無線機器のコストを増加させる要因の1つだった。このような背景の下，2020年の電波法の改正では，キャリアセンス方式以外に電波の発射時間を短くするLDC（Low Duty Cycle）という仕組みを用いて電波の干渉を防ぐ方式を使うことが許可された。このシンプルな仕組みの導入により，無線機器のコスト低下が可能になった。

National Operation Towards IoT Clean Environmentの略称で，脆弱なIoT機器を減らすための国家プロジェクトのことを指す。総務省から文書が発表されているが，2019年から「5年間の時限措置」として実施されている。

• 上り：端末→インターネット（送信）
• 下り：インターネット→端末（受信）

日本語で「上下」と「送受信」が対応していると覚える。例えば，802.11anではMIMOは下り方向にしか対応していなかったが，802.11axでは上り方向（アップリンク）にも対応するようになった。

802.11axで導入された仕組みで，複数端末からAPへの通信を可能にするために「どの端末がどのタイミングでデータを送信してよいか」を表す情報のことを指す。トリガーフレームには電力制御に関する情報も含まれており，端末はそれに応じて電波の強さを揃える仕組みになっている。

CSMA/CAでは，通信で利用するチャネルが他の通信で使われていた場合はそのチャネルの通信が終了するまで待つ仕様だったが，通信先のAPが通信中のAPと全く別の方向にあり他の通信を阻害しないと判断された場合は，同時に通信を開始できる仕組みのこと。

Protected Management Framesの略称で，アクセスポイントと端末の間で管理のためにやり取りする管理フレームのことを指す。

APと端末間の通信に介入し，4-wayハンドシェイクの最後のメッセージでWPA2の暗号鍵生成および鍵の再配布を強制させ，直前と同じ通信を行わせることで暗号鍵の読解を試みる攻撃。本来は全く別のパラメータで乱数を発生させるべきだが，同じパラメータで乱数を発生させていた製品があった。

IEEE 802.11s

LLDP

ソフトエラー

• PMKSAキャッシュ：APに接続した際に暗号鍵をキャッシュしておく方式
• OKC：無線LANコントローラーを使ってPMKを共有する

ただし，PMKSAはPairwise Master Key Security Associationの略称，OKCはOpportunistic Key Cachingの略称である。

• 1G：FDMA（Frequency Division Multiple Access）
• 2G：TDMA（Time Division Multiple Access）
• 3G：CDMA（Code Division Multiple Access）
• 4G：OFDMA（Orthogonal Frequency Division Multiple Access）

1つの基地局でセルと呼ばれる狭い範囲をカバーし，基地局を多数設置することでエリア全体を覆う方式のこと。1つの基地局だけで広い範囲をカバーする方式は大ゾーン方式と呼ばれ，セルラー方式は小ゾーン方式とも呼ばれる。

セルラー方式では複数セルをまとめた範囲をエリアとよび，各端末がどのエリアに属しているのかをホームメモリーで保管する。着信時はホームメモリー上のエリア情報をもとに，端末が属するエリアの基地局に対し一斉呼び出しを行う。

同じ無線LANのアクセスポイントに接続している機器同士の直接通信を禁止する機能

Ultra Wide Bandの略称で，超広帯域無線のことを指す。広い周波数帯にデータを拡散することで高速な伝送を行う無線通信方式。

NOC（Network Operation Center）はネットワーク同士を接続する。IXは運用者や利用方針などが異なるネットワーク同士を接続する。IXがNOCによって繋げられてインターネットが構成されているイメージ。

ステルス機能

プレフィックス長

ステートフルフェールオーバー機能

IPv4アドレスでは0.0.0.0/0，IPv6アドレスでは::/0として表される特殊なアドレス

ルーティングプロトコルのパケットを送信しないようにしているインタフェースで，例えばHelloパケットを送出しないという特徴がある。

過去の通過した行き（リクエスト）のパケットに対応する戻り（レスポンス）のパケットを通過させる仕組み

MPLSやOSPFにおいて，リンクやノードに障害が発生した場合に備えて予め予備のルートを計算しておき，障害発生時の経路の切替え時間を抑える仕組み。ファストパスのイメージで理解する。

