情報セキュリティ用語集|あ行~な行
情報セキュリティに関する用語集です。当ページでは「あ行~な行」の用語について解説しています。
目次
あ行
アンチウイルス
コンピュータに対する攻撃である、ウイルス・マルウェアなどへの対策のこと。ウイルスに感染した場合の検出・除去や、ウイルスに感染しない予防策やリテラシーなど、アンチウイルスは広義的に使用される。
インシデント
コンピュータなどに対するマルウェアの感染や遠隔操作、不正アクセスなど、情報資産の漏えいや悪用につながる事故・事象のこと。「インシデントが起こった」とは、このような事故・事象が起こった状況を指す。情報セキュリティインシデントともいう。
エンドポイントセキュリティ
スマートフォン・コンピュータ・タブレット・サーバなど、ネットワークやクラウド上の最終地点(エンドポイント)におけるセキュリティ対策のこと。デバイス自体を守ったり、デバイスに保管されている情報を守ったりと、エンドポイントのセキュリティ対策全般を指す。
か行
キーロガー
コンピュータのキーボード操作を監視・記録するソフトウェアやハードウェア。バグや欠陥を特定・修正する作業(デバッグ)など、ソフトウェア開発の場面で有効活用されているが、近年は他者のキーボード操作からパスワードなどの機密情報を盗むために悪用される事例(キーロガー攻撃と呼ぶ)が多くなっており、対策が必要。
クライアント証明書
インターネット上のサービスを利用する際に、ユーザーのデバイスを認証するための電子証明書。ウェブ上の身分証明書のようなもので、アクセス制限やログイン時の認証、メールの暗号化などに活用されている。
クラウドセキュリティ
クラウド上で実行されるアプリケーションや保存されているデータなど、クラウド・コンピューティング環境を保護するためのセキュリティ対策。
コンピュータウイルス
コンピュータ内に侵入してパスワードや個人情報を窃取する、データを消去する、デバイス自体を制御するなど、犯罪・悪戯を目的に悪意を持って作成されたプログラムのこと。感染したコンピュータだけでなく別のコンピュータ内のファイルにも感染し増殖する性質や、感染してからコンピュータに異常をきたすまでの間に潜伏期間がある性質が自然界のウイルスの行為に似ているため、この名称が付けられた。主にインターネットからダウンロードしたファイル、電子メールの添付ファイル、USBメモリ、Webサイトの閲覧などが感染経路として挙げられる。
さ行
サイバーキルチェーン
サイバー攻撃(特に標的型攻撃)を行う際の、攻撃者による行動の段階を構造化したもの。具体的には、以下7つの段階に分けられる。
- 偵察:攻撃の対象者のリサーチ
- 武器化:実際に攻撃を行うマルウェアの準備
- 配送:メールなどを介してマルウェアを送信
- 攻撃:攻撃の実行
- インストール:マルウェアのインストール(攻撃対象は感染)
- 遠隔操作:マルウェアに感染したコンピュータの遠隔操作
- 目的実行:機密情報の取得など目的の実行
サイバーテロ
インターネット上で行われる、サイバー攻撃によるテロリズム的行為のこと。警視庁によると、「重要インフラの基幹システムに対する電子的攻撃または重要インフラの基幹システムにおける重大な障害で電子的攻撃による可能性が高いもの」を指す。
サイバー攻撃
マルウェアによる攻撃や不正アクセスなどにより、特定のネットワークを破壊する攻撃行動。場合によってはサイバーテロと同義で扱われるが、サイバー攻撃はあくまでも手段だといえる。また、政治的意図を持たなかったり、小規模であったりすると、単にサイバー攻撃と分類されることがある。
サイバー犯罪
インターネットを悪用した犯罪行為のこと。代表的なものとしては、実在の企業・機関の名を語ってパスワードやクレジットカード情報などを搾取するフィッシングが挙げられる。
サイバー保険
サイバー攻撃により損害が生じた場合に、損害賠償責任や損失した利益を補償する保険。争訟費用や事故対応費用なども含まれる。
サプライチェーン攻撃
サプライチェーンは、本来は物流網の一連の流れを指す言葉。転じてサプライチェーン攻撃とは、以下のように製造やビジネスの流れのなかでしかけるサイバー攻撃のこと。
- ソフトウェアの製造過程でマルウェアを仕込む
- メインターゲットである大企業の情報搾取や侵入のために、セキュリティ対策が比較的手薄なグループ会社や下請け会社に攻撃をしかけること。感染したグループ会社や下請け会社からの通信によりメインターゲットを感染させることが狙い。
サンドボックス
ユーザーが普段使っている領域から隔離された、セキュリティ的に保護された空間のこと。仮に不正なプログラムが送られてきたとしても、隔離されたサンドボックス内で独自にプログラムが実行されているため、デバイスに影響が及ばない。
シャドーIT
