メインコンテンツへスキップ
Glossary

セキュリティ用語集(12ページ目)

CVE、EDR、OAuth、SBOMなど、サイバーセキュリティ用語の意味を日本語で解説。検索・カテゴリ・難易度で絞り込めます。

60語

全732語のうち 661〜720語を表示しています。全件横断はサイト内検索を利用できます。

用語一覧

攻撃手法
発展

クリプトジャッキング

Cryptojacking

被害者のコンピュータを無断で使って暗号資産(Moneroなど)をマイニングさせる攻撃。ブラウザのJavaScript・マルウェア経由で感染し、CPU/GPUを占有するためシステムが著しく遅くなる。

詳細を見る →
防御・対策
実務

Credential Rotation

Credential Rotation

パスワード、APIキー、証明書などの認証情報を計画的または緊急に更新し、旧資格情報を失効させる運用。

詳細を見る →
プロトコル・技術
発展

CAEP

Continuous Access Evaluation Profile

端末状態やセッション、資格情報などの変化を共有し、サービスがアクセス継続可否を速やかに再評価できるOpenID Shared Signalsのプロファイル。

詳細を見る →
攻撃手法
発展

権限昇格

Privilege Escalation

低い権限でシステムに侵入した攻撃者が、OSやアプリの脆弱性・設定ミスを悪用して管理者権限を得るプロセス。垂直(一般→管理者)と水平(他ユーザーへ)の2種類がある。

詳細を見る →
フレームワーク
発展

SaaSBOM

Software as a Service Bill of Materials

SaaSを構成・提供するサービス、外部依存、データ処理、サブプロセッサなどの関係を利用者が把握できる形で整理する部品表。

詳細を見る →
基礎概念
入門

最小権限の原則

Principle of Least Privilege

ユーザーやプロセスには、タスク遂行に必要な最低限の権限のみを付与するセキュリティ原則。権限昇格攻撃の被害範囲を最小化するために重要。

詳細を見る →
フレームワーク
発展

サイバーキルチェーン

Cyber Kill Chain

Lockheed Martinが提唱する攻撃フェーズモデル。偵察→武器化→配送→エクスプロイト→インストール→C2→目的実行の7フェーズ。各フェーズで防御策を適用し攻撃を阻止する考え方。

詳細を見る →
攻撃手法
発展

サプライチェーン攻撃

Supply Chain Attack

ソフトウェアのビルドパイプライン・オープンソースライブラリ・ITベンダーなど「信頼されたサプライヤー」を踏み台にして最終標的に侵入する攻撃。SolarWinds事件(2020)・XZ Utils(2024)が代表例。

詳細を見る →
ツール・製品
発展

Secrets Broker

Secrets Broker

アプリや利用者を認証し、必要なシークレットや短命な資格情報をポリシーに基づいて仲介・配布する仕組み。

詳細を見る →
基礎概念
発展

Secret Zero

Secret Zero

シークレット管理基盤から最初の秘密情報を取得するために必要となる、起点の認証情報や信頼確立に関する課題。

詳細を見る →
防御・対策
実務

CDR

Cloud Detection and Response

クラウドの監査ログ、ID、設定変更、ワークロード挙動を相関し、不審な活動の検知・調査・封じ込めを行う運用。クラウド固有の文脈を利用する。

詳細を見る →
フレームワーク
発展

CBOM

Cryptographic Bill of Materials

システムで使う暗号アルゴリズム、鍵長、証明書、暗号ライブラリ、利用場所などを把握するための暗号資産台帳。更新影響の判断に用いる。

詳細を見る →
防御・対策
実務

SITREP

Situation Report

インシデント対応中の事実、影響、実施済み対応、未解決事項、次回判断時刻を関係者へ簡潔に共有する状況報告。意思決定を揃えるために用いる。

詳細を見る →
プロトコル・技術
発展

JAR

JWT-Secured Authorization Request

OAuth 2.0の認可要求パラメータをJWTへ格納し、署名または暗号化によって完全性、送信元確認、機密性を与える標準。

詳細を見る →
プロトコル・技術
実務

SHA-256

SHA-256

SHA-2 ファミリーに属する暗号学的ハッシュ関数で、入力から 256 ビット(32 バイト)の固定長ハッシュ値を生成する。改ざん検知・デジタル署名・証明書・ブロックチェーンなどで広く使われる。