物理的に機器を接続するだけで，特別な設定をしなくても自動的にその機器が利用可能になる機能。

RST/ACK

ビーコン信号

仮想リンクによる接続

MPLS

IEEE802.1Q

物理ポートの帯域幅（通信速度）

OSIのIS-IS（Intermediate System to Intermediate System）

VRRP（Virtual Router Redundancy Protocol）

Carrier Grade NAT（キャリアグレードNAT）の略称で，一人のユーザが使用できるポート番号を制限することで一つのグローバルIPアドレスを複数のユーザで共用する技術。通信キャリア級の規模で使うNAT。NAPTでは一つのグローバルIPアドレスを複数の端末で共有するのに対し，CGNでは複数のグローバルIPアドレスを複数の端末で共有する。そのため，CGNではクライアントが一つのグローバルアドレスを使い続ける仕組みが必要になる。

CGNを実現する方式として，NAT444がある。444はグローバルIPv4・シェアードIPv4・プライベートIPv4の4つを表している。グローバルIP→グローバルIPのNATとグローバルIP→プライベートIPのNATという二段階のNATを噛ませるイメージ。一段階でない理由は，ユーザが勝手にプライベートIPを変更した際に重複させないため。

Virtual Routing and Forwardingの略称で，1台のルータに独立した複数のルーティングテーブルを持たせる仮想化技術のことを指す。1台のスイッチを仮想的に分割するVLANのルータバージョンと理解する。VLANの識別子はVLAN IDを利用するが，VRFではRD（Route Distinguisher）を利用する。

使える。IPの配布だけでなく，DNSサーバの情報も配布することが可能。

異なる宛先でも送信元が同じであれば一定時間同一のIPアドレスとポート番号を割り当て続ける機能であるEIM（Endpoint Independent Mapping）と，EIMで割り当てられたIPアドレスとポート番号に対するインバウンドを一定時間許可する機能であるEIF（Endpoint Independent Filter）を有効にしているNATのこと。

同じCGNAT装置の配下にいる加入者端末間で，グローバルIPv4アドレスを用いた折り返し通信を可能にする機能を有効にしているNATのこと。

Universal Plug and Playの略称で，機器をネットワークに接続すると複雑な設定作業を自動で行ってくれる機能のことを指すが，その設定作業の中にポートフォワーディングが含まれている。特定のIPアドレスとポート番号に対する外部からの通信を，特定の内部端末に転送するポートフォワーディングは，NAT超えを実現するための一手段であるという関係。

Session Traversal utilities for NATsの略称で，UDPの初回アクセス時にグローバルIPとポート番号が許可される性質を利用するNAT超えの一手段。UDPホールパンチングとも呼ばれる。

Traversal Using Relay around NATの略称で，TRUNサーバを介するNAT超えの一手段。

Duplicate Address Detectionの略称で，ICMPv6で行われる重複アドレス検知機能のことを指す。

NS/NAはICMPv6で利用されるパケットで，NSはNeighbor Solicitation，NAはNeighbor Advertisementの略称である。NSはリンクローカルアドレスを宛先IPv6の下位24bitに付与したマルチキャストパケットであり，NAはNSに対する応答パケットである。NSで送信元IPv6アドレスは確認対象のリンクローカルアドレスは設定せず，未指定アドレスを指定することに注意する。

RS/RAはSLAACやDHCPv6のステートレスモードで利用されるパケットで，RSはRouer Solicitation，RAはRouter Advertisementの略称である。各端末はネットワーク情報を取得するためにRSでリクエストしてルータからRAを受け取るが，ルータはその後も定期的にRAを送り続ける。

ARPではなくICMPv6のNS/NAを利用する

RADUISクライアントではない。端末はサプリカント，アクセスポイントはオーセンティケータ。

正しい

正しくない。代わりにトラフィッククラスという8bitのフィールドが定義されている。

TKIP（Temporal Key Integrity Protocol）

• DR（Designated Router: 代表ルータ）
• BDR（Backup DR: バックアップ代表ルータ）

ある。プライオリティ値の大きいルータから順にDR，BDRになる。ゆえに，特定のルータをDRとBDRに選びたくなければ，それらのプライオリティ値を0にすればよい。

LSA（Link State Advertisement）である。LSAによりLSDB（Link State DB）が構築される。BPDUと答えたくなるが，BPDUはSTPの概念であるため不適切。

