Security glossary
セキュリティプロトコル・技術用語一覧
通信、認証、暗号化、Webの安全性を支える技術用語をまとめました。名称の暗記だけでなく、どこで使われ、何を守る仕組みなのかを確認できます。
112 語を収録
Terms
プロトコル・技術の用語
Access Token 実務 Access Token APIやリソースへアクセスするために提示する短命なトークン。漏えい時は有効期限、権限範囲、失効可否を確認する。 意味と関連用語を見る AES 実務 Advanced Encryption Standard 現在最も広く使われる対称暗号アルゴリズム。128・192・256ビットの鍵長をサポート。ECB・CBC・GCMなど複数の動作モードがある。GCMモードが認証付き暗号化に推奨される。 意味と関連用語を見る API Key 入門 API Key API利用者やアプリケーションを識別・認可するために発行される秘密文字列。漏えい時は不正利用される可能性がある。 意味と関連用語を見る API Schema 実務 API Schema APIのエンドポイント、入力、出力、型、認証、エラー形式などを機械可読に表した仕様情報。 意味と関連用語を見る API Token 実務 API Token API利用者やアプリケーションを識別し、操作権限を与えるための秘密値。漏えい時は失効と再発行が必要になる。 意味と関連用語を見る App Registration 実務 App Registration IdPやSaaSにアプリケーションを登録し、リダイレクトURI、権限、資格情報、同意範囲を管理する設定単位。 意味と関連用語を見る ARC 実務 Authenticated Received Chain メール転送やメーリングリストを経由した後でも、元の認証結果を一定程度検証できるようにする仕組み。 意味と関連用語を見る Assertion Consumer Service 実務 Assertion Consumer Service SAMLログインで、IdPから返されたSAMLアサーションをサービス側が受け取るエンドポイント。ACS URLとも呼ばれる。 意味と関連用語を見る Audience Claim 実務 Audience Claim JWTの利用先を示すClaim。トークンがどのAPIやサービス向けに発行されたかを表し、受け取る側で必ず確認すべき値。 意味と関連用語を見る Authorization Code Flow 実務 Authorization Code Flow OAuth/OIDCで利用者を認可サーバーへリダイレクトし、認可コードをトークンに交換する標準的なフロー。WebログインやSaaS連携で広く使われる。 意味と関連用語を見る BIMI 実務 Brand Indicators for Message Identification DMARCなどの認証を満たしたメールにブランドロゴを表示し、正当な送信者であることを示しやすくする仕組み。 意味と関連用語を見る CAA Record 実務 Certification Authority Authorization Record どの認証局が自社ドメインのTLS証明書を発行できるかをDNSで指定するレコード。 意味と関連用語を見る Certificate Credential 実務 Certificate Credential アプリやサービスの認証に使う証明書ベースの資格情報。クライアントシークレットの代替として使われることがある。 意味と関連用語を見る Certificate Pinning 実務 Certificate Pinning アプリやクライアントが特定の証明書や公開鍵だけを信頼するよう固定する手法。 意味と関連用語を見る Certificate Transparency 実務 Certificate Transparency TLS証明書の発行履歴を公開ログに記録し、不正または誤発行された証明書を検知しやすくする仕組み。 意味と関連用語を見る Claims Mapping 実務 Claims Mapping IdPが発行する属性情報やクレームを、アプリ側のユーザー属性、ロール、グループ、権限へ対応付ける設定。 意味と関連用語を見る Client Credentials Flow 実務 Client Credentials Flow 利用者ではなくアプリケーション自身の権限でAPIへアクセスするOAuthフロー。バッチ処理やサーバー間連携で使われる。 意味と関連用語を見る Client Secret 実務 Client Secret OAuthクライアントなどが自身を認証するために使う秘密値。漏えい時はアプリになりすまされる可能性がある。 