SASE
Secure Access Service Edge
ネットワーク接続とセキュリティ機能をクラウドで統合し、場所に依存しない安全なアクセスを実現する考え方。
関連: SSEZTNAゼロトラスト
詳細を見る →
SAST
Static Application Security Testing
ソースコードや中間表現を実行せずに解析し、脆弱な実装パターンを検出するテスト手法。
関連: CodeQLSARIFSCA
詳細を見る →
SBOM
Software Bill of Materials
ソフトウェアを構成するライブラリ、依存関係、バージョン、供給元を一覧化した部品表。
関連: サプライチェーン攻撃CVESLSA
詳細を見る →
SCA
Software Composition Analysis
アプリが利用するOSSライブラリや依存関係を調べ、既知脆弱性、ライセンス、古いバージョンを検出する手法。
関連: SBOMDependabotSupply Chain Risk Management
詳細を見る →
SCIM
System for Cross-domain Identity Management
IdPとSaaS間でユーザー作成、更新、無効化、グループ同期を自動化するための標準プロトコル。
関連: SSOIdPIAM
詳細を見る →
SCIM Drift
SCIM Drift
IdPとSaaS間のSCIMプロビジョニング状態がずれ、ユーザー、グループ、権限、無効化状態が一致しないこと。
関連: SCIMProvisioningOffboardingAccess Review
詳細を見る →
SCIM Provisioning
SCIM Provisioning
IdPからSaaSへユーザーやグループを自動作成・更新・無効化するプロビジョニング。入退社や異動時のアカウント漏れを減らす。
関連: SCIMIdentity Lifecycle ManagementSSO
詳細を見る →
Secret Detection
Secret Detection
コード、ログ、チケット、コンテナイメージ、CI出力などから、APIキーや秘密鍵らしき値を検出する仕組み。
関連: Secret ScanningCredential ExposureSecret Revocation
詳細を見る →
Secret Inventory
Secret Inventory
組織で使うシークレットの種類、用途、所有者、保管場所、権限、期限、ローテーション状況を一覧化した台帳。
関連: Secret SprawlSecrets RotationCredential Vault
詳細を見る →
Secret Revocation
Secret Revocation
漏えいまたは不要になったシークレットを無効化し、必要に応じて新しい値へ切り替える対応。
関連: Secrets RotationAPI KeyCredential Exposure
詳細を見る →
Secret Scanning
Secret Scanning
リポジトリやコード内に含まれるAPIキー、トークン、秘密情報らしき文字列を検出する仕組み。
関連: Push ProtectionGitHubトークンDLP
詳細を見る →
Secret Sprawl
Secret Sprawl
APIキー、トークン、秘密鍵などのシークレットが、複数のリポジトリ、端末、チャット、CI、設定ファイルに散在する状態。
関連: Secret InventorySecret DetectionCredential Vault
詳細を見る →
Secrets Management
Secrets Management
APIキー、パスワード、証明書、暗号鍵などの秘密情報を安全に保管、配布、ローテーションする運用。
関連: Secret ScanningToken RotationKMS
詳細を見る →
Secrets Manager
Secrets Manager
APIキー、DBパスワード、トークンなどの秘密情報を保管し、アクセス制御やローテーションを行うサービス。
関連: Secrets ManagementKey RotationAPI Token
詳細を見る →
Secrets Rotation
Secrets Rotation
APIキー、トークン、パスワード、証明書などの秘密情報を定期的または漏えい時に更新し、古い値を無効化する運用。
関連: Secret ScanningAPIキーToken Revocation
詳細を見る →
Secure by Default
Secure by Default
利用者が追加設定をしなくても、安全な初期設定で製品やサービスを提供する考え方。
関連: Secure by DesignSecurity BaselineHardening
詳細を見る →
Secure by Design
Secure by Design
設計段階からセキュリティを前提にし、後付けではなく機能・運用・脅威を含めて安全性を作り込む考え方。
関連: Secure by DefaultThreat ModelingSecurity Champion
詳細を見る →
Secure Cookie
Secure Cookie
Secure、HttpOnly、SameSiteなどの属性を適切に設定し、セッションCookieの盗難や誤送信を抑える実装。
関連: Session ManagementSameSite CookieHTTPS
詳細を見る →
Secure Email Gateway
Secure Email Gateway
メールの受信・送信経路で、マルウェア、フィッシング、なりすまし、危険URL、添付ファイルを検査する防御基盤。
関連: PhishingDMARCUser-Reported Phishing
詳細を見る →
Security Advisory
Security Advisory
製品やOSSの脆弱性、影響範囲、回避策、修正版、公開日などを利用者へ知らせる公式通知。
関連: CVECVSSCSAF
詳細を見る →
