メインコンテンツへスキップ

Security glossary

セキュリティフレームワーク用語一覧

リスク管理、脆弱性管理、インシデント対応で使われる規格、指標、組織、知識体系をまとめました。何を判断する枠組みなのかを実務目線で整理します。

183 語を収録

Terms

フレームワークの用語

183語
Access Certification 発展 Access Certification 利用者のアクセス権が現在も必要で妥当かを、管理者や業務オーナーが定期的に確認・承認するプロセス。 意味と関連用語を見る Access Package 発展 Access Package アプリ、グループ、サイトなど複数の権限を業務単位でまとめ、申請・承認・期限付きで付与する単位。 意味と関連用語を見る Access Recertification 発展 Access Recertification 既存のアクセス権が現在も必要かを、所有者や上長が定期的に再確認するプロセス。権限棚卸しの実務手法の一つ。 意味と関連用語を見る Access Review 発展 Access Review ユーザー、グループ、管理者、外部共有、OAuthアプリなどのアクセス権が現在も妥当かを定期的に確認する活動。 意味と関連用語を見る AI Red Teaming 発展 AI Red Teaming AIシステムの安全性、悪用耐性、プロンプト耐性、データ漏えいリスクを攻撃者視点で検証する評価活動。 意味と関連用語を見る Asset Criticality 発展 Asset Criticality 資産が事業やセキュリティに与える重要度。脆弱性対応、監視、復旧順序の優先度判断に使う。 意味と関連用語を見る Asset Inventory 発展 Asset Inventory 組織が保有・利用する端末、サーバー、SaaS、クラウド資産、データ、アカウントを一覧化した台帳。脆弱性管理や権限棚卸しの起点になる。 意味と関連用語を見る Attack Complexity 発展 Attack Complexity 脆弱性の悪用に必要な条件や難しさを示す評価軸。条件が少ないほど悪用されやすい可能性がある。 意味と関連用語を見る Attack Emulation 発展 Attack Emulation 特定の脅威や攻撃シナリオを、防御検証の目的で安全に模擬し、検知・対応・統制の穴を確認する活動。 意味と関連用語を見る Attack Vector 発展 Attack Vector 攻撃が成立する経路や到達条件を示す概念。CVSSではNetwork、Adjacent、Local、Physicalなどで表される。 意味と関連用語を見る Audit Readiness 発展 Audit Readiness 監査や審査に備えて、統制、証跡、所有者、手順、例外の状態を説明できるようにしておくこと。 意味と関連用語を見る Audit Trail 発展 Audit Trail 操作、承認、変更、アクセスなどの履歴を時系列で追跡できるようにした監査証跡。 意味と関連用語を見る Blue Green Deployment 実務 Blue-Green Deployment 本番環境をBlueとGreenの2系統で用意し、新環境へ切り替えることで停止時間とロールバックリスクを抑えるデプロイ方式。 意味と関連用語を見る Bug Bounty 発展 Bug Bounty 外部研究者に脆弱性報告を促し、有効な報告へ報奨金や謝辞を提供する制度。 意味と関連用語を見る Build Attestation 発展 Build Attestation ビルドの実行主体、入力、環境、成果物などについて、署名付きで証明するメタデータ。 意味と関連用語を見る Build Provenance 発展 Build Provenance ソフトウェア成果物が、どのソース・ビルド環境・手順から作られたかを示す来歴情報。 意味と関連用語を見る Business Continuity 発展 Business Continuity 障害やインシデントが起きても重要業務を継続または早期再開するための計画と活動。 意味と関連用語を見る Business Impact Analysis 発展 Business Impact Analysis システム停止やデータ損失が業務に与える影響を分析し、復旧目標や優先順位を決める活動。 意味と関連用語を見る CAIQ 発展 Consensus Assessments Initiative Questionnaire Cloud Security Allianceが提供するクラウドサービス評価向け質問票。CSA CCMに基づき、クラウド提供者の統制状況を確認する。 意味と関連用語を見る Case Management 発展 Case Management アラートやインシデントをケース単位で管理し、担当、証跡、判断、対応状況を追跡する運用。 意味と関連用語を見る Case Priority 発展 Case Priority セキュリティ対応ケースの優先度。影響範囲、悪用可能性、資産重要度、対応期限などをもとに判断する。 意味と関連用語を見る Case Severity 実務 Case Severity インシデントや調査ケースの重大度。影響範囲、資産重要度、悪用確度、業務影響、法務影響を踏まえて決める。 