Cisco Router and Security Device Manager (SDM) バージョン 2.1ユーザーズ ガイド
用語集
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

 


数字
3DES
トリプル DES。3 つの 56 ビット DES 暗号キー(したがって、実際のキー長は 168 ビット)をすばやく連続して使用する暗号化アルゴリズム。また、2 つの 56 ビット DES キーを使用し、そのどちらかを 2 度使用する方法もあります。この場合、キーの実際の長さは 112 ビットになります。トリプル DES を合法的に使用できるのは、米国内に限られます。「DES」を参照してください。

 


A
AAA
認証(Authentication)、許可(Authorization)、およびアカウンティング(Accounting)の頭文字。「トリプル A」と読みます。
AAL5-MUX
ATM Adaptation Layer 5 Multiplexing。
AAL5-SNAP
ATM Adaptation Layer 5 Subnetwork Access Protocol。
ACE
アクセス コントロール エントリ。
ACL
アクセス コントロール リスト。デバイスに関するメカニズムであり、そのデバイスまたはそのデバイスが属しているネットワークへのアクセスを許可するエンティティを指定します。
ADSL
非対称デジタル加入者線。
AH
認証ヘッダ。古い IPSec プロトコルであり、ほとんどのネットワークでは ESP よりも重要性が低いプロトコルです。AH は認証サービスを提供しますが、暗号化サービスは提供しません。認証と暗号化の両方が可能な ESP をサポートしていない IPSec ピアとの互換性を保証するために提供されています。
AH-MD5-HMAC
MD5(HMAC の一種)ハッシュ アルゴリズムを使用する認証ヘッダ。
AHP
認証ヘッダ プロトコル。送信元ホストの認証とデータの整合性を提供するプロトコル。データの機密性は提供しません。
AH-SHA-HMAC
SHA(HMAC の一種)ハッシュ アルゴリズムを使用する認証ヘッダ。
AMI
Alternate Mark Inversion。
ARP
アドレス解決プロトコル。ノード ハードウェア アドレス(MAC アドレスと呼ばれる)を IP アドレスにマッピングする下位層の TCP/IP プロトコルです。
ASA
アダプティブ セキュリティ アルゴリズム。各内部システムとアプリケーションのための、明示的な設定のない一方向(内部から外部へ)の接続を可能にします。
ATM(Asynchronous Transfer Mode)
非同期転送モード。複数のサービス タイプ(音声、ビデオ、データなど)を 53 バイトの固定長セルで伝送するセル リレーの国際標準。固定長セルの採用により、セルの処理をハードウェアで行うことが可能になるため、伝送遅延が低減されます。

 


B
BOOTP
Bootstrap Protocol.。ネットワーク ノードがネットワーク ブート時にイーサネット インターフェイスの IP アドレスを取得するために使用するプロトコルです。

 


C
CA
認証機関。デジタル証明書の発行および取り消しを行う、信頼性できる第三者機関。公証機関または認証局と呼ばれることもあります。特定の CA のドメイン内では、デバイスは各自の証明書と CA のパブリック キーがあればそのドメイン内の他のデバイスを認証できます。
CA 証明書
ある認証機関(CA)が別の認証機関に与えたデジタル証明書。
CBAC
コンテキストベース アクセス コントロール。各アプリケーションおよびネットワーク周辺のすべてのトラフィックを内部ユーザが安全にアクセス制御できるようにするプロトコル。CBAC は送信元と宛先のアドレスを調べて、各アプリケーション接続のステータスを追跡します。
CDP
Cisco ディスカバリ プロトコル。メディアおよびプロトコルに依存しないデバイス ディスカバリ プロトコルであり、Cisco 製のすべてのルータ、アクセス サーバ、ブリッジ、およびスイッチ上で動作します。CDP を使用することで、デバイスはその存在を他のデバイスに通知して、同じ LAN 上または WAN のリモート側にある他のデバイスに関する情報を受信できます。
CEP
Certificate Enrollment Protocol。証明書管理プロトコル。CEP は、IETF(インターネット技術特別調査委員会)に提案された標準である CRS(Certificate Request Syntax)の初期の実装です。デバイスと CA の通信方法を規定します。たとえば、CA のパブリック キーの取得方法、CA へのデバイスの登録方法、証明書失効リスト(CRL)の受信方法などです。CEP はキー コンポーネント技術として PKCS(Public Key Cryptography Standard)7 および 10 を使用します。IETF の PKIX(Public Key Infrastructure working group)がこれらの機能のためのプロトコル(CRS またはこれと同等のプロトコル)の標準化に取り組んでいます。IETF 標準が確定次第、Cisco はその標準のサポートを追加します。CEP は Cisco Systems と VeriSign, Inc. が共同開発したものです。
CET
Cisco 暗号化技術。Cisco IOS Release 11.2 に導入された Cisco 独自のネットワーク層の暗号化方式。CET は、IP パケット レベルのネットワーク データの暗号化を提供し、標準である DH、DSS、40 ビット DES、および 56 ビット DES を実装します。
CHAP
Challenge Handshake Authentication Protocol。PPP カプセル化を使用する回線でサポートされるセキュリティ機能で、不正アクセスを防止します。CHAP 自体が不正アクセスを防止するわけではなく、リモート エンドを識別するだけです。次に、ルータまたはアクセス サーバが、そのユーザにアクセスが許可されているかどうかを判断します。「PAP」も参照してください。
chargen
Character Generation。TCP 経由の場合、クライアントによって停止されるまで文字の連続ストリームを送信するサービス。UDP 経由の場合、サーバは、クライアントがデータグラムを送信するたびにランダムな数の文字を送信します。
CLI
コマンド ライン インターフェイス。ルータに対する設定や監視コマンドの入力に使用される主要なインターフェイス。CLI から入力できるコマンドの詳細については、現在設定しているルータの設定ガイドを参照してください。
CNS
Cisco Networking Services。スケーラブルなネットワークの導入、設定、サービス保証監視、およびサービス配信をサポートするサービス スイートです。
comp-lzs
IP 圧縮アルゴリズム。
cookie
ユーザ設定などの情報を永続ストレージに格納したり取得したりする Web ブラウザ機能。Netscape と Internet Explorer では、cookie はローカル ハード ドライブに保存される小さいテキスト ファイルです。このファイルは、次回 Java アプレットを実行したとき、または Web サイトにアクセスしたときにロードできます。この方法を使用すると、ユーザ固有の情報をセッション間で保持できます。cookie の最大サイズは約 4KB です。
CPE
顧客宅内機器。
CRL
証明書失効リスト。期限切れではないが失効したデジタル証明書の、認証機関(CA)によって管理および署名されるリストです。

 


D
DES
データ暗号化標準。米国の National Institute of Standards and Technology(NIST)が開発および標準化した標準暗号化アルゴリズム。56 ビットの秘密暗号キーを使用します。DES アルゴリズムは多くの暗号化標準で採用されています。
DH、Diffie-Hellman
2 者間で安全でない通信チャネルを使用して秘密情報を共有できるようにするパブリック キー暗号プロトコル。インターネット キー交換(IKE)でセッション キーを確立するために使用されます。Diffie-Hellman は Oakley キー交換のコンポーネントです。
DHCP
ダイナミック ホスト コンフィギュレーション プロトコル。IP アドレスをホストにダイナミックに割り当てるメカニズムを提供します。ホストで IP アドレスが不要になると、その IP アドレスを再利用できます。
Diffie-Hellman キー交換
2 者間で安全でない通信チャネルを使用して秘密情報を共有できるようにするパブリック キー暗号プロトコル。インターネット キー交換(IKE)でセッション キーを確立するために使用されます。Diffie-Hellman は Oakley キー交換のコンポーネントです。Cisco IOS ソフトウェアは、768 ビットおよび 1024 ビットの Diffie-Hellman グループをサポートしています。
DLCI
データリンク接続識別子。フレーム リレー接続において、2 つのエンド ポイント間の特定のデータリンク接続を識別する値です。
DMVPN
ダイナミック マルチポイント VPN。ルータが論理的なハブ アンド スポーク トポロジに配置され、ハブ間がポイントツーポイントの GRE over IPSec 接続でつながれている仮想プライベート ネットワーク。DMVPN は GRE と NHRP を使用して、パケットがネットワーク内の宛先に転送されるようにします。
DMZ
非武装地帯。DMZ は、インターネットとプライベート ネットワークの間にある緩衝地帯です。インターネット上の外部クライアントがアクセスする Web、FTP、および電子メール サーバ用に一般に使用されるパブリック ネットワークを DMZ として設定できます。これらのパブリック アクセス サーバを別の隔離されたネットワークに配置することで、内部ネットワークのセキュリティが強化されます。
DN
識別名。認証機関ユーザの一意の識別子であり、認証機関から受け取った各証明書に含まれます。通常、DN には、ユーザの通称、会社または組織の名称、2 文字の国コード、連絡先の電子メール アドレス、電話番号、部門番号、および居住地などが含まれます。
DNS
ドメイン ネーム システム(またはサービス)。文字で設定されるドメイン名を数字で設定される IP アドレスに変換するインターネット サービス。
DRAM
ダイナミック ランダム アクセス メモリ。キャパシタ部分に情報が格納される RAM であり、定期的にリフレッシュする必要があります。
DSLAM
デジタル加入者線アクセス マルチプレクサ。
DSS
デジタル署名標準。デジタル署名アルゴリズム(DSA)とも呼ばれます。DSS アルゴリズムは、暗号署名の多くのパブリック キー標準で採用されています。

