-
脅威
情報資産を失ったり盗まれたりする要因。
-
マルウェア
悪意のこもったソフトウェア。
-
コンピュータウイルス
ファイルを破壊したり関係のないものを画面に表示したりする。ワープロや表計算ソフトのファイルに感染するマクロウイルスなどがある。
-
ワーム
自身をコピーしながらネットワークに接続されたコンピュータ間を移動することで自己増殖する。
-
トロイの木馬
普通のソフトを装ってコンピュータ内に侵入し、データの消去やファイルの外部流出を行う。
-
ボット
ネットワークを介して他人のコンピュータを操り、パスワードを盗む、迷惑メールを送信するなどを行う。感染したコンピュータを踏み台にすることで攻撃元を詐称する。
-
スパイウェア
悪意のあるソフトウェアをインストールさせ、ユーザが入力した個人情報を盗む。キーボードの入力情報を記録するキーロガープログラムを悪用するなどして実行する。
-
ランサムウェア
データを勝手に暗号化するなどして、ユーザが正常のデータへアクセスできないようにし、基に戻すための代金を要求する。
-
ガンブラー
Webサイトを改竄する。さらに、ユーザがこのサイトを閲覧することで感染する。
-
バックドア
裏口の意味。後から何度も不正ログインできるように仕掛ける秘密の入り口。
-
スパムメール
広告などを無差別に送りつける。
-
RAT
ネットワークを介して遠隔地にあるコンピュータを操作するツールの総称。
-
ソーシャルエンジニアリング
本人を装ってパスワードを聞き出したり、緊急事態を装うなど人間の心理をついて情報を盗む。社員へのセキュリティ教育が重要。
-
なりすまし
盗んだIDやパスワードを使って正規のユーザのふりをする。
-
クラッキング
悪意をもって他人のコンピュータの情報を盗み見たり破壊をしたりする行為。
-
脆弱性
セキュリティ上の弱点や欠点。
-
セキュリティホール
プログラムの不具合や設計ミスなどによって生じる欠陥。
-
セキュリティパッチ
無償で配布する修正用のプログラム。
-
シャドーIT
従業員が企業の許可を得ていないデバイスを業務で利用すること。
-
パスワードクラック
推測されるパスワードで繰り返しログインを試み、不正に探り当てること。
-
総当たり攻撃
ブルートフォース攻撃。考えられるあらゆる文字列でログインを試す。
-
辞書攻撃
辞書に載っている単語情報を基にログインを試す。
-
パスワードリスト攻撃
1つのサービスから流出したIDとパスワードを使って別のサービスへ不正にログインする攻撃。
-
標的型攻撃
特定の組織を狙って電子メールを送信するなどしマルウェアに感染させる。
-
水飲み場型攻撃
標的とする組織がよく利用しているWebサイトを改竄し、対象ユーザが利用したときにマルウェアがダウンロードされるように仕掛ける。
-
フィッシング詐欺
銀行などを装った偽のWebサイトやメールを使い、暗証番号やパスワードを騙し取る詐欺。
-
ワンクリック詐欺
URLをクリックしただけで「契約が完了しました」などのメッセージを表示し、料金を請求する詐欺。
-
ドライブバイダウンロード
Webサイトを見ただけで、悪意のあるソフトウェアをダウンロードさせて感染する。
-
MITB
インターネットバンキングへのログインを検知し、ユーザが入力した振込先のデータを改竄して攻撃者の口座に送金させたりする。
-
クロスサイトスプリクティング
入力フォームなどのデータをそのままブラウザに表示する仕組みになっているサイトの脆弱性を突いて攻撃。
-
SQLインジェクション
データベースのデータを不正に取得したり改竄したりする攻撃手法。
-
DoS攻撃
サーバに大量のデータを送信し、機能を停止させる攻撃。
-
DDoS攻撃
複数のコンピュータから一斉にDoS攻撃を仕掛けること。
-
キャッシュポイズニング
キャッシュに保存されたデータを書き換え、悪意のあるサイトへ誘導する攻撃手法。
-
IPスプーフィング
偽のIPアドレスを設定したパケットを送り、正規のユーザになりすまして不正アクセスを行う攻撃手法。
-
ゼロディ攻撃
セキュリティパッチの配布が行われる前に、欠陥部分を狙って攻撃する手法。
-
バッファオーバーフロー攻撃
