セキュリティ用語集

Business Email Compromise

経営層や取引先になりすまし、偽の送金指示やウイルス付きメールを従業員に送りつける巧妙な詐欺手法。

Distributed Denial of Service

複数の機器から特定のサーバーへ一斉に大量の通信を送りつけ、サーバーをパンクさせてサービスを利用不能にする攻撃。

Domain Name System

インターネット上の住所である「IPアドレス」と、人間が覚えやすい「ドメイン名（URL）」を対応させるシステム。

General Data Protection Regulation

「EU一般データ保護規則」。EU域内の個人データの保護を強化するための法律。日本企業であってもEU圏内の個人データを扱う場合は対象となる。

Identity and Access Management

「アイデンティティ管理」。ユーザーIDの管理や、誰がどのデータにアクセスして良いか（アクセス権限）を適切に管理する仕組み。

Information and Communication Technology

「情報通信技術」。IT（情報技術）に「Communication（通信）」の要素を含めた言葉。

Identity

ユーザーを識別するための符号。システム利用時の「身分証明書」のようなもの。

Intrusion Detection System

「侵入検知システム」。ネットワークやサーバーへの不正アクセスを監視し、検知したら管理者に通知するシステム。

Internet of Things

「モノのインターネット」。家電、自動車、工場設備など、あらゆるモノがインターネットにつながり、情報をやり取りすること。

Internet Protocol

インターネットでデータをやり取りするための通信規約。IPアドレスはネットワーク上の住所にあたる。

Intrusion Prevention System

「侵入防止システム」。IDS（検知）の機能に加え、不正な通信を検知した瞬間に自動的に遮断する機能を持つ。

Information Security Management System

「情報セキュリティマネジメントシステム」のこと。技術対策だけでなく、組織として情報を守るためのルール作りや運用体制の仕組み全体を指します。

Requirements (JIS Q 27001)

ISMSの要求事項を定めた国際規格。組織が認証を取得する際の審査基準（認証基準）となる。

Code of Practice (JIS Q 27002)

情報セキュリティ管理策の実践規範。ISO/IEC 27001の管理策を具体的にどう実装すべきかを示したガイドライン。

Cloud Security (JIS Q 27017)

クラウドサービスに関する情報セキュリティ管理策のガイドライン規格。クラウド利用者と提供者双方の対策が示されている。

Information Technology

「情報技術」。コンピュータやインターネットなどの情報処理技術の総称。

Media Access Control Address

ネットワーク機器一つひとつに割り当てられた、固有の識別番号。物理アドレスとも呼ばれる。

Mobile Device Management

「モバイルデバイス管理」。モバイル端末を企業が一元的に管理するシステム。紛失時の遠隔ロックなどが可能。

Payment Card Industry Data Security Standard

クレジットカード業界における国際的なセキュリティ基準。カード情報を扱う企業には準拠が求められる。

Personal Identification Number

「個人識別番号」。暗証番号のこと。

Security Information and Event Management

ログを一元的に集め、相関分析を行ってサイバー攻撃や異常を検知するシステム。

Structured Query Language

データベースの操作・制御を行うための言語。

Single Sign-On

1回の認証で、許可された複数のシステムを利用できるようにする仕組み。

Trusted Information Security Assessment Exchange

ドイツ自動車工業会（VDA）が定めた情報セキュリティ評価の仕組み。

Uninterruptible Power Supply

「無停電電源装置」。停電時に一時的に電力を供給する装置。

Virtual Private Network

インターネット上に仮想的な専用線を作り、通信を暗号化して安全にやり取りする技術。

Encryption

データを特定のルールに従って変換し、第三者が内容を解読できないようにすること。

First-party Audit

組織が自分自身を監査すること。「内部監査」と同義。

Incident

情報セキュリティ事故や、事故につながる恐れのある事象のこと。

Tampering

権限のない者がデータを勝手に書き換えること。

Availability

必要な時にいつでも情報やシステムが使える状態。

Integrity

情報が正確で、改ざんや欠損がない状態。

Monitoring (Business Process)

業務プロセスがルール通りに正しく機能しているか、責任者が継続的に観察・確認すること。

Confidentiality

許可された人だけが情報にアクセスできる状態。

Confidential Information

個人情報以外の、漏洩すると組織に不利益が生じる重要情報（企業秘密など）。

Threat Intelligence

攻撃者に関する情報を収集・分析し、防御に役立てるための知見。

Symmetric Key Cryptography

暗号化と復号に同じ鍵を使う暗号方式。処理が速い。

Financial Services Agency

金融機関等に対しサイバーセキュリティ対策の強化やガイドライン遵守を監督する国の機関。

Key Pair

公開鍵暗号方式における公開鍵と秘密鍵のセット。

Keylogger

キーボード操作を記録して盗み取るスパイウェア。

Cloud Service Customer

クラウドサービスを利用する組織や個人のこと。

Cloud Service Provider

クラウドサービスを提供する事業者（AWSなど）。

Clear Desk / Clear Screen

離席時に机に書類を放置しない、画面をロックすること。

XSS (Cross Site Scripting)

