1. 攻撃手法 (Attacks)
敵の手口を知ることは防御の基本です。
| No. | 用語 | 解説 |
| 1 | SQLインジェクション | DBへの命令文を改ざんし、データの不正操作・盗難を行う攻撃。 |
| 2 | クロスサイトスクリプティング (XSS) | 悪意あるスクリプトをWebに埋め込み、閲覧者のブラウザで実行させる。 |
| 3 | CSRF | ログイン中のユーザに、意図しない操作(送金等)を強制させる。 |
| 4 | OSコマンドインジェクション | 外部からサーバのOSコマンドを不正に実行させる。 |
| 5 | ディレクトリトラバーサル | パス指定の不備を突き、非公開ファイルへアクセスする。 |
| 6 | バッファオーバーフロー | メモリ領域の上限を超えてデータを送り、誤動作させる。 |
| 7 | セッションハイジャック | 正規ユーザのセッションIDを盗み、なりすます。 |
| 8 | DNSキャッシュポイズニング | DNSサーバに嘘の情報を覚えさせ、偽サイトへ誘導する。 |
| 9 | ドライブバイダウンロード | Web閲覧だけで、気付かぬうちにマルウェアをDLさせる。 |
| 10 | 水飲み場型攻撃 | 標的がよく使うサイトを改ざんし、待ち伏せして感染させる。 |
| 11 | ランサムウェア | データを暗号化して人質に取り、身代金を要求する。 |
| 12 | 標的型攻撃 (APT) | 特定の組織を狙い、長期間執拗に行われる攻撃。 |
| 13 | ゼロデイ攻撃 | 修正パッチが公開される前の脆弱性を突く攻撃。 |
| 14 | DoS / DDoS攻撃 | 大量の通信を送りつけ、サービスを停止させる。 |
| 15 | SYNフラッド攻撃 | TCP接続要求(SYN)だけを大量に送り、リソースを枯渇させる。 |
| 16 | Smurf攻撃 | ブロードキャストを利用し、大量の応答パケットを送りつける。 |
| 17 | スピアフィッシング | 特定個人・組織に向けた、巧妙な偽装メール攻撃。 |
| 18 | ビジネスメール詐欺 (BEC) | 取引先や経営層になりすまし、送金指示等を行う詐欺。 |
| 19 | ソーシャルエンジニアリング | 心理的な隙や行動のミスにつけ込み情報を盗む(非技術的手段)。 |
| 20 | ショルダーハッキング | パスワード入力などを後ろから盗み見る。 |
| 21 | スキャビンジング | ゴミ箱を漁り、重要情報を盗む(ゴミ箱あさり)。 |
| 22 | 辞書攻撃 | 辞書にある単語を片っ端から試すパスワード攻撃。 |
| 23 | ブルートフォース攻撃 | 考えられる全ての文字の組み合わせを試す(総当たり)。 |
| 24 | リバースブルートフォース | PWを固定し、IDの方を次々と変えて試す。 |
| 25 | パスワードリスト攻撃 | 流出したID/PWリストを使ってログインを試みる。 |
| 26 | レインボーテーブル攻撃 | ハッシュ値の換算表を使い、暗号を解読する。 |
| 27 | 中間者攻撃 (MitM) | 通信の間に割り込み、盗聴や改ざんを行う。 |
| 28 | リプレイ攻撃 | 盗聴した認証データを再送信して不正ログインする。 |
| 29 | サイドチャネル攻撃 | 処理時間や消費電力などの物理特性から鍵を推測する。 |
| 30 | タイミング攻撃 | 暗号処理にかかる時間の差異を計測して情報を盗む。 |
| 31 | 電力解析攻撃 | 暗号処理中の消費電力変動を解析する。 |
| 32 | テンペスト攻撃 | 機器から漏れる電磁波を受信して画面等を再現する。 |
| 33 | クリックジャッキング | 透明なボタン等を重ね、意図しないクリックを誘発する。 |
| 34 | キーロガー | キー入力を記録し、パスワード等を盗むツール。 |
| 35 | ルートキット | 侵入痕跡を隠蔽し、バックドアを維持するツールセット。 |
| 36 | バックドア | 次回から容易に侵入できるように設置する裏口。 |
| 37 | トロイの木馬 | 有用なソフトを装い侵入し、悪意ある動作をする(自己増殖なし)。 |
| 38 | ワーム | ネットワーク経由で自己増殖・感染拡大するマルウェア。 |
| 39 | ボット / ボットネット | 感染PCを遠隔操作可能な状態にし、攻撃者の手足とする網。 |
| 40 | C&Cサーバー | ボットネットに指令を出す司令塔サーバ。 |
| 41 | ファーミング | DNS設定を書き換え、正しいURLでも偽サイトへ誘導する。 |
| 42 | フィッシング | 金融機関等を装ったメールで偽サイトへ誘導し情報を盗む。 |
| 43 | ビッシング (Vishing) | 音声電話を使ったフィッシング詐欺。 |
| 44 | スミッシング (Smishing) | SMSを使ったフィッシング詐欺。 |
| 45 | タイポスクワッティング | 有名サイトと似たドメイン名(入力ミス狙い)で待ち受ける。 |
| 46 | サンドボックス回避 | 解析環境であることを検知し、動作を停止して検知を逃れる。 |
| 47 | ステガノグラフィ | 画像や音声データの中に秘密情報を埋め込んで隠す。 |
| 48 | 権限昇格 | 一般ユーザが脆弱性を利用して管理者権限等を取得する。 |
| 49 | ブルーボーン (BlueBorne) | Bluetoothの脆弱性を突き、ペアリングなしで乗っ取る。 |
| 50 | KRACKs | WPA2の暗号化鍵管理の脆弱性を突く攻撃。 |
| 51 | POODLE | SSL 3.0の脆弱性を突く攻撃。 |
| 52 | HEARTBLEED | OpenSSLのバグにより、メモリ内容が漏洩する脆弱性。 |
| 53 | Shellshock | Bashの環境変数処理に関する脆弱性。 |
| 54 | BadUSB | USB機器のファームウェアを書き換え、キーボード等になりすます。 |
| 55 | サプライチェーン攻撃 | ターゲットの取引先等を攻撃し、間接的に侵入する。 |
| 56 | 内部不正 | 組織内部の人間による情報の持ち出しや破壊。 |