意味と関連用語を見る Consent Grant 実務 Consent Grant ユーザーまたは管理者がアプリにデータアクセス権を許可した記録。OAuth同意フィッシング調査で重要な確認対象になる。 意味と関連用語を見る CORS 実務 Cross-Origin Resource Sharing ブラウザが異なるオリジン間のリソース共有を安全に制御するための仕組み。 意味と関連用語を見る CSRF Token 実務 CSRF Token 正規画面から送られたリクエストかを確認するために、フォームやAPIリクエストへ付与する予測困難な値。 意味と関連用語を見る CTAP2 実務 Client to Authenticator Protocol 2 ブラウザやOSなどのクライアントと、セキュリティキーや端末内認証器が通信するためのFIDO2系プロトコル。 意味と関連用語を見る DANE 実務 DNS-Based Authentication of Named Entities DNSSECを使い、TLS証明書や公開鍵情報をDNSで検証できるようにする仕組み。 意味と関連用語を見る Device Authorization Flow 実務 Device Authorization Flow キーボード入力やブラウザ操作が難しい端末で、別デバイスを使って認可するOAuthフロー。テレビ、CLI、IoT管理端末などで使われる。 意味と関連用語を見る Device Code Flow 発展 Device Code Flow 入力しにくい端末で別端末のブラウザを使って認証するOAuth/OIDCの認証フロー。フィッシングに悪用されることがある。 意味と関連用語を見る DKIM 実務 DomainKeys Identified Mail 送信側がメールヘッダーや本文に電子署名を付与し、受信側がDNS上の公開鍵で検証する仕組み。配送途中でメールが改ざんされていないか、どのドメインが署名したかを確認できる。 意味と関連用語を見る DKIM Selector 実務 DKIM Selector DKIM署名で利用する公開鍵レコードをDNS上で識別するための名前。複数の鍵を使い分ける際に使う。 意味と関連用語を見る DMARC 実務 DMARC メール送信ドメインの正当性を、SPF・DKIMの結果と表示上の送信元ドメインとの整合性に基づいて評価し、認証失敗メールをどう扱うか(none / quarantine / reject)を送信ドメイン側が宣言する仕組み。フィッシングやビジネスメール詐欺(BEC)対策の柱。 意味と関連用語を見る DMARC Aggregate Report 実務 DMARC Aggregate Report 受信側メールサーバーが送信ドメイン所有者へ送る、DMARC認証結果の集計レポート。XML形式で送られることが多い。 意味と関連用語を見る DMARC Alignment 実務 DMARC Alignment DMARCで、FromドメインとSPFまたはDKIMで認証されたドメインが一致または整合している状態。 意味と関連用語を見る DMARC Forensic Report 実務 DMARC Forensic Report DMARC認証に失敗したメールの詳細情報を通知するレポート。プライバシー上の理由で提供されない場合も多い。 意味と関連用語を見る DMARC Policy 実務 DMARC Policy DMARCで認証に失敗したメールを受信側がどう扱うかを示すポリシー。none、quarantine、rejectがある。 意味と関連用語を見る DNS 実務 Domain Name System ドメイン名をIPアドレスに変換するシステム。Aレコード・MXレコード・CNAMEレコード・TXTレコードなど多種のレコードがある。DNSキャッシュポイズニング攻撃やDNS増幅攻撃にも悪用される。 意味と関連用語を見る DNSSEC 実務 Domain Name System Security Extensions DNS応答に電子署名を付け、名前解決の改ざんやなりすましを検知できるようにする拡張仕様。 意味と関連用語を見る DPoP 実務 Demonstrating Proof-of-Possession アクセストークンを特定の鍵所有者に紐づけ、盗まれたトークンだけでは使いにくくするOAuthの仕組み。 意味と関連用語を見る East-West Traffic 実務 East-West Traffic 同一データセンター、VPC、クラスタ、社内ネットワーク内など、内部同士で流れる横方向の通信。 意味と関連用語を見る Encryption in Transit 実務 Encryption in Transit 通信中のデータを暗号化すること。TLSやmTLSなどで盗聴・改ざんのリスクを下げる。 