-
ファイアウォール(Firewall)
ネットワークやシステムへの不正アクセスを防ぐセキュリティデバイス
-
脆弱性(Vulnerability)
システムやソフトウェアに存在するセキュリティ上の欠陥や弱点
-
ペネトレーションテスト
(Penetration Testing)
脆弱性を特定するために模擬攻撃を行うプロセス
-
認証(Authentication)
ユーザーが自分自身を確認し、アクセス権を与えられるプロセス。パスワード、生体認証、多要素認証などが使用される。
-
暗号化(Encryption)
データを読み取りにくい形式に変換するプロセス
-
PKI(Public Key Infrastructure)
公開鍵基盤インフラストラクチャ。
デジタル証明書、公開鍵、秘密鍵などを管理するための仕組み。
-
IDS(Intrusion Detection System)
侵入検知システム。不正アクセスや攻撃を監視し、アラートを発生させるシステム。
-
IPS(Intrusion Prevention System)
侵入防止システム。不正アクセスや攻撃を検出し、自動的に対策を実行するシステム。
-
セキュリティインシデント
(Security Incident)
セキュリティ違反や攻撃の結果として発生した問題や出来事
-
脅威(Threat)
システムやネットワークに悪影響を及ぼす可能性のある危険な要因
-
二要素認証
(Two-Factor Authentication, 2FA)
パスワードだけでなく、もう1つの要素(通常はワンタイムパスワード、スマートカード、生体認証など)を使ってユーザーの身元を確認する認証方式。
-
ゼロデイ攻撃(Zero-Day Attack)
セキュリティの脆弱性が公に知られておらず、攻撃者がそれを利用し始めた攻撃。対策がまだ存在しないため、非常に危険。
-
ゼロデイ脆弱性(Zero-Day Vulnerability)
脆弱性が公に知られておらず、攻撃者がすでに悪用し始めた場合の脆弱性。
-
セキュリティアーキテクチャ
(Security Architecture)
システムやネットワークのセキュリティを設計し、実装するための計画と構造。
-
マルウェア(Malware)
悪意のあるソフトウェア。ウイルス、トロイの木馬、スパイウェア、ランサムウェアなどが含まれる。
-
ウイルス
悪意のあるプログラムで、感染したファイルやプログラムを通じて拡散。
実行可能ファイルに感染し、感染したファイルが実行されるとウイルスが活動する。
-
ワーム(Worm)
自己複製能力を持ち、ネットワークを介して自動的に拡散。
感染ファイルを必要とせず、脆弱性を利用してシステムに侵入する。
-
トロイの木馬(Trojan Horse)
見かけは無害なプログラムやアプリケーションのように偽装されており、ユーザーによってダウンロードまたは実行される。
実行されると、システムにバックドアを作成し、攻撃者にアクセスを提供することがある。
-
ランサムウェア(Ransomware)
データを暗号化し、解除キーを提供する代わりに身代金を要求する悪意のあるソフトウェア。
-
スパイウェア(Spyware)
ユーザーの行動を監視し、個人情報や機密情報を収集するために設計されたソフトウェア
-
アドウェア(Adware)
広告を表示し、広告主に収益をもたらすためにコンピュータにインストールされるソフトウェア。
しばしばユーザーエクスペリエンスを悪化させる。
-
バイナリ解析(Binary Analysis)
マルウェアや不正なコードを分析し、その動作や機能を理解するためのプロセス。
-
セキュリティインシデント報告義務
(Security Incident Reporting Requirements)
セキュリティインシデントが発生した場合、関連当局や規制機関に報告する義務。
-
ソーシャルエンジニアリング
(Social Engineering)
攻撃者が人々をだまし、誤認させ、あるいは操作して、機密情報やアクセス権を入手するための手法や技術を指す。技術的な脆弱性を突かないで、人間の心理や信頼を悪用して攻撃を仕掛ける手法。
-
BYOD(Bring Your Own Device)
従業員が自身のデバイス(スマートフォン、タブレット、ラップトップなど)を職場で使用する環境。
-
シングルサインオン(Single Sign-On, SSO)
1回の認証で複数のシステムやアプリケーションにアクセスできる仕組み。
-
フィッシング(Phishing)
ソーシャルエンジニアリングを使用し、偽のウェブサイトや電子メールを介してユーザーの個人情報やパスワードを詐取しようとする詐欺的な活動。
-