プログラムが用意しているデータ領域を超えるサイズのデータが入力され、正常な制御が失われた状態をわざと引き起こすこと。
-
サイバー攻撃
システムに被害を与えることを目的としてデータを送りつけたり、不正侵入するなどの攻撃の総称。
-
不正のトライアングル
不正行為は、「機会」「動機」「正当化」の3要素が揃ったときに実行されると考えられている。
-
機会
システムの静寂性や組織のルール不徹底など不正行為の実行を可能にする環境のこと。
-
動機
不正行為を実行するきっかけとなること。
-
正当化
不正行為を当然の行動とするこじつけや責任転嫁。
-
コンピュータウイルス対策基準
経済産業省がまとめた、コンピュータウイルスの予防・検知・感染後の対応方法。
-
ウイルス対策ソフト
ウイルス定義ファイルを持っていて、コンピュータ内のウイルスの検知・駆除を行うソフト。
-
振る舞い検知
ビヘイビア法。プログラムの動きを常に監視し、意図しない外部への通信といった不審な動きがないかを確認する。
-
サニタイジング
ユーザが入力した内容から有害な文字列を検知し、無害な文字列に置き換える。
-
アクセス制御
データにアクセスするユーザを制限すること。
-
認証
ユーザが本人であるかを確認すること。
-
パスワードポリシ
推測されやすいパスワードを設定しないよう、文字列や文字数など条件を設定したり、一定回数以上失敗したユーザはしばらくログインできないような仕組みにすること。
-
ワンタイムパスワード
一度きりしか使えない使い捨てのパスワードを生成する。
-
マトリクス認証
数字や文字を並べた表からあらかじめユーザが設定しておいた位置と順番通りに数字を指定することでパスワードに代えた認証方法。
-
バイオメトリクス認証
ユーザの指紋や手のひらの静脈パターン、交際などの身体的特徴などによって行う認証。
-
多要素認証
複数の認証方法を組み合わせて認証を行うこと。
-
シングルサインオン
一度に認証で複数のサービスの認証を行うこと。
-
ファイアウォール
内部ネットワークとインターネットの間に配置し、外部からの不正なアクセスを防止するシステム。
-
DMZ
非武装地帯。内部ネットワークと外部ネットワークの間にどちらからも隔離された区域ができること。
-
proxy
インターネットに接続するときに、内部ネットワークのコンピュータに変わって接続を行うコンピュータ。本来のアクセス元であるコンピュータの情報を隠蔽することができる。
-
検疫ネットワーク
社外から持ち込んだPCを車内で使用するときに、セキュリティ上の問題を抱えていないかどうか、検査用のネットワーク領域で確認してから社内ネットワークに接続させる。
-
MDM
モバイルデバイスマネジメント。モバイル端末に対して会社のセキュリティ方針に従った設定を行ったり、システム管理者が一元管理する仕組み。
-
ペネトレーションテスト
システムに対して実際に外部から攻撃して侵入を試みることで弱点を発見するテスト。
-
WEP
無線LANの暗号化方式で古くからある。脆弱性があるため現在は使われていない。
-
WPA
無線LANの暗号化方式でWEPを改良した後継機。TKIPやAESという暗号化技術を採用。
-
WPA2
無線LANの暗号化方式で高いセキュリティを実現。
-
ESSIDのステルス化
ESSIDを外部から発見できないようにする。
-
MACアドレス
製造時に振られる固有番号。
-
MACアドレスフィルタリング
登録された機器しか無線LANのアクセスポイントに接続できないようにする設定。
-
セキュリティワイヤ
ワイヤを使って机や柱にくくりつけておく。
-
クリアデスク
常に机の周りは整理整頓を心がけて、重要度によってはさらに施錠するといった対策。
-
ディジタルフォレンジックス
機器内にあるデータを収集・分析して、不正アクセスなどの犯罪が行われた証拠を明らかにする技術。
-
DLP
データロスプリベンション。機密情報を流出させないための装置やシステム。
-
復号
暗号化したデータを基に戻すこと。
-
共通鍵暗号方式
暗号化と復号に同じ鍵を使う暗号方式。鍵を盗まれると誰でも復号できる。
-
公開鍵暗号方式
暗号と復号に異なる2つの鍵を使う暗号方式。あらかじめ暗号化に使う公開鍵をネットに公開しておく。
