用語集 | 情報セキュリティ基礎 | スキルアップカレッジ

アクセス制御（あくせすせいぎょ）

権限のない人が情報資産にアクセスできないように制限する仕組み。認証と認可を組み合わせて、誰が何にアクセスできるかを管理する。

暗号化（あんごうか）

データを「鍵」を使って読めない形に変換する技術。盗聴・改ざんを防ぐ手段として、通信や保存データに広く使われる。共通鍵暗号と公開鍵暗号があり、実際の通信ではハイブリッドで使うのが標準。

インシデント（いんしでんと）

情報資産への脅威が現実化した事象を広く指す。軽微な誤送信から重大な不正侵入まで含む。早期に小さな兆候を捉えることが大事故を防ぐ第一歩。

インシデント対応（いんしでんとたいおう）

インシデント発生時の調査・封じ込め・復旧・教訓化のプロセス。標準的には準備・特定・封じ込め・根絶・復旧・教訓の 6 段階で整理される。

内部脅威（ないぶきょうい）

→ インサイダーを参照。

公開鍵暗号方式（こうかいかぎあんごうほうしき）

暗号化用の「公開鍵」と復号用の「秘密鍵」のペアを使う暗号方式。鍵の事前共有が不要だが、共通鍵暗号より遅い。RSA、楕円曲線暗号（ECC）が代表的。

完全性（かんぜんせい、Integrity）

CIA トライアドの 1 つ。情報が正確で、改ざんされていないことを意味する。ハッシュ値、デジタル署名、バージョン管理、ログ監査などで守る。

機密性（きみつせい、Confidentiality）

CIA トライアドの 1 つ。権限のない人に情報が漏れないことを意味する。認証、アクセス制御、暗号化、物理的な施錠などで守る。

共通鍵暗号方式（きょうつうかぎあんごうほうしき）

暗号化と復号で同じ鍵を使う暗号方式。鍵を事前に安全に共有する必要があるが、高速で大量データに適する。AES が代表的。

個人情報保護法（こじんじょうほうほごほう）

日本の個人情報を扱う事業者に義務を課す法律。2003 年成立、2017・2020・2022 年改正。利用目的の特定、安全管理、第三者提供制限、開示・訂正対応、漏洩時の報告などが義務化されている。

個人情報（こじんじょうほう）

生存する個人を識別できる情報。氏名、住所、メールアドレス、顔写真、複数情報を組み合わせて個人を特定できるデータも含む。

サプライチェーン攻撃（さぷらいちぇーんこうげき）

攻撃対象を直接狙うのではなく、その取引先・委託先・利用ソフトウェアを経由して侵入する手口。SolarWinds 事件（2020 年）が代表例で、2026 年時点で大規模化傾向。SBOM の整備、委託先評価、利用ソフトの脆弱性管理が対策。

最小権限の原則（さいしょうけんげんのげんそく、PoLP）

業務に必要な最低限の権限のみを与え、それ以外は与えない、という認可の原則。退職者・異動者の権限管理、定期的な棚卸しが運用の核。

サンドボックス（さんどぼっくす）

→ レッスン本文では主に隔離環境を指すが、本コースでは詳細を扱わない。

シャドー IT（しゃどーあいてぃー）

IT 部門の許可なく社員が使うクラウドサービスやソフトウェアのこと。便利な反面、機密情報の流出経路や退職時のデータ残存リスクになる。「禁止」だけでは消えないため、申請窓口・主要 SaaS の組織契約・定期棚卸しを組み合わせる運用が現実的。

脆弱性（ぜいじゃくせい、Vulnerability）

脅威に利用される弱点。技術的（未パッチ・設定ミス）、人的（教育不足）、組織的（方針不在）、物理的（入退室管理）の 4 種類がある。

ソーシャルエンジニアリング（そーしゃるえんじにありんぐ）

技術的な侵入ではなく、人間の心理を利用して情報を盗む手口の総称。Cialdini の「説得の 6 原則」を悪用する。電話、権威の利用、緊急性、親切さ、同調圧力などのテクニックがある。

SOC （そっく）

→ さ行参照。

多層防御（たそうぼうぎょ、Defense in Depth）

複数の防御層を重ねてリスクを低減する設計思想。「ファイアウォールだけ」「アンチウイルスだけ」のような単発の防御に頼らず、複数層の組み合わせで全体の防御を強くする。

