メインコンテンツへスキップ
Glossary

セキュリティ用語集(11ページ目)

CVE、EDR、OAuth、SBOMなど、サイバーセキュリティ用語の意味を日本語で解説。検索・カテゴリ・難易度で絞り込めます。

60語

全732語のうち 601〜660語を表示しています。全件横断はサイト内検索を利用できます。

用語一覧

防御・対策
実務

User Risk

User Risk

ユーザーアカウント自体が侵害されている可能性を示すリスク評価。漏えい資格情報や不審行動の蓄積から判断される。

詳細を見る →
ツール・製品
実務

Vault

Vault

秘密情報、鍵、証明書、トークンなどを集中管理し、アクセス制御や発行・失効を行う仕組みの総称。

詳細を見る →
フレームワーク
発展

Vendor Due Diligence

Vendor Due Diligence

委託先やSaaS提供者を利用する前に、セキュリティ、プライバシー、継続性、契約条件を確認する評価活動。

詳細を見る →
攻撃手法
発展

Vendor Email Compromise

Vendor Email Compromise

取引先や委託先のメールアカウントが侵害され、請求、送金、情報提供を装った不正連絡に使われる事象。

詳細を見る →
フレームワーク
発展

Vendor Risk Management

Vendor Risk Management

委託先やSaaS提供元のセキュリティ、プライバシー、継続性、契約リスクを評価・監視する活動。

詳細を見る →
フレームワーク
発展

VEX

Vulnerability Exploitability eXchange

特定の製品やコンポーネントが、ある脆弱性の影響を実際に受けるかどうかを伝えるための情報形式。

詳細を見る →
防御・対策
実務

Virtual Patching

Virtual Patching

本体の修正適用前に、WAF、IPS、アクセス制限などで悪用リスクを一時的に下げる緩和策。

詳細を見る →
プロトコル・技術
実務

VPN

Virtual Private Network

インターネット上に仮想的な専用線を構築し、暗号化された通信を実現する技術。リモートワーク時に社内ネットワークへ安全に接続するために使われる。WireGuard・OpenVPN・IPsecなど。

詳細を見る →
フレームワーク
発展

Vulnerability Disclosure

Vulnerability Disclosure

発見された脆弱性を、影響を受ける組織や利用者へ適切な手順で知らせる活動。

詳細を見る →
フレームワーク
発展

Vulnerability Disclosure Program

Vulnerability Disclosure Program

外部の発見者から脆弱性報告を受け付け、確認・修正・連絡するための公開窓口と運用制度。

詳細を見る →
防御・対策
実務

Vulnerability Intake

Vulnerability Intake

脆弱性報告、スキャナ結果、CVE通知、外部通報を受け付け、重複排除、影響確認、優先度判断へつなげる入口プロセス。

詳細を見る →
防御・対策
実務

WAF

Web Application Firewall

Webアプリケーションへの攻撃(SQLi・XSS・CSRFなど)を検知・遮断するセキュリティ装置。HTTPレベルで動作し、通常のファイアウォールでは防御できないアプリ層の攻撃に対応する。

詳細を見る →
フレームワーク
発展

War Room

War Room

重大インシデント時に関係者が集まり、状況共有、意思決定、作業調整を行うための専用チャネルや会議体。

詳細を見る →
防御・対策
実務

Watchlist

Watchlist

監視対象として注目すべきIP、ドメイン、アカウント、端末、取引先などをまとめたリスト。

詳細を見る →
プロトコル・技術
実務

WebAuthn

Web Authentication

ブラウザと認証器が公開鍵暗号を使ってログインするためのW3C標準。パスキーやFIDO2認証の土台になる。

詳細を見る →
プロトコル・技術
実務

Webhook

Webhook

あるサービスのイベントを、HTTPリクエストとして別サービスへ通知する仕組み。

詳細を見る →
プロトコル・技術
実務

Webhook Secret

Webhook Secret

Webhook通知が正当な送信元から来たことを検証するための共有秘密や署名検証用の秘密情報。

詳細を見る →
防御・対策
実務

Webhook Signature Verification

Webhook Signature Verification

Webhookリクエストに付与された署名を検証し、送信元と本文改ざんの有無を確認する仕組み。

詳細を見る →
フレームワーク
発展

Well-Architected Framework

Well-Architected Framework

クラウドシステムを信頼性、セキュリティ、運用、性能、コストなどの観点で評価・改善するための設計フレームワーク。

詳細を見る →
防御・対策
実務

Workload Identity

Workload Identity

アプリケーション、コンテナ、ジョブ、クラウドリソースなどのワークロードに付与するID。静的なAPIキーの代替として使われることがある。

詳細を見る →
プロトコル・技術
実務

Workload Identity Federation

Workload Identity Federation

CI/CDやクラウド上のワークロードが、長期秘密鍵を持たずに外部IdPのトークンでクラウド権限を取得する仕組み。

詳細を見る →
防御・対策
実務

XDR

Extended Detection and Response

エンドポイント、ネットワーク、クラウド、メールなど複数領域の検知データを統合し、攻撃の流れを横断的に分析する防御基盤。

詳細を見る →
攻撃手法
発展

XSS

Cross-Site Scripting

攻撃者が悪意のあるスクリプトをWebページに埋め込み、他ユーザーのブラウザで実行させる攻撃。反射型・蓄積型・DOMベースの3種類がある。CSPとHTMLエスケープで対策する。