意味と関連用語を見る Envelope Encryption 実務 Envelope Encryption データ本体をデータ鍵で暗号化し、そのデータ鍵をマスター鍵で暗号化して保護する方式。大容量データと鍵管理を分離できる。 意味と関連用語を見る FIDO Metadata Service 発展 FIDO Metadata Service FIDO認証器の製造元、認証レベル、状態、セキュリティ情報を確認するためのメタデータ提供サービス。 意味と関連用語を見る FIDO2 実務 FIDO2 FIDOアライアンスとW3Cが共同策定したパスワードレス認証標準。WebAuthn(ブラウザAPI)とCTAP(デバイスプロトコル)の2層構造。フィッシング耐性・プライバシー保護が設計に組み込まれており、パスキーの技術基盤。 意味と関連用語を見る Fine-Grained Token 実務 Fine-Grained Token アクセス対象、権限、期限を細かく制限できるトークン。広範なPersonal Access Tokenより安全に運用しやすい。 意味と関連用語を見る Host Permission 実務 Host Permission ブラウザ拡張機能が特定サイトやURLパターンへアクセスするための権限。対象範囲が広いほど影響も大きい。 意味と関連用語を見る HSTS 実務 HTTP Strict Transport Security WebサーバーがブラウザにHTTPSのみで接続するよう強制するセキュリティヘッダー(Strict-Transport-Security)。設定期間中はHTTPアクセスが自動的にHTTPSにリダイレクトされる。SSL/TLSダウングレード攻撃や中間者攻撃を防ぐ。 意味と関連用語を見る HSTS Preload 発展 HSTS Preload ブラウザのプリロードリストにドメインを登録し、初回アクセスからHTTPSのみを強制するHSTSの運用方式。 意味と関連用語を見る Idempotency Key 実務 Idempotency Key 同じ操作が再送されても二重処理にならないよう、リクエストを一意に識別するキー。 意味と関連用語を見る Identity Provider Metadata 実務 Identity Provider Metadata SAMLやOIDCで、IdPのエンドポイント、証明書、識別子、署名情報などをSPやアプリへ伝えるメタデータ。 意味と関連用語を見る IdP 実務 Identity Provider ユーザー認証を担い、SAMLやOpenID Connectを通じてサービスへ認証結果を渡す基盤。 意味と関連用語を見る Image Digest 実務 Image Digest コンテナイメージの内容をハッシュで一意に識別する値。タグよりも改ざんや差し替えに強い参照方法。 意味と関連用語を見る JTI 実務 JWT ID JWTごとの一意な識別子を示すClaim。トークンの再利用検知、失効リスト、監査ログの突合に使われる。 意味と関連用語を見る Just-in-Time Provisioning 実務 Just-in-Time Provisioning ユーザーが初回ログインしたタイミングで、IdPの属性をもとにSaaS側アカウントを自動作成する方式。 意味と関連用語を見る JWK 実務 JSON Web Key 暗号鍵をJSON形式で表現する仕様。JWT署名検証に使う公開鍵や、JWKSに含まれる個々の鍵を表す。 意味と関連用語を見る JWKS 実務 JSON Web Key Set JWT署名検証などに使う公開鍵をJSON形式で公開するためのキーセット。OIDCやAPI認証で、鍵ローテーションを安全に扱う基盤になる。 意味と関連用語を見る JWT 実務 JSON Web Token JSONをBase64URLエンコードしデジタル署名した認証トークン。ヘッダー・ペイロード・署名の3部構成。署名アルゴリズムをnoneに変更する攻撃や、秘密鍵の弱さによる偽造に注意が必要。 意味と関連用語を見る JWT Claim 実務 JWT Claim JWTの中に含まれる、利用者、発行者、有効期限、権限などの主張情報。検証せずに信用すると認可ミスにつながる。 意味と関連用語を見る Kubernetes Namespace 実務 Kubernetes Namespace Kubernetesクラスタ内のリソースを論理的に分ける単位。環境、チーム、アプリ、権限、ポリシー分離に使われる。 意味と関連用語を見る Kubernetes Service Account 発展 Kubernetes Service Account Kubernetes内のPodやコントローラーがAPIサーバーへアクセスするために使う非人間用のID。 