用語集

Glossary / 用語集

セキュリティ用語集

SC試験や実務で出てくる専門用語を、簡潔な定義でまとめました。記事を読みながら、わからない言葉をその場で確認できる索引です。頭文字から探せます。

A

AESAdvanced Encryption Standard
共通鍵(対称鍵)暗号方式の標準。ブロック長は128ビットで、鍵長は128・192・256ビットから選べる。

C

CSPContent Security Policy
読み込み可能なスクリプトの提供元などをHTTPヘッダーで制限し、XSSの被害を抑える仕組み。
CSRFCross-Site Request Forgery
ログイン状態を悪用し、利用者に意図しない操作を送信させる攻撃。
CVSSCommon Vulnerability Scoring System
脆弱性の深刻度を共通の基準で数値化する評価システム(FIRSTが策定)。

D

DDoS攻撃Distributed Denial of Service
多数の端末から大量の通信を一斉に送り、サービスを停止させる分散型サービス妨害攻撃。
DevSecOps
開発と運用の工程にセキュリティを組み込み、全工程で継続的に安全性を確保する考え方。
DMARCDomain-based Message Authentication, Reporting and Conformance
SPFとDKIMの認証結果をもとに、なりすましメールの扱い(隔離・拒否)と報告方法を指定する仕組み。
DMZDeMilitarized Zone
外部と内部の間に設ける緩衝領域。公開サーバを隔離し、内部ネットワークへの侵入を防ぐ。
DNSSECDNS Security Extensions
DNSの応答にデジタル署名を付け、DNSキャッシュポイズニングなどの改ざんを検知する仕組み。

I

IDSIntrusion Detection System
不正な通信や攻撃の兆候を検知して管理者に通知する侵入検知システム。
IPSIntrusion Prevention System
攻撃を検知し、その通信を自動で遮断する侵入防止システム。IDSに遮断機能を加えたもの。
ISMSInformation Security Management System
情報セキュリティを組織的・継続的に管理する仕組み。国際規格ISO/IEC 27001に基づく。

O

OCSPOnline Certificate Status Protocol
デジタル証明書の失効状態をリアルタイムで問い合わせるプロトコル。CRLより即時性が高い。

P

PKIPublic Key Infrastructure
公開鍵基盤。認証局(CA)が発行するデジタル証明書によって公開鍵の正当性を保証する仕組み。

R

RPORecovery Point Objective
災害復旧で許容できるデータ損失の量。どの時点まで遡って復旧するかの目標値。
RSARivest–Shamir–Adleman
公開鍵暗号方式の代表。大きな整数の素因数分解が難しいことを安全性の根拠とする。
RTORecovery Time Objective
災害発生から復旧までに許容できる目標時間。

S

SBOMSoftware Bill of Materials
ソフトウェアを構成する部品(OSS等)の一覧。サプライチェーンの脆弱性管理に用いる。
SHA-256Secure Hash Algorithm 256-bit
SHA-2系のハッシュ関数で、256ビットのハッシュ値を生成する。改ざん検知などに広く使われる。
SIEMSecurity Information and Event Management
各種機器のログを統合し、相関分析によって脅威を検知・可視化する仕組み。
SPFSender Policy Framework
送信元メールサーバのIPアドレスをDNSに登録し、なりすましメールを検出する送信ドメイン認証。
SQLインジェクション
入力値に不正なSQLを混入させ、データベースを不正に操作する攻撃。対策はプレースホルダの利用。

W

WAFWeb Application Firewall
Webアプリへの攻撃(SQLインジェクションやXSSなど)を通信内容から検知・遮断する防御。

X

X.509
デジタル証明書の標準フォーマット。所有者情報・公開鍵・有効期限・CAの署名などを格納する。
XSSCross-Site Scripting
Webページに悪意あるスクリプトを埋め込み、閲覧者のブラウザで実行させる攻撃。

インシデントレスポンスIncident Response
セキュリティ事故の検知から封じ込め・復旧・再発防止までを行う一連の対応。

CSIRTComputer Security Incident Response Teamシーサート
セキュリティインシデントに対応する専門組織・チーム。
情報セキュリティの3要素じょうほうせきゅりてぃのさんようそ
機密性・完全性・可用性の3つ。情報セキュリティを支える基本的な観点(CIA)。
責任共有モデルShared Responsibility Modelせきにんきょうゆうもでる
クラウドの安全対策の責任を事業者と利用者で分担する考え方。IaaS/PaaS/SaaSで利用者の範囲が変わる。
セッションハイジャック
利用者のセッションIDを盗むなどして、その人になりすまして通信を乗っ取る攻撃。
ゼロデイ攻撃
修正プログラムが提供される前の未知の脆弱性を悪用する攻撃。
ゼロトラストZero Trust
社内外を問わず「何も信頼しない」前提で、アクセスのたびに検証する考え方(NIST SP 800-207)。
ソーシャルエンジニアリング
技術ではなく人の心理や行動の隙を突いて、情報を盗み出す手口。

多要素認証たようそにんしょう
知識・所持・生体など異なる種類の要素を2つ以上組み合わせて行う認証。MFAとも呼ぶ。
中間者攻撃Man-in-the-Middleちゅうかんしゃこうげき
通信の経路上に割り込み、盗聴や改ざんを行う攻撃。
ディレクトリトラバーサル
パス指定を悪用し、公開対象外のファイルへ不正にアクセスする攻撃。
デジタルフォレンジックDigital Forensics
インシデントの原因究明や法的証拠のために、機器のデータを保全・分析する技術。
デジタル署名
送信者の秘密鍵で作る署名。受信者は公開鍵で検証し、なりすましと改ざんを見抜き否認を防ぐ。

ハッシュ関数
任意の長さのデータを固定長の値に変換する一方向の関数。改ざん検知やパスワード保存に使う。
バッファオーバーフロー
確保した領域を超えてデータを書き込み、隣接するメモリを壊して不正なコードを実行させる攻撃。
標的型攻撃ひょうてきがたこうげき
特定の組織や個人を狙い、時間をかけて侵入・潜伏する執拗な攻撃。APTとも呼ぶ。
ファイアウォールFireWall
通信を許可・遮断するルールに基づき、ネットワークの境界で不正な通信を防ぐ仕組み。

マルウェア
コンピュータに害を与える悪意あるソフトウェアの総称。ウイルス・ワーム・トロイの木馬などを含む。

ランサムウェア
データを暗号化して使用不能にし、復旧と引き換えに身代金を要求するマルウェア。
リスクアセスメントRisk Assessment
資産・脅威・脆弱性を洗い出し、リスクを分析・評価して対応方針を決める一連の活動。

2026年6月19日