| 57 | Emotet | メール経由で感染し、他のマルウェアを呼び込む強力なマルウェア。 |
| 58 | Mirai | IoT機器に感染し、大規模ボットネットを形成する。 |
| 59 | WannaCry | Windowsの脆弱性を利用し世界的に流行したランサムウェア。 |
| 60 | Stuxnet | イランの核施設を攻撃したとされる標的型攻撃マルウェア。 |
2. 暗号・認証 (Cryptography & Authentication)
通信の秘密と本人確認の技術です。
| No. | 用語 | 解説 |
| 61 | 共通鍵暗号方式 | 暗号化と復号に同じ鍵を使う。高速だが鍵配送が課題。 |
| 62 | 公開鍵暗号方式 | ペアになる異なる鍵(公開鍵・秘密鍵)を使う。 |
| 63 | ハイブリッド暗号方式 | 共通鍵でデータを、その共通鍵を公開鍵で暗号化する。 |
| 64 | AES | 現在の標準的な共通鍵暗号アルゴリズム。 |
| 65 | DES / 3DES | 古い共通鍵暗号。現在は非推奨。 |
| 66 | RSA | 素因数分解の困難性を利用した代表的な公開鍵暗号。 |
| 67 | 楕円曲線暗号 (ECC) | 短い鍵長で高い強度を持つ公開鍵暗号。 |
| 68 | ElGamal暗号 | 離散対数問題を利用した公開鍵暗号。 |
| 69 | 鍵配送問題 | 共通鍵をどうやって安全に相手に渡すかという課題。 |
| 70 | DH鍵交換 | 盗聴されていても安全に共通鍵を共有できる手法。 |
| 71 | ECDH | 楕円曲線を用いたDH鍵交換。 |
| 72 | ハッシュ関数 | データから固定長の文字列(ハッシュ値)を生成する。 |
| 73 | SHA-256 / SHA-3 | 安全性の高いハッシュ関数規格。 |
| 74 | MD5 | 古いハッシュ関数。衝突耐性が破られており非推奨。 |
| 75 | MAC (メッセージ認証コード) | メッセージの改ざん検知と送信者の真正性を確認する。 |
| 76 | HMAC | ハッシュ関数を用いたMAC。 |
| 77 | デジタル署名 | データ作成者が本人であることと改ざんがないことを証明する。 |
| 78 | 電子証明書 | 公開鍵が本人のものであることを証明するデータ。 |
| 79 | PKI (公開鍵基盤) | 公開鍵の正当性を保証する仕組みの総称。 |
| 80 | CA (認証局) | 電子証明書を発行する機関。 |
| 81 | RA (登録局) | 本人確認を行い、CAに発行申請を取り次ぐ機関。 |
| 82 | VA (検証局) | 証明書の有効性を確認するための機関。 |
| 83 | CRL (証明書失効リスト) | 有効期限内だが無効化された証明書のリスト。 |
| 84 | OCSP | 証明書の有効性をリアルタイムで問い合わせるプロトコル。 |
| 85 | ルート証明書 | 最上位の認証局の証明書。自己署名されている。 |
| 86 | 中間証明書 | ルートCAとエンドエンティティの間に入るCAの証明書。 |
| 87 | X.509 | 電子証明書の標準フォーマット。 |
| 88 | 暗号学的ハッシュ関数 | セキュリティ用途に適したハッシュ関数。 |
| 89 | 衝突困難性 | 同じハッシュ値になる異なるデータを見つけるのが困難な性質。 |
| 90 | 原像計算困難性 | ハッシュ値から元のデータを復元するのが困難な性質。 |
| 91 | 真正性 | 本人または本物であることを確実にする性質。 |
| 92 | 否認防止 | 後になって「やっていない」と言わせない仕組み。 |
| 93 | ワンタイムパスワード (OTP) | 一回限り有効な使い捨てパスワード。 |
| 94 | マトリクス認証 | 表の中の位置と順番などでパスワードを指定する。 |
| 95 | チャレンジレスポンス | サーバからの値を計算して返し、PWそのものを流さない。 |
| 96 | バイオメトリクス認証 | 指紋、顔、静脈などの生体情報を使った認証。 |
| 97 | FRR (本人拒否率) | 本人を誤って他人と判定してしまう確率。 |
| 98 | FAR (他人受入率) | 他人を誤って本人と判定してしまう確率(危険)。 |
| 99 | 多要素認証 (MFA) | 知識、所有、生体の3要素のうち2つ以上を組み合わせる。 |
| 100 | 二段階認証 | 認証を2回行うこと(要素が同じなら多要素ではない)。 |
| 101 | FIDO | パスワードを使わず、生体認証などを利用する標準規格。 |
| 102 | WebAuthn | WebブラウザでFIDO認証を行うためのAPI。 |
| 103 | シングルサインオン (SSO) | 一度の認証で複数のシステムを利用可能にする。 |
| 104 | Kerberos認証 | チケットを用いたSSOの認証方式。AD等で採用。 |
| 105 | SAML | 異なるドメイン間で認証情報を連携するXMLベースの規格。 |
| 106 | OAuth 2.0 | 権限(リソースへのアクセス権)を認可するための枠組み。 |
| 107 | OpenID Connect (OIDC) | OAuth 2.0を拡張し、認証(ID連携)を行えるようにしたもの。 |
| 108 | RADIUS | ネットワーク認証利用のプロトコル(無線LAN/VPN等)。 |
| 109 | EAP | 認証プロトコルを運ぶための枠組み。 |
| 110 | EAP-TLS | クライアント・サーバ双方が証明書を使う最強固なEAP。 |
| 111 | EAP-PEAP | サーバ証明書のみ使用、クライアントはID/PWで認証。 |
| 112 | 802.1X認証 | LAN接続時に認証を行う規格。 |
| 113 | CAPTCHA | 人間と機械を区別するテスト(歪んだ文字入力など)。 |
| 114 | リスクベース認証 | 普段と異なる環境からのアクセス時のみ追加認証を求める。 |
| 115 | ソルト (Salt) | PWハッシュ化時に混ぜるランダム文字列(レインボーテーブル対策)。 |