詳細を見る →
ツール・製品
実務

YARA

YARA

マルウェアや不審ファイルの特徴をルールとして記述し、ファイルやメモリ上のパターン検出に使うツール。

詳細を見る →
防御・対策
実務

Zero Standing Privilege

Zero Standing Privilege (ZSP)

平常時に恒久的な特権を持たせず、必要時のみ一時的に権限を付与する考え方。

詳細を見る →
防御・対策
実務

ZTNA

Zero Trust Network Access

ユーザー、端末状態、アクセス先、条件を検証し、必要なアプリケーションだけへ接続させるゼロトラスト型のアクセス方式。

詳細を見る →
プロトコル・技術
発展

RAR

OAuth 2.0 Rich Authorization Requests

OAuthの認可要求を単純なscope文字列だけでなく、対象・操作・条件を構造化したauthorization_detailsとして表す標準。

詳細を見る →
防御・対策
実務

IaCセキュリティ

Infrastructure as Code Security

TerraformなどのInfrastructure as Codeを、レビュー・静的検査・ポリシー検証によってデプロイ前から安全に保つ取り組み。

詳細を見る →
防御・対策
実務

Out-of-Band Communication

Out-of-Band Communication

通常利用するメールやチャットが侵害・停止した場合に備え、別の信頼経路で連絡と意思決定を継続する方法。

詳細を見る →
防御・対策
発展

Attack Path Management

Attack Path Management

資産・ID・権限・ネットワークの関係を分析し、重要資産へ到達し得る経路を特定して、効果の高い遮断点から改善する取り組み。

詳細を見る →
基礎概念
実務

Abuse Case

Abuse Case

正規機能が意図と異なる使われ方をした場合に、誰がどの資産へどのような害を与え得るかを利用シナリオとして表したもの。

詳細を見る →
防御・対策
実務

After Action Review

After Action Review

インシデントや演習の終了後に、想定、実際の経過、うまく機能した点、改善点を振り返り、具体的な改善へつなげるレビュー。

詳細を見る →
基礎概念
入門

暗号化

Encryption

データを第三者が読めない形式(暗号文)に変換する処理。対称暗号(AES)と非対称暗号(RSA)がある。転送中データ(TLS)と保存データ(ディスク暗号化)の両方で使用する。

詳細を見る →
ツール・製品
実務

アンチウイルス

Antivirus

既知のマルウェアや不審ファイルを検知・隔離する端末保護ソフトウェア。シグネチャ、ヒューリスティック、クラウド評価などを使う。

詳細を見る →
防御・対策
実務

インシデントレスポンス

Incident Response

セキュリティインシデント(侵害・マルウェア感染など)が発生した際の対応プロセス。NIST SP 800-61に基づく「準備→検知→封じ込め→根絶→復旧→事後分析」の6フェーズが標準。

詳細を見る →
攻撃手法
発展

インフォスティーラー

Infostealer

感染端末から認証情報・ブラウザ保存パスワード・セッションクッキー・暗号資産ウォレットなどを窃取することに特化したマルウェアの総称。窃取データは「ログ」として闇市場で売買され、後続のランサムウェアやアカウント乗っ取りの起点になる。

詳細を見る →
プロトコル・技術
実務

HTTPS

HTTPS

HTTP 通信を TLS で暗号化したプロトコル。通信の盗聴・改ざんを防ぎ、サーバー証明書によって接続先の正当性を確認できる。標準ポートは 443 で、現在の Web では全ページでの利用が事実上の標準。

詳細を見る →
フレームワーク
発展

HBOM

Hardware Bill of Materials

製品やシステムを構成するハードウェア部品、製造元、型番、版、供給関係などを一覧化した部品表。供給網の影響調査に利用する。

詳細を見る →
フレームワーク
発展

AIBOM

Artificial Intelligence Bill of Materials

AIシステムを構成するモデル、データ、ライブラリ、サービス、ライセンス、評価情報などの由来と依存関係を整理する部品表の考え方。

詳細を見る →
防御・対策
実務

API Discovery

API Discovery

組織内外で実際に利用されているAPIを発見し、所有者・仕様・公開範囲・認証方式を台帳化する継続的なプロセス。

詳細を見る →
攻撃手法
発展

エクスプロイト

Exploit

脆弱性を実際に突いて不正な動作を引き起こすコードや技法。バッファオーバーフロー・Use-After-Free・SQLインジェクションなど多様な種類がある。PoC(概念実証)コードが公開されると攻撃者がすぐ悪用するため、パッチ適用が急務となる。