Webサイトに悪意あるスクリプトを埋め込む攻撃。

Quarantine

感染の疑いがあるPCを隔離して検査すること。

Public Key

誰でも入手可能な鍵。暗号化や署名検証に使われる。

Public Key Cryptography

暗号化と復号に異なる鍵（キーペア）を使う暗号方式。

Effectiveness Check

実施した是正処置が有効だったか後日検証すること。

Configuration Assets

ビジネスをサポートするツールやインフラ類（PC、ソフトなど）。

Personal Information

氏名や生年月日など、生存する個人を特定できる情報。

PPC

個人情報の適正な取扱いを監督する国の機関。

Compliance

法令遵守。法律だけでなく社内規定や倫理を守ることも含む。

Server Certificate

Webサーバーの運営者実在性を証明し、通信を暗号化するための証明書。

Cyber Attack

ネットワークを通じてシステムに不正侵入し、破壊や窃取を行う行為。

Supply Chain Attack

対策の手薄な取引先や関連会社を踏み台にして、標的企業を攻撃する手法。

Third-party Audit

認証機関など、独立した第三者機関が行う監査。

System Audit

情報システムの安全性や信頼性を独立した立場で評価すること。

System Monitoring

サーバー等の稼働状況をツールで常時チェックすること。

Shadow IT

会社が許可していない端末やサービスを勝手に業務利用すること。

Shadow AI

許可されていない生成AIを勝手に業務利用すること。

Correction

問題発生時に行う応急処置。再発防止とは異なる。

Shoulder Surfing

背後から画面や入力を盗み見る行為。「のぞき見」。

Horizontal Deployment

ある部署の是正処置を他部署にも適用し、類似事象を防ぐこと。

Swimlane

業務フロー図で担当者ごとに領域を区切る手法。

Vulnerability

プログラムの不具合などによるセキュリティ上の欠陥。

Vulnerability Assessment

システムに欠陥がないか調査すること。

Corrective Action

根本原因を除去し、再発を防止する対策。

Shared Responsibility Model

クラウド利用におけるプロバイダとユーザの責任範囲の考え方。

Zero Trust

「何も信頼しない」を前提に、すべてのアクセスを確認する概念。

Social Engineering

人の心理的隙をついて情報を盗む手法。

Multi-Factor Authentication

2つ以上の要素（知識、所有、生体）を組み合わせて行う認証。

Deepfake

AIで作成された偽の動画や音声。

Data Poisoning

AI学習データに不正データを混入させ、判断を狂わせる攻撃。

Device

業務に使用する電子機器（PC、スマホなど）全般。

Device Certificate

端末にインストールし、正規の端末であることを証明するデジタル証明書。

Specific Personal Information

マイナンバーを含む個人情報。

Eavesdropping

通信や会話を第三者がこっそり傍受すること。

Tailgating

入室許可者の直後に続いて不正に入室すること。

Trojan Horse

有用なソフトを装って侵入し、悪意ある動作をするマルウェア。

Internal Audit

自社のルール運用状況を自らチェックすること。

Spoofing

他人のふりをして不正にシステムを利用すること。

Second-party Audit

顧客などが取引先に対して行う監査。

Hallucination

AIがもっともらしい嘘を出力する現象。

Backdoor

侵入者が次回から容易に侵入できるように設置する裏口。

Private Key

所有者だけが持つ鍵。復号や署名作成に使われる。

Targeted Attack

特定のターゲットを狙い撃ちする執拗なサイバー攻撃。

Human Error

人為的なミス。メール誤送信や紛失など。

Firewall

不正アクセスを防ぐための防火壁。

Phishing

偽サイトに誘導して情報を盗む詐欺手法。

Congestion

アクセス集中により通信が混雑し繋がりにくくなる状態。

Brute Force Attack

「総当たり攻撃」。あらゆるパスワードの組み合わせを試す手法。

Process

業務の手順や工程。

Flowchart

業務の流れを図式化したもの。

Prompt Injection

AIに特殊な命令を入力し、制限を回避させる攻撃。

Botnet

乗っ取られた多数の機器で構成される攻撃ネットワーク。

Management System

組織を管理・指揮するための仕組み。PDCAサイクルなど。

Malware

悪意のあるソフトウェアの総称（ウイルスなど）。

Multi-tenancy

リソースを複数の利用者で共有する仕組み。

Model (AI Model)

データから学習したAIの計算式やルールの集合体。

Personnel

業務に従事するすべての人（社員、派遣、委託先など）。

Sensitive Personal Information

病歴や犯罪歴など、取扱いに特に配慮が必要な個人情報。

Ransomware

データを暗号化し、復号のために身代金を要求するウイルス。

Stakeholder

組織の活動に利害関係を持つ人やグループ（顧客、従業員など）。

Risk Assessment

情報資産の危険性を分析・評価すること。

Risk Management

リスクを組織的に管理し、損失などの回避または低減を図るプロセス。ISMSの中核となる活動。