Exploitability
Exploitability
脆弱性が実際に悪用されやすいかを示す考え方。到達性、必要権限、公開コード、悪用状況などで判断する。
関連: EPSSKEVSSVC
詳細を見る →
Exposure Management
Exposure Management
外部公開資産、脆弱性、設定ミス、過剰権限など、攻撃者に利用され得る露出を継続的に把握し優先度付けする運用。
関連: Attack Surface ManagementAttack Path AnalysisControl Validation
詳細を見る →
External Collaboration
External Collaboration
社外ユーザーとファイル、チャット、SaaSワークスペース、コードリポジトリなどを共同利用する業務形態。
関連: Guest UserData ClassificationAccess Review
詳細を見る →
False Negative
False Negative
実際には異常や攻撃があるのに、検知システムが問題なしとして見逃すこと。
関連: False PositiveMTTDDetection Engineering
詳細を見る →
False Positive
False Positive
本来は問題ない活動を、検知システムが誤って異常または攻撃として判定すること。
関連: False NegativeAlert FatigueDetection Engineering
詳細を見る →
Feature Flag
Feature Flag
機能の有効・無効を設定で切り替える仕組み。段階展開、緊急停止、A/Bテストなどに使う。
関連: Canary DeploymentKill SwitchChange Management
詳細を見る →
FedRAMP
Federal Risk and Authorization Management Program
米国政府機関がクラウドサービスを利用する際のセキュリティ評価・認可プログラム。クラウドサービスの統制水準を確認する枠組み。
関連: Cloud SecurityNIST SP 800-53Third-Party Risk Management
詳細を見る →
FIDO Metadata Service
FIDO Metadata Service
FIDO認証器の製造元、認証レベル、状態、セキュリティ情報を確認するためのメタデータ提供サービス。
関連: FIDO2PasskeyWebAuthnDevice Trust
詳細を見る →
FIDO2
FIDO2
FIDOアライアンスとW3Cが共同策定したパスワードレス認証標準。WebAuthn(ブラウザAPI)とCTAP(デバイスプロトコル)の2層構造。フィッシング耐性・プライバシー保護が設計に組み込まれており、パスキーの技術基盤。
関連: パスキーTOTP多要素認証
詳細を見る →
Fine-Grained Token
Fine-Grained Token
アクセス対象、権限、期限を細かく制限できるトークン。広範なPersonal Access Tokenより安全に運用しやすい。
関連: Personal Access TokenAPI KeyLeast Privilege
詳細を見る →
Forensic Image
Forensic Image
端末やディスクの内容を証拠保全目的で複製したイメージ。調査対象を直接変更せず分析するために使う。
関連: ForensicsChain of Custody完全性
詳細を見る →
Forensics
Digital Forensics
端末、サーバー、ログ、メモリ、ネットワークなどの証拠を保全・分析し、何が起きたかを明らかにする調査活動。
関連: Chain of CustodyインシデントレスポンスIOC
詳細を見る →
Four-Eyes Principle
Four-Eyes Principle
重要な操作や判断を少なくとも2人で確認・承認する原則。誤操作や不正の抑止に使われる。
関連: Segregation of DutiesChange ManagementPAM
詳細を見る →
Fourth-Party Risk
Fourth-Party Risk
自社の委託先やSaaS提供元がさらに依存している再委託先・クラウド・サプライヤーに起因するリスク。
関連: Third-Party Risk ManagementSupply Chain Risk ManagementDPA
詳細を見る →
Fulcio
Fulcio
Sigstoreで短期証明書を発行する認証局コンポーネント。OIDCなどで確認したIDに対して、署名用の短命証明書を発行する。
関連: SigstoreCosignRekor
詳細を見る →
Gatekeeper
Gatekeeper
OPAをKubernetes Admission Controllerとして使うためのプロジェクト。クラスタに入る設定をポリシーで検査する。
関連: OPAAdmission ControllerPolicy as Code
詳細を見る →
Golden Ticket
Golden Ticket
Active DirectoryのKerberosにおいて、KRBTGTキーを悪用して任意の認証チケットを作成する攻撃概念。
関連: Kerberoasting権限昇格SIEM
詳細を見る →
GRC
Governance, Risk and Compliance
ガバナンス、リスク管理、コンプライアンスを一体で扱う考え方。経営判断、統制、監査、リスク受容をつなぐ。
関連: Risk AcceptanceSecurity ControlAudit Readiness
詳細を見る →
Group Nesting
Group Nesting
グループの中に別のグループを含め、間接的に権限を付与する構造。権限の見通しが悪くなりやすい。
関連: RBACAccess ReviewEntitlement Creep
詳細を見る →
GuardDuty
Amazon GuardDuty
AWS環境の脅威検知サービス。ログやDNS通信などを分析し、不審な挙動を検出する。