 


E
Easy VPN
Cisco Unified Client Framework をベースにした VPN 集中管理ソリューション。Cisco Easy VPN は、Cisco Easy VPN リモート クライアントと Cisco Easy VPN サーバの 2 つのコンポーネントから設定されています。
EIGRP
Enhanced Interior Gateway Routing Protocol。Cisco Systems が開発した IGRP の拡張版。収束特性と運用効率に優れており、リンク ステート プロトコルとディスタンス ベクタ プロトコルの利点を併せ持っています。
ESP
Encapsulating Security Payload。データの整合性と機密性の両方を提供する IPSec プロトコル。Encapsulating Security Payload とも呼ばれる ESP は、機密性、データ発信元認証、リプレイ検出、コネクションレスの整合性、部分的なシーケンスの整合性、および限定的なトラフィック フローの機密性を提供します。
ESP_SEAL
160 ビット キーの SEAL(Software Encryption Algorithm)暗号化アルゴリズムを使用する ESP。この機能は、12.3(7)T で導入されました。この機能を使用するには、ルータでハードウェア IPSec 暗号化を無効にする必要があります。
esp-3des
168 ビットの DES 暗号化アルゴリズム(3DES またはトリプル DES)を使用する ESP(Encapsulating Security Payload)トランスフォーム。
esp-des
56 ビットの DES 暗号化アルゴリズムを使用する ESP(Encapsulating Security Payload)トランスフォーム。
ESP-MD5-HMAC
MD5 の変形である SHA 認証アルゴリズムを使用する ESP(Encapsulating Security Payload)トランスフォーム。
esp-null
暗号化も機密性も提供しない ESP(Encapsulating Security Payload)トランスフォーム。
ESP-SHA-HMAC
HMAC の変形である SHA 認証アルゴリズムを使用する ESP(Encapsulating Security Payload)トランスフォーム。
EzSDD
Easy Secure Device Deployment。EzSDD では、Trusted Transitive Introduction(TTI)を使用して、2 つのエンド デバイス間(たとえば、Cisco IOS クライアントと Cisco IOS 証明書サーバ間)に PKI を簡単に導入できます。

 


F
Finger
ユーザに特定のインターネット サイトのアカウントがあるかどうかを確認するソフトウェア ツール。多くのサイトでは、インバウンド Finger 要求は許可されません。
FTP
ファイル転送プロトコル。TCP/IP プロトコル スタックの一部で、ホスト間のファイル転送に使用されます。

 


G
G.SHDSL
G.991.2 とも呼ばれます。国際電気通信連合が規定した対称型 DSL の国際標準です。G.SHDSL では、1 対の銅線を使用して、高速の対称データ ストリームを 192 kbps ~ 2.31 Mbps の速度で送受信できます。
GRE
ジェネリック ルーティング カプセル化。Cisco が開発したトンネリング プロトコルであり、IP トンネル内のさまざまなタイプのプロトコル パケットをカプセル化し、IP インターネットワーク上にリモートの Cisco ルータへの仮想ポイントツーポイント リンクを確立できます。シングルプロトコルのバックボーン環境にマルチプロトコル サブネットワークを接続して、GRE を使用した IP トンネリングを利用すれば、シングルプロトコルのバックボーン環境にまたがるネットワーク拡張が可能になります。
GRE over IPSec
この技術では、IPSec を使用して GRE パケットを暗号化します。

 


H
H.323
ローカル エリア ネットワーク(LAN)とその他のパケット交換型ネットワーク上でのビデオ会議、およびインターネット上でのビデオの送受信を可能にする標準。
HDLC
ハイレベル データリンク コントロール。ISO(国際標準化機構)が標準化したビット指向の同期データ リンク層プロトコル。フレーム文字とチェックサムを使用した同期シリアル リンク上でのデータ カプセル化方式を指定します。
HMAC
ハッシュベースのメッセージ認証コード。HMAC は暗号ハッシュ関数を使用したメッセージ認証メカニズムです。MD5、SHA-1 などの反復暗号ハッシュ関数および秘密共有キーと組み合わせて使用できます。HMAC の暗号の強度は、使用されるハッシュ関数の特性によって異なります。
HMAC-MD5
ハッシュ メッセージ認証コードと MD5 の組み合わせ(RFC 2104)。キー付きの MD5 であり、送信者と受信者は共有プライベート キーを使用して転送情報を検証できます。
HTTP、HTTPS
Hypertext Transfer Protocol、Hypertext Transfer Protocol, Secure。Web ブラウザおよび Web サーバがテキストファイルやグラフィック ファイルなどを転送するために使用するプロトコルです。

 


I
ICMP
インターネット制御メッセージ プロトコル。ネットワーク層のインターネット プロトコルで、エラーを通知し、IP パケット処理に関するその他の情報を提供します。
IDM
IDS デバイス マネージャ。IDS センサの管理に使用されるソフトウェアです。
IDS
侵入検知システム。Cisco IPS は、ネットワーク トラフィックをリアルタイムに分析し、シグニチャ ライブラリと照合することによって異常や悪用を検出します。不正なアクティビティまたは異常を検出すると、その状態を終結させてトラフィックによるホスト攻撃をブロックし、IDM にアラートを送信します。
IDS センサ
IDS センサは、Cisco IDS が実行されているハードウェアです。スタンドアロン デバイスとして、またはルータにインストールされたネットワーク モジュールとして使用できます。
IETF
インターネット技術特別調査委員会。
IGMP
Internet Group Management Protocol。IPv4 システムが IP マルチキャストのメンバ情報を隣接マルチキャスト ルータに通知するために使用するプロトコルです。
IKE
インターネット キー交換。IPSec およびその他の標準とともに使用されるキー管理プロトコルの標準。IPSec は IKE を使用しないように設定できますが、IKE を使用した方が IPSec 標準の機能と柔軟性が向上し、設定が容易になります。IKE は IPSec ピアの認証と、IPSec キーおよび IPSec セキュリティ アソシエーションのネゴシエーションを行います。
IPSec トラフィックを通過させるには、各ルータ/ファイアウォール/ホストでピアの識別情報を確認できる必要があります。これは、手動で事前共有キーを両方のホストに入力するか、または CA サービスによって可能です。IKE は、Internet Security Association and Key Management Protocol(ISAKMP)フレームワークの内部に Oaklay と Skeme のキー交換を実装したハイブリッド プロトコルです。ISAKMP、Oakley、および Skeme は、IKE によって実装されるセキュリティ プロトコルです。
IKE ネゴシエーション
安全でないネットワーク上でプライベート キーを安全に交換するための方法。
IOS
Cisco IOS ソフトウェア。CiscoFusion アーキテクチャに基づくすべての製品に共通の機能、スケーラビリティ、およびセキュリティを提供する Cisco システム ソフトウェア。Cisco IOS を使用すると、広範なプロトコル、メディア、サービス、およびプラットフォームがサポートされるだけでなく、インターネットワークのインストールと管理が中央に統合され、自動化されます。
IOS IPS
Cisco IOS 侵入防御システム。IOS IPS は、トラフィックを侵入シグニチャの広範なデータベースと照合して、侵入パケットを廃棄し、設定に基づいてその他のアクションを実行できます。シグニチャは、この機能をサポートする IOS イメージに組み込まれています。追加のシグニチャはローカルまたはリモートのシグニチャ ファイルに格納できます。
IP
インターネット プロトコル。インターネット プロトコルは、世界で最もよく知られているオープンシステム(非専有)プロトコル スイートです。相互接続された任意のネットワーク上での通信に使用でき、LAN 通信にも WAN 通信にも適しています。
IP アドレス
IP バージョン 4 アドレスの長さは 32 ビット、つまり 4 バイトです。このアドレス「空間」は、ネットワーク番号、オプションのサブネットワーク番号、およびホスト番号の指定に使用されます。32 ビットを 4 つのオクテット(8 バイナリ ビット)に分けて、ピリオドつまり「ドット」で区切った 4 つの 10 進数で表現します。ネットワーク番号、サブネットワーク番号、およびホスト番号を示すアドレス部分は、サブネット マスク で示されます。
IPSec
ピア間のデータ機密性、データ整合性、およびデータ認証を提供するオープン標準のフレームワーク。これらのセキュリティ サービスは IP 層で提供されます。IPSec では、IKE を使用して、ローカル ポリシーに基づいてプロトコルとアルゴリズムのネゴシエーションを処理し、IPSec で使用する暗号キーと認証キーを生成します。IPSec は、1 対のホスト間、1 対のセキュリティ ゲートウェイ間、またはセキュリティ ゲートウェイとホスト間のデータ フローを保護する目的に使用できます。
IPSec ポリシー
SDM では、IPSec ポリシーは VPN 接続に関連付けられた暗号マップの名前付きセットです。
IPSec ルール
IPSec で保護するトラフィックを指定するために使用されるルール。
ISAKMP
Internet Security Association Key Management Protocol は、IKE の基礎です。通信中のピアの認証、セキュリティ アソシエーションの作成と管理、およびキー生成方法の定義などを行います。