意味と関連用語を見る Center for Internet Security 発展 Center for Internet Security CIS ControlsやCIS Benchmarksを公開する非営利団体。セキュリティベースラインやクラウド設定確認の実務で参照される。 意味と関連用語を見る Chain of Custody 発展 Chain of Custody 証拠を誰が、いつ、どこで、どのように取得・保管・引き渡したかを記録する管理手続き。 意味と関連用語を見る Change Freeze 発展 Change Freeze 繁忙期や重要イベント前後に、障害リスクを下げるため通常変更を一時停止する運用ルール。 意味と関連用語を見る Change Management 発展 Change Management システム変更を計画、承認、実施、記録、レビューする管理プロセス。障害や設定ミスの予防に使う。 意味と関連用語を見る CISA 発展 Cybersecurity and Infrastructure Security Agency 米国のサイバーセキュリティ・重要インフラ保護を担う政府機関。KEVカタログや各種ガイダンスを公開している。 意味と関連用語を見る CMDB 発展 Configuration Management Database ITサービスを構成する機器、システム、関係性、変更履歴を管理するデータベース。インシデント対応や変更管理の文脈把握に使う。 意味と関連用語を見る Communications Plan 実務 Communications Plan インシデント時に、誰が、誰へ、どの順序・チャネル・内容で連絡するかを定めた計画。 意味と関連用語を見る Compensating Control 発展 Compensating Control 本来の対策をすぐ実施できない場合に、リスクを下げるため代替的に導入する管理策。 意味と関連用語を見る Compliance Mapping 発展 Compliance Mapping 法令、規格、契約要件、社内基準の要求事項を、実際の統制や証跡へ対応付ける作業。 意味と関連用語を見る Consent Management 発展 Consent Management 利用者の同意取得、同意範囲、撤回、履歴を管理する仕組み。Cookie、広告、メール配信、個人情報利用で重要になる。 意味と関連用語を見る Containment 発展 Containment インシデントの被害拡大を止めるため、影響範囲を隔離・制限する初動対応。 意味と関連用語を見る Continuous Monitoring 実務 Continuous Monitoring セキュリティ状態、統制、設定、ログ、リスクを一度きりではなく継続的に監視・評価する運用。 意味と関連用語を見る Control Evidence 発展 Control Evidence セキュリティ統制が実施され、有効に機能していることを示す証跡。設定画面、ログ、承認記録、テスト結果などが該当する。 意味と関連用語を見る Control Mapping 発展 Control Mapping 1つの統制をNIST CSF、ISO 27001、SOC 2など複数の基準や要件へ対応付ける作業。 意味と関連用語を見る Control Owner 発展 Control Owner 特定のセキュリティ管理策について、設計、実行、証跡、改善の責任を持つ担当者またはチーム。 意味と関連用語を見る Control Validation 発展 Control Validation 導入済みのセキュリティ統制が、設計どおりに動き期待したリスク低減を実現しているかを確認する活動。 意味と関連用語を見る Coordinated Vulnerability Disclosure 発展 Coordinated Vulnerability Disclosure 発見者、ベンダー、調整機関が協力し、修正や利用者通知の準備を整えてから脆弱性を公開する考え方。 意味と関連用語を見る CPE 発展 Common Platform Enumeration 製品名、ベンダー、バージョンなどを標準化して識別するための名前付け体系。脆弱性と影響製品の対応付けに使われる。 意味と関連用語を見る Crisis Communications 発展 Crisis Communications 重大インシデントや障害時に、社内外の関係者へ正確で一貫した情報を伝えるための広報・連絡活動。 意味と関連用語を見る Cross-Border Data Transfer 発展 Cross-Border Data Transfer 個人データや重要データを国境を越えて移転・閲覧・処理すること。法令、契約、委託先、サポートアクセスの確認が必要。 意味と関連用語を見る CSA CCM 発展 Cloud Controls Matrix Cloud Security Allianceが提供するクラウド向け統制フレームワーク。クラウド利用時に確認すべき管理策を体系化している。 意味と関連用語を見る CSAF 発展 Common Security Advisory Framework セキュリティアドバイザリを機械可読な形式で共有するための標準。脆弱性情報の自動取り込みに使われる。 意味と関連用語を見る CTEM 発展 Continuous Threat Exposure Management 組織の攻撃露出を継続的に発見・優先度付け・検証・改善する管理アプローチ。 