#この翻訳は無保証です。 #訳者代表 春山征吾 (haruyama@unixuser.org) #$Id: rfc2504_nihongo.txt,v 1.1.1.1 2001/09/03 03:51:10 haruyama Exp $ Network Working Group E. Guttman Request for Comments: 2504 Sun Microsystems FYI: 34 L. Leong Category: Informational COLT Internet G. Malkin Bay Networks February 1999 Users' Security Handbook ユーザのためのセキュリティハンドブック Status of this Memo このメモの位置付け This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited. このメモはInternet社会に対して情報を提供する。いかなるInternet標準も 明記してはいない。このメモの配付は制限されていない。 Copyright Notice 著作権に関する注意 Copyright (C) The Internet Society (1999). All Rights Reserved. #訳注: # 日本語に訳された文書に関する著作権は訳者に帰属します。 # 著作権についてはオリジナルに記載された著作権全文に従います。 # 配布についてはオリジナルと同様に無制限です。 Abstract 摘要 The Users' Security Handbook is the companion to the Site Security Handbook (SSH). It is intended to provide users with the information they need to help keep their networks and systems secure. The Users' Security Handbook は the Site Security Handbook (SSH) の 対になっている文書である。 ユーザが彼らのネットワークとシステムの安全に保つのを 助けるのに必要とする情報を提供するのが目的である。 #the Site Security Handbook (SSH) の和訳は #IPAの宮川さんによるものが #http://www.ipa.go.jp/SECURITY/rfc/RFC2196-00JA.html #で公開されています。 Table of Contents 目次 Part One: Introduction . . . . . . . . . . . . . . . . . . . . 2 1. READ.ME . . . . . . . . . . . . . . . . . . . . . . . . . 2 2. The Wires have Ears . . . . . . . . . . . . . . . . . . . 3 Part Two: End-users in a centrally-administered network . . . 4 3. Watch Out! . . . . . . . . . . . . . . . . . . . . . . . 4 3.1. The Dangers of Downloading . . . . . . . . . . . . . . 4 3.2. Don't Get Caught in the Web . . . . . . . . . . . . . . 5 3.3. Email Pitfalls . . . . . . . . . . . . . . . . . . . . 6 3.4. Passwords . . . . . . . . . . . . . . . . . . . . . . . 7 3.5. Viruses and Other Illnesses . . . . . . . . . . . . . . 7 3.6. Modems . . . . . . . . . . . . . . . . . . . . . . . . 8 3.7. Don't Leave Me... . . . . . . . . . . . . . . . . . . . 9 3.8. File Protections . . . . . . . . . . . . . . . . . . . 9 3.9. Encrypt Everything . . . . . . . . . . . . . . . . . . 10 3.10. Shred Everything Else . . . . . . . . . . . . . . . . . 10 3.11. What Program is This, Anyway? . . . . . . . . . . . . . 11 4. Paranoia is Good . . . . . . . . . . . . . . . . . . . . 11 Part Three: End-users self administering a networked computer 14 5. Make Your Own Security Policy . . . . . . . . . . . . . . 14 第一部: 紹介 1. まず最初に。 2. 通信回線には耳がある。 第二部: 中央管理型ネットワークでのエンドユーザ。 3. 注意しよう! 3.1. ダウンロードすることの危険。 3.2. Webで網にかからないように。 3.3. 電子メールの落とし穴。 3.4. パスワード。 3.5. ウィルスや他の病気。 3.6. モデム。 3.7. おいてかないで…。 3.8. ファイルの保護。 3.9. 何でも暗号化しよう。 3.10. 何でも裁断しよう。 3.11. いったい、これは何のプログラム? 4. 偏執狂は良い事だ。 第三部: ネットワークに繋がった計算機を自分で管理するエンドユーザ 5. 自身のセキュリティポリシーを作ろう。 Guttman, et. al. Informational [Page 1] RFC 2504 Users' Security Handbook February 1999 6. Bad Things Happen . . . . . . . . . . . . . . . . . . . . 15 6.1. How to Prepare for the Worst in Advance . . . . . . . . 15 6.2. What To Do if You Suspect Trouble . . . . . . . . . . . 16 6.3. Email . . . . . . . . . . . . . . . . . . . . . . . . . 17 7. Home Alone . . . . . . . . . . . . . . . . . . . . . . . 17 7.1. Beware of Daemons . . . . . . . . . . . . . . . . . . . 17 7.2. Going Places . . . . . . . . . . . . . . . . . . . . . 19 7.3. Secure It! . . . . . . . . . . . . . . . . . . . . . . 20 8. A Final Note . . . . . . . . . . . . . . . . . . . . . . 20 Appendix: Glossary of Security Terms . . . . . . . . . . . . . 21 Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . 31 References . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Security Considerations . . . . . . . . . . . . . . . . . . . 32 Authors' Addresses . . . . . . . . . . . . . . . . . . . . . . 32 Full Copyright Statement . . . . . . . . . . . . . . . . . . . 33 6. 悪い事は起こるものだ。 6.1. どのようにあらかじめ最悪の事態に備えるか。 6.2. もし問題があるなと思ったら何をするか。 6.3. 電子メール。 7. 家にひとりぼっち。 7.1. デーモンに気を付けよう。 7.2. その場に行くこと。 7.3. 安全にしよう! 8. 最後に。 付録: セキュリティ用語集 感謝 参考文献 セキュリティについての考慮 著者の住所・連絡先 著作権についての完全な記述 Part One: Introduction 第一部: 紹介。 This document provides guidance to the end-users of computer systems and networks about what they can do to keep their data and communication private, and their systems and networks secure. Part Two of this document concerns "corporate users" in small, medium and large corporate and campus sites. Part Three of the document addresses users who administer their own computers, such as home users. この文書は、計算機システムやネットワークのエンドユーザにたいして データ・通信の秘密・システムとネットワークの安全を 保つために何ができるかについての手引きを与える。この文書の 第2部は 様々な規模の組織や学校における「共同のユーザ」に 関わっている。 この文書の第3部では ホームユーザの様な彼ら自身の計算機を管理する ユーザについて述べている。 System and network administrators may wish to use this document as the foundation of a site-specific users' security guide; however, they should consult the Site Security Handbook first [RFC2196]. システム・ネットワークの管理者はこの文書をサイト特有のユーザの セキュリティガイドの基礎として使おうと思ってもさしつかえない。 (しかしながら まず the Site Security Handbook [RFC2196]を考慮するべきである。) A glossary of terms is included in an appendix at the end of this document, introducing computer network security notions to those not familiar with them. コンピュータネットワークセキュリティの概念をそれらに親しんでいない人へ 紹介するために この文書の最後の付録に用語集を含めた。 1. READ.ME まず最初に。 Before getting connected to the Internet or any other public network, you should obtain the security policy of the site that you intend to use as your access provider, and read it. A security policy is a formal statement of the rules by which users who are given access to a site's technology and information assets must abide. As a user, you are obliged to follow the policy created by the decision makers and administrators at your site. Internetや他のいかなる公開のネットワークに繋ごうとする前に、 あなたがアクセスするプロバイダとして使おうとしているサイトの セキュリティポリシーを得て、それを読むべきである。 セキュリティポリシーはサイトの技術・情報資源にアクセスするユーザが 守らなければいけないルールの公式な声明書である。 ユーザとして サイトの意志決定者と管理者が作ったポリシー に従う義務があなたにはある。 A security policy exists to protect a site's hardware, software and data. It explains what the security goals of the site are, what users can and cannot do, what to do and who to contact when problems arise, and generally informs users what the "rules of the game" are. セキュリティポリシーはサイトのハードウェアそしてソフトウェア・データを 保護する為に存在する。セキュリティポリシーはサイトのセキュリティの 目標はなにか、ユーザにできることできないこと、問題がおこったとき なにをし誰に接触するか を説明し、 一般にユーザに対し「ゲームのルール」 が何かを知らせる。 Guttman, et. al. Informational [Page 2] RFC 2504 Users' Security Handbook February 1999 2. The Wires have Ears 通信回線には耳がある。 It is a lot easier to eavesdrop on communications over data networks than to tap a telephone conversation. Any link between computers may potentially be insecure, as can any of the computers through which data flows. All information passing over networks may be eavesdropped on, even if you think "No one will care about this..." 電話の会話を盗聴するよりも データネットワーク上の通信を盗み聞くほうが ずっと容易なのだ。 データを流すコンピュータがなんであろうと、 コンピュータ間のどんな接続も潜在的には安全ではないだろう。 たとえあなたが「これについてだれも関心を持たないだろう…」と思っても ネットワーク上を通過するすべての情報が盗み見られうる。 Information passing over a network may be read not only by the intended audience but can be read by others as well. This can happen to personal Email and sensitive information that is accessed via file transfer or the Web. Please refer to the "Don't Get Caught in the Web" and "Email Pitfalls" sections for specific information on protecting your privacy. ネットワーク上を通過する情報は (盗聴する)意図がある人物のみならず そうでない人にとっても同様に読まれうる。 個人的な電子メールや機密扱いの情報が ファイル転送やWebによってアクセスされる可能性がある。 あなたの個人情報を保護するための具体的な情報として 「Webで網にかからないように」や 「電子メールの落とし穴」の節を参照してほしい。 As a user, your utmost concerns should, firstly, be to protect yourself against misuse of your computer account(s) and secondly, to protect your privacy. ユーザとして、 第一に計算機のアカウントの悪用にたいして自身(のアカウント) を守ること、第二にあなたの個人情報を守ることに 最大限の関心を払わねばならない。 Unless precautions are taken, every time you log in over a network, to any network service, your password or confidential information may be stolen. It may then be used to gain illicit access to systems you have access to. In some cases, the consequences are obvious: If someone gains access to your bank account, you might find yourself losing some cash, quickly. What is not so obvious is that services which are not financial in nature may also be abused in rather costly ways. You may be held responsible if your account is misused by someone else! 用心してないでネットワーク越しにログインしていたり なにかネットワークサービスを使っているどんなときにも、 あなたのパスワードや秘密の情報が盗まれているかもしれない。 その時あなたがアクセスしたシステムに不正なアクセスがずっとなされて いたかもしれない。 ある場合には、結果は明白である。だれかがあなたの銀行のアカウント にアクセスしたら、あなたはすぐにお金を失った事を知るだろう。 それほど明白なことではないが、全然財務に関係ないサービスであっても むしろお金のかかる方法で悪用されうる。もしあなたのアカウントが 他人に悪用されたら あなたは責任を負わなければならない! Many network services involve remote log in. A user is prompted for his or her account ID (ie. user name) and password. If this information is sent through the network without encryption, the message can be intercepted and read by others. This is not really an issue when you are logging in to a "dial-in" service where you make a connection via telephone and log in, say to an online service provider, as telephone lines are more difficult to eavesdrop on than Internet communications. 多くのネットワークサービスがリモートログインを伴っている。 ユーザは アカウントID(すなわち ユーザ名) と パスワードを促される。 この情報が暗号化されずにネットワークを通じて送られたなら このメッセージは他人に捕まえられ読まれる可能性がある。 電話を盗聴するのは Internet 通信を盗聴するよりも難しいので あなたが電話で接続し ログインする 、すなわちオンラインサービスプロバイダーと話す、 「ダイヤルイン」サービスにログインしてるときはこれは成り立たない。 The risk is there when you are using programs to log in over a network. Many popular programs used to log in to services or to transfer files (such as telnet and ftp, respectively) send your user name and password and then your data over the network without encrypting them. あなたがネットワーク越しにログインするプログラムを使っているときは 危険があるのだ。 多くの良く使われているプログラムはサービスにログイン したり ファイルを転送するのに(それぞれすなわち telnetとftpである) ネットワーク上で暗号化することなしにユーザ名・パスワード・データを 送っていた。 The precaution commonly taken against password eavesdropping by larger institutions, such as corporations, is to use one-time password systems. 会社のような大きな組織でパスワードの盗聴に対抗する 一般的な警戒法に 使い捨てパスワードシステムの使用がある。 Guttman, et. al. Informational [Page 3] RFC 2504 Users' Security Handbook February 1999 Until recently, it has been far too complicated and expensive for home systems and small businesses to employ secure log in systems. However, an increasing number of products enable this to be done without fancy hardware, using cryptographic techniques. An example of such a technique is Secure Shell [SSH], which is both freely and commercially available for a variety of platforms. Many products (including SSH-based ones) also allow data to be encrypted before it is passed over the network. 最近まで、家でのシステムや小さいビジネスにおいて 安全なログインシステムを 使用する事は、非常に複雑で高くつくものだった。しかしながら、 特別なハードウェアを使う事なしに 暗号技術を用いる事で 安全なログインを可能にする製品がますます増えている。 その技術の一例が Secure Shell [SSH] で、これは様々なプラットホームで 自由にも商業的にも使える。 (SSHに基づくものも含む)多くの製品が同様に データをネットワーク上に流す前にデータを暗号化させる。 訳注:いわゆるSSH2は商業的に使うことをライセンスで禁じている。 lshというSSH2のGPLな実装もある。 Part Two: End-users in a centrally-administered network 第二部: 中央管理型ネットワークでのエンドユーザ。 The following rules of thumb provide a summary of the most important pieces of advice discussed in Part Two of this document: 以下の経験則は この文書の第二部で議論する助言のもっとも重要な部分の まとめである。 - Know who your security point-of-contact is. - あなたのセキュリティ担当者がだれか知っておこう。 - Keep passwords secret at all times. - どんなときもパスワードは秘密にしておこう。 - Use a password-locked screensaver or log out when you leave your desk. - 机から離れるときは パスワードでロックできるスクリーンセーバーを使うか ログアウトしよう。 - Don't let simply anyone have physical access to your computer or your network. - あなたのコンピュータやネットワークに物理的なアクセスをすることが誰にも 簡単にはできないようにしよう。 - Be aware what software you run and very wary of software of unknown origin. Think hard before you execute downloaded software. - あなたが走らせているソフトウェアが何か認識し、知らない起源のソフトウェア に十分気をつけよう。ダウンロードしたソフトウェアを実行するまえに よく考えよう。 - Do not panic. Consult your security point-of-contact, if possible, before spreading alarm. - あわてないで。可能ならば、警告を広めるまえにセキュリティ担当者 に相談しよう。 - Report security problems as soon as possible to your security point-of-contact. - セキュリティ担当者に可能な限り早くセキュリティの問題を報告しよう。 3. Watch Out! 注意しよう! 3.1. The Dangers of Downloading ダウンロードすることの危険。 An ever expanding wealth of free software has become available on the Internet. While this exciting development is one of the most attractive aspects of using public networks, you should also exercise caution. Some files may be dangerous. Downloading poses the single greatest risk. インターネット上で利用できるフリーソフトウェアの資源は 常に増え続けている。 