 


L
L2F プロトコル
レイヤ 2 転送プロトコル。インターネット上の安全なバーチャル プライベート ダイヤルアップ ネットワークの構築をサポートするプロトコルです。
L2TP
レイヤ 2 トンネリング プロトコル。RFC 2661 で定義されている IETF(インターネット技術特別調査委員会)標準のトラック プロトコルであり、PPP のトンネリングを提供します。L2F と PPTP のすぐれた機能をベースにして、業界全体で使用できる VPDN の実装方法を提供します。L2TP は IPSec の代替として提案されていますが、認証サービスを提供するために IPSsec と組み合わせて使用されることもあります。
LAC
L2TP アクセス コンセントレータ。リモート システムへのコール、およびリモート システムと LNS 間のトンネリング PPP セッションを終端するデバイスです。
LAN
ローカル エリア ネットワーク。1 つの場所に常駐するネットワーク、または 1 つの組織に属するネットワーク。必須ではありませんが、通常は IP プロトコルを使用します。その他のインターネット プロトコルを使用する場合もあります。グローバル インターネットではありません。「イントラネット」、「ネットワーク」、「インターネット」も参照してください。
LAPB
平衡型リンク アクセス手順。
LBO
Line Build Out。
LNS
L2TP ネットワーク サーバ。LAC からの L2TP トンネルの終端、および L2TP データ セッションを介したリモート システムへの PPP セッションの終端が可能なデバイスです。

 


M
MAC
メッセージ認証コード。メッセージの信頼性を確認するために使用される暗号チェックサム。「ハッシュ」を参照してください。
MD5
Message Digest 5。128 ビットのハッシュ値を生成する単方向のハッシュ関数。MD5 と SHA(Secure Hashing Algorithm)は MD4 の変形であり、MD4 のハッシュ アルゴリズムのセキュリティを強化するように設計されています。Cisco は IPSec フレームワーク内での認証にハッシュを使用しています。MD5 は通信の整合性を検証し、通信の発信元を認証します。
MD5
Message Digest 5。128 ビットのハッシュ値を生成する単方向のハッシュ アルゴリズム。MD5 と SHA(Secure Hash Algorithm)は MD4 の変形であり、MD4 のハッシュ アルゴリズムのセキュリティを強化するように設計されています。Cisco は IPSec フレームワーク内での認証にハッシュを使用しています。SNMP v.2 ではメッセージ認証にも使用されています。MD5 は通信の整合性の検証、発信元の認証、適時性の確認などを行います。
mGRE
マルチポイント GRE
MTU
最大伝送ユニット。インターフェイスが送受信できる最大パケット サイズ(バイト単位)です。

 


N
NAS
ネットワーク アクセス サーバ。インターネットと公衆交換電話網(PSTN)のインターフェイスとなるプラットフォーム。
ネットワークと端末エミュレーション ソフトウェアを使用して非同期デバイスを LAN または WAN に接続するゲートウェイ。サポートされているプロトコルの同期ルーティングと非同期ルーティングを実行します。
NAT
ネットワーク アドレス トランスレーション
ネットワーク アドレス トランスレーション。グローバルに一意の IP アドレスを使用する必要性をなくすためのメカニズム。NAT は、グローバルに一意でないアドレスを持つ組織がインターネットに接続できるように、それらのアドレスをグローバルにルート指定可能なアドレス空間のアドレスに変換します。
NetFlow
ルータがインバウンド パケットをフローに分類できるようにする機能。多くの場合、フロー内のパケットは同じ方法で扱うことができるので、この分類によってルータの一部の処理が省略され、スイッチング操作は高速化されます。
NHRP
Next Hop Resolution Protocol。ハブ ルータがサーバであり、スポークがクライアントである DMVPN ネットワークで使用されるクライアント/サーバ プロトコル。ハブは、各スポークのパブリック インターフェイス アドレスの NHRP データベースを保持します。各スポークは、ブート時に自身の実際のアドレスを登録し、宛先スポークの実際のアドレスを NHRP データベースに照会して、それらのスポークへの直接トンネルを構築します。
NTP
ネットワーク タイム プロトコル。ネットワーク デバイス上のシステム時計を同期させるプロトコル。NTP は UDP プロトコルです。

 


O
Oakley
認証された当事者が使用できる、プライベート キーを確立するプロトコル。Diffie-Hellman に基づき、ISAKMP の互換性のあるコンポーネントとなるように設計されています。
OFB
出力フィードバック。暗号化(必須ではないが、通常は DES 暗号化)された出力を元の入力に戻す IPSec 機能。平文は、対称キーで直接暗号化されます。これにより、擬似乱数ストリームが生成されます。
OSPF
Open Shortest Path First。インターネット コミュニティで RIP の後継として提案された、リンクステート階層型 IGP ルーティング アルゴリズム。OSPF 機能には、最低コスト ルーティング、マルチパス ルーティング、負荷分散などがあります。

 