パッチ(Patch)
ソフトウェアやシステムの脆弱性を修正するためのアップデートまたは修正プログラム。
-
ディドス攻撃
(DDoS攻撃:Distributed Denial of Service Attack)
複数のコンピュータを使用して、ウェブサーバーやネットワークを過剰なトラフィックでオーバーロードし、サービスを停止させる攻撃。
-
トラフィック
ネットワークを介してデータが移動する際の通信活動を指す。これにはウェブページのダウンロード、電子メールの送信、ファイルの転送などが含まれる。
-
DMZ(Demilitarized Zone)
内部ネットワークと外部ネットワークの間に設けられたセキュリティ領域で、パブリックサーバーやリバースプロキシなどが配置される。
-
SSL/TLS
(Secure Sockets Layer/Transport Layer Security)
インターネット上でのデータ転送を暗号化し、通信のセキュリティを確保するプロトコル。
-
VPN(Virtual Private Network)
公共ネットワークを経由して安全な通信を実現するための技術で、データを暗号化し、プライバシーを保護する。
-
SIEM
(Security Information and Event Management)
セキュリティ情報とイベントを集め、分析、監視し、セキュリティインシデントを検出するためのソフトウェアやプラットフォーム。
-
パッシブ監査(Passive Auditing)
ネットワークトラフィックを監視し、不正行為を検出するための監査方法で、通信を傍受し分析する。
-
バイラルマーケティング(Viral Marketing)
ユーザーが自発的に広告やコンテンツを共有し、情報が迅速に拡散するマーケティング戦略
-
ホワイトハッカー(White Hat Hacker)
善意の目的でセキュリティテストや脆弱性診断を行うセキュリティ専門家。
-
ブラックハットハッカー(Black Hat Hacker)
悪意のある目的でコンピュータシステムを攻撃し、不正なアクセスを試みるハッカー。
-
イーサネット(Ethernet)
ローカルエリアネットワーク(LAN)で広く使用される有線ネットワーク技術。
-
サンドボックス(Sandbox)
悪意のあるコードやアプリケーションを隔離された環境で実行し、システムへの影響を制限するセキュリティメカニズム。
-
ネットワークセグメンテーション
(Network Segmentation)
ネットワークを論理的なセグメントに分割し、セキュリティを向上させるための手法。
-
ファイルインテグリティ(File Integrity)
ファイルが改ざんされていないことを確認し、データの完全性を保つセキュリティプラクティス。
-
セッションハイジャック(Session Hijacking)
攻撃者が有効なユーザーセッションを奪取し、不正なアクセスを試みる攻撃。
-
セキュリティイベント(Security Event)
システムやネットワークで検出される可能性のあるセキュリティに関連する事象。
-
ディジタル署名(Digital Signature)
データの送信者が確認できるように、データに電子署名を付与し、データの改ざんを検出するセキュリティ技術。
-
DMARC
(Domain-based Message Authentication, Reporting, and Conformance)
ドメインの電子メール認証を強化し、スパムやフィッシング攻撃からの保護を提供する技術。
-
サイバーセキュリティフレームワーク(Cybersecurity Framework)
セキュリティポリシーとベストプラクティスを指定し、組織のセキュリティ戦略を確立するための枠組み。
-
パスワードマネージャー(Password Manager)
セキュアな方法でパスワードを生成、保存、管理するソフトウェアまたはサービス。
-
セキュア
データやシステムが危険から守られている状態を指す。
-
C&Cサーバ
(コマンド・コントロール・サーバ)
マルウェアの中枢で、攻撃者が感染したコンピュータを操るためのコマンドを送信し、被害を拡大させるための要となるサーバー。
-
DNSキャッシュポイズニング
悪意のある攻撃者がDNSのキャッシュを不正に操作し、正規のDNS応答を置き換えて、ユーザーを誤ったウェブサイトやサーバーに誘導する詐欺的な攻撃手法。
-
クライアント
サービスやリソースを要求し、利用するコンピュータやプログラムのことを指す。クライアントは通常、リクエストを送信し、サーバーから応答を受け取る側である。
-
クライアント認証