多要素認証（たようそにんしょう）

→ MFA を参照。

TLS（てぃーえるえす、Transport Layer Security）

Web 通信を暗号化する標準プロトコル。HTTPS は HTTP に TLS を加えたもの。ブラウザの「鍵マーク」は TLS が有効で証明書が信頼されていることを示す。

データ分類（でーたぶんるい）

データの重要度に応じて保護レベルを変えるための分類。公開・社外秘・極秘の 3 段階が基本で、組織により 4〜5 段階に細分化することもある。

テレワーク（てれわーく）

オフィス以外で働く形態。自宅ネットワークのリスク、家族との情報境界、物理セキュリティの油断など、新たなセキュリティ論点が浮上。

トロイの木馬（とろいのもくば）

「正規のソフト」を装って侵入するマルウェアの一種。ギリシャ神話が由来。偽の無料ソフトや海賊版ソフトに仕込まれることが多い。

NIST（にすと、米国国立標準技術研究所）

米国商務省管轄の研究所。セキュリティ標準として SP 800 シリーズが世界的に参照される。「インシデント対応の 6 段階」「パスワードの新指針」など、日本のセキュリティ運用にも大きな影響を与えている。

認可（にんか、Authorization）

「あなたは何ができるか」を決める仕組み。認証後、ユーザーがアクセス可能な範囲・操作を決定する。最小権限の原則が運用の核。

認証（にんしょう、Authentication）

「あなたは誰か」を確認する仕組み。パスワード、MFA、生体認証などがある。組織のセキュリティの 7〜8 割を支える基本機能。

バックアップ（ばっくあっぷ）

データの複製を別の場所に保存する仕組み。可用性の最後の砦。3-2-1 ルール（3 つのコピー、2 種類の媒体、1 つはオフライン）が業界の基本。

バックドア（ばっくどあ）

外部からの不正アクセスを可能にする「裏口」をシステムに開けるマルウェアの一種。侵入後に攻撃者が後で再侵入できるように仕掛けられる。

パスキー（ぱすきー、Passkey）

FIDO2 / WebAuthn 標準に基づく、パスワードを使わない認証方式。デバイス内の秘密鍵で認証し、フィッシング耐性がある。2022 年から急速に普及、2026 年 6 月時点で主要サービスへの対応が進行中。

パスワード（ぱすわーど）

認証の最も基本的な方法。長さ・複雑さ・予測されないこと・使い回さないことが基本。NIST は 2017 年以降、強制的な定期変更を必須としない方針に転換。

フィッシング（ふぃっしんぐ）

本物に見える偽のメール・サイトで認証情報や個人情報を盗む手口。釣り（fishing）の語呂合わせ。送信元・URL・不自然な日本語・緊急性・添付ファイルなどから見分けるが、生成 AI の普及で「自然さ」が向上しており「確認の習慣」が重要。

ファイアウォール（ふぁいあうぉーる）

ネットワークの境界に置いて、通信の出入りを制御する仕組み。「許可された通信」のみを通し、「禁止された通信」をブロック。境界の防御だが、現代では多層防御の一部として位置づけられる。

フォレンジック（ふぉれんじっく）

インシデントの証拠を保全・分析する技術。メモリダンプ、ディスクのビットイメージコピー、通信パケットのキャプチャなどを行う。社内対応が難しい場合は外部専門会社へ委託。

公衆 Wi-Fi （こうしゅうわいふぁい）

カフェ、空港、ホテル、駅などで提供される Wi-Fi。便利な反面、盗聴・偽 Wi-Fi（エビルツイン）・マルウェア配布・DNS 操作などのリスクがある。HTTPS のみ・VPN・テザリングなどで使い分けるのが現実的。

BCP（びーしーぴー、Business Continuity Plan）

業務継続計画。災害・インシデント時に業務を継続させる計画。情報セキュリティのインシデント対応とも密接に関わる。

BEC（びーいーしー、Business Email Compromise、ビジネスメール詐欺）

CEO や取引先を装い、経理担当者に偽の振込指示を出す手口。「機密だから誰にも相談するな、急いで」が典型パターン。FBI 年次報告（IC3）で単一手口として最大の被害額を出し続けている。

