プロトコル・技術
AES
Advanced Encryption Standard
現在最も広く使われる対称暗号アルゴリズム。128・192・256ビットの鍵長をサポート。ECB・CBC・GCMなど複数の動作モードがある。GCMモードが認証付き暗号化に推奨される。
詳細を見る →Glossary
用語集
サイバーセキュリティ用語を日本語で解説。検索・カテゴリで絞り込めます。
84語
用語一覧
該当する用語が見つかりませんでした。
攻撃手法
APT
Advanced Persistent Threat
国家支援組織や高度な技術を持つ攻撃グループによる長期・潜伏型の標的型攻撃。数ヶ月〜数年かけて侵入・維持・情報収集を行う。Lazarus Group(北朝鮮)・Cozy Bear(ロシア)などが代表的なAPTグループ。
詳細を見る → 基礎概念
CIA三原則
CIA Triad
情報セキュリティの3つの基本要素。機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)の頭文字を取ったもの。すべてのセキュリティ対策はこの三原則を守るために行われる。
詳細を見る → 攻撃手法
CSRF
Cross-Site Request Forgery
認証済みユーザーに悪意のあるサイトを訪問させ、意図しないリクエストをターゲットサイトに送信させる攻撃。CSRFトークンとSameSite Cookie属性で対策する。
詳細を見る → フレームワーク
CVE
Common Vulnerabilities and Exposures
脆弱性に付与される一意の識別番号。「CVE-2024-12345」の形式。MITRE Corporationが管理し、NVD(National Vulnerability Database)でスコア(CVSS)とともに公開される。
詳細を見る → フレームワーク
CVSS
Common Vulnerability Scoring System
脆弱性の深刻度を0〜10のスコアで表す業界標準指標。基本値・現状値・環境値の3つのスコアで構成。9以上が「緊急(Critical)」でパッチ適用が最優先となる。
詳細を見る → 攻撃手法
DDoS攻撃
DDoS Attack
多数のホスト(ボットネット)から同時に大量のトラフィックを送り、標的サービスをダウンさせる攻撃。ボリューム型・プロトコル型・アプリケーション層型がある。
詳細を見る → プロトコル・技術
DKIM
DomainKeys Identified Mail
送信側がメールヘッダーや本文に電子署名を付与し、受信側がDNS上の公開鍵で検証する仕組み。配送途中でメールが改ざんされていないか、どのドメインが署名したかを確認できる。
詳細を見る → プロトコル・技術
DMARC
DMARC
メール送信ドメインの正当性を、SPF・DKIMの結果と表示上の送信元ドメインとの整合性に基づいて評価し、認証失敗メールをどう扱うか(none / quarantine / reject)を送信ドメイン側が宣言する仕組み。フィッシングやビジネスメール詐欺(BEC)対策の柱。
詳細を見る → 防御・対策
DMZ
Demilitarized Zone
内部ネットワークとインターネットの間に設ける緩衝ゾーン。WebサーバーやメールサーバーなどをDMZに配置することで、外部攻撃が内部に直接届かない構成を実現する。
詳細を見る → プロトコル・技術
DNS
Domain Name System
ドメイン名をIPアドレスに変換するシステム。Aレコード・MXレコード・CNAMEレコード・TXTレコードなど多種のレコードがある。DNSキャッシュポイズニング攻撃やDNS増幅攻撃にも悪用される。
詳細を見る → 攻撃手法
DNSキャッシュポイズニング
DNS Cache Poisoning
DNSリゾルバのキャッシュに偽の名前解決情報を注入し、正規ドメインへのアクセスを攻撃者が制御するサーバーに誘導する攻撃。DNSSECによるデジタル署名検証で対策できる。
詳細を見る → 防御・対策
EDR
Endpoint Detection and Response
エンドポイント(PC・サーバー・スマートフォン)上の挙動をリアルタイム監視し、高度な脅威を検知・調査・対応するセキュリティソリューション。CrowdStrike Falcon・Microsoft Defender for Endpointが代表例。従来のアンチウイルスを超えた次世代型防御。
