用語集
- あ〜
- さ〜
- た〜
- は〜
- ま〜
- ら〜
- A〜
あ
アジャイル開発
システムやソフトウェアの開発手法のひとつ。小単位で計画から設計、開発、テストまでの工程を繰り返して開発を進めることで、従来のウォーターフォール開発に比べて、開発着手後の仕様変更等に柔軟に対応でき、開発期間も短縮することができる。
エンドポイントセキュリティ
エンドポイント(ネットワークに接続されたPCやスマートフォン等の端末)に対するセキュリティ対策の総称。
オンプレミス
「自社運用」とも呼ばれ、サーバやソフトウェア等の情報システムを、使用者が管理している施設内に設置して運用すること。
さ
スマートシティ
ICTやAI等の新技術を活用して、エネルギーや交通システム、行政サービス等のインフラが最適化された持続可能な都市または地区。
スレットインテリジェンス(脅威インテリジェンス)
セキュリティの脅威についての情報を収集・分析し、知見としてまとめたデータのこと。このような情報を活用することにより、従来のセキュリティ対策では見逃されていた高度なサイバー攻撃の防御や検知が可能となる。
脆弱性
PCのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のこと。脆弱性を放置すると、悪意のある第三者によってマルウェアに感染させられたり、不正アクセスの被害にあったりする恐れがある。
セキュリティアナリスト
サイバー攻撃を受けた際に、高度な知識や技術を使い、攻撃手法の分析やトラブル対応をする情報セキュリティの専門家。
セキュリティインシデント
マルウェアの感染や不正アクセス、機密情報の流出等、情報セキュリティにおける事件や事故のこと。
セキュリティ運用監視
不正アクセスや不正侵入等を防ぐため、企業内に設置されたセキュリティ機器の通信の監視とともに、機器の運用も行うセキュリティ対策の手法。
セキュリティポリシー
情報資産を守るため、企業や組織等が情報セキュリティに関する対策や行動指針をまとめたもの。基本方針、対策基準、実施手順等を記載するのが一般的。
ゼロトラスト
「全て信頼しない」を前提に対策を講じるセキュリティの考え方。近年の急激なクラウドへのシフトやテレワークの拡大により、守る場所が点在するようになったことから、すべての通信を信頼しないことを前提に、常に正当なアクセスであるか、正当な利用者であるかを検証(認証)してアクセスを認可することが基本とされる。
た
ダークウェブ
通常の方法ではアクセスできない、匿名性と追跡回避を実現する技術を使用したネットワーク上のWebサイトのこと。専用のツールを使うことでアクセス可能になるが、自動的に複数の経路を経由するため、追跡されにくく犯罪に使用されることもある。
デジタルマーケティング
インターネットやIT技術等、デジタルを活用したマーケティング手法で、消費者の行動をデジタルデータとして収集・蓄積し、それらを解析して次の戦略に役立て、売れる仕組みを作ること。
は
ハイブリットクラウド
クラウドシステムを社外のシステムと社内のシステムで組み合わせて使用する運用形態のこと。「マルチクラウド」と同義として扱われる場合もあるが、社内で物理サーバを用意して使用するオンプレミス環境と併用している点で異なる。
パッチ
ソフトウェアの不具合を更新・修正するときに用いられ、修正する必要がある部分のみを更新するために、新しいものとの相違点(差分)を抜き出したデータのこと。相違点(差分)のみを抜き出し、組み込むことで、全体に修正を行うより、効率的に改修が可能としてよく用いられる手法。
標的型攻撃
明確な目的を持って特定の組織やターゲットに絞って仕掛けるサイバー攻撃のこと。ターゲットに対して、知人を装い、悪意のあるファイル付きのメールを送付したり、悪意のあるサイトに誘導したりして、PC等の端末をマルウェアに感染させる特徴がある。また、標的型攻撃の一種のAPT(Advanced Persistent Threat)攻撃は、持続的標的型攻撃と呼ばれており、主に情報を盗むことを目的として、組織ネットワークに潜伏し続ける。
ファイアウォール
ネットワークの通信において、その通信を通すかどうかを判断し、許可または拒否するセキュリティ対策システム。インターネットを通して侵入してくる不正なアクセスから守るための防火壁のような役割がある。Webサイトに特化したものとしてWAF(Web Application Firewall)がある。
ペネトレーションテスト
ネットワークに接続されているシステムに疑似攻撃を仕掛け、侵入を試みることで、セキュリティ上の脆弱性があるかどうかをテストするセキュリティ診断サービス。特定の意図をもつ攻撃者が攻撃に成功するかどうかを検証するためのもので、脆弱性診断とは役割が異なる。
ハッカー
高度なITに関する知識や技術を持ったセキュリティのエキスパートのこと。企業や公共機関のITシステムのセキュリティをサポートするなど、その知識や技術を善良な目的に使う人を「ホワイトハッカー」と呼ぶこともある。また、悪意を持った目的で使う人を「クラッカー」と呼ぶ。
ま
マルウェア