BYOD（びーわいおーでぃー、Bring Your Own Device）

個人のスマートフォンや PC を業務でも使う制度。MDM（端末管理）・MAM（アプリ管理）・コンテナ化など組織の方針に従う。

マルウェア（まるうぇあ、malware）

悪意のあるソフトウェア全般を指す総称。ウイルス、ワーム、トロイの木馬、ランサムウェア、スパイウェア、バックドアなどに分類される。

MFA（えむえふえー、多要素認証）

認証要素（知識・所有・生体）のうち 2 つ以上を組み合わせる認証。Microsoft の 2019 年の研究では自動化された攻撃の 99.9% 以上を防ぐと報告されている。

要配慮個人情報（ようはいりょこじんじょうほう）

人種、信条、社会的身分、病歴、犯罪歴など、特別な配慮を要する個人情報。一般の個人情報より厳格な取り扱いが求められる。

ランサムウェア（らんさむうぇあ）

ファイルを暗号化し、復号と引き換えに身代金（ransom）を要求するマルウェア。2010 年代後半から爆発的に増加、現在は組織を狙う最大級の脅威。近年は「二重脅迫」（暗号化＋データ流出での脅迫）が主流。

リスク（りすく）

損害発生の可能性。「リスク = 脅威 × 脆弱性 × 影響度」のかけ算で表せる。リスクへの対応には受容・低減・移転・回避の 4 つの選択肢がある。

リスクアセスメント（りすくあせすめんと）

情報資産の棚卸し → 脅威の特定 → 脆弱性の評価 → 影響度の評価 → 優先順位付けと対策、というリスク管理の基本プロセス。

ログ（ろぐ）

システム・アプリケーションの動作記録。アクセスログ、認証ログ、システムログ、ネットワークログ、メールログ、クラウドサービスログなど。インシデント調査と再発防止に不可欠。

APT（えーぴーてぃー、Advanced Persistent Threat、高度な持続的脅威）

国家支援グループや高度な犯罪組織による、特定組織への長期間（半年〜数年）の潜伏型攻撃。ゼロデイ脆弱性の利用、巧妙な隠蔽が特徴。

CISO（しーそ、Chief Information Security Officer）

最高情報セキュリティ責任者。組織のセキュリティ戦略・運用を統括する経営層ポジション。

CISSP （しすぷ、Certified Information Systems Security Professional）

国際的に認知されたセキュリティ専門家資格。ISC2 が認定する。

CSIRT（しーさーと、Computer Security Incident Response Team）

組織のインシデント対応専門チーム。発生時の調査・封じ込め・復旧・教訓共有を主担当。平時はインシデント対応訓練、手順書整備、関係部門との調整。

CIA トライアド（しーあいえーとらいあど）

情報セキュリティの基本フレームワーク。Confidentiality（機密性）・Integrity（完全性）・Availability（可用性）の 3 観点。すべての設計と運用の出発点。

DMARC（でぃーまーく、Domain-based Message Authentication, Reporting, and Conformance）

メールのなりすましを技術的にブロックする仕組み。SPF・DKIM と組み合わせて使う。BEC 対策の重要な技術手段。

EDR（いーでぃーあーる、Endpoint Detection and Response）

エンドポイント（PC・サーバー）の挙動を監視し、不審な動きを検知する仕組み。従来のアンチウイルスより高度な検知能力を持つ。

Emotet （えもてっと）

2014 年頃から活動が確認されているマルウェアファミリー。メール添付経由でマクロやスクリプトを実行し、二次感染の起点となる。Microsoft や法執行機関の連携で何度かインフラが解体されたが、復活を繰り返している。

FIDO2 / WebAuthn（ふぁいどーつー／うぇぶおーすん）

パスキーの基盤となる標準仕様。公開鍵暗号方式を使ったパスワードレス認証を実現する。

GDPR（じーでぃーぴーあーる、General Data Protection Regulation）

EU 一般データ保護規則。2018 年施行、EU 居住者の個人データに適用。「域外適用」で EU 域外の企業にも影響、違反時の制裁金は最大「全世界売上の 4%」または 2000 万ユーロ。

