黒猫の闇の刻印
クッ……「見たことある」程度の認識では、選択肢の闇に呑まれる。似た用語との違いまで自らの言葉で語れて初めて、その術は身についたと言える。……ちゃんとノートに2つ並べて書け、それでいいから。
この分野の重要語
CSRF
CSRFは、ログイン済み利用者に意図しないリクエストを送らせ、本人の操作に見せかけて処理を実行させる攻撃です。
SQLインジェクション
SQLインジェクションは、入力値に不正なSQLを混ぜ、データベースを意図しない形で操作させる攻撃です。
XSS
XSSは、Webページに悪意あるスクリプトを混入させ、利用者のブラウザ上で実行させる攻撃です。
アクセス制御
アクセス制御は、誰がどの情報資産に対して何をできるかを制限する仕組みです。
ランサムウェア
ランサムウェアは、データを暗号化したり利用不能にしたりして、復旧と引き換えに身代金を要求するマルウェアです。
情報セキュリティ
情報セキュリティは、情報の機密性・完全性・可用性を守り、情報資産を安全に利用できる状態を維持する考え方です。
認可
認可は、認証済みの利用者に対して、どの操作や資源へのアクセスを許すかを決めることです。
認証
認証は、利用者や機器が本人・正規の相手であることを確認することです。
AI に対する脅威
AIに対する脅威は、AIモデルや学習データ、推論結果を狙って誤動作や情報漏えいを起こすリスクです。
AI を使ったセキュリティ技術(AI for Security)
AI for Securityは、AIを使って攻撃検知や不正分析などのセキュリティ対策を高度化する考え方です。
DDoS攻撃・標的型攻撃
DDoS攻撃は大量通信でサービスを妨害する攻撃、標的型攻撃は特定組織を狙って継続的に侵入を試みる攻撃です。
DNS キャッシュポイズニング
DNSキャッシュポイズニングは、DNSキャッシュに偽の名前解決情報を登録させ、利用者を偽サイトへ誘導する攻撃です。
用語一覧
| 用語 | 小分類 | 要点 |
|---|---|---|
| AI に対する脅威 | 情報セキュリティ | AIに対する脅威は、AIモデルや学習データ、推論結果を狙って誤動作や情報漏えいを起こすリスクです。 |
| AI を使ったセキュリティ技術(AI for Security) | 情報セキュリティ対策 | AI for Securityは、AIを使って攻撃検知や不正分析などのセキュリティ対策を高度化する考え方です。 |
| BCA(Bridge Certification Authority:ブリッジ認証局) | 情報セキュリティ | ブリッジ認証局は、別々に運用されている複数の認証基盤(PKI)を相互に橋渡しする認証局です。 |
| CAPTCHA | 情報セキュリティ | CAPTCHAは、人間の利用者と自動プログラムを区別するための確認手段です。 |
| CASB | 情報セキュリティ対策 | 利用者とクラウドの間に立ち、クラウド利用を可視化・制御するセキュリティ機能です。 |
| CA(Certification Authority:認証局) | 情報セキュリティ | 認証局(CA)は、公開鍵が本人のものであることを証明する電子証明書を発行する機関です。 |
| CRL(Certificate Revocation List:証明書失効リスト) | 情報セキュリティ | CRLは、有効期限内でも無効になった電子証明書の一覧です。 |
| CRYPTREC | 情報セキュリティ管理 | CRYPTRECは、日本で利用される暗号技術の安全性評価や推奨暗号の整理を行うプロジェクトです。 |
| CRYPTREC 暗号リスト | 情報セキュリティ | CRYPTREC暗号リストは、日本の電子政府などで利用を推奨・監視する暗号技術を整理したリストです。 |
| CSRF | セキュリティ実装技術 | CSRFは、ログイン済み利用者に意図しないリクエストを送らせ、本人の操作に見せかけて処理を実行させる攻撃です。 |
| CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム) | セキュリティ技術評価 | CVSSは、発見された脆弱性の深刻度を共通の基準で点数化する仕組みです。 |
| DDoS攻撃・標的型攻撃 | 情報セキュリティ | DDoS攻撃は大量通信でサービスを妨害する攻撃、標的型攻撃は特定組織を狙って継続的に侵入を試みる攻撃です。 |
| DMZ(非武装地帯) | 情報セキュリティ対策 | DMZは、インターネットと内部ネットワークの間に置く、外部公開サーバ用の中間ネットワークです。 |
| DNS キャッシュポイズニング | 情報セキュリティ | DNSキャッシュポイズニングは、DNSキャッシュに偽の名前解決情報を登録させ、利用者を偽サイトへ誘導する攻撃です。 |
| DNSSEC | セキュリティ実装技術 | DNSSECは、DNS応答にデジタル署名を付けて、応答が改ざんされていないことを検証する仕組みです。 |
| EAP-TLS | セキュリティ実装技術 | EAP-TLSは、クライアント証明書とサーバ証明書を使って相互認証を行うEAP方式です。 |
| EAP(Extensible Authentication Protocol) | セキュリティ実装技術 | EAPは、ネットワーク接続時の本人確認(認証)の方法を、状況に応じて選べるようにする枠組みです。 |
| EDR | 情報セキュリティ対策 | PCやサーバなど端末の不審な挙動を検知し、迅速な対応を支援するセキュリティ製品です。 |
| EMV 3-D セキュア(3D セキュア 2.0) | 情報セキュリティ | EMV 3-Dセキュアは、オンラインのクレジットカード決済で、本人確認を行い不正利用を防ぐ仕組みです。 |
| GPKI(Government Public Key Infrastructure:政府認証基盤) | 情報セキュリティ | GPKIは、行政手続きの電子化のために政府が整備した公開鍵基盤(PKI)です。 |
| IC カード | 情報セキュリティ | ICカードは、ICチップに情報や鍵を格納して本人確認や決済などに使うカードです。 |
| IDS(Intrusion Detection System:侵入検知システム) | 情報セキュリティ対策 | IDSは、ネットワークやサーバへの不正な侵入や攻撃の兆候を検知して知らせるシステムです。 |
| IP スプーフィング | 情報セキュリティ | IPスプーフィングは、送信元IPアドレスを偽装して通信し、別の機器からの通信に見せかける攻撃手法です。 |
| IP マスカレード(NAPT) | セキュリティ実装技術 | IPマスカレード(NAPT)は、複数の内部端末が1つのグローバルIPアドレスを共有して外部通信するためのアドレス変換方式です。 |
| IPA セキュリティセンター | 情報セキュリティ管理 | IPAセキュリティセンターは、情報セキュリティに関する注意喚起、届出受付、普及啓発などを行う機関です。 |
| IPSec | セキュリティ実装技術 | IPSecは、IP層で通信データの認証・改ざん検知・暗号化を行うセキュリティプロトコル群です。 |
| IPS(Intrusion Prevention System:侵入防止システム) | 情報セキュリティ対策 | IPSは、不正な通信や攻撃を検知し、遮断などの防止動作まで行うシステムです。 |
| ISAC(Information Sharing and Analysis Center:セキュリティ情報共有組織) | 情報セキュリティ管理 | ISACは、業界内でサイバー攻撃などの情報を共有・分析し、互いの防御に役立てる組織です。 |
| ISMAP(政府情報システムのためのセキュリティ評価制度) | 情報セキュリティ管理 | ISMAPは、政府が利用するクラウドサービスの安全性を評価・登録する制度です。 |