このわくわくさせる発展は公開のネットワークを使うもっとも魅力的な 側面の一つだが一方で警戒もしなければならない。 危険なファイルがあるのだ。 ダウンロードすることは一つの大きな危険を産むのだ。 Be careful to store all downloaded files so that you will remember their (possibly dubious) origin. Do not, for example, mistake a downloaded program for another program just because they have the same name. This is a common tactic to fool users into activating programs they believe to be familiar but could, in fact, be dangerous. あなたがその(ひょっとしたらうたがわしい)起源を覚えているために すべてのダウンロードしたファイルをとっておくのは 注意しなければならない。 たとえば、同じ名前だからといって ダウンロードしたプログラムと 別のプログラムを間違えてはならない。これは、 良く知られているが実際には危険になりうるプログラムを 愚かなユーザに動かさせる一般的な戦術なのだ。 Guttman, et. al. Informational [Page 4] RFC 2504 Users' Security Handbook February 1999 Programs can use the network without making you aware of it. One thing to keep in mind is that if a computer is connected, any program has the capability of using the network, with or without informing you. Say, for example: プログラムはあなたに気づかれることなしにネットワークを使うことがある。 覚えておくべきことの一つとして、もしコンピュータが接続されていれば どんなプログラムも あなたに知らせて もしくは知らせないで ネットワークを 用いることができる、ということがある。例として、 You download a game program from an anonymous FTP server. This appears to be a shoot-em-up game, but unbeknownst to you, it transfers all your files, one by one, over the Internet to a cracker's machine! あなたは匿名FTPサーバからゲームのプログラムをダウンロードする。 これは撃ち合いゲームのようにみえるが、あなたに知らせることなしに あなたのマシンの全てのファイルを一つずつ インターネットと通じて クラッカーのマシンに転送する。 #訳注:shoot-em-up 射ち合い, 流血場面の多い映画[テレビ] #ヴァーチャコップとかDOOMとか #デスクリムゾンのようなゲームのことだろう。(春山) Many corporate environments explicitly prohibit the downloading and running of software from the Internet. 多くの共同に利用される環境では、インターネットからソフトウェアを ダウンロードし走らせるのを明示的に禁止している。 3.2. Don't Get Caught in the Web Webで網にかからないように。 The greatest risk when web browsing is downloading files. Web browsers allow any file to be retrieved from the Internet. See "The Dangers of Downloading". Webを閲覧している際の最大の危険はファイルをダウンロードすることである。 Webブラウザはインターネットからどんなファイルも取ってくることができる。 「ダウンロードすることの危険」を参照のこと。 Web browsers are downloading files even when it is not entirely obvious. Thus, the risk posed by downloading files may be present even if you do not actively go out and retrieve files overtly. Any file which you have loaded over the network should be considered possibly dangerous (even files in the web browser's cache). Do not execute them by accident, as they may be malicious programs. (Remember, programs are files, too. You may believe you have downloaded a text file, when in fact it is a Trojan Horse program, script, etc.) 完全に明らかではない場合にもWebブラウザはファイルをダウンロード している。 すなわち、公然とWebに出て行ってファイルを取って来ていなくても ファイルをダウンロードすることから生じる危険があるのだ。 ネットワーク越しに持って来たいかなるファイルもひょっとしたら 危険であると 見なすべきである (Webブラウザのキャッシュ中のファイルでさえも) 。 それらは悪意のあるプログラムかもしれないので、 うっかり実行してはならない。 ( プログラムもファイルであることを覚えておいてほしい。 テキストファイル だとおもってダウンロードしたファイルが 実際には トロイの木馬プログラム だったり スクリプトだったり … するかもしれない。) Web browsers may download and execute programs on your behalf, either automatically or after manual intervention. You may disable these features. If you leave them enabled, be sure that you understand the consequences. You should read the security guide which accompanies your web browser as well as the security policy of your company. You should be aware that downloaded programs may be risky to execute on your machine. See "What program is this, anyway?". Webブラウザは 自動的ないし手動操作のあとに あなたのかわりに プログラムをダウンロードし実行するようにできる。あなたはこれらの特徴を 無効にしたほうが良い。 もし有効にしたままにするならば その重要性を理解しなければならない。あなた属する集団の セキュリティポリシーと同じく、Webブラウザについて来る セキュリティガイドを読むべきである。 ダウンロードされたプログラムがあなたのマシン上で実行されることが 危険であることを認識しなければならない。 「いったい、これは何のプログラム?」を参照のこと。 Web pages often include forms. Be aware that, as with Email, data sent from a web browser to a web server is not secure. Several mechanisms have been created to prevent this, most notably Secure Sockets Layer [SSL]. This facility has been built into many web browsers. It encrypts data sent between the user's web browser and the web server so no one along the way can read it. Web頁はしばしばフォームを含んでいる。電子メールを使った場合のように、 WebブラウザからWebサーバに送られるデータは安全でないことを 認識しなければならない。 これを防ぐためにいくつかのメカニズムが つくられていて、 なかでも特筆すべきは Secure Sockets Layer [SSL] である。 この技術は多くのWebブラウザに実装されている。これは ユーザのWebブラウザとWebサーバの間を送るデータを 途中でだれも読めないように暗号化する。 It is possible that a web page will appear to be genuine, but is, in fact, a forgery. It is easy to copy the appearance of a genuine web page and possible to subvert the network protocols which contact the desired web server, to misdirect a web browser to an imposter. あるWeb頁が本物のようにみえて実際には偽物である可能性がある。 本物のWeb頁の見かけを真似することは容易で、望むWebサーバに 接続するネットワークプロトコル(手続)を破壊し Webブラウザを 詐欺師(訳注: にせの頁のこと)に向けさせることは可能である。 Guttman, et. al. Informational [Page 5] RFC 2504 Users' Security Handbook February 1999 That threat may be guarded against using SSL to verify if a web page is genuine. When a 'secure' page has been downloaded, the web browser's 'lock' or 'key' will indicate so. It is good to double-check this: View the 'certificate' associated with the web page you have accessed. Each web browser has a different way to do this. The certificate will list the certificate's owner and who issued it. If these look trustworthy, you are probably OK. SSLを用いてWeb頁が本物であるか確かめることでそのような脅威は防ぐこと ができる。 '安全な'ページをダウンロードした時、Webブラウザの '錠'や'鍵'がそれを示す。これをダブルクリックして… アクセスしたWeb頁に関連した'証明書'を見る(表示させる) のはよいことだ。 Webブラウザはそれぞれ異なる方法でこれを実行する。 #訳注: 一部の視覚系ブラウザにしか通用しない表現で書かれている。 証明書は証明書のオーナーと発行者を提示する。 これらが信頼に値するようにみえるなら、おそらく問題はないだろう。 3.3 Email Pitfalls 電子メールの落とし穴。 All the normal concerns apply to messages received via Email that you could receive any other way. For example, the sender may not be who he or she claims to be. If Email security software is not used, it is very difficult to determine for sure who sent a message. This means that Email itself is a not a suitable way to conduct many types of business. It is very easy to forge an Email message to make it appear to have come from anyone. なんらかの方法で受け取った電子メールによって もたらされたメッセージに、すべての一般的な配慮が適用される。 たとえば、送り主は 彼ないし 彼女と主張している人物とは違うかもしれない。 もし 電子メールセキュリティソフトウェアを用いてなければ、 誰がメッセージを送ったのか はっきり決めるのは非常に難しい。これは、 多くのビジネスにおいて、電子メールがそれを処理するのに適した手段 ではないということを意味している。 電子メールの発信者を誰かに見せかけるよう偽造するのは 非常に容易である。 Another security issue you should consider when using Email is privacy. Email passes through the Internet from computer to computer. As the message moves between computers, and indeed as it sits in a user's mailbox waiting to be read, it is potentially visible to others. For this reason, it is wise to think twice before sending confidential or extremely personal information via Email. You should never send credit card numbers and other sensitive data via unprotected Email. Please refer to "The Wires Have Ears". 電子メールを使う際に考慮すべき別のセキュリティの問題は プライバシー(個人の秘密)である。電子メールは計算機から計算機へと インターネットを通過する。計算機間を移動する(電子メール)メッセージと 同じように ユーザのメールボックスにはいって読まれるのを待っている メッセージも 潜在的に誰かに見られる可能性がある。このため、 電子メールで機密の情報や非常に個人的な情報を送る前には 考え直すのが賢い。クレジットカードの番号や他の微妙なデータは 保護されていない電子メールで決して送ってはならない。 「電線には耳がある」を参照のこと。 To cope with this problem, there are privacy programs available, some of which are integrated into Email packages. この問題に対抗するため、プライバシープログラムがあり、 その内のいくつかは 電子メール(プログラム)のパッケージに組み込まれている。 One service many Email users like to use is Email forwarding. This should be used very cautiously. Imagine the following scenario: 多くの電子メールユーザが好んで用いているサービスに電子メールの 転送がある。このサービスは非常に慎重に用いるべきである。 次の筋書を想像してみよう: A user has an account with a private Internet Service Provider and wishes to receive all her Email there. She sets it up so that her Email at work is forwarded to her private address. All the Email she would receive at work then moves across the Internet until it reaches her private account. All along the way, the Email is vulnerable to being read. A sensitive Email message sent to her at work could be read by a network snoop at any of the many stops along the way the Email takes. あるユーザが個人インターネットサービスプロバイダにアカウントを 持っていて そこで彼女の全てのメッセージを受け取りたいと思っている。 彼女は仕事の電子メールをプライベートなアドレスに転送するように 設定する。 彼女が仕事で受け取る全ての電子メールは彼女のプライベートな アカウントに届くまでインターネット上を移動するのだ。あらゆる段階で 電子メールを読まれる弱点がある。 彼女に仕事で送られた微妙な電子メールの メッセージが 電子メールが届くまでの多くの段階のどこかで ネットワークを詮索している者に読まれるかもしれない。 Note that Email sent or received at work may not be private. Check with your employer, as employers may (in some instances) legally both read your Email and make use of it. The legal status of Email depends on the privacy of information laws in force in each country. 仕事で送ったり受け取ったりする電子メールは プライベートな物ではないことに注意しよう。 雇用者は幾つかの場合では合法的にあなたの電子メールを読み それを使う事ができるので あなたの雇用者に問い合わせよう。 電子メールの法律上の地位はそれぞれの国での有効な情報のプライバシーの 法律に依存している。 Guttman, et. al. Informational [Page 6] RFC 2504 Users' Security Handbook February 1999 Many mail programs allow files to be included in Email messages. The files which come by Email are files like any other. Any way in which a file can find its way onto a computer is possibly dangerous. If the attached file is merely a text message, fine. But it may be more than a text message. If the attached file is itself a program or an executable script, extreme caution should be applied before running it. See the section entitled "The Dangers of Downloading". 多くのメールプログラムは電子メールのメッセージ中にファイルを含める ことができる。電子メールについて来たファイルも他のファイルと同じ ようにファイルである。 ファイルが計算機に見つけうるどのような方法も危険になりうる。 添付されたファイルが単なるテキストのメッセージであれば、 結構なことである。 しかしそれは単なるテキストのメッセージではないかもしれない。 添付された差入るがそれ自体でプログラムだったり、実行可能なスクリプト だったりしたなら、それを走らせるより前に十分注意しなければならない。 「ダウンロードすることの危険」の節を参照のこと。 # Any way …の文はうまく訳せない。 3.4 Passwords パスワード。 Passwords may be easily guessed by an intruder unless precautions are taken. Your password should contain a mixture of numbers, upper and lower case letters, and punctuation. Avoid all real words in any language, or combinations of words, license plate numbers, names and so on. The best password is a made-up sequence (e.g., an acronym from a phrase you won't forget), such as "2B*Rnot2B" (but don't use this password!). もし警戒されていなかったら、 パスワードは侵入者に容易に見当をつけられる。 パスワードは数字と大文字小文字が混ぜてあるべきである。なにかの言語に 実際にあるすべての単語や語の組合せ、免許の番号、名前などなどは 避けなければならない。非常によいパスワードは人工的な(文字の)連なりで (たとえば あなたが 忘れないであろう成句の頭文字) で 「2B*Rnot2B」 のようなものである (しかし このパスワードは使わないように!」 Resist the temptation to write your password down. If you do, keep it with you until you remember it, then shred it! NEVER leave a password taped onto a terminal or written on a whiteboard. You wouldn't write your PIN code on your automated teller machine (ATM) card, would you? You should have different passwords for different accounts, but not so many passwords that you can't remember them. You should change your passwords periodically. あなたのパスワードを書き留めておく誘惑には抵抗しなければならない。 もしそうしたなら、あなたが覚えるまで持っていて、そして裁断しよう。 『決して』 パスワードを端末の上にはったままにしたり、ホワイトボードに 書いたままにしてはならない。ATMの暗証番号を書き留めておかないでしょ? 別のアカウントに対しては別のパスワードを持つべきだが、 あなたが覚えていられないほどの多くのパスワードを持つことはない。 パスワードは定期的に変更すべきである。 ####PIN =personal identification number、暗証番号、個人識別番号、ピン You should also NEVER save passwords in scripts or login procedures as these could be used by anyone who has access to your machine. あなたの計算機にアクセスしただれかが使ったりするかもしれないから スクリプトやログイン手続の中にパスワードを残すのも『決して』 行ってはならない。 Be certain that you are really logging into your system. Just because a login prompt appears and asks you for your password does not mean you should enter it. Avoid unusual login prompts and immediately report them to your security point-of-contact. If you notice anything strange upon logging in, change your password. システムに本当にログインしているか確かにしなければならない。 なぜならログインプロンプトが現われ、あなたにパスワードを聞いて来ても それがあなたが入るべきということを意味しないからである。 普通じゃないログインプロンプトは避けて、あなたのセキュリティ担当者に すぐにそれを知らせよう。もしログインしてなにかおかしなことに気がついたら パスワードを変えよう。 ##すぐに変更することが対処になるかはわからない。(春山) Unless precautions have been taken to encrypt your password when it is sent over the network, you should, if possible, use "one-time passwords" whenever you log in to a system over a network. (Some applications take care of that for you.) See "The Wires Have Ears" for more information on the risks associated with logging in over a network. もしパスワードをネットワーク上で送る時暗号化して警戒をしていなかったのなら これからはするべきである。可能ならば、ネットワーク越しにシステムに ログインするときはいつでも「one-time passwords(使い捨てパスワード」 をしようするべきである。(いくつかのアプリケーションはこれに対応している。) ネットワーク越しにログインする際に関連する危険についての より多くの情報については「電線には耳がある」を参照のこと。 3.5 Viruses and Other Illnesses ウィルスや他の病気。 ##病気ってのもなんですかな? Viruses are essentially unwanted pieces of software that find their way onto a computer. What the virus may do once it has entered its host, depends on several factors: What has the virus been programmed to do? What part of the computer system has the virus attacked? (訳注: コンピュータ)ウィルスは、 計算機上で方法を見つけるソフトウェアの本質的に望まれない 部分である。いったん入ったホストでウィルスが何をするかは、 様々な因子に依存する: ウィルスが何をする為に プログラミングされているか? 計算機システムのどの部分にウィルスは攻撃するか? Guttman, et. al. Informational [Page 7] RFC 2504 Users' Security Handbook February 1999 Some viruses are 'time bombs' which activate only when given a particular condition, such as reaching a certain date. Others remain latent in the system until a particular afflicted program is activated. There are still others which are continually active, exploiting every opportunity to do mischief. A subtle virus may simply modify a system's configuration, then hide. ウィルスには特定の条件 たとえばある日時に達した時 が与えられた 場合のみ活動する '時限爆弾'もある。 他に、特定の悩ましいプログラムが 動くまでシステムの中に潜んでいるものもある。ずっと立ち上がっていて、 いたずらする全ての機会を活かしているものもある。ずるいウィルスは 単純にシステムの設定を変更して、そして隠れてしまう。 Be cautious about what software you install on your system. Use software from "trusted sources", if possible. Check your site policy before installing any software: Some sites only allow administrators to install software to avoid security and system maintenance problems. システムにあなたがインストールするソフトウェアが何か注意しなければならない。 「信用できるソース」からのソフトウェアを用いよう。もし可能なら、 どんなソフトウェアをインストールする前に あなたのサイトのポリシーを 調べよう。セキュリティやシステム維持の問題を避けるため管理者にしか ソフトウェアのインストールを許していないサイトがある。 Centrally-administered sites have their own policy and tools for dealing with the threat of viruses. Consult your site policy or find out from your systems administrator what the correct procedures are to stay virus free. 中央管理型のサイトはウィルスの脅威に対処するため、ポリシーとツールを 持っている。あなたのサイトのポリシーを調べるか、 ウィルスがまだいないときどうするのが正しい手続きなのか システムの管理者から聞き出しておこう。 You should report it if a virus detection tool indicates that your system has a problem. You should notify your site's systems administrators as well as the person you believe passed the virus to you. It is important to remain calm. Virus scares may cause more delay and confusion than an actual virus outbreak. Before announcing the virus widely, make sure you verify its presence using a virus detection tool, if possible, with the assistance of technically-competent personnel. もしウィルス検出ツールがあなたのシステムに問題があることを 指摘したら、それを報告しよう。サイトのシステム管理者と同様に あなたにウィルスをよこしたと思われる人物にも知らせるべきである。 重要なのは冷静を保つことだ。ウィルスの恐怖は、実際のウィルスの蔓延よりも (情報伝達の)遅れや混乱によってより起こりやすい。広くウィルスの存在を 告知する前に、可能ならば技術的に能力のある人物との助けを得て、 ウィルス検出ツールを使って現状を確認しよう。 Trojan Horse programs and worms are often categorized with viruses. Trojan Horse programs are dealt with in the "What Program is This, Anyway?" section. For the purposes of this section, worms should be considered a type of virus. トロイの木馬プログラムやワームはしばしばウィルスに分類される。 トロイの木馬については「いったい、これは何のプログラム」の節で 扱っている。この節の目的としては、ワームはウィルスの一種と 見なすべきである。 3.6 Modems モデム。 You should be careful when attaching anything to your computer, and especially any equipment which allows data to flow. You should get permission before you connect anything to your computer in a centrally-administered computing environment. コンピュータに接続するもの全て、とくにデータを流す 装置をつけるときは注意すべきである。中央管理型の計算機環境の中にある 計算機に何か接続する前に許可を得なければならない。 Modems present a special security risk. Many networks are protected by a set of precautions designed to prevent a frontal assault from public networks. If your computer is attached to such a network, you must exercise care when also using a modem. It is quite possible to use the modem to connect to a remote network while *still* being connected to the 'secure' net. Your computer can now act as a hole in your network's defenses. Unauthorized users may be able to get onto your organization's network through your computer! モデムには特別なセキュリティの危険がある。多くのネットワークは 公開のネットワークからの正面からの強襲を防ぐようにデザインされた 警戒によって保護されている。もしそのようなネットワークにあなたの 計算機が接続されているなら、モデムを使う際にも注意を払わねば ならない。'安全な'ネットに接続した*まま* 離れたネットワークに モデムを用いて接続することは可能である。いまやあなたの計算機が ネットワーク防御の穴となっている可能性がある。 認証されないユーザがあなたの計算機を通じて組織のネットワークに 入る事が可能になっているかも! Guttman, et. al. Informational [Page 8] RFC 2504 Users' Security Handbook February 1999 Be sure you know what you are doing if you leave a modem on and set up your computer to allow remote computers to dial in. Be sure you use all available security features correctly. Many modems answer calls by default. You should turn auto-answer off unless you are prepared to have your computer respond to callers. Some 'remote access' software requires this. Be sure to turn on all the security features of your 'remote access' software before allowing your computer to be accessed by phone. モデムの電源をいれっぱなしにして、離れた計算機からのダイヤルインを 許すように計算機を設定したなら、何をしているのかちゃんと理解してなければ ならない。利用できるすべてのセキュリティに関する特徴を正しく使わなければ ならない。多くのモデムはデフォルトで呼出に答える。もし計算機を 呼び出しに反応する準備がされていないのなら、自動応答を切っておくべきである。 いくつかの'リモートアクセス' ソフトウェア はこうしておくことを 必要とする。電話による接続をあなたの計算機に許す前に 'リモートアクセス' ソフトウェア の全てのセキュリティに関する特徴を 設定しなければならない。 Note that having an unlisted number will not protect you from someone breaking into your computer via a phone line. It is very easy to probe many phone lines to detect modems and then launch attacks. (訳注:電話帳などに載っていない)公開していない電話番号を使うことは、 電話による計算機への侵入を防ぐことにはならない。モデムを検出するために 多くの電話線をしらべて そして攻撃を始めるのは非常に容易である。 3.7 Don't Leave Me... おいてかないで…。 Do not leave a terminal or computer logged in and walk away. Use password-locked screensavers whenever possible. These can be set up so that they activate after the computer has been idle for a while. 端末や計算機にログインしたまま立ち去ってはならない。可能な場合いつでも パスワードでロックできるスクリーンセーバーを使おう。 これらのスクリーンセーバーは暫くの間計算機を使わなかったあとで また活動させるように設定することができる。 Sinister as it may seem, someone coming around to erase your work is not uncommon. If you remained logged in, anyone can come by and perform mischief for which you may be held accountable. For example, imagine the trouble you could be in for if nasty Email were sent to the president of your company in your name, or your account were used to transfer illegal pornography. 都合が悪いようにみえるが、あなたの仕事を消しに誰かがまわりにやってくる のは珍しいことではない。もしあなたがログインしたままだったら、誰かが 近寄って、あなたがまだ責任あるようにみえるように 悪戯をすることができる。 #席を離れていないようにみえる… たとえば、それによって 卑劣な電子メールをあなたの名前で会社の社長に 送られたり、あなたのアカウントが非合法のポルノの転送に使われるといった ことを想像してみよう。 Anyone who can gain physical access to your computer can almost certainly break into it. Therefore, be cautious regarding who you allow access to your machine. If physically securing your machine is not possible, it is wise to encrypt your data files kept on your local hard disk. If possible, it is also wise to lock the door to one's office where the computer is stored. あなたの計算機に物理的にアクセスできる人はだれでも計算機に 侵入することができる。それゆえ、あなたの計算機にアクセスを許す人について 注意しなければならない。もし物理的にあなたの計算機を安全にすることが できないのなら、ローカルなハードディスクにあるデータファイルを 暗号化するのが賢い。可能ならば、計算機が置いてある部屋のドアに 鍵を書けておくのも賢い。 3.8 File Protections ファイルの保護。 Data files and directories on shared systems or networked file systems require care and maintenance. There are two categories of such systems: 共有システム上ないしはネットワークファイルシステム上のデータファイルや ディレクトリには配慮と保全が必要である。それらのシステムには 2種類ある: - Files to share 共有されるファイル。 Shared files may be visible to everyone or to a restricted group of other users. Each system has a different way of specifying this. Learn how to control sharing permissions of files and implement such control without fail. 共有されるファイルは(ユーザ)全員や他のユーザからなる限定された グループから見れる。システムはそれぞれのやりかたでそれを指定する。 ファイルの共有する許可の管理の仕方と間違いなくその管理を実行する 方法を学ばなければならない。 Guttman, et. al. Informational [Page 9] RFC 2504 Users' Security Handbook February 1999 - Protected files 保護されたファイル These include files that only you should have access to, but which are also available to anyone with system administrator privileges. An example of this are files associated with the delivery of Email. You don't want other users to read your Email, so make sure such files have all the necessary file permissions set accordingly. 共有されるファイルの中にはあなただけがアクセスすべきファイルもある。 しかしシステム管理者特権を持つ誰かにもアクセスできてしまう。 電子メールの配送に関連するファイルはこの一つの例である。 あなたが他のユーザに自分の電子メールを読んで欲しくないなら、 それに応じてそれらのファイルに全ての必要なアクセス許可を 設定しなければならない。 3.9 Encrypt Everything なんでも暗号化しよう。 Additionally, there are files that are private. You may have files which you do not wish anyone else to have access to. In this case, it is prudent to encrypt the file. This way, even if your network is broken into or the systems administrator turns into Mr. Hyde, your confidential information will not be available. Encryption is also very important if you share a computer. For example, a home computer may be shared by room mates who are friends but prefer to keep their Email and financial information private. Encryption allows for shared yet private usage. その上、個人的なファイルが存在する。そのファイルは 他の誰からもアクセスして欲しくないとあなたは思っている。この場合、 ファイルを暗号化しておくのが用心深い。このとき、ネットワークに 侵入されたり、システム管理者が(訳注:ジギルとハイドの)ハイド氏に なってしまったとしても、あなたの秘密の情報を見る事はできない。 もしあなたがたが計算機を共有する場合にも暗号化は非常に重要である。 たとえば、友達だけど電子メールや財務情報を内密にしておきたい 同室の人と部屋のコンピュータを共有するとする。暗号化することで 共有しさらに秘密にすることができる。 Before you encrypt files, you should check your site's security policy. Some employers and countries expressly forbid or restrict the storing and/or transferring of encrypted files. ファイルを暗号化する前に。サイトのセキュリティポリシーを調べる べきである。いくつかの雇用者や国は暗号化されたファイルの 記憶ないし転送、そしてその両方を明白に禁止したり制限している。 Be careful with the passwords or keys you use to encrypt files. Locking them away safely not only helps to keep them from prying eyes but it will help you keep them secure too; for if you lose them, you will lose your ability to decrypt your data as well! It may be wise to save more than one copy. This may even be required, if your company has a key escrow policy, for example. This protects against the possibility that the only person knowing a pass phrase may leave the company or be struck by lightning. あなたがファイルを暗号化する時に用いたパスワードや鍵には 気をつけなければならない。鍵やパスワードを安全にしまって置く事は のぞき屋からそれらを守るが、あなたからも安全に守る。 というのはもしなくしたら、あなたはデータを復号化することも できなくなってしまうのだ。それらを一つ以上コピーしておく事は 賢いかもしれない。それが必要な場合さえある、たとえば 鍵の証明書のポリシーを採用している場合など。 パスフレーズを知る唯一の人物が会社を去ったり雷に打たれたり する可能性に対する防御になる。 Whilst encryption programs are readily available, it should be noted that the quality can vary widely. PGP (which stands for "Pretty Good Privacy") for example, offers a strong encryption capability. Many common software applications include the capability to encrypt data. The encryption facilities in these are typically very weak. プログラムの暗号化は容易である一方、その質も広く変えられることも 注意されるべきだろう。 たとえば PGP( 「Pretty Good Privacy」 かなりよりプライバシー" を意味する) は 強力な暗号化機能を提供する。 多くの一般的なソフトウェアがデータを暗号化する能力をもっている。 このようなものに含まれる暗号化機能は典型的には非常に弱い。 You should not be intimidated by encryption software. Easy-to-use software is being made available. 暗号ソフトウェアを恐がるべきではない。簡単に使えるソフトウェアが 作られている。 3.10 Shred Everything Else なんでも裁断しよう。 You would be surprised what gets thrown away into the waste-paper basket: notes from meetings, old schedules, internal phone lists, computer program listings, correspondence with customers and even Guttman, et. al. Informational [Page 10] RFC 2504 Users' Security Handbook February 1999 market analyses. All of these would be very valuable to competitors, recruiters and even an overzealous (hungry?) journalist looking for a scoop. The threat of dumpster diving is real - take it seriously! Shred all potentially useful documents before discarding them. 紙用のゴミ箱に投げ込まれるものに驚くかもしれない。 ミーティングの覚書、古いスケジュール、内線電話番号の表、 計算機のプログラムのリスト、 顧客との書状や市場分析。 競争相手や転職者(リクルーター)や 特ダネを探している熱心な(飢えている?)ジャーナリストにとって これらのすべては非常に価値のあるものである。dumpster divingの 脅威は現実だ--真剣に! 全ての潜在的に有用な文書は捨てる前に 裁断しよう。 ##dumpster diving... Jargon fileを参照のこと You should also be aware that deleting a file does not erase it in many cases. The only way to be sure that an old hard disk does not contain valuable data may be to reformat it. 多くの場合ファイルの削除は(訳注:本当に)消し去っていないことがある ことも注意すべきである。古いハードディスクが意味のあるデータを 確かに持たないようにする唯一の方法はそれを 再フォーマットすることだろう。 #(訳注:フォーマットするだけでは不充分である場合もある。) 3.11 What Program is This, Anyway? いったい、これは何のプログラム? Programs have become much more complex in recent years. They are often extensible in ways which may be dangerous. These extensions make applications more flexible, powerful and customizable. They also open the end-user up to all sorts of risks. プログラムは近年ますます複雑になってきている。危険な使い方まで できるものがしばしばある。この拡張性がアプリケーションをより しなやかに力強く、自分にあわせてあつらえやすくする。