HTTPS（えいちてぃーてぃーぴーえす）

HTTP に TLS を加えた、暗号化された Web 通信プロトコル。ブラウザのアドレスバーに「鍵マーク」が表示される。

IdP（あいでぃーぴー、Identity Provider）

SSO の中心となる認証基盤。複数サービスから認証要求を受け、認証結果を提供する。Microsoft Entra ID（旧 Azure AD）、Google Workspace、Okta、Auth0 などが代表的。

IPA （情報処理推進機構）

日本のセキュリティ関連の基礎資料・教材を提供する独立行政法人。

JPCERT/CC（じぇいぴーさーと）

日本の代表的な CSIRT。最新の脆弱性情報・注意喚起を発信。組織のセキュリティ担当者にとって必読の情報源。

MAM（えむえーえむ、Mobile Application Management）

BYOD 運用で、業務アプリだけを管理する方式。端末全体ではなく、特定アプリの中だけにルールを適用。

MDM（えむでぃーえむ、Mobile Device Management）

BYOD 運用で、組織が端末全体を管理する仕組み。リモートロック・データ消去などの機能を持つ。

NIST SP 800-61

NIST が公開する「インシデント対応ガイド」。インシデント対応の標準的な 6 段階（準備・特定・封じ込め・根絶・復旧・教訓）の基準。

PIPL（ぴーあいぴーえる、Personal Information Protection Law）

中国の個人情報保護法。2021 年施行。海外企業にも適用される条項があり、データの国内保管要件（データローカライゼーション）が論点。

PPAP（ぴーぴーえーぴー）

Password-protected ZIP file, Password, Attached, Protocol の略。暗号化された ZIP ファイルとパスワードを別メールで送る伝統的手法。近年は推奨されず、ファイル共有・期間限定リンク・TLS／S/MIME などへの移行が進行中。

RSA（あーるえすえー）

公開鍵暗号方式の代表的アルゴリズム。1977 年に Rivest・Shamir・Adleman が発表。十分長い鍵長（2048 ビット以上）で現状安全とされる。量子コンピュータ時代に向けて耐量子計算機暗号（PQC）への移行が議論されている。

SaaS（さーす、Software as a Service）

クラウド型ソフトウェアの提供形態。便利な反面、利用拡大によりシャドー IT、データ管理、退職者管理などの論点が浮上。

SBOM（えすぼむ、Software Bill of Materials）

ソフトウェア部品表。ソフトウェアを構成する部品（ライブラリ・コンポーネント）の一覧を可視化することで、サプライチェーン攻撃への対策を強化する取り組み。

SIM スワップ（しむすわっぷ）

攻撃者が携帯電話会社を騙し、被害者の電話番号を別の SIM に移して SMS による認証コードを盗む手口。SMS による MFA の弱点。

SolarWinds 事件（そーらーうぃんずじけん）

2020 年に発覚した大規模サプライチェーン攻撃。SolarWinds 社の Orion ソフトウェアアップデートにマルウェアが混入し、米国政府機関を含む多数の組織に侵入を許した。

SSO（えすえすおー、Single Sign-On）

1 度のログインで複数のサービスを使えるようにする仕組み。IdP（Identity Provider）が認証を担い、各サービスは IdP の認証結果を受け入れる。利便性と集約防御の利点がある一方、集中点障害のリスクがある。

USB ベイティング（ゆーえすびーべいてぃんぐ）

拾った USB メモリを差し込ませることでマルウェアを感染させる手口。「baiting（餌で誘う）」が語源。

VPN（ぶいぴーえぬ、Virtual Private Network）

インターネット越しに、暗号化された通信トンネルを作る技術。テレワーク、拠点間接続、個人プライバシーなどに使われる。装置の脆弱性が増加しており、パッチ適用が必須。

WannaCry（わなくらい）

2017 年に世界中で猛威を振るったランサムウェア型ワーム。150 か国以上、30 万台以上の PC に感染したと報告された。

ゼロトラスト（ぜろとらすと、Zero Trust）

「すべてのアクセスを信頼せず、毎回検証する」設計思想。境界防御の前提崩壊（クラウド・テレワーク・BYOD・標的型攻撃）を受けて 2010 年代後半から広まった。「特定の製品を入れて完成」ではなく、組織の設計思想の転換が必要。