| 116 | ストレッチング | ハッシュ化を数千回繰り返し解析を困難にする。 |
| 117 | 鍵管理 | 暗号鍵の生成から廃棄までを安全に管理すること。 |
| 118 | 耐タンパ性 | 内部情報の解析や改ざんに対する物理的な強さ。 |
| 119 | TPM | PC等に搭載されるセキュリティチップ。鍵保管などを行う。 |
| 120 | HSM (Hardware Security Module) | 暗号処理や鍵管理専用の高性能ハードウェア。 |
3. ネットワーク・防御技術 (Network & Defense)
侵入防止と検知の技術群です。
| No. | 用語 | 解説 |
| 121 | ファイアウォール (FW) | IPとポート番号で通信を許可/拒否する壁。 |
| 122 | ステートフルインスペクション | 通信の状態を記憶し、戻りのパケットを自動許可する。 |
| 123 | アプリケーションゲートウェイ | アプリ層で中継・検査するFW(プロキシ型)。 |
| 124 | パケットフィルタリング | ヘッダ情報だけで通過可否を決める単純な方式。 |
| 125 | WAF | Webアプリへの攻撃(SQLi等)を防ぐ専用FW。 |
| 126 | IDS (Intrusion Detection) | 不正侵入検知システム。管理者に通知する。 |
| 127 | IPS (Intrusion Prevention) | 不正侵入防御システム。検知して遮断する。 |
| 128 | UTM | FW、IDS/IPS、アンチウイルス等を1台に統合した機器。 |
| 129 | NGFW | アプリ識別などが可能な次世代ファイアウォール。 |
| 130 | DMZ | 外部と内部の中間に置かれる緩衝地帯。Webサーバ等を置く。 |
| 131 | プロキシサーバー | クライアントの代理でWebアクセスを行うサーバ。 |
| 132 | リバースプロキシ | Webサーバの前段に置き、負荷分散や保護を行う。 |
| 133 | VPN | ネット上に仮想的な専用線を構築する技術。 |
| 134 | IPsec | IP層(L3)で暗号化するプロトコル。拠点間VPN等。 |
| 135 | IKE | IPsecで使う鍵交換プロトコル。 |
| 136 | AH | IPsecのパケット改ざん検知ヘッダ(暗号化なし)。 |
| 137 | ESP | IPsecのペイロード暗号化プロトコル。 |
| 138 | トンネル/トランスポートモード | パケット全体をカプセル化(拠点間) / データのみ(端末間)。 |
| 139 | SSL / TLS | 通信経路上のデータを暗号化する。現在はTLSが標準。 |
| 140 | SSL-VPN | ブラウザ(SSL/TLS)を使ってVPN接続する方式。 |
| 141 | HTTPS | HTTP通信をSSL/TLSで暗号化したもの。 |
| 142 | SSH | リモート操作を安全に行うプロトコル。Telnetの代替。 |
| 143 | SFTP | SSH上で安全にファイル転送するプロトコル。 |
| 144 | S/MIME | 電子メールの暗号化と署名を行う規格。 |
| 145 | PGP / GPG | メールやファイルの暗号化ソフト。信頼の輪モデル。 |
| 146 | DKIM | 電子署名で送信元メールサーバの正当性を検証する。 |
| 147 | SPF | DNSに送信元IPを登録し、なりすましを防ぐ。 |
| 148 | DMARC | SPF/DKIM認証失敗時のメールの扱いを定める規定。 |
| 149 | SMTP-AUTH | メール送信時にユーザ認証を行う仕組み。 |
| 150 | POP3S / IMAP4S | メール受信をSSL/TLSで暗号化すること。 |
| 151 | OP25B | 25番ポートをブロックしスパム送信を防ぐ対策。 |
| 152 | DNSSEC | DNS応答の正当性をデジタル署名で検証する。 |
| 153 | DNSシンクホール | 悪性ドメインへの通信を偽IPに誘導しアクセスを防ぐ。 |
| 154 | ハニーポット | 攻撃者を誘い込んで手法を分析するおとりシステム。 |
| 155 | サンドボックス | 隔離環境でプログラムを実行し振る舞いを検査する。 |
| 156 | SIEM | 複数機器のログを集約・分析し異常を検知する。 |
| 157 | SOC | セキュリティ監視・対応を行う専門組織。 |
| 158 | CSIRT | インシデント発生時の対応チーム。 |
| 159 | EDR | 端末(エンドポイント)の挙動を監視し対応を支援する。 |
| 160 | NAPP | ネットワークアクセス保護プラットフォーム。 |
| 161 | CASB | クラウドサービスの利用状況を可視化・制御する。 |
| 162 | CDR | ファイルを無害化(マクロ除去等)して再構成する。 |
| 163 | DLP | 機密情報の外部持ち出しを検知・ブロックする。 |
| 164 | MDM | モバイル端末自体を管理(ロック、ワイプ等)する。 |
| 165 | MAM | 業務アプリとそのデータのみを管理する。 |
| 166 | MCM | 業務で使用するコンテンツ(ファイル)を管理する。 |
| 167 | BYOD | 個人所有の端末を業務に利用すること。 |
| 168 | シャドーIT | 会社許可外の端末やサービスを従業員が勝手に使うこと。 |
| 169 | ゼロトラスト | 「何も信頼しない」前提で都度確認を行うモデル。 |
| 170 | SASE | ネットワークとセキュリティをクラウドで統合提供する概念。 |
| 171 | SWG | クラウド型プロキシ。Webセキュリティを一括提供。 |
| 172 | SDP | ソフトで境界を定義し、認証済みユーザのみ接続させる。 |
| 173 | マイクロセグメンテーション | ネットワークを細かく分割し被害拡散を防ぐ。 |
| 174 | コンテナセキュリティ | Dockerなどコンテナ環境特有の対策。 |