詳細を見る →
防御・対策
発展

Exposure Validation

Exposure Validation

発見した脆弱性や設定不備が、実際の到達可能性・既存対策・業務影響を踏まえて優先対応すべき露出か確認する工程。

詳細を見る →
フレームワーク
発展

SSF

OpenID Shared Signals Framework

協力するサービス間で、アカウントやセッションに関するセキュリティイベントを標準化して継続共有するOpenIDの枠組み。

詳細を見る →
防御・対策
実務

Escalation Matrix

Escalation Matrix

重大度、影響、経過時間、対象データなどの条件ごとに、誰へいつ報告し、誰が判断するかを定めた対応表。

詳細を見る →
ツール・製品
実務

NGFW

Next Generation Firewall

従来のポート・プロトコル制御に加え、アプリケーション識別、ユーザー識別、統合 IPS、SSL 復号検査などの高度な検査機能を備えた次世代型ファイアウォール。アプリ単位の可視化と制御ができる点が従来 FW との大きな違い。

詳細を見る →
基礎概念
実務

MTTC

Mean Time to Contain

インシデントの検知または確認から、影響拡大を抑える封じ込めが完了するまでの平均時間を示す運用指標。対応速度の改善に使う。

詳細を見る →
フレームワーク
発展

OSPS Baseline

Open Source Project Security Baseline

オープンソースプロジェクトが成熟度に応じて満たすべき、アクセス制御、ビルド、脆弱性管理などの最低限のセキュリティ要件を整理したOpenSSFの基準。

詳細を見る →
プロトコル・技術
発展

Authentication Context

Authentication Context

認証方式、強度、実行時刻、端末状態など、どのような条件で本人確認が行われたかを表す情報。

詳細を見る →
防御・対策
発展

Automated Security Validation

Automated Security Validation

安全に制御された検証を自動実行し、導入済みのセキュリティ対策が想定どおり検知・防御できるか継続的に確かめる活動。

詳細を見る →
プロトコル・技術
発展

OpenID Federation

OpenID Federation 1.0

複数の組織やOpenID Connect参加者が、信頼連鎖と署名付きメタデータを用いて相互の構成情報を検証するための標準。

詳細を見る →
フレームワーク
発展

OpenVEX

OpenVEX

製品が特定の脆弱性の影響を受けるか、影響を受けない理由や対応状況を機械可読に共有するVEXの実装仕様。自動処理を想定する。

詳細を見る →
フレームワーク
発展

OSCAL

Open Security Controls Assessment Language

セキュリティ統制、システム実装、評価計画・結果などをXML、JSON、YAMLで機械可読に表現するNISTの標準化フレームワーク。

詳細を見る →
基礎概念
入門

可用性

Availability

正当なユーザーが必要なときに情報やシステムにアクセスできる性質。冗長化・バックアップ・DDoS対策などで実現する。CIA三原則のA。

詳細を見る →
ツール・製品
実務

Kali Linux

Kali Linux

Offensive Securityが開発するペネトレーションテスト専用Linuxディストリビューション。Nmap・Metasploit・Burp Suite・Wiresharkなど600以上のセキュリティツールをプリインストール。

詳細を見る →
基礎概念
入門

完全性

Integrity

情報が正確かつ改ざんされていない状態を保つ性質。ハッシュ関数・デジタル署名・チェックサムなどで実現する。CIA三原則のI。

詳細を見る →
防御・対策
実務

管理プレーン

Management Plane

システムやネットワーク機器、クラウド、CI/CDなどを設定・制御するための管理画面や管理APIの総称。侵害されると設定変更、権限追加、監視停止などが可能になり、影響が広範囲に及ぶ。

詳細を見る →
基礎概念
入門

機密性

Confidentiality

許可された者だけが情報にアクセスできる性質。暗号化・アクセス制御・認証などの手段で実現する。CIA三原則のC。

詳細を見る →
基礎概念
入門

脅威

Threat

システムや情報に損害を与える可能性のある事象・行為・主体。自然災害・内部不正・外部攻撃者・マルウェアなどが含まれる。リスク = 脅威 × 脆弱性 × 影響。

詳細を見る →
防御・対策
実務

脅威インテリジェンス

Threat Intelligence

攻撃者のTTP(戦術・技術・手順)・IOC(侵害の痕跡)・脅威アクターに関する情報。防御策の優先付けや検知ルール改善に活用する。STIX/TAXIIでデータ交換が標準化されている。

詳細を見る →
防御・対策
実務

脅威ハンティング

Threat Hunting

アラートを待つのではなく、仮説に基づいて能動的に侵害の痕跡を探す防御活動。「すでに侵入されているかもしれない」という前提で、ログ・テレメトリーを横断的に調査し、未検知の攻撃や潜伏を発見する。

詳細を見る →
ESC