-
ハイブリッド暗号方式
共通鍵を作りデータを暗号化し、受信者の公開鍵で共通鍵を暗号化。受信者は自身の秘密鍵で共通鍵を複合し、さらに暗号文を復号する。
-
CA
ディジタル証明書を発行する機関(認証局)。
-
ディジタル署名
ディジタルデータにも署名をつけて送信者が本人であることを証明する。
-
ハッシュ関数
暗号化する特殊な計算方法。
-
PKI
公開鍵暗号基盤。暗号化、証明書、署名を組み合わせて安全な通信が行えるようにした仕組み。
-
SSL
セキュアソケッツレイヤ。Webサーバとブラウザの通信を安全に行えるようにするプロトコル。
-
サーバ証明書
Webサーバの運営組織が正当であることを証明する。
-
TSL
SSLがバージョンアップを重ね、現在引き継がれているプロトコル。
-
S/MIME
公開鍵暗号方式やディジタル署名の仕組みによってメールを暗号化する技術。
-
コード署名
ソフトウェアにディジタル署名をつけたもの。
-
VPN
バーチャルプライベートネットワーク。社外から職場のネットワークに接続する。
-
情報セキュリティ
情報資産を守ること。
-
機密性
許可された人のみによってアクセスできる状態。アクセス権の設定、データの暗号化など。
-
完全性
情報が正確で、完全な状態にあること。正確であるかチェック体制を整えたり、ウイルス対策を行う。
-
可用性
必要とするときに情報が利用できる状態にあること。予備電源を確保したり、二重化したりする。
-
真正性
利用者が本物であることを証明できる状態にあること。ディジタル署名などによって対策できる。
-
責任追跡性
利用者と操作した内容を特定できる状態にあること。アクセスログやデータの更新履歴などが記録されるようにしておく。
-
否認防止
操作や行為、発生した事象について、後から否認できないように事実を証明できる状態にあること。ディジタル署名によって対策できる。
-
信頼性
故障や不具合なく稼働し、期待通りの処理を行う状態にあること。
-
情報セキュリティポリシ
情報セキュリティに関する取り組み。
-
基本方針
情報セキュリティに関する基本的な考え方や取り組み姿勢を示したもの。
-
対策基準
情報セキュリティに関する基本方針を実現するために、守るべき規則や判断基準を示したもの。
-
実施手順
情報セキュリティに関する対策基準で定めた規定について、実施する手順を示したもの。
-
リスクマネジメント
情報資産が抱える危険(リスク)を管理すること。
-
リスク特定
情報資産にまつわるリスクにはどのようなものがあるかを特定すること。
-
リスク分析
リスクの発生頻度や発生した場合の被害の大きさを分析すること。
-
リスク評価
核リスクの重大性によって優先順位付けを行い、対策方法を決定すること。
-
リスク対応
リスクの対策を行うこと。
-
リスクアセスメント
リスクの洗い出しから対応策の検討までのプロセス。
-
リスク回避
発生率が高く、損害額も大きい場合に取る対策。リスクの原因を排除する。
-
リスク共有
発生頻度は低いものの、損害額が大きい場合に取る対策。保険に加入するなどリスクを他者と分ける。
-
リスク軽減
損害額は小さいものの、発生率が高い場合に取る対策。暗号化や認証システムなど対策を講じて、損害額を許容範囲内に抑えるようにする。
-
リスク受容
リスクをそのままにする。発生率も損害額も小さい場合に取る対策。予備の時間や資金を用意するなど。
-
情報セキュリティマネジメント
組織全体で保護すべき情報資産を特定し、総合的・継続的に対策を行なっていく必要があること。
-
PDCAサイクル
Plan,Do,Check,Actの4つのステップに分けて繰り返し実行する方法。
-
ISMS適合性評価制度
企業における情報セキュリティマネジメントが基準に適合しているかどうかを評価する制度。
-
プライバシーマーク制度
個人情報の取り扱いを対象とした適合性評価制度。
-
CSIRT
情報漏洩などのセキュリティ事故が発生したときに、被害の拡大を防止する組織。
-
システム
それぞれの用途に最適なハード、ソフト、ネットワークを組み合わせた特別なコンピュータ群。
-
集中処理
1台のコンピュータだけが処理をするシステム。
-
分散処理