意味と関連用語を見る Machine Identity 実務 Machine Identity 人ではなく、サーバー、コンテナ、API、ワークロード、デバイスを識別するためのID。証明書、トークン、サービスアカウントなどで表現される。 意味と関連用語を見る MTA-STS 実務 Mail Transfer Agent Strict Transport Security メール配送時にTLS利用を強制し、配送経路の盗聴やダウングレードを抑えるためのドメイン設定。 意味と関連用語を見る mTLS 実務 Mutual TLS サーバーだけでなくクライアント側も証明書で認証し、通信相手を相互に確認するTLSの利用方式。 意味と関連用語を見る MX Record 実務 Mail Exchange Record ドメイン宛てメールを受け取るメールサーバーを指定するDNSレコード。 意味と関連用語を見る North-South Traffic 実務 North-South Traffic 社内・クラウド環境とインターネットなど外部との間で流れる縦方向の通信。 意味と関連用語を見る NTP 実務 Network Time Protocol ネットワーク上の端末やサーバーの時刻を同期するためのプロトコル。ログ調査や証跡管理の前提になる。 意味と関連用語を見る OAuth 実務 OAuth 利用者のパスワードを共有せず、アプリに限定された権限を委任するための認可フレームワーク。ログインそのものよりも「何を許可するか」を扱う。 意味と関連用語を見る OAuth 2.0 実務 OAuth 2.0 サードパーティアプリがユーザーのリソースに限定的にアクセスするための認可フレームワーク。「Googleアカウントでログイン」などの実装に使われる。認可を担い、認証はOpenID Connectが担当する。 意味と関連用語を見る OAuth Client 実務 OAuth Client OAuthでアクセストークンを要求するアプリケーション。利用者の代理としてAPIへアクセスするため、種類に応じた登録情報と権限管理が必要になる。 意味と関連用語を見る OAuth Consent 実務 OAuth Consent 利用者または管理者が、外部アプリに特定のアクセス権限を許可する同意行為。過剰な権限付与はデータ漏えいやアカウント侵害の入口になる。 意味と関連用語を見る OAuth Scope 実務 OAuth Scope OAuthでアプリに許可する操作範囲を表す文字列。読み取り、書き込み、管理権限などを分けて権限を制御する。 意味と関連用語を見る OCSP Stapling 実務 OCSP Stapling TLSサーバーが証明書失効状態の確認結果をあらかじめ添付し、ブラウザ側の失効確認を高速化・安定化する仕組み。 意味と関連用語を見る OIDC Discovery 発展 OpenID Connect Discovery OIDCプロバイダーのIssuer、認可エンドポイント、トークンエンドポイント、JWKS URIなどを標準形式で取得する仕組み。 意味と関連用語を見る OpenID Connect 実務 OpenID Connect (OIDC) OAuth 2.0の上に認証レイヤーを追加したプロトコル。IDトークン(JWT)でユーザー情報を伝達する。「Googleアカウントでログイン」など多くのフェデレーション認証の実装基盤。OAuth 2.0が認可、OIDCが認証を担う。 意味と関連用語を見る Personal Access Token 実務 Personal Access Token ユーザーに紐づいてAPIや開発者ツールへアクセスするためのトークン。GitHubなどで使われ、権限範囲と有効期限の管理が重要。 意味と関連用語を見る PKCE 実務 Proof Key for Code Exchange OAuthの認可コードフローで、認可コードの横取りリスクを下げるために使う追加検証の仕組み。公開クライアントでも安全性を高める。 意味と関連用語を見る PKI 実務 Public Key Infrastructure 公開鍵暗号基盤。デジタル証明書の発行・管理・失効を行う仕組み。認証局(CA)がWebサーバーの証明書に署名することで、ユーザーが正規サイトと通信していることを保証する。 意味と関連用語を見る Pushed Authorization Request 実務 Pushed Authorization Request OAuth/OIDCの認可リクエスト内容を、ブラウザ経由ではなく事前に認可サーバーへ直接登録する仕組み。改ざんやパラメータ露出を減らす。 意味と関連用語を見る Refresh Token 実務 Refresh Token 新しいアクセストークンを取得するための長めの有効期限を持つトークン。