メインコンテンツへスキップ
Glossary

セキュリティ用語集(10ページ目)

CVE、EDR、OAuth、SBOMなど、サイバーセキュリティ用語の意味を日本語で解説。検索・カテゴリ・難易度で絞り込めます。

60語

全732語のうち 541〜600語を表示しています。全件横断はサイト内検索を利用できます。

用語一覧

プロトコル・技術
実務

SMTP TLS

SMTP TLS

SMTP通信をTLSで暗号化する仕組み。MTA-STSやTLS-RPTと組み合わせることでメール配送経路の保護状況を高められる。

詳細を見る →
ツール・製品
実務

SOAR

Security Orchestration, Automation and Response

セキュリティ運用の調査、通知、チケット作成、隔離などをワークフロー化・自動化する仕組み。

詳細を見る →
ツール・製品
実務

SOAR Playbook

SOAR Playbook

SOAR上でアラート調査、通知、チケット作成、隔離などを自動または半自動で実行する手順定義。

詳細を見る →
防御・対策
実務

SOC

Security Operations Center

セキュリティ監視・インシデント検知・対応を24時間365日担当する組織・施設。SIEM・IDS/IPS・脅威インテリジェンスを組み合わせて運用する。

詳細を見る →
フレームワーク
発展

SOC 2

System and Organization Controls 2

サービス組織のセキュリティ、可用性、機密性などの統制を第三者が評価する報告制度。

詳細を見る →
フレームワーク
発展

SOC 2 Type II

SOC 2 Type II

サービス組織の統制が一定期間にわたり設計・運用されていたかを評価するSOC 2報告書の形式。SaaSの継続的な統制確認に使われる。

詳細を見る →
フレームワーク
発展

Software Attestation

Software Attestation

ソフトウェアがどのソース、ビルド手順、依存関係、署名で作られたかを証明する文書やメタデータ。サプライチェーンリスク管理で重要になる。

詳細を見る →
フレームワーク
発展

SPDX

Software Package Data Exchange

ソフトウェア部品、ライセンス、著作権、依存関係などを表現する標準仕様。SBOMやライセンス管理で使われる。

詳細を見る →
プロトコル・技術
実務

SPF

Sender Policy Framework

メール送信ドメインの所有者が「このドメインのメールを送ってよい送信元サーバー」をDNSのTXTレコードで宣言する仕組み。受信側は送信元IPとエンベロープ送信元を照合して正当性を判定する。なりすまし対策の基本だが、転送に弱い。

詳細を見る →
プロトコル・技術
実務

SPF Alignment

SPF Alignment

DMARC判定で、SPFの認証ドメインとFromヘッダーのドメインが整合している状態。

詳細を見る →
プロトコル・技術
実務

SPF Flattening

SPF Flattening

SPFレコード内のincludeをIPアドレスへ展開し、DNS参照回数制限に収める運用。メール認証の失敗を避けるために使われる。

詳細を見る →
攻撃手法
発展

SQLインジェクション

SQL Injection

WebアプリケーションのSQLクエリに悪意のある入力を注入し、DBを不正操作する攻撃。プリペアドステートメントで根本的に防御できる。OWASP Top 10の常連脆弱性。

詳細を見る →
防御・対策
実務

SSE

Security Service Edge

SWG、CASB、ZTNAなどのセキュリティ機能をクラウド側で提供するアーキテクチャ。

詳細を見る →
プロトコル・技術
実務

SSO

Single Sign-On

一度の認証で複数のサービスにアクセスできる仕組み。利用者の利便性と認証統制を両立しやすい。

詳細を見る →
防御・対策
実務

SSPM

SaaS Security Posture Management

SaaSの設定、権限、外部共有、連携アプリ、監査ログを継続的に点検する管理領域。

詳細を見る →
攻撃手法
発展

SSRF

Server-Side Request Forgery

サーバー側に任意の外部・内部URLへリクエストさせてしまう脆弱性。内部サービスやメタデータへの到達が問題になる。

詳細を見る →
フレームワーク
発展

SSVC

Stakeholder-Specific Vulnerability Categorization

悪用状況、技術的影響、業務影響などを踏まえ、脆弱性に対する対応判断を分類する優先度付け手法。

詳細を見る →
防御・対策
実務

Step-up Authentication

Step-up Authentication

通常より高いリスクや重要操作が発生したときに、追加のMFAや再認証を要求する認証制御。

詳細を見る →
プロトコル・技術
実務

STIX

Structured Threat Information eXpression

脅威インテリジェンスを構造化して表現するための標準形式。攻撃者、マルウェア、IOC、TTPなどを記述する。

詳細を見る →
フレームワーク
発展

STRIDE

STRIDE

Spoofing、Tampering、Repudiation、Information Disclosure、Denial of Service、Elevation of Privilegeの観点で脅威を整理する手法。

