Control Owner
Control Owner
特定のセキュリティ管理策について、設計、実行、証跡、改善の責任を持つ担当者またはチーム。
関連: Security BaselineISMSAccess Review
詳細を見る →
Control Validation
Control Validation
導入済みのセキュリティ統制が、設計どおりに動き期待したリスク低減を実現しているかを確認する活動。
関連: Security ControlControl EvidenceContinuous Controls Monitoring
詳細を見る →
Coordinated Vulnerability Disclosure
Coordinated Vulnerability Disclosure
発見者、ベンダー、調整機関が協力し、修正や利用者通知の準備を整えてから脆弱性を公開する考え方。
関連: Vulnerability DisclosurePSIRTSecurity Advisory
詳細を見る →
Correlation Rule
Correlation Rule
複数のログやイベントを条件で結び付け、単独では弱い兆候を検知シグナルとして扱うSIEMルール。
関連: SIEMDetection RuleLog CorrelationAlert Triage
詳細を見る →
CORS
Cross-Origin Resource Sharing
ブラウザが異なるオリジン間のリソース共有を安全に制御するための仕組み。
関連: API Security同一オリジンポリシーCSRF
詳細を見る →
CORS Misconfiguration
CORS Misconfiguration
CORS設定が広すぎたり認証付きリクエストと組み合わさったりして、意図しないオリジンからAPI利用を許す状態。
関連: CORSAPI Security認可
詳細を見る →
Cosign
Cosign
Sigstoreプロジェクトの一部として使われる、コンテナイメージや成果物への署名・検証ツール。
関連: SigstoreSLSASBOM
詳細を見る →
CPE
Common Platform Enumeration
製品名、ベンダー、バージョンなどを標準化して識別するための名前付け体系。脆弱性と影響製品の対応付けに使われる。
関連: CVESBOMパッチ管理
詳細を見る →
Credential Exposure
Credential Exposure
パスワード、APIキー、トークン、秘密鍵などの認証情報が、ログ、リポジトリ、チャット、端末などに露出すること。
関連: Secret ScanningAPI KeyPersonal Access TokenSecrets Rotation
詳細を見る →
Credential Harvesting
Credential Harvesting
ログインID、パスワード、トークン、MFAコードなどの認証情報を大量または継続的に収集する行為。
関連: フィッシングAiTMSecret Scanning
詳細を見る →
Credential Stuffing
Credential Stuffing
他サービスから漏えいしたIDとパスワードの組み合わせを使い、別サービスへのログインを試す攻撃。
関連: Password SprayingRate LimitingMFA
詳細を見る →
Credential Vault
Credential Vault
パスワード、秘密鍵、APIキーなどの認証情報を暗号化して保管し、アクセス制御、監査、ローテーションを行う保管庫。
関連: PAMSecrets RotationAPI KeyBreak Glass Account
詳細を見る →
Crisis Communications
Crisis Communications
重大インシデントや障害時に、社内外の関係者へ正確で一貫した情報を伝えるための広報・連絡活動。
関連: Incident CommanderCommunication ChannelLegal Hold
詳細を見る →
Cross-Border Data Transfer
Cross-Border Data Transfer
個人データや重要データを国境を越えて移転・閲覧・処理すること。法令、契約、委託先、サポートアクセスの確認が必要。
関連: Data ResidencyData Processing AgreementSubprocessor
詳細を見る →
CSA CCM
Cloud Controls Matrix
Cloud Security Allianceが提供するクラウド向け統制フレームワーク。クラウド利用時に確認すべき管理策を体系化している。
関連: CAIQShared Responsibility ModelControl Mapping
詳細を見る →
CSAF
Common Security Advisory Framework
セキュリティアドバイザリを機械可読な形式で共有するための標準。脆弱性情報の自動取り込みに使われる。
関連: CVEVEXSBOM
詳細を見る →
CSIRT
Computer Security Incident Response Team
組織内外のセキュリティインシデントを受け付け、分析、調整、対応支援を行うチーム。
関連: インシデントレスポンスSOCIncident Commander
詳細を見る →
CSPM
Cloud Security Posture Management
クラウド設定を継続的に検査し、公開ストレージ、過剰権限、暗号化漏れなどの設定不備を検出する仕組み。
関連: CNAPPSecurity BaselineIAM
詳細を見る →
CSRF
Cross-Site Request Forgery
認証済みユーザーに悪意のあるサイトを訪問させ、意図しないリクエストをターゲットサイトに送信させる攻撃。CSRFトークンとSameSite Cookie属性で対策する。
関連: XSSCSRFトークンSameSite
詳細を見る →
CSRF Token
CSRF Token
正規画面から送られたリクエストかを確認するために、フォームやAPIリクエストへ付与する予測困難な値。