通信中のクライアント(通常はユーザーやデバイス)が、自分が正当な通信相手であることを証明するプロセス。通信の安全性を高め、相互の信頼を確立する。
-
共通鍵暗号方式
暗号化と復号化に同じ鍵を使用する方式。
この方式は高速で効率的であり、一般的にデータの暗号化と復号化に使用される。
-
公開鍵暗号方式
異なる2つの鍵、すなわち公開鍵と秘密鍵を使用する。
公開鍵は誰にでも公開され、秘密鍵は所有者のみが知っている鍵である。
暗号化の際には、公開鍵で暗号化し、復号化の際には秘密鍵で復号化する。
-
セキュリティホール
システムやソフトウェアの弱点で、攻撃者に悪用されて不正アクセスや攻撃が行われる可能性があるもの。
-
サラミ法
犯罪者が小さな不正行為を連続して行い、それぞれがごくわずかな被害を引き起こす手法。これにより、不正行為の検出が難しくなります。犯罪者は細かいステップを重ね、累積的な被害をもたらすことを狙う。
-
盗聴(スニッフィング)
通信データや情報を不正に盗み見る行為のこと。ネットワーク通信や音声通話などが対象とされ、セキュリティの脅威となる。
-
認証局(Certificaion Authority:CA)
デジタル証明書を発行し、公開鍵の信頼性を確保する組織。デジタル証明書はセキュアな通信やデータ認証に使用され、CAはその信頼性を提供する。
-
バックドア(backdoor)
通常の方法ではアクセスできない隠れたアクセス経路や仕組みのことで、不正なアクセスや操作を許可することがある。
-
ステガノグラフィ
情報の隠蔽や秘匿を目的として、デジタルメディア(主に画像や音声)にメッセージやデータを埋め込む技術や方法を指す。
-
クリプトグラフィ
情報やデータを秘密裏に保護し、安全に転送や保存するための技術や方法を指す。
-
Man-in-the-Browser攻撃(MITB)
オンライン活動中にブラウザ内で発生する不正アクセスで、攻撃者が被害者のブラウジングセッションを監視・操作し、情報窃取やトランザクション改ざんを行う攻撃手法。
-
Man-in-the-Middle攻撃
通信経路上に攻撃者がいて、通信を盗聴・改ざんできる攻撃。通信の送信者と受信者は攻撃者を意識していないため、情報が不正に操作される危険性がある。
-
MACアドレスフィルタリング
ネットワークへのアクセスを管理する方法で、許可されたデバイスのMACアドレスをリスト化し、それ以外のデバイスのアクセスを制限する。
-
耐タンパ性
物理的な攻撃や改ざんに対してシステムやデバイスが強化され、保護されていることを指す。
-
IoTデバイスの耐タンパ性
機器内部の機密データの守秘性を高める、内部動作の解析を困難にする、分解すると壊れるようにすることで向上する。
-
テンペスト技術
電磁放射からの情報漏洩を防ぐための技術で、電磁波を盗聴して情報を取得しようとする攻撃からデバイスやシステムを保護する。
-
SPF(Sender Policy Framework)
電子メールの送信元を正当に認証するための技術で、メール送信者のドメインが本物であることを確認し、なりすましやスパムメールの防止に役立つ。
-
SEO(Search Engine Optimization)
ウェブサイトやコンテンツが検索エンジンで上位に表示されるようにするための戦略や技術のことで、トラフィックを増やすための手法を指す。
-
SQLインジェクション
ウェブアプリケーションやデータベースへのセキュリティ攻撃で、攻撃者が不正なSQLクエリを送り込んでデータベースにアクセスし、情報を盗み出すなどの不正行為を行う手法。
-
サニタイジング
データや入力のセキュリティを確保するために、悪意のある要素やコードを取り除くまたは無害なものに変換するプロセス。
-
OSコマンドインジェクション
ウェブアプリケーションやシステムへの攻撃手法で、攻撃者が不正なOSコマンドを実行させるためにアプリケーションを悪用する攻撃。これにより、システムに悪意のある操作が行われる危険性がある。
-
ディレクトリトラバーサル攻撃
攻撃者がアプリケーションの許可なしにファイルシステム内のディレクトリやファイルにアクセスしようとする試み。
-
クロスサイトスクリプティング
(Cross-Site Scripting、XSS)
攻撃者がウェブページやアプリケーションに悪意のあるスクリプトコードを挿入し、ユーザーのブラウザで実行させる攻撃手法。
-
メッセージダイジェスト
データの完全性を確認するために使われるハッシュ関数で、データを一定の長さのハッシュ値に変換する。このハッシュ値は、データの改ざんを検出するのに役立つ。
-
原像計算困難性
ハッシュ関数が与えられたハッシュ値から元のデータを逆引きすることが極めて難しい性質を指す
-
衝突発見困難性