P
PAD
Packet Assembler/Disassembler。特定のプロトコルの全機能をサポートしない単純なデバイス(キャラクタモードの端末など)をネットワークに接続するために使用されるデバイス。PAD は、データのバッファリング、およびエンド デバイスに送信されたパケットの組み立てと分解を行います。
PAP
パスワード認証プロトコル。ピアが互いに相手を認証できるようにする認証プロトコル。PAP では、パスワードとホスト名またはユーザ名を、暗号化されていない形式で渡します。「CHAP」も参照してください。
PAT、ダイナミック PAT
ポート アドレス トランスレーション。ダイナミック PAT を使用すると、複数のアウトバウンド セッションが 1 つの IP アドレスから開始されているように見せることができます。PAT を有効にすると、ルータは各アウトバウンド変換スロット(xlate)用に PAT IP アドレスから固有のポート番号を選択します。この機能は、インターネット サービス プロバイダがアウトバウンド接続用に固有の IP アドレスを十分に割り当てられない場合に役立ちます。グローバル プール アドレスがすべて使用されてから PAT アドレスが使用されます。
PFS
完全転送秘密。非対称キー合意プロトコルの特性であり、1 つのキーを使用することでセッション全体が危険にさらされることのないように、セッション中に異なるキーをそれぞれ別の時間に使用できるようにします。
ping
ホストがネットワーク上でアクセス可能かどうかを確認するために、ホスト間で送信される ICMP 要求。
PKCS7
Public Key Cryptography Standard No. 7。
PKI
パブリック キー インフラストラクチャの略。認証機関(CA)と登録機関(RA)で設定されるシステムであり、証明書管理、アーカイブ管理、キー管理、トークン管理などの機能によるデータ通信での非対称キー暗号法の使用をサポートします。
非対称キー交換の標準でもあります。
このタイプのキー交換では、メッセージの受信者はメッセージ内の署名を信頼することができ、送信者は受信者が復号化できるようにメッセージを暗号化できます。「キー管理」を参照してください。
PPP
ポイントツーポイント プロトコル。同期および非同期回線上の、ルータ間の接続およびホストとネットワーク間の接続を可能にするプロトコル。PPP には、CHAP や PAP などのセキュリティ メカニズムが組み込まれています。
PPPoA
非同期転送モード(ATM)を介したポイントツーポイント プロトコル。主に ADSL の一部として実装される PPPoA は、RFC1483 に依存し、Logical Link Control-Subnetwork Access Protocol(LLC-SNAP)モードまたは VC-Mux モードで動作します。
PPPoE
PPP over Ethernet。イーサネット フレームでカプセル化された PPP。PPPoE を使用すると、イーサネット ネットワーク上のホストをブロードバンド モデム経由でリモート ホストに接続できます。
PPTP
ポイントツーポイント トンネリング プロトコル。パケットを TCP/IP ベースのネットワーク経由で送信できるように IP データグラムにカプセル化することによって、クライアントが開始するトンネルを作成します。L2F および L2TP トンネリング プロトコルの代わりに使用できます。PPTP は Microsoft 独自のプロトコルです。
PVC
相手先固定接続。永続的に確立されている仮想回線。特定の仮想回線が常に必要な状況で、回線の確立と切断に必要な帯域幅を節約できます。ATM 用語では、相手先固定接続といいます。

 


Q
QoS
Quality of Service。指定されたタイプのトラフィックに対して帯域幅を保証する方法。

 


R
RA
登録機関。PKI システム内のオプション コンポーネントとして機能するエンティティであり、認証機関(CA)が証明書の発行時またはその他の証明書管理機能の実行時に使用する情報を記録または確認します。CA 自体はすべての RA 機能を実行できますが、CA と RA は一般に別にします。RA が担当する処理は多種多様ですが、識別名の割り当て、トークンの配信、個人の認証機能の実行などが含まれます。
RCP
リモート コピー プロトコル。ユーザが、ネットワーク上のリモート ホストまたはサーバに常駐するファイル システムからファイルをコピーしたり、そのファイル システムにファイルをコピーしたりできるプロトコル。RCP プロトコルはデータを確実に転送するために TCP を使用しています。
RFC 1483 ルーティング
RFC1483 には、ATM ネットワーク上でコネクションレス型ネットワークの相互接続トラフィックを伝送する方法として、ルーテッド PDU(プロトコル データ ユニット)とブリッジド PDU の 2 つが記述されています。SDM では、RFC 1483 ルーティングの設定がサポートされ、AAL5MUX と AAL5SNAP の 2 つのカプセル化タイプを設定できます。
AAL5MUX : AAL5 MUX カプセル化は、PVC あたり 1 つのプロトコル(IP または IPX)をサポートします。
AAL5SNAP : AAL5 Logical Link Control/Subnetwork Access Protocol(LLC/SNAP)カプセル化は、Inverse ARP をサポートし、プロトコル データグラムの前に LLC/SNAP を組み込みます。これにより、同じ PVC 上で複数のプロトコルが使用できます。
RIP
ルーティング情報プロトコル。ルーティング メトリックとして、パケットが宛先に到達するまでに経由する必要のあるルータの数を使用するルーティング プロトコルです。
RPC
リモート プロシージャ コールであり、クライアントによって作成または指定され、サーバ上で実行されるプロシージャ コール。その結果はネットワーク経由でクライアントに返されます。「クライアント/サーバ コンピューティング」も参照してください。
RSA
大きな数の因数分解に基づく暗号キー交換技術で、開発者の Rivest、Shamir、および Adelman の頭文字を取って名付けられました。RSA は技術そのものの名前でもあります。暗号化と認証に使用でき、多くのセキュリティ プロトコルで採用されています。
RSA キー
RSA の非対称キー ペアは、一致するパブリック キーとプライベート キーの組み合わせです。
RSA 署名
IPSec で提供される 3 つの認証方式の 1 つ。他の 2 つの方式は、RSA 暗号化 nonce と事前共有キーです。また、FIPS(Federal Information Processing Standards)が認める、デジタル署名の生成と確認のための 3 つのアルゴリズムのうちの 1 つでもあります。認められている他の 2 つのアルゴリズムは DSA と Elliptic Curve DSA です。

 


S
SA
セキュリティ アソシエーション。特定のトンネルの指定セッションを保護するために 2 つのピア間で合意されたセキュリティ パラメータのセット。IKE と IPSec は SA を使用しますが、両方の SA は互いに独立しています。
IPSec SA は単方向であり、各セキュリティ プロトコルにおいて一意です。IKE SA は IKE によってのみ使用され、IPSec SA とは違って双方向です。IKE は IPSec に代わって SA のネゴシエーションと確立を行います。ユーザは IPSec SA を手動で確立することもできます。
保護されたデータ パイプに 1 セットの SA が必要であり、プロトコルごとに 1 方向あたり 1 つ必要です。たとえば、ピア間の ESP(Encapsulating Security Protocol)をサポートしているパイプでは、各方向に ESP SA が 1 つ必要です。SA は宛先(IPSec エンドポイント)アドレス、セキュリティ プロトコル(AH または ESP)、およびセキュリティ パラメータ インデックス(SPI)によって一意に識別されます。
SAID
セキュリティ アソシエーション ID。特定のリンクの SA に割り当てられた数値識別子です。
salt
暗号をさらに複雑にするために使用される擬似ランダムな文字列
SDM
Cisco Router and Security Device Manager. Cisco SDM は、ルータ上の LAN、WAN、およびセキュリティ機能を設定できるインターネット ブラウザベースのソフトウェア ツールです。詳細については、「 はじめに 」を参照してください。
SHA
一部の暗号化システムでは、MD5 の代わりに Secure Hashing Algorithm を使用してデジタル署名を生成します。
SHA-1
Secure Hashing Algorithm 1。長さが 264 ビット以下のメッセージから 160 ビットのメッセージ ダイジェストを生成するアルゴリズム。メッセージ ダイジェストが大きいため、総当たり攻撃や反転攻撃に対するセキュリティが強化されます。SHA-1[NIS94c]は、1994 年に公開された SHA の修正版です。
SIP
Session Initiation Protocol。コール処理セッション、特に 2 者間の電話会議、つまり「コール」を可能にします。SIP はコール シグナリング対応の SDP(Session Description Protocol)と連動します。SDP はメディア ストリーム用のポートを指定します。SIP を使用すると、ルータは SIP VoIP(Voice over IP)ゲートウェイと VoIP プロキシ サーバをサポートできます。
SMTP
シンプルメール転送プロトコル。電子メール サービスを提供するインターネット プロトコルです。
SNMP
簡易ネットワーク管理プロトコル。TCP/IP ネットワーク専用のネットワーク管理プロトコル。ネットワーク デバイスの監視および制御と、設定、統計情報の収集、パフォーマンス、およびセキュリティの管理を行う手段を提供します。
SPD
Selective Packet Discard。キューの輻輳が発生したときに、ルーティング プロトコル パケットやその他の重要なトラフィック制御のレイヤ 2 キープアライブに優先権を与えます。
SRB
ソースルート ブリッジング。IBM によって開発されたブリッジング方式であり、トークン リング ネットワークでは広く利用されています。SRB ネットワークでは、宛先までのルート全体がリアルタイムに決定されてから、データが宛先に送信されます。
SSH
セキュア シェル。TCP/IP などの信頼性のあるトランスポート層で実行されるアプリケーションであり、強力な認証および暗号化機能を提供します。ルータ コンソールに同時にアクセスできる SSH クライアントは最大 5 つです。
SSL

セキュア ソケット レイヤ。電子商取引におけるクレジット カード番号の送信時など、安全なトランザクションを提供するために使用される Web 用の暗号化技術です。

 