詳細を見る → プロトコル・技術
FIDO2
FIDO2
FIDOアライアンスとW3Cが共同策定したパスワードレス認証標準。WebAuthn(ブラウザAPI)とCTAP(デバイスプロトコル)の2層構造。フィッシング耐性・プライバシー保護が設計に組み込まれており、パスキーの技術基盤。
詳細を見る → プロトコル・技術
HSTS
HTTP Strict Transport Security
WebサーバーがブラウザにHTTPSのみで接続するよう強制するセキュリティヘッダー(Strict-Transport-Security)。設定期間中はHTTPアクセスが自動的にHTTPSにリダイレクトされる。SSL/TLSダウングレード攻撃や中間者攻撃を防ぐ。
詳細を見る → 防御・対策
IDS
Intrusion Detection System
ネットワークやホストへの不正アクセス・攻撃を検知して管理者に通知するシステム。シグネチャベースと異常検知ベースがある。検知はするが遮断はしない(遮断するのはIPS)。
詳細を見る → 防御・対策
IOC
Indicators of Compromise
侵害の痕跡を示す証拠。不審なIPアドレス・ドメイン・ファイルハッシュ・レジストリキー・ネットワークパターンなどが含まれる。脅威インテリジェンスで共有・活用し、SIEMやEDRの検知ルールに組み込む。
詳細を見る → 防御・対策
IPS
Intrusion Prevention System
IDSの機能に加え、検知した攻撃をリアルタイムに自動遮断するシステム。インラインに設置され、悪意のあるトラフィックをブロックする。誤検知による正常通信遮断(フォールスポジティブ)に注意。
詳細を見る → フレームワーク
ISO 27001
ISO/IEC 27001
情報セキュリティ管理システム(ISMS)の国際規格。リスクベースのアプローチで情報資産を保護する管理体制を構築・運用・評価・改善(PDCAサイクル)する。第三者認証取得が可能。
詳細を見る → プロトコル・技術
JWT
JSON Web Token
JSONをBase64URLエンコードしデジタル署名した認証トークン。ヘッダー・ペイロード・署名の3部構成。署名アルゴリズムをnoneに変更する攻撃や、秘密鍵の弱さによる偽造に注意が必要。
詳細を見る → フレームワーク
MITRE ATT&CK
MITRE ATT&CK
実際に観測された攻撃者のTTP(戦術・技術・手順)を体系的にまとめたナレッジベース。14のタクティクスと200以上のテクニックで構成。脅威インテリジェンス・検知ルール・レッドチーム演習に活用される。
詳細を見る → フレームワーク
NIST CSF
NIST Cybersecurity Framework
NIST(米国標準技術研究所)が発行するサイバーセキュリティの管理フレームワーク。バージョン2.0では「統治・特定・防御・検知・対応・復旧」の6機能で構成。業界横断的に広く採用されている。
詳細を見る → ツール・製品
Nmap
Nmap
ネットワークスキャナー。ホスト探索・ポートスキャン・サービス/OSバージョン検出・NSEスクリプトによる脆弱性検査が可能。ペネトレーションテストの侵入前偵察フェーズで必須ツール。
詳細を見る → プロトコル・技術
OAuth 2.0
OAuth 2.0
サードパーティアプリがユーザーのリソースに限定的にアクセスするための認可フレームワーク。「Googleアカウントでログイン」などの実装に使われる。認可を担い、認証はOpenID Connectが担当する。
詳細を見る → プロトコル・技術
OpenID Connect
OpenID Connect (OIDC)
OAuth 2.0の上に認証レイヤーを追加したプロトコル。IDトークン(JWT)でユーザー情報を伝達する。「Googleアカウントでログイン」など多くのフェデレーション認証の実装基盤。OAuth 2.0が認可、OIDCが認証を担う。
詳細を見る → ツール・製品
OSINT
Open Source Intelligence
公開情報(Webサイト・SNS・Whois・DNS・サーチエンジン等)から対象に関する情報を収集・分析する手法。セキュリティ調査・競合分析・攻撃前偵察に用いられる。