意味と関連用語を見る CVD Policy 発展 Coordinated Vulnerability Disclosure Policy 発見者、ベンダー、関係者が協調して脆弱性を確認・修正・公表するための方針。 意味と関連用語を見る CVE 発展 Common Vulnerabilities and Exposures 脆弱性に付与される一意の識別番号。「CVE-2024-12345」の形式。MITRE Corporationが管理し、NVD(National Vulnerability Database)でスコア(CVSS)とともに公開される。 意味と関連用語を見る CVE Numbering Authority 発展 CVE Numbering Authority (CNA) CVE番号を割り当て、脆弱性情報を公開する権限を持つ組織。ベンダーや調整機関などがCNAになる。 意味と関連用語を見る CVE Record 発展 CVE Record CVE IDに紐づく公式の脆弱性記録。説明、影響製品、参照情報、CNA情報などが含まれる。 意味と関連用語を見る CVSS 発展 Common Vulnerability Scoring System 脆弱性の深刻度を0〜10のスコアで表す業界標準指標。基本値・現状値・環境値の3つのスコアで構成。9以上が「緊急(Critical)」でパッチ適用が最優先となる。 意味と関連用語を見る CVSS Environmental Score 発展 CVSS Environmental Score 自組織の環境条件を反映して調整するCVSSスコア。資産重要度、代替対策、影響範囲などを考慮する。 意味と関連用語を見る CVSS Vector 発展 CVSS Vector CVSSスコアを構成する各評価項目を文字列で表したもの。攻撃経路、複雑性、必要権限、影響などを含む。 意味と関連用語を見る CWE 発展 Common Weakness Enumeration ソフトウェアや設計に現れる弱点の種類を体系化した一覧。CVEが個別脆弱性、CWEが弱点カテゴリに近い。 意味と関連用語を見る CycloneDX 発展 CycloneDX SBOMなどを表現するためのオープンな標準仕様。ソフトウェア、コンポーネント、依存関係、脆弱性情報の交換に使われる。 意味と関連用語を見る Data Breach Notification 発展 Data Breach Notification 個人情報や機密情報の漏えい・侵害が確認または疑われる場合に、関係者や監督機関へ通知する対応。 意味と関連用語を見る Data Controller 発展 Data Controller 個人データの処理目的や手段を決める主体。プライバシー対応では責任分界の確認に使われる。 意味と関連用語を見る Data Inventory 発展 Data Inventory 組織が保有するデータの種類、所在、所有者、利用目的、保存期間、共有先を一覧化する活動。 意味と関連用語を見る Data Lineage 発展 Data Lineage データがどこで作られ、どこへ移動し、どの処理を経て利用されるかを示す流れの情報。 意味と関連用語を見る Data Localization 発展 Data Localization 特定の国や地域内にデータを保存・処理することを求める要件。規制や顧客契約で指定される場合がある。 意味と関連用語を見る Data Minimization 発展 Data Minimization 目的達成に必要な最小限のデータだけを収集・保存・利用する考え方。漏えい時の影響や管理コストを下げる。 意味と関連用語を見る Data Owner 発展 Data Owner データの利用目的、アクセス権、保存期間、分類、削除判断に責任を持つ業務上の所有者。 意味と関連用語を見る Data Processor 発展 Data Processor Data Controllerの指示に基づき、個人データを処理する主体。委託先やSaaS提供者が該当することがある。 意味と関連用語を見る Data Residency 発展 Data Residency データが保存・処理される国や地域を管理する考え方。規制、契約、顧客要件、クラウドリージョン選定に関係する。 意味と関連用語を見る Data Retention 発展 Data Retention 業務、法務、監査、プライバシー要件に基づいて、データを保存する期間と廃棄方法を定める運用。 意味と関連用語を見る Data Retention Policy 発展 Data Retention Policy 業務データやログをどれくらい保持し、いつ削除・アーカイブするかを定める方針。法務、監査、プライバシー、インシデント対応に関わる。 意味と関連用語を見る Data Steward 発展 Data Steward データの品質、分類、利用ルール、アクセス権、ライフサイクルを実務上管理する担当者または役割。 意味と関連用語を見る Data Subject Request 発展 Data Subject Request 本人からの個人データの開示、訂正、削除、利用停止などの請求。対象データの特定と本人確認が重要になる。 意味と関連用語を見る Disaster Recovery 発展 Disaster Recovery 災害、障害、サイバー攻撃などで停止したシステムを復旧するための計画と体制。 