LLDP

BGPマルチパス

• 実IPアドレス
• 仮想IPアドレス
• VRRPグループ
• 優先度

仮想MACアドレスは自動的に付与されるため不要である点に注意する。

VRRP広告が届かなくなった場合にダウンしたと判断する。キープアライブではない点に注意する。

• DSU：Digital Service Unitの略称でメタル回線の終端装置
• ONU：Optical Network Unitの略称で光回線の終端装置

メタル回線は光回線以前の回線と理解すればよい。終端装置より先はLANケーブルが繋がっている。

• CEルータ：利用者拠点と事業者IP-VPN網の接続点で拠点側のルータ
• PEルータ：利用者拠点と事業者IP-VPN網の接続点で事業者側のルータ

CEはCustomer Edge，PEはProvider Edgeであるため覚えやすい。

IKEと呼ばれる。接続相手のVPN装置と自端末の双方ともが固定IPの場合はメインモード，接続相手のVPN装置が動的IPの場合は接続先のIPアドレスを認証情報として利用しないアグレッシブモードが利用される。もちろんメインモードの方がセキュリティは強固であるが，アグレッシブモードはコスト面で優れている。

SAを再作成するReKey

BGPルーター同士が経路情報をやりとりするために確立するTCPコネクションのこと。接続先ルータのことをピアと呼ぶと勘違いしていたため注意。

Passive Optical Networkの略称で，1本の光ファイバーを複数のユーザーで共用する仕組み。上りはONUがOLTに問い合わせて送信可能タイミングと割り当て時間の許可を得てTDM（時分割多重）を行い，下りはOLTが各ONUに対して一意の識別子（LLID）を割り当ててデータの先頭に付与して送信する。下に関しては1Gbpsと10Gbpsを共用するために波長分割多重方式（Wavelength Division Multiplexing：WDM）を利用することもある。なお，OLTはOptical Line Terminalの略称で，光加入者線終端装置のことを指す。

128bitのIPv6アドレスにおける右側64bitを指す。IPv4におけるホスト部だが，IPv4とは異なり64bitで固定されている点に注意する。なお，前半64bitはプレフィックスと呼ばれている。

Automatic Private IP Addressingの略称で，DHCPでIPアドレスが自動取得できなかった際にリンクローカルアドレスを自動的に割り当てる機能のことを指す。IPv4にもリンクローカルアドレスは存在していて，ルータを跨がない通信のみを可能にするアドレスであるため，APIPAを強制されるとインターネットを利用できなくなってしまう。

ホップリミット

IPv6ネットワーク空間上でセグメントルーティング（SR）を実現する仕組みのことを指す。IPv6の拡張ヘッダーを利用したルーティングプロトコルであり，MPLSで手動設定が煩雑だったという課題を解決することができる。最も入り口側のルータが「セグメントID」と呼ばれる識別子を受け取り経路を選択するため，経由するルータの設定は必要ない。

MPS（Maintain Power Signature）。なお，送電機器がPSE（Power Sourcing Equipment）とよばれる。

Message Authentication Codeの略称で，メッセージを認証するための短い情報のことを指す。例えば，SSH2においてデータの一貫性を担保するために利用される。

受信側のウィンドウサイズが0となった場合（＝受信側のバッファが満杯の場合）に，受信側からのウィンドウ更新要求（＝バッファ回復通知）が途中で喪失しても通信を再開できるように送信側から定期的に送られる，最新のウィンドウサイズを取得する通信。

確認応答と実際のレスポンスを1つのパケットにまとめて送ること。受信側が確認応答をすぐに行う前にレスポンスを構築する必要があるため，遅延確認応答と組み合わせて利用される。

主観品質評価と客観品質評価の両方を用いることで，総合的に音声品質を評価した指標のことを指す。具体的には，ITU-T勧告G.107で規定されたE-Modelの出力として得られる。R値は，パケット到着順の乱れやそれに伴い発生する音声や映像の乱れを表すジッタやパケット損失率を元に算出される。主観評価のMOS値（Mean Opinion Score）と比べて理解しておきたい。