| 175 | Kubernetes | コンテナの運用管理(オーケストレーション)ツール。 |
| 176 | 脆弱性スキャナ | システムの既知の脆弱性を自動検査するツール。 |
| 177 | ペネトレーションテスト | 実際に攻撃を仕掛けて弱点を探す侵入テスト。 |
| 178 | バグバウンティ | 脆弱性を発見した際の報奨金制度。 |
| 179 | ファジング | 予測不能データを入力しバグや脆弱性を探すテスト。 |
| 180 | ログ管理 | ログの収集・保管・分析を行うこと。 |
| 181 | トレースログ | 処理の流れやデバッグ情報を記録したログ。 |
| 182 | 監査ログ | 「いつ誰が何をしたか」を証明するためのログ。 |
| 183 | ACL | アクセス制御リスト。パケットやファイルの権限設定。 |
| 184 | VLAN | 物理配線に依存せず論理的にネットワークを分割する。 |
| 185 | SDN | ソフトウェアでネットワーク構成を動的に制御する。 |
| 186 | NFV | ネットワーク機器機能を汎用サーバ上のソフトで実現する。 |
| 187 | オーバーレイネットワーク | 物理網の上に論理的なネットワークを重ねる構成。 |
| 188 | NAT / NAPT | グローバルIPとプライベートIPを変換する技術。 |
| 189 | ポートスキャン | 開いているポート(サービスの入口)を探る行為。 |
| 190 | IPスプーフィング | 送信元IPアドレスを偽装すること。 |
| 191 | ARPスプーフィング | ARPテーブルを改ざんし通信を盗聴する攻撃。 |
| 192 | MACアドレスフィルタリング | 登録機器のみ接続許可する(容易に突破可能)。 |
| 193 | ANY接続拒否 | SSID空欄の接続要求を拒否する設定。 |
| 194 | ステルスSSID | SSIDを一覧に表示させない設定。 |
| 195 | WPA2 / WPA3 | Wi-Fiセキュリティ規格。WPA3が最新。 |
| 196 | CCMP / GCMP | WPA2/WPA3で使われる強力な暗号化プロトコル。 |
| 197 | SAE | WPA3の鍵交換方式。辞書攻撃に強い。 |
| 198 | WPS | ボタン一つでWi-Fi設定可能な機能(脆弱性あり)。 |
| 199 | 公衆無線LAN | カフェ等で提供されるWi-Fi。盗聴リスクがある。 |
| 200 | 悪魔の双子 | 正規Wi-Fiと同じSSIDを持つ偽アクセスポイント。 |
4. マネジメント・法規・規格 (Management, Legal & Standards)
組織運営とルールに関する用語です。
| No. | 用語 | 解説 |
| 201 | ISMS | 組織として情報セキュリティを管理する仕組み。 |
| 202 | JIS Q 27000 | ISMSに関する用語定義などの規格群。 |
| 203 | 機密性 (Confidentiality) | 許可された人だけがアクセスできること。 |
| 204 | 完全性 (Integrity) | 情報が正確で改ざんされていないこと。 |
| 205 | 可用性 (Availability) | 必要な時に使えること。(CIAの3要素) |
| 206 | 真正性 | 本人・本物であること。 |
| 207 | 責任追跡性 | 誰の行動か追跡できること。 |
| 208 | 否認防止 | 行動を否定させないこと。 |
| 209 | 信頼性 | システムが意図通り動作すること。 |
| 210 | リスクアセスメント | リスク特定・分析・評価の一連のプロセス。 |
| 211 | リスク特定 | どんなリスクがあるか洗い出す。 |
| 212 | リスク分析 | リスクの発生確率や影響度を算定する。 |
| 213 | リスク評価 | 許容できるか判定し優先順位をつける。 |
| 214 | リスク対応 | 評価結果に基づき対策を決める。 |
| 215 | リスク回避 | 原因となる活動自体をやめる(Web公開中止等)。 |
| 216 | リスク低減 | 対策して発生確率や被害を減らす(暗号化、FW等)。 |
| 217 | リスク移転 | 保険や外部委託などで他者にリスクを転嫁する。 |
| 218 | リスク保有 | リスクを受容し監視する(対策コストが見合わない等)。 |
| 219 | 情報セキュリティポリシー | 組織のセキュリティに対する方針や規定。 |
| 220 | 基本方針/対策基準/実施手順 | ポリシーの階層構造。 |
| 221 | ISMS適合性評価制度 | 第三者がISMS適合性を審査・認証する制度。 |
| 222 | PDCAサイクル | Plan, Do, Check, Actを繰り返し改善する手法。 |
| 223 | BCP (事業継続計画) | 災害時などに事業を止めない・早期復旧する計画。 |
| 224 | BCM | BCPを維持管理・改善する活動。 |
| 225 | RPO | 目標復旧時点(どの時点のデータまで戻すか)。 |
| 226 | RTO | 目標復旧時間(いつまでに復旧させるか)。 |
| 227 | RLO | 目標復旧レベル(どの程度のサービスレベルで再開するか)。 |
| 228 | MTPD | 最大許容停止時間。 |
| 229 | サイバーセキュリティ基本法 | 国の施策の基本理念を定めた法律。 |
| 230 | 個人情報保護法 | 個人情報の取り扱いルールを定めた法律。 |
| 231 | マイナンバー法 | マイナンバーの厳格な取り扱いを定めた法律。 |
| 232 | 不正アクセス禁止法 | ID/PW不正利用などを処罰する法律。 |
| 233 | 刑法 | ウイルス作成・保管罪などが規定されている。 |
| 234 | プロバイダ責任制限法 | ネット上の権利侵害時の責任範囲や情報開示に関する法律。 |
| 235 | 電子署名法 | 電子署名に手書き署名と同等の効力を認める法律。 |
| 236 | 外為法 | 暗号技術などの輸出規制に関する法律。 |