漏えいすると継続的なアクセスにつながる。 意味と関連用語を見る RSA 実務 RSA 素因数分解の困難性に基づく公開鍵暗号アルゴリズム。鍵交換・デジタル署名・少量データの暗号化に使用。2048ビット以上が推奨。量子コンピューターの脅威から将来的にポスト量子暗号への移行が検討される。 意味と関連用語を見る SameSite Cookie 実務 SameSite Cookie Cookieがクロスサイトリクエストで送信される条件を制御する属性。CSRFリスクの低減に役立つ。 意味と関連用語を見る SAML 実務 Security Assertion Markup Language エンタープライズSSO(シングルサインオン)で広く使われるXMLベースの認証・認可標準。IdP(Identity Provider)がアサーションを発行し、SP(Service Provider)が検証する。 意味と関連用語を見る SAML Metadata 実務 SAML Metadata SAML連携に必要なエンティティID、証明書、ACS URL、SSO URLなどをまとめた設定情報。IdPとSPの信頼関係を構成する。 意味と関連用語を見る SAML Signing Certificate 実務 SAML Signing Certificate SAMLレスポンスやアサーションの署名検証に使う証明書。IdPとSPの信頼関係を支える。 意味と関連用語を見る SARIF 実務 Static Analysis Results Interchange Format 静的解析やセキュリティスキャンの結果をツール間で交換するためのJSONベースの標準形式。 意味と関連用語を見る SCIM 実務 System for Cross-domain Identity Management IdPとSaaS間でユーザー作成、更新、無効化、グループ同期を自動化するための標準プロトコル。 意味と関連用語を見る SCIM Drift 実務 SCIM Drift IdPとSaaS間のSCIMプロビジョニング状態がずれ、ユーザー、グループ、権限、無効化状態が一致しないこと。 意味と関連用語を見る SCIM Provisioning 実務 SCIM Provisioning IdPからSaaSへユーザーやグループを自動作成・更新・無効化するプロビジョニング。入退社や異動時のアカウント漏れを減らす。 意味と関連用語を見る Secure Cookie 実務 Secure Cookie Secure、HttpOnly、SameSiteなどの属性を適切に設定し、セッションCookieの盗難や誤送信を抑える実装。 意味と関連用語を見る Service Mesh 発展 Service Mesh マイクロサービス間通信に、認証、暗号化、可観測性、ルーティング制御を追加するインフラ層。 意味と関連用語を見る Service Principal 実務 Service Principal アプリケーションや自動処理がクラウド・SaaS APIへアクセスするために使う非人間ID。 意味と関連用語を見る Session Token 実務 Session Token ログイン後のセッションを識別し、継続的な認証状態を表すトークン。CookieやBearer Tokenとして扱われる。 意味と関連用語を見る Signed URL 実務 Signed URL 期限や条件付き署名を含むURL。認証なしでも一時的にファイルやリソースへアクセスできるようにする。 意味と関連用語を見る Signing Secret 実務 Signing Secret Webhookやトークン、メッセージの署名検証に使う秘密値。送信元の正当性と改ざん有無を確認するために使われる。 意味と関連用語を見る SMTP TLS 実務 SMTP TLS SMTP通信をTLSで暗号化する仕組み。MTA-STSやTLS-RPTと組み合わせることでメール配送経路の保護状況を高められる。 意味と関連用語を見る SPF 実務 Sender Policy Framework メール送信ドメインの所有者が「このドメインのメールを送ってよい送信元サーバー」をDNSのTXTレコードで宣言する仕組み。受信側は送信元IPとエンベロープ送信元を照合して正当性を判定する。なりすまし対策の基本だが、転送に弱い。 意味と関連用語を見る SPF Alignment 実務 SPF Alignment DMARC判定で、SPFの認証ドメインとFromヘッダーのドメインが整合している状態。 意味と関連用語を見る SPF Flattening 実務 SPF Flattening SPFレコード内のincludeをIPアドレスへ展開し、DNS参照回数制限に収める運用。