回線を100%利用したときの，単位時間当たりのトラフィック量。時間の単位は任意。

送信される情報ビットに対して検査ビットを付加することで，受信側で2ビットの誤り検出と1ビットの誤り訂正を行う符号。

一意に復号可能な符号のうち，平均符号長が他より小さいコンパクト符号。圧縮率が高いアルゴリズムであり，zip・jpeg・mp3などに応用されている。

一般的なアナログ電話回線に対応したファクシミリの国際規格。

OSなどに不正に組み込んだツールを隠蔽するソフトウェア群

MDA（Model Driven Architecture）という。なお，プラットフォームに依存する部分はプログラム，依存しない部分はビジネス要件のことを指している。語弊を恐れずに言うならば，MDAはビジネス要件や仕様を自動でコードに落とし込むアーキテクチャのことを指していて，GUIで直感的にコンポーネントを配置してプロダクトを構築する例などが挙げられる。

Back to Back User Agentの略称で，異なるSIPネットワーク間の境界に配置されて両者の仲介役を担う。SIPはRFCで標準化されているが，いまだにメーカー間の実装に差異があるためB2BUAがその差分を吸収している。

• RTO：Recovery Time Objectiveの略称で，故障してから復旧までの時間
• RPO：Recovery Point Objectiveの略称で，障害からどの時点までデータを復旧できるかを表す指標

Contingencyは不足の事態を指すため，予期せぬ事態に備えて予め定めておく計画のことを指す

• データプレーン：データ転送
• コントロールプレーン：制御

スループット

• UDP/161：エージェント
• UDP/162：マネージャ

コミュニティ名

DNSサーバ

STARTTLS

Mobile Device Managementの略称で，自組織の従業員のデバイス情報を一元管理する仕組み

• FC-SAN：ファイバチャネルネットワーク
• IP-SAN：TCP/IPネットワーク

ハイパーバイザ

• サーバベース方式：サーバ上の環境を各ユーザで共有
• VDI方式：サーバ上で独立した仮想環境を各ユーザに割り当てる

MAIL FROM

Internet Protocol Flow Information Exportの略称。ネットワークの統計的トラフィック情報を分析するためのプロトコルである。

Punycode

RDP（Remote Desktop Protocol）やPCoIP（PC over IP）などが挙げられる。RDPはデスクトップ画面自体をデータとして送信し，PCoIPではディスプレイのインタフェースを通した出力（キーボードやマウスのイベント等も含まれる）がデータとして送られる。

SMTPサーバで動作するメール転送エージェント

• DKIM（DomainKeys Identified Mail）
  • 送信元メールサーバで署名に利用する公開鍵をDNSサーバに登録し，受信側で電子署名を認証する仕組み
• DMARC（Domain-based Massage Authentication, Reporting and Conformance）
  • DKIMやSPFにおいて認証が失敗したときのメールの取り扱いポリシーをDNSサーバで公開する仕組み

他社から他社へのメールを転送している無駄な状態。

ステートフルフェールオーバー。Active-Stanby間で設定情報やセッションを同期しておく。

• ストリーム暗号（1byte単位で暗号化）：RC4等
• ブロック暗号（一定の塊単位で暗号化）：AES等

HoLはHead of Lockの略称。サーバはリクエストを受け取った順番でレスポンスを返さないといけないというHTTP1.1の仕様により，最初の方のリクエストの処理でサーバが詰まっている場合に，サーバのリソースを無駄に消費してしまう現象のことを指す。クライアント側は構わずリクエストを送ることができるが，サーバ側がボトルネックになるイメージ。

Application Delivery Controllerの略称で，従来ネットワーク層やトランスポート層がメインだった負荷分散装置がアプリケーション層まで染み出した結果命名された呼称である。アプリケーションの同じセッションを同じサーバに振り分け続けるパーシステンスや，リクエストURIやブラウザの種類などアプリケーションデータに含まれる情報に基づいた負荷分散を実現するアプリケーションスイッチング，HTTP/2を終端させてサーバとはHTTP1.1でやりとりするHTTP/2オフロードといったような機能を持つ。

Application Level Gatewayプロトコルの略称で，通信途中でポート番号を切り替えるプロトコルのことを指す。例えば，以下のプロトコルがALGプロトコルに該当する。

