セキュリティ用語集【中級】
ファイアウォール、暗号化、認証システム、脆弱性対策など、実務で必要な中級レベルの重要なセキュリティ用語を学習できます
用語数統計
セキュリティ中級用語一覧
中級レベルの重要な用語を詳細解説付きで紹介
-
IDS/IPS
(アイディーエス・アイピーエス) Intrusion Detection/Prevention System 中級侵入検知・防御システム。ネットワークやシステムへの不正侵入を検知し、自動的に防御措置を実行するセキュリティシステム。IDS(Intrusion Detection System)は不正侵入を検知して警告し、IPS(Intrusion Prevention System)は検知に加えて自動的に防御措置を実行します。シグネチャベースの既知攻撃検知とアノマリベースの異常行動検知を組み合わせ、ネットワーク型(NIDS/NIPS)とホスト型(HIDS/HIPS)の両方で運用されます。
例: シグネチャ検知, アノマリ検知, NIDS, HIDS -
ネットワークセグメンテーション
(ネットワークセグメンテーション) Network Segmentation 中級ネットワークを論理的・物理的に分割し、セキュリティ境界を設けることで、脅威の拡散を防ぐセキュリティ対策。ネットワークセグメンテーションは、大きなネットワークを複数の小さなセグメントに分割し、それぞれに適切なアクセス制御を実装する手法です。VLAN、サブネット、ファイアウォール、SDNを活用し、横展開攻撃の防止、コンプライアンス要件の遵守、ネットワーク性能の向上を実現します。
例: VLAN, サブネット, マイクロセグメンテーション, 横展開防止 -
OWASP Top 10
(オワスプトップテン) OWASP Top 10 中級Webアプリケーションの最も重要なセキュリティリスクを10項目にまとめた業界標準ガイド。開発者の意識向上と対策実装の指針となる。OWASP Top 10は、Webアプリケーションで最も重要なセキュリティリスクを特定・ランク付けした業界標準のリストです。インジェクション攻撃、認証の不備、機密データの露出、XXE、アクセス制御の不備、セキュリティ設定ミス、XSS、安全でないデシリアライゼーション、既知の脆弱性、不十分なログ記録・監視が含まれます。
例: SQLインジェクション, XSS, 認証の不備, アクセス制御 -
入力値検証
(にゅうりょくちけんしょう) Input Validation 中級アプリケーションが受け取る入力データの妥当性をチェックする仕組み。SQLインジェクション、XSS等の攻撃を防ぐ基本的な対策。入力値検証は、ユーザーからの入力データが期待される形式・範囲内にあることを確認するセキュリティ対策です。ホワイトリスト方式での許可文字チェック、データ型・長さ・範囲の検証、SQLインジェクション・XSS・コマンドインジェクション対策のためのサニタイゼーション処理を含みます。
例: ホワイトリスト, サニタイゼーション, エスケープ処理, 型チェック -
多要素認証(MFA)
(たようそにんしょう) Multi-Factor Authentication 中級複数の認証要素を組み合わせた認証方式。知識・所有・生体認証を組み合わせ、単一パスワードより格段に高いセキュリティを実現。多要素認証(MFA)は、「知識要素(パスワード、PIN)」「所有要素(スマートフォン、ハードウェアトークン)」「生体要素(指紋、顔、虹彩)」の3つの認証カテゴリのうち、2つ以上を組み合わせる認証方式です。TOTP、FIDO2、生体認証、SMS認証等の技術を活用し、アカウント乗っ取りのリスクを大幅に軽減します。
例: TOTP, FIDO2, 生体認証, ハードウェアトークン -
シングルサインオン(SSO)
(シングルサインオン) Single Sign-On 中級一度の認証で複数のシステムやアプリケーションにアクセスできる仕組み。ユーザビリティ向上とパスワード管理負担軽減を実現。シングルサインオン(SSO)は、ユーザーが一度認証を行うことで、連携された複数のシステムやアプリケーションに追加認証なしでアクセスできる仕組みです。SAML、OAuth、OpenID Connect等のプロトコルを使用し、Active Directory、LDAP、クラウドID管理サービスと統合されます。
例: SAML, Active Directory, LDAP, OpenID Connect -
RBAC