意味と関連用語を見る DPA 発展 Data Processing Agreement 個人データ処理を委託する際の責任、処理範囲、安全管理、再委託、漏えい通知などを定める契約。 意味と関連用語を見る DPIA 発展 Data Protection Impact Assessment 個人データ処理がプライバシーへ与えるリスクを事前に評価し、低減策を整理するアセスメント。 意味と関連用語を見る Dwell Time 発展 Dwell Time 攻撃者や不正アクセスが環境内に滞在していた期間。侵害の検知遅延や調査範囲を考える上で重要。 意味と関連用語を見る Emergency Change 実務 Emergency Change 重大障害や高リスク脆弱性など、通常の変更承認プロセスを待てない場合に行う緊急変更。 意味と関連用語を見る Entitlement Management 発展 Entitlement Management 利用者がどのリソースや権限を持つべきかを、申請・承認・期限・棚卸しで管理する考え方。 意味と関連用語を見る EPSS 発展 Exploit Prediction Scoring System 脆弱性が実際に悪用される可能性を0〜1の確率で示すスコア。CVSSとは異なり、脅威の起きやすさを扱う。 意味と関連用語を見る Eradication 発展 Eradication 封じ込め後に、侵害に使われた原因、マルウェア、脆弱設定、侵害アカウントなどを除去する対応段階。 意味と関連用語を見る Evidence Preservation 発展 Evidence Preservation インシデント対応でログ、端末、ファイル、設定、通信記録などの証拠を失わないよう保全する活動。 意味と関連用語を見る Exception Approval 発展 Exception Approval 標準ルールやセキュリティ基準から一時的に外れる場合に、理由・期限・代替策を明記して承認する手続き。 意味と関連用語を見る Exception Register 発展 Exception Register セキュリティ基準からの例外を、理由、対象、期限、承認者、補完統制とともに管理する台帳。 意味と関連用語を見る Executive Summary 発展 Executive Summary 経営層や非専門家向けに、影響、判断事項、リスク、次の対応を短く整理した報告要約。 意味と関連用語を見る Exploit Prediction 発展 Exploit Prediction 脆弱性が今後悪用される可能性を、過去データ、公開情報、攻撃観測、機械学習などから予測する考え方。 意味と関連用語を見る Exploitability 発展 Exploitability 脆弱性が実際に悪用されやすいかを示す考え方。到達性、必要権限、公開コード、悪用状況などで判断する。 意味と関連用語を見る FedRAMP 発展 Federal Risk and Authorization Management Program 米国政府機関がクラウドサービスを利用する際のセキュリティ評価・認可プログラム。クラウドサービスの統制水準を確認する枠組み。 意味と関連用語を見る Four-Eyes Principle 発展 Four-Eyes Principle 重要な操作や判断を少なくとも2人で確認・承認する原則。誤操作や不正の抑止に使われる。 意味と関連用語を見る Fourth-Party Risk 発展 Fourth-Party Risk 自社の委託先やSaaS提供元がさらに依存している再委託先・クラウド・サプライヤーに起因するリスク。 意味と関連用語を見る GRC 発展 Governance, Risk and Compliance ガバナンス、リスク管理、コンプライアンスを一体で扱う考え方。経営判断、統制、監査、リスク受容をつなぐ。 意味と関連用語を見る Hermetic Build 発展 Hermetic Build ビルド時の入力や依存関係を明示し、外部ネットワークや不明な環境差分に依存しない再現性の高いビルド方式。 意味と関連用語を見る Identity Governance 発展 Identity Governance ユーザー、権限、アクセス要求、棚卸し、ライフサイクルを統制するID管理の領域。過剰権限や退職者残存を減らす。 意味と関連用語を見る Identity Governance and Administration 発展 Identity Governance and Administration ID、権限、申請、承認、棚卸し、監査を統合的に管理する考え方。IGAとも呼ばれ、誰が何にアクセスできるかを継続的に統制する。 意味と関連用語を見る Identity Lifecycle Management 発展 Identity Lifecycle Management 入社、異動、休職、退職、委託終了などに合わせてIDと権限を作成・変更・削除する管理プロセス。 意味と関連用語を見る Impact Assessment 発展 Impact Assessment インシデントや変更が、事業、利用者、データ、法令、システム可用性へ与える影響を評価すること。 意味と関連用語を見る Incident Classification 発展 Incident Classification インシデントを種類や影響で分類し、適切な対応手順、担当、報告先へ振り分けること。 意味と関連用語を見る Incident Severity 発展 Incident Severity インシデントの重大度。