| 237 | 著作権法 | プログラムやDBの著作権保護など。 |
| 238 | 不正競争防止法 | 営業秘密の侵害などを規制する法律。 |
| 239 | GDPR | EUの一般データ保護規則。厳しい罰則がある。 |
| 240 | CCPA | カリフォルニア州消費者プライバシー法。 |
| 241 | PCI DSS | クレジットカード業界のセキュリティ基準。 |
| 242 | ISO/IEC 15408 | IT製品のセキュリティ機能を評価・認証する国際規格。 |
| 243 | ISO/IEC 19790 | 暗号モジュールのセキュリティ要件規格。 |
| 244 | JIS Q 15001 | プライバシーマーク(Pマーク)の基準規格。 |
| 245 | NIST SP800シリーズ | 米国NISTが発行するセキュリティガイドライン。 |
| 246 | NIST SP800-171 | 防衛産業などが守るべきセキュリティ要件。 |
| 247 | NIST CSF | サイバーセキュリティフレームワーク。 |
| 248 | IPA | 情報処理推進機構。試験実施、セキュリティ情報ハブ。 |
| 249 | JPCERT/CC | 日本のCSIRT調整役。インシデント情報収集・発信。 |
| 250 | JVN | 日本の脆弱性情報ポータルサイト。 |
| 251 | CVE | 脆弱性に付与される世界共通の識別子(ID)。 |
| 252 | CVSS | 脆弱性の深刻度を数値化する共通基準。 |
| 253 | CWE | 脆弱性の種類を分類したリスト。 |
| 254 | CPE | ハードウェアやアプリを識別するための共通名称仕様。 |
| 255 | MyJVN | PCのソフトバージョンが最新かチェックできるツール。 |
| 256 | 10大脅威 | IPAが毎年発表する脅威ランキング。 |
| 257 | システム監査 | システムのリスクや管理を独立した立場で評価する。 |
| 258 | 監査証跡 | 監査の結論を裏付ける証拠(ログや記録)。 |
| 259 | 監査調書 | 監査人が経過や結果を記録した書類。 |
| 260 | SLA | サービスレベル合意書。品質保証の契約。 |
5. 開発・運用・その他 (DevOps & Others)
開発手法、新技術、概念など。
| No. | 用語 | 解説 |
| 261 | セキュアコーディング | 脆弱性を作り込まない安全なプログラミング。 |
| 262 | 入力値バリデーション | 入力データが仕様通りかチェックすること。 |
| 263 | プリペアードステートメント | SQLひな型を使いSQLiを防ぐ(静的プレースホルダ)。 |
| 264 | エスケープ処理 | 特殊文字を無害な文字に変換すること。 |
| 265 | サニタイジング | 危険な文字やタグを除去・無害化すること。 |
| 266 | WAFによる防御 | アプリ改修困難時の緩和策として有効。 |
| 267 | バージョン管理 | Gitなどでソースコードの変更履歴を管理する。 |
| 268 | 構成管理 | システムの構成要素(HW/SW/設定)を管理する。 |
| 269 | 変更管理 | システム変更時の影響評価や承認を管理する。 |
| 270 | インシデント管理 | 障害発生時に迅速にサービスを復旧させる。 |
| 271 | 問題管理 | インシデントの根本原因を究明し再発を防ぐ。 |
| 272 | リリース管理 | 本番環境への変更展開を管理する。 |
| 273 | DevOps | 開発と運用が連携し迅速に開発する手法。 |
| 274 | DevSecOps | DevOpsにセキュリティを組み込み初期から対策する。 |
| 275 | CI/CD | テストやリリースを自動化する(継続的統合/配信)。 |
| 276 | イミュータブルインフラ | サーバを変更せず、変更時は丸ごと作り直す運用。 |
| 277 | IaC | インフラ構成をコードで記述・管理すること。 |
| 278 | マイクロサービス | アプリを小さなサービスの集合体として作る設計。 |
| 279 | APIエコノミー | API公開により他社と連携し価値を生む経済圏。 |
| 280 | REST API | Web技術を用いた標準的なAPI設計スタイル。 |
| 281 | SOAP | XMLを用いたメッセージ交換プロトコル。 |
| 282 | GraphQL | クライアントが必要なデータを指定取得できるAPI言語。 |
| 283 | JWT | JSON形式で署名付きデータをやり取りするトークン。 |
| 284 | JOSE | JSONデータの暗号化や署名に関する規格群。 |
| 285 | ブロックチェーン | 取引履歴を鎖状につなぎ改ざん困難にした分散台帳。 |
| 286 | スマートコントラクト | ブロックチェーン上で契約を自動実行する。 |
| 287 | DApps | ブロックチェーンを用いた分散型アプリケーション。 |
| 288 | AIセキュリティ | AI自体の保護や、AIの悪用への対策。 |
| 289 | Adversarial Example | AIにノイズ画像を誤認識させる攻撃。 |
| 290 | データポイズニング | AI学習データに悪意あるデータを混ぜ誤学習させる。 |
| 291 | モデルインバージョン | AI出力から学習に使った個人情報等を復元する。 |
| 292 | プライバシー保護DM | プライバシーを守りつつデータを分析する技術。 |
| 293 | k-匿名化 | 特定個人が識別されないようデータを加工する。 |
| 294 | 差分プライバシー | ノイズを加え個人特定を防ぎつつ統計的正確さを保つ。 |
| 295 | 秘密計算 | データを暗号化したまま計算処理を行う技術。 |
| 296 | 同型暗号 | 暗号化したまま加算や乗算ができる暗号方式。 |
| 297 | 量子コンピュータ | 現在の暗号を解読する恐れがある次世代コンピュータ。 |
| 298 | PQC | 量子コンピュータでも解読困難な耐量子計算機暗号。 |
