情報セキュリティ用語集

  • あ行
    アプリケーション制御
    ■アプリケーション制御(Application Control)とは、企業等で利用する様々なアプリケーションの許可、禁止などを細かに設定しておき、コンピュータネットワークやパソコン等に被害をもたらすなどの不正なアプリケーションを社員等に利用させないための対策のことです。SNS(ツィッター、フェイスブック、インスタグラム、ラインなど)やユーチューブ、オンラインゲームなどの利用の制御も含みます。
    制御と関連する主なアプリケーションとは以下のものが挙げられます。
    • ・セキュリティ上危険なアプリケーション
    • ・社会通念上不適切なアプリケーション
    • ・社員の業務に関係のないアプリケーション
  • か行
    仮想サーバー

    ■仮想サーバーとは、異なるOSやアプリケーションごとに使用している複数台のサーバーを1台のサーバー内に仮想化(仮想化ソフトウェアが必要)によって集約し、分割して使用できる仕組みのことです。
    複数台のサーバーの機能を1台のサーバーに集約することにより、運用の効率化、新システムの導入・運用が容易になる等のメリットがあります。

    クラウドサービス

    ■クラウドサービスとは、これまでコンピュータのハードディスクに保存していたファイルデータやソフトウェア(購入してインストール)などを、インターネット上のサーバーに保存し、ネットワーク経由でどこからでもその都度利用できるサービスです。
    Webメール(G-mailなど)もクラウドサービスの一つです。
    また現在ではスマートフォンで写真や動画の保存に利用する方も増えています。

    クロスサイトスクリプティング

    ■クロスサイトスクリプティング(Cross Site Scripting:略称XSS)とは、攻撃者が攻撃対象としたWebページに悪意のあるスクリプト(命令)をわからないように埋め込み、そのWebページにアクセスしたユーザーに被害を与える攻撃手口です。
    攻撃者は、ユーザー自身がデータ(例:個人情報、アンケート調査)を入力してリアルタイムに更新されるWebページ(動的サイト)に使用されるWebアプリケーションの脆弱性を用いて攻撃を行います。
    Webページの改ざんや個人情報の漏えいといった被害をもたらします。

    コンピュータウイルス

    ■コンピュータウイルス(Computer Virus)とは、コンピュータ内に感染して、コンピュータのハードウェア、ソフトウェアに対して様々なトラブルをもたらすプログラムのことを言います。
    コンピュータウイルス(以下:ウイルス)の種類は膨大で、毎日新たなものが作成されています。
    種類によっても被害は異なりますが、ファイルデータの破壊、コンピュータの起動停止、ディスプレイの異常表示などの被害が挙げられます。
    またウイルス感染と知らずに感染したファイルデータを電子メール等で拡散してしまうなど加害者になってしまうケースもあります。
    ウイルス対策ソフトのインストールと最新ファイルへの更新、OSの最新修正プログラムのアップデータを行うなどは基本的なウイルス対策として定着しています。

  • さ行
    サイバー攻撃

    ■サイバー攻撃(Cyber Attack)とは、攻撃者がサイバー空間(コンピュータネットワーク)を通じてターゲットとする相手のサーバー等に不正侵入し、コンピュータシステムの停止、データの破壊等を主な目的として行う攻撃の方法です。
    主なターゲットとして挙げられるのは、国、政府機関、省庁、自治体、企業(特にインフラ関連企業)などです。軍事的な意味で使用されるケースも多いです。

    サービス妨害攻撃

    ■「サービス妨害攻撃」とは、一般的に「Dos攻撃」と呼ばれます。
    Dos攻撃とは英語でDenial of Service Attackのこと。
    攻撃対象となるWebサイトのサーバー等に対して、一時的に大量のアクセスを仕掛け、Webサイトのサービスの一時停止、一定期間の閲覧不可の攻撃を行う行為です。
    攻撃者はサーバー等の脆弱性を狙って攻撃を仕掛けます。
    また、事前にOSやソフトウェアの脆弱性のある多数のパソコンに攻撃プログラムを仕込んでおき、それらから一斉に攻撃対象のWebサイトのサーバー等にアクセスをさせて攻撃を仕掛ける方法を、「分散型サービス妨害攻撃」(DDos攻撃=Distributed Denial of Service Attack)と呼びます。