詳細を見る → フレームワーク
OWASP Top 10
OWASP Top 10
Open Web Application Security Projectが発行するWebアプリの最重要脆弱性Top 10リスト。2021年版ではアクセス制御の不備・暗号化の失敗・インジェクションなどがランクイン。3〜4年ごとに更新される。
詳細を見る → プロトコル・技術
PKI
Public Key Infrastructure
公開鍵暗号基盤。デジタル証明書の発行・管理・失効を行う仕組み。認証局(CA)がWebサーバーの証明書に署名することで、ユーザーが正規サイトと通信していることを保証する。
詳細を見る → プロトコル・技術
RSA
RSA
素因数分解の困難性に基づく公開鍵暗号アルゴリズム。鍵交換・デジタル署名・少量データの暗号化に使用。2048ビット以上が推奨。量子コンピューターの脅威から将来的にポスト量子暗号への移行が検討される。
詳細を見る → プロトコル・技術
SAML
Security Assertion Markup Language
エンタープライズSSO(シングルサインオン)で広く使われるXMLベースの認証・認可標準。IdP(Identity Provider)がアサーションを発行し、SP(Service Provider)が検証する。
詳細を見る → 防御・対策
SIEM
Security Information and Event Management
複数のセキュリティ製品からログを集約し、リアルタイム分析・相関分析・アラート生成を行うプラットフォーム。Splunk・Microsoft Sentinelなどが代表的。SOCの中核システム。
詳細を見る → 攻撃手法
SIMスワッピング
SIM Swapping
攻撃者が通信キャリアのサポートに被害者を騙って電話番号を自分のSIMカードに移管させる攻撃。SMS認証(2FA)を乗っ取り、銀行口座・暗号資産・SNSアカウントの乗っ取りに使われる。
詳細を見る → 防御・対策
SOC
Security Operations Center
セキュリティ監視・インシデント検知・対応を24時間365日担当する組織・施設。SIEM・IDS/IPS・脅威インテリジェンスを組み合わせて運用する。
詳細を見る → プロトコル・技術
SPF
Sender Policy Framework
メール送信ドメインの所有者が「このドメインのメールを送ってよい送信元サーバー」をDNSのTXTレコードで宣言する仕組み。受信側は送信元IPとエンベロープ送信元を照合して正当性を判定する。なりすまし対策の基本だが、転送に弱い。
詳細を見る → 攻撃手法
SQLインジェクション
SQL Injection
WebアプリケーションのSQLクエリに悪意のある入力を注入し、DBを不正操作する攻撃。プリペアドステートメントで根本的に防御できる。OWASP Top 10の常連脆弱性。
詳細を見る → プロトコル・技術
TLS
Transport Layer Security
インターネット通信を暗号化するプロトコル。HTTPSはTLSを使用するHTTP。SSL/TLS 1.2以前は非推奨でTLS 1.3が現在の標準。証明書(X.509)によるサーバー認証も提供する。
詳細を見る → プロトコル・技術
TOTP
Time-based One-Time Password
時刻とシークレットキーを元に30秒ごとに6桁のワンタイムパスワードを生成するアルゴリズム(RFC 6238)。Google AuthenticatorやAuthyなど認証アプリの基盤技術。SMS認証より安全だが、フィッシングによる中間者攻撃には注意が必要。
詳細を見る → プロトコル・技術
VPN
Virtual Private Network
インターネット上に仮想的な専用線を構築し、暗号化された通信を実現する技術。リモートワーク時に社内ネットワークへ安全に接続するために使われる。WireGuard・OpenVPN・IPsecなど。
詳細を見る → 防御・対策
WAF
Web Application Firewall
Webアプリケーションへの攻撃(SQLi・XSS・CSRFなど)を検知・遮断するセキュリティ装置。HTTPレベルで動作し、通常のファイアウォールでは防御できないアプリ層の攻撃に対応する。