T
T1
T1 回線は、1.5 Mbps の速度でデータを伝送できるデータ リンクです。
TCP
転送制御プロトコル。信頼性のある全二重データ転送を提供する接続指向のトランスポート層プロトコルです。
TCP Syn Flood 攻撃

Syn Flood 攻撃は、ハッカーが大量の接続要求をサーバに送信した場合に発生します。これらのメッセージには到達不可能な戻りアドレスが含まれているため、接続は確立できません。したがって、未解決のオープン状態の接続が大量に発生します。これにより、サーバが過負荷状態になり、有効な要求に対するサービスが拒否されるため、正規のユーザが Web サイトに接続したり、電子メールにアクセスしたり、FTP サービスを利用したりできなくなる可能性があります。

Telnet
インターネットなどの TCP/IP ネットワーク用の端末エミュレーション プロトコル。Web サーバをリモートで制御するために一般に使用される方法です。
TFTP
Trivial File Transfer Protocol。ファイル転送に使用される単純なプロトコルです。UDP 上で実行されます。詳細については、RFC(Request For Comments)1350 を参照してください。

 


U
UDP
ユーザ データグラム プロトコル。TCP/IP プロトコルのコネクションレス型のトランスポート層プロトコルで、インターネット プロトコル ファミリに属しています。
Unity クライアント
Unity Easy VPN サーバのクライアント。
URL
Universal Resource Locator。ブラウザを使用してハイパーテキスト文書やその他のサービスにアクセスするときの標準化されたアドレス指定方法。例: http://www.cisco.com。

 


V
VCI
仮想チャネル識別子。仮想パスには、個々の接続に対応する複数の仮想チャネルが存在する場合があります。VCI は使用されているチャネルを識別します。VPI と VCI の組み合わせによって ATM 接続が識別されます。
VPDN
バーチャル プライベート ダイヤルアップ ネットワーク。ホーム ネットワークから離れた場所にダイヤルイン ネットワークを配置できるシステムであり、外見上は直接接続されているように見えます。VPDN は L2TP と L2F を使用して、ネットワーク接続のレイヤ 2 以上の部分を NAS(ネットワーク アクセス サーバ)ではなくホーム ゲートウェイで終端します。
VPI
仮想パス識別子。ATM 接続で使用される仮想パスを識別します。
VPN
仮想プライベート ネットワーク。パブリック インフラストラクチャを使用するユーザに、プライベート ネットワークを使用する場合と同様のネットワーク接続を提供します。VPN では、あるネットワークから別のネットワークへのすべてのトラフィックを暗号化することにより、IP トラフィックをパブリック TCP/IP ネットワークを介して安全に転送できます。VPN はトンネリングを使用して、すべての情報を IP レベルで暗号化します。
VPN 接続
サイト間 VPN。サイト間 VPN はピア間の VPN 接続のセットで設定され、各接続の定義属性には次のデバイス設定情報が含まれています。
- 接続名
- IKE ポリシーと事前共有キー(オプション)
- IPSec ピア
- 接続で保護する 1 つ以上のリモート サブネットまたはホストのリスト
- 暗号化するトラフィックを定義する IPSec ルール
- 保護するトラフィックの暗号化方法を定義するトランスフォーム セットのリスト
- 接続を適用するデバイス ネットワーク インターフェイスのリスト
VPN ミラー ポリシー
リモート システム上の VPN ポリシーであり、ローカル ポリシーと互換性のある値と、リモート システムとローカル システム間の VPN 接続を確立するために必要な値が含まれます。ミラー ポリシーの一部の値は、ローカル ポリシーの値と一致する必要があります。また、ピアの IP アドレスなどの値は、ローカル ポリシー内の対応する値の反対である必要があります。
サイト間 VPN 接続を設定するときに、リモート管理者が使用するミラー ポリシーを作成できます。ミラー ポリシーの生成方法の詳細については、「 ミラーの生成...」を参照してください。
vty
仮想端末。一般に、仮想端末回線の意味で使用されています。

 


W
WAN
ワイド エリア ネットワーク。地理的に広範囲にわたるユーザにサービスを提供するネットワークであり、一般には、一般通信事業者が提供する転送デバイスが使用されます。「LAN」も参照してください。
WINS
Windows Internet Naming Service。特定のネットワーク コンピュータに関連付けられた IP アドレスを決定する Windows システム。

 


X
X.509
デジタル証明書の標準であり、証明書の構造を規定しています。主なフィールドは、ID、サブジェクト フィールド、有効期間、パブリック キー、CA 署名です。
X.509 証明書
X.509 ガイドラインに従った構造を持つデジタル証明書。
X.509 証明書失効リスト(CRL)
失効した証明書の番号のリスト。X.509 CRL は、X.509 で定義されている 2 つの CRL フォーマットのどちらかに従います。
XAuth
IKE Extended Authentication。Xauth を使用すると、Cisco IOS ソフトウェアのすべての AAA 認証方式で、IKE 認証フェーズ 1 の交換後にユーザ認証を別のフェーズで実行できます。ユーザ認証を実行するには、AAA 設定のリスト名と Xauth 設定のリスト名が一致する必要があります。
Xauth は IKE の拡張であり、IKE 認証に代わるものではありません。

アクセス コントロール、アクセス コントロール ルール
設定に入力される情報であり、インターフェイスへの通過を許可または拒否するトラフィック タイプを指定できます。デフォルトでは、明示的に許可されていないトラフィックは拒否されます。アクセス コントロール ルールは、アクセス コントロール エントリ(ACE)で設定されています。
アグレッシブ モード
ISAKMP SA を確立するモードであり、2 台以上の IPSec ピア間の IKE 認証のネゴシエーション(フェーズ 1)が簡略化されます。アグレッシブ モードはメイン モードより高速ですが、安全性は低くなります。「メイン モード(クイック モード)」を参照してください。
アドレス トランスレーション
ネットワーク アドレスまたはポートを別のネットワーク アドレスまたはポートに変換すること。「IP アドレス」、「NAT」、「PAT、ダイナミック PAT」、「スタティック PAT」も参照してください。
アルゴリズム
問題解決手順の論理シーケンス。セキュリティ アルゴリズムは、データ暗号化または認証のどちらかに関係します。
データ暗号化アルゴリズムの例として、DES と 3DES があります。
暗号化/復号化アルゴリズムには、ブロック暗号、CBC、NULL 暗号、ストリーム暗号などがあります。
認証アルゴリズムには、MD5、SHA などのハッシュが含まれます。
暗号
暗号化/復号化アルゴリズム。
暗号化
データに特定のアルゴリズムを適用してそのデータの外観を変更し、情報の参照を許可されていないユーザが理解できない状態にすること。
暗号化する
平文から暗号文を生成すること。
暗号化なし
暗号化されていないこと。
暗号文
復号化される前の、暗号化された、読めない状態のデータ。
暗号法
データの秘密性と確実性を保持し、データの変更や否認を防ぐための数学的および科学的な技術。
暗号マップ
SDM では、暗号マップを使用して、IPSec で保護するトラフィックのタイプ、IPSec で保護するデータの送信先、およびこのトラフィックに適用する IPSec トランスフォーム セットを指定します。
暗黙のルール
デフォルト ルールに基づいて、またはユーザ定義のルールの結果として、ルータにより自動的に作成されるアクセス ルール 。

イーサネット
広く使用されている LAN プロトコルで、Xerox Corporation によって発明され、Xerox、Intel、および Digital Equipment Corporation によって開発されました。イーサネット ネットワークは CSMA/CD 方式を採用し、さまざまなタイプのケーブル上で運用されます。その伝送速度は 10 Mpbs または 100 Mbps です。イーサネットは IEEE 802.3 シリーズの標準に似ています。
インスペクション ルール
CBAC インスペクション ルールを使用すると、ルータは指定されたアウトバウンド トラフィックを検査して、LAN 上で開始されたセッションに関連付けられている同じタイプのリターン トラフィックを許可できます。ファイアウォールが存在する場合、インスペクション ルールが設定されていなければ、ファイアウォールの内部で開始されたセッションに関連付けられているインバウンド トラフィックは破棄される可能性があります。
インターネット
IP(インターネット プロトコル)を使用するグローバル ネットワーク。LAN ではありません。「イントラネット」も参照してください。
インターフェイス
特定のネットワークとルータ間の物理的な接続。ルータの LAN インターフェイスはルータのローカル ネットワークに接続します。ルータには、インターネットに接続する WAN インターフェイスが 1 つ以上あります。
イントラネット
イントラネットワーク。IP と、SNMPFTPUDP などのインターネット プロトコルを使用する LAN。「ネットワーク」、「インターネット」も参照してください。

