用語集

CRL (Certificate Revocation List)

認証局によって失効された、電子署名された証明書の一覧。CRL で識別された証明書はすでに有効ではありません。

Hosts ファイル

認識可能なホスト名のインターネットアドレスへの割り当て一覧。ドメイン名システムと似ています。ドメインネームサーバがネットワーク上にあるかどうかに関係なく、Hosts ファイルを使用できます。

KDC (Key Distribution Center: 鍵配布センター)

プリンシパル情報のデータベースを管理したり、データベース内の情報を使用してユーザを認証したり、レルム内の Kerberos 対応サービスへのアクセスを制御したりするセキュリティサーバのことです。

Kerberos

信頼されたサードパーティを使用して TCP/IP ネットワーク上で安全な通信を実現するプロトコル。このプロトコルは、プレーンテキストのパスワードではなく、暗号化されたチケットを使用してより安全にネットワーク認証を行います。

Kerberos 対応

認証および暗号化に Kerberos を使用できるように変更された、ホストアプリケーション、サーバアプリケーション、またはクライアントアプリケーション。

LDAP (Lightweight Directory Access Protocol)

情報の中央位置への保存およびユーザへの情報の配布に使用できる標準的なプロトコル。

OCSP (Online Certificate Status Protocol)

証明書が有効かどうかを確認するために CRL の確認の代わりに使用できるプロトコル (HTTP トランスポートを使用)。OCSP レスポンダは、3 つの電子署名付きの応答「good」、「revoked」、「unknown」によって証明書ステータス要求に応答します。OCSP を使用した場合は、サーバ/クライアントによる大量の CRL の取得や並べ替えが不要になります。

PKCS

PKCS (Public Key Cryptography Standards: 公開鍵暗号標準) の略。RSA 研究所によって考案および公布された、公開鍵暗号の実装間の互換性を実現する一連の標準。

各 PKCS 標準では、特定の暗号化用途の仕様が定められています。以下に例を示します。

PKCS#7 は、メッセージの署名/暗号化、および PKCS#10 メッセージへの応答としての証明書の配布に使用できます。
PKCS#10 は証明書要求の構文です。
PKCS#11 暗号化ハードウェアトークンで使われるプログラミングインタフェースです。
PKCS#12 は、証明書とそれに関連する秘密鍵の格納および送信に使われる個人情報交換構文を定義します。この形式のファイルでは、通常、*.pfx または *.p12 拡張子が使用されます。

Public Key Infrastructure (PKI)

PKI は、機密情報の認証および暗号化に使用されるポリシ、サービス、および暗号化ソフトウェアの枠組みです。PKI の枠組みは、認証局 (CA) と呼ばれる信頼されたサードパーティ (デジタル証明書を発行する) によって異なります。

Secure Shell

リモートコンピュータへのログインとコマンドの実行を安全に行うためのプロトコル。これは、Telnet、FTP、rlogin、あるいは rsh の代わりとなる安全な方法です。Secure Shell 接続では、ホスト (サーバ) とユーザ (クライアント) の両方の認証が必要です。また、ホスト間の通信はすべて暗号化された通信チャネルを介して行う必要があります。また、Secure Shell では X11 セッションまたは指定の TCP/IP ポートを、安全なトンネルを介して転送することもできます。

SOCKS

SOCKS は、内部および外部のネットワークに対して、安全で制御されたアクセスを提供するために、ファイアウォールホストシステムとともに使用されるソフトウェアプロトコルです。SOCKS が有効なアプリケーションからネットワーク接続が要求されると、SOCKS クライアントソフトウェアは接続の許可を求めて、SOCKS サーバソフトウェアと通信します。許可された場合は、接続が確立されます。許可されなかった場合は、SOCKS サーバが接続要求を拒否します。

SSL/TLS

Secure Socket Layer (SSL) プロトコルと、その後に開発された Transport Layer Security (TLS) プロトコル。公衆通信回線を介して、クライアントとサーバ間で暗号化された安全な接続を確立できます。SSL/TLS を使用した接続では、クライアント側でサーバを認証してから接続を確立し、Reflection とサーバ間でやりとりされる全データが暗号化されます。

TGT 要求

Reflection Kerberos クライアントアプリケーションから KDC (Key Distribution Center: 鍵配布センター) に送られる、発券許可チケットの要求。

URI

リソースの場所またはアドレスを表す文字列。URI を使用してインターネットまたは LDAP サーバ上のリソースを指定することができます。

Windows 共通アプリケーションデータフォルダ

注意: アプリケーションデータフォルダは、既定では表示されません。

既定の場所は以下のとおりです。

Windows XP、Windows Server 2003 の場合:
\Documents and Settings\all users\Application Data\
Windows Vista、Windows Server 2008 の場合:
\ProgramData\

Windows 個人用アプリケーションデータフォルダ

注意: 個人用アプリケーションデータフォルダは、既定では隠されています。

既定の個人用ローミングアプリケーションデータフォルダは以下のとおりです。

Windows XP、Windows Server 2003 の場合:
\Documents and Settings\ユーザ名\Application Data\
Windows Vista、Windows Server 2008 の場合:
\Users\ユーザ名\AppData\Roaming\