しかし この拡張性はエンドユーザに対してあらゆる種類の危険も提供してしまう。 - A program may have "plug-in" modules. You should not trust the plug-ins simply because you are used to trusting the programs they plug into. For example: Some web pages suggest that the user download a plug-in to view or use some portion of the web page's content. Consider: What is this plug-in? Who wrote it? Is it safe to include it in your web browser? - プログラムの中には「プラグイン」モジュールをもつことができる物がある。 プラグインをいれるプログラムをいつも信頼しているからといって 単純にプラグインを信用するべきではない。たとえば、Web頁には その内容の一部を見たり使ったりするためにプラグインをユーザに ダウンロードするよう勧めるものがある。ここで考えよう: このプラグインは何? 誰が書いたの? Webブラウザの中にいれても 安全? と。 - Some files are "compound documents". This means that instead of using one single program, it will be necessary to run several programs in order to view or edit a document. Again, be careful of downloading application components. Just because they integrate with products which are well-known does not mean that they can be trusted. Say, you receive an Email message which can only be read if you download a special component. This component could be a nasty program which wipes out your hard drive! 「組み合わされた文書」になっているファイルがある。これは、 ドキュメントを見たり編集するためにある一つの プログラムを使うかわりに、 複数のプログラムを実行する必要がある ということを意味している。 繰り返すが、アプリケーションのコンポーネント をダウンロードするときは気をつけよう。 #### それらは よく知られているように信用できるかどうか意味しない ### well-knownはどこにかかるのやら。 製品を組み合わせたものだから。考えてごらん、特別なコンポーネント をダウンロードしなければ読む事のできない電子メールのメッセージを 受け取る。そのコンポーネントはあなたのハードドライブのデータを きれいに消し去ってしまういやなプログラムかもしれない。 - Some programs are downloaded automatically when accessing web pages. While there are some safeguards to make sure that these programs may be used safely, there have been security flaws discovered in the past. For this reason, some centrally- administered sites require that certain web browser capabilities be turned off. - Web頁にアクセスしているとき自動的にダウンロードされるプログラムが ある。それらのプログラムが安全に使われるよう確かめる安全装置がある 一方、過去にみつかったセキュリティの欠点があるかもしれない。このため、 中央管理型のサイトの中には Webブラウザの能力を制限する必要があるものもある。 4. Paranoia is Good 偏執狂は良い事だ。 Many people do not realize it, but social engineering is a tool which many intruders use to gain access to computer systems. The general impression that people have of computer break-ins is that they are the result of technical flaws in computer systems which the intruders have exploited. People also tend to think that break-ins are purely technical. However, the truth is that social engineering plays a big Guttman, et. al. Informational [Page 11] RFC 2504 Users' Security Handbook February 1999 part in helping an attacker slip through security barriers. This often proves to be an easy stepping-stone onto the protected system if the attacker has no authorized access to the system at all. 多くの人は気づいていないが、計算機システムにアクセスしようとする 多くの侵入者にとって社会工学は 道具になっている。計算機に侵入された 人が持つ一般的な印象は 侵入されたのは 侵入者が食い物にした計算機システムの技術的な欠点の結果である。 というものである。人々は侵入されたのは純粋に技術的なものであると 思いがちである。しかしながら、セキュリティ障壁を 通り抜ける攻撃者を助ける大きな役割を社会工学が担っている、というのが 事実である。攻撃者がシステムに決して正当でないアクセスをできない 保護されたシステム容易な踏み石になることで これはしばしば確かめられる。 %%% Social engineering may be defined, in this context, as the act of gaining the trust of legitimate computer users to the point where they reveal system secrets or help someone, unintentionally, to gain unauthorized access to their system(s). Using social engineering, an attacker may gain valuable information and/or assistance that could help break through security barriers with ease. Skillful social engineers can appear to be genuine but are really full of deceit. この文書では、社会工学を システムの秘密を明らかにしたり、意図せずにシステムに正当でない アクセスをする誰かを助けてしまうような点で正当な計算機のユーザの信頼 を得るための行為 と定義する。社会工学を使う事で、攻撃者は容易に セキュリティ防護を通りぬけるのを助ける有用な情報 かつ/ないし 手助け を 得ることができるかもしれない。技術を持った 社会工学者は本物に見えるが、実際は詐欺の固まりである。 Most of the time, attackers using social enginering work via telephone. This not only provides a shield for the attacker by protecting his or her identity, it also makes the job easier because the attacker can claim to be a particular someone with more chances of getting away with it. だいたいの場合、社会工学を使う攻撃者は電話経由で働く。 これは 攻撃者にとって 自分の正体を保護する盾になるだけでなく、 攻撃者は 特定のだれかだと主張できることでより多くの機会にうまく成功するので 、仕事がやりやすくなる。 There are several types of social engineering. Here are a few examples of the more commonly-used ones: 社会工学にはいくつかの種類がある。よく使われるものについて いくつか例をあげる。 - An attacker may pretend to be a legitimate end-user who is new to the system or is simply not very good with computers. This attacker may approach systems administrators and other end-users for help. This "user" may have lost his password, or simply can't get logged into the system and needs to access the system urgently. Attackers have also been known to identify themselves as some VIP in the company, screaming at administrators to get what they want. In such cases, the administrator (or it could be an end-user) may feel threatened by the caller's authority and give in to the demands. 攻撃者は システムに新しく入った ないしは 単に計算機について非常によくは 知らない真っ当なエンドユーザのように振舞う。この攻撃者はシステム管理者や 他のエンドユーザに助けを求めて接近する。この「ユーザ」はパスワードを 失っている とか 単にシステムにログインすることができなくて、 緊急にシステムにアクセスする必要がある。攻撃者は自分を会社の 重要人物の誰かのように名乗っていることも知られていて 管理者たちに欲しがっているものを手にいれるよう叫ぶ。 このような場合、管理者(もしくはエンドユーザかもしれない) は 訪問者の権威に恐れを感じて、要求を飲んでしまう。 - Attackers who operate via telephone calls may never even have seen the screen display on your system before. In such cases, the trick attackers use is to make details vague, and get the user to reveal more information on the system. The attacker may sound really lost so as to make the user feel that he is helping a damsel in distress. Often, this makes people go out their way to help. The user may then reveal secrets when he is off-guard. - 電話経由で操作する攻撃者は以前にあなたのシステムのディスプレイを まったく見ていないことさえあるのだ。この様な場合、攻撃者の取る 策略は 細部は曖昧にしてシステムのより多くの情報をユーザから明らかに しようとする。攻撃者は ユーザが悲痛にくれた少女を助けているかのように 思わせるよう本当に放心しているかのように見せかける。しばしば、 人々は助けるために道を踏み外してしまう。ユーザは無防備になって 秘密を明らかにしてしまうかもしれない。 - An attacker may also take advantage of system problems that have come to his attention. Offering help to a user is an effective way to gain the user's trust. A user who is frustrated with problems he is facing will be more than happy when someone comes to offer some help. The attacker may come disguised as the systems administrator or maintenance technician. This attacker will often gain valuable information because the user thinks that it is alright to reveal secrets to technicians. Site visits may Guttman, et. al. Informational [Page 12] RFC 2504 Users' Security Handbook February 1999 pose a greater risk to the attacker as he may not be able to make an easy and quick get-away, but the risk may bring fruitful returns if the attacker is allowed direct access to the system by the naive user. 攻撃者は 彼が注意を向けているシステムの問題から利益を得ている ことがある。ユーザに助力の手を差し延べるのはそのユーザの信頼を 得るのに効果的である。直面している問題にくじけているユーザは 誰かが助けを差し延べてくれたとき非常に嬉しくなるだろう。 攻撃者は システム管理者やメンテナンスの技術者のように装う。 ユーザは技術者に秘密を明かしても問題ないと考えているので この攻撃者はしばしば有用な情報を得る事ができる。 簡単に早くにげることが不可能になりうるので サイトに滞在することは攻撃者にとって大きな危険が生じるが もしうぶなユーザによってシステムに攻撃者が直接アクセスできるようになれば この危険は実のある結果をもたらす。 - Sometimes, attackers can gain access into a system without prior knowledge of any system secret nor terminal access. In the same way that one should not carry someone else's bags through Customs, no user should key in commands on someone's behalf. Beware of attackers who use users as their own remotely-controlled fingers to type commands on the user's keyboard that the user does not understand, commands which may harm the system. These attackers will exploit system software bugs and loopholes even without direct access to the system. The commands keyed in by the end-user may bring harm to the system, open his own account up for access to the attacker or create a hole to allow the attacker entry (at some later time) into the system. If you are not sure of the commands you have been asked to key in, do not simply follow instructions. You never know what and where these could lead to... - 時には、攻撃者は システムの秘密や端末へのアクセスといった重要な 知識なしにシステムにアクセスできる。他人のバッグをもって 税関を通らないように、ユーザは他の人のためにコマンドを 打つべきではない。 遠隔操作されているかのような指によって理解していないコマンドを 打ち込んたり、システムに害をなすかもしれないコマンドを打ち込む ユーザを使う攻撃者に注意をしなければならない。 このような攻撃者はシステムに直接アクセスすることをしないでさえ システムソフトウェアのバグや抜け穴を食い物にする。エンドユーザに よって打ち込まれたコマンドはシステムに害をなすかもしれないし、 彼自身のアカウントを攻撃者がアクセスするために空けてしまうかも しれないし、(すこし後に)システムに攻撃者が入ることができるような 穴をつくってしまうかもしれない。打ち込むよう頼まれたコマンドが なにか確かでないのなら、単純に指示に従ってはならない。 それが何ないし何処に導くのか決して知ることはできないのだから…。 To guard against becoming a victim of social engineering, one important thing to remember is that passwords are secret. A password for your personal account should be known ONLY to you. The systems administrators who need to do something to your account will not require your password. As administrators, the privileges they have will allow them to carry out work on your account without the need for you to reveal your password. An administrator should not have to ask you for your password. 社会工学の餌食にならないように身を守るために、覚えておくべき重要なことの 一つはパスワードを秘密にするということである。あなた個人のアカウントの パスワードはあなた *だけ* が知っているべきである。あなたのアカウントに 何かする必要のある管理者は、あなたのパスワードを必要としない。 管理者ならば、彼らが持っている特権によってあなたにパスワードを明かして もらう必要なしにあなたのアカウントに仕事をすることができる。管理者は パスワードをあなたに聞く必要はない。 Users should guard the use of their accounts, and keep them for their own use. Accounts should not be shared, not even temporarily with systems administrators or systems maintenance techinicians. Most maintenance work will require special privileges which end-users are not given. Systems administrators will have their own accounts to work with and will not need to access computer systems via an end-user's account. ユーザは自分のアカウントの利用を守らねばならないし、自分自身だけが使用 するようにしなければならない。アカウントは共有すべきではない、システム 管理者やシステム維持の技術者に対して一時的であっても。多くの 維持の仕事はエンドユーザに与えられていない特別な権限が必要となる。 システム管理者は仕事をするのに自分のアカウントを持っていて、 あるエンドユーザのアカウントを使って計算機システムにアクセスする 必要はない。 Systems maintenance technicians who come on site should be accompanied by the local site administrator (who should be known to you). If the site administrator is not familiar to you, or if the technician comes alone, it is wise to give a call to your known site administrator to check if the technician should be there. Yet, many people will not do this because it makes them look paranoid and it is embarrassing to show that they have no, or little trust in these visitors. サイトに来るシステム維持の技術者は(あなたも知っているべき)ローカルサイト の管理者と同行しているべきである。 サイトの管理者をあなたがもし知っていないとか技術者が一人できたなら、 技術者がそこにいるべきなのかどうか、知っている管理者に連絡して 確かめるのが賢い。けれども、それらの来訪者にたいして 信頼をまったくないしはほとんど持っていないのを示すのが偏執狂のように 見られて決まりが悪いので、多くの人々がそうしない。 Guttman, et. al. Informational [Page 13] RFC 2504 Users' Security Handbook February 1999 Unless you are very sure that the person you are speaking to is who he or she claims to be, no secret information should ever be revealed to such people. Sometimes, attackers may even be good enough to make themselves sound like someone whose voice you know over the phone. It is always good to double check the identity of the person. If you are unable to do so, the wisest thing to do is not to reveal any secrets. If you are a systems administrator, there should be security procedures for assignment and reassignment of passwords to users, and you should follow such procedures. If you are an end-user, there should not be any need for you to have to reveal system secrets to anyone else. Some companies assign a common account to multiple users. If you happen to be in such a group, make sure you know everyone in that group so you can tell if someone who claims to be in the group is genuine. もし あなたが話している人がその人が主張している人であると 確認できないのであれば、どんな秘密の情報もそれらの人に明らかにすべき ではない。時には、攻撃者は電話越しにあなたの知っている誰かの声を 真似するだけで十分な場合さえある。いつも人の身元にたいして2重に検査 するのがよい。そうすることができないなら、どんな秘密も明かさないのが 一番賢いやりかたである。もしあなたがシステム管理者なら、 ユーザにパスワードの割当と再割当をするセキュリティ手続きがあるべきだし あなたもその手続きに従うべきである。もしあなたがエンドユーザなら システムの秘密を他の誰にも明かす必要はない。複数のユーザで共通の アカウントを割り当てている会社もある。もしそういうグループにいるならば グループにいると主張する人が本物であるかどうか知って グループの全員を知っていることを確かめよう。 Part Three: End-users self administering a networked computer 第三部: ネットワークに繋がった計算機を自分で管理するエンドユーザ The home user or the user who administers his own network has many of the same concerns as a centrally-administered user. The following is a summary of additional advice given in Part Three: 家で計算機を使うユーザや自身のネットワークを管理するユーザも 中央管理型(訳注:ネットワークの)ユーザと多くの同じような 配慮をする必要がある。次に第3部であたえる追加の助言の まとめをしめす。 - Read manuals to learn how to turn on security features, then turn them on. - セキュリティの特徴を有効にするための方法をマニュアルを読んで学び、 しかるのちに有効にしよう。 - Consider how private your data and Email need to be. Have you invested in privacy software and learned how to use it yet? - あなたのデータや電子メールをどのように秘密にする必要があるか 考えよう。プライバシーソフトウェアに投資して、もうそれの使い方を 学んだか? - Prepare for the worst in advance. - あらかじめ最悪の事態に備えよう。 - Keep yourself informed about what the newest threats are. - 何が新しい脅威なのか情報をつねに集めよう。 5. Make Your Own Security Policy 自身のセキュリティポリシーを作ろう。 You should decide ahead of time what risks are acceptable and then stick to this decision. It is also wise to review your decision at regular intervals and whenever the need to do so arises. It may be wise to simply avoid downloading any software from the network which comes from an unknown source to a computer storing business records, other valuable data and data which is potentially damaging if the information was lost or stolen. 前もってどんな危険が許容できるか決めて、その決定を張り付けておくべきだ。 定期的にまた必要が生じたときには決定を見直すのが賢い。商売の記録や 他の意味のあるデータ、もしなくしたり盗まれたら損害を被る可能性のあるデータ を蓄えている計算機に知らない出所からネットワークでソフトウェアをダウンロード するのは単純に避けておくのが賢いだろう。 If the system has a mixed purpose, say recreation, correspondence and some home accounting, perhaps you will hazard some downloading of software. You unavoidably take some risk of acquiring stuff which is not exactly what it seems to be. システムが混合した目的、たとえば気晴らしや通信、と家計の計算、を持っている 場合、おそらくソフトウェアのダウンロードの危険を冒すことになるだろう。 (ダウンロードして)得たものがそうみれる通りのものと全くは同じではない 危険を避けることはできない。 It may be worthwhile installing privacy software on a computer if it is shared by multiple users. That way, a friend of a room mate won't have access to your private data, and so on. もし複数のユーザと計算機を共有してるのならプライバシーソフトウェアを 導入する価値がある。そうすれば、ルームメイトがあなたの 個人のデータにアクセスすることができない、などなどのようになる。 Guttman, et. al. Informational [Page 14] RFC 2504 Users' Security Handbook February 1999 6. Bad Things Happen 悪い事は起こるものだ。 If you notice that your files have been modified or ascertain somehow that your account has been used without your consent, you should inform your security point-of-contact immediately. When you do not know who your security point-of-contact is, try calling your Internet service provider's help desk as a first step. あなたのファイルが変更されていたり、あなたの同意無しに なぜかアカウントが使用されている事に気づいたら、すぐにセキュリティ担当者に 知らせなくてはならない。だれがセキュリティ担当者か知らない場合は、 まず第一歩としてインターネットサービスプロバイダのサポート受付に電話 してみよう。 6.1 How to Prepare for the Worst in Advance どのようにあらかじめ最悪の事態に備えるか。 - Read all user documentation carefully. Make sure that it is clear when services are being run on your computer. If network services are activated, make sure they are properly configured (set all permissions so as to prevent anonymous or guest logins, and so on). Increasingly, many programs have networking capabilities built in to them. Learn how to properly configure and safely use these features. - すべてのユーザドキュメントを注意深く読もう。あなたの計算機でいつサービスが 走っているか明らかにしておこう。ネットワークサービスが動いているなら、 それらが適切に設定されているか確かめておこう (アノニマスやゲストログインなどができないようにすべての(アクセス)許可を 設定しよう)。ますます、多くのプログラムにネットワークを使う機能が 盛り込まれていっている。適切に設定しそれらの特徴を安全に使う 方法を学ぼう。 - Back up user data. This is always important. Backups are normally thought of as a way of ensuring you will not lose your work if a hard disk fails or if you make a mistake and delete a file. Backing up is also critical to insure that data cannot be lost due to a computer security incident. One of the most vicious and unfortunately common threats posed by computer viruses and Trojan Horse programs is erasing a computer's hard disk. - データをバックアップしておこう。これはいつでも重要なことである。 バックアップは、ハードディスクが壊れたり間違えてファイルを消して しまったりした時にやったことを失わないように保証するためのものであると 一般に考えられている。バックアップは計算機のセキュリティ事件のために データが失われないよう保証するのにも重要である。コンピュータウィルスや トロイの木馬プログラムによっておこるもっとも意地の悪く不幸でありふれた 脅威の一つが計算機のハードディスクを消す事である。 - Obtain virus checking software or security auditing tools. Learn how to use them and install them before connecting to a public network. Many security tools require that they be run on a "clean" system, so that comparisons can be made between the present and pristine states. Thus, it is necessary for some work to be done ahead of time. - ウィルス検査ソフトゥエアかセキュリティ検査ツールを手にいれよう。 それらの使い方を覚えて、公開のネットワークに接続する前に それらをインストールしよう。多くのセキュリティツールが、 現在と初期の状態を比較するために、 「きれいな」システムで走る事を要求する。それゆえ、前もって やっておく必要のある作業がある。 - Upgrade networking software regularly. As new versions of programs come out, it is prudent to upgrade. Security vulnerabilities will likely have been fixed. The longer you wait to do this, the greater the risk that security vulnerabilities of the products will be become known and be exploited by some network assailant. Keep up to date! - ネットワークのソフトウェアを定期的にアップグレードしよう。 プログラムの新しいヴァーションが出たなら、 用心深くアップグレードしよう。 セキュリティの弱点が直されているかもしれない。 アップグレードしないでいればいるほど、製品のセキュリティの弱点が 知られて ネットワークの攻撃者に利用される危険が大きくなる。 最新のものにしよう! - Find out who to contact if you suspect trouble. Does your Internet Service Provider have a security contact or Help Desk? Investigate this before trouble happens so you won't lose time trying to figure it out should trouble occur. Keep the contact information both online and offline for easy retrieval. - 問題に気づいた時接触する人を見つけておこう。あなたのインターネット サービスプロバイダにはセキュリティ担当者やサポート受付がいるだろうか? 問題がおこったさい解決しようとして時間を無駄にしないように 問題がおこるまえに調べておこう。容易に回復するために オンライン・オフラインの連絡先の情報を控えておこう。 Guttman, et. al. Informational [Page 15] RFC 2504 Users' Security Handbook February 1999 There are 3 ways to avoid problems with viruses: ウィルスに関する問題を避ける3つの方法: 1. Don't be promiscuous 1. 乱雑にしない。 If at all possible, be cautious about what software you install on your system. If you are unaware of or unsure of the origin of a program, it is wise not to run it. Obtain software from trusted sources. Do not execute programs or reboot using old diskettes unless you have reformatted them, especially if the old diskettes have been used to bring software home from a trade show and other potentially security-vulnerable places. 可能な限り、システムにインストールしたソフトウェアが何か気をつけよう。 もしそのプログラムの起源を知らなかったり確かではなかったりするならば それを走らせないほうが利口である。信頼できる起源からソフトウェアを 得よう。再フォーマットしていない古いディスクを使って、とくに その古いディスクを見本市やセキュリティに問題のある場所から 家にソフトウェアを運ぶのに使っていたならば、 プログラムを走らせたりリブートしない様にしよう Nearly all risk of getting infected by viruses can be eliminated if you are extremely cautious about what files are stored on your computer. See "The Dangers of Downloading" for more details. あなたの計算機にあるファイルがなにか特に注意していれば、 ウィルスによってもたらされる危険のほとんどは排除できる。 詳しくは「ダウンロードすることの危険」を参照のこと。 2. Scan regularly. 2. 定期的に調べよう。 Give your system a regular check-up. There are excellent virus checking and security audit tools for most computer platforms available today. Use them, and if possible, set them to run automatically and regularly. Also, install updates of these tools regularly and keep yourself informed of new virus threats. システムを定期的に検査しよう。今日多くの計算機環境でウィルス検査ツールや セキュリティ検査ツールを使う事ができる。それらを用いて、また可能ならば 自動的定期的にそれらが走るように設定しよう。また、それらのツールを 定期的に更新し、新しいウィルスの脅威を知っておこう。 3. Notice the unusual. 3. 異常に気づこう。 It's not true that a difference you cannot detect is no difference at all, but it is a good rule of thumb. You should get used to the way your system works. If there is an unexplainable change (for instance, files you believe should exist are gone, or strange new files are appearing and disk space is 'vanishing'), you should check for the presense of viruses. あなたが気が付かない違いは「違い」ではないというのは本当ではないが、 よい経験則である。システムの作業のやりかたとして採用するべきだ。 (たとえば、あなたが存在するべきだと思っているファイルがなかったり、 奇妙な新しいファイルが現われていたり、ディスクの容量が「なくなって」 いたり といった) 説明できない変化があったなら、ウィルスの存在を 検査するべきである。 You should take some time to be familiar with computer virus detection tools available for your type of computer. You should use an up-to-date tool (i.e. not older than three months). It is very important to test your computer if you have been using shared software of dubious origin, someone else's used floppy disks to transfer files, and so on. あなたの計算機で使う事ができるコンピュータウィルス検出ツールについて よく知るために時間と取るとよい。最新のツールを使うべきだ(すなわち、 3ヶ月以上古くないものを)。不審な起源の、たとえば誰かがフロッピーディスクを 使ってファイルを転送したもの などの、共有されたソフトウェアを使って いるならば 計算機をテストするのが非常に重要である。 6.2 What To Do if You Suspect Trouble もし問題があるなと思ったら何をするか。 If you suspect that your home computer has a virus, that a malicious program has been run, or that a system has been broken into, the wisest course of action is to first disconnect the system from all networks. If available, virus detection or system auditing software should be used. もしあなたの家の計算機にウィルスがいるとか、悪意のあるプログラムが 走っていたとか、システムに侵入されたと思ったなら、 まずすべてのネットワークからシステムを切断するのがもっとも賢いやりかたで ある。もし可能ならウィルス検出ツールやシステム検査ソフトウェアを使う べきだ。 Guttman, et. al. Informational [Page 16] RFC 2504 Users' Security Handbook February 1999 Checking vital system files for corruption, tampering or malicious replacement is very tedious work to do by hand. Fortunately there are many virus detection programs available for PCs and Macintosh computers. There are security auditing programs available for UNIX-based computers. If software is downloaded from the network, it is wise to run virus detection or auditing tools regularly. 重大なシステムファイル 改悪されたり変更されたり悪意をもった置き換えされたか を検査するのは手でやるには非常に退屈な仕事だ。幸いにPCやMacintoshで 使える多くのウィルス検出プログラムがある。UNIXで使えるセキュリティ 検査プログラムがある。ネットワークからソフトウェアをダウンロードするなら 定期的にウィルス検出ないし検査ツールを走らせるのが賢い。 If it becomes clear that a home system has been attacked, it is time to clean up. Ideally, a system should be rebuilt from scratch. This means erasing everything on the hard disk. Next, install the operating system and then all additional software the system needs. It is best to install the operating system and additional software from the original distribution diskettes or CD-roms, rather than from backup storage. The reason for this is that a system may have been broken into some time ago, so the backed up system or program files may already include some altered files or viruses. Restoring a system from scratch is tedious but worthwhile. Do not forget to re-install all security related fixes you had installed before the security incident. Obtain these from a verified, unsuspicious source. 家のシステムが攻撃されたことがあきらかになったら、一掃するときである。 理想的には、システムを最初から作り直すのがよい。ハードディスク上の すべてを消すということである。次に、オペレーティングシステム(OS)を 導入しシステムで必要な付加的なソフトウェアをすべて導入する。 バックアップからよりもオリジナルな配付ディスクやCD-ROMから OSや付加的なソフトウェアを導入するのがよい。この理由は、 システムがいくばくか前にすでに侵入されていて、バックアップした システムやプログラムのファイルの中にすでに変更されたファイルやウィルスが ある可能性があるからだ。最初からシステムを復旧するのは退屈だが 価値がある。セキュリティ問題が起こる前にインストールしていた すべてのセキュリティに関連する修正は再インストールするのを忘れないように しよう。確かめられた、疑いのない源からそれらを持って来よう。 6.3 Email 電子メール。 Remember to be careful with saved Email. Copies of sent or received Email (or indeed any file at all) placed in storage provided by an Internet service provider may be vulnerable. The risk is that someone might break into the account and read the old Email. Keep your Email files, indeed any sensitive files, on your home machine. 保存した電子メールに注意するのも忘れないようにしよう。 インターネットサービスプロバイダが提供する保存領域にある 送ったり受け取ったりした電子メールのコピー(実際にはすべてのファイル) は攻撃される可能性がある。だれかがアカウントに侵入して 古い電子メールを読む危険がある。電子メールのファイル、実際には どんな微妙なファイルも、家の計算機に置くようにしよう。 7. Home Alone 家にひとりぼっち。 A home system can be broken into over the Internet if a home user is unwary. The files on the home system can be stolen, altered or destroyed. The system itself, if compromised, could be accessed again some time in the future. This section describes issues and makes recommendations relevant to a home user of the Internet. もしユーザが不注意ならインターネット越しに家のシステムに侵入される かもしれない。家のシステムのファイルは盗まれたり変更されたり 破壊されたりする可能性がある。もし妥協していれば、 将来のいつか再びシステム自体にアクセスされるかもしれない。 この節ではインターネットでの家のユーザに関連する 問題点を記述し勧告を与えている。 7.1 Beware of Daemons デーモンに気を付けよう。 A home system which uses PPP to connect directly to the Internet is increasingly common. These systems are at the greatest risk if they run certain kinds of programs called "services". If you run a service, you are in effect making your computer available to others across the network. Some services include: PPPを用いてインターネットにじかに接続する家のシステムはますます増えている。 これらのシステムで サービスと呼ばれる種類のプログラムが走っていると 非常に大きな危険になる。もしあなたがサービスを走らせているなら、 要するにネットワークを越えて他の人があなたの計算機を使うことができるように してるということである。そのサービスに含まれるのは: - File servers (an NFS server, a PC with 'file sharing' turned on) - An FTP server - A Web server - ファイルサーバ(NFSサーバ、'ファイル共有'を有効にしたPC) - FTPサーバ - Webサーバ Guttman, et. al. Informational [Page 17] RFC 2504 Users' Security Handbook February 1999 There are, in general, two types of programs which operate on the Internet: Clients (like web browsers and Email programs) and Servers (like web servers and mail servers). 