関連: CSRFSameSite CookieSession Management
詳細を見る →
CTAP2
Client to Authenticator Protocol 2
ブラウザやOSなどのクライアントと、セキュリティキーや端末内認証器が通信するためのFIDO2系プロトコル。
関連: WebAuthnFIDO2Hardware Security Key
詳細を見る →
CTEM
Continuous Threat Exposure Management
組織の攻撃露出を継続的に発見・優先度付け・検証・改善する管理アプローチ。
関連: ASMAttack Surface ManagementRisk-Based Vulnerability Management
詳細を見る →
Customer-Managed Key
Customer-Managed Key
クラウドやSaaSの暗号化で、利用者側が作成・管理する暗号鍵。鍵の有効化、無効化、ローテーション、監査を利用者が制御できる。
関連: Cloud KMSBring Your Own KeyEnvelope Encryption
詳細を見る →
CVD Policy
Coordinated Vulnerability Disclosure Policy
発見者、ベンダー、関係者が協調して脆弱性を確認・修正・公表するための方針。
関連: Vulnerability Disclosure ProgramPSIRT AdvisoryCVE
詳細を見る →
CVE
Common Vulnerabilities and Exposures
脆弱性に付与される一意の識別番号。「CVE-2024-12345」の形式。MITRE Corporationが管理し、NVD(National Vulnerability Database)でスコア(CVSS)とともに公開される。
関連: 脆弱性CVSSパッチ管理
詳細を見る →
CVE Numbering Authority
CVE Numbering Authority (CNA)
CVE番号を割り当て、脆弱性情報を公開する権限を持つ組織。ベンダーや調整機関などがCNAになる。
関連: CVEPSIRT脆弱性
詳細を見る →
CVE Record
CVE Record
CVE IDに紐づく公式の脆弱性記録。説明、影響製品、参照情報、CNA情報などが含まれる。
関連: CVENVDCVE Numbering Authority
詳細を見る →
CVSS
Common Vulnerability Scoring System
脆弱性の深刻度を0〜10のスコアで表す業界標準指標。基本値・現状値・環境値の3つのスコアで構成。9以上が「緊急(Critical)」でパッチ適用が最優先となる。
関連: CVE脆弱性パッチ管理
詳細を見る →
CVSS Environmental Score
CVSS Environmental Score
自組織の環境条件を反映して調整するCVSSスコア。資産重要度、代替対策、影響範囲などを考慮する。
関連: CVSSSSVCAsset Criticality
詳細を見る →
CVSS Vector
CVSS Vector
CVSSスコアを構成する各評価項目を文字列で表したもの。攻撃経路、複雑性、必要権限、影響などを含む。
関連: CVSSAttack VectorAttack Complexity
詳細を見る →
CWE
Common Weakness Enumeration
ソフトウェアや設計に現れる弱点の種類を体系化した一覧。CVEが個別脆弱性、CWEが弱点カテゴリに近い。
関連: CVEOWASP Top 10脆弱性
詳細を見る →
CWPP
Cloud Workload Protection Platform
クラウド上のサーバー、コンテナ、Kubernetes、ワークロードを保護・監視するための仕組み。
関連: CSPMCNAPP脆弱性
詳細を見る →
CycloneDX
CycloneDX
SBOMなどを表現するためのオープンな標準仕様。ソフトウェア、コンポーネント、依存関係、脆弱性情報の交換に使われる。
関連: SBOMSCAVEX
詳細を見る →
DANE
DNS-Based Authentication of Named Entities
DNSSECを使い、TLS証明書や公開鍵情報をDNSで検証できるようにする仕組み。
関連: DNSSECTLSMTA-STS
詳細を見る →
DAST
Dynamic Application Security Testing
稼働中のアプリケーションに対して外部から振る舞いを確認し、脆弱性の兆候を検査するテスト手法。
関連: SASTIASTペネトレーションテスト
詳細を見る →
Data Breach Notification
Data Breach Notification
個人情報や機密情報の漏えい・侵害が確認または疑われる場合に、関係者や監督機関へ通知する対応。
関連: Data Loss EventIncident CommanderLegal Hold
詳細を見る →
Data Classification
Data Classification
情報を公開、社内限定、機密、重要機密などの区分に分け、扱い方や保護レベルを決めること。
関連: DLP機密性アクセス制御
詳細を見る →
Data Controller
Data Controller
個人データの処理目的や手段を決める主体。プライバシー対応では責任分界の確認に使われる。
関連: Data ProcessorDPADPIA
詳細を見る →
Data Discovery
Data Discovery
組織内のファイル、DB、SaaS、クラウドストレージから、機密情報や個人情報の所在を見つける活動。
関連: Data ClassificationDLPData Retention Policy
詳細を見る →
Data Exfiltration
Data Exfiltration
組織内のデータが、許可されていない外部の場所へ持ち出されること。侵害調査で重要な確認対象になる。
関連: DLPCloud Audit LogData Breach Notification