企業内の各部門によって独自に導入・活用され、かつシステム管理部門など企業全体では認知されていないシステムやITサービスのこと。企業の承認を受けずに業務に利用されている従業員の私物端末(スマートフォン、USBメモリ等)もシャドーITに含まれる。企業全体で管理ができていないため、セキュリティ上のリスクにつながる。
情報セキュリティ(対策)
情報セキュリティとは、「情報の機密性・完全性・可用性を確保する」ことと定義されている。具体的には、個人情報や機密情報が外部に漏れないようにする対策、サイバー攻撃を防ぐための対策などを指す。
情報セキュリティインシデント
コンピュータなどに対するマルウェアの感染や遠隔操作、不正アクセスなど、情報資産の漏えいや悪用につながる事故・事象のこと。「情報セキュリティインシデントが起こった」とは、このような事故・事象が起こった状況を指す。単に「インシデント」と呼ばれることが多い。
情報セキュリティ訓練
情報セキュリティに関する知識や、サイバー攻撃への対応を学ぶ訓練。標的型メールへの対応方法の把握や、マニュアルの整備、関連企業との連携確認など、情報セキュリティインシデントに備えた取り組み。
情報漏えい対策
情報を漏えいさせないための対策。具体的には、企業における「情報資産の持ち出しの禁止」・「第三者の目の届くところに情報を放置しない」などが挙げられる。
シングルサインオン
一度ユーザー認証を行えば、複数のシステム・サービスの利用できるようになる仕組みのこと。システムごとに認証する場合、逐一IDとパスワードを設定し、覚えておく必要があるが、シングルサインオンではそのような負担がない。
スパイウェア
コンピュータからメールアドレス・住所・氏名などの情報を、外部に送信するソフトウェアのこと。すべてが悪用目的で使用されるわけではなく、サービスやユーザーエクスペリエンスの向上を目的としているものもある。
スパムメール
繰り返し送信される、受信する側の意向を無視した迷惑メール。目的は単なる広告・宣伝から、マルウェアへの感染を狙った悪質なものまで多方面にわたる。
脆弱性(セキュリティホール)
コンピュータやネットワーク機器等における、OSやソフトウェアの欠陥のこと。セキュリティホールと呼ばれることもある。主にプログラムや設計上のミス・不具合が原因。脆弱性を抱えたコンピュータは不正アクセス・ウイルス感染などの被害を受けるリスクが高い。
セキュリティバイデザイン
製品や機器に対し、企画・設計の段階からセキュリティ対策を施しておくという考え方。
ゼロデイ攻撃
ソフトウェアの脆弱性(セキュリティホール)が発見されたときに、存在や対策が公表される前にそのセキュリティホールを悪用して行われるサイバー攻撃のこと。日にちを空けないことから、ゼロデイ攻撃と呼ばれる。
ゼロトラスト
「重要な情報資産にアクセスする通信はすべて信用しない」ことを前提にしたセキュリティ対策の考え方。ゼロトラストの考え方に基づいて、社内外を問わずユーザー認証の強化・通信経路の暗号化などが行われている。
た行
ダークウェブ
Google、Yahoo!などの一般的な検索エンジンの検索結果に表示されず、一般的なブラウザでは閲覧することもできない、特別なネットワーク上に構築されたWebサイト。DDoS攻撃を請け負ったり、マルウェアの売買も行われている。
多要素認証
認証における以下3要素のうち、2要素以上を組み合わせた認証方法のこと。
- 知識情報(パスワード・PINコードなど)
- 所持情報(ICカード・携帯電話など)
- 生体情報(指紋・静脈など)
デジタル証明書
通信相手の公開鍵(データの暗号化に必要な情報)の正当性を証明する電子ファイルのこと。認証局と呼ばれるサーバによって生成される。
トロイの木馬
正規のソフトウェアやプログラムを装い、コンピュータ内に侵入するマルウェアの一種。ギリシア神話に登場するトロイの木馬のエピソードになぞらえて、名付けられた。コンピュータだけではなく、スマートフォンなどのデバイスでも感染が見られる。
な行
ネットワーク監視
ネットワークの動作が正常かを監視すること。ネットワーク機器などの稼働状況を定期的にチェックし、ネットワーク障害の予兆を検知、障害発生時の迅速な対応が可能となる。
ネット情報監視
ネットの掲示板やSNSなど、インターネット上への悪質な書き込み監視すること。企業の機密情報の流出や情報漏えいを早期発見、または風評被害による炎上対策などを行う。
二段階認証
一回目のパスワード認証に加えて、もう一回認証を行うこと。一回目の認証のパスワードと同じ知識要素(秘密の質問、PINコードなど)で行われる場合、もしくは生体要素(指紋、顔認証など)や所有要素(印鑑、身分証明書など)といったパスワードとは異なる要素で認証が行われる場合がある。
二要素認証
パスワードに加えて、生体認証、SMSコードの送信など異なる要素を組み合わせた認証のこと。