複数のコンピュータに分散して処理をするシステム。
-
ホストコンピュータ
集中処理のメインのコンピュータ。
-
リアルタイム処理
要求された処理をすぐに行う処理方法。
-
バッチ処理
ある程度纏まったデータを一括して処理する方法。
-
仮想化
コンピュータの物理的な構成にとらわれずに自由な構成に分割・統合すること。
-
発注元
開発を依頼する企業。
-
ベンダ
システムを開発する企業。
-
RFI
情報提供依頼。
-
RFP
提案依頼書。
-
共通フレーム
開発元とベンダの共通の物差し。
-
ソフトウェアライフサイクル
システムが開発・運用されて最終的に廃棄されるまでの一連の流れ。
-
企画プロセス
発注元企業のニーズや課題を分析し、それを実現するための実施計画を策定。
-
要件定義プロセス
システムに対する要求事項を分析・整理する。
-
開発プロセス
要件定義をもとに、ベンダがシステム開発を行う。
-
運用プロセス
システムが利用者の要望通りに動作するかを確認する運用テストを行う。問題がなければ実際の環境で運用する。
-
システム監査
システムにまつわる様々なリスクに対してきちんと対策できているかを評価検証すること。
-
監査証拠
資料の確認やヒアリング、現場の調査を行い、調査の証拠となるもの。
-
システム監査人
システム監査を行う人。独立した立場の人に依頼する。
-
システム監査基準
監査業務の品質を確保するために、有効的かつ効率的な監査業務を実施する基準。
-
ターンアラウンドタイム
システムに処理の要求を入力し始めてから、結果が出力が終わるまでの時間。
-
レスポンスタイム
システムに要求を入力し終わってから出力が始まるまでの時間。
-
スループット
単位時間あたりにどれだけの仕事量をこなせるか。
-
ベンチマークテスト
標準的なテスト用のシステムを用意して処理を実行し、かかった時間などの結果と比較すること。
-
稼働率
システムがどれくらいの割合できちんと稼働しているかを評価するための指標。
-
MTBF
きちんと稼働していた時間の平均。
-
MTTR
修理にかかる時間の平均。
-
直列システム
システムの各装置を直線上に接続したもの。1つが故障すると全体が稼働しなくなる。
-
並列システム
システムの各装置を並列に接続したもの。
-
フェールセーフ
障害が発生したときに、発生する被害を最小限に留められるよう、安全性を重視して対策を行う。
-
フェールソフト
障害が発生したときに、システムが稼働し続けることを重視して対策を行う。
-
フールプール
ユーザが誤った捜査を行っても、システムが誤作動しないようにあらかじめ対策を行う。
-
フォールトアボイダンス
システムに高品質な部品を用意したり、十分なテストを行うなどなるべく故障しないようにすること。
-
フォールトトレラント
システムの二重化などによって、障害が発生しても継続して稼働できるようにしておく考え方。
-
冗長化
システムの信頼性を高めるため、予備のシステムを備えること。
-
二重化
予備のシステムを1つ用意して2系統で構成すること。
-
デュアルシステム
2つのシステムで常に同じ処理を行い、なおかつ処理結果をお互い参照して確認する構成。
-
デュプレックスシステム
1つのシステムで処理を行い、もう一つは待機させておく構成。
-
ホットスタンバイ
障害発生時に直ちに切り替えれるように、いつでも動作可能な状態にしておくこと。
-
コールドスタンバイ
障害が発生した時点で起動して処理を切り替える方式。
-
レプリケーション
複製を作成し、稼働システムと同じ状態を保つこと。
-
RAID
複数のハードディスクを組み合わせて、あたかも1台のハードディスクのように扱う技術。
-
RAID0
1つのデータを複数のハードディスクに分散して書き込む方法。ストライピングともいう。
-
RAID1
複数のハードディスクに同じデータを書き込む方法。ミラーリングともいう。
-
RAID5
データとデータの誤りを訂正するための符号を複数のハードディスクに分散して書き込む方法。
-
共同レビュー
発注元とベンダで共同で検証や評価を行うこと。
-
システム要件定義
システムに必要な機能や処理能力を明らかにすること。
-
ソフトウェア要件定義
