情報処理安全確保支援士 必須用語集 100選+
1. 攻撃手法・脅威
| 用語 | 解説 |
|---|---|
| SQLインジェクション | DBへの命令文(SQL)を不正に注入し、データの盗取や改ざんを行う攻撃。 |
| クロスサイトスクリプティング (XSS) | Webページに悪意あるスクリプトを埋め込み、閲覧者のクッキー奪取などを行う。 |
| クロスサイトリクエストフォージェリ (CSRF) | 認証済みユーザに意図しない操作(送金や購入など)を強制させる攻撃。 |
| OSコマンドインジェクション | 外部からの入力により、サーバのOSコマンドを不正に実行させる攻撃。 |
| ディレクトリトラバーサル | パス指定(../など)を悪用し、非公開のファイルにアクセスする攻撃。 |
| バッファオーバーフロー | メモリ領域の上限を超えたデータを送り込み、誤作動や任意コード実行を狙う。 |
| DoS攻撃 | 大量の通信を送りつけ、サービスを停止させる攻撃。 |
| DDoS攻撃 | 複数の機器から一斉にDoS攻撃を行う分散型攻撃。 |
| DNSアンプ攻撃 | DNSサーバの応答が要求より大きくなる仕組みを悪用し、DDoSを行う。 |
| ランサムウェア | データを暗号化して使用不能にし、復号のための身代金を要求するマルウェア。 |
| 標的型攻撃 (APT) | 特定の組織をターゲットに、長期間・執拗に行われる攻撃。 |
| サプライチェーン攻撃 | セキュリティの弱い取引先や子会社、利用ソフトを経由して本丸を攻める手法。 |
| ドライブバイダウンロード | Webサイトを閲覧しただけで、気付かないうちにマルウェアをDLさせる攻撃。 |
| 水飲み場型攻撃 | ターゲットがよく利用するサイトを改ざんし、マルウェアに感染させる。 |
| MITM (中間者攻撃) | 通信の間に割り込み、盗聴や改ざんを行う攻撃。 |
| リプレイ攻撃 | 盗聴した正当な認証データを再送信し、なりすましを行う攻撃。 |
| パスワードスプレー攻撃 | 少数のパスワードを多数のアカウントに対して試行し、ロックを防ぎつつ侵入を狙う。 |
| クレデンシャルスタッフィング | 流出したID/PASSリストを用いて、他のサービスへの不正ログインを試みる。 |
| 辞書攻撃 | 辞書にある単語を片っ端から試してパスワードを破る手法。 |
| ブルートフォース攻撃 | 総当たり攻撃。考えられる全ての文字の組み合わせを試す。 |
| セッションハイジャック | 正規ユーザのセッションIDを盗み、そのユーザになりすます。 |
| ゼロデイ攻撃 | 脆弱性が発見され、修正パッチが提供される前に行われる攻撃。 |
| BEC (ビジネスメール詐欺) | 取引先や経営層になりすまし、偽の送金指示などを行う詐欺。 |
| クリックジャッキング | 透明なボタンなどをWeb上に配置し、利用者に意図しないクリックをさせる。 |
| スミッシング (Smishing) | SMS(ショートメッセージ)を用いたフィッシング詐欺。 |
| キーロガー | キーボードの入力操作を記録し、パスワードなどを盗むマルウェア/ウェア。 |
| ボットネット | マルウェアに感染し、攻撃者に遠隔操作されるPC(ボット)のネットワーク。 |
| C&Cサーバ | ボットネットに指令を出す攻撃者の指令サーバ。 |
| トロイの木馬 | 有用なソフトを装って侵入し、裏で悪意ある動作をするマルウェア。 |
| ワーム | 自己増殖機能を持ち、ネットワーク経由で感染を広げるマルウェア。 |
2. 認証・ID管理
| 用語 | 解説 |
|---|---|
| 多要素認証 (MFA) | 知識、所持、生体の3要素のうち、2つ以上を組み合わせて認証する。 |
| FIDO (Fast IDentity Online) | パスワードを使わず、生体認証などを利用した安全な認証規格。 |
| シングルサインオン (SSO) | 1度の認証で複数のシステムやサービスを利用可能にする仕組み。 |
| SAML | 異なるドメイン間で認証情報を連携するためのXMLベースの規格(SSOで利用)。 |
| OpenID Connect (OIDC) | OAuth 2.0をベースにした、ID連携のための認証プロトコル。 |
| OAuth 2.0 | 権限(認可)の委譲を行うためのプロトコル(認証ではない)。 |
| ケルベロス認証 | チケットを用いた認証方式。ネットワーク上の盗聴に強い。 |
| RADIUS | ネットワーク接続の認証・認可・課金を行うプロトコル。無線LANやVPNで多用。 |
| LDAP | ディレクトリサービス(ユーザ情報管理)にアクセスするためのプロトコル。 |
| MAC (強制アクセス制御) | システムが権限を強制的に決定する(高セキュリティ、柔軟性低)。 |
| DAC (任意アクセス制御) | ファイル所有者がアクセス権を設定できる(UNIXのpermissionなど)。 |
| RBAC (ロールベースアクセス制御) | ユーザの「役割(ロール)」に基づいて権限を割り当てる。 |