(アールバック) Role-Based Access Control 中級役割ベースアクセス制御。ユーザーの職務や役割に基づいてアクセス権限を管理する仕組み。大規模組織での権限管理を効率化。RBAC(Role-Based Access Control)は、組織内の役割(ロール)に基づいてアクセス権限を管理するセキュリティモデルです。ユーザーを役割に割り当て、役割に必要な権限を付与することで、最小権限の原則を実現し、権限管理の複雑性を軽減します。階層型ロール、権限の継承、職務分離の実装が可能です。
例: ロール階層, 権限継承, 職務分離, 最小権限 -
PAM
(パム) Privileged Access Management 中級特権アクセス管理。管理者権限等の高権限アカウントのアクセスを制御・監視し、内部脅威や権限悪用を防ぐセキュリティソリューション。PAM(Privileged Access Management)は、システム管理者、データベース管理者、ネットワーク管理者等の特権アカウントのアクセスを厳格に制御・監視するセキュリティソリューションです。パスワード管理、セッション監視、アクセス申請・承認、Just-In-Time(JIT)アクセス、特権昇格の制御を提供します。
例: Just-In-Time, セッション監視, パスワード金庫, 特権昇格制御 -
対称暗号
(たいしょうあんごう) Symmetric Encryption 中級暗号化と復号に同じ鍵を使用する暗号方式。AES、DES等があり、高速処理が可能だが鍵配布が課題となる。対称暗号(共通鍵暗号)は、データの暗号化と復号に同一の秘密鍵を使用する暗号方式です。AES(Advanced Encryption Standard)、DES(Data Encryption Standard)、3DES等のアルゴリズムがあり、非対称暗号より処理速度が速いため、大量データの暗号化に適しています。鍵配布と鍵管理が重要な課題となります。
例: AES, DES, 3DES, 共通鍵, 高速処理 -
非対称暗号
(ひたいしょうあんごう) Asymmetric Encryption 中級公開鍵と秘密鍵のペアを使用する暗号方式。RSA、楕円曲線暗号等があり、鍵配布問題を解決するが処理が重い。非対称暗号(公開鍵暗号)は、数学的に関連する公開鍵と秘密鍵のペアを使用する暗号方式です。RSA、楕円曲線暗号(ECC)、Diffie-Hellman等のアルゴリズムがあり、公開鍵は誰でも使用可能、秘密鍵は所有者のみが保持します。デジタル署名、鍵交換、認証に使用され、PKI(公開鍵基盤)の基礎となります。
例: RSA, 楕円曲線暗号, 公開鍵, 秘密鍵, デジタル署名 -
デジタル証明書
(デジタルしょうめいしょ) Digital Certificate 中級電子的な身元証明書。認証局(CA)が発行し、公開鍵の正当性を保証する。SSL/TLS、電子署名、認証で広く活用される。デジタル証明書は、デジタル世界における身元証明書で、認証局(CA:Certificate Authority)が第三者として公開鍵の正当性を保証します。X.509標準に基づき、証明書の所有者情報、公開鍵、有効期限、CA署名等を含みます。SSL/TLS証明書、コードサイニング証明書、クライアント証明書等の種類があります。
例: SSL証明書, CA, X.509, コードサイニング -
ハッシュ関数
(ハッシュかんすう) Hash Function 中級任意長のデータを固定長のハッシュ値に変換する一方向関数。データ完全性の検証、パスワード保護、デジタル署名で使用。ハッシュ関数は、任意の長さのデータを固定長のハッシュ値(メッセージダイジェスト)に変換する一方向性の数学的関数です。SHA-256、SHA-3、MD5(非推奨)等があり、同じ入力から常に同じハッシュ値が生成され、わずかな入力変更でも大きく異なるハッシュ値となる性質を持ちます。
例: SHA-256, SHA-3, メッセージダイジェスト, 完全性確認 -
NIST
(ニスト) National Institute of Standards and Technology 中級米国国立標準技術研究所。セキュリティフレームワーク、暗号化標準、サイバーセキュリティガイドラインの策定で世界的な影響力を持つ。NIST(National Institute of Standards and Technology)は、米国商務省配下の研究機関で、サイバーセキュリティ分野で世界標準となるフレームワークやガイドラインを策定しています。NISTサイバーセキュリティフレームワーク、NIST SP 800シリーズ、AES暗号標準等を発行し、企業や政府機関のセキュリティ対策の指針となっています。
例: CSF(サイバーセキュリティフレームワーク), SP 800, AES標準 -
ISO 27001