一般的に、インターネットでは2つの種類のプログラムが仕事をする: クライアント( Webブラウザと電子メールプログラムのような) と サーバ(Webサーバやメールサーバのような)。 Most software which runs on home systems is of the client variety; but, increasingly, server software is available on traditionally client platforms (e.g., PCs). Server software which runs in the background is referred to as a "daemon" (pronounced dee-mon). Many Internet server software programs that run as daemons have names that end in `d', like "inetd" (Internet Daemon) and "talkd" (Talk Daemon). When set to run, these programs wait for clients to request some particular service from across the network. 家のシステムで走る多くのソフトウェアがクライアントに分類されるが、 伝統的にクライアントのプラットホーム(たとえば PC)でもサーバ ソフトウェアが使えるようになってきている。バックグラウンドで 走るプログラムは 「デーモン」 と呼ばれる。デーモンを走らせる 多くのインターネットサーバソフトウェアは 「inetd」(インターネットデーモン) や 「talkd」(Talkデーモン)のように 最後が'd'で終わる名前を持っている。 これらのプログラムは走るように設定したとき、ネットワーク越しからの なにか特別なサービスのクライアントからの要求を待つ。 There are four very important things to keep in mind as far as the security implications of running services on a home computer are concerned. 家の計算機でサービスを走らせることのセキュリティに関することで 覚えておくとよい4つの重要なことを以下にあげる。 - First and most important, if a server is not properly configured, it is very vulnerable to being attacked over a network. It is vital, if you run services, to be familiar with the proper configuration. This is often not easy, and may require training or technical expertise. - まず第一にそしてもっとも重要なことは、正しく設定されていない サーバはネットワーク越しに非常に攻撃されやすい。もしサービスを 走らせるのなら、適当な設定についてよくしっておくのが極めて重要だ。 これは容易でないこともあり、訓練や専門的技術が必要になるかもしれない。 - All software has flaws, and flaws exploited deviously can be used to breach computer security. If you run a server on your home machine, you have to stay aware. This requires work: You have to stay in touch with the supplier of the software to get security updates. It is highly recommended that you keep up with security issues through on-line security forums. See [RFC2196] for a list of references. - すべてのソフトウェアは弱点を持っていて、明らかにされている弱点は 計算機のセキュリティを破るために使われるかもしれない。もし家の 計算機でサーバを走らせるなら、気をつけていなければならない。 作業が必要である: セキュリティアップデートを得るために ソフトウェアの供給者と接触を取り続けなければならない。オンラインの セキュリティフォーレムを通じてセキュリティ問題に対応することを 強く勧める。 [RFC2196]の参考文献のリストを参照のこと。 If security flaws in your server software are discovered, you will need to either stop using the software or apply "patches" or "fixes" which eliminate the vulnerability. The supplier of the software, if it is a decent company or freeware author, will supply information and updates to correct security flaws. These "patches" or "fixes" must be installed as soon as possible. あなたのサーバソフトウェアにセキュリティの弱点が見つかったら そのソフトウェアを使うのを止めるか、その弱点を無くす 「パッチ」や「修正」を適用する必要がある。ちゃんとした会社だったり フリーソフトウェアの作者だったりする ソフトウェアの提供者が セキュリティの弱点を修正する情報と更新を提供してくれるだろう。 これらの「パッチ」や「修正」は可能な限り早く導入しなければならない。 - As a rule of thumb, the older the software, the greater the chance that it has known vulnerabilities. This is not to say you should simply trust brand new software either! Often, it takes time to discover even obvious security flaws in servers. - 経験則として、ソフトウェアが古いほど、その知られた弱点を持っている 可能性も大きい。これは単に新しいソフトウェアを信頼するべきだと 言っているのではない!しばしば、サーバの明らかなセキュリティの弱点が 発見されるのには時間がかかる。 - Some servers start up without any warning. There are some web browsers and telnet clients which automatically start FTP servers if not explicitly configured to not do so. If these servers are not themselves properly configured, the entire file system of the home computer can become available to anyone on the Internet. - なんの警告もなしに立ち上がるサーバもある。そうしないように明らかに 設定してないなら 自動的にFTPサーバを機動するWebブラウザやtelnetの クライアントがある。これらのサーバが自身で適当に設定されていないと、 家の計算機のすべてのファイルシステムがインターネット上の だれかからアクセスできるかもしれない。 Guttman, et. al. Informational [Page 18] RFC 2504 Users' Security Handbook February 1999 In general, any software MAY start up a network daemon. The way to be safe here is to know the products you are using. Read the manual, and if any questions arise, call the company or mail the author of free software to find out if you are actually running a service by using the product. 一般に、どんなソフトウェアもネットワークデーモンを立ち上げる *ことがある*。この場合安全にする方法は、あなたが使っている 製品について知ることである。説明書を読んで、もしなにか疑問が生じたら、 その製品を用いて実際にサービスを走らせるかどうか知るために 会社に電話するかフリーソフトウェアの作者にメールするかしよう。 A home user running a remote login service on his home machine faces very serious risks. This service allows the home user to log in to his home machine from other computers on the Internet and can be quite convenient. But the danger is that someone will secretly observe the logging in and then be able to masquerade as the user whenever they choose to do so in the future. See "The Wires Have Ears" which suggests precautions to take for remote log in. 家のマシンでリモートログインサービスを走らせているユーザは 非常に大きいセキュリティの危険に直面している。このサービスは、 インターネットの他の計算機から家の計算機にログインすることが できるようにして、非常に便利になりうる。しかし、だれかが秘密に ログインを監視していて、将来そのだれかがやりたくなったらいつでも ユーザのふりをすることができるという危険がある。 リモートログインを扱う際の警戒を示唆している「電線には耳がある」 の節を参照のこと。 If possible, activate all "logging" options in your server software which relate to security. You need to review these logs regularly in order to gain any benefit from this logging. You should also be aware that logs often grow very quickly in size, so you need to be careful they don't fill up your hard disk! 可能なら。セキュリティに関するサーバソフトウェアの全ての「ログを取る」 オプションを有効にしておこう。ログを取っていることから利益を得るため 定期的にそれらのログを調べる必要がある。しばしばログは非常に早く サイズが大きくなるのを知っておくべきで、 ハードティスクが一杯にならないよう注意する必要がある! 7.2 Going Places その場に行くこと。 #なんか変 go places : あちこち旅行する、出世する、成功する、遊び歩く Remote logins allow a user privileged access onto physically remote systems from the comfort of his own home. リモートログインは、家の設備から物理的に離れたシステムへ特別な権限での アクセスをユーザに許す。 More and more companies are offering their employees the ability to work from home with access to their computer accounts through dial-up connections. As the convenience of Internet connectivity has led to lowered costs and wide-spread availability, companies may allow remote login to their systems via the Internet. Customers of companies with Internet access may also be provided with remote login accounts. These companies include Internet service providers, and even banks. Users should be very careful when making remote logins. ますます多くの会社が ダイヤルアップ接続によって会社の計算機のアカウントに アクセスして家から仕事することができるような能力を(訳注:環境を) 従業員に提供するようになっている。インターネットに接続することの 便利さ はコストの低下や 大きく広がった可能性を導くので 会社は インターネットを使ったシステムへのリモートログインを許すようになる。 インターネットにアクセスしている会社の顧客もリモートログインアカウントを 提供されるようになる。これらの会社にはインタネットサービスプロバイダや、 銀行さえも含まれる。リモートログインする際、ユーザは十分注意するべきである。 As discussed in "The Wires have Ears" section, Internet connections can be eavesdropped on. If you intend to use a remote login service, check that the connection can be done securely, and make sure that you use the secure technologies/features. 「電線には耳がある」の節で議論したように、インターネットでの接続は 盗み聞きされうる。あなたがもしリモートログインサービスを使おうと 思うなら、その接続が安全になされるかを調べ、あなたが安全な 技術や特徴を使えるか確かめよう。 Connections may be secured using technologies like one-time passwords, secure shell (SSH) and Secure Sockets Layer (SSL). One- time passwords make a stolen password useless to steal, while secure shell encrypts data sent over the connection. Please refer to "Don't Get Caught in the Web" for a discussion on SSL. Secure services such as these have to be made available on the systems to which you log in remotely. 使い捨てパスワードやsecure shell(SSH)、Secure Sockets Layer(SSL)のような 技術を用いることで接続を安全にすることができる。使い捨てパスワードは パスワードを盗まれても役に立たなくするし、一方SSHはその接続上で送る データを暗号化する。SSLについての議論は「Webで網にかからないように」の 節を参照してほしい。これらのような安全なサービスは あなたがリモートログインしようとするシステムで有効になっている 必要がある。 Guttman, et. al. Informational [Page 19] RFC 2504 Users' Security Handbook February 1999 7.3 Secure It! 安全にしよう! Administering your own home computer means you get to choose what software is run on it. Encryption software provides protection for data. If you keep business records and other sensitive data on your computer, encryption will help to keep it safe. For example, if you ran a network service from your home computer and missed setting restrictions on a private directory, a remote user (authorized or not) may gain access to files in this private directory. If the files are encrypted, the user will not be able to read them. But as with all forms of encryption running on any system, the keys and passwords should first be kept safe! あなた自身の家の計算機を管理するということは、 どのソフトウェアをそこで走らせるかあなたが選ぶことができるということである。 暗号化ソフトウェアはデータの保護を提供する。もし計算機で 仕事の記録やその他の微妙なデータを保存しておくなら、暗号化は データを安全に保つのを助ける。たとえば、あなたの家の計算機から ネットワークサービスを走らせて、個人的なディレクトリへの 制限をかけ忘れたら、(認証された、もしくはされていない)リモートのユーザが この個人的なディレクトリにあるファイルにアクセスすることができる。 もしファイルが暗号化されているなら、そのユーザはその内容を読むことが できない。しかし、どんなシステムの上でどんな暗号化の方法を使おうと まず鍵とパスワードは安全にしなくではならない! 8. A Final Note 最後に。 This document has provided the reader with an introduction and as much concise detail as possible. Present security issues go out of date quickly, and although effort has been made to keep discussions general, examples given may not be relevant in the future as the Internet and computer industry continue to grow. この文書は 紹介としてまた可能な限り簡潔な説明を 読者に提供するものである。現在のセキュリティの問題は すぐに古くなってしまうので、議論を一般的にする努力はしたものの、 Internetと計算機産業が成長を続けた未来において 与えた例は適切では 可能性がある。 Just as home-owners are now taking increased cautions at the expense of convenience, to secure their homes in the changing world we live in, computer network users should not ignore security. It may be inconvenient, but it is always better to be safe than sorry. ちょうど家を持っている人が 私達が住む変化する世界で 家を安全にするために 便利さと引き替えに いまや一層注意しているのと同様に、 計算機ネットワークのユーザもセキュリティを無視するべきではない。 これは不便かもしれないが、公開よりも安全のほうがいつもよりよいのである。 Guttman, et. al. Informational [Page 20] RFC 2504 Users' Security Handbook February 1999 Appendix: Glossary of Security Terms 付録: セキュリティ用語集 Acceptable Use Policy (AUP) 容認できる利用形態についてのポリシー(AUP) A set of rules and guidelines that specify in more or less detail the expectations in regard to appropriate use of systems or networks. システムやネットワークの適切な使用について いくぶん詳しく 期待されるものを明記したルールやガイドラインの集まり。 ### ASCII Glossary Help http://www.ascii.co.jp/ghelp/9/990.html Account アカウント See (Computer) Account (計算機)アカウント を参照のこと。 Anonymous and Guest Log In 匿名・ゲスト ログイン Services may be made available without any kind of authentication. This is commonly done, for instance, with the FTP protocol to allow anonymous access. Other systems provide a special account named "guest" to provide access, typically restricting the privileges of this account. どんな種類の認証が必要とされないふうに サービスを提供することが できる。これは一般的に行われていて、たとえば、 匿名アクセスを許すFTPプロトコルで行われている。他のシステムでは 「guest」という名の特別なアカウントをアクセスのために提供していて、 典型的にはこのアカウントの権限は制限されている。 ## FTPプロトコルって変。 Auditing Tool 検査ツール Tools to analyze computer systems or networks in regard to their security status or in relation to the set of services provided by them. COPS (Computer Oracle Password and Security analyzer) and SATAN (Security Administrator's Tool for Analyzing Networks) are famous examples of such tools. セキュリティの状態や提供されているサービスの集まりに関して 計算機システムやネットワークを分析するツール。 COPS(Computer Oracle Password and Security analyzer)や SATAN (Security Administrator's Tool for Analyzing Networks)が それらのツールの有名な例である。 Authentication 認証。 Authentication refers to mechanisms which are used to verify the identity of a user. The process of authentication typically requires a name and a password to be supplied by the user as proof of his identity. 認証とは、ユーザの同一性を確かめるのに使われるメカニズムを さす。典型的に、認証のプロセスは ユーザの同一性の証明として 与えられた名前とパスワードを必要とする。 Centrally-Administered Network 中央管理型ネットワーク A network of systems which is the responsibility of a single group of administrators who are not distributed but work centrally to take care of the network. 分布していない、中央でネットワークの面倒を見る 管理者達の単一の集団の負担となっているシステムのネットワーク Certificate 証明書 Certificates are data which is used to verify digital signatures. A certificate is only as trustworthy as the agency which issued it. A certificate is used to verify a particular signed item, such as an Email message or a web page. The digital signature, the item and the certificate are all processed by a mathematical Guttman, et. al. Informational [Page 21] RFC 2504 Users' Security Handbook February 1999 program. It is possible to say, if the signature is valid, that "According to the agency which issued the certificate, the signer was (some name)". 