システムを構成するソフトウェアに必要な機能、インターフェースを明らかにすること。
-
機能要件定義
システム要件定義の中でも、扱うデータの種類や内容を明らかにすること。
-
非機能要件定義
信頼性など機能以外の様々な要件を明らかにすること。例・2時間以内に処理を終了する、データは暗号化するなど
-
システム方式設計
システム要件定義をもとに、必要なハード、ソフトなどをどの部分で実現するかを決定し、システムの構成を設計すること。
-
外部設計
システムの見た目を設計すること。
-
内部設計
システムの内部を設計すること。
-
フューマンインターフェース
ユーザとコンピュータを繋いでいる部分のこと。ユーザが操作する画面など。
-
ユーザビリティ
ユーザにとって使いやすいかどうか。
-
GUI
専門知識がない人でも直感的に操作できるようにしたこと。
-
ユニバーサルデザイン
年齢や文化、障害の有無などに関わらず、多くの人が快適に利用できることを目指した設計。
-
アクセシビリティ
多くの人が利用できる状態にあるかどうかの度合いのこと。
-
プログラミング
プログラムを作成すること。
-
ソースコード
プログラミング言語で記述したプログラム。
-
コンパイラ
機械語に変換するソフト。
-
アセンブラ
機械語に近い言語。
-
C言語
多くのOSやアプリ開発に使われている。
-
Java
アプリに他に、Webサーバ上で動作するソフトの開発などに使われている。オブジェクト指向のプログラム言語。
-
オブジェクト指向
データとデータに関する処理を1つのまとまりとして管理し、組み合わせて開発する技法。
-
マークアップ言語
コンピュータで扱う文書を記述する言語。
-
アルゴリズム
何通りもある処理手順の1つひとつ。
-
フローチャート
アルゴリズムの図。
-
配列
データを順番に並べた構造。目的のデータが何番目にあるかを指定することで、データを取り出すことができる。
-
添字
データの順番を表す数。
-
キュー
先に入れたデータから先に取り出す、先入先だし、FIFOともいう。
-
スタック
最後に入れたデータから先に取り出す。LIFOともいう。
-
Push
データを入れること。
-
Pop
データを出すこと。
-
バグ
プログラムの間違いのこと。
-
デバッグ
バグを修正すること。
-
モジュール
プログラムを個々の機能単位に分割したもの。
-
単体テスト
モジュールごとに正しく動作するかをテストすること。
-
ホワイトボックステスト
モジュールの内部構造に着目して正しく動作するかをテスト。
-
ブラックボックステスト
モジュールの内部は考慮せず、仕様書通りの出力が得られるかどうかだけをテスト。
-
結合テスト
単体テストが完了したモジュールを結合し、テスト。
-
ボトムアップテスト
下位のモジュールから上位のモジュールへ順にテストすること。上位にはドライバと呼ばれるダミーモジュールを用意。
-
トップダウンテスト
上位のモジュールから順にテスト。下位にはスタブと呼ばれるダミーモジュールを用意。
-
システムテスト
システム全体をテスト。
-
運用テスト
実際にシステムを利用する本番環境できちんと動作するかをテスト。
-
退行テスト
バグが見つかり修正を行なったときに、修正によって他の部分に影響を及ぼしていないかをテスト。
-
信頼度成長曲線
コンベルツ曲線。テストを続けるにつれて、バグの数が減るグラフ。
-
ウォータフォールモデル
各工程を順番に行う開発モデル。規模の大きいシステム開発に向いている。
-
プロトタイピングモデル
試作品を作り、ユーザに確認してもらいながら開発を進めるモデル。
-
スパイラルモデル
システムをいくつかに分割し、分割したサブシステムごとにウォーターフォールモデルを繰り返して開発していくモデル。
-
リバースエンジニアリング
既存のソフトのプログラムを解析して、プログラムの仕様と設計を導き出す手法。
-
アジャイル
機敏な、という意味。初めから全機能を開発するのではなく細かい機能ごとに短期間で開発してはリリースするサイクルを繰り返す。目まぐるしくニーズが変化するシステムの開発に向いている。
-
エクストリームプログラミング
アジャイル開発の代表的な手法。