詳細を見る →
ツール・製品
実務

Shodan

Shodan

インターネットに接続されたデバイス(サーバー・IoT・産業制御システム等)を検索できる特殊検索エンジン。バナー情報・サービス種別・脆弱性情報を収集。OSINTやペネトレーションテストの偵察に使用。

詳細を見る →
ツール・製品
発展

SPIRE

SPIFFE Runtime Environment

SPIFFE仕様に基づいてワークロードを検証し、短命なID文書を発行・更新するオープンソースのランタイム環境。

詳細を見る →
攻撃手法
発展

スピアフィッシング

Spear Phishing

特定の個人や組織を狙い、事前調査をもとに文面を作り込んだ標的型のフィッシング攻撃。不特定多数に同一メールを送る通常のフィッシングと異なり、実在の取引先・上司・業務文脈を装うため成功率が高い。

詳細を見る →
フレームワーク
発展

SPIFFE

Secure Production Identity Framework For Everyone

動的な分散システムで、ワークロードへ検証可能なIDを付与するためのオープン標準。サービス間認証の共通基盤として利用される。

詳細を見る →
攻撃手法
発展

スミッシング

Smishing

SMS(ショートメッセージ)を悪用したフィッシング攻撃。宅配業者・金融機関・公的機関を装ったSMSに偽サイトURLを含め、認証情報や個人情報を詐取する。スマートフォン利用者の増加とともに急増。

詳細を見る →
防御・対策
発展

Threat Modeling as Code

Threat Modeling as Code

システム構成、信頼境界、脅威、対策をテキストや構造化データで管理し、設計変更と同じレビュー・自動化の流れへ組み込む方法。

詳細を見る →
基礎概念
入門

脆弱性

Vulnerability

システムやソフトウェアに存在するセキュリティ上の弱点。攻撃者はこれを悪用(エクスプロイト)してシステムに侵入する。CVE番号で識別される。

詳細を見る →
防御・対策
実務

脆弱性診断

Vulnerability Assessment

システムやアプリケーションの既知脆弱性・設定不備を、スキャナーと手動確認によって網羅的に洗い出す活動。侵入可否を検証するペネトレーションテストと異なり、「弱点の列挙と深刻度評価」に主眼を置く。

詳細を見る →
基礎概念
入門

Security Acceptance Criteria

Security Acceptance Criteria

機能や変更がセキュリティ要件を満たしたと判断するための、具体的で検証可能な完了条件。

詳細を見る →
基礎概念
入門

Security User Story

Security User Story

セキュリティ上の価値や必要性を、利用者・目的・期待結果の形式で開発バックログへ組み込んだ要求。

詳細を見る →
攻撃手法
発展

ゼロデイ攻撃

Zero-Day Attack

パッチが未提供の脆弱性(ゼロデイ脆弱性)を突いた攻撃。ベンダーが脆弱性を認識した日を「Day 0」とし、それ以前から始まることが多い。防御が困難で価値が高い。

詳細を見る →
基礎概念
入門

ゼロトラスト

Zero Trust

「信頼しない、常に検証する」を基本とするセキュリティモデル。社内ネットワークでも外部ネットワーク同様に厳密な認証・認可を要求する。ペリメータセキュリティの限界を補う。

詳細を見る →
プロトコル・技術
発展

Sender-Constrained Access Token

Sender-Constrained Access Token

アクセストークンを特定クライアントが保持する鍵や証明書へ結び付け、トークン単体の盗難による再利用を抑える方式。

詳細を見る →
攻撃手法
発展

ソーシャルエンジニアリング

Social Engineering

人間の心理的弱点を利用して機密情報を引き出したり不正行為を実行させたりする攻撃手法。技術的な脆弱性を使わず、欺瞞・信頼・権威・緊急性などを利用する。

詳細を見る →
基礎概念
入門

多要素認証

Multi-Factor Authentication (MFA)

2種類以上の認証要素(知識・所持・生体)を組み合わせる認証方式。パスワード単体より大幅にセキュリティを向上できる。SMS・TOTP・ハードウェアキーなどが利用される。