(アイエスオー27001) ISO/IEC 27001 中級情報セキュリティマネジメントシステムの国際標準。組織的なセキュリティ管理の枠組みを提供し、継続的改善を実現する。ISO/IEC 27001は、組織の情報セキュリティマネジメントシステム(ISMS)に関する国際標準規格です。リスクベースアプローチによるセキュリティ管理、継続的改善(PDCA)サイクル、経営陣のリーダーシップ、ステークホルダーの参画を要求し、組織の情報資産を体系的に保護する枠組みを提供します。
例: ISMS, PDCAサイクル, リスクアセスメント, 継続的改善 -
CIS Controls
(シーアイエスコントロールズ) CIS Critical Security Controls 中級サイバーセキュリティの重要な制御項目を優先度順にまとめた実践的なガイドライン。組織のセキュリティ対策の実装指針となる。CIS(Center for Internet Security)Controlsは、最も効果的なサイバーセキュリティ対策を18の制御項目に整理し、実装グループ(IG1、IG2、IG3)別に優先度を示した実践的なフレームワークです。資産管理、ソフトウェア管理、設定管理、アクセス制御、脆弱性管理等の具体的な実装ガイダンスを提供します。
例: 18の制御項目, 実装グループ, 資産管理, 脆弱性管理 -
COBIT
(コビット) Control Objectives for Information and Related Technologies 中級ITガバナンス・管理のフレームワーク。ITとセキュリティを含む包括的な統制・管理手法を提供し、ビジネス価値創出を支援。COBIT(Control Objectives for Information and Related Technologies)は、ISACAが開発したITガバナンス・管理の包括的フレームワークです。ITとビジネスの整合性、価値創出、リスク管理、資源最適化を目的とし、セキュリティを含むIT統制の体系的な管理手法を提供します。
例: ITガバナンス, 価値創出, リスク管理, ISACA -
セキュリティオペレーションセンター(SOC)
(セキュリティオペレーションセンター) Security Operations Center 中級組織のセキュリティを24時間365日監視・分析・対応する専門チーム。SIEM、各種セキュリティツールを活用してインシデント対応を行う。SOC(Security Operations Center)は、組織のITインフラとセキュリティシステムを継続的に監視・分析し、セキュリティインシデントの早期発見・対応を行う専門的な運用チームです。Tier 1(初動対応)、Tier 2(詳細分析)、Tier 3(専門的調査)の階層構造で運用され、脅威ハンティング、フォレンジック調査も実施します。
例: 24時間監視, Tier構造, 脅威ハンティング, インシデント対応 -
フォレンジック基礎
(フォレンジックきそ) Digital Forensics Basics 中級デジタル証拠の適切な保全・収集・分析の基本手法。インシデント調査や法的証拠収集で証拠の完全性を維持する技術。デジタルフォレンジックの基礎は、コンピューター、スマートフォン、ネットワーク機器等からデジタル証拠を法的・科学的に有効な方法で保全・収集・分析する技術です。証拠保全の連続性(Chain of Custody)維持、ハッシュ値による完全性確認、イメージング、削除ファイル復元が基本的な手法となります。
例: 証拠保全, ハッシュ値確認, イメージング, Chain of Custody -
CASB
(キャスビー) Cloud Access Security Broker 中級クラウドアクセスセキュリティブローカー。企業とクラウドプロバイダー間のセキュリティポリシー実施点として機能する。CASB(Cloud Access Security Broker)は、オンプレミスとクラウドサービス間のセキュリティギャップを埋めるソリューションです。クラウドサービスの可視化、データ分類・保護、脅威防御、コンプライアンス支援の4つの主要機能により、SaaS、IaaS、PaaSの安全な利用を支援します。
例: クラウド可視化, データ保護, 脅威防御, コンプライアンス -
CSPM
(シーエスピーエム) Cloud Security Posture Management 中級クラウドセキュリティ態勢管理。クラウド環境の設定ミス、コンプライアンス違反を自動検知し、セキュリティ態勢を継続的に改善。CSPM(Cloud Security Posture Management)は、クラウドインフラの設定を継続的に監視し、セキュリティのベストプラクティスやコンプライアンス要件からの逸脱を自動検知・修正するツールです。AWS、Azure、GCP等のマルチクラウド環境をサポートし、設定ドリフト、権限過剰、暗号化不備等を特定します。