証明書は 電子署名を確かめるために使われるデータである。 証明書は それを発行した機関とまったく同じだけ信用に値する。 証明書は 特有のサインがされたアイテム、すなわち電子メールのメッセージや Web頁を 確かめるのに使われる。電子署名やアイテム、証明書は すべて数学的なプログラムに作用されている。もし署名が有効なら、 「証明書を発行した機関によれば、署名者は (誰か) である」 と言うことが できる。 Clean System きれいなシステム A computer which has been freshly installed with its operating system and software obtainied from trusted software distribution media. As more software and configuration are added to a computer, it becomes increasingly difficult to determine if the computer is 'clean' or has been compromised by viruses, trojan horse or misconfiguration which reduces the security of the system. 信頼できるソフトウェア配付媒体から得たオペレーティングシステムと ソフトウェアを新たにインストールした計算機。ソフトウェアや 設定を計算機に足していくと、その計算機が「きれい」であるか ウィルスやトロイの木馬、システムのセキュリティを損なう 設定の間違いに汚されているか判断するのが難しくなる。 Client クライアント Depending on the point of view, a client might be a computer system which an end-user uses to access services hosted on another computer system called a server. 'Client' may also refer to a program or a part of a system that is used by an end-user to access services provided by another program (for example, a web browser is a client that accesses pages provided by a Web Server). 視点に依存するが、クライアントとは サーバと呼ばれる他の計算機システムが 提供するサービスにエンドユーザがアクセスするのに使われる計算機 システムであるということができる。「クライアント」は 他のプログラムが提供するサービスにエンドユーザがアクセスするのに 使うプログラムやシステムの一部のことも指す (たとえば、 Webブラウザは Webサーバが提供するページにアクセスする クライアントである)。 Compound Documents 組み合わされた文書 A 'document' is a file containing (a set of) data. Files may consist of multiple parts: a plain document, an encrypted document, a digitally-signed documents or a compressed document. Multi-part files are known as compound documents and may require a variety of programs to be used in order to interpret and manipulate it. These programs may be used without the user's knowledge. 「ドキュメント」とはデータ(の集合)を含むファイルである。 ファイルは複数の部分から構成されていることがある: 平文の文書や 暗号化された文書、電子署名された文書、圧縮された文書。 複数の部分からなるファイルは 組み合わされた文書と呼ばれ、 それを解釈し操作するためには複数のプログラムを使う必要があるだろう。 それらのプログラムはユーザの了解なしに使われることもある。 (Computer) Account (計算機の) アカウント This term describes the authorization to access a specific computer system or network. Each end-user has to use an account, which consists most probably of a combination of user name and password or another means of proving that the end-user is the person the account is assigned to. 特定の計算機システムやネットワークにアクセスするための許可を 表す。どんなエンドユーザも、多くはユーザネームとパスワードや エンドユーザがアカウントに割り当てられている個人であることを証明する 別の手段を組み合わせたものから成る、アカウントを使う必要がある。 Configuring Network Services ネットワークサービスの設定。 The part of an administrator's task that is related to specifying the conditions and details of network services that govern the service provision. In regard to a Web server, this includes which Web pages are available to whom and what kind of information is logged for later review purposes. サービスの提供を管理する ネットワークサービスの状況や細部を 定めることに関する 管理者の思慕との一部。 たとえばWebサーバに関しては、どのWeb頁がだれに有効であるか とか どんな種類の情報を後で調べるために記録しておくか ということを含む。 Guttman, et. al. Informational [Page 22] RFC 2504 Users' Security Handbook February 1999 Cookies クッキー Cookies register information about a visit to a web site for future use by the server. A server may receive information of cookies of other sites as well which create concern in terms of breach of privacy. クッキーは、サーバが将来使うためにWebサイトへの訪問についての情報を 記録する。サーバは、個人情報を侵害するような重要なことを 同様に作った別のサイトのクッキーの情報も受け取るだろう。 Cracker クラッカー This term is used to describe attackers, intruders or other bad guys that do not play by the rules and try to circumvent security mechanisms and/or attack individuals and organisations. この用語は攻撃者や、侵入者、規則に従わずセキュリティのメカニズム の裏を書こうとしたり、かつ/もしくは 個人や組織を攻撃する悪いやつ を表すのに使われる。 Daemons (inetd, talkd, etc.) デーモン (inetd, talkd などなど) These are processes that run on computer systems to provide services to other computer systems or processes. Typically, daemons are considered "servers". 他の計算機システムやプロセスにサービスを提供するための 計算機システム上で走るプロセスのことである。典型的には、 デーモンは"サーバー"と見なされる。 Decrypting 復号化 The process of reversing the encryption of a file or message to recover the original data in order to use or read it. 使ったり読んだりするために元のデータに復元するために ファイルやメッセージになされた暗号化を取り消す 処置のこと。 Default Account 初期アカウント Some systems and server software come with preconfigured accounts. These accounts may be set up with a predefined (user name and) password to allow anyone access and are often put there to make it convenient for users to login initially. Default accounts should be turned off or have their predefined passwords changed, to reduce the risk of abuse to the system. システムやサーバソフトウェアには設定されたアカウントを持つものがある。 それらのアカウントは どんな人でもアクセスできるように あらかじめ定められた(ユーザ名と)パスワードをセットアップされていたり、 しばしば最初にログインするユーザにとって便利なようにされていたりする。 システムの悪用の危険を減らすために 初期アカウントは使わえないようにするか、定められていた パスワードを変更べきである。 Dial-in Service ダイヤルインサービス A way of providing access to computer systems or networks via a telecommunications network. A computer uses a modem to make a telephone call to a another modem, which in turn provides 'network access service'. See also: PPP. 電気通信のネットワークを用いて計算機システムやネットワークへの アクセスを提供する方法のこと。計算機はモデムを用いて 'ネットワークアクセスサービス'を順番に提供している他のモデムに電話 をかける。PPPも参照のこと。 Digital Signature 電子署名 A digital signature is created by a mathematical computer program. It is not a hand-written signature nor a computer-produced picture of one. The signature is like a wax seal that requires a special stamp to produce it, and is attached to an Email message or file. The origin of the message or file may then be verified by the digital signature (using special tools). 電子署名は数学的な計算機プログラムによって作られる。 手で書かれた署名ではなく計算機が作りだす署名に そっくりなもの(picture) である。署名はそれを作るのに特別なスタンプが必要な 蝋に押された封印のようもので、電子メールのメッセージやファイルに 添付される。そうすれば メッセージやファイルの源は 電子署名によって (特別な道具を使うことで) 確かめることができるだろう。 #pictureに そっくり、瓜二つ って意味があるんだが… Guttman, et. al. Informational [Page 23] RFC 2504 Users' Security Handbook February 1999 Downloaded Software ダウンロードされたソフトウェア Software packages retrieved from the Internet (using, for example, the FTP protocol). インターネットから(たとえば、FTPプロトコルを用いて)持ってくる ソフトウェアのパッケージのこと。 Downloading ダウンロードすること。 The act of retrieving files from a server on the network. ネットワーク上のサーバからファイルを持ってくる行為。 Email Packages 電子メールパッケージ To communicate via electronic mail, an end-user usually makes use of an Email client that provides the user-interface to create, send, retrieve and read Email. Various different Email packages provide the same set of basic functions but have different user- interfaces and perhaps, special/extra functions. Some Email packages provide encryption and digital signature capabilities. 電子メールによって通信するために、普通エンドユーザは電子メールを 作り送り取って来て読めるユーザインターフェイスを提供する電子 メールのクライアントを用いる。さまざまな異なる電子メールのパッケージが 同じ基本的な機能の集合を提供しているが、異なった ユーザインターフェイスや、もしかしたら、特別な機能を持っている。 暗号化や電子署名の能力を提供する電子メールパッケージもある。 #special/extra … ってなー extraに 規格外の みたいな意味でもあるんやろか。 Email Security Software 電子メールセキュリティソフトウェア Software which provides security through digital signatures and encryption (and decryption) to enable the end-user to protect messages and documents prior to sending them over a possibly insecure network. PGP is an example of such software. エンドユーザに、メッセージや文書を安全でないかもしれないネットワークを 越えて送る前に電子証明や暗号化(と復号化)を通してセキュリティを 提供するソフトウェアのこと。PGPがそのようなソフトウェアの例である。 Encrypting / Encryption 暗号化 This is a mathematical process of scambling data for privacy protection. 秘密を守るためにデータを散在させる数学的な方法のこと。 Encryption Software 暗号ソフトウェア The software that actually provides the needed functionality for end users to encrypt messages and files. PGP is one example. エンドユーザがメッセージやファイルを暗号化するのに 必要な機能を実際に提供するソフトウェアのこと。PGPはその一例。 End-User エンドユーザ An (human) individual that makes use of computer systems and networks. 計算機システムやネットワークを使用する(人間である)個人のこと。 Files (programs, data, text and so on) ファイル (プログラム、データ、テキスト、その他諸々) Files include user data, but also programs, the computer operating system and the system's configuration data. ユーザデータだけでなく、プログラムや計算機のオペレーティングシステム、 システムの設定のデータもファイルに含まれる。 Guttman, et. al. Informational [Page 24] RFC 2504 Users' Security Handbook February 1999 File Server ファイルサーバ A computer system that provides a way of sharing and working on files stored on the system among users with access to these files over a network. ネットワーク越しの(ファイルへの)アクセスによってユーザ間で システムに蓄えられたファイルを共有し扱う方法を提供する 計算機システムのこと。 File Transfer ファイルの転送 The process of transferring files between two computer systems over a network, using a protocol such as FTP or HTTP. ネットワーク上の2つの計算機間で、たとえばFTPやHTTPのようなプロトコル を用いて、ファイルを転送する操作のこと。 Fixes, Patches and installing them 修正、パッチとそれらの導入 Vendors, in response to the discovery of security vulnerabilities, provide sets of files that have to be installed on computer systems. These files 'fix' or 'patch' the computer system or programs and remove the security vulnerability. セキュリティの弱点の発見に応じて、供給元は計算機システムに導入 されるべきファイル群を提供する。これらのファイルは計算機システムや プログラムを「修正」ないし「パッチ」し、セキュリティの弱点を 取り除く。 FTP (File Transfer Protocol) FTP (ファイル転送プロトコル) A protocol that allows for the transfer of files between an FTP client and FTP server. FTPクライアントとFTPサーバの間でファイルの転送を許すプロトコル(規約) のこと。 Group of Users ユーザのグループ Security software often allow permissions to be set for groups (of users) as opposed to individuals. セキュリティソフトウェアはしばしば個人ではなく(ユーザの)グループに 対して許可を設定する。 Help Desk サポート受付 #もっと適当な訳を! A support entity that can be called upon to get help with a computer or communication problem. 計算機や通信の問題に助力をするために呼び出すことができる サポート機関のこと。 Internet インターネット A collection of interconnected networks that use a common set of protocols called the TCP/IP stack to enable communication between the connected computer systems. 繋がれた計算機システム間の通信を可能にするTCP/IPスタックと呼ばれる 共通なプロトクルの集合を使って相互に結ばれたネットワークの 集まり、のこと。 #正確な定義とは言いがたいと思う。 Key Escrow 鍵の証明書 #escrow 条件付き捺印証書 Keys are used to encrypt and decrypt files. key escrow is used to store keys for use by third parties to access the data in encrypted files. 鍵はファイルを暗号化・復号化するのに使われる。鍵の証明書は 暗号化されたファイルのデータを第三者がアクセスし使うための 鍵を蓄えるのに使われる。 Guttman, et. al. Informational [Page 25] RFC 2504 Users' Security Handbook February 1999 Keys Used to Encrypt and Decrypt Files ファイルの暗号化・復号化に使われる鍵 To make use of encryption, an end-user has to provide some secret, in the form of some data, usually called a key. 暗号化をするためには、エンドユーザはなんらかのデータの形の秘密、 普通鍵と呼ばれるものを備える必要がある。 Log In, Logging into a System ログイン、システムへのログイン This is an action performed by an end-user, when he authenticates himself to a computer system. エンドユーザが計算機システムに自分自身を証明する際に取る行動のこと。 Log In Prompt ログインプロンプト The characters that are displayed when logging into a system to ask for user name and password. ユーザ名とパスワードを要求するシステムにログインする際表示される 文字列のこと。 Logged In ログインした、ログインしている #なんじゃこの用語は If an end-user has successfully proven to have legitimate access to a system, he is considered to be logged in. エンドユーザがシステムに正当なアクセスをしているとうまく確かめられた なら、ログインしていると見なせる。 Logging ログを取る事 Systems and server software often provide the ability to keep track of events. Events may be configured to be written out to a file known as a log. The log file can be read later and allows for system failures and security breaches to be identified. システムやサーバソフトウェアはしばしば出来事の痕跡を保存しておく 能力を提供する。出来事はログとして知られるファイルに書き出されるよう 設定されているだろう。ログファイルは後になって読むことができ、 システムの不十分な点やセキュリティ侵害を確認することができる。 Masquerade (see Remote Log In) 仮装(リモートログインを参照のこと) Anyone who pretends to be someone they are not in order to obtain access to a computer account is said to be in 'masquerade'. This may be accomplished by providing a false user name, or stealing someone else's password and logging in as him. 計算機アカウントにアクセスするため、自分ではない誰かのふりをする 人々のことを「仮装」していると言う。これは贋のユーザ名を名乗ったり 他の人のパスワードを盗んで その彼としてログインすることで成されること がある。 Network File System (NFS, file sharing with PCs, etc.) ネットワークファイルシステム(NFS, PCその他とのファイルの共有) NFS is an application and protocol suite that provides a way of sharing files between clients and servers. There are other protocols which provide file access over networks. These provide similar functionality, but do not interoperate with each other. NFSはクライアントとサーバ間でのファイルの共有法と提供する アプリケーションとプロトコルの組である。 ネットワーク上でのファイルへのアクセスを提供する他のプロトコルも 存在する。これらは同様な機能を提供するが、お互いに 浸透することはできない(サービスを提供し合う事はできない)。 Networking Features of Software ソフトウェアのネットワークの特徴 #もうすこしいじったほうがいいかも Some software has features which make use of the network to retrieve or share data. It may not be obvious that software has networking features. ネットワークを使ってデータを取って来たり共有できる特徴を持つ ソフトウェアがある。