詳細を見る → 攻撃手法
XSS
Cross-Site Scripting
攻撃者が悪意のあるスクリプトをWebページに埋め込み、他ユーザーのブラウザで実行させる攻撃。反射型・蓄積型・DOMベースの3種類がある。CSPとHTMLエスケープで対策する。
詳細を見る → 基礎概念
暗号化
Encryption
データを第三者が読めない形式(暗号文)に変換する処理。対称暗号(AES)と非対称暗号(RSA)がある。転送中データ(TLS)と保存データ(ディスク暗号化)の両方で使用する。
詳細を見る → 防御・対策
インシデントレスポンス
Incident Response
セキュリティインシデント(侵害・マルウェア感染など)が発生した際の対応プロセス。NIST SP 800-61に基づく「準備→検知→封じ込め→根絶→復旧→事後分析」の6フェーズが標準。
詳細を見る → 攻撃手法
エクスプロイト
Exploit
脆弱性を実際に突いて不正な動作を引き起こすコードや技法。バッファオーバーフロー・Use-After-Free・SQLインジェクションなど多様な種類がある。PoC(概念実証)コードが公開されると攻撃者がすぐ悪用するため、パッチ適用が急務となる。
詳細を見る → 基礎概念
可用性
Availability
正当なユーザーが必要なときに情報やシステムにアクセスできる性質。冗長化・バックアップ・DDoS対策などで実現する。CIA三原則のA。
詳細を見る → ツール・製品
Kali Linux
Kali Linux
Offensive Securityが開発するペネトレーションテスト専用Linuxディストリビューション。Nmap・Metasploit・Burp Suite・Wiresharkなど600以上のセキュリティツールをプリインストール。
詳細を見る → 基礎概念
完全性
Integrity
情報が正確かつ改ざんされていない状態を保つ性質。ハッシュ関数・デジタル署名・チェックサムなどで実現する。CIA三原則のI。
詳細を見る → 防御・対策
管理プレーン
Management Plane
システムやネットワーク機器、クラウド、CI/CDなどを設定・制御するための管理画面や管理APIの総称。侵害されると設定変更、権限追加、監視停止などが可能になり、影響が広範囲に及ぶ。
詳細を見る → 基礎概念
機密性
Confidentiality
許可された者だけが情報にアクセスできる性質。暗号化・アクセス制御・認証などの手段で実現する。CIA三原則のC。
詳細を見る → 基礎概念
脅威
Threat
システムや情報に損害を与える可能性のある事象・行為・主体。自然災害・内部不正・外部攻撃者・マルウェアなどが含まれる。リスク = 脅威 × 脆弱性 × 影響。
詳細を見る → 防御・対策
脅威インテリジェンス
Threat Intelligence
攻撃者のTTP(戦術・技術・手順)・IOC(侵害の痕跡)・脅威アクターに関する情報。防御策の優先付けや検知ルール改善に活用する。STIX/TAXIIでデータ交換が標準化されている。
詳細を見る → 攻撃手法
クリプトジャッキング
Cryptojacking
被害者のコンピュータを無断で使って暗号資産(Moneroなど)をマイニングさせる攻撃。ブラウザのJavaScript・マルウェア経由で感染し、CPU/GPUを占有するためシステムが著しく遅くなる。
詳細を見る → 攻撃手法
権限昇格
Privilege Escalation
低い権限でシステムに侵入した攻撃者が、OSやアプリの脆弱性・設定ミスを悪用して管理者権限を得るプロセス。垂直(一般→管理者)と水平(他ユーザーへ)の2種類がある。
詳細を見る → 基礎概念
最小権限の原則
Principle of Least Privilege
ユーザーやプロセスには、タスク遂行に必要な最低限の権限のみを付与するセキュリティ原則。権限昇格攻撃の被害範囲を最小化するために重要。
詳細を見る → フレームワーク
サイバーキルチェーン
Cyber Kill Chain
Lockheed Martinが提唱する攻撃フェーズモデル。偵察→武器化→配送→エクスプロイト→インストール→C2→目的実行の7フェーズ。各フェーズで防御策を適用し攻撃を阻止する考え方。
詳細を見る → 攻撃手法
サプライチェーン攻撃
Supply Chain Attack