エコー
ping」、「ICMP」を参照してください。

外部グローバル
外部ネットワーク上のホストの所有者によってそのホストに割り当てられた IP アドレス。アドレスはグローバルにルート指定可能なアドレスまたはネットワーク空間から割り当てられます。
外部ローカル
外部ホストを内部ネットワークから見たときの IP アドレス。必ずしも正規のアドレスではなく、内部でルート指定可能なアドレス空間から割り当てられます。
拡張ルール
アクセス ルールのタイプ。拡張ルールでは、さまざまなパケット フィールドを検査して条件に一致するかどうかを判断できます。検査できるフィールドは、パケットの送信元と宛先の IP アドレス、プロトコル タイプ、送信元と宛先のポート、およびその他のパケット フィールドです。
カプセル化
データを特定のプロトコル ヘッダに包み込むこと。たとえば、イーサネット データは、ネットワークに送信される前に特定のイーサネット ヘッダに包み込まれます。また、異種ネットワークを相互接続する場合、一方のネットワークのフレーム全体が他方のネットワークのデータ リンク層プロトコルで使用されるヘッダに単純に配置されます。

キー
データの暗号化/復号化、またはメッセージ ダイジェストの計算に使用されるビット文字列。
キー エスクロー
暗号キーを保持する、信頼性できる第三者。
キー管理
暗号キーの作成、配信、認証、および保管。
キー合意
2 人以上の当事者が同じ秘密対称キーを使用することに合意するプロセス。
キー交換
2 人以上の当事者が暗号キーを交換する方法。IKE プロトコルはその 1 つの方法を提供します。
キー ペア
パブリック キー暗号化」を参照してください。
キー ライフタイム
キー ペアの属性で、そのキー ペアのパブリック キーを含む証明書が有効である期間を指します。
キー リカバリ
復号キーがなくなったり壊れたりした場合に、暗号化された情報を復号化することの可能な信頼できる方法。
擬似ランダム
表面上は本当にランダムなシーケンスのように見える規則正しいビット シーケンス。擬似乱数によって生成されたキーは、nonce と呼ばれます。
キャッシュ
これまでのタスクの実行によって蓄積された情報の一時的な保管場所。再利用が可能であるため、タスクの実行に必要な時間が短縮されます。
共有キー
対称キーベースの通信セッションで、すべてのユーザが共有するプライベート キー
共有プライベート キー
暗号キー。

クイック モード
Oakley において、セキュリティ アソシエーションの確立後に、セキュリティ サービスの変更(新しいキーなど)をネゴシエートするために使用されるメカニズムの名前。
クライアント/サーバ コンピューティング
トランザクション処理がクライアント(フロント エンド)とサーバ(バック エンド)の 2 つの部分に分割される分散コンピューティング(処理)ネットワーク システムを表す用語。分散コンピューティングとも呼ばれます。「RPC」も参照してください。
クリア チャネル
暗号化されていないトラフィックを転送できるチャネル。クリア チャネルでは、転送データにセキュリティ制限は適用されません。
クリアテキスト
暗号化されていないテキスト。平文とも呼ばれます。
グローバル IKE ポリシー
デバイス上の 1 つのインターフェイスだけでなく、そのデバイス全体に適用される IKE ポリシー。

検証
ユーザまたはプロセスの識別情報を確認すること

サイト間 VPN
一般に、サイト間 VPN は、2 つのネットワークまたはサブネットワークを接続し、他の特定の条件を満たす VPN です。その条件は、トンネルの両側でスタティック IP アドレスを使用すること、ユーザ側のステーションに VPN クライアント ソフトウェアがないこと、中央の VPN ハブ(ハブアンドスポークの VPN 設定に存在するようなハブ)がないこと、などです。サイト間 VPN は、リモート ユーザまたはモバイル ユーザによるダイヤルイン アクセスに代わるものではありません。
サブネット、サブネットワーク
IP で使用される 32 ビットのアドレス マスクであり、ネットワーク アドレスとオプションのサブネット アドレスに使用する IP アドレスのビットを示します。サブネット マスクは 10 進数で表現されます。マスク 255.255.255.0 では、アドレスの最初の 24 ビットを指定します。単に「マスク」と呼ばれることもあります。「マスク」と「IP アドレス」も参照してください。
サブネット ビット
サブネット マスク
IP で使用される 32 ビットのアドレス マスクで、ネットワーク アドレスおよびオプションでサブネット アドレスに使用する IP アドレスのビットを示します。サブネット マスクは 10 進数で表現されます。マスク 255.255.255.0 では、アドレスの最初の 24 ビットを指定します。単に「マスク」と呼ばれることもあります。「マスク」と「IP アドレス」も参照してください。

事前共有キー
IPSec で提供される 3 つの認証方式の 1 つ。他の 2 つの方式は、RSA 暗号化 nonce と RSA 署名です。事前共有キーを使用すると、個別の共有プライベート キーを使用する 1 つ以上のクライアントが IKE を使用してゲートウェイへの暗号化されたトンネルを認証できます。事前共有キーは、一般に小規模ネットワーク(最大 10 クライアント)で使用されます。事前共有キーを使用すると、セキュリティのために CA を使用する必要がなくなります。
Diffie-Hellman キー交換は、パブリック キーとプライベート キーを組み合わせて共有プライベート キーを作成します。作成されたキーは IPSec ピア間の認証に使用されます。共有プライベート キーは、2 台以上のピアで共有できます。各ピアで、共有プライベート キーを IKE ポリシーの一部として指定します。通常、この事前共有キーの配信には、安全な帯域外チャネルが使用されます。事前共有キーを使用するときに、1 台のピアに同じ事前共有キーが設定されていない場合は、IKE SA を確立できません。IKE SA は IPSec SA の前提条件です。事前共有キーはすべてのピアに設定する必要があります。
デジタル証明書とワイルドカードの事前共有キー(共有プライベート キーを使用する 1 つ以上のクライアントがゲートウェイへの暗号化されたトンネルを認証できるようにする)を事前共有キーの代わりに使用できます。デジタル証明書とワイルドカードの事前共有キーは両方とも事前共有キーよりもスケーラブルです。
失効パスワード
ルータのデジタル証明書の失効を要求するときに CA に提供するパスワード。チャレンジ パスワードと呼ばれることもあります。
証明書
デジタル証明書」を参照してください。
証明書 ID
X.509 証明書には、その証明書を所有するデバイスまたはエンティティを識別する情報が含まれています。この識別情報は、以降に行われるピアの確認および認証のたびに検査されます。ただし、証明書 ID は、スプーフィング攻撃を受けやすくなる場合があります。
署名
「デジタル署名」を参照してください。
署名証明書
メッセージまたは文書にデジタル署名を関連付けたり、メッセージまたはファイルが伝送中に変更されなかったことを証明したりするために使用されます。

スタティック PAT
スタティック ポート アドレス トランスレーション。スタティック アドレスは、ローカル IP アドレスをグローバル IP アドレスにマッピングします。スタティック PAT は、ローカル ポートのグローバル ポートへのマッピングも行うスタティック アドレスです。「PAT、ダイナミック PAT」も参照してください。
スタティック ルート
明示的に設定され、ルーティング テーブルに追加されているルート。スタティック ルートは、ダイナミック ルーティング プロトコルによって選択されるルートより優先されます。
ステート、ステートフル、ステートフル インスペクション
ネットワーク プロトコルでは、2 台のホスト間のネットワーク接続の両端に、ステート情報と呼ばれる特定のデータを保持します。ステート情報は、保証付きパケット配信、データの順序付け、フロー制御、トランザクション ID やセッション ID などのプロトコル機能を実装するために必要です。一部のプロトコル ステート情報は、プロトコルの使用中に各パケットに含めて送信されます。たとえば、Web サーバに接続された Web ブラウザは、HTTP とサポートされている TCP/IP プロトコルを使用します。各プロトコル レイヤは送受信するパケット内にステート情報を保持します。ルータは各パケット内のステート情報を調べて、その情報が最新であり、情報に含まれるどのプロトコルに対しても有効であることを確認します。この機能はステートフル インスペクションと呼ばれ、特定のタイプのコンピュータ セキュリティ脅威に対する強力な防壁を構築します。
スプーフィング
スプーフ
パケットが送信元のアドレスを偽ること。スプーフィングは、フィルタやアクセス リストなどのネットワーク セキュリティ メカニズムを回避するように設計されます。
スポーク
DMVPN ネットワークでは、スポーク ルータはネットワーク内の論理的なエンド ポイントであり、DMVPN ハブ ルータとのポイントツーポイントの IPSec 接続を確立しています。