Security Awareness Training
Security Awareness Training
従業員がフィッシング、情報持ち出し、報告手順などを理解し、日常業務で安全に判断できるようにする教育活動。
関連: フィッシングTabletop ExerciseSecurity Baseline
詳細を見る →
Security Baseline
Security Baseline
OS、クラウド、SaaS、端末などに対して最低限満たすべきセキュリティ設定の基準。
関連: HardeningCIS ControlsISMS
詳細を見る →
Security Champion
Security Champion
各開発・業務チーム内でセキュリティ推進役を担うメンバー。中央のセキュリティ部門との橋渡しを行う。
関連: Secure by DesignThreat Modelingセキュア開発
詳細を見る →
Security Control
Security Control
リスクを低減するための管理策、技術策、運用策の総称。アクセス制御、監査ログ、教育、バックアップなどが含まれる。
関連: Control MappingControl EvidenceNIST CSF
詳細を見る →
Security Group
Security Group
クラウド上の仮想ファイアウォールとして、インスタンスやリソースへの通信許可ルールを定義する設定。
関連: ファイアウォール管理プレーンAttack Surface Management
詳細を見る →
Security Hub
AWS Security Hub
AWS環境のセキュリティ検出結果やベストプラクティス準拠状況を集約して確認するサービス。
関連: Security BaselineCSPMGuardDuty
詳細を見る →
Security Patch
Security Patch
脆弱性やセキュリティ欠陥を修正するための更新プログラム。適用優先度と影響確認が重要になる。
関連: Patch ManagementKEVEPSS
詳細を見る →
Security Questionnaire
Security Questionnaire
取引先やSaaS提供者のセキュリティ体制を確認する質問票。統制、認証、ログ、データ保護、インシデント対応などを確認する。
関連: Vendor Due DiligenceCAIQSIG Questionnaire
詳細を見る →
security.txt
security.txt
Webサイトの脆弱性報告窓口やポリシーを、決まった場所と形式で公開するためのテキストファイル。
関連: Vulnerability DisclosurePSIRTContact Point
詳細を見る →
Segregation of Duties
Segregation of Duties
不正や誤操作を防ぐため、申請・承認・実行・監査などの役割を別々の人や権限に分ける統制。
関連: Four-Eyes PrinciplePAM監査ログ
詳細を見る →
Sensitive Personal Information
Sensitive Personal Information
個人情報のうち、漏えい・不正利用時の影響が特に大きい情報。健康、金融、認証、識別番号などが含まれる。
関連: PIIData ClassificationDLP
詳細を見る →
Service Account
Service Account
人ではなくアプリケーション、ジョブ、連携処理が利用するためのアカウント。
関連: IAMSecrets ManagementAccess Review
詳細を見る →
Service Mesh
Service Mesh
マイクロサービス間通信に、認証、暗号化、可観測性、ルーティング制御を追加するインフラ層。
関連: mTLSMicrosegmentationKubernetes Namespace
詳細を見る →
Service Principal
Service Principal
アプリケーションや自動処理がクラウド・SaaS APIへアクセスするために使う非人間ID。
関連: Non-Human IdentityClient Credentials FlowSecrets Rotation
詳細を見る →
Session Control
Session Control
サインイン後のセッション継続時間、再認証、ダウンロード制御、アプリ内制限などを管理するアクセス制御。
関連: Conditional AccessCASBRefresh Token
詳細を見る →
Session Fixation
Session Fixation
攻撃者が用意したセッションIDを利用者に使わせ、ログイン後のセッションを乗っ取る攻撃パターン。
関連: Session ManagementSession HijackingCookie
詳細を見る →
Session Hijacking
Session Hijacking
利用者のセッションIDやCookieを奪い、本人になりすましてサービスを利用する攻撃。
関連: Pass-the-CookieXSS中間者攻撃
詳細を見る →
Session Management
Session Management
ログイン状態を安全に発行、保存、更新、失効するための設計と運用。
関連: CookieHttpOnlySession Hijacking
詳細を見る →
Session Recording
Session Recording
特権操作やリモート保守作業の画面、コマンド、操作内容を記録し、監査やインシデント調査に使う機能。
関連: PAMPrivileged Session ManagementAudit Log
詳細を見る →
Session Revocation
Session Revocation
ログイン済みセッションを強制的に無効化し、以後のアクセスを止める対応。アカウント侵害、端末紛失、退職時に使う。
関連: Token RevocationSession HijackingAccount Takeover