関連: Threat DetectionCloudTrailSIEM
詳細を見る →
Guest Access Review
Guest Access Review
SaaSやIdPに残る外部ユーザー、ゲスト、委託先アカウントの必要性と権限を定期的に確認する棚卸し。
関連: External CollaborationAccess ReviewGuest UserSaaS Security
詳細を見る →
Guest User
Guest User
自組織の管理外にいる外部利用者を、限定された権限でテナントやSaaSへ招待するアカウント種別。
関連: External CollaborationAccess ReviewSaaS
詳細を見る →
Hardening
Hardening
不要な機能や権限を減らし、安全な設定に変更して、システムの攻撃面を小さくする作業。
関連: Security BaselineChange ManagementASM
詳細を見る →
Hardware Security Key
Hardware Security Key
FIDO2などに対応し、公開鍵暗号を使ってフィッシング耐性の高い認証を行う物理デバイス。
関連: パスキーFIDO2MFA
詳細を見る →
Hermetic Build
Hermetic Build
ビルド時の入力や依存関係を明示し、外部ネットワークや不明な環境差分に依存しない再現性の高いビルド方式。
関連: SLSABuild AttestationReproducible BuildDependency Pinning
詳細を見る →
Homograph Attack
Homograph Attack
見た目が似た別文字を使い、正規ドメインやサービス名に見せかけるなりすまし手法。
関連: TyposquattingフィッシングBrand Impersonation
詳細を見る →
Honeypot
Honeypot
攻撃者や不審な活動を観測するために用意された、おとりのシステムやサービス。
関連: Deception TechnologyThreat HuntingIOC
詳細を見る →
Host Isolation
Host Isolation
侵害が疑われる端末をネットワークから論理的に分離し、横展開や通信継続を防ぐ封じ込め対応。
関連: EDRContainmentForensics
詳細を見る →
Host Permission
Host Permission
ブラウザ拡張機能が特定サイトやURLパターンへアクセスするための権限。対象範囲が広いほど影響も大きい。
関連: Browser Extension PermissionManaged BrowserSaaS
詳細を見る →
HSM
Hardware Security Module
暗号鍵を専用ハードウェア内で保護し、鍵の生成や署名処理を安全に行う装置またはサービス。
関連: KMS暗号化デジタル署名
詳細を見る →
HSTS
HTTP Strict Transport Security
WebサーバーがブラウザにHTTPSのみで接続するよう強制するセキュリティヘッダー(Strict-Transport-Security)。設定期間中はHTTPアクセスが自動的にHTTPSにリダイレクトされる。SSL/TLSダウングレード攻撃や中間者攻撃を防ぐ。
関連: TLS中間者攻撃CSP
詳細を見る →
HSTS Preload
HSTS Preload
ブラウザのプリロードリストにドメインを登録し、初回アクセスからHTTPSのみを強制するHSTSの運用方式。
関連: HSTSTLSCertificate Transparency
詳細を見る →
IaC Scanning
Infrastructure as Code Scanning
TerraformやCloudFormationなどのIaC定義を検査し、危険なクラウド設定や公開範囲を事前に見つける活動。
関連: Policy as CodeTerraform PlanCSPM
詳細を見る →
IAM
Identity and Access Management
ユーザー、サービスアカウント、権限、認証方式、アクセス制御を管理する仕組みの総称。
関連: 認証認可最小権限の原則
詳細を見る →
IAM Access Analyzer
IAM Access Analyzer
AWSリソースやIAMポリシーが外部アカウントや公開アクセスを許していないかを分析するサービス。
関連: IAMAccess Review最小権限の原則
詳細を見る →
IAM Policy
IAM Policy
クラウドやSaaSで、誰がどのリソースにどの操作をできるかを定義する権限ポリシー。
関連: IAM最小権限の原則RBAC
詳細を見る →
IAST
Interactive Application Security Testing
アプリ実行中に内部情報と外部リクエストを組み合わせ、脆弱性の原因箇所を検出するテスト手法。
関連: SASTDASTRASP
詳細を見る →
Idempotency Key
Idempotency Key
同じ操作が再送されても二重処理にならないよう、リクエストを一意に識別するキー。
関連: WebhookAPI SecurityToken Replay
詳細を見る →
Identity Attack Surface
Identity Attack Surface
攻撃者に悪用され得るID、権限、認証経路、外部アプリ、トークン、サービスアカウントの露出面。
関連: IAMISPMAttack Surface ManagementOAuth Consent Phishing
詳細を見る →
Identity Governance
Identity Governance
ユーザー、権限、アクセス要求、棚卸し、ライフサイクルを統制するID管理の領域。過剰権限や退職者残存を減らす。
関連: IAMAccess ReviewEntitlement Management
詳細を見る →
Identity Governance and Administration
Identity Governance and Administration