| ISMS 認証 | 情報セキュリティ管理 | ISMS認証は、組織の情報セキュリティマネジメント体制が規格に適合していることを第三者が認証する制度です。 |
| ISMS 適合性評価制度 | 情報セキュリティ管理 | ISMS適合性評価制度は、組織の情報セキュリティマネジメントが基準に適合しているかを評価・認証する制度です。 |
| ISMS 適用範囲 | 情報セキュリティ管理 | ISMS適用範囲は、ISMSの管理対象とする組織、業務、拠点、情報資産の範囲です。 |
| IT 製品の調達におけるセキュリティ要件リスト | セキュリティ技術評価 | IT製品の調達におけるセキュリティ要件リストは、製品を購入する際に求めるべき安全性の条件をまとめたものです。 |
| IoT のセキュリティ | 情報セキュリティ対策 | IoTのセキュリティは、ネットワーク接続された機器やセンサを不正操作・情報漏えいから守る対策です。 |
| IoT セキュリティガイドライン | 情報セキュリティ管理 | IoTセキュリティガイドラインは、IoT機器やサービスを安全に設計・運用するための考え方を示す指針です。 |
| J-CSIP(サイバー情報共有イニシアティブ) | 情報セキュリティ管理 | J-CSIPは、標的型攻撃などのサイバー攻撃情報を参加組織間で共有する取組みです。 |
| JCMVP(暗号モジュール試験及び認証制度) | セキュリティ技術評価 | JCMVPは、暗号を実装した部品(暗号モジュール)が適切に作られているかを試験・認証する日本の制度です。 |
| JIS Q 27001(ISO/IEC 27001) | 情報セキュリティ管理 | JIS Q 27001は、情報セキュリティを組織的に管理する仕組み(ISMS)の要求事項を定めた規格です。 |
| JIS Q 27002(ISO/IEC 27002) | 情報セキュリティ管理 | JIS Q 27002は、情報セキュリティ対策の具体的な実践方法をまとめた手引きの規格です。 |
| JISEC(IT セキュリティ評価及び認証制度) | セキュリティ技術評価 | JISECは、IT製品のセキュリティ機能が適切かを第三者が評価・認証する日本の制度です。 |
| JPCERT コーディネーションセンター | 情報セキュリティ管理 | JPCERTコーディネーションセンターは、日本のサイバー攻撃に関する情報を集約し、対応を調整する組織です。 |
| JVN(Japan Vulnerability Notes) | 情報セキュリティ管理 | JVNは、日本で使われるソフトウェアの脆弱性情報と対策をまとめて公開するサイトです。 |
| MAC アドレス(Media Access Control address)フィルタリング | セキュリティ実装技術 | MACアドレスフィルタリングは、機器固有の番号(MACアドレス)で接続を許可・拒否する仕組みです。 |
| MDM(Mobile Device Management) | 情報セキュリティ対策 | MDMは、業務で使うスマートフォンやタブレットを一元的に管理する仕組みです。 |
| MITB(Man-in-the-browser)攻撃 | 情報セキュリティ | MITB攻撃は、利用者のブラウザに不正なプログラムを仕込み、通信内容を裏で書き換える攻撃です。 |
| OAuth | セキュリティ実装技術 | OAuthは、利用者のパスワードを渡さずに、別サービスへ限定的なアクセス権を委譲するための認可の仕組みです。 |
| OCSP | 情報セキュリティ | OCSPは、電子証明書が現在失効していないかをオンラインで問い合わせるためのプロトコルです。 |
| OS コマンドインジェクション | 情報セキュリティ | OSコマンドインジェクションは、外部入力を悪用してサーバ上で意図しないOSコマンドを実行させる攻撃です。 |
| PCI DSS | 情報セキュリティ管理 | PCI DSSは、クレジットカード会員データを安全に扱うための国際的なセキュリティ基準です。 |
| PEAP | セキュリティ実装技術 | PEAPは、TLSで保護したトンネルの中でIDとパスワードなどによる認証を行うEAP方式です。 |
| PIN コード | 情報セキュリティ | PINコードは、カードや端末の利用者確認に使う短い暗証番号です。 |
| PKI(Public Key Infrastructure:公開鍵基盤) | 情報セキュリティ | PKIは、公開鍵暗号と電子証明書を使って、安全な通信や本人確認を実現する仕組み全体のことです。 |
| RAS | 情報セキュリティ対策 | RASは、システムの信頼性・可用性・保守性を表す評価観点です。 |
| RASIS(Reliability,Availability,Serviceability,Integrity,Security) | 情報セキュリティ対策 | RASISは、システムの信頼性・可用性・保守性・保全性・安全性を評価する五つの観点です。 |
| RSA 暗号 | 情報セキュリティ | RSA暗号は、公開鍵と秘密鍵のペアを使う代表的な公開鍵暗号方式です。 |
| SECURITY ACTION | 情報セキュリティ管理 | SECURITY ACTIONは、中小企業などが情報セキュリティ対策に取り組むことを自己宣言する制度です。 |
| SEO ポイズニング | 情報セキュリティ | SEOポイズニングは、検索結果を悪用して、利用者をマルウェア配布サイトや偽サイトへ誘導する攻撃手法です。 |
| SIEM(Security Information and Event Management) | 情報セキュリティ対策 | SIEMは、さまざまな機器のログを集めて分析し、セキュリティ上の異常を早期に発見する仕組みです。 |
| SNS の悪用 | 情報セキュリティ | SNSの悪用は、投稿・DM・偽アカウントを使って詐欺や情報収集を行う脅威です。 |
| SOAR | 情報セキュリティ対策 | セキュリティ運用の対応作業を自動化・連携し、対処を高速化する仕組みです。 |
| SQLインジェクション | セキュリティ実装技術 | SQLインジェクションは、入力値に不正なSQLを混ぜ、データベースを意図しない形で操作させる攻撃です。 |
| SQLインジェクション対策(プレースホルダほか) | セキュリティ実装技術 | SQLインジェクション対策は、利用者入力をSQL文として不正に解釈させないための防御策です。 |
| SSH | セキュリティ実装技術 | SSHは、ネットワーク越しにサーバへ安全にログインして操作するための暗号化通信プロトコルです。 |
| SSL/TLS | セキュリティ実装技術 | SSL/TLSは、通信相手の確認、通信内容の暗号化、改ざん検知によってHTTPSなどの安全な通信を実現するプロトコルです。 |
| SSL/TLS アクセラレーター | 情報セキュリティ対策 | SSL/TLSアクセラレーターは、暗号化通信の処理を専用機器や前段サーバに任せて負荷を下げる仕組みです。 |
| Security for AI | 情報セキュリティ対策 | Security for AIは、AIシステムそのものを攻撃や誤用から守るためのセキュリティ対策です。 |
| UTM(Unified Threat Management:統合脅威管理) | 情報セキュリティ対策 | UTMは、複数のセキュリティ機能を1台にまとめて、ネットワークをまとめて守る仕組みです。 |
| VPN(Virtual Private Network:仮想私設網) | セキュリティ実装技術 | VPNは、インターネットなどの公共回線上に、暗号化で守られた専用回線のような通信路を作る技術です。 |