メール認証の失敗を避けるために使われる。 意味と関連用語を見る SSO 実務 Single Sign-On 一度の認証で複数のサービスにアクセスできる仕組み。利用者の利便性と認証統制を両立しやすい。 意味と関連用語を見る STIX 実務 Structured Threat Information eXpression 脅威インテリジェンスを構造化して表現するための標準形式。攻撃者、マルウェア、IOC、TTPなどを記述する。 意味と関連用語を見る TAXII 実務 Trusted Automated eXchange of Intelligence Information STIX形式の脅威インテリジェンスを組織間で交換するための通信プロトコル。 意味と関連用語を見る TLS 実務 Transport Layer Security インターネット通信を暗号化するプロトコル。HTTPSはTLSを使用するHTTP。SSL/TLS 1.2以前は非推奨でTLS 1.3が現在の標準。証明書(X.509)によるサーバー認証も提供する。 意味と関連用語を見る TLS-RPT 実務 SMTP TLS Reporting メール配送時のTLS失敗やMTA-STS違反をレポートとして受け取り、配送保護の問題を把握する仕組み。 意味と関連用語を見る Token Binding 発展 Token Binding トークンを特定の端末、鍵、セッション、通信経路に結び付け、盗まれたトークンの再利用を難しくする考え方。 意味と関連用語を見る Token Introspection 実務 Token Introspection OAuthのアクセストークンが有効か、どの権限や利用者に紐づくかを認可サーバーへ問い合わせる仕組み。 意味と関連用語を見る Token Revocation 実務 Token Revocation OAuthのアクセストークンやリフレッシュトークンを無効化し、以後の利用を止める仕組み。漏えい時や退職・端末紛失時に重要になる。 意味と関連用語を見る Token Scope 実務 Token Scope トークンに許可された操作範囲。読み取り、書き込み、管理、特定リソースなどの権限粒度を表す。 意味と関連用語を見る TOTP 実務 Time-based One-Time Password 時刻とシークレットキーを元に30秒ごとに6桁のワンタイムパスワードを生成するアルゴリズム(RFC 6238)。Google AuthenticatorやAuthyなど認証アプリの基盤技術。SMS認証より安全だが、フィッシングによる中間者攻撃には注意が必要。 意味と関連用語を見る VPN 実務 Virtual Private Network インターネット上に仮想的な専用線を構築し、暗号化された通信を実現する技術。リモートワーク時に社内ネットワークへ安全に接続するために使われる。WireGuard・OpenVPN・IPsecなど。 意味と関連用語を見る WebAuthn 実務 Web Authentication ブラウザと認証器が公開鍵暗号を使ってログインするためのW3C標準。パスキーやFIDO2認証の土台になる。 意味と関連用語を見る Webhook 実務 Webhook あるサービスのイベントを、HTTPリクエストとして別サービスへ通知する仕組み。 意味と関連用語を見る Webhook Secret 実務 Webhook Secret Webhook通知が正当な送信元から来たことを検証するための共有秘密や署名検証用の秘密情報。 意味と関連用語を見る Workload Identity Federation 実務 Workload Identity Federation CI/CDやクラウド上のワークロードが、長期秘密鍵を持たずに外部IdPのトークンでクラウド権限を取得する仕組み。 意味と関連用語を見る HTTPS 実務 HTTPS HTTP 通信を TLS で暗号化したプロトコル。通信の盗聴・改ざんを防ぎ、サーバー証明書によって接続先の正当性を確認できる。標準ポートは 443 で、現在の Web では全ページでの利用が事実上の標準。 意味と関連用語を見る SHA-256 実務 SHA-256 SHA-2 ファミリーに属する暗号学的ハッシュ関数で、入力から 256 ビット(32 バイト)の固定長ハッシュ値を生成する。改ざん検知・デジタル署名・証明書・ブロックチェーンなどで広く使われる。 意味と関連用語を見る プロキシ 実務 Proxy クライアントとサーバーの間に立って通信を中継するサーバー。フォワードプロキシは社内から外部への通信を中継・制御し、リバースプロキシは外部からサーバーへの通信を受けて負荷分散やキャッシュ、WAF 連携を担う。 意味と関連用語を見る