    辞書攻撃(ディクショナリーアタック)

    ■辞書攻撃=ディクショナリーアタック(Dictionary Attack)とは、パスワードなどを解読、解析するために使用される攻撃方法のことです。
    パスワードには辞書に掲載されている人名、地名や一般的な単語などを使用するユーザーが多くいることから、そのような単語をコンピュータの自動プログラムによって、すべての可能な組み合わせを一つ一つアタックしていきます。

    冗長化構成

    ■冗長化構成とは、起こり得るサーバーやネットワークの故障に備えて、あらかじめ複数の機器や装置を用意し、故障の際でも運用をスムーズに継続できる状態にしておくことを言います。

    スクリプト

    ■ある動作を命令する簡易的なプログラムの一つです。
    スクリプトに使用される言語をスクリプト言語と呼びます。
    代表的なものとしてJavaScript、PHP、Perlなどが挙げられます。

    ストレージ/オンラインストレージ
    ■ストレージ(Storage)とは、保存、保管の意味で、コンピュータにおいては、「記憶装置」とも呼ばれます。
    データを保管する場所、装置のことを指し、主なものとして
    • ・ハードディスクドライブ(HDD)
    • ・ソリッドステートドライブ(SSD)
    • ・外付けHDD
    • ・ネットワークHDD(NAS)
    • ・USBメモリー
    • ・ブルーレイ、DVD、CD
    • ・テープドライブ(サーバー等大容量向き)
    などが挙げられます。
    最近ではクラウドサービスの普及により、上記の記憶装置にではなく、インターネット上にデータを保存することも増えています。これをオンラインストレージと呼びます。
    スパイウェア
    ■スパイウェア(Spyware)とは、ユーザーが気づかないようにコンピュータ内に不正侵入し、ユーザーのパスワードやクレジットカード番号といった重要な個人情報やアクセス履歴等を送信して盗み出すために使用されるソフトウェアです。
    スパイウェアの感染経路の主なものとして以下が挙げられます。
    • ・フリーソフトウェアやCD-ROM等のインストール
    • ・不正なWebサイトからのソフトウェアのダウンロード
    • ・メールの添付ファイル、メール文中のリンク先(不正なWebサイト)からのダウンロード
    スパムメール

    ■スパムメール(Spam mail)とは、ユーザーの意向に関係なく無差別に大量に一斉送信されるメールのことを言います。迷惑メールと呼ばれることもあります。
    一方的な宣伝内容がほとんどですが、詐欺被害にあったり、添付ファイルを開く、文中のリンクをクリックして不正なWebサイトに誘導されウイルス感染の被害にあうこともあるので注意が必要です。
    メールの文面や送信先のメールアドレスや添付ファイル等について、少し注意すれば、削除したほうがいい怪しいメールかどうかの判断は比較的簡単です。

    脆弱性のあるWebサイト
    ■「セキュリティ対策が不十分な」Webサイトのことです。
    例えば
    • ・新たに発見されたセキュリティホール対策を更新(アップデート、パッチ等)していないOSやソフトウェアをそのままの状態で使用している
    • ・Webサーバーの設定や管理上の人為的なミス
    • ・定期的にセキュリティ対策チェックを行っていない
    などが挙げられます。
    セッションハイジャック

    ■セッションハイジャック(Session Hijacking)とは、ネットワーク上で行う一連のセッション(通信の接続、データ等のやり取り、接続終了等の流れ)の中で、攻撃者が正規ユーザーになりすまし、Webサイトから正規ユーザーの機密情報やパスワード情報などを不正に取得する攻撃のことです。
    攻撃者によってセッションに振り分けられるセッションIDを盗まれることにより、正規ユーザーへのなりすましが可能となります。

    総当たり攻撃(ブルートフォースアタック)