| WAF(Web Application Firewall) | 情報セキュリティ対策 | WAFは、Webアプリケーションを狙う攻撃を検知・遮断する専用の防御の仕組みです。 |
| WPA2 | セキュリティ実装技術 | WPA2は、無線LAN通信を暗号化し、アクセスポイントへの不正接続を防ぐためのセキュリティ方式です。 |
| WPA3 | セキュリティ実装技術 | WPA3は、WPA2の後継となる無線LANのセキュリティ方式で、認証や暗号化をより強化した規格です。 |
| Web システムのセキュリティ対策 | セキュリティ実装技術 | Webシステムのセキュリティ対策は、Webアプリやサーバを攻撃から守るための設計・実装・運用です。 |
| XML デジタル署名 | 情報セキュリティ | XMLデジタル署名は、XML文書の作成者確認と改ざん検知を行うためにXML形式で付与する電子署名です。 |
| XSS | セキュリティ実装技術 | XSSは、Webページに悪意あるスクリプトを混入させ、利用者のブラウザ上で実行させる攻撃です。 |
| アカウント管理 | 情報セキュリティ管理 | アカウント管理は、利用者IDの発行、権限付与、変更、停止、削除を適切に行う運用です。 |
| アクセス制御 | 情報セキュリティ対策 | アクセス制御は、誰がどの情報資産に対して何をできるかを制限する仕組みです。 |
| アクセス権の設定 | 情報セキュリティ対策 | アクセス権の設定は、利用者や役割ごとに参照・更新・削除などの操作権限を定めることです。 |
| アクセス権の誤設定 | 情報セキュリティ | アクセス権の誤設定は、本来見せるべきでないデータや機能を利用可能にしてしまう不備です。 |
| アクセス管理 | 情報セキュリティ | アクセス管理は、利用者に適切な権限を付与し、利用状況を管理する活動です。 |
| エシカルハッカー | 情報セキュリティ管理 | エシカルハッカーは、許可を得てシステムの脆弱性を調査し、改善に役立てる専門家です。 |
| エラー | 情報セキュリティ | エラーは、処理や操作が期待どおりに行われず、誤った結果や異常状態が発生することです。 |
| キーロガー | 情報セキュリティ | キーロガーは、利用者のキーボード入力を記録し、IDやパスワードなどを盗む不正プログラムや装置です。 |
| クライアント証明書 | 情報セキュリティ | クライアント証明書は、利用者側の端末や利用者を証明するためのデジタル証明書です。 |
| クラウドサービスのセキュリティ | 情報セキュリティ対策 | クラウドサービスのセキュリティは、クラウド利用時のデータ、アカウント、設定、通信を守る対策です。 |
| クラウドサービスの責任共有モデル | 情報セキュリティ管理 | クラウドサービスの責任共有モデルは、クラウド事業者と利用者がそれぞれ負うセキュリティ責任を分ける考え方です。 |
| クラッキング | 情報セキュリティ | クラッキングは、悪意をもってシステムへ侵入したり破壊・改ざんしたりする行為です。 |
| クリックジャッキング | 情報セキュリティ | クリックジャッキングは、利用者に意図しないボタンやリンクをクリックさせる攻撃です。 |
| クロスサイトスクリプティング対策 | セキュリティ実装技術 | クロスサイトスクリプティング対策は、利用者入力をWebページに表示するときに不正スクリプトを実行させないための対策です。 |
| クロスサイトリクエストフォージェリ | 情報セキュリティ | クロスサイトリクエストフォージェリは、ログイン済み利用者に意図しないリクエストを送らせる攻撃です。 |
| コスト要因 | 情報セキュリティ管理 | コスト要因は、リスク対策やシステム運用に必要な費用へ影響する要素です。 |
| コンテナセキュリティ | セキュリティ実装技術 | コンテナセキュリティは、コンテナイメージ・実行環境・設定を安全に保つ対策です。 |
| コンピュータウイルス | 情報セキュリティ | コンピュータウイルスは、他のファイルやプログラムに感染して増殖する不正プログラムです。 |
| コンピュータウイルス対策基準 | 情報セキュリティ管理 | コンピュータウイルス対策基準は、ウイルス被害を防ぐための予防、発見、復旧などの基本的対策を示す基準です。 |
| コンピュータウイルス届出制度 | 情報セキュリティ管理 | コンピュータウイルスの発見・感染状況をIPAへ届け出て、被害動向の把握や注意喚起に役立てる制度。 |
| コンピュータ不正アクセス対策基準 | 情報セキュリティ管理 | 不正アクセスを防ぐために、利用者管理、アクセス制御、ログ管理などの対策を体系的に整理した基準。 |
| コンピュータ不正アクセス届出制度 | 情報セキュリティ管理 | 不正アクセスを受けた、またはその疑いがある場合に、状況をIPAへ届け出る制度。 |
| 過失 | 情報セキュリティ | 過失は、故意ではない不注意や確認不足によって、情報漏えいや障害などの被害を招くことです。 |
| クラッキング対策 | 情報セキュリティ対策 | クラッキング対策は、不正侵入や破壊行為を防ぐために、脆弱性管理・アクセス制御・監視などを組み合わせる防御策です。 |
| オープンリゾルバの悪用 | 情報セキュリティ | オープンリゾルバの悪用は、誰からのDNS問い合わせにも応答するDNSサーバを踏み台にする攻撃手口です。 |
| サイドチャネル攻撃 | 情報セキュリティ | サイドチャネル攻撃は、処理時間や消費電力など副次的な情報から秘密情報を推測する攻撃です。 |
| サイバーキルチェーン | 情報セキュリティ | サイバーキルチェーンは、攻撃者が目的達成までに踏む段階を分解して捉える考え方です。 |
| サイバーセキュリティフレームワーク(CSF) | 情報セキュリティ管理 | サイバーセキュリティフレームワークは、組織が取るべきセキュリティ対策を体系的に整理した枠組みです。 |
| サイバーセキュリティ戦略本部 | 情報セキュリティ管理 | 国のサイバーセキュリティ政策の基本方針や重要施策を総合的に進めるための司令塔となる組織。 |
| サイバーセキュリティ概念(識別,防御,検知,対応,復旧) | 情報セキュリティ管理 | このセキュリティ概念は、対策を識別・防御・検知・対応・復旧の5つの機能で捉える考え方です。 |
| サイバーセキュリティ経営ガイドライン | 情報セキュリティ管理 | 経営者がサイバーセキュリティを経営課題として捉え、必要な体制・投資・対策を進めるための指針。 |
| サイバーテロリズム | 情報セキュリティ | サイバーテロリズムは、政治的・社会的目的で重要インフラや組織の情報システムを攻撃する行為です。 |
| サイバー・フィジカル・セキュリティ対策フレームワーク | 情報セキュリティ管理 | このフレームワークは、現実世界(フィジカル)とサイバー空間がつながる環境のセキュリティ指針です。 |
| サイバー攻撃 | 情報セキュリティ | サイバー攻撃は、ネットワークや情報システムを狙って不正侵入・妨害・情報窃取を行う攻撃です。 |
| サーバ証明書 | 情報セキュリティ | サーバ証明書は、Webサーバなどの正当性を示すためのデジタル証明書です。 |
| シャドーIT | 情報セキュリティ | シャドーITは、組織の承認を得ずに従業員が利用するITサービスや端末です。 |
| シングルサインオン | 情報セキュリティ | シングルサインオンは、一度の認証で複数のサービスを利用できる仕組みです。 |
| ストリーム暗号 | 情報セキュリティ | ストリーム暗号は、データをビット列やバイト列として逐次暗号化する共通鍵暗号方式です。 |
| ストレージ暗号化 | 情報セキュリティ | ストレージ暗号化は、ディスクや保存領域内のデータを暗号化して保護する対策です。 |
| スパイウェア | 情報セキュリティ | スパイウェアは、利用者に気付かれにくい形で情報を収集し、外部へ送信する不正ソフトウェアです。 |