ソフトウェアのビルドパイプライン・オープンソースライブラリ・ITベンダーなど「信頼されたサプライヤー」を踏み台にして最終標的に侵入する攻撃。SolarWinds事件(2020)・XZ Utils(2024)が代表例。
詳細を見る → ツール・製品
Shodan
Shodan
インターネットに接続されたデバイス(サーバー・IoT・産業制御システム等)を検索できる特殊検索エンジン。バナー情報・サービス種別・脆弱性情報を収集。OSINTやペネトレーションテストの偵察に使用。
詳細を見る → 攻撃手法
スミッシング
Smishing
SMS(ショートメッセージ)を悪用したフィッシング攻撃。宅配業者・金融機関・公的機関を装ったSMSに偽サイトURLを含め、認証情報や個人情報を詐取する。スマートフォン利用者の増加とともに急増。
詳細を見る → 基礎概念
脆弱性
Vulnerability
システムやソフトウェアに存在するセキュリティ上の弱点。攻撃者はこれを悪用(エクスプロイト)してシステムに侵入する。CVE番号で識別される。
詳細を見る → 攻撃手法
ゼロデイ攻撃
Zero-Day Attack
パッチが未提供の脆弱性(ゼロデイ脆弱性)を突いた攻撃。ベンダーが脆弱性を認識した日を「Day 0」とし、それ以前から始まることが多い。防御が困難で価値が高い。
詳細を見る → 基礎概念
ゼロトラスト
Zero Trust
「信頼しない、常に検証する」を基本とするセキュリティモデル。社内ネットワークでも外部ネットワーク同様に厳密な認証・認可を要求する。ペリメータセキュリティの限界を補う。
詳細を見る → 攻撃手法
ソーシャルエンジニアリング
Social Engineering
人間の心理的弱点を利用して機密情報を引き出したり不正行為を実行させたりする攻撃手法。技術的な脆弱性を使わず、欺瞞・信頼・権威・緊急性などを利用する。
詳細を見る → 基礎概念
多要素認証
Multi-Factor Authentication (MFA)
2種類以上の認証要素(知識・所持・生体)を組み合わせる認証方式。パスワード単体より大幅にセキュリティを向上できる。SMS・TOTP・ハードウェアキーなどが利用される。
詳細を見る → 攻撃手法
中間者攻撃
Man-in-the-Middle (MitM)
通信する二者の間に割り込み、通信を傍受・改ざんする攻撃。ARP毒化・DNSスプーフィング・悪意のあるWi-Fiアクセスポイントなどを利用。TLSで防御できる。
詳細を見る → 攻撃手法
ディープフェイク
Deepfake
AIの深層学習(Deep Learning)で生成された偽の画像・音声・動画。本物そっくりに人物の顔や声を合成できる。ビッシング詐欺・なりすまし攻撃・ディスインフォメーションに悪用される。
詳細を見る → 基礎概念
デジタル署名
Digital Signature
送信者の秘密鍵でデータのハッシュ値を暗号化したもの。受信者が公開鍵で復号してハッシュを照合することで「改ざんなし・送信者の正当性」を同時に確認できる。コード署名・TLS証明書・JWT署名などに使用。
詳細を見る → 基礎概念
認可
Authorization
認証済みのユーザーが特定のリソースやアクションにアクセスする権限を持つかを判定するプロセス。RBAC・ABAC・最小権限の原則に基づいて実装する。
詳細を見る → 基礎概念
認証
Authentication
ユーザーやシステムが本人であることを確認するプロセス。知識(パスワード)・所持(スマートフォン)・生体(指紋)の3要素がある。2要素以上の組み合わせが推奨される。
詳細を見る → ツール・製品
Burp Suite
Burp Suite
PortSwigger社製のWebアプリセキュリティテスト統合プラットフォーム。プロキシ・Repeater・Intruder・Scannerなどのツールを統合。CommunityEdition(無料)とProfessional(有料)がある。
詳細を見る → 基礎概念
パスキー
Passkey
FIDOアライアンスが標準化したパスワードレス認証技術。公開鍵暗号とデバイス生体認証を組み合わせ、フィッシング耐性が極めて高い。WebAuthn(W3C)の上に構築され、パスワードを完全に置き換える。Apple・Google・Microsoftが対応し急速に普及中。