影響範囲、データ種別、攻撃継続性、復旧難度、外部影響などで分類する。 意味と関連用語を見る Incident Timeline 発展 Incident Timeline インシデントの発生、検知、判断、対応、復旧までの出来事を時系列で整理した記録。 意味と関連用語を見る ISMS 発展 Information Security Management System 情報セキュリティを組織的に管理する仕組み。リスク評価、管理策、運用、監査、改善を継続的に回す。 意味と関連用語を見る ISO 27001 発展 ISO/IEC 27001 情報セキュリティ管理システム(ISMS)の国際規格。リスクベースのアプローチで情報資産を保護する管理体制を構築・運用・評価・改善(PDCAサイクル)する。第三者認証取得が可能。 意味と関連用語を見る ISO 27002 発展 ISO/IEC 27002 情報セキュリティ管理策の実践ガイド。ISMSで管理策を具体化する際の参考として使われる。 意味と関連用語を見る ISO 27017 発展 ISO/IEC 27017 クラウドサービスに関する情報セキュリティ管理策の実践指針。クラウド利用者と提供者の責任分担を整理する際に使われる。 意味と関連用語を見る ISO 27018 発展 ISO/IEC 27018 パブリッククラウド上の個人情報保護に関する管理策の指針。クラウド事業者のプライバシー管理を確認する際に参照される。 意味と関連用語を見る Joiner-Mover-Leaver 発展 Joiner-Mover-Leaver 入社・異動・退職のライフサイクルに合わせて、アカウント作成、権限変更、無効化を管理するID運用プロセス。 意味と関連用語を見る KEV 発展 Known Exploited Vulnerabilities 実際に悪用が確認された脆弱性の一覧。CISAのKEVカタログは、脆弱性対応の優先順位付けで重要な入力になる。 意味と関連用語を見る Key Custodian 発展 Key Custodian 暗号鍵や重要な秘密情報の保管、利用承認、廃棄に責任を持つ担当者または役割。 意味と関連用語を見る Landing Zone 発展 Landing Zone クラウド利用を安全に始めるための、アカウント構成、ネットワーク、監査、権限、ポリシーの標準基盤。 意味と関連用語を見る Legal Hold 発展 Legal Hold 訴訟、調査、監査などに備え、関連データや証拠を削除・変更しないよう保全する措置。 意味と関連用語を見る Lessons Learned 発展 Lessons Learned インシデントや訓練の後に得られた教訓を整理し、再発防止や手順改善へ反映する活動。 意味と関連用語を見る Maintenance Window 発展 Maintenance Window システム変更、パッチ適用、再起動などを実施するために事前に確保する保守時間帯。 意味と関連用語を見る MITRE ATT&CK 発展 MITRE ATT&CK 実際に観測された攻撃者のTTP(戦術・技術・手順)を体系的にまとめたナレッジベース。14のタクティクスと200以上のテクニックで構成。脅威インテリジェンス・検知ルール・レッドチーム演習に活用される。 意味と関連用語を見る MITRE D3FEND 発展 MITRE D3FEND 攻撃技術に対する防御技術や対策概念を体系化したナレッジベース。ATT&CKと対になる形で使われる。 意味と関連用語を見る Model Risk Management 発展 Model Risk Management AIや機械学習モデルの誤出力、偏り、説明不能性、データ漏えい、運用逸脱などのリスクを管理する枠組み。 意味と関連用語を見る MTTD 発展 Mean Time To Detect インシデントや異常が発生してから検知されるまでの平均時間。検知力を測る運用指標。 意味と関連用語を見る MTTR 発展 Mean Time To Respond / Recover 検知後に対応・復旧するまでの平均時間。インシデント対応やサービス復旧の速さを測る指標。 意味と関連用語を見る NIST CSF 発展 NIST Cybersecurity Framework NIST(米国標準技術研究所)が発行するサイバーセキュリティの管理フレームワーク。バージョン2.0では「統治・特定・防御・検知・対応・復旧」の6機能で構成。業界横断的に広く採用されている。 意味と関連用語を見る NIST SP 800-53 発展 NIST Special Publication 800-53 米国NISTが公開する、情報システムと組織のセキュリティ・プライバシー管理策カタログ。統制設計や監査の参照枠として使われる。 意味と関連用語を見る NIST SP 800-61 発展 NIST Special Publication 800-61 コンピューターセキュリティインシデント対応の指針をまとめたNIST文書。準備、検知・分析、封じ込め・根絶・復旧、事後活動を整理する。 意味と関連用語を見る NIST SP 800-63 発展 NIST Special Publication 800-63 デジタルID、本人確認、認証、フェデレーションに関するNISTの指針。認証保証レベルやMFA設計の参照になる。 