| セキュアプログラミング | セキュリティ実装技術 | セキュアプログラミングは、脆弱性を作り込まないように安全性を意識して実装することです。 |
| セキュリティトークン | 情報セキュリティ | セキュリティトークンは、認証に使う一時コードや認証情報を生成・保持する手段です。 |
| セキュリティバイデザイン(セキュアバイデザイン) | 情報セキュリティ | セキュリティバイデザインは、設計の最初の段階からセキュリティを組み込む考え方です。 |
| セキュリティホール | 情報セキュリティ | セキュリティホールは、攻撃者に悪用され得るソフトウェアや設定上の弱点です。 |
| セキュリティ保証要件 | セキュリティ技術評価 | セキュリティ保証要件は、セキュリティ機能が正しく設計・実装・評価されていることを示す要件です。 |
| セキュリティ機能要件 | セキュリティ技術評価 | セキュリティ機能要件は、製品やシステムが備えるべき保護機能を具体的に定めた要件です。 |
| セッションハイジャック | 情報セキュリティ | セッションハイジャックは、利用者のセッションIDを盗んだり推測したりして、本人になりすます攻撃です。 |
| ゼロトラスト | 情報セキュリティ対策 | 「何も信頼しない」を前提に、アクセスのたびに検証する新しいセキュリティの考え方です。 |
| ソフトウェア等の脆弱性関連情報に関する届出制度 | 情報セキュリティ管理 | この届出制度は、発見されたソフトウェアの脆弱性を、適切な窓口へ届け出て対応につなげる仕組みです。 |
| ソフトウエア製品等の脆弱性関連情報に関する取扱規程 | 情報セキュリティ管理 | この取扱規程は、脆弱性情報を関係者がどう扱うべきかの手順を定めた取り決めです。 |
| ソーシャルエンジニアリング | 情報セキュリティ | ソーシャルエンジニアリングは、人間の心理や行動の隙を突いて情報をだまし取る攻撃手法です。 |
| ソーシャルメディアガイドライン(SNS利用ポリシー) | 情報セキュリティ管理 | ソーシャルメディアガイドラインは、SNS利用時に守るべきルールや注意点を定めた指針です。 |
| タイムスタンプ(時刻認証) | 情報セキュリティ | タイムスタンプは、ある電子データが特定時刻に存在し、その後改ざんされていないことを証明する仕組みです。 |
| ダークウェブ | 情報セキュリティ | ダークウェブは、通常の検索エンジンでは到達しにくく、専用ソフトなどでアクセスする匿名性の高い領域です。 |
| チャレンジレスポンス認証 | 情報セキュリティ | 毎回変わる乱数を使い、パスワードをそのまま送らずに本人確認する認証方式です。 |
| ディレクトリトラバーサル | 情報セキュリティ | ディレクトリトラバーサルは、パス指定を悪用して公開範囲外のファイルを読ませる攻撃です。 |
| デジタルフォレンジックス(証拠保全ほか) | 情報セキュリティ対策 | デジタルフォレンジックスは、不正やインシデントの証拠となるデジタルデータを保全・分析する技術です。 |
| デジタル署名(署名鍵,検証鍵) | 情報セキュリティ | デジタル署名は、データの作成者確認と改ざん検知に使う公開鍵暗号の仕組みです。 |
| デジタル証明書(公開鍵証明書) | 情報セキュリティ | デジタル証明書は、公開鍵と所有者情報を認証局が結び付けて証明する電子的な証明書です。 |
| データベースアクセス制御 | セキュリティ実装技術 | データベースアクセス制御は、表やデータに対する利用者の操作権限を制限する仕組みです。 |
| データベースバックアップ | セキュリティ実装技術 | データベースバックアップは、障害や誤操作に備えてDBのデータを復元できるよう保存することです。 |
| データベース暗号化 | セキュリティ実装技術 | データベース暗号化は、DB内のデータを暗号化し、漏えい時にも内容を読みにくくする対策です。 |
| データマスキング | 情報セキュリティ対策 | データマスキングは、実データの一部を隠したり置き換えたりして、機密情報を読めなくする処理です。 |
| トラストアンカー(信頼の基点) | 情報セキュリティ | トラストアンカーは、証明書の信頼判断で出発点として信頼する公開鍵やルート証明書です。 |
| トロイの木馬 | 情報セキュリティ | トロイの木馬は、正規ソフトに見せかけて利用者に実行させる不正プログラムです。 |
| ドライブバイダウンロード | 情報セキュリティ | ドライブバイダウンロードは、改ざんサイト閲覧だけでマルウェアをダウンロードさせる攻撃です。 |
| なりすまし | 情報セキュリティ | なりすましは、攻撃者が他人や正規のシステムを装って、不正にアクセスや操作を行う行為です。 |
| ネットワーク監視 | 情報セキュリティ対策 | ネットワーク監視は、通信量、機器状態、障害、不審通信を継続的に確認する運用活動です。 |
| ハイブリッド暗号 | 情報セキュリティ | ハイブリッド暗号は、共通鍵暗号と公開鍵暗号を組み合わせる方式です。 |
| ハザード | 情報セキュリティ管理 | ハザードは、損失や事故を引き起こしやすくする危険な状態や条件です。 |
| ハッシュ関数(SHA-256(SHA-2)ほか) | 情報セキュリティ | ハッシュ関数は、任意のデータから決まった長さの値(ハッシュ値)を計算する関数です。 |
| ハニーポット | セキュリティ実装技術 | ハニーポットは、攻撃者を誘い込んで攻撃手法や侵入経路を観察するためのおとりシステムです。 |
| バグ | 情報セキュリティ | バグは、プログラムや設定の誤りによって、システムが意図しない動作をする欠陥です。 |
| バックアップによる対策 | 情報セキュリティ管理 | データ消失やランサムウェア被害に備え、必要なデータを別媒体・別場所へ複製して復旧できるようにする対策。 |
| バックドア | 情報セキュリティ | バックドアは、正規の認証や通常の手続きを回避してシステムへ入れる裏口です。 |
| バッファオーバーフロー対策 | セキュリティ実装技術 | バッファオーバーフロー対策は、用意した領域を超える入力でメモリが壊されることを防ぐ対策です。 |
| パケットフィルタリング | セキュリティ実装技術 | パケットフィルタリングは、IPアドレスやポート番号などを条件に通信の許可・拒否を行う制御です。 |
| パスワードクラック対策(ソルトほか) | セキュリティ実装技術 | パスワードクラック対策は、保存したパスワードを盗まれても破られにくくする工夫です。 |
| パスワードリスト攻撃(クレデンシャルスタッフィング) | 情報セキュリティ | パスワードリスト攻撃は、流出したID・パスワードの組合せを別サービスで試す攻撃です。 |
| パスワードレス認証(FIDO ほか) | 情報セキュリティ | パスワードレス認証は、パスワードを使わずに本人確認を行う仕組みです。 |
| パフォーマンス評価 | 情報セキュリティ管理 | ISMSやセキュリティ活動が計画どおり機能しているかを、監視・測定・分析・評価する活動。 |
| ビジネスメール詐欺(BEC) | 情報セキュリティ | ビジネスメール詐欺は、取引先や経営者を装うメールで送金や情報開示をだます詐欺です。 |
| ファイルレスマルウェア | 情報セキュリティ | ファイルレスマルウェアは、実行ファイルをディスクに残しにくく、メモリや正規ツールを悪用して動く攻撃です。 |
| フィッシング(スミッシングほか) | 情報セキュリティ | フィッシングは、本物そっくりの偽サイトやメールで利用者をだまし、ID・パスワードなどを盗む詐欺です。 |
| フォールスネガティブ | 情報セキュリティ対策 | フォールスネガティブは、本当は異常や攻撃があるのに正常と判定して見逃すことです。 |