| 299 | ダークウェブ | 特殊ソフトでのみアクセスできる匿名性の高いWeb。 |
| 300 | Tor | 通信経路を匿名化する技術・ブラウザ。 |
| 301 | CTI | 脅威情報を分析し対策に活かす(脅威インテリジェンス)。 |
| 302 | OSINT | 公開情報から情報を収集・分析すること。 |
| 303 | TTPs | 攻撃者の戦術・技術・手順。 |
| 304 | IoC | 侵害指標(IP、ハッシュ値など)。攻撃の痕跡。 |
| 305 | STIX | 脅威情報を記述するための標準フォーマット。 |
| 306 | TAXII | STIX形式の情報を交換するためのプロトコル。 |
| 307 | SCAP | セキュリティ設定共通化手順。自動化規格群。 |
| 308 | OVAL | セキュリティ検査言語。 |
| 309 | XCCDF | セキュリティ設定チェックリスト記述形式。 |
| 310 | CAPEC | 一般的な攻撃パターンの辞書。 |
| 311 | ATT&CK | 攻撃者の戦術と技術を体系化したマトリクス。 |
| 312 | Cyber Kill Chain | 攻撃プロセスを偵察から実行まで段階化したモデル。 |
| 313 | ダイヤモンドモデル | 攻撃者、被害者、インフラ、能力の4要素で分析。 |
| 314 | フォレンジック | 法的証拠を見つけるための鑑識・調査。 |
| 315 | デジタルフォレンジック | 電子機器に対する鑑識。 |
| 316 | ネットワークフォレンジック | 通信パケットの記録・解析。 |
| 317 | メモリフォレンジック | メモリ上のデータ(揮発性情報)の解析。 |
| 318 | ディスクフォレンジック | HDDなどのストレージ解析。 |
| 319 | 揮発性データ | 電源を切ると消えるデータ。保全優先度が高い。 |
| 320 | タイムライン解析 | ファイル更新日時等を時系列に並べて分析する。 |
| 321 | アーティファクト | OSやアプリが残す痕跡(ログ、履歴など)。 |
| 322 | コールドブート攻撃 | 電源OFF直後のメモリ残留データを読み取る攻撃。 |
| 323 | アンチフォレンジック | 証拠隠滅や解析妨害を行うこと。 |
| 324 | チェーンオブカストディ | 証拠が汚染されていないことを証明する管理の連鎖。 |
| 325 | レジストリ解析 | Windowsの設定情報を解析する。 |
| 326 | イベントログ解析 | システムログを解析する。 |
| 327 | スーパーバイザモード | 特権モード。OSカーネルなどが動作。 |
| 328 | TEE | プロセッサ内の安全な実行環境。 |
| 329 | SGX | Intel CPUのTEE機能。 |
| 330 | TrustZone | ARMプロセッサのTEE機能。 |
| 331 | セキュアブート | 起動時にOS等の署名を検証し改ざんを確認する。 |
| 332 | メジャー/マイナーVer UP | 大規模/小規模な更新。 |
| 333 | パッチ適用 | 修正プログラムを当てること。 |
| 334 | ロールバック | 更新前の状態に戻すこと。 |
| 335 | ホット/コールドスタンバイ | 即座に切替可能/起動が必要な予備機。 |
| 336 | クラスタリング | 複数台を連携させ1つのシステムとして動かす。 |
| 337 | ロードバランサ | 負荷分散装置。 |
| 338 | レプリケーション | データの複製をリアルタイムに作成する。 |
| 339 | ミラーリング (RAID 1) | 同じデータを2台に書き込む。 |
| 340 | ストライピング (RAID 0) | データを分散書き込みし高速化(冗長性なし)。 |
| 341 | パリティ (RAID 5) | 誤り訂正符号を分散記録し1台故障まで耐える。 |
| 342 | スナップショット | ある時点のシステム状態を丸ごと保存したもの。 |
| 343 | バックアップ | フル(全量)、差分(前回フルから)、増分(前回から)。 |
| 344 | アーカイブ | 長期保存のためにデータを保管すること。 |
| 345 | デデュープ | 重複データを排除し容量を節約する技術。 |
| 346 | 仮想化 | 1台の物理マシン上で複数の仮想マシンを動かす。 |
| 347 | ライブマイグレーション | 稼働中のVMを別の物理サーバに移動させる。 |
| 348 | VDI | 画面転送型デスクトップ仮想化。データが残らない。 |
| 349 | シンクライアント | 処理をサーバに任せ機能を最小限にした端末。 |
| 350 | DaaS | クラウドからデスクトップ環境を提供するサービス。 |
| 351 | IaaS/PaaS/SaaS | インフラ/基盤/ソフトを提供するクラウド形態。 |
| 352 | 責任共有モデル | クラウド事業者と利用者の責任範囲の分界点。 |
| 353 | マルチテナント | 1つのシステムを複数企業で共有する方式。 |
| 354 | シングルテナント | 1つのシステムを1社で専有する方式。 |
| 355 | インターネット分離 | 業務PCとWeb閲覧用環境を分けること。 |
| 356 | 無害化 | 添付ファイル等を安全な形式に変換・除去すること。 |
| 357 | マクロウイルス | Officeのマクロ機能を悪用したウイルス。 |
| 358 | ファイルレスマルウェア | ファイルを作らずメモリ上だけで動作する攻撃。 |
| 359 | LotL攻撃 | OS標準ツール(PowerShell等)を悪用する攻撃。 |
| 360 | PowerShell | Windowsの強力なシェル。攻撃によく使われる。 |
| 361 | WMI | Windows管理の仕組み。これも攻撃に使われる。 |
| 362 | RDP | リモートデスクトッププロトコル。 |
| 363 | VNC | リモート操作ソフト・プロトコル。 |