意味と関連用語を見る OpenAPI Security 発展 OpenAPI Security OpenAPI仕様を活用し、APIの認証方式、入力制約、公開範囲、テスト対象を明確にするセキュリティ実践。 意味と関連用語を見る OWASP Top 10 発展 OWASP Top 10 Open Web Application Security Projectが発行するWebアプリの最重要脆弱性Top 10リスト。2021年版ではアクセス制御の不備・暗号化の失敗・インジェクションなどがランクイン。3〜4年ごとに更新される。 意味と関連用語を見る Package Provenance 発展 Package Provenance パッケージがどのリポジトリ、ビルド環境、ワークフローから作られたかを示す出所情報。 意味と関連用語を見る PASTA 発展 Process for Attack Simulation and Threat Analysis ビジネス影響と攻撃シナリオを結びつけて脅威を分析する、リスク中心の脅威モデリング手法。 意味と関連用語を見る Patch Tuesday 発展 Patch Tuesday 主にMicrosoftが毎月第2火曜日にセキュリティ更新プログラムを公開する定例日を指す通称。 意味と関連用語を見る Patch Window 実務 Patch Window パッチ適用や再起動を行うために、業務影響を考慮してあらかじめ確保する作業時間帯。 意味と関連用語を見る Pod Security Standards 発展 Pod Security Standards Kubernetes Podのセキュリティ設定をPrivileged、Baseline、Restrictedの3段階で整理した公式基準。 意味と関連用語を見る Policy as Code 発展 Policy as Code セキュリティや運用ポリシーをコードとして記述し、CI/CDや設定検査で自動評価する考え方。 意味と関連用語を見る Post-Incident Review 発展 Post-Incident Review インシデント対応後に、判断、手順、連絡、検知、復旧を振り返り、改善点を決める活動。 意味と関連用語を見る Privacy by Design 発展 Privacy by Design サービスや業務設計の初期段階から、個人情報保護とプライバシー配慮を組み込む考え方。 意味と関連用語を見る Privacy Notice 発展 Privacy Notice 個人情報の収集目的、利用範囲、第三者提供、保存期間、問い合わせ先などを利用者へ説明する文書。 意味と関連用語を見る PSIRT Advisory 発展 PSIRT Advisory 製品ベンダーのPSIRTが公開する脆弱性情報。影響製品、深刻度、修正バージョン、回避策などを含む。 意味と関連用語を見る Purple Teaming 発展 Purple Teaming 攻撃役のレッドチームと防御役のブルーチームが協力し、検知・対応・防御改善を目的に演習する取り組み。 意味と関連用語を見る Purpose Limitation 発展 Purpose Limitation 収集したデータを、明示した目的の範囲で利用する原則。目的外利用を避け、利用範囲の説明責任を保つ。 意味と関連用語を見る RAG 発展 Retrieval-Augmented Generation 外部文書やデータベースから関連情報を検索し、その内容を使ってLLMに回答させる構成。 意味と関連用語を見る Recovery 発展 Recovery インシデント後にシステムや業務を安全な状態で再開する対応段階。 意味と関連用語を見る Remediation SLA 実務 Remediation Service Level Agreement 脆弱性や設定不備を修正・緩和・例外承認するまでの期限目標。重大度や悪用状況に応じて設定する。 意味と関連用語を見る Reproducible Build 発展 Reproducible Build 同じソース、依存関係、ビルド条件から同じ成果物を再現できるビルド方式。 意味と関連用語を見る Resource Tagging 発展 Resource Tagging クラウド資産やSaaSリソースに、所有者、環境、用途、機密度などのタグを付けて管理すること。 意味と関連用語を見る Responsible Disclosure 実務 Responsible Disclosure 発見した脆弱性を、公開前に影響組織へ報告し、修正や利用者保護の時間を確保する開示慣行。 意味と関連用語を見る Retention Schedule 発展 Retention Schedule ログ、証跡、個人情報、業務データなどを、どの期間保持し、いつ削除するかを定めた保存期間表。 意味と関連用語を見る Right to Erasure 発展 Right to Erasure 一定条件のもとで本人が個人データの削除を求められる権利。バックアップ、法定保存、契約上の制約も考慮する。 意味と関連用語を見る Risk Acceptance 発展 Risk Acceptance リスクを完全には解消せず、影響・期限・責任者を明確にしたうえで受容する判断。放置とは異なり、記録と再評価が必要。 意味と関連用語を見る Risk-Based Vulnerability Management 発展 Risk-Based Vulnerability Management CVSSだけでなく、悪用状況、資産重要度、露出、事業影響を加味して脆弱性対応を優先する管理手法。 