Glossary
用語集
本サイトに登場する用語の平易な解説です。
- L2透過ブリッジ transparent bridge
- OSI 第2層(イーサネット)でフレームを転送する仕組み。IPアドレスを持たず、ネットワーク上は「ただの線」に見えるため、既存のアドレス設計を変えずに挿入できる。
- bump-in-the-wire
- 回線の途中に「挟む」形で機能を追加する設置形態。経路や機器の設定変更を伴わないことが特徴で、Tate の基本形。
- SNI Server Name Indication
- TLS 接続の開始時にクライアントが平文で送る「接続先ホスト名」。TLS を復号しなくても「どこへ繋ごうとしているか」が分かる。Tate のドメイン制御の主要な根拠。
- fail-closed
- 障害時に「閉じる」設計。検査できない状態では通信を通さない。逆は fail-open(障害時に素通し)。Tate の標準構成は fail-closed で、その代償として可用性の単一障害点になる。
- deny-base / allow-base
- deny-base は「明示的に許可した宛先以外は全部拒否」(ホワイトリスト型)、allow-base は「明示的に拒否した宛先以外は許可」(ブラックリスト型)。Tate の enforce 既定は allow-base、AIガードレールの lockdown は deny-base。
- プロンプトインジェクション prompt injection
- AIエージェントが読み込むWebページやツール出力に悪意ある指示を仕込み、エージェントの「意図」を乗っ取る攻撃。ホスト側の対策が突破された場合に備え、ネットワーク層の独立した防御層が意味を持つ。
- egress
- 内側から外側への「外向き」通信。情報持ち出しや C2 通信は egress に現れるため、egress 制御は被害範囲の限定に直結する。
- DoH DNS over HTTPS
- DNS 問い合わせを HTTPS に包む方式。プライバシー保護に使われる一方、DNS の可視性を回避する経路にもなるため、Tate の組込み deny リストは主要 DoH リゾルバを明示遮断する。
- QUIC
- UDP 上の暗号化トランスポート(udp/443)。SNI の観測がTCPより難しいため、Tate は v1 で QUIC を遮断して HTTPS(TCP)にフォールバックさせ、可視性を維持する。
- would-block
- monitor 段階で「enforce なら遮断されるはずだった通信」のこと。実遮断の前にレビューして、許可リストの漏れを安全に発見するための仕組み。
- blast radius 被害範囲
- 侵害が起きたときに影響が及ぶ範囲。ネットワーク許可リストは侵害を「無くす」のではなく、blast radius を許可済み宛先の集合に限定する。
- C2 Command & Control
- 侵害済みホストを攻撃者が遠隔操作するための通信経路。未知ドメインへの定期的な beacon などとして egress に現れる。