| フォールスポジティブ | 情報セキュリティ対策 | フォールスポジティブは、本当は正常なのに異常や攻撃だと誤って判定することです。 |
| ブロック暗号(AES(Advanced Encryption Standard)ほか) | 情報セキュリティ | ブロック暗号は、データを一定の長さの塊(ブロック)ごとに区切って暗号化する方式です。 |
| プライバシーバイデザイン | 情報セキュリティ | プライバシーバイデザインは、サービスやシステムの設計段階から個人情報保護を組み込む考え方です。 |
| プライバシーポリシー(個人情報保護方針) | 情報セキュリティ管理 | プライバシーポリシーは、組織が個人情報をどう扱うかを示した方針です。 |
| プロンプトインジェクション | 情報セキュリティ | プロンプトインジェクションは、生成AIに不正な指示を与え、本来の制約や意図を回避させる攻撃です。 |
| ペネトレーションテスト | セキュリティ技術評価 | ペネトレーションテストは、攻撃者の視点で実際に侵入を試み、脆弱性の影響を確認するテストです。 |
| ペリル | 情報セキュリティ管理 | ペリルは、損害を直接発生させる事故や危険原因です。 |
| ボット(ボットネット,遠隔操作型ウイルス(RAT:Remote Access Trojan),C&C サーバ) | 情報セキュリティ | ボットは、感染した機器を攻撃者が遠隔操作できるようにする不正プログラムです。 |
| 中間者攻撃(Man-in-the-middle攻撃) | 情報セキュリティ | 中間者攻撃は、通信する二者の間に攻撃者が割り込み、通信内容を盗聴・改ざんする攻撃です。 |
| ファイル暗号化 | 情報セキュリティ | ファイル暗号化は、ファイルの内容を鍵がなければ読めない形に変換する対策です。 |
| マクロウイルス | 情報セキュリティ | マクロウイルスは、文書ファイルなどに含まれるマクロ機能を悪用して感染・実行されるウイルスです。 |
| マルウェア・不正プログラム対策(マルウェア対策ソフトの導入,マルウェア定義ファイルの更新ほか) | 情報セキュリティ対策 | マルウェア対策は、ウイルスなど悪意あるプログラムの感染や被害を防ぐ取組みです。 |
| マルウェア検出手法(パターンマッチング法,ビヘイビア法(振る舞い検知),ヒューリスティック法,未知マルウェア検出手法ほか) | 情報セキュリティ対策 | マルウェア検出手法は、ウイルスなどを見つけ出すための複数の検知方式の総称です。 |
| メッセージ認証コード(MAC) | 情報セキュリティ | 共通鍵を使ってメッセージの改ざん検知と送信元確認を同時に行う短い符号です。 |
| モラルハザード | 情報セキュリティ管理 | モラルハザードは、責任や損失を負いにくい状況で注意や倫理観が弱まることです。 |
| ランサムウェア | 情報セキュリティ | ランサムウェアは、データを暗号化したり利用不能にしたりして、復旧と引き換えに身代金を要求するマルウェアです。 |
| ランサムウェア対策(データのバックアップ,3-2-1 ルール,WORM(Write Once Read Many)機能,イミュータブルバックアップ) | 情報セキュリティ対策 | ランサムウェア対策機能,イミュータブルバックアップ)は、ファイルを暗号化したりシステムを使えなくしたりして、身代金を要求するマルウェアです。 |
| リスクの定性的分析 | 情報セキュリティ管理 | リスクの定性的分析は、発生確率や影響度を高・中・低などの尺度で評価する方法です。 |
| リスクの定量的分析 | 情報セキュリティ管理 | リスクの定量的分析は、発生確率や損失額などを数値で見積もって評価する方法です。 |
| リスクの種類(オペレーショナルリスク,サプライチェーンリスク,外部サービス利用のリスク,SNS による情報発信のリスク,地政学的リスクほか) | 情報セキュリティ管理 | リスクの種類は、組織が直面するさまざまなリスクを性質ごとに分類したものです。 |
| リスクアセスメントのプロセス(リスク特定,リスク分析,リスク評価) | 情報セキュリティ管理 | リスクアセスメントは、リスクを洗い出し、分析し、対応の優先度を判断する一連の手順です。 |
| リスクコミュニケーション | 情報セキュリティ管理 | リスクコミュニケーションは、リスクに関する情報を関係者間で共有し、理解と合意を進める活動です。 |
| リスクコントロール | 情報セキュリティ管理 | リスクコントロールは、リスクの発生確率や影響度を小さくするための対策です。 |
| リスクファイナンシング | 情報セキュリティ管理 | リスクファイナンシングは、リスクが現実化したときの損失に備えて資金面の手当てをする方法です。 |
| リスクヘッジ | 情報セキュリティ管理 | リスクヘッジは、将来の損失を避けたり小さくしたりするために事前に備えることです。 |
| リスクベース認証 | 情報セキュリティ | 普段と異なる状況のときだけ追加の本人確認を求める、柔軟な認証方式です。 |
| リスクマトリックス | 情報セキュリティ管理 | リスクマトリックスは、発生確率と影響度の組合せでリスクの優先度を整理する表です。 |
| リスクマネジメント(JIS Q 31000) | 情報セキュリティ管理 | リスクマネジメントは、組織のリスクを体系的に管理し、被害を抑える一連の活動です。 |
| リスクレベル | 情報セキュリティ管理 | リスクレベルは、リスクの大きさや重大度を評価した結果です。 |
| リスク保有 | 情報セキュリティ管理 | リスク保有は、リスクを認識したうえで自組織がそのまま受け入れる対応です。 |
| リスク共有(リスク移転,リスク分散) | 情報セキュリティ管理 | リスク共有は、リスクによる損失や負担を保険会社・委託先・契約相手などと分担する対応です。 |
| リスク回避 | 情報セキュリティ管理 | リスク回避は、リスクの原因となる活動をやめることでリスクを発生させない対応です。 |
| リスク基準(リスク受容基準,情報セキュリティリスクアセスメントを実施するための基準) | 情報セキュリティ管理 | リスク基準は、リスクをどう評価し、どこまでを受け入れるかを判断するためのものさしです。 |
| リスク対応計画 | 情報セキュリティ管理 | リスク対応計画は、特定したリスクに対して、誰がいつどの対策を行うかをまとめた計画です。 |
| リスク所有者 | 情報セキュリティ管理 | リスク所有者は、特定のリスクについて対応方針や受容可否を決める責任を持つ人または組織です。 |
| リスク源 | 情報セキュリティ管理 | リスク源は、リスクを発生させる原因や要因になるものです。 |
| リスク登録簿 | 情報セキュリティ管理 | リスク登録簿は、識別したリスクの内容、評価、対応状況を一覧管理する台帳です。 |
| リスク集約 | 情報セキュリティ管理 | リスク集約は、個別に識別したリスクを組織やプロジェクト全体の視点でまとめて把握することです。 |
| リバースブルートフォース攻撃 | 情報セキュリティ | リバースブルートフォース攻撃は、少数のよく使われるパスワードを多数アカウントへ試す攻撃です。 |
| リバースプロキシ | セキュリティ実装技術 | リバースプロキシは、外部利用者からの要求を受け、背後のWebサーバへ中継する代理サーバです。 |
| リーダーシップ | 情報セキュリティ管理 | ISMSでトップマネジメントが方針、責任、資源配分を示し、情報セキュリティを組織に定着させること。 |
| ルートキット | 情報セキュリティ | ルートキットは、侵入後に管理者権限を維持し、存在を隠すための不正ツール群です。 |
| ルート証明書 | 情報セキュリティ | ルート証明書は、証明書チェーンの最上位にある信頼済み認証局の証明書です。 |