セキュリティ アソシエーション ライフタイム
事前に決定された SA の有効期間
セッション キー
一度だけ使用されるキー
設定、設定ファイル
SDM を使用して管理できる設定、ユーザ設定、およびプロパティが格納されているルータ上のファイル。

ダイジェスト
ハッシュ関数の出力。
対称キー
暗号化されている情報を復号化するために使用されます。
ダイナミック ルーティング
ネットワーク トポロジまたはトラフィックの変更に合わせて自動的に調整されるルーティング。適応型ルーティングとも呼ばれます。
単一の DMVPN
単一の DMVPN 設定を持つルータは、1 台の DMVPN ハブに接続し、1 つの設定済み GRE トンネルを使用して DMVPN 通信を行います。ハブ アンド スポークの GRE トンネル アドレスは同じサブネット内に存在する必要があります。

チェックサム
転送データの整合性を確認するための計算方法であり、一連の算術演算で得られたオクテットのシーケンスから計算されます。受信側で値を再計算し、送信側の値と比較して整合性を確認します。

データの機密性
認証されていないユーザ、エンティティ、またはプロセスに対する情報の開示を防ぐためのデータ暗号化によってもたらされる成果。このような情報には、アプリケーション レベルのデータまたは通信パラメータがあります。「トラフィック フローの機密性またはトラフィック解析」を参照してください。
データの整合性
転送データが正確であると推定されること。送信者が信頼でき、データが変更されていないことを示します。
データ発信元認証
否認防止サービスの機能の 1 つ。
テールエンド
トンネルのダウンストリームの受信側。
デジタル証明書
ユーザまたはデバイスの属性をデジタル表現し、暗号署名を付加したもので、キーを ID に関連付けます。パブリック キーに付加された固有の証明書によって、キーが改ざんされていないことが証明されます。証明書は、信頼できる認証機関によって発行および署名され、パブリック キーをその所有者に対応付けます。一般に、証明書には、所有者の名前とパブリック キー、および証明書のシリアル番号と有効期限が含まれます。その他の情報が含まれる場合もあります。「X.509」を参照してください。
デジタル署名
データの偽造を簡単に検出し、否認を防止する認証方式。さらに、デジタル署名を使用することで、送信データがそのまま受信されたかどうかも確認できます。一般に、送信タイム スタンプが含まれます。
デフォルト ゲートウェイ
最後の手段として使用されるゲートウェイ。パケットの宛先アドレスがルーティング テーブル内のどのエントリにも一致しない場合、パケットはこのゲートウェイにルーティングされます。

エンロールメント URL
エンロールメント URL は、認証機関(CA)への HTTP パスです。Cisco IOS ルータはこのパスを使用して証明書要求を送信します。URL には DNS 名または IP アドレスが含まれます。URL の後に CA スクリプトへの完全パスが続くこともあります。
登録プロキシ ホスト
証明書登録サーバのプロキシ サーバ。
ドメイン名
インターネット上のホストのわかりやすく覚えやすい名前であり、IP アドレスに対応しています。
トラフィック フローの機密性またはトラフィック解析
通信パラメータの不正開示を防止するセキュリティ概念。この概念の実装に成功すると、送信元と宛先の IP アドレス、メッセージの長さ、および通信の頻度を不正ユーザから隠すことができます。
トランスフォーム
セキュリティ プロトコルおよび対応するアルゴリズムの記述。
トランスフォーム セット
IPSec で保護するトラフィックに適用できるセキュリティ プロトコル、アルゴリズム、およびその他の設定の組み合わせ。IPSec セキュリティ アソシエーションのネゴシエート時に、ピアは特定のデータ フローを保護するために使用するトランスフォーム セットについて合意します。
トンネリング
あるプロトコルのストリームを別のプロトコルを介して送信するプロセス。
トンネル
インターネットなどの共有手段を使用する仮想チャネルであり、カプセル化されたデータ パケットの交換に使用されます。

内部グローバル
ネットワークの外部にあるデバイスから見た場合のネットワークの内部にあるホストの IP アドレス。
内部ローカル
ネットワークの内部のホストに割り当てられた設定済み IP アドレス。

認証
セキュリティにおけるユーザまたはプロセスの識別情報の検証。認証では、データ ストリームが転送中に変更されていないことを確認し、データ ストリームの発信元を確認することによって、データ ストリームの整合性を立証します。
認証する
利用者が本人であることを確認すること。

ネットワーク
ネットワークは、1 台のホストではなく IP アドレス空間の一部を共有するコンピューティング デバイスのグループです。IP アドレスを持つ複数の「ノード」またはデバイス(ホストと呼ばれる場合もあります)で設定されます。「インターネット」、「イントラネット」、「IP」、「LAN」も参照してください。
ネットワーク ビット
サブネット マスクにおいて、2 進数の 1 に設定されたビットの数。サブネット マスク 255.255.255.0 は、マスクの 24 ビットが 1 に設定されているため、24 個のネットワーク ビットを持ちます。サブネット マスク 255.255.248 は、17 個のネットワーク ビットを持ちます。
ネットワーク モジュール
ルータに機能を追加するために、ルータ シャーシにインストールされたネットワーク インターフェイス カード。たとえば、イーサネット ネットワーク モジュール、IDS ネットワーク モジュールなどがあります。

パスワード
保護された秘密の文字列(または他のデータ ソース)であり、特定のユーザまたはエンティティの識別情報に関連付けられます。
ハッシュ
任意のサイズの入力を、メッセージ ダイジェストまたは単にダイジェストとも呼ばれる固定サイズのチェックサム出力に変換する単方向のプロセス。このプロセスは不可逆であるため、特定のダイジェストが生成されるようにデータを作成または変更することはできません。
ハッシュ アルゴリズム
ハッシュ アルゴリズムは、メッセージ ダイジェストとも呼ばれるハッシュ値の生成に使用され、メッセージの内容が送信中に変更されていないことを保証します。最も広く使用されている 2 つのハッシュ アルゴリズムは、Secure Hash Algorithm(SHA)と MD5 です。
パディング
暗号システムにおけるパディングは、メッセージの最初と最後にランダムな文字、空白、ゼロ、および null を追加することを意味します。これは、メッセージの実際の長さを隠したり、暗号のデータ ブロック サイズの要件を満たすために行われます。また、パディングにより、暗号コードの実際の開始位置もわかりにくくなります。
ハブ
DMVPN ネットワークでは、ハブはネットワーク内のすべてのスポーク ルータへのポイントツーポイント IPSec 接続を行うルータです。DMVPN ネットワークの論理的な中心になります。
パブリック キー暗号化
パブリック キー暗号化システムでは、すべてのユーザにパブリック キーとプライベート キーが割り当てられます。各プライベート キーは、1 人のユーザだけが保持し、他のユーザとは共有されません。プライベート キーは固有のデジタル署名の生成やパブリック キーで暗号化された情報の復号化に使用されます。一方、ユーザのパブリック キーは誰でも使用でき、そのユーザ宛ての情報を暗号化したり、そのユーザのデジタル署名を確認したりできます。パブリック キー暗号法と呼ばれることもあります。