• FTP
• TFTP
• SIP
• RTSP
• PPTP

互いに通信できない状況に置かれた端末が，同じAPに向けて同時に信号を送信して衝突してしまう問題を隠れ端末問題という。隠れ端末問題は，データを送る前にRTS（Request To Send）をAPに送り，通信可能な状態であればAPはCTS（Clear To Send）を端末に送ることで解決することができる。逆に，互いに通信できる状況に置かれた端末が，異なるAPの同一周波数を利用して過剰に通信を抑制してしまう問題をさらし端末問題という。さらし端末問題はCTSを意図しない端末が受信してしまうことが原因であるため，APごとに利用する周波数帯（チャネル）を変更することで解決することができる。

Function as a Serviceの略称で，プログラムの実行環境であるサーバの管理を意識せずに使用することができる実行環境のことを指す。

ITU-T X.509。誤魔（50）化すことを防ぐ（9）と覚える。

Fault Tree Analysisの略称で，故障木解析のことを指す。樹形図において上のノードと下のノードの関係を発生確率とゲートで表現する方法。

ショートメッセージを利用したフィッシング詐欺。SMSとphishingを合わせた造語。

平文とIDだけで暗号化を行うアルゴリズム。例えば，アリスからボブにメッセージを送信する際には，ボブのメールアドレスを用いてメッセージを暗号化する。これは「ボブのメールアドレスは正しい」という信用に基づく暗号方式であり，信用できるIDから公開鍵を生成する仕組みと理解すればよい。ただし，復号のためには公開鍵に紐づく秘密鍵を生成する必要があるが，パブリックに行ってしまうと秘密鍵が誰もが秘密鍵を生成することができるようになってしまうため，秘密鍵生成局と呼ばれる機関が秘密鍵を生成する仕組みになっている。つまり，秘密鍵生成局は秘密鍵をセキュアに配送する必要があるため，結局ボトルネックが秘密鍵生成局に移動しただけという見方もできる。

デジタル署名が付けられた公開鍵のこと

DNSリフレクタ攻撃，もしくはDNSアンプ

スマーフ（smurf）攻撃

Set-Cookieヘッダフィールドにセッション情報を書き込む。set-cookieではなくSet-Cookieであるため注意する。

Envelope-FROMを利用する。送信元IPはHeaderを利用しそうだが，メールの場合は

• Envelope-FROM：MAIL FROM/RCPT TO
• Header-FROM：DATE/FROM/TO/Subject
• メール本文

という構造になっている。つまり，メール本文に対するHeaderがHeader-FROMで，Header-FROMとメール本文を包んでいる封筒がEnvelope-FROMである。したがって，SPFでは封筒に書かれている送信元IPを利用する。

VoIPゲートウェイ

• アナログ電話機：RJ11コネクタからアナログ電話線に接続する
• IP電話機：RJ45コネクタからLANケーブルに接続する

IP-PBXやSIPサーバ

1. INVITE
2. 200 OK
3. ACK

なお，終了は

1. BYE
2. 200 OK

となる。RSTでないため注意する。

public

SNMPエージェントがSNMPマネージャに対してTrapを送信してもSNMPマネージャから確認応答が届かない場合に，trapを再送する機能。

HTTP/2 is run over cleartext TCPの略称で，暗号化されていないHTTP/2のこと

Brand Indicators for Message Identificationの略称で，メールの認証済みドメインにロゴを表示させる仕組みのこと。DMARCと同様に送信側がBIMIレコードをDNSに登録する。なお，送信側が自社ドメインとブランドを紐づけるためには第三者機関が発行する認証マーク証明書（VNC）が必要になる。

Fast IDentity Onlineの略称で，パスワードレス認証を実現するための仕組みのことを指す。主な方式としては端末側で生体認証と公開鍵暗号方式を組み合わせるものが挙げられ，

• 安全性を高めようとすると利便性が低下する
• パスワードを端末に保存・通信・サーバに保存するため漏洩のリスクが高い

というパスワード認証の課題を解決して代替すると言われている。特に後者が大切で，FIFOではシークレット情報を端末に保存せず，認証器に保存する。ただし，外部認証器を使わずにスマホアプリを利用する場合は，結果としてシークレット情報を端末に保存することになる。