| ログの取得 | セキュリティ実装技術 | ログの取得は、システム利用状況や操作履歴を記録し、監査、障害調査、不正検知に利用できるようにすることです。 |
| ログイン(利用者 ID とパスワード) | 情報セキュリティ | ログインは、利用者IDとパスワードなどで本人確認を行い、システムの利用を始める手続きです。 |
| ワンタイムパスワード | 情報セキュリティ | ワンタイムパスワードは、一度だけ、または短時間だけ有効な使い捨てパスワードです。 |
| ワーム | 情報セキュリティ | ワームは、利用者がファイルを実行しなくても、ネットワークなどを通じて自律的に増殖するマルウェアです。 |
| 不正のトライアングル(機会,動機,正当化) | 情報セキュリティ | 不正のトライアングルは、不正行為が「機会・動機・正当化」の3条件がそろうと起きやすいとする考え方です。 |
| 不正アクセス | 情報セキュリティ | 不正アクセスは、許可されていない者がシステムやアカウントへ侵入・利用する行為です。 |
| 不正アクセス対策 | 情報セキュリティ対策 | 不正アクセス対策は、許可されていない利用者や攻撃者がシステムへ入ることを防ぐ対策です。 |
| 不正利用 | 情報セキュリティ | 不正利用は、権限や利用規則に反して、情報システムや情報資産を不適切に使うことです。 |
| 中小企業の情報セキュリティ対策ガイドライン | 情報セキュリティ管理 | このガイドラインは、専門人材の少ない中小企業が取り組みやすいセキュリティ対策の手引きです。 |
| 中間 CA 証明書 | 情報セキュリティ | 中間CA証明書は、ルート認証局とサーバ証明書などの間をつなぐ認証局の証明書です。 |
| 事故 | 情報セキュリティ | 事故は、故意・過失・障害・災害などによって、情報資産やシステムに損害が発生した出来事です。 |
| 二重脅迫(ダブルエクストーション) | 情報セキュリティ | 二重脅迫は、データを暗号化するだけでなく、盗んだデータを公開すると脅して身代金を要求する攻撃手口です。 |
| 人的損失 | 情報セキュリティ管理 | 人的損失は、事故やインシデントによって人命、健康、作業能力、人的信用などに生じる損失です。 |
| 人的脆弱性 | 情報セキュリティ | 人的脆弱性は、人の知識不足、油断、確認不足、ルール違反などによって生じるセキュリティ上の弱点です。 |
| 他人受入率(FAR) | 情報セキュリティ | 他人受入率(FAR)は、生体認証で本人ではない人を誤って本人として受け入れる割合です。 |
| 例外の規程 | 情報セキュリティ管理 | 例外の規程は、通常ルールから外れる扱いを認める条件、承認手続、記録方法を定めた規程です。 |
| 侵入 | 情報セキュリティ | 侵入は、攻撃者が許可なくシステム、ネットワーク、施設などの内部へ入り込むことです。 |
| 侵入検知 | 情報セキュリティ対策 | 侵入検知は、システムやネットワークへの不正アクセスや攻撃の兆候を見つけることです。 |
| 侵入防止 | 情報セキュリティ対策 | 侵入防止は、不正アクセスや攻撃を検知したうえで遮断・拒否して被害を防ぐことです。 |
| 保証レベル | セキュリティ技術評価 | 保証レベルは、セキュリティ機能が正しく設計・実装・評価されているとどの程度信頼できるかを表す水準です。 |
| 信頼性(Reliability) | 情報セキュリティ | 信頼性は、システムやサービスが故障せず、一定期間正しく動作し続ける性質です。 |
| 内部不正 | 情報セキュリティ | 内部不正は、社員、委託先、管理者など内部の権限を持つ人が、その権限を悪用して行う不正行為です。 |
| 内部犯 | 情報セキュリティ | 内部犯は、組織の内部者としての立場や権限を利用して攻撃や不正を行う人物です。 |
| 内部統制の不備 | 情報セキュリティ | 内部統制の不備は、組織内のルールやチェックが弱く、不正やミスを防げない状態です。 |
| 内閣サイバーセキュリティセンター(NISC) | 情報セキュリティ管理 | NISCは、日本政府のサイバーセキュリティ政策を統括・推進する中心的な組織です。 |
| 利用者アクセス権の管理(need-to-knowの原則) | 情報セキュリティ管理 | 利用者アクセス権の管理は、利用者に業務上必要な最小限の権限だけを付与し、定期的に見直す管理活動です。 |
| 制御システムのセキュリティ | 情報セキュリティ対策 | 制御システムのセキュリティは、工場やインフラ設備を制御するシステムをサイバー攻撃から守る対策です。 |
| 割れ窓理論 | 情報セキュリティ | 割れ窓理論は、小さな乱れやルール違反を放置すると、より大きな不正や犯罪を招きやすくなるという考え方です。 |
| 危殆化 | 情報セキュリティ | 危殆化は、暗号方式や鍵などが安全とはいえない状態になり、保護機能を信頼できなくなることです。 |
| 可用性 | 情報セキュリティ管理 | 可用性は、必要なときにシステムや情報を利用できる状態を保つ性質です。 |
| 可用性(Availability) | 情報セキュリティ | 可用性は、必要なときにシステムや情報を利用できる状態を保つ性質です。 |
| 否認防止(Non-Repudiation) | 情報セキュリティ | 否認防止は、送信や承認などの行為を、後から「自分はしていない」と否定できないようにする性質です。 |
| 外部委託やクラウドサービスの利用時における情報セキュリティ | 情報セキュリティ管理 | これは、業務を外部へ委託したりクラウドを使ったりする際の情報セキュリティ上の注意点です。 |
| 多層防御 | 情報セキュリティ | 多層防御は、一つの対策に頼らず、複数の防御策を層のように組み合わせて被害を防ぐ考え方です。 |
| 多段階認証 | 情報セキュリティ | 多段階認証は、認証処理を複数の段階に分けて行い、不正ログインを防ぎやすくする仕組みです。 |
| 多要素認証(記憶,所有,生体) | 情報セキュリティ | 多要素認証は、記憶、所有、生体など異なる種類の認証要素を組み合わせて本人確認する方式です。 |
| 妨害行為 | 情報セキュリティ | 妨害行為は、システムや業務の正常な利用・運用を意図的に邪魔する行為です。 |
| 完全性 | 情報セキュリティ管理 | 完全性は、情報が正確で、改ざんや欠落のない状態を保つ性質です。 |
| 完全性(Integrity) | 情報セキュリティ | 完全性は、情報が正確で、改ざんや欠落のない状態を保つ性質です。 |
| 対外説明の規程 | 情報セキュリティ管理 | 情報漏えいや障害などが起きた際に、顧客・取引先・監督機関・報道機関へ何をどう説明するかを定める規程。 |
| 年間予想損失額 | 情報セキュリティ管理 | 年間予想損失額は、あるリスクで1年間に平均して発生すると見込む損失額です。 |
| 得点法 | 情報セキュリティ管理 | 得点法は、複数の評価項目に点数を付けて、対象の優先度や採否を比較する方法です。 |
| 復旧計画 | 情報セキュリティ管理 | 復旧計画は、障害や災害で停止したシステムや業務を、目標時間内に再開するための手順を定めた計画です。 |
| 情報セキュリティ | 情報セキュリティ | 情報セキュリティは、情報の機密性・完全性・可用性を守り、情報資産を安全に利用できる状態を維持する考え方です。 |
| 情報セキュリティインシデント | 情報セキュリティ管理 | 情報セキュリティインシデントは、情報の機密性・完全性・可用性を損なう、または損なうおそれがある事態です。 |
| 情報セキュリティインシデント対応規程(マルウェア感染時の対応ほか) | 情報セキュリティ管理 | インシデント対応規程は、セキュリティ事故が起きたときの対応手順を定めた取り決めです。 |