ピア
IKE の場合、ピアは、IKE トンネルに関与するデバイスのプロキシとして機能するルータです。IPSec の場合、ピアは、キー交換またはデジタル証明書の交換によって安全に通信するデバイスまたはエンティティです。
非対称暗号化
パブリック キー システムとも呼ばれます。この方法では、ある人が誰か他の人のパブリック キーにアクセスし、そのキーを使用してその人に暗号化されたメッセージを送信できます。
非対称キー
数学的に関連している 1 対の暗号キー。パブリック キーで暗号化された情報はプライベート キーでしか解読できず、その逆も成り立ちます。また、プライベート キーを使って署名されたデータはパブリック キーでしか認証できません。
否認
暗号システムにおける否認とは、通信の当事者が、その通信の全部または一部に関与した事実を否定することを意味します。
否認防止サービス
すべての通信データの送信元と宛先に関する証拠を保管して、後で取得できるようにするサードパーティのセキュリティ サービス。実際のデータは保管されません。この証拠は、送信者が情報を送信した事実を否定したり、受信者が情報を受信した事実を否定したりできないように、その通信のすべての当事者を保護するために使用できます。
標準ルール

SDM におけるアクセス ルールまたは NAT ルールのタイプ。標準ルールは、パケットの送信元 IP アドレスを IP アドレス条件と照合して、一致するかどうかを判断します。一致する必要のある IP アドレス部分は、ワイルドカード マスクを使用して指定します。


ファイアウォール
接続されたすべてのパブリック ネットワークとプライベート ネットワークの間のバッファとして指定された、単一または複数のルータまたはアクセス サーバ。ファイアウォール ルータは、アクセス リストとその他の手段を使用してプライベート ネットワークのセキュリティを確保します。
フィンガープリント
CA 証明書のフィンガープリントは、CA 証明書全体に対する MD5 ハッシュによって得られた英数字の文字列です。CA 証明書を受け取ったエンティティは、そのフィンガープリントを既知のフィンガープリントと比較することによって、証明書が本物であるかどうかを確認できます。この認証の目的は、「man-in-the-middle」攻撃を防止することによって通信セッションの整合性を保証することです。
復号化
暗号化アルゴリズムを暗号化されたデータに逆に適用することによって、データを元の暗号化されていない状態に戻すこと。
物理インターフェイス
ネットワーク モジュールによってサポートされているルータ インターフェイスで、ルータ シャーシにインストールされているか、またはルータの基本ハードウェアの一部です。
プライベート キー
パブリック キー暗号化」を参照してください。
プライベート キー
対称キー」を参照してください。
フラッシュ、フラッシュ メモリ
電源を切ってもデータが保持されるメモリ チップ。必要に応じてソフトウェア イメージをフラッシュに格納したり、フラッシュからブートしたり、フラッシュに書き込んだりすることができます。
フレーム リレー
接続されたデバイス間で HDLC カプセル化を使用して複数の仮想回線を処理する、業界標準のスイッチ データ リンク層プロトコル。フレーム リレーは X.25 よりも効率的であり、一般に X.25 に代わるものと考えられています。
ブロック
固定長のビット シーケンス。
ブロック暗号
64 ビットの対称暗号を使用する暗号化アルゴリズムで、固定サイズのデータ ブロック単位で暗号化を行います。「暗号」を参照してください。
分散キー
いくつかの部分に分割され、それぞれ異なる当事者に配信される共有暗号キー。

平文
通常の暗号化されていないデータ。
ヘッドエンド
トンネルのアップストリームの送信側。

ホスト
個別の IP アドレスとオプションで名前が関連付けられたコンピュータ(PC など)またはコンピューティング デバイス(サーバなど)。IP アドレスを持つ TCP/IP ネットワーク上のデバイスの名前。また、任意のネットワーク上の、ネットワーク アドレス指定が可能な任意のデバイスでもあります。「ノード」には、通常は「ホスト」と呼ばれないルータやプリンタなどのデバイスも含まれます。

マスク
サブネット マスク
ネットマスク
ネットワーク マスク
インターネット アドレスをネットワーク、サブネット、およびホスト部に分割する方法を指定する 32 ビットのビット マスク。ネット マスクでは、ネットワークおよびサブネット部に使用されるビット位置に 1、ホスト部に使用されるビット位置に 0 がセットされます。マスクには、少なくとも標準のネットワーク部(アドレス クラスで定義される)を含め、サブネット フィールドはネットワーク部に隣接する必要があります。マスクは 2 進数の値を 10 進数に変換して設定します。
:
10 進数: 255.255.255.0
2 進数: 11111111 11111111 11111111 00000000
先頭から 24 ビットはネットワーク アドレスとサブネットワーク アドレス、最後の 8 ビットはホスト アドレスです。
10 進数: 255.255.255.248
2 進数: 11111111 11111111 11111111 11111000
先頭から 29 ビットはネットワーク アドレスとサブネットワーク アドレス、最後の 3 ビットはホスト アドレスです。
「IP アドレス」、「TCP/IP」、「ホスト」、「ホスト/ネットワーク」も参照してください。

メッセージ ダイジェスト
大きいデータ ブロックを表現するビット文字列。この文字列は、128 ビット ハッシュ関数による正確な内容の処理に基づいてデータ ブロックを定義します。メッセージ ダイジェストはデジタル署名の生成に使用されます。「ハッシュ」を参照してください。

有効期限
証明書またはキーに含まれている有効期限は、ライフタイムの最後を示します。有効期限が過ぎると、証明書またはキーは信頼されなくなります。

ライフ サイクル
有効期限」を参照してください。

リプレイ検出
シーケンス番号と認証を組み合わせた標準の IPSec セキュリティ機能。通信の受信者は、リプレイ攻撃を防止するために、古いパケットまたは重複したパケットを拒否できます。
リモート サブネット
サブネットワークは、ネットワーク管理者がサブネット マスクによって任意に分割した IP ネットワークです。マルチレベルの階層ルーティング構造が提供され、接続されたネットワークの複雑なアドレス指定を回避できます。「リモート サブネット」は、送信側に関連付けられていないサブネットです。

ルート
インターネットワークを通るパス。
ルート CA
最上位の認証機関(CA)で、下位の CA の証明書に署名します。ルート CA には、固有のパブリック キーが含まれる自己署名した証明書があります。
ルート マップ
ルート マップを使用すると、ルーティング テーブルに追加される情報を制御できます。NAT によって IP アドレスが変換されると、パケットが IPSec ルールの条件に一致しなくなる場合があります。そのような場合に、SDM はルート マップを自動的に作成して、特定の送信元アドレスが NAT によって変換されないようにします。
ループバック
ループバック テストでは、送信された信号は、通信パスをたどってある地点から送信元に戻ってきます。多くの場合、ループバック テストは、ネットワーク インターフェイスが使用可能かどうかを確認するために使用されます。
ルール
セキュリティ ポリシーを定義するために条件文の形式で設定に追加される情報であり、特定の状況への対処法をルータに指示します。

ローカル サブネット
サブネットワークは、ネットワーク管理者がサブネット マスクによって任意に分割した IP ネットワークです。マルチレベルの階層ルーティング構造が提供され、接続されたネットワークの複雑なアドレス指定を回避できます。ローカル サブネットは、送信側に関連付けられるサブネットです。
論理インターフェイス
設定でのみ作成され、ルータ上の物理インターフェイスではないインターフェイス。論理インターフェイスの例として、ダイヤラ インターフェイスやトンネル インターフェイスなどがあります。

ワイルドカード マスク
アクセス ルール、IPSec ルール、および NAT ルールで、パケットの IP アドレスのどの部分がルールの IP アドレスと一致しなければならないかを指定するためのビットマスク。ワイルドカード マスクは 32 ビットであり、IP アドレスのビット数と同じです。ワイルドカード ビット値 0 は、パケットの IP アドレスの同じ位置のビットがルールの IP アドレスのビットと一致しなければならないことを示します。値 1 は、パケットの IP アドレスの対応するビットが 1 または 0 のどちらでもよい、つまり、ルールでビット値が確認されないことを示します。ワイルドカード マスク 0.0.0.0 は、パケットの IP アドレスの 32 ビットすべてがルールの IP アドレスと一致しなければならないことを示します。ワイルドカード マスク 0.0.255.0 は、最初の 16 ビットと最後の 8 ビットが一致しなければならないが、3 つめのオクテットはどのような値でもよいことを示します。ルールの IP アドレスが 10.28.15.0 でマスクが 0.0.255.0 の場合、IP アドレス 10.28.88.0 はルールの IP アドレスと一致し、IP アドレス 10.28.15.55 は一致しません。