詳細を見る →
攻撃手法
発展

中間者攻撃

Man-in-the-Middle (MitM)

通信する二者の間に割り込み、通信を傍受・改ざんする攻撃。ARP毒化・DNSスプーフィング・悪意のあるWi-Fiアクセスポイントなどを利用。TLSで防御できる。

詳細を見る →
プロトコル・技術
実務

DNS CAA

DNS Certification Authority Authorization

ドメイン所有者が、そのドメインの証明書発行を許可する認証局をDNSレコードで指定する仕組み。意図しない発行を抑制する。

詳細を見る →
防御・対策
発展

DDR

Data Detection and Response

機密データの所在・利用・移動を継続的に把握し、不審なアクセスや持ち出しを検知して調査・封じ込めにつなげるデータ中心の防御アプローチ。

詳細を見る →
プロトコル・技術
発展

DBSC

Device Bound Session Credentials

セッションを端末内の秘密鍵と結び付け、盗まれたCookieだけでは別端末から再利用しにくくするWeb認証の仕組み。

詳細を見る →
攻撃手法
発展

ディープフェイク

Deepfake

AIの深層学習(Deep Learning)で生成された偽の画像・音声・動画。本物そっくりに人物の顔や声を合成できる。ビッシング詐欺・なりすまし攻撃・ディスインフォメーションに悪用される。

詳細を見る →
防御・対策
実務

Detection Rule Lifecycle

Detection Rule Lifecycle

検知ルールを企画、実装、テスト、展開、監視、調整、廃止まで継続管理する一連の運用。

詳細を見る →
基礎概念
入門

デジタル署名

Digital Signature

送信者の秘密鍵でデータのハッシュ値を暗号化したもの。受信者が公開鍵で復号してハッシュを照合することで「改ざんなし・送信者の正当性」を同時に確認できる。コード署名・TLS証明書・JWT署名などに使用。

詳細を見る →
防御・対策
実務

Digital Risk Protection

Digital Risk Protection

自社管理外を含むインターネット上から、なりすまし、漏えい情報、偽サイト、ブランド悪用などの外部リスクを継続監視する取り組み。

詳細を見る →
防御・対策
実務

Trusted Publishing

Trusted Publishing

パッケージ公開時に長期保存したAPIトークンを使わず、CI/CDのOIDC IDなど短命な証明を用いて発行元を確認する方式。

詳細を見る →
基礎概念
入門

認可

Authorization

認証済みのユーザーが特定のリソースやアクションにアクセスする権限を持つかを判定するプロセス。RBAC・ABAC・最小権限の原則に基づいて実装する。

詳細を見る →
基礎概念
入門

認証

Authentication

ユーザーやシステムが本人であることを確認するプロセス。知識(パスワード)・所持(スマートフォン)・生体(指紋)の3要素がある。2要素以上の組み合わせが推奨される。

詳細を見る →
ツール・製品
実務

Burp Suite

Burp Suite

PortSwigger社製のWebアプリセキュリティテスト統合プラットフォーム。プロキシ・Repeater・Intruder・Scannerなどのツールを統合。CommunityEdition(無料)とProfessional(有料)がある。

詳細を見る →
基礎概念
入門

パスキー

Passkey

FIDOアライアンスが標準化したパスワードレス認証技術。公開鍵暗号とデバイス生体認証を組み合わせ、フィッシング耐性が極めて高い。WebAuthn(W3C)の上に構築され、パスワードを完全に置き換える。Apple・Google・Microsoftが対応し急速に普及中。

詳細を見る →
防御・対策
実務

パスワードマネージャー

Password Manager

各サービスごとに異なる長いランダムパスワードを安全に生成・保存するツール。マスターパスワード1つで全パスワードを管理する。1Password・Bitwarden・KeePassXCが代表例。パスワード使い回しによる被害を根本的に防ぐ。

詳細を見る →
攻撃手法
発展

バックドア

Backdoor

正規の認証プロセスを迂回してシステムに不正アクセスできるように仕掛けられた隠し経路。攻撃者が侵入後に設置するケースと、ソフトウェアの開発段階に仕込まれるサプライチェーン型がある。