ウイルスやワーム等、デバイス、サービス、ネットワークに害を与えたり、悪用したりすることを目的とした、有害なプログラムを実行するソフトウェアの総称。
マルチクラウド
クラウドシステムを、複数企業のクラウドサービスを組み合わせて使用する運用形態のこと。また、代表的なクラウドサービスとして、Amazon社が提供しているAWS(Amazon Web Services)、マイクロソフト社が提供しているAzureなどがある。
マルチベンダ
単一の企業の製品ではなく、様々な企業の製品を組み合わせてシステムを構築すること。
ら
ログ
PCの使用状況やデータ通信等の情報の記録を取ること、または記録そのもの。
ランサムウェア
「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた名称で、マルウェアの一種。感染したPC内に保存しているデータを勝手に暗号化させて使えない状態にしたり、操作不能にしたりしてしまい、その制限を解除するための身代金を要求する画面を表示させる不正プログラム。
C
CSIRT(Computer Security Incident Response Team)
コンピュータセキュリティに関する事故対応チームのこと。シーサートと呼ばれる。主に企業内や組織内に設置される。
D
DDoS攻撃
複数のPCを乗っ取った上で、一斉にDoS攻撃(Webサイトやサーバに対して過剰なアクセスやデータを送付するサイバー攻撃)を仕掛けるサイバー攻撃。
DX(Digital Transformation)
2004年にスウェーデンのエリック・ストルターマン氏が「ITの浸透が、人々の生活をあらゆる面でより良い方向に変化させる」と提唱したことが起源で、企業がAIやIoT、ビッグデータ等のデジタル技術を活用して、ビジネスモデルや業務を変革し、競争上の優位性を確立すること。
E
EDR(Endpoint Detection & Response)
PC端末等のエンドポイントを狙った標的型攻撃など高度な脅威への対策手法。EDRを導入することで、保護対象の端末の不正な挙動を検知し、感染した後の対応を迅速に行うことができる。
I
IDS(Intrusion Detection System)
外部からの不正アクセスを防ぐための侵入検知システムのこと。ネットワーク上を流れるパケットを監視したり、サーバ上の受信データやログを調べたりして、不正侵入の兆候を確認した場合、管理者へ警告メールを通知する機能がある。
IPアドレス
スマートフォンやPCなど、インターネットに接続された機器に割り当てられる識別番号。データをやり取りする際、ネットワーク上で通信相手を間違わないようにする役割がある。
IPS(Intrusion Prevention System)
外部からの不正アクセスを防ぐための侵入防止システムのこと。IDSと同様に不正なアクセスを検知するが、検知した通信を遮断するという点でIDSと区別される。IDSは不正な通信を検知しても通信自体は許可するため、IPSはIDSよりセキュリティレベルが高いと言われている。
L
Linux
OSの一種で、無料で使える、カスタマイズができるなどのメリットがある。
M
MSS(Managed Security Service)
企業や組織の情報セキュリティシステムの運用管理を、社外のセキュリティ専門企業などが請け負うサービスのこと。
R
RPA(Robotic Process Automation)
これまで人間が行っていた高度な作業を、ルールエンジンやAI、機械学習等を含む認知技術を活用して代行・自動化するツールのこと。
S
Society 5.0
狩猟社会(Society 1.0)、農耕社会(Society 2.0)、工業社会(Society 3.0)、情報社会(Society 4.0)に続く5番目の社会の姿で、AIやIoT、ロボット、ビッグデータ等の革新技術をあらゆる産業や社会に取り入れることで実現する、日本政府がこれから目指すべき未来社会の姿として掲げている社会構想のこと。
SaaS(Software as a Service)
「サース」または「サーズ」と呼び、ソフトウェアを提供しているクラウドサービスを指す。「SaaS」の他に、OSやミドルウェア等のプラットフォームを提供する「PaaS(パース)」、CPUやメモリ、ストレージ等のITインフラにあたる部分を提供する「IaaS(イァース)」などのクラウドサービスがある。
SIEM(Security Information and Event Management)
ファイアウォールやIPS・IDS等、さまざまな機器やソフトウェアの動作状況のログを一元的に集約し、情報漏えい等の異常を自動検出して管理者にスピーディに通知する仕組み。
W
WAF(Web Application Firewall)
WebアプリケーションやWebサーバへの不正アクセスに対する保護を目的としたセキュリティ対策システム。「ファイアウォール」はネットワークレベルのセキュリティ対策システムで、外部へ公開するWebアプリケーション等に対しては、制限をかけ、保護することができないため使用される。