詳細を見る →
攻撃手法
発展

Subdomain Takeover

Subdomain Takeover

DNSが削除済みクラウドサービスなどへ向いたまま残り、第三者がそのサブドメインを乗っ取れる状態。

詳細を見る →
フレームワーク
発展

Supply Chain Risk Management

Supply Chain Risk Management (SCRM)

委託先、依存ライブラリ、ビルド環境、配布経路など、供給網に起因するリスクを管理する活動。

詳細を見る →
防御・対策
実務

Suppression Rule

Suppression Rule

既知の正常イベントや例外条件を抑制し、不要なアラートを減らすためのルール。

詳細を見る →
防御・対策
実務

SWG

Secure Web Gateway

Webアクセスを中継し、不審URL、マルウェア、データ持ち出し、ポリシー違反を制御するセキュリティゲートウェイ。

詳細を見る →
防御・対策
実務

Tabletop Exercise

Tabletop Exercise

実システムを止めず、関係者が机上でインシデント対応の判断・連絡・役割分担を確認する訓練。

詳細を見る →
防御・対策
実務

Tamper Protection

Tamper Protection

セキュリティ製品の無効化、設定変更、サービス停止を利用者や不審プロセスから守る保護機能。

詳細を見る →
プロトコル・技術
実務

TAXII

Trusted Automated eXchange of Intelligence Information

STIX形式の脅威インテリジェンスを組織間で交換するための通信プロトコル。

詳細を見る →
防御・対策
実務

Telemetry

Telemetry

端末、クラウド、SaaS、ネットワークなどから収集されるイベントや状態情報。検知、調査、改善判断の材料になる。

詳細を見る →
基礎概念
入門

Tenant Isolation

Tenant Isolation

クラウドやSaaSで、同じ基盤を共有する複数テナントのデータ・権限・処理を分離する考え方。マルチテナント環境の基本的な信頼境界になる。

詳細を見る →
ツール・製品
実務

Terraform Plan

Terraform Plan

Terraformが実際にインフラへ適用する予定の差分を表示する出力。変更レビューや承認の材料になる。

詳細を見る →
ツール・製品
実務

Terraform State

Terraform State

Terraformが管理対象リソースの現在状態を記録するファイルやバックエンド。設定値や識別子が含まれるため保護が必要。

詳細を見る →
フレームワーク
発展

Third-Party Risk Management

Third-Party Risk Management

取引先、委託先、SaaS、OSS、外部連携など第三者に起因するリスクを管理する枠組み。

詳細を見る →
防御・対策
実務

Threat Hunting Hypothesis

Threat Hunting Hypothesis

脅威ハンティングで検証する仮説。「攻撃者がこの環境でこの痕跡を残すはず」という調査の出発点。

詳細を見る →
フレームワーク
発展

Threat-Informed Defense

Threat-Informed Defense

実際の脅威情報、攻撃手法、観測されたTTPをもとに、防御・検知・訓練の優先順位を決める考え方。

詳細を見る →
防御・対策
実務

Threat Intel Feed

Threat Intelligence Feed

不審なIP、ドメイン、マルウェアハッシュ、攻撃キャンペーン情報などを継続的に提供する情報源。

詳細を見る →
フレームワーク
発展

Threat Modeling

Threat Modeling

システム設計や業務フローに対して、想定される脅威、弱点、対策を体系的に洗い出す活動。

詳細を見る →
フレームワーク
実務

Threat Modeling Workshop

Threat Modeling Workshop

開発者、設計者、運用、セキュリティ担当が集まり、システムの脅威、悪用経路、対策、残リスクを整理する会議。

詳細を見る →
フレームワーク
発展

Ticket Severity

Ticket Severity

問い合わせ、アラート、インシデント対応チケットの緊急度や影響度を表す分類。

詳細を見る →
防御・対策
実務

Time Synchronization

Time Synchronization

複数システムの時刻を同期し、ログの時系列を正しく比較できるようにすること。

詳細を見る →
防御・対策
実務

Timeline Analysis

Timeline Analysis

ログ、端末証跡、関係者記録を時系列に並べ、インシデントの発生・拡大・対応の流れを明らかにする分析。

詳細を見る →
フレームワーク
発展

TISAX

Trusted Information Security Assessment Exchange

自動車業界で利用される情報セキュリティ評価・相互承認の枠組み。サプライヤーのセキュリティ水準確認に使われる。

詳細を見る →
プロトコル・技術
実務

TLS

Transport Layer Security

インターネット通信を暗号化するプロトコル。HTTPSはTLSを使用するHTTP。SSL/TLS 1.2以前は非推奨でTLS 1.3が現在の標準。証明書(X.509)によるサーバー認証も提供する。