| 364 | Telnet | 暗号化されないリモート操作プロトコル(非推奨)。 |
| 365 | FTP | 暗号化されないファイル転送プロトコル(非推奨)。 |
| 366 | HTTP/2, HTTP/3 | Web通信の高速化・効率化を図った新バージョン。 |
| 367 | QUIC | UDPベースの高速・セキュアな通信(HTTP/3)。 |
| 368 | DoH | HTTPS上でDNS問い合わせを行う(盗聴防止)。 |
| 369 | DoT | TLS上でDNS問い合わせを行う。 |
| 370 | ESNI / ECH | TLS通信のハンドシェイクも暗号化する技術。 |
| 371 | HSTS | ブラウザに次回から必ずHTTPS接続するよう指示する。 |
| 372 | HPKP | 公開鍵のピン止め(運用難易度高く廃止傾向)。 |
| 373 | CSP | 読込可能なリソースを制限しXSS等を防ぐヘッダ。 |
| 374 | CORS | 異なるドメイン間のリソースアクセスを制御する。 |
| 375 | SOP (同一生成元ポリシー) | 異なるドメインへのアクセスを制限する原則。 |
| 376 | Cookie属性 | Secure(HTTPSのみ), HttpOnly(JS禁止), SameSite(CSRF)。 |
| 377 | セッションID | ユーザのログイン状態を識別するID。 |
| 378 | トークン | 一時的な認証・認可の証。 |
| 379 | リフレッシュトークン | アクセストークンを再発行するためのトークン。 |
| 380 | アクセストークン | APIなどを利用するための許可証。 |
| 381 | IDトークン | ユーザの属性情報が含まれたトークン(OIDC)。 |
| 382 | クラウドネイティブ | クラウド運用を前提に設計されたシステム。 |
| 383 | サーバレス | サーバ管理不要でコードを実行できる環境。 |
| 384 | FaaS | 機能単位でコードを実行するサービス(Lambda等)。 |
| 385 | エッジコンピューティング | 端末に近い場所で処理し遅延を減らす。 |
| 386 | フォグコンピューティング | クラウドとエッジの中間層で分散処理する。 |
| 387 | IoT | モノのインターネット。セキュリティが課題。 |
| 388 | IoTセキュリティガイドライン | 総務省などが定める指針。 |
| 389 | OT | 工場などの制御技術。ITとの融合が進む。 |
| 390 | ICS | 産業用制御システム。 |
| 391 | SCADA | インフラ監視制御システム。 |
| 392 | PLC | 機械制御のための装置(シーケンサ)。 |
| 393 | 制御システムセキュリティ | 可用性が最優先される特徴がある。 |
| 394 | 重要インフラ | 電力、水道、金融など生活に不可欠なシステム。 |
| 395 | CPS | サイバー空間と実世界を融合したシステム。 |
| 396 | Society 5.0 | 日本が提唱する未来社会の姿。 |
| 397 | DX | デジタル技術による変革。 |
| 398 | UX | ユーザー体験。 |
| 399 | UI | ユーザーインターフェース。 |
| 400 | アクセシビリティ | 誰でも使えること。 |
6. さらに詳細な技術・概念 (Advanced)
午後問題の記述や最新トピック対策。
| No. | 用語 | 解説 |
| 401 | バッファオーバーラン | バッファオーバーフローと同義。 |
| 402 | ヒープスプレー | ヒープ領域に攻撃コードを敷き詰める手法。 |
| 403 | ROP | メモリ上の既存コード断片をつなぎ合わせて攻撃する。 |
| 404 | ASLR | メモリ配置をランダム化し攻撃を困難にする。 |
| 405 | DEP | データ領域でのプログラム実行を禁止する。 |
| 406 | スタックカナリア | スタック領域の改ざんを検知するための「値」。 |
| 407 | W^X | 書き込み可能なら実行不可、実行可能なら書き込み不可。 |
| 408 | コード署名 | 配布元を証明し改ざん検知する署名。 |
| 409 | ルートオブトラスト (RoT) | セキュリティの信頼の基点(TPMなど)。 |
| 410 | ホワイトリスト | 許可リスト。それ以外は拒否。 |
| 411 | フィルタリング | 条件に合うものを通す/通さない選別。 |
| 412 | ブロッキング | アクセスを遮断すること。 |
| 413 | スロットリング | 通信帯域や処理回数を制限すること。 |
| 414 | レート制限 | 一定時間のアクセス数を制限すること。 |
| 415 | サーキットブレーカー | 障害時に共倒れしないよう接続を遮断する仕組み。 |
| 416 | フォールバック | 障害時に代替手段(低機能版など)に切り替える。 |
| 417 | フェイルセーフ | 故障時に「安全な状態」で停止すること。 |
| 418 | フェイルソフト | 故障時に機能を縮小してでも継続すること。 |
| 419 | フールプルーフ | 誤操作しても危険な状態にならない設計。 |
| 420 | フォールトトレランス | 一部故障でもシステム全体は停止しない設計。 |
| 421 | 高可用性 (HA) | 滅多に停止しないこと。 |
| 422 | 単一障害点 (SPOF) | そこが壊れると全部止まってしまう弱点。 |
| 423 | 冗長化 | 予備を用意して二重化すること。 |
| 424 | 負荷分散 | アクセスを複数台に振り分けること。 |
| 425 | スケーラビリティ | システムの規模を変更できる能力。 |
| 426 | 弾力性 (Elasticity) | 負荷に応じてリソースを伸縮させる能力。 |
| 427 | インテグリティ | 完全性。 |
| 428 | アカウンタビリティ | 説明責任、追跡可能性。 |
| 429 | オサビリティ | 著作者性。 |