| ABAC (属性ベースアクセス制御) | ユーザ属性、環境、リソース属性などを組み合わせて動的に権限を決める。 |
| CAPTCHA | 人間とボットを区別するためのテスト(歪んだ文字入力など)。 |
| リスクベース認証 | 普段と異なる環境(IP、端末)からのアクセス時のみ追加認証を求める。 |
| アイデンティティ管理 (IdM) | IDのライフサイクル(登録、変更、削除)を管理すること。 |
3. ネットワークセキュリティ
| 用語 | 解説 |
|---|---|
| DMZ (非武装地帯) | 外部と内部の中間に置く緩衝地帯。Webサーバなどを配置する。 |
| ファイアウォール (FW) | ポート番号やIPアドレスに基づきパケットを制御する。 |
| WAF (Web Application FW) | Webアプリへの通信内容(HTTP/S)を検査し、SQLiやXSSを防ぐ。 |
| IDS (侵入検知システム) | ネットワークやホストへの侵入の兆候を検知し、通知する。 |
| IPS (侵入防止システム) | 侵入の兆候を検知し、自動的に通信を遮断する。 |
| UTM (統合脅威管理) | FW、VPN、アンチウイルスなどを1つの機器に統合したもの。 |
| VPN | 仮想的な専用線を構築する技術。 |
| IPsec | ネットワーク層で暗号化を行うVPNプロトコル。 |
| SSL-VPN | アプリケーション層(Webブラウザ等)で暗号化を行うVPN。 |
| VLAN | 物理的な配線に依存せず、仮想的にネットワークを分割する技術。 |
| 検疫ネットワーク | 社内LAN接続前に、PCのセキュリティ状態を検査する仕組み。 |
| SDN | ソフトウェアによってネットワーク構成を動的に制御する技術。 |
| プロキシ (Proxy) | クライアントの代わりにWebサイトへアクセスする代理サーバ。 |
| リバースプロキシ | 外部からのアクセスを内部サーバに中継するサーバ。負荷分散や保護に使う。 |
| ARPスプーフィング | 偽のARP応答を送り、通信を盗聴・遮断する攻撃。 |
| DNSキャッシュポイズニング | DNSサーバに嘘の情報を記憶させ、利用者を偽サイトへ誘導する。 |
| DNSSEC | DNS応答に電子署名を付加し、正当性を保証する技術。 |
| SSH (Secure Shell) | ネットワーク経由で遠隔操作するための暗号化されたプロトコル。 |
| TLS (Transport Layer Security) | インターネット通信を暗号化するプロトコル。SSLの後継。 |
| WPA3 | 最新の無線LANセキュリティ規格。SAEハンドシェイク等を採用。 |
| NAT (Network Address Translation) | プライベートIPとグローバルIPを変換する技術。 |
4. メールセキュリティ
| 用語 | 解説 |
|---|---|
| SPF | 送信元IPアドレスを利用して、メール送信元の正当性を検証する。 |
| DKIM | メールに電子署名を付与し、送信元確認と改ざん検知を行う。 |
| DMARC | SPF/DKIMの認証失敗時の取り扱い(拒否・隔離など)を定めたポリシー。 |
| S/MIME | 電子証明書を用いて、メールの暗号化と電子署名を行う規格。 |
| PGP | 信頼の輪(Web of Trust)モデルを用いたメール暗号化ツール/規格。 |
| SMTP-AUTH | メール送信時にユーザ認証を行う仕組み。 |
| OP25B | プロバイダのメールサーバ以外への25番ポート通信(送信)をブロックする。 |
| メールリレー | メールサーバが他のサーバへメールを転送すること。不正中継対策が必要。 |
5. 暗号技術・PKI
| 用語 | 解説 |
|---|---|
| 共通鍵暗号 | 暗号化と復号に同じ鍵を使う。高速。AES, Camelliaなど。 |
| 公開鍵暗号 | 公開鍵で暗号化、秘密鍵で復号。鍵配送が容易。RSA, ECCなど。 |
| ハイブリッド暗号 | 共通鍵でデータを暗号化し、その共通鍵を公開鍵で暗号化して送る。 |
| ハッシュ関数 | 任意のデータから固定長の値を生成する一方向性関数。SHA-256など。 |
| 電子署名 | 送信者の「秘密鍵」でハッシュ値を暗号化。送信元証明と改ざん検知。 |
| PKI (公開鍵基盤) | 公開鍵の正当性を保証する社会的な基盤・仕組み。 |
| CA (認証局) | 電子証明書を発行する機関。 |
| ルートCA | PKI階層の頂点に位置する認証局。自身の証明書に自己署名する。 |
| CRL (証明書失効リスト) | 有効期限前に無効になった証明書のリスト。 |
| OCSP | CRLの代わりに、リアルタイムで証明書の有効性を問い合わせるプロトコル。 |
| 前方秘匿性 (Forward Secrecy) | 秘密鍵が漏洩しても、過去の通信内容が復号されない性質。 |
| TPM | PCやスマホに内蔵されるセキュリティチップ。鍵の安全な保管などに利用。 |