Windows 個人用ドキュメントフォルダ

既定の場所は以下のとおりです。

Windows XP、Windows Server 2003 の場合:
\Documents and Settings\<ユーザ名>\My Documents\
Windows Vista、Windows Server 2008 の場合:
\Users\<ユーザ名>\Documents\

オフィスツール

オフィスツール機能を使用すると、Microsoft Office アプリケーションがコンピュータにインストールされている場合、ホストデータを Microsoft Office アプリケーションと統合できます。Word ドキュメントおよび PowerPoint プレゼンテーションの作成、メールの送信、予定の登録、メモやタスクの追加、新しい連絡先の作成などが可能です。

サービスチケット

Kerberos 認証が必要なサービスにアクセスできるようにするには、クライアントアプリケーションに有効なサービスチケットが必要です。Reflection Kerberos が有効な TGT を送信して、サービスへのチケットを要求すると、KDC がサービスチケットを発行します。

通常は、TGT の有効期間中はサービスチケットも有効です。新しいサービスチケットの場合、別のホストにログインするか、同じホスト上で別のサービスを使用する必要があります。

サービスプロバイダ

クライアントの要求を処理する、Kerberos 対応のサーバ。たいていの場合、サービスプロバイダは、ホストマシン上で telnetd や ftpd などのサーバデーモンとして稼動しています。

スクラッチパッド

スクラッチパッドは、メモをセッションに関連付けるために使用します。タスク画面から、スクラッチパッドのメモを .RTF ファイルまたは .TXT ファイルとして印刷または保存することができます。

チケットの有効期間

発券許可チケットが有効である期間。ユーザは発券許可チケットの要求時に、希望するチケット有効期間を申請できます。サーバは、チケットの最長有効期間を決めます。既定値は 8 時間です。

テンプレート

テンプレートには、ドキュメントに固有の設定がすべて入っています。テンプレートを基にして新規ドキュメントを作成すると、新しい名前が付く以外は、全く同じ構成内容になります。

パスフレーズ

パスフレーズはパスワードに類似していますが、一連の語句、句読点、数字、空白、任意の文字列を組み合わせたフレーズを使用できる点が違います。パスフレーズは、秘密鍵や鍵エージェントなどの保護されたオブジェクトへのアクセスを制限して、セキュリティを向上させます。

ハッシュ

メッセージダイジェストとも呼ばれます。ハッシュ (またはハッシュ値) は可変長のデジタルデータから生成される固定長の数値です。ハッシュは、元のデータより大幅にサイズが小さく、同じハッシュ値がほかのデータで統計的に生成されることのない方法で生成されます。

プライバシフィルタ

この機能は、大事なデータ (社会保障番号や、口座番号など) がオフィスツール統合、画面履歴、オートコンプリートなどの生産性機能に表示されないようフィルタし、[画面の印刷] や [切り取り] / [コピー] / [貼り付け] コマンドからデータを隠すために使用します。

プリンシパル

Kerberos サーバが認識する任意のユーザ、クライアント、ネットワークサービス、アプリケーション、ホストシステムなどのことです。各プリンシパルは、レルム内で固有の名前を持ちます。完全なプリンシパル名の形式は、次のとおりです。

<プリンシパル名>@<レルム名>

レルム名が省略された場合は、既定のレルムが使用されます。

プリンシパルデータベース

特定のレルムの、有効なプリンシパルとパスワードが格納されているデータベース。各レルムには、固有の資格情報データベースがあります。このデータベースは KDC (Key Distribution Center: 鍵配布センター) の一部です。

プリンシパルプロファイル

各ユーザの身元 (プリンシパル名とレルム名) と使用する設定 (要求したチケットの有効期間、資格情報の格納方法、プロファイル名) を定義する情報を集めたもの。

ポート転送

安全でないトラフィックを安全な SSH トンネルを介してリダイレクトする方法です。ポート転送には、ローカルとリモートの 2 種類があります。ローカルポート転送 (発信ポート転送) は、指定されたローカルポートから送信された発信データを、安全なチャネルを介して、指定されたリモートポートに送信します。クライアントアプリケーションとサーバとの間でデータを安全に交換するには、関連サーバを実行するコンピュータにクライアントを直接接続するのではなく、リダイレクトされるポートに接続するように構成します。リモートポート転送 (受信ポート転送) は、指定されたリモートポートからの受信データを、安全なチャネルを介して、指定されたローカルポートに送信します。

ホットスポット

ホットスポットとは、ホスト機能、マクロ、またはコマンドに関連付けられた特定の領域またはテキストのことです。ホットスポットが有効になっている場合、端末セッションの端末領域に表示されます。

レイアウト

レイアウトとは、ワークスペースと開いているドキュメントのすべてを元に戻すために作られる設定ファイルです。ワークスペースの位置や開いているドキュメントのタブのプロパティも元に戻します。

レルム

ネットワーク上にある Kerberos プリンシパルのグループに付けられた名前。Kerberos レルムにあるプリンシパルは、すべて同じ Kerberos ポリシーを使って管理されています。たいていの場合、レルム名はドメイン名と似ているか、同じです。レルム名では、大文字と小文字を区別します。通常、Kerberos 環境では大文字を使用します。