詳細を見る →
基礎概念
入門

ハッシュ関数

Hash Function

任意長のデータを固定長のハッシュ値(ダイジェスト)に変換する一方向関数。同じ入力は常に同じ出力を返し、わずかな変更でも大きく変化する(雪崩効果)。SHA-256・MD5(非推奨)など。

詳細を見る →
防御・対策
実務

パッチ管理

Patch Management

OSやソフトウェアのセキュリティパッチを定期的に適用し、既知の脆弱性を修正するプロセス。テスト→承認→展開→確認のサイクルで管理する。ゼロデイ以外の多くの攻撃をパッチで防げる。

詳細を見る →
防御・対策
実務

ファイアウォール

Firewall

ネットワークトラフィックを監視し、ポリシーに基づいて通信を許可・遮断するセキュリティ装置。パケットフィルタリング型・ステートフルインスペクション型・次世代ファイアウォール(NGFW)に分類される。

詳細を見る →
フレームワーク
発展

FAPI

Financial-grade API Security Profile

高い安全性を必要とするAPI向けに、OAuth 2.0とOpenID Connectの利用方法を制約・強化するOpenID Foundationのセキュリティプロファイル。

詳細を見る →
攻撃手法
発展

フィッシング

Phishing

正規のメール・Webサイトを装い、認証情報やクレジットカード情報を騙し取る攻撃。特定個人を狙うスピアフィッシング、経営幹部を狙うホエーリングが高度化している。

詳細を見る →
防御・対策
実務

Phishing-Resistant MFA

Phishing-Resistant Multi-Factor Authentication

偽サイトで認証情報を入力させられても、正規サービス以外では認証を成立させにくい多要素認証。FIDO2やパスキーが代表例。

詳細を見る →
防御・対策
実務

ブルーチーム

Blue Team

組織の防御を担うチーム。SOC や CSIRT として、監視・検知・調査・封じ込め・復旧を行い、攻撃をいかに早く発見し被害を抑えるかに責任を持つ。

詳細を見る →
攻撃手法
発展

ブルートフォース攻撃

Brute Force Attack

パスワードや暗号鍵のすべての組み合わせを試す攻撃。アカウントロックアウト・レートリミット・長いパスワードで対策する。辞書攻撃はよく使われるパスワードのみを試す変種。

詳細を見る →
プロトコル・技術
実務

プロキシ

Proxy

クライアントとサーバーの間に立って通信を中継するサーバー。フォワードプロキシは社内から外部への通信を中継・制御し、リバースプロキシは外部からサーバーへの通信を受けて負荷分散やキャッシュ、WAF 連携を担う。

詳細を見る →
基礎概念
入門

Product Security

Product Security

製品の企画・設計・開発・提供・保守・終了までを通じて、利用者へ安全な状態を届け続ける組織的な活動。

詳細を見る →
防御・対策
実務

ペネトレーションテスト

Penetration Testing

許可を得た上で実際の攻撃者の視点でシステムへの侵入を試み、脆弱性を特定するセキュリティ評価手法。ブラックボックス・グレーボックス・ホワイトボックスの3種類がある。

詳細を見る →
攻撃手法
発展

ボットネット

Botnet

マルウェアに感染した多数のコンピュータ(ボット)をC2サーバーから一元制御するネットワーク。DDoS攻撃・スパム送信・クリプトジャッキング・クレデンシャルスタッフィングに悪用。Emotet・Mirai(IoT)が有名。

詳細を見る →
防御・対策
実務

Bot Management

Bot Management

WebサイトやAPIへの自動アクセスを識別し、正当なボットを許可しながら不正利用や過負荷を抑制する防御機能。

詳細を見る →
フレームワーク
発展

Materiality Assessment

Cybersecurity Incident Materiality Assessment

サイバーインシデントが財務、業務、顧客、法令、評判などに与える影響を評価し、重要な開示・報告判断につなげるプロセス。

詳細を見る →
攻撃手法
発展

マルウェア

Malware

悪意のあるソフトウェアの総称。ウイルス・ワーム・トロイの木馬・ランサムウェア・スパイウェア・アドウェアなどが含まれる。感染経路はメール添付・Webサイト・USBメモリなど多様。

詳細を見る →
ESC