    ■総当たり攻撃=ブルートフォースアタック(Brute Force Attack)とは、暗号やユーザーIDとパスワードの組み合わせなどを解読、解析するために使用される攻撃方法のことです。
    コンピュータの自動プログラムによって、数字や文字のすべての可能な組み合わせを一つ一つアタックしていきます。

  • た行
    ダウンローダ型ウイルス

    ■ダウンローダ型ウイルスとはマルウェアの一種です。
    感染すると攻撃者が用意したサーバーから別のウイルスが自動的にダウンロードされ、被害が拡大します。

    ディレクトリインデックス

    ■ディレクトリインデックス(Directory Index)とは、Webサイトのコンテンツを格納するディレクトリの中のファイルが一覧表示されてしまう脆弱性のことです。
    攻撃者がその脆弱性を悪用すると、Webサーバー内のWebサイトファイル一覧を不正取得されてしまいます。
    特にファイル一覧の中に機密情報を含む重要ファイルが保存されていた場合は、攻撃者はそのファイルにアクセスし、その情報を盗む可能性もあります。

    出口対策

    ■出口対策とは、攻撃者によって企業等のコンピュータネットワークに不正侵入されてしまった場合でも、攻撃者による機密データの外部への送信等を防ぐ為に行う、正に内部から外部への出口の段階でのセキュリティ対策です。不正侵入を食い止める「入口対策」と合わせた多重防御が必要です。

    デフォルト

    ■デフォルト(Default)とは、パソコンやソフトウェアなどの初期設定、標準設定のこと。
    ユーザー自身が自ら手を加えて希望する使用変更(カスタマイズ)をしない限り、もともとの標準的な設定のまま使用することになります。

    トロイの木馬

    ■トロイの木馬とは、コンピュータの不正プログラムの一つです。
    攻撃者はユーザーに気づかれないように、メールに届いた感染した添付ファイルやインターネット上でダウンロードした感染したアプリケーションなどを通してユーザーのコンピュータ内に不正プログラムを侵入させます。
    その結果、ネットワーク経由での攻撃者からの命令、一定期間潜伏した後ある条件で不正プログラムを作動させるなどの方法によって被害を与えます。
    ユーザー被害の主なものとして、重要なファイルの削除・盗難、パスワードやアカウント情報等の盗難などが挙げられます。

  • な行
    なりすまし

    ■なりすましとは、不正な手段で盗み出した他人のIDやパスワード(個人、社員、ネットワーク管理者など)を利用し、他人のふりをしてインターネット上等で悪意ある行為を行うことです。例えば、個人のパソコン内のデータやメールを盗み見したり、データの盗難、改ざん、消去といった被害があります。
    また、IDやパスワードに関係なく、他人の名前を勝手に使用して、SNSや掲示板等で誹謗中傷を書き込むといったケースもあります。
    これらの行為は不正アクセス禁止法にて処罰対象となっています。

  • は行
    パスワードリスト攻撃

    ■パスワードリスト攻撃とは、個人情報流出等によって取得したあるユーザーのアカウント情報(ユーザーIDとパスワード)を使って、そのユーザーが複数利用しているオンラインサービスのWebサイトに不正アクセスを仕掛ける攻撃方法のことです。
    ユーザーが自身のアカウント情報を複数のオンラインサービスで使い回ししていると、攻撃者によって容易に不正アクセスされてしまい、その結果、個人情報の盗難・流出、不正送金といった被害をもたらします。

    ハッカー

    ■ハッカー(Hacker)とは、コンピュータやネットワークに精通している人のことを言います。本来は悪い意味ではありませんでしたが、企業等のコンピュータネットワークに不正侵入し、ファイルの改ざん、破壊などの被害をもたらす者のことを指すことが多いです。
    悪意のある行為を行う人をクラッカー(Cracker)と呼んでハッカーと区別することもありますが、あまり定着していません。