詳細を見る →
プロトコル・技術
実務

TLS-RPT

SMTP TLS Reporting

メール配送時のTLS失敗やMTA-STS違反をレポートとして受け取り、配送保護の問題を把握する仕組み。

詳細を見る →
プロトコル・技術
発展

Token Binding

Token Binding

トークンを特定の端末、鍵、セッション、通信経路に結び付け、盗まれたトークンの再利用を難しくする考え方。

詳細を見る →
プロトコル・技術
実務

Token Introspection

Token Introspection

OAuthのアクセストークンが有効か、どの権限や利用者に紐づくかを認可サーバーへ問い合わせる仕組み。

詳細を見る →
攻撃手法
発展

Token Replay

Token Replay

取得済みのトークンや署名付きリクエストを再利用し、正規の操作に見せかける攻撃パターン。

詳細を見る →
プロトコル・技術
実務

Token Revocation

Token Revocation

OAuthのアクセストークンやリフレッシュトークンを無効化し、以後の利用を止める仕組み。漏えい時や退職・端末紛失時に重要になる。

詳細を見る →
防御・対策
実務

Token Rotation

Token Rotation

APIトークンやアクセストークンを定期的または漏えい時に新しい値へ切り替える運用。

詳細を見る →
プロトコル・技術
実務

Token Scope

Token Scope

トークンに許可された操作範囲。読み取り、書き込み、管理、特定リソースなどの権限粒度を表す。

詳細を見る →
防御・対策
実務

Tokenization

Tokenization

機密データを、意味を持たない代替値であるトークンに置き換える保護手法。元データは別の安全な保管場所で管理する。

詳細を見る →
プロトコル・技術
実務

TOTP

Time-based One-Time Password

時刻とシークレットキーを元に30秒ごとに6桁のワンタイムパスワードを生成するアルゴリズム(RFC 6238)。Google AuthenticatorやAuthyなど認証アプリの基盤技術。SMS認証より安全だが、フィッシングによる中間者攻撃には注意が必要。

詳細を見る →
ツール・製品
実務

TPM

Trusted Platform Module

端末内で鍵や測定値を保護し、デバイスの信頼性確認に使われるセキュリティチップ。

詳細を見る →
フレームワーク
発展

Triage

Triage

複数のアラート、脆弱性、インシデント候補を優先度付けし、対応順序を決める初期判断。

詳細を見る →
フレームワーク
実務

Triage SLA

Triage Service Level Agreement

脆弱性やアラートを受け取ってから、影響確認・優先度判断・所有者決定までに求める時間目標。

詳細を見る →
フレームワーク
発展

TTP

Tactics, Techniques and Procedures

攻撃者が何を目的に、どの技術を使い、どのような手順で行動するかを表す概念。

詳細を見る →
攻撃手法
発展

Typosquatting

Typosquatting

正規ドメインやサービス名に似た綴りのドメインを使い、誤入力や見間違いを狙うなりすまし手法。

詳細を見る →
防御・対策
実務

UEBA

User and Entity Behavior Analytics

ユーザーや端末、サービスアカウントの普段の行動を学習し、通常と異なるアクセスや操作を検知する分析手法。

詳細を見る →
防御・対策
実務

UEBA Rule

UEBA Rule

ユーザーや端末の通常行動から外れた振る舞いを検知するための分析ルール。異常なログイン、操作量、場所の変化などを見る。

詳細を見る →
基礎概念
入門

Unmanaged Device

Unmanaged Device

組織が設定や状態を十分に管理できない端末。私物端末や委託先端末などが該当し、アクセス制御とデータ持ち出し対策が重要になる。

詳細を見る →
防御・対策
実務

User-Reported Phishing

User-Reported Phishing

利用者が不審メールを報告する運用や仕組み。SOCや情シスが早期にメール攻撃を把握し、封じ込めるための入口になる。

詳細を見る →
ESC