詳細を見る → 防御・対策
パスワードマネージャー
Password Manager
各サービスごとに異なる長いランダムパスワードを安全に生成・保存するツール。マスターパスワード1つで全パスワードを管理する。1Password・Bitwarden・KeePassXCが代表例。パスワード使い回しによる被害を根本的に防ぐ。
詳細を見る → 攻撃手法
バックドア
Backdoor
正規の認証プロセスを迂回してシステムに不正アクセスできるように仕掛けられた隠し経路。攻撃者が侵入後に設置するケースと、ソフトウェアの開発段階に仕込まれるサプライチェーン型がある。
詳細を見る → 基礎概念
ハッシュ関数
Hash Function
任意長のデータを固定長のハッシュ値(ダイジェスト)に変換する一方向関数。同じ入力は常に同じ出力を返し、わずかな変更でも大きく変化する(雪崩効果)。SHA-256・MD5(非推奨)など。
詳細を見る → 防御・対策
パッチ管理
Patch Management
OSやソフトウェアのセキュリティパッチを定期的に適用し、既知の脆弱性を修正するプロセス。テスト→承認→展開→確認のサイクルで管理する。ゼロデイ以外の多くの攻撃をパッチで防げる。
詳細を見る → 防御・対策
ファイアウォール
Firewall
ネットワークトラフィックを監視し、ポリシーに基づいて通信を許可・遮断するセキュリティ装置。パケットフィルタリング型・ステートフルインスペクション型・次世代ファイアウォール(NGFW)に分類される。
詳細を見る → 攻撃手法
フィッシング
Phishing
正規のメール・Webサイトを装い、認証情報やクレジットカード情報を騙し取る攻撃。特定個人を狙うスピアフィッシング、経営幹部を狙うホエーリングが高度化している。
詳細を見る → 攻撃手法
ブルートフォース攻撃
Brute Force Attack
パスワードや暗号鍵のすべての組み合わせを試す攻撃。アカウントロックアウト・レートリミット・長いパスワードで対策する。辞書攻撃はよく使われるパスワードのみを試す変種。
詳細を見る → 防御・対策
ペネトレーションテスト
Penetration Testing
許可を得た上で実際の攻撃者の視点でシステムへの侵入を試み、脆弱性を特定するセキュリティ評価手法。ブラックボックス・グレーボックス・ホワイトボックスの3種類がある。
詳細を見る → 攻撃手法
ボットネット
Botnet
マルウェアに感染した多数のコンピュータ(ボット)をC2サーバーから一元制御するネットワーク。DDoS攻撃・スパム送信・クリプトジャッキング・クレデンシャルスタッフィングに悪用。Emotet・Mirai(IoT)が有名。
詳細を見る → 攻撃手法
マルウェア
Malware
悪意のあるソフトウェアの総称。ウイルス・ワーム・トロイの木馬・ランサムウェア・スパイウェア・アドウェアなどが含まれる。感染経路はメール添付・Webサイト・USBメモリなど多様。
詳細を見る → 基礎概念
メールヘッダー
Email Header
メールの本文とは別に付与されるメタデータ。差出人、配送経路、認証結果、メッセージIDなどが含まれ、不審メール調査やフィッシング分析の重要な手がかりになる。
詳細を見る → ツール・製品
Metasploit
Metasploit Framework
エクスプロイトの開発・実行・ペイロード生成を行うオープンソースペネトレーションテストフレームワーク。Rapid7がメンテナンス。「msfconsole」でインタラクティブに操作する。
詳細を見る → 攻撃手法
ランサムウェア
Ransomware
被害者のファイルを暗号化して身代金(Ransom)を要求するマルウェア。近年はデータ窃取も行うDouble Extortion型が主流。バックアップと端末分離が対策の柱。
詳細を見る → 基礎概念
リスク
Risk
脅威が脆弱性を突いた場合に組織や資産に生じる潜在的な損害の大きさ。リスク = 脅威の可能性 × 影響度。リスク管理ではリスクの特定・評価・対応・監視を繰り返す。
詳細を見る → ツール・製品
Wireshark
Wireshark
GUIベースのネットワークパケットアナライザ。リアルタイムキャプチャと事後解析が可能。フィルタ機能で特定プロトコルに絞り込める。フォレンジクス・トラブルシューティング・プロトコル学習に使用。
詳細を見る →