    バックアップ

    ■バックアップとは、パソコンやサーバー等の突然の障害や故障によるデータの消失、ウイルス感染等によるデータの被害などに備えて、あらかじめデータを別の場所 (記憶装置等)にコピーして保管しておくことを言います。

    前述の「ストレージ」機器に保管しておくことにより(個人の場合は外付けHDDなど)、万が一のデータ消失の際には、保管された記憶装置等から元のデータを復元できるので、ITセキュリティにとっては極めて重要な対策の一つです。

    バックドア

    ■バックドア(Backdoor=裏口)とは、不正アクセスを行った攻撃者が、次回からは正規の経路からのアクセスではなく、簡単にアクセスできるように悪意のある「裏口」のプログラムを仕掛けておくことを言います。

    バッファーオーバーフロー

    ■バッファーオーバーフロー(Buffer Overflow)とは、コンピュータプログラムの脆弱性の一つ。
    一時的なデータ保管のメモリ領域(バッファ-)に想定外の大きなデータを入れてもそのまま書き込んでしまうことにより、システムやプログラムに不具合を生じさせてしまうことがあります。
    攻撃者はその脆弱性を悪用し、他のサーバーへの攻撃の踏み台として利用することもあります。

    標的型攻撃メール

    ■標的型攻撃メールとは、主に特定の企業や組織などの社員等に対して、日常のビジネスの通常のメールのように巧妙に仕組んだ文面で、添付ファイルを開かせたり、文中のリンクをクリックさせて不正なWebサイトに誘導するなどの手口を使い、そこに仕込んだウイルスを感染させて、企業や組織の機密情報などを盗み出そうとする攻撃です。実在の組織と担当者名を悪用した送信者名、怪しまれない内容の添付ファイル名などを偽造し、また文面も怪しいメールと思わせないように工夫するなど、人間の心理をついた巧妙な手口が攻撃の特徴です。

    ファイアウォール

    ■ファイアウォール(Firewall)とは「防火壁」の意味。代表的なセキュリティ対策の一つです。
    外部ネットワーク(インターネット)と社内ネットワークの間に機器やソフトウェアを設定し、フィルタリングをかけて外部→社内、社内→外部へ「信頼できるデータ」のみを通すようにします。
    主に、外部からの不正アクセスや社内からの機密情報漏えい等を防ぐことを目的に設定されます。
    ただし、ファイアウォールのみですべての防御を行うことは困難であり、他のセキュリティ対策と組み合わせる必要があります。

    フィッシング詐欺
    ■フィッシング詐欺とは、様々な方法で他人のIDやパスワード、クレジットカード情報、銀行口座情報などの重要な個人情報を盗み出すことを言います。
    盗み出す主な方法としては、
    • (1)攻撃者は偽の送信者を装った偽の電子メールを対象の個人へ送り付ける
    • (2)偽の電子メールの文中に、偽のWebサイト(フィッシングサイト 例:本物と見間違えるように精巧に作成された金融機関の偽Webサイトページ)に誘導するようなリンクを張り、フィッシングサイトへアクセスさせる
    • (3)フィッシングサイトページにて個人情報を入力、送信させる
    また、(1)の電子メールだけでなく、掲示板やSNSをフィッシングサイトへの誘導に利用するケースもあります。
    不正アクセス

    ■不正アクセスとは、正規のアクセス権を持ってない攻撃者が、何らかの方法でアクセス権(ユーザーID、パスワード)を取得しログインし、Webサイト、企業のネットワーク等に不正にアクセスすることです。
    不正アクセスにより、個人情報や顧客情報を含む機密情報の盗難・流出、Webサイトの改ざんなど様々な被害を受ける可能性があります。

    ホスティングサービス

    ■ホスティングサービス(Hosting Service)とは、サーバーをユーザー(企業や個人など)に貸し出すサービスのこと。レンタルサーバーとも言います。
    1台のサーバーを1ユーザーが独占して使用する「専用サーバー」と、複数のユーザーが上限のある容量を分け合って使用する「共用サーバー」の2種類があります。
    ユーザーのメリットとしては「初期費用とランニングコストが低額で利用可能」「管理をまかせられる」などが挙げられます