ソフトウェアがネットワークの特徴を持つかどうかは 明らかではないだろう。 Guttman, et. al. Informational [Page 26] RFC 2504 Users' Security Handbook February 1999 Network Services ネットワークサービス Services which are not provided on the local computer system the end-user is working on but on a server located in the network. エンドユーザが作業しているローカルな計算機システムではなく、 ネットワークの中のサーバによって提供されているサービスのこと。 One-Time Passwords (OTP) 使い捨てパスワード Instead of using the same password over and over again, a different password is used on each subsequent log in. 繰り返し同じパスワードを使う代わりに、毎回その次のログインには (前のとは)別のパスワードが使われる。 Passphrase パスフレーズ A passphrase is a long password. It is often composed of several words and symbols to make it harder to guess. パスフレーズとは長いパスワードのことである。しばしば 想像しにくい数個の単語や記号によって構成される。 Password-Locked Screensaver パスワードでロックできるスクリーンセーバー A screen saver obscures the normal display of a monitor. A password-locked screensaver can only be deactivated if the end- user's password is supplied. This prevents a logged-in system from being abused and hides the work currently being done from passers-by. スクリーンセーバーはモニターの通常の表示をおおい隠す。 パスワードでロックできるスクリーンセーバーならば エンドユーザのパスワードが入力されたときだけ、 とまるようにできる。これによりログインしているシステムを 悪用する人から守ったり、通りがかりの人からいまやっていた仕事を 隠すことができる。 Patch パッチ See "Fixes, Patches and installing them" 「修正、パッチとそれらの導入」の項目を参照のこと。 Permissions パーミッション、許可 Another word for the access controls that are used to control the access to files and other resources. ファイルや他の資源へのアクセスをコントロールするために使われる、 アクセスコントロールの別の呼び方のこと。 PGP (Pretty Good Privacy) PGP (かなりよいプライバシー) PGP is an application package that provides tools to encrypt and digitally sign files on computer systems. It is especially useful to encrypt and/or sign files and messages before sending them via Email. PGPとは計算機システム上でファイルを暗号化したり電子署名するための ツールを提供するアプリケーションパッケージである。電子メールを用いて ファイルやメッセージを送るまえに暗号化かつ/または署名するのに 特に有用である。 Plug-in Modules プラグインモジュール Software components that integrate into other software (such as web browsers) to provide additional features. 付加的な特徴を提供するため他のソフトウェア(たとえばWebブラウザ)に 統合するソフトウェアの構成部分のこと。 Guttman, et. al. Informational [Page 27] RFC 2504 Users' Security Handbook February 1999 Point-of-Contact, Security セキュリティ担当者 In case of security breaches or problems, many organisations provide a designated point-of-contact which can alert others and take the appropriate actions. セキュリティの侵害や問題が生じた場合、多くの組織では 他の人に警告を発し適当な行動を取る担当者が任命されている。 PPP (Point to Point Protocol) PPP (Point to Point Protocol) PPP is the mechanism which most end-users establish a network connection between their PC and their Internet service provider with. Once connected, the PC is able to transmit and receive data to any other system on the network. PPPは、多くのエンドユーザがPCとインターネットサービスプロバイダとの間で ネットワーク接続を確立するのに用いているメカニズムである。 一度接続したなら、そのPCはネットワーク上のどんな他のシステムとも データを送信し受信することが可能になる。 Privacy Programs 個人情報の問題 Another term for encryption software that highlights the use of this software to protect the confidentiality and therefore privacy of the end-users that make use of it. 秘密を守りそれゆえエンドユーザの個人情報に利用できる 暗号ソフトウェアの使用を強調する 暗号ソフトウェアのためのもう一つの表現のこと。 ### Remote Access Software リモートアクセスソフトウェア This software allows a computer to use a modem to connect to another system. It also allows a computer to 'listen' for calls on a modem (this computer provides 'remote access service'.) Remote access software may provide access to a single computer or to a network. このソフトウェアは計算機を別のシステムにモデムを用いて接続できる ようにする。モデムへの呼び出しに対して計算機が '待つ'ように することもできる(この計算機は 'リモートアクセスサービス' を提供している。 リモートアクセスソフトウェアは単一の計算機ないしネットワークへの アクセスを提供する。 Remote Log In リモートログイン If an end-user uses a network to log in to a system, this act is known as remote log in. システムへログインするのにエンドユーザがネットワークを用いたなら この行為はリモートログインとして知られているものである。 Security Features セキュリティの特徴 These are features which provide protection or enable end-users and administrators to assess the security of a system, for example, by auditing it. 保護を提供したり、エンドユーザや管理者がシステムのセキュリティを、 たとえば検査することで、評価することができる特徴のこと。 Security Policy セキュリティポリシー A security policy is written by organisations to address security issues, in the form of "do's" and "don'ts". These guidelines and rules are for users with respect to physical security, data security, information security and content (eg. rules stating that sites with sexual content should not be visited, and that copyrights should be honoured when downloading software, etc). セキュリティポリシーとは セキュリティ問題を扱うために 「してよいこと」と「してはいけないこと」の形で 組織によって書かれるものである。これらのガイドラインや規則は 物理的なセキュリティやデータのセキュリティ、情報のセキュリティと内容 についての ユーザに適用されるものである (たとえば、性的な内容を持つサイト を訪れてはならない、ソフトウェアをダウンロードする際は 著作権を尊重しなくてはならないなどが述べられている規則)。 Guttman, et. al. Informational [Page 28] RFC 2504 Users' Security Handbook February 1999 Server サーバ A server is a computer system, or a set of processes on a computer system providing services to clients across a network. サーバとは、ネットワークごしにクライアントにサービスを提供する 計算機システムないし計算機システムのプロセスの集まりのことである。 Shared Account 共有(されている)アカウント、共通アカウント A common account is one which is shared by a group of users as opposed to a normal account which is available to only one user. If the account is misused, it is very difficult or impossible to know which of users was responsible. 共通アカウントとは一人のユーザだけが使用できる普通のアカウント とは異なりユーザのグループで共有されているアカウントである。 アカウントが悪用された場合、どのユーザに責任があるか知るのは 非常に難しいかもしくは不可能である。 #responsibleは原因があるととったほうがいいだろうか Sharing Permissions 共有の許可 Many computer systems allow users to share files over a network. These systems invariably provide a mechanism for users to use to control who has permission to read or overwrite these files. 多くの計算機システムではネットワーク越しにユーザがファイルを 共有することができる。このようなシステムでは常に、 それらのファイルを読むないし上書きできる許可をもつユーザを 管理するために使うメカニズムをユーザに提供しなければならない。 Site サイト Depending on the context in which this term is used, it might apply to computer systems that are grouped together by geographical location, organizational jurisdiction, or network addresses. A Site typically refers to a network under a common administration. この言葉が使われている文脈に依存するが、地理的な位置ないし組織の管轄、 ネットワークアドレスにて分類される計算機システムにたいして使われる。 典型的にはサイトは一般的な管理をされているネットワークのことを指す。 SSH (Secure Shell) SSH (安全なShell) SSH provides a protocol between a client and server, allowing for encrypted remote connectivity. SSHは暗号化された遠隔接続をすることができる、クライアントとサーバ間の プロトコル(規約)を提供する。 SSL (Secure Sockets Layer) SSL (Secure Sockets Layer) This protocol provides security services to otherwise insecure protocols which operate over a network. SSL is typically used by web browsers to encrypt data sent to and downloaded from a server. このプロトコルは 、ネットワーク越しに操作される別の安全でないプロトコル にセキュリティのサービスを提供する。一般にSSLは、サーバに送ったり ダウンロードするデータを暗号化するためにWebブラウザによって使われている。 Systems Administrator システム管理者 The individual who maintains the system and has system administrator privileges. In order to avoid errors and mistakes done by this individual while not acting as an administrator, he/she should limit the time he/she acts as an administrator (as known to the system) to a minimum. システムを管理しシステムの管理者の権限を持つ個人のこと。 管理者として行動しないときにその個人による誤りや間違いを避けるために 彼/彼女は (システムに名を知られている)管理者 として行動する時間を最低限に制限しなければならない。 Guttman, et. al. Informational [Page 29] RFC 2504 Users' Security Handbook February 1999 System Administrator Privileges システム管理者の権限・特権 System administrators have more rights (greater permissions) as their work involve the maintenance of system files. システムファイルのメンテナンスを行うのに必要でるので システム管理者は(訳注:一般のユーザに比べて)より大きな力 (より広い許可)を持っている。 System Files システムファイル The set of files on a system that do not belong to end-users, which govern the functionality of the system. System files have a great impact on the security of the system. エンドユーザには属さない、システムの機能を統治する システム上のファイルの組のこと。システムファイルは システムのセキュリティにとって大きな影響を持っている。 Telnet テルネット A protocol that enables remote log in to other computer systems over the network. 他の計算機システムにネットワーク越しにリモートログインすることを 可能にするプロトコルのこと。 Terminal 端末 A dumb device that is connected to a computer system in order to provide (text-based) access to it for users and administrators. ユーザや管理者に(テキストに基づいた)アクセスを提供するために 計算機システムと接続されているダムデバイスのこと。 Terms of Service (TOS) サービスに関する事項 (TOS) See "Acceptable Use Policy (AUP)". 「容認できる利用形態についてのポリシー(AUP)」を参照のこと。 Threats 脅威 The potential that an existing vulnerability can be exploited to compromise the security of systems or networks. Even if a vulnerability is not known, it represents a threat by this definition. 存在している弱点が システムやネットワークのセキュリティを 傷つけるために利用される可能性のこと。 弱点が知られてない場合でも、この定義では脅威があるといえる。 ##represent Trojan Horse トロイの木馬 A program which carries within itself a means to allow the creator of the program access to the system using it. そのプログラムを使っているシステムへプログラムの作成者が アクセスすることを許す方法をそれ自体に持っているプログラムの こと。 Virus ウィルス A program which replicates itself on computer systems by incorporating itself (secretly and maliciously) into other programs. A virus can be transferred onto a computer system in a variety of ways. (秘密に意地悪く)他のプログラムと合体して計算機システム上で自分の 複製を作るプログラムのこと。ウィルスは様々な方法で計算機システム上に 運ばれうる。 Virus-Detection Tool ウィルス検出ツール Software that detects and possibly removes computer viruses, alerting the user appropriately. 適切にユーザに警告して、コンピュータウィルスを見つけできる限り 取り除くソフトウェアのこと。 Guttman, et. al. Informational [Page 30] RFC 2504 Users' Security Handbook February 1999 Vulnerability 弱点、弱み A vulnerability is the existence of a weakness, design, or implementation error that can lead to an unexpected, undesirable event compromising the security of the system, network, application, or protocol involved. システムないしはネットワーク、アプリケーション、プロトコル に関係する、セキュリティを傷つける予期しない、望ましくない出来事を 導く可能性のある、欠点ないし設計、実装の誤りの存在のこと。 Web Browser Cache Webブラウザのキャッシュ This is the part of the file system that is used to store web pages and related files. It can be utilized to reload recently accessed files from the cache instead of loading it every time from the network. Web頁や関連するファイルを蓄えておくのに使われる ファイルシステムの部分のこと。どんなときもネットワークからファイルを 持って来る代わりに、最近アクセスしたファイルをキャッシュから 再度持って来るのに利用される。 Web Browser Capabilities Webブラウザの能力 The set of functionalities on a web browser for use by the end- user. This includes the set of plug-ins available. エンドユーザが使用するためのWebブラウザの機能の集合のこと。 これには、プラグインの集合で利用可能になるものも含まれる。 Web Server Webサーバ A server program that provides access to web pages. Some web servers provide access to other services, such as databases, and directories. Web頁へのアクセスを提供するサーバプログラムのこと。 Webサーバの中には 他のサービス、たとえばデータベースやディレクトリ へのサクセスを提供するものもある。 Worm ワーム A computer program which replicates itself and is self- propogating. Worms, as opposed to viruses, are meant to spawn in network environments. 自己の複製を作り自分で伝搬していく計算機プログラムのこと。 ウィルスとは違い、ワームはネットワーク環境の中で生み出されるものを 指す。 Acknowledgments 感謝 The User Security Handbook was a collaborative effort of the Site Security Handbook Working Group of the IETF. There were also others who made significant contributions --- Simson Garfinkle and Eric Luiijf provided very helpful feedback on this document. The Glossary contribution by Klaus-Peter Kossakowski is much appreciated. References 参考文献 [GLOSSARY] Malkin, G., Ed., "Internet User's Glossary", FYI 18, RFC 1983 August 1996. [RFC2196] Fraser, B., Ed., "Site Security Handbook", FYI 8, RFC 2196 September 1997. Guttman, et. al. Informational [Page 31] RFC 2504 Users' Security Handbook February 1999 Security Considerations セキュリティについての考慮 This document discusses what computer users can do to improve security on their systems. この文書は計算機のユーザがシステムのセキュリティの向上するために できることについて議論している。 Authors' Addresses 著者の住所・連絡先 Erik Guttman Sun Microsystems Bahnstr. 2 74915 Waibstadt Germany Phone: +49 7263 911701 EMail: erik.guttman@sun.com Lorna Leong COLT Internet 250 City Road City Forum, London England Phone: +44 171 390 3900 EMail: lorna@colt.net Gary Malkin Bay Networks 8 Federal Street Billerca, MA 01821 USA Phone: +1 508 916 4237 EMail: gmalkin@baynetworks.com 訳注: 訳者の連絡先 春山 征吾 HARUYAMA Seigo 住所・電話番号は公開しません。 電子メール: haruyama@unixuser.org Guttman, et. al. Informational [Page 32] RFC 2504 Users' Security Handbook February 1999 Full Copyright Statement 著作権についての完全な記述 Copyright (C) The Internet Society (1999). All Rights Reserved. This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English. The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns. This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. Guttman, et. al. Informational [Page 33]