ID、権限、申請、承認、棚卸し、監査を統合的に管理する考え方。IGAとも呼ばれ、誰が何にアクセスできるかを継続的に統制する。
関連: IAMAccess CertificationEntitlement Management
詳細を見る →
Identity Lifecycle Management
Identity Lifecycle Management
入社、異動、休職、退職、委託終了などに合わせてIDと権限を作成・変更・削除する管理プロセス。
関連: SCIM ProvisioningIGAオフボーディング
詳細を見る →
Identity Provider Metadata
Identity Provider Metadata
SAMLやOIDCで、IdPのエンドポイント、証明書、識別子、署名情報などをSPやアプリへ伝えるメタデータ。
関連: IdPSAMLOpenID ConnectSAML Signing Certificate
詳細を見る →
IdP
Identity Provider
ユーザー認証を担い、SAMLやOpenID Connectを通じてサービスへ認証結果を渡す基盤。
関連: SSOSAMLOpenID Connect
詳細を見る →
IDS
Intrusion Detection System
ネットワークやホストへの不正アクセス・攻撃を検知して管理者に通知するシステム。シグネチャベースと異常検知ベースがある。検知はするが遮断はしない(遮断するのはIPS)。
関連: IPSSIEMファイアウォール
詳細を見る →
Image Digest
Image Digest
コンテナイメージの内容をハッシュで一意に識別する値。タグよりも改ざんや差し替えに強い参照方法。
関連: Container Image SigningArtifact IntegrityHash Pinning
詳細を見る →
Impact Assessment
Impact Assessment
インシデントや変更が、事業、利用者、データ、法令、システム可用性へ与える影響を評価すること。
関連: Business Impact AnalysisIncident SeverityCase Priority
詳細を見る →
Impossible Travel
Impossible Travel
短時間で物理的に移動できない距離からログインが発生したように見える異常検知の考え方。
関連: Risk-Based AuthenticationConditional AccessAudit Log
詳細を見る →
in-toto
in-toto
ソフトウェアサプライチェーンの各工程を記録・検証するためのフレームワーク。ビルド、テスト、署名などの手順が期待通り行われたかを確認する。
関連: SLSASigstoreSoftware Attestation
詳細を見る →
Inbox Rule
Inbox Rule
メールボックス内で受信メールを移動、削除、転送、分類する自動処理ルール。
関連: Mail Forwarding RuleBECAudit Log
詳細を見る →
Incident Classification
Incident Classification
インシデントを種類や影響で分類し、適切な対応手順、担当、報告先へ振り分けること。
関連: Initial TriageIncident SeverityCase Management
詳細を見る →
Incident Commander
Incident Commander
インシデント対応中に全体判断、優先順位、役割分担、関係者調整を担う指揮役。
関連: CSIRTTabletop Exerciseインシデントレスポンス
詳細を見る →
Incident Severity
Incident Severity
インシデントの重大度。影響範囲、データ種別、攻撃継続性、復旧難度、外部影響などで分類する。
関連: Incident ClassificationImpact AssessmentCase Priority
詳細を見る →
Incident Timeline
Incident Timeline
インシデントの発生、検知、判断、対応、復旧までの出来事を時系列で整理した記録。
関連: Incident CommanderAudit LogPost-Incident Review
詳細を見る →
Indicator Enrichment
Indicator Enrichment
IP、ドメイン、ハッシュなどの指標に、評判、初見日、所有者、関連キャンペーンなどの追加情報を付ける調査。
関連: IOCThreat Intel FeedTriage
詳細を見る →
Indirect Prompt Injection
Indirect Prompt Injection
Webページ、メール、文書など外部コンテンツに埋め込まれた指示をLLMが読み、意図しない動作につながるリスク。
関連: Prompt InjectionRAGModel Guardrails
詳細を見る →
Initial Triage
Initial Triage
通報やアラートを受けた直後に、事実、影響、緊急度、次の担当を短時間で判断する初期選別。
関連: TriageIncident ClassificationEvidence Preservation
詳細を見る →
Input Validation
Input Validation
アプリやAPIが受け取る入力について、型、形式、長さ、範囲、許可値を確認し、想定外の値を拒否する対策。
関連: SQLインジェクションMass AssignmentAPI Schema
詳細を見る →
Internet-Facing Asset
Internet-Facing Asset
インターネットから到達可能なサーバー、SaaS設定、管理画面、API、ネットワーク機器などの資産。
関連: EASMAsset InventoryAdmin Portal Exposure
詳細を見る →
Invoice Fraud
Invoice Fraud
請求書や支払依頼を偽装し、送金先変更や架空請求によって金銭被害を狙う不正行為。
関連: BECVendor Email Compromiseソーシャルエンジニアリング
詳細を見る →