| 430 | プライバシーバイデザイン | 企画段階からプライバシー保護を組み込む考え方。 |
| 431 | セキュリティバイデザイン | 企画段階からセキュリティを組み込む考え方。 |
| 432 | シフトレフト | テストや対策を工程の前流(左側)に寄せること。 |
| 433 | カオスエンジニアリング | わざと障害を起こして耐性を確認する手法。 |
| 434 | レッドチーム | 攻撃者役として侵入を試みるチーム。 |
| 435 | ブルーチーム | 防御者役として監視・対処するチーム。 |
| 436 | パープルチーム | 両者の連携を強化する立ち位置。 |
| 437 | ホワイトハッカー | 善意のハッカー(セキュリティ技術者)。 |
| 438 | ブラックハットハッカー | 悪意のあるハッカー。 |
| 439 | グレイハットハッカー | 違法行為もするが善意もある中間の存在。 |
| 440 | スクリプトキディ | 既存ツールを使って攻撃する未熟な攻撃者。 |
| 441 | ハクティビスト | 政治的・社会的動機で攻撃するハッカー。 |
| 442 | クラッカー | 悪意を持って破壊・侵入する人。 |
| 443 | インサイダー | 内部関係者。 |
| 444 | 内部告発 | 内部の不正を外部に通報すること。 |
| 445 | 公益通報者保護法 | 内部告発者を守る法律。 |
| 446 | デジタルタトゥー | ネット上に残った消えない悪評や個人情報。 |
| 447 | 忘れられる権利 | 過去の情報を検索結果などから削除させる権利。 |
| 448 | オプトイン | 事前に同意を得ること。 |
| 449 | クッキー規制 | プライバシー保護のためのCookie利用制限。 |
| 450 | サードパーティCookie | 訪問先以外のドメインから発行されるCookie。 |
| 451 | ファーストパーティCookie | 訪問先ドメインから発行されるCookie。 |
| 452 | ビーコン | 埋め込み画像等でアクセスを計測する技術。 |
| 453 | フィンガープリンティング | 端末情報から個体を識別する追跡技術。 |
| 454 | トラッキング | ユーザの行動を追跡すること。 |
| 455 | ターゲティング広告 | 興味関心に合わせた広告。 |
| 456 | アドフラウド | 広告不正。ボットなどでクリック数を水増しする。 |
| 457 | クリックファーム | 大量の人員や端末でクリックを行う業者。 |
| 458 | SEOポイズニング | 検索上位に悪意あるサイトを表示させる手口。 |
| 459 | ランディングページ | 広告などから最初に着地するページ。 |
| 460 | ダークパターン | ユーザを不利な選択に誘導する悪質なUI。 |
| 461 | ディープフェイク | AIで作られた偽の動画や音声。 |
| 462 | 生成AI | コンテンツを作り出すAI(ChatGPTなど)。 |
| 463 | LLM | 大規模言語モデル。 |
| 464 | プロンプトインジェクション | AIへの指示文に特殊命令を混ぜ意図外動作をさせる。 |
| 465 | ハルシネーション | AIがもっともらしい嘘をつく現象。 |
| 466 | GAN | 偽物を作るAIと見破るAIを競わせる技術。 |
| 467 | 連合学習 (Federated) | データを集めず各端末の学習結果だけを集約する。 |
| 468 | XAI | 説明可能なAI。判断根拠を示す。 |
| 469 | アルゴリズムバイアス | AIの判断が偏見を含むこと。 |
| 470 | 倫理ガイドライン | AI開発・利用における倫理指針。 |
| 471 | 知的財産権 | 知的創造物に対する権利。 |
| 472 | 特許法 | 発明を保護する法律。 |
| 473 | 商標法 | ブランド名などを保護する法律。 |
| 474 | 意匠法 | デザインを保護する法律。 |
| 475 | トレードシークレット | 秘密として管理されている技術・営業情報。 |
| 476 | NDA | 秘密保持契約。 |
| 477 | 業務委託契約 | 業務を外部に任せる契約。 |
| 478 | 請負契約 | 「成果物の完成」を約束する契約。 |
| 479 | 準委任契約 | 「業務の実施」を約束する契約。 |
| 480 | 派遣契約 | 指揮命令権が派遣先にある契約。 |
| 481 | 偽装請負 | 実態は派遣なのに形式上請負にすること。 |
| 482 | 多重下請け | 下請けがさらに下請けを使う構造。 |
| 483 | 労働者派遣法 | 派遣労働者の保護に関する法律。 |
| 484 | 36協定 | 残業させるために必要な労使協定。 |
| 485 | 裁量労働制 | 労働時間を個人の裁量に委ねる制度。 |
| 486 | テレワーク | 離れた場所で働くこと。 |
| 487 | リモートアクセス | 外部から社内ネットに接続すること。 |
| 488 | ゼロタッチプロビジョニング | 機器を繋ぐだけで自動設定される機能。 |
| 489 | eSIM | 物理カードなしで書き換え可能なSIM。 |
| 490 | 5G / ローカル5G | 高速大容量・低遅延通信。ローカルは自営網。 |
| 491 | ネットワークスライシング | 1つのインフラを用途別に仮想分割する5G技術。 |
| 492 | MEC | 基地局近くで処理し遅延を減らす技術。 |
| 493 | LPWA | 低消費電力・広域通信の無線技術(IoT向け)。 |
| 494 | LoRaWAN | アンライセンスバンドを使うLPWA。 |
| 495 | Sigfox | 非常に低速だが安価なLPWA。 |
| 496 | NB-IoT | 携帯キャリア網を使うLPWA。 |
| 497 | ZigBee | 近距離・低消費電力の無線規格。 |
| 498 | BLE | 省電力なBluetooth。 |
| 499 | NFC | 近距離無線通信(ICカード等)。 |
| 500 | RFID | 電波でタグのデータを読み取る技術。 |
コメント