| 情報セキュリティガバナンス(JIS Q 27014(ISO/IEC 27014)) | 情報セキュリティ管理 | 情報セキュリティガバナンスは、経営層が組織全体のセキュリティ方針・責任・評価を統治する仕組みです。 |
| 情報セキュリティポリシーに基づく情報の管理 | 情報セキュリティ管理 | これは、組織で定めたセキュリティの基本方針(ポリシー)に従って情報を管理することです。 |
| 情報セキュリティ事象 | 情報セキュリティ管理 | 情報セキュリティ事象は、セキュリティに関係する状態変化や出来事として観測されたものです。 |
| 情報セキュリティ啓発(教育,資料配付,メディア活用) | 情報セキュリティ対策 | 情報セキュリティ啓発は、利用者の意識を高め、人為的なミスや不注意による事故を防ぐ取組みです。 |
| 情報セキュリティ委員会 | 情報セキュリティ管理 | 情報セキュリティ委員会は、組織全体のセキュリティ方針、対策、教育、事故対応を審議・推進する会議体です。 |
| 情報セキュリティ対策基準 | 情報セキュリティ管理 | 情報セキュリティ対策基準は、方針を実現するために必要な具体的な管理策や守るべき基準を定めた文書です。 |
| 情報セキュリティ教育の規程 | 情報セキュリティ管理 | 情報セキュリティ教育の規程は、従業員や関係者に対する教育の対象、内容、時期、記録方法を定めた規程です。 |
| 情報セキュリティ方針 | 情報セキュリティ管理 | 情報セキュリティ方針は、組織が情報資産をどのような考え方で守るかを示す最上位の基本方針です。 |
| 情報セキュリティ早期警戒パートナーシップ | 情報セキュリティ管理 | これは、脆弱性情報を発見者・開発者・調整機関が連携して適切に扱うための官民の取組みです。 |
| 情報セキュリティ目的 | 情報セキュリティ管理 | 情報セキュリティ目的は、方針に基づいて達成すべき具体的なセキュリティ上の目標です。 |
| 情報セキュリティ管理策(組織的管理策,人的管理策,物理的管理策,技術的管理策) | 情報セキュリティ管理 | 情報セキュリティ管理策は、情報を守るための具体的な対策を性質ごとに分類したものです。 |
| 情報セキュリティ訓練(標的型メールに関する訓練,レッドチーム演習ほか) | 情報セキュリティ対策 | 情報セキュリティ訓練は、攻撃を想定した実践的な演習で、対応力を高める取組みです。 |
| 情報セキュリティ関連組織(CSIRT,SOC(Security Operation Center)) | 情報セキュリティ管理 | CSIRTとSOCは、組織のセキュリティを担う専門チームで、それぞれ事故対応と常時監視を担当します。 |
| 情報漏えい | 情報セキュリティ | 情報漏えいは、本来公開・共有してはいけない情報が、権限のない相手に渡ったり見られたりすることです。 |
| 情報漏えい対策 | 情報セキュリティ対策 | 情報漏えい対策は、機密情報や個人情報が許可なく外部へ出ることを防ぐ対策です。 |
| 情報管理規程 | 情報セキュリティ管理 | 組織が保有する情報の分類、利用、保管、持出し、廃棄などの取扱いルールを定める規程。 |
| 情報資産 | 情報セキュリティ | 情報資産は、組織にとって価値があり、保護すべき情報や情報システム、媒体、関連設備のことです。 |
| 情報資産台帳 | 情報セキュリティ管理 | 組織が守るべき情報資産を一覧化し、所有者、重要度、保管場所、管理方法などを記録する台帳。 |
| 愉快犯 | 情報セキュリティ | 愉快犯は、金銭目的よりも、面白半分、自己顕示、混乱を楽しむ目的で攻撃や迷惑行為を行う人物です。 |
| 拒否リスト(ブロックリスト) | 情報セキュリティ対策 | 拒否リストは、通信・メール・利用者などのうち、許可しない対象を列挙する方式です。 |
| 携帯端末(携帯電話,スマートフォン,タブレット端末ほか)のセキュリティ | 情報セキュリティ対策 | 携帯端末のセキュリティは、持ち運ぶ端末の紛失・盗難や不正利用から情報を守る対策です。 |
| 改ざん | 情報セキュリティ | 改ざんは、データやプログラム、Webページなどの内容を権限なく書き換えることです。 |
| 改善 | 情報セキュリティ管理 | 改善は、監視・評価・監査で見つかった問題を是正し、管理策や運用をより有効にする活動です。 |
| 政府機関等の情報セキュリティ対策のための統一基準群 | 情報セキュリティ管理 | この統一基準群は、政府機関が守るべきセキュリティ対策の共通基準をまとめたものです。 |
| 故意 | 情報セキュリティ | 故意は、結果を認識したうえで意図的に行うことを指し、セキュリティでは悪意ある行為の原因として扱われます。 |
| 故意犯 | 情報セキュリティ | 故意犯は、悪意や明確な目的をもって情報資産やシステムに被害を与える人です。 |
| 故障 | 情報セキュリティ | 故障は、装置やソフトウェアが本来の機能を果たせなくなる状態です。 |
| 敵対的サンプル(Adversarial Examples) | 情報セキュリティ | 敵対的サンプルは、AIにわざと誤った判断をさせるよう細工した入力データです。 |
| 文書管理規程 | 情報セキュリティ管理 | 文書の作成、承認、配布、改訂、保管、廃棄の方法を定め、最新版や証跡を管理する規程。 |
| 暗号利用モード | 情報セキュリティ | 暗号利用モードは、ブロック暗号を実データへ適用するための処理方式です。 |
| 暗号方式(暗号化(暗号鍵),復号(復号鍵),共通鍵暗号方式(共通鍵),公開鍵暗号方式(公開鍵,秘密鍵)) | 情報セキュリティ | 暗号方式は、データを第三者に読めない形へ変換して守る仕組みで、共通鍵方式と公開鍵方式に大別されます。 |
| 本人拒否率(FRR) | 情報セキュリティ | 本人拒否率(FRR)は、生体認証で正当な本人を誤って拒否してしまう割合です。 |
| 検疫ネットワーク | 情報セキュリティ対策 | 検疫ネットワークは、接続端末の安全性を確認し、基準を満たすまで本番ネットワークから隔離する仕組みです。 |
| 機密性 | 情報セキュリティ管理 | 機密性は、許可された人だけが情報にアクセスできる状態を保つ性質です。 |
| 機密性(Confidentiality) | 情報セキュリティ | 機密性は、許可された人だけが情報にアクセスできる状態を保つ性質です。 |
| 残留リスク | 情報セキュリティ管理 | 残留リスクは、対策を実施した後にもなお残るリスクです。 |
| 災害 | 情報セキュリティ | 災害は、地震・火災・水害などにより情報システムや業務継続に損害を与える脅威です。 |
| 災害復旧 | 情報セキュリティ管理 | 災害復旧は、地震、火災、停電などで停止したITシステムや業務基盤を復旧する活動です。 |
| 状況的犯罪予防 | 情報セキュリティ | 状況的犯罪予防は、不正を起こしにくい環境を作って犯罪機会を減らす考え方です。 |
| 盗み見 | 情報セキュリティ | 盗み見は、画面や帳票などを権限のない人がのぞき見して情報を知る行為です。 |
| 盗聴 | 情報セキュリティ | 盗聴は、通信や会話を権限なく傍受して内容を知る行為です。 |
| 盗難 | 情報セキュリティ | 盗難は、PC・スマートフォン・記録媒体・書類などの情報資産が盗まれることです。 |
| 監視 | 情報セキュリティ管理 | 監視は、システムやセキュリティ状態を継続的に観測し、異常や兆候を検知する活動です。 |
| 真正性(Authenticity) | 情報セキュリティ | 真正性は、利用者・データ・通信相手などが本物であると確認できる性質です。 |
| 破壊 | 情報セキュリティ | 破壊は、情報や設備を意図的または事故により使えない状態にすることです。 |
| 破損 | 情報セキュリティ | 破損は、データ・媒体・機器などが壊れ、正しく利用できなくなる状態です。 |