詳細を見る →
Data Exposure
Data Exposure
データが本来許可されていない相手や範囲から閲覧可能になる状態。必ずしも取得されたことまでは意味しない。
関連: Data Loss EventPublic BucketData Classification
詳細を見る →
Data Inventory
Data Inventory
組織が保有するデータの種類、所在、所有者、利用目的、保存期間、共有先を一覧化する活動。
関連: Data ClassificationData OwnerDLP
詳細を見る →
Data Lineage
Data Lineage
データがどこで作られ、どこへ移動し、どの処理を経て利用されるかを示す流れの情報。
関連: Data StewardData ClassificationDLP
詳細を見る →
Data Localization
Data Localization
特定の国や地域内にデータを保存・処理することを求める要件。規制や顧客契約で指定される場合がある。
関連: Data ResidencyCross-Border Data TransferData Sovereignty
詳細を見る →
Data Loss Event
Data Loss Event
データの紛失、削除、誤送信、外部公開、持ち出しなど、機密性・完全性・可用性に影響する事象。
関連: Data ExposureData Breach NotificationDLP
詳細を見る →
Data Masking
Data Masking
個人情報や機密情報の一部または全部を、閲覧者や用途に応じて隠す処理。開発、分析、画面表示で使われる。
関連: TokenizationPseudonymizationData Classification
詳細を見る →
Data Minimization
Data Minimization
目的達成に必要な最小限のデータだけを収集・保存・利用する考え方。漏えい時の影響や管理コストを下げる。
関連: Data RetentionData ClassificationPII
詳細を見る →
Data Owner
Data Owner
データの利用目的、アクセス権、保存期間、分類、削除判断に責任を持つ業務上の所有者。
関連: Data InventoryData ClassificationControl Owner
詳細を見る →
Data Processor
Data Processor
Data Controllerの指示に基づき、個人データを処理する主体。委託先やSaaS提供者が該当することがある。
関連: Data ControllerDPAVendor Risk Management
詳細を見る →
Data Residency
Data Residency
データが保存・処理される国や地域を管理する考え方。規制、契約、顧客要件、クラウドリージョン選定に関係する。
関連: Data SovereigntyCross-Border Data TransferCloud Region
詳細を見る →
Data Retention
Data Retention
業務、法務、監査、プライバシー要件に基づいて、データを保存する期間と廃棄方法を定める運用。
関連: Data ClassificationDLPLog Retention
詳細を見る →
Data Retention Policy
Data Retention Policy
業務データやログをどれくらい保持し、いつ削除・アーカイブするかを定める方針。法務、監査、プライバシー、インシデント対応に関わる。
関連: Data Classificationログ保全Backup Immutability
詳細を見る →
Data Steward
Data Steward
データの品質、分類、利用ルール、アクセス権、ライフサイクルを実務上管理する担当者または役割。
関連: Data OwnerData ClassificationData Lineage
詳細を見る →
Data Subject Request
Data Subject Request
本人からの個人データの開示、訂正、削除、利用停止などの請求。対象データの特定と本人確認が重要になる。
関連: Right to ErasureData InventoryPII
詳細を見る →
DDoS Mitigation
DDoS Mitigation
大量通信や不正リクエストによるサービス停止を防ぐため、緩和サービス、フィルタ、レート制御を使う対策。
関連: DDoS攻撃Rate Limiting可用性
詳細を見る →
DDoS攻撃
DDoS Attack
多数のホスト(ボットネット)から同時に大量のトラフィックを送り、標的サービスをダウンさせる攻撃。ボリューム型・プロトコル型・アプリケーション層型がある。
関連: ボットネットCDNレートリミット
詳細を見る →
Deception Technology
Deception Technology
おとり資産、偽の認証情報、誘導用データなどを使い、侵害後の活動を早期に検知する防御技術。
関連: HoneypotCanary TokenThreat Hunting
詳細を見る →
Delegated Mailbox Access
Delegated Mailbox Access
本人以外がメールボックスを閲覧・操作できる委任アクセス。情報漏えい調査や権限棚卸しで確認対象になる。
関連: Mailbox DelegationMail Forwarding RuleAudit Log
詳細を見る →
Dependabot
Dependabot
GitHubで依存関係の更新や脆弱性修正のPull Requestを自動作成する機能。
関連: SBOMCVEパッチ管理
詳細を見る →
Dependency Confusion
Dependency Confusion
内部パッケージと同名の公開パッケージを用意し、ビルドやインストール時に誤って取得させる攻撃。
関連: SCALockfileSupply Chain Risk Management
詳細を見る →