暗号

暗号とは暗号化アルゴリズムのことです。選択した暗号によって、Secure Shell 接続の確立完了後に送信されるデータの暗号化に使用される数学アルゴリズムが決定されます。

暗号化

暗号化とは、暗号すなわち秘密のコードを使用してデータを加工し、許可されたユーザ以外には解読できないようにすることです。暗号化されていないデータに比べ、暗号化されたデータははるかに安全です。

画面履歴

画面履歴は、ユーザが IBM 3270 および 5250 ホスト画面に移動するたびに、ホスト画面の記録を作成します。VT 画面は、手動キャプチャを使用して記録できます。これらの画面から情報を表示して確認し、複数のホスト画面を Microsoft Word、PowerPoint、および Outlook の電子メールメッセージおよびメモ (コンピュータにインストールされている場合) に送信することができます。

公開鍵と秘密鍵

公開鍵と秘密鍵は、データの暗号化または解読に使用される暗号鍵のペアです。公開鍵で暗号化されたデータは、秘密鍵を使用した場合のみ解読できます。また、秘密鍵で暗号化されたデータは、公開鍵を使用した場合のみ解読できます。

資格情報キャッシュ

資格情報の格納場所。資格情報は、KDC によってクライアントに発行されたセッション鍵、TGT、およびサービスチケットで構成されています。クライアントは、サービスを要求する場合、自身の資格情報を使用してそれ自身を認証します。

資格情報ファイル

このファイルは、クライアントがサービスの要求時にそれ自身を認証するのに使用します。資格情報ファイルは、KDC によってクライアントに発行されたセッション鍵、TGT、およびサービスチケットを格納しています。

システム管理者が構成ファイルをインストールしている場合は、Reflection Kerberos マネージャを初めて起動した時に、既定の資格情報ファイル名と格納場所が自動的に設定されます。システム管理者がインストールしていない場合は、[Reflection Kerberos 初期構成] ダイアログボックスで資格情報ファイル名と場所を指定するか、または既定 (Windows の個人用ドキュメントフォルダ) を使用します。各プリンシパルプロファイルの資格情報の格納場所は、Kerberos マネージャを使用して変更できます。

信頼するホスト

信頼するホストとは、公開鍵を保持しているホストのことです。

製品のインストールフォルダ

既定は \Program Files\Attachmate\Reflection2008 です。

電子証明書

PKI (Public Key Infrastructure) の核となる構成要素です。電子証明書は認証局 (CA) から発行され、証明書の情報が有効であることを保証します。各証明書には、証明書の所有者に関する情報、証明書の所有者の公開鍵のコピー (メッセージおよび電子署名の暗号化と解読に使用)、電子署名 (証明書の内容に基づいて認証局が生成) が含まれています。受信者はこの電子署名を使用して、証明書が不正に変更されておらず、信頼できることを確認します。

認証

通信相手の身元を確実に確認する処理。身元の確認は、パスワードなどの既知の情報、または秘密鍵やトークンなど所有しているもの、指紋などの固有の情報を使用して行います。

認証サーバ (AS)

KDC (Key Distribution Center: 鍵配布センター) のサービスの 1 つ。プリンシパルに対して認証資格情報を発行します。Kerberos 認証が必要なサービスをユーザが要求すると、AS は有効なプリンシパルとパスワードについてプリンシパルデータベースを照会してから、TGT (発券許可チケット) を含む認証資格情報のセットを発行します。

認証局 (CA)

信頼されている組織内で、電子証明書を発行するサーバ。CA は、新規の証明書の発行を管理し、認証に対して有効でなくなった証明書を取り消します。さらに、CA は、信頼チェーンを形成する 1 つ以上の中間 CA に証明書の発行権限を委任することもあります。最高レベルの CA 証明書は、信頼されたルートと呼ばれます。

発券許可サーバ (TGS)

Kerberos 対応アプリケーションからサービスを要求しているクライアントに対してサービスチケットを発行する、KDC (Key Distribution Center: 鍵配布センター) のコンポーネント。Reflection Kerberos クライアントは、プリンシパルの識別情報を所有する TGS に要求を送ります。TGS は、プリンシパルおよびレルムが有効であることを確認すると、TGT およびセッション鍵 (KDC に格納されているプリンシパルのパスワードから得られる鍵を使用して暗号化されます) を Reflection Kerberos クライアントに送信します。

発券許可チケット (TGT)

Kerberos 認証を必要とするサービスに対するアクセスをユーザが要求すると、KDC で発券許可チケット (TGT) が生成されます。

Reflection Kerberos クライアントは、ユーザが Kerberos 対応アプリケーションへのアクセスを要求するたびに、TGT を使用してサービスチケットを取得します。発券許可チケットの有効期限が切れるまで、ユーザは再度認証を行う必要はありません。

秘密鍵暗号方式

対称暗号方式と呼ばれることもあるこの暗号方式では、同じ鍵または共有する秘密の文字または数字の集まりを使用して、データの暗号化と解読を行います。

用語集