意味と関連用語を見る Risk Register 実務 Risk Register 識別したリスク、影響、可能性、所有者、対応方針、期限、残リスクを管理する台帳。 意味と関連用語を見る Rollback Plan 発展 Rollback Plan 変更やパッチ適用で問題が起きた場合に、元の状態へ戻すための計画。 意味と関連用語を見る Root Cause 発展 Root Cause インシデントや障害を引き起こした直接原因の背後にある、再発防止に必要な根本的な原因。 意味と関連用語を見る Root Cause Analysis 発展 Root Cause Analysis 表面的な症状ではなく、なぜ問題が起きたかの根本原因を特定する分析活動。 意味と関連用語を見る RoPA 発展 Records of Processing Activities 個人データの処理活動を記録した台帳。目的、データ種別、対象者、委託先、保存期間、移転先などを管理する。 意味と関連用語を見る Runbook 発展 Runbook 定型的な運用作業や障害対応について、具体的な手順、確認項目、連絡先をまとめた実行用手順書。 意味と関連用語を見る Safe Harbor 実務 Safe Harbor 脆弱性報告者が定められた範囲とルールを守って調査・報告した場合、法的措置を控える方針や約束。 意味と関連用語を見る SBOM 発展 Software Bill of Materials ソフトウェアを構成するライブラリ、依存関係、バージョン、供給元を一覧化した部品表。 意味と関連用語を見る Secure by Default 発展 Secure by Default 利用者が追加設定をしなくても、安全な初期設定で製品やサービスを提供する考え方。 意味と関連用語を見る Secure by Design 発展 Secure by Design 設計段階からセキュリティを前提にし、後付けではなく機能・運用・脅威を含めて安全性を作り込む考え方。 意味と関連用語を見る Security Advisory 発展 Security Advisory 製品やOSSの脆弱性、影響範囲、回避策、修正版、公開日などを利用者へ知らせる公式通知。 意味と関連用語を見る Security Baseline 発展 Security Baseline OS、クラウド、SaaS、端末などに対して最低限満たすべきセキュリティ設定の基準。 意味と関連用語を見る Security Champion 発展 Security Champion 各開発・業務チーム内でセキュリティ推進役を担うメンバー。中央のセキュリティ部門との橋渡しを行う。 意味と関連用語を見る Security Control 発展 Security Control リスクを低減するための管理策、技術策、運用策の総称。アクセス制御、監査ログ、教育、バックアップなどが含まれる。 意味と関連用語を見る Security Questionnaire 発展 Security Questionnaire 取引先やSaaS提供者のセキュリティ体制を確認する質問票。統制、認証、ログ、データ保護、インシデント対応などを確認する。 意味と関連用語を見る security.txt 発展 security.txt Webサイトの脆弱性報告窓口やポリシーを、決まった場所と形式で公開するためのテキストファイル。 意味と関連用語を見る Segregation of Duties 発展 Segregation of Duties 不正や誤操作を防ぐため、申請・承認・実行・監査などの役割を別々の人や権限に分ける統制。 意味と関連用語を見る Shared Responsibility Matrix 発展 Shared Responsibility Matrix クラウドやSaaSで、利用者と提供者の責任範囲を項目別に整理した表。 意味と関連用語を見る Shared Responsibility Model 発展 Shared Responsibility Model クラウド事業者と利用者が、それぞれどの範囲のセキュリティ責任を持つかを分けて考えるモデル。 意味と関連用語を見る SIG Questionnaire 発展 Standardized Information Gathering Questionnaire Shared Assessmentsが提供する第三者リスク評価向けの標準質問票。委託先のセキュリティ、プライバシー、BCPなどを確認する。 意味と関連用語を見る SLSA 発展 Supply-chain Levels for Software Artifacts ソフトウェア成果物のビルド、来歴、改ざん耐性を段階的に高めるためのサプライチェーンセキュリティフレームワーク。 意味と関連用語を見る SOC 2 発展 System and Organization Controls 2 サービス組織のセキュリティ、可用性、機密性などの統制を第三者が評価する報告制度。 意味と関連用語を見る SOC 2 Type II 発展 SOC 2 Type II サービス組織の統制が一定期間にわたり設計・運用されていたかを評価するSOC 2報告書の形式。SaaSの継続的な統制確認に使われる。 意味と関連用語を見る Software Attestation 発展 Software Attestation ソフトウェアがどのソース、ビルド手順、依存関係、署名で作られたかを証明する文書やメタデータ。