FIDO2規格では，

• WebAuthn：端末（Webアプリケーション）とIDP（FIDOサービス）間のプロトコル
• CTAP：端末と外部認証器間のプロトコル

が定められている。CTAPはClient To Authenticator Protocolの略称。FIDO2における認証は大きく登録フェーズと認証フェーズに分けられる。認証フェーズでは，IDPはチャレンジコードを生成し，認証器はUIDと鍵ペア（秘密鍵・公開鍵）を生成する。IDPはチャレンジコードを端末経由で認証器に送り，認証器は送られてきたチャレンジコード・UID・公開鍵を認証器メーカの秘密鍵で署名する。この情報はアステーションと呼ばれ，端末経由でIDPに送られる。IDPはアステーションを認証器メーカの公開鍵で検証し，間違いがなければUIDと公開鍵のペアを保存する。認証フェーズでは，IDPはチャレンジコードを生成して端末経由で認証器に送り，認証器は保存してある秘密鍵でチャレンジコードを署名して端末に返し，端末はその情報をIDP送る。IPDは保存してある公開鍵でチャレンジコードを復号して認証を行う。

違う。FIDOは「パスワードレス認証を実現するための枠組み」のことを指し，生体認証はその具体的な手段に過ぎない。生体認証以外にもハードウェア認証などが利用できる。また，FIDOは認証の枠組みであるため，生体認証が実現する端末側のローカル認証だけでなく，認証サーバ側のオンライン認証も含まれている。ただし，ユーザ目線ではFIDO＝生体認証と見えるため，サービス提供者側はあえてFIDOを生体認証と説明することも多い。

Universal Authentication Frameworkの略称で，ネイティブアプリを想定したFIDOの第一世代。パスワードレス認証の規格である。FIDO2が第二世代。

Universal Second Factorの略称で，ネイティブアプリを想定したFIDOの第一世代。二段階認証の規格である。FIDO2が第二世代。

クラウド版IDP（クラウド上でIDを管理するサービス）

認可サーバーがクライアント（サービス提供者）にアクセストークンを渡すためのプロトコル

認可の仕組みであるOAuthを認証まで拡張したプロトコル

Endpoint Detection and Responseの略称で，端末でセキュリティの脅威を検出するソフトウェアのことを指す

権威DNSサーバーによる管理が及ぶ範囲

• 国や地域を表すTLD：ccTLD（country code TLD）
• 国や地域と関係ないTLD：gTLD（generic TLD）

Authenticated Encryption with Associated Dataの略称で，認証付き暗号のことを指す。TLS1.3ではAEADのみを許可するように変更されたため，例えばAEADではないAES-CBCは禁止された。

Cipher Block Chainingの略称で，平文と直前の暗号文の各ビットをXOR演算した結果に対して暗号化処理を行う方式。解析されにくくなる。

Counter with CBC-MACの略称で，AEADの一つ。

MTA（Mail Transfer Agentの略称でプロキシみたいなもの）とMTAの間，MTAとクライアントの間を暗号化するだけであり，全経路を暗号化する訳ではない。この弱点を克服するため，公開鍵暗号によるPGP（Pretty Good Privacy）を利用できる。

Secure Access Service Edgeの略称で，インターネットの入り口であるエッジでセキュリティを確保するアーキテクチャおよびサービスのことを指す。SASEの中核はSSE（Security Service Edge）と呼ばれ，

• SWG（Secure Web Gateway）：不審な接続を防ぐ
• CASB（Cloud Access Security Broker）：クラウドサービスの利用状況を可視化する
• ZTNA（Zero Trust Network Access）：（社内NWでも）利用者端末の状態を検査してアクセス制御する

Dynamic Spectrum Sharingの略称で，既存の第四世代移動通信システム（4G）のLTEで用いられる周波数の一部を第五世代移動通信システム（5G）と共用する技術のことを指す。

NXDOMAIN（Non-Existent）

Deep Packet Inspectionの略称で，パケットの内容を見て通信を制御する装置。TLS通信の場合には暗号通信の前にドメイン名を伝えるSNI（Server Name Indication）という機能が利用されている。SNIは1つのIPアドレスが割り当てられたサーバで，複数ドメインそれぞれに対して別々のサーバ証明書を発行できる技術である。なお，企業ネットワークでは従業員の端末に証明書のインストールを行うことができるためDPIによるフィルタリングが可能だが，ISPではユーザの端末に証明書のインストールを強制することができないためDPIによるフィルタリングは難しい。