| HSM (ハードウェアセキュリティモジュール) | 暗号鍵の生成・保管・処理を行う専用のハードウェア。 |
| HMAC | ハッシュ関数と秘密鍵を用いたメッセージ認証コード。 |
| AES | 現在の標準的な共通鍵暗号アルゴリズム。 |
| RSA | 素因数分解の困難性を利用した公開鍵暗号アルゴリズム。 |
| 楕円曲線暗号 (ECC) | 楕円曲線の性質を利用した公開鍵暗号。短い鍵長で高強度。 |
6. 監視・運用・インシデント対応
| 用語 | 解説 |
|---|---|
| CSIRT | セキュリティインシデントに対応する組織内の専門チーム。 |
| SOC | 24時間365日、ネットワークやデバイスを監視・分析する専門組織。 |
| SIEM | 複数のログを一元管理・相関分析し、脅威を検知するシステム。 |
| EDR | エンドポイント(PC等)での不審な挙動を検知し、対応支援する製品。 |
| NDR | ネットワーク上の通信を分析し、脅威を検知する製品。 |
| XDR | エンドポイント、NW、クラウド等のデータを統合して分析・対処する概念。 |
| フォレンジック | インシデント発生時に、証拠保全や原因究明のために行う調査・解析。 |
| J-CSIP | IPAが運営する、サイバー攻撃情報の共有・連携の枠組み。 |
| J-CRAT | IPAに設置された、標的型サイバー攻撃の特別相談窓口・レスキュー隊。 |
| JVN | 日本で使用されているソフト等の脆弱性対策情報を公表するポータル。 |
| CVSS | 脆弱性の深刻度を評価する共通基準。 |
| CVE | 脆弱性に割り振られる個別識別ID(CVE-2023-xxxx)。 |
| ISMS (ISO/IEC 27001) | 情報セキュリティマネジメントシステム。組織的な管理の仕組み。 |
| 情報セキュリティポリシー | 組織の方針(基本方針)、基準(対策基準)、手順(実施手順)の3階層。 |
| CIA | 情報セキュリティの3要素。機密性、完全性、可用性。 |
| BCP (事業継続計画) | 災害や事故発生時に、重要業務を継続・早期復旧させるための計画。 |
| BIA (ビジネスインパクト分析) | 業務停止が事業に与える影響度を分析すること。 |
| RPO (目標復旧時点) | 過去のどの時点のデータまで復旧させるかの目標。 |
| RTO (目標復旧時間) | いつの時点までに復旧させるかの目標時間。 |
| リスクアセスメント | リスクの特定、分析、評価を行うプロセス。 |
| リスク受容 | リスク対策を行わず、許容範囲内として受け入れること。 |
| リスク回避 | リスクの原因となる事業や活動そのものを停止すること。 |
| リスク移転 (共有) | 保険への加入など、他者へリスクの影響を移すこと。 |
| リスク低減 | 対策を実施し、発生確率や影響度を下げること。 |
| ゼロトラスト | 「何も信頼しない」を前提に、全てのアクセスを検査・認証する概念。 |
7. アプリ開発・最新トレンド・その他
| 用語 | 解説 |
|---|---|
| セキュアコーディング | 脆弱性を生まないように配慮したプログラミング手法。 |
| ファジング | 予測不可能なデータ(ゴミデータ)を入力し、バグや脆弱性を探すテスト。 |
| 難読化 | リバースエンジニアリングを防ぐため、ソースコードを解読困難にする。 |
| リバースエンジニアリング | プログラムを解析して、仕様やソースコードを導き出すこと。 |
| OWASP Top 10 | Webアプリの重大な脆弱性ランキング。 |
| SBOM | ソフトウェア部品表。ソフトに含まれるコンポーネントのリスト。 |
| コンテナセキュリティ | DockerやK8sなどのコンテナ環境におけるセキュリティ対策。 |
| シャドーIT | 会社が許可していないIT機器やクラウドサービスを従業員が勝手に使うこと。 |
| BYOD | 個人の端末(スマホ等)を業務に利用すること。 |
| MDM (モバイルデバイス管理) | スマホやタブレットを一元管理し、紛失時のロック等を行うツール。 |
| CASB | クラウドサービスの利用状況を可視化・制御するソリューション。 |
| CSPM | クラウドの設定ミス(S3の公開設定など)を検知・管理するツール。 |
| ブロックチェーン | 分散型台帳技術。改ざんが極めて困難な取引記録システム。 |
| 耐タンパ性 | 内部の情報の読み取りや解析に対する、物理的な防御能力。 |
| GDPR | EU一般データ保護規則。個人データの厳格な保護を求める。 |
| 個人情報保護法 | 日本の個人情報の取り扱いに関する法律。 |
| サイバーセキュリティ基本法 | 日本のサイバーセキュリティ政策の基本理念を定めた法律。 |
| ハニーポット | 攻撃者を誘い込むために設置された、囮(おとり)のシステム。 |
| ダークウェブ | 特殊なソフトでのみアクセス可能な、匿名性の高いウェブ空間。 |
コメント