| 秘匿化 | 情報セキュリティ対策 | 秘匿化は、情報の内容を第三者に分からない形にして保護することです。 |
| 秘密保持契約・誓約書 | 情報セキュリティ対策 | 秘密保持契約・誓約書は、業務で知った機密情報を無断で開示・利用しないことを約束する文書です。 |
| 秘密情報管理規程 | 情報セキュリティ管理 | 営業秘密や機密情報を特定し、アクセス制限、表示、保管、持出し、廃棄の方法を定める規程。 |
| 第三者中継(オープンリレー) | 情報セキュリティ | 第三者中継(オープンリレー)は、メールサーバが無関係な第三者のメール送信を中継してしまう状態です。 |
| 管理目的 | 情報セキュリティ管理 | 管理目的は、管理策によって達成したい統制上・セキュリティ上の狙いです。 |
| 管理策タイプ(予防,検知,是正) | 情報セキュリティ管理 | セキュリティ管理策を、事故を防ぐ予防、発見する検知、被害後に直す是正に分ける考え方。 |
| 純収益の喪失 | 情報セキュリティ管理 | 純収益の喪失は、事故や停止によって本来得られるはずだった利益を失うことです。 |
| 紛失 | 情報セキュリティ | 紛失は、情報資産や記録媒体を置き忘れたり所在不明にしたりすることです。 |
| 組織における内部不正防止ガイドライン | 情報セキュリティ対策 | 組織における内部不正防止ガイドラインは、従業員など内部者による情報持出しや不正利用を防ぐための管理策をまとめた指針です。 |
| 緊急事態の区分 | 情報セキュリティ管理 | 障害やインシデントを重大度・影響範囲・緊急度で分類し、対応レベルを決めるための区分。 |
| 緊急時対応計画(コンティンジェンシー計画) | 情報セキュリティ管理 | 緊急時対応計画は、災害や事故など不測の事態に備えて、対応手順を事前に定めた計画です。 |
| 総当たり(ブルートフォース)攻撃 | 情報セキュリティ | 総当たり攻撃は、考えられる文字列や鍵を順番にすべて試す攻撃です。 |
| 罰則の規程 | 情報セキュリティ管理 | 罰則の規程は、セキュリティルール違反時の処分や対応を定めた規程です。 |
| 耐タンパ性 | セキュリティ技術評価 | 耐タンパ性は、機器やICチップなどが物理的・論理的な解析や改ざんに耐える性質です。 |
| 職務規程 | 情報セキュリティ管理 | 職務規程は、組織内の役割、責任、権限、業務分担を定めた規程です。 |
| 脅威 | 情報セキュリティ | 脅威は、情報資産に損害を与える可能性のある要因や出来事です。 |
| 脆弱性 | 情報セキュリティ | 脆弱性は、脅威に悪用される可能性があるシステム・運用・人の弱点です。 |
| 脆弱性検査技術(ソースコード静的検査,プログラムの動的検査,ファジングほか) | セキュリティ実装技術 | 脆弱性検査技術は、システムの弱点(脆弱性)を見つけ出すための検査手法の総称です。 |
| 脆弱性診断 | セキュリティ技術評価 | 脆弱性診断は、システムやWebアプリに攻撃されやすい弱点がないかを調査し、改善点を洗い出す活動です。 |
| 行動的特徴(声紋認証,署名認証ほか) | 情報セキュリティ | 行動的特徴による認証は、声や署名の書き方など、人の動作の癖で本人確認する生体認証です。 |
| 被害状況の調査手法 | 情報セキュリティ管理 | インシデント発生後に、影響範囲、侵入経路、漏えい有無、改ざん内容などを調べる方法。 |
| 規則更新の規程 | 情報セキュリティ管理 | セキュリティ規程や手順を、環境変化・法改正・監査結果に応じて見直す手順を定める規程。 |
| 規程の承認手続 | 情報セキュリティ管理 | 社内規程を制定・改訂する際に、誰が確認し、誰が最終承認するかを定める手続。 |
| 計画 | 情報セキュリティ管理 | 計画は、セキュリティ目的を達成するための作業内容、担当者、期限、資源、評価方法を定めるものです。 |
| 許可リスト(パスリスト) | 情報セキュリティ対策 | 許可リストは、利用や通信を認める対象だけを列挙し、それ以外を拒否する方式です。 |
| 詐欺犯 | 情報セキュリティ | 詐欺犯は、人をだまして情報や金銭を得ようとする攻撃者です。 |
| 評価方法 | セキュリティ技術評価 | 評価方法は、セキュリティ機能や対策が基準を満たしているかを、どの手順・観点で確認するかを定めたものです。 |
| 認可 | 情報セキュリティ | 認可は、認証済みの利用者に対して、どの操作や資源へのアクセスを許すかを決めることです。 |
| 認証 | 情報セキュリティ | 認証は、利用者や機器が本人・正規の相手であることを確認することです。 |
| 認証 VLAN | セキュリティ実装技術 | 認証VLANは、利用者や端末の認証結果に応じて、接続させるVLANを自動的に切り替える仕組みです。 |
| 認証サーバ | セキュリティ実装技術 | 認証サーバは、利用者や端末のID、パスワード、証明書などを確認し、アクセス可否の判断を支援するサーバです。 |
| 認証情報の割当て及び管理 | 情報セキュリティ対策 | 認証情報の割当て及び管理は、ID・パスワード・証明書などを適切に発行、変更、失効させる管理です。 |
| 誤操作 | 情報セキュリティ | 誤操作は、利用者や管理者が意図せず間違った操作をしてしまうことです。 |
| 誤謬 | 情報セキュリティ | 誤謬は、判断・認識・処理に誤りがあり、正しくない結果になることです。 |
| 財産損失 | 情報セキュリティ管理 | 財産損失は、事故やインシデントによって金銭、設備、データ、資産価値などに生じる損失です。 |
| 責任損失 | 情報セキュリティ管理 | 責任損失は、事故や違反によって損害賠償、契約違反、法的責任などが発生する損失です。 |
| 責任追跡性(Accountability) | 情報セキュリティ | 責任追跡性は、操作や処理の記録から、誰が何をしたかを後で追跡できる性質です。 |
| 踏み台 | 情報セキュリティ | 踏み台は、攻撃者が別の攻撃に利用するために不正利用する中継用のコンピュータです。 |
| 身体的特徴(静脈パターン認証,虹彩認証,顔認証,網膜認証ほか) | 情報セキュリティ | 身体的特徴による認証は、指紋や虹彩など、身体そのものの特徴で本人確認する生体認証です。 |
| 辞書攻撃 | 情報セキュリティ | 辞書攻撃は、よく使われる単語や漏えい済みパスワードの一覧を使ってログインを試す攻撃です。 |
| 迷惑メール(スパム) | 情報セキュリティ | 迷惑メール(スパム)は、受信者の同意なく大量に送られる広告・詐欺・マルウェア誘導などのメールです。 |
| 運用 | 情報セキュリティ管理 | 運用は、定めた方針・手順・管理策を日常業務として実行し、システムやセキュリティを維持する活動です。 |
| 金銭奪取 | 情報セキュリティ | 金銭奪取は、攻撃や詐欺によって直接または間接に金銭を不正に得る目的です。 |
| 鍵管理 | 情報セキュリティ | 鍵管理は、暗号鍵を安全に生成・配布・保管・更新・廃棄するための管理活動です。 |
| 防犯環境設計 | 情報セキュリティ | 防犯環境設計は、建物や配置を工夫して犯罪を起こしにくくする設計手法です。 |
| 電子メール・Webのセキュリティ(URLフィルタリング,コンテンツフィルタリング) | 情報セキュリティ対策 | 電子メール・Webのセキュリティは、メールやWeb閲覧を通じたマルウェア感染、詐欺、情報漏えいを防ぐ対策です。 |
| 電子透かし | 情報セキュリティ対策 | 電子透かしは、画像・音声・動画などに著作権者情報や識別情報を目立たない形で埋め込む技術です。 |
最初から全部覚えようとしなくて大丈夫だよ。問題で出会った用語を戻って確認する流れが、結局いちばん早いから。……「全部読んだ」より「3つ説明できる」のほうが、本番では強いよ。