ハッシュ関数が異なる入力に対して同じハッシュ値を生成することが非常に難しい性質を指す
-
クロスサイトリクエストフォージェリ
(Cross-Site Request Forgery,CSRF)
攻撃者が被害者に代わって不正なリクエストを送信させる攻撃で、被害者のセッションを悪用して不正な操作を行うことが目的。
-
オーソリモニタリング
金融機関や支払いプロセッサなどが実施する、取引や支払いに関する監視と審査のプロセスを指す。
-
エクスプロイトキット
脆弱性を悪用してコンピュータやソフトウェアに侵入するための攻撃コードやツールのセット。
-
SSH(Secure Shell)
ネットワーク経由で安全かつ暗号化された通信を行うためのプロトコルとソフトウェア
-
ポートフォワーディング
ネットワークトラフィックを特定のポートから別のポートに転送するプロセスで、外部からのアクセスを内部のサーバーやデバイスにリダイレクトするために使用される。
-
オープンリダイレクト
ウェブアプリケーションのセキュリティ脆弱性で、攻撃者がユーザーを信じ込ませ、信頼されたサイトから攻撃者のサイトにリダイレクトさせる試み。
-
TLS(Transport Layer Security)
ノード認証、暗号化通信、改ざん検知などのセキュリティ機能をOSI基本参照モデルのトランスポート層レベルで提供するプロトコル。
-
RADIUS
(Remote Authentication Dial In User Service)
リモートユーザーのネットワークアクセス時に認証と課金を管理するためのプロトコルとサービス。
-
サイバーキルチェーン
サイバーセキュリティ攻撃の進行過程を段階的にモデル化した概念
-
チャレンジレスポンス認証方式
ユーザーがアクセスを要求すると、システムがユーザーにランダムな課題(チャレンジ)を提示し、ユーザーはそれに対する正しい応答(レスポンス)を提供することで正当性を確認するセキュリティ認証方式。
-
ドライブバイダウンロード
ウェブサイトを訪れた際に、ユーザーの許可なしにコンピュータに悪意のあるソフトウェアやマルウェアをダウンロードしようとする攻撃手法。
-
フォールスネガティブ
ある事象や条件が実際には存在するにもかかわらず、それを誤って存在しないと判断することを指す。
-
フォールスポジティブ
ある事象や条件が実際には存在しないにもかかわらず、それを誤って存在すると判断することを指す。
-
ブルートフォース攻撃
セキュリティの文脈で使用される用語で、パスワードや認証情報を推測するために、すべての可能な組み合わせを試行し続ける攻撃手法。
-
ファジング(fuzzing)
自動化されたツールを使用して、アプリケーションやシステムにランダムまたは不正確なデータ(フジャーまたはファジングテストケースと呼ばれる)を提供し、予期せぬ動作やセキュリティの脆弱性を発見するための手法。
-
辞書攻撃
パスワードクラッキング攻撃の一種です。この攻撃では、攻撃者はあらかじめ用意されたパスワードリスト(辞書)を使用して、対象のシステムやアカウントに対して順番にパスワードを試行する。
-
デジタルフォレンジックス
(Digital Forensics)
デジタルデバイスやコンピュータ関連の犯罪調査や証拠収集を行うための専門領域。
-
ウォードライビング(War Driving)
攻撃者が自動車を使用して街中を走行しながら、無線ネットワーク(Wi-Fiネットワーク)を探し、そのネットワークに不正にアクセスしようとする行為。
-
オープンリゾルバ
誰でも利用できる一般的なDNSリソルバであり、一般には制限されたセキュリティ保護がないことを指す。
-
DNSSEC
(Domain Name System Security Extensions)
ドメイン名の解決プロセスにセキュリティを追加するための技術。
-
サイドチャネル攻撃
物理的な情報漏洩や電力消費の分析など、暗号化処理中に発生する「側面の情報」を利用して、秘密情報を取得しようとするもの。
-
ハイブリッド暗号方式
公開鍵暗号方式と共通鍵暗号方式を組み合わせた暗号化手法。
-
SSLトンネリング
SSLを使用して通信データを暗号化し、ネットワークを通じて転送することを指す。
-
リスクベース認証
ユーザーのアクセス要求に対する認証の強度を、リスクレベルに応じて調整するセキュリティアプローチ。
-
ブロードバンドルータ
ネットワーク機器の一種で、広帯域のインターネット接続を提供し、複数のデバイスを同時にネットワークに接続するためのルーター。
-
CRL(証明書失効リスト)
失効した公開鍵証明書の一覧で、証明書が信頼性を失った場合に識別するためのリスト。
-
#応用情報
#応用情報技術者