-
テスト駆動開発
通常の開発とは逆に、最初にテストプログラムを書いてから、そのテストプログラムが動作するプログラムを書くこと。最初からバグの少ないプログラムになる。エクストリームプログラミングのプラクティス。
-
ペアプログラミング
2人1組になり、コードを書く人、コードをチェックする人という役割を交互に担当しながら開発を行う。エクストリームプログラミングのプラクティス。
-
リファクタリング
外部仕様を変更することなく、内部構造を分かりやすく修正しやすくなるように変更すること。保守性を高める。エクストリームプログラミングのプラクティス。
-
DevOps
システムの開発と運用部門が密接に連携し、迅速に顧客に届けること。
-
プロジェクト
限られた期間に行う独自の業務。決められた納期と予算で完了できるよう管理する。
-
プロジェクトマネジメント
プロジェクトを管理すること。
-
プロジェクトの立ち上げ
プロジェクトの目的、目標、内容などをプロジェクト憲章にまとめる。
-
プロジェクトマネージャ
プロジェクトの責任者。
-
PMBOK
プロジェクトマネジメントの知識を体系化した国際的なガイドライン。
-
スコープ
範囲。プロジェクトの成功のために必要な作業や成果物の項目を過不足なく洗い出し管理。
-
タイム
プロジェクトのスケジュールを作成し、進捗状況の確認を行う。
-
コスト
プロジェクトにかかる費用。
-
人的資源
プロジェクトチームを編成し、メンバの役割や責任、参加時期などを管理。
-
コミュニケーション
プロジェクトに関する情報が適切な相手に適切なタイミングで伝わるよう、伝達方法などを管理。
-
リスク
プラスのリスクとマイナスのリスクを把握・識別する。
-
ステークホルダ
プロジェクトによって利害が生じる可能性がある全ての者。
-
統合
プロジェクトの立ち上げから終結までのプロセス間を総合的に管理。
-
WBS
ワークブレイクダウンストラクチャー。作業分解構成図。
-
ファンクションポイント法
開発費用や工数を見積もる方法として、システムが持つ機能の数と難易度をもとにシステム規模を見積もる。
-
TCO
開発に関わるコスト、運用や保守に関わるコスト、ユーザ教育までの総コスト。
-
CMMI
開発能力を客観的に評価するための指標として5段階のレベルに分けてモデル化。
-
アローダイアグラム
作業工程が入り組んでいるプロジェクトを図式化。
-
クリティカルパス
アローダイアグラムの図式の中で、一番時間がかかる経路。=プロジェクトの所要日数。
-
ガントチャート
作業項目を縦軸、日程を横軸に取り、横棒や矢印で時間を表す。
-
順列
モジュールを組み合わせたパターンが何通りあるのか。順番を逆にしたものも1組とする。
-
組合せ
順番を考慮せずに何パターンあるか。
-
ITサービスマネジメント
システムを安定的かつ効率的に運用し、サービスの品質を維持・向上させる取り組み。
-
インシデント管理
重大な事故につながる可能性のある事態を防止するため、サービスの停止期間を最小限に抑える。
-
問題管理
発生した障害の原因を追求し、再発防止の根本的な解決を行う。
-
構成管理
サービスを構成するハード、ソフト、運用マニュアル、スタッフなどのIT資産を管理する。
-
変更管理
システムに変更が発生した場合に、変更内容を管理する。
-
リリース管理
システムの変更内容を本番環境で実行する。
-
可用性管理
システムの稼働率などの管理を行う。
-
ITIL
ITサービスマネジメントの成功例(ベストプラクティス)を集めた書籍群。
-
サービスデスク
利用者からの様々な問い合わせに対して、単一の窓口を設置し対応。
-
チャットボット
あらかじめ想定される問い合わせ内容と回答を登録しておくことで、自動返答する。
-
サービスレベル合意書
SLA。提供するサービスの内容と品質を、それら達成できなかった場合の保証を含めて文書化。
-
SLM
サービスレベルを達成するために、品質維持、向上させる活動。
-
ファシリティマネジメント
システムを設置する環境に着目し、施設や設備が適切な状態にあるよう管理すること。
-
無停電電源装置
UPS。一定の間、システムに電源供給を行う装置。
-
#ITパスポート