詳細を見る →
Session Token
Session Token
ログイン後のセッションを識別し、継続的な認証状態を表すトークン。CookieやBearer Tokenとして扱われる。
関連: Session HijackingPass-the-Cookie多要素認証
詳細を見る →
Shadow Admin
Shadow Admin
明示的な管理者ロールではないが、権限委任や設定変更により実質的に管理者相当の操作ができるアカウント。
関連: PAMPrivileged Identity ManagementIdentity Attack Surface
詳細を見る →
Shadow AI
Shadow AI
組織の承認や管理外で、従業員や部門が生成AI、AIエージェント、LLMツールを業務利用している状態。
関連: AI Asset InventoryLLM Data LeakageModel Guardrails
詳細を見る →
Shadow IT
Shadow IT
組織の正式な承認や管理を受けずに、部門や個人が利用しているITサービスやツール。
関連: SaaSSSPMData Classification
詳細を見る →
Shared Account
Shared Account
複数人で同じ認証情報を使うアカウント。操作責任の追跡や退職時の失効が難しくなる。
関連: PAMAudit TrailBreak Glass Account
詳細を見る →
Shared Mailbox
Shared Mailbox
複数人で利用する問い合わせ窓口や部門代表用のメールボックス。権限・転送・監査の管理が重要になる。
関連: Mail Forwarding RuleAccess ReviewAudit Log
詳細を見る →
Shared Responsibility Matrix
Shared Responsibility Matrix
クラウドやSaaSで、利用者と提供者の責任範囲を項目別に整理した表。
関連: Shared Responsibility ModelVendor Risk ManagementCloud Security
詳細を見る →
Shared Responsibility Model
Shared Responsibility Model
クラウド事業者と利用者が、それぞれどの範囲のセキュリティ責任を持つかを分けて考えるモデル。
関連: CSPMCNAPPData Classification
詳細を見る →
SIEM
Security Information and Event Management
複数のセキュリティ製品からログを集約し、リアルタイム分析・相関分析・アラート生成を行うプラットフォーム。Splunk・Microsoft Sentinelなどが代表的。SOCの中核システム。
関連: SOCIDSインシデントレスポンス
詳細を見る →
SIEM Use Case
SIEM Use Case
SIEMで検知・監視したい具体的なシナリオ。対象ログ、条件、しきい値、対応手順を含めて設計する。
関連: SIEMDetection EngineeringUEBA Rule
詳細を見る →
SIG Questionnaire
Standardized Information Gathering Questionnaire
Shared Assessmentsが提供する第三者リスク評価向けの標準質問票。委託先のセキュリティ、プライバシー、BCPなどを確認する。
関連: Security QuestionnaireVendor Risk ManagementVendor Due Diligence
詳細を見る →
Sigma
Sigma
SIEM向けの検知ロジックをベンダー非依存の形式で記述するためのルール記述フォーマット。
関連: SIEMYARATTP
詳細を見る →
Sign-in Risk
Sign-in Risk
サインイン試行が不審である可能性を示すリスク評価。異常な場所、匿名化、漏えい資格情報などの兆候から判定される。
関連: User RiskConditional AccessImpossible Travel
詳細を見る →
Signal-to-Noise Ratio
Signal-to-Noise Ratio
検知や監視において、有用なシグナルが不要なノイズに対してどれだけ多いかを示す考え方。
関連: False PositiveFalse NegativeAlert FatigueDetection Engineering
詳細を見る →
Signed URL
Signed URL
期限や条件付き署名を含むURL。認証なしでも一時的にファイルやリソースへアクセスできるようにする。
関連: Resource-Based Policyアクセス制御Data Classification
詳細を見る →
Signing Secret
Signing Secret
Webhookやトークン、メッセージの署名検証に使う秘密値。送信元の正当性と改ざん有無を確認するために使われる。
関連: Webhook SecretDigital SignatureSecret Revocation
詳細を見る →
Sigstore
Sigstore
ソフトウェア成果物やコンテナイメージへ署名し、公開透明ログで検証可能にするためのオープンソースプロジェクト。
関連: CosignSLSAデジタル署名
詳細を見る →
SIMスワッピング
SIM Swapping
攻撃者が通信キャリアのサポートに被害者を騙って電話番号を自分のSIMカードに移管させる攻撃。SMS認証(2FA)を乗っ取り、銀行口座・暗号資産・SNSアカウントの乗っ取りに使われる。
関連: 多要素認証フィッシングソーシャルエンジニアリング
詳細を見る →
SLSA
Supply-chain Levels for Software Artifacts
ソフトウェア成果物のビルド、来歴、改ざん耐性を段階的に高めるためのサプライチェーンセキュリティフレームワーク。
関連: SBOMSigstoreCosign
詳細を見る →