    ホームページの改ざん
    ■ホームページ(Webサイト)改ざんとは、攻撃者が企業等のホームページに不正アクセスし、コンテンツ(内容)やページデザインを削除したり、変更したりと意図的に改ざんを行う攻撃のことです。
    攻撃の方法としては主に以下の2つが挙げられます。
    • ・ホームページを置いているWebサーバーの脆弱性を利用しての改ざん
    • ・ホームページを管理している管理者アカウントの情報を盗み出し、管理者になりすました形での改ざん
    被害の一例として
    • ・不適切な内容、不快なデザイン改ざんに対する謝罪
    • ・ホームページの一時停止による営業的な被害
    • ・ホームページを閲覧した閲覧者がウイルス感染
    などが挙げられます。
  • ま行
    マルウェア
    ■マルウェア(Malware)とは悪意のあるソフトウェアのことです。
    主なものとして
    • *ウイルス
    • *ワーム
    • *トロイの木馬
    • *スパイウェア(ランサムウェアもその一つ)
    などがあります。
    ミドルウェア

    ■ミドルウェア(Middleware)とは、基本ソフトのOSと各業務用のアプリケーションソフトの中間で処理を行うソフトウェアのことです。
    データベース管理システムなどが代表的なミドルウェアとして知られています。

  • や行
  • ら行
    ランサムウェア

    ■ランサムウェア(Ransomware)とはマルウェアの一種で「身代金要求型ウイルス」とも呼ばれます。
    感染するとコンピュータ内のファイルデータが次々と暗号化されてしまい、それを復元するためには攻撃者が要求するランサム(身代金)を支払うようにとトップ画面に表示されます。

    ルートキット

    ■ルートキット(Rootkit)とは、攻撃者が不正に侵入したコンピュータ内に、ユーザーに気づかれないようにその痕跡を消すための一連のソフトウェアをまとめたパッケージの総称のことです。
    顧客情報や個人情報の漏えい、ウイルスメール送信の送信元の踏み台として利用されるといった被害が想定されます。

    ロードバランサ

    ■ロードバランサ(Load Balancer)とは「負荷分散装置」の意味。
    サーバーに対して一時的に過度なアクセスが集中すれば、サーバーの応答速度は遅くなり、最悪としてはシステムがダウンしてしまうリスクがあります。
    そのリスクを避けるために、サーバーへの負荷を分散して複数のサーバーへアクセスを転送する装置のことです。
    サーバーの故障の際に、他のサーバーに切り替えるといった機能もあります。

  • わ行
    ワーム

    ■ワーム(Worm=虫)とはコンピュータウイルスの一種で、ネットワークを通じて自らの複製を拡散していくプログラムのことを言います。

  • A~G
  • H~N
  • O~U
    OS

    ■コンピュータを動かすための基本ソフトウェア。Operating Systemの略。
    パソコンでは、マイクロソフト社のWindows、アップル社のMacOS。
    スマートフォンでは、アップル社iPhoneのiOS、グーグル社のAndroid OSなどが有名です。
    またサーバーOSには、Windows系とUNIX(Linux)系があります。

    OSコマンドインジェクション

    ■OSコマンドインジェクション(OS Command Injection)とは、ユーザーが情報を入力(例:プレゼント応募など)して送信するページのあるWebサイトで、攻撃者がWebサイトに対して入力情報の中にOSコマンド(命令文)をわからないように潜ませ、それを実行させることにより、Webサイトを不正に操作する攻撃のことです。
    セキュリティの脆弱性のあるWebサイトが攻撃対象となり、顧客情報の漏えい、重要ファイルの改ざん、流出などの被害をもたらします。

    SQL(エスキューエル)インジェクション

    ■SQLとは、顧客情報などのデータベースを扱うコンピュータ言語であるデータベース言語のこと。関係データベース管理システムにおいて使用されます。
    SQLインジェクション(Injection)とは、SQLの脆弱性を利用した不正アクセスによって、Webサイトの改ざんや侵入を