例: 設定監視, 自動修正, マルチクラウド, 設定ドリフト -
クラウドアクセスセキュリティ
(クラウドアクセスセキュリティ) Cloud Access Security 中級クラウドサービスへの安全なアクセス制御。ID管理、条件付きアクセス、デバイス認証を組み合わせた包括的なアクセス保護。クラウドアクセスセキュリティは、クラウドサービスへのアクセスを多層的に保護する包括的なセキュリティアプローチです。ユーザーID管理、デバイス認証、場所・時間ベースの条件付きアクセス、リスクベース認証、継続的な信頼評価を組み合わせ、ゼロトラストモデルに基づくアクセス制御を実現します。
例: 条件付きアクセス, リスクベース認証, デバイス認証, 継続的評価 -
共有責任モデル
(きょうゆうせきにんモデル) Shared Responsibility Model 中級クラウドセキュリティの責任分担モデル。クラウドプロバイダーと利用者が「クラウドのセキュリティ」と「クラウド内のセキュリティ」を分担。共有責任モデルは、クラウドサービスにおけるセキュリティ責任を明確に区分するフレームワークです。クラウドプロバイダーは「クラウドのセキュリティ(インフラ、物理セキュリティ、基盤サービス)」を担当し、利用者は「クラウド内のセキュリティ(データ、ID・アクセス管理、アプリケーション設定)」を担当します。
例: インフラセキュリティ, データ保護, アクセス管理, 設定管理 -
GDPR
(ジーディーピーアール) General Data Protection Regulation 中級EU一般データ保護規則。個人データの処理・保護に関する包括的な法規制。個人の権利保護と企業の説明責任を強化。GDPR(General Data Protection Regulation)は、EU域内の個人データ保護を規定する法規制で、世界的なプライバシー保護の標準となっています。合法性・公正性・透明性の原則、目的制限、データ最小化、正確性、保存制限、完全性・機密性、説明責任の7つの基本原則を定め、個人の権利(アクセス権、訂正権、削除権等)を保護します。
例: データ最小化, 削除権, DPO, プライバシーバイデザイン -
HIPAA
(ヒッパー) Health Insurance Portability and Accountability Act 中級米国の医療保険の相互運用性と説明責任に関する法律。医療情報の保護・管理基準を定め、患者のプライバシー権を保護。HIPAA(Health Insurance Portability and Accountability Act)は、米国の医療分野における個人の医療情報(PHI:Protected Health Information)の保護を規定する連邦法です。医療機関、保険会社、医療情報処理業者等に対して、医療情報の適切な取り扱い、セキュリティ対策、患者の権利保護を義務付けています。
例: PHI保護, セキュリティ規則, プライバシー規則, BAA -
PCI-DSS
(ピーシーアイディーエスエス) Payment Card Industry Data Security Standard 中級クレジットカード業界データセキュリティ標準。カード情報を取り扱う企業が遵守すべきセキュリティ要件を定めた業界標準。PCI-DSS(Payment Card Industry Data Security Standard)は、クレジットカード情報の保護を目的とした国際的なセキュリティ標準です。12の主要要件(ファイアウォール設置、暗号化、アクセス制御、監視・テスト、情報セキュリティポリシー等)を定め、カード情報処理環境のセキュリティ確保を義務付けています。
例: 12の要件, カード情報暗号化, アクセス制御, 定期監査 -
SOX法
(ソックスほう) Sarbanes-Oxley Act 中級サーベンス・オクスリー法。米国上場企業の財務報告に関する内部統制強化を求める法律。ITシステムの統制・監査が重要な要素。SOX法(Sarbanes-Oxley Act)は、米国上場企業の財務報告の透明性と正確性を確保するための連邦法で、ITシステムを含む内部統制の整備・運用・評価を義務付けています。財務報告に関わるITシステムのアクセス制御、変更管理、データベースセキュリティ、監査証跡の確保が重要な要件となります。
例: 内部統制, IT統制, 変更管理, 監査証跡