サプライチェーンリスク管理で重要になる。 意味と関連用語を見る SPDX 発展 Software Package Data Exchange ソフトウェア部品、ライセンス、著作権、依存関係などを表現する標準仕様。SBOMやライセンス管理で使われる。 意味と関連用語を見る SSVC 発展 Stakeholder-Specific Vulnerability Categorization 悪用状況、技術的影響、業務影響などを踏まえ、脆弱性に対する対応判断を分類する優先度付け手法。 意味と関連用語を見る STRIDE 発展 STRIDE Spoofing、Tampering、Repudiation、Information Disclosure、Denial of Service、Elevation of Privilegeの観点で脅威を整理する手法。 意味と関連用語を見る Supply Chain Risk Management 発展 Supply Chain Risk Management (SCRM) 委託先、依存ライブラリ、ビルド環境、配布経路など、供給網に起因するリスクを管理する活動。 意味と関連用語を見る Third-Party Risk Management 発展 Third-Party Risk Management 取引先、委託先、SaaS、OSS、外部連携など第三者に起因するリスクを管理する枠組み。 意味と関連用語を見る Threat-Informed Defense 発展 Threat-Informed Defense 実際の脅威情報、攻撃手法、観測されたTTPをもとに、防御・検知・訓練の優先順位を決める考え方。 意味と関連用語を見る Threat Modeling 発展 Threat Modeling システム設計や業務フローに対して、想定される脅威、弱点、対策を体系的に洗い出す活動。 意味と関連用語を見る Threat Modeling Workshop 実務 Threat Modeling Workshop 開発者、設計者、運用、セキュリティ担当が集まり、システムの脅威、悪用経路、対策、残リスクを整理する会議。 意味と関連用語を見る Ticket Severity 発展 Ticket Severity 問い合わせ、アラート、インシデント対応チケットの緊急度や影響度を表す分類。 意味と関連用語を見る TISAX 発展 Trusted Information Security Assessment Exchange 自動車業界で利用される情報セキュリティ評価・相互承認の枠組み。サプライヤーのセキュリティ水準確認に使われる。 意味と関連用語を見る Triage 発展 Triage 複数のアラート、脆弱性、インシデント候補を優先度付けし、対応順序を決める初期判断。 意味と関連用語を見る Triage SLA 実務 Triage Service Level Agreement 脆弱性やアラートを受け取ってから、影響確認・優先度判断・所有者決定までに求める時間目標。 意味と関連用語を見る TTP 発展 Tactics, Techniques and Procedures 攻撃者が何を目的に、どの技術を使い、どのような手順で行動するかを表す概念。 意味と関連用語を見る Vendor Due Diligence 発展 Vendor Due Diligence 委託先やSaaS提供者を利用する前に、セキュリティ、プライバシー、継続性、契約条件を確認する評価活動。 意味と関連用語を見る Vendor Risk Management 発展 Vendor Risk Management 委託先やSaaS提供元のセキュリティ、プライバシー、継続性、契約リスクを評価・監視する活動。 意味と関連用語を見る VEX 発展 Vulnerability Exploitability eXchange 特定の製品やコンポーネントが、ある脆弱性の影響を実際に受けるかどうかを伝えるための情報形式。 意味と関連用語を見る Vulnerability Disclosure 発展 Vulnerability Disclosure 発見された脆弱性を、影響を受ける組織や利用者へ適切な手順で知らせる活動。 意味と関連用語を見る Vulnerability Disclosure Program 発展 Vulnerability Disclosure Program 外部の発見者から脆弱性報告を受け付け、確認・修正・連絡するための公開窓口と運用制度。 意味と関連用語を見る War Room 発展 War Room 重大インシデント時に関係者が集まり、状況共有、意思決定、作業調整を行うための専用チャネルや会議体。 意味と関連用語を見る Well-Architected Framework 発展 Well-Architected Framework クラウドシステムを信頼性、セキュリティ、運用、性能、コストなどの観点で評価・改善するための設計フレームワーク。 意味と関連用語を見る サイバーキルチェーン 発展 Cyber Kill Chain Lockheed Martinが提唱する攻撃フェーズモデル。偵察→武器化→配送→エクスプロイト→インストール→C2→目的実行の7フェーズ。各フェーズで防御策を適用し攻撃を阻止する考え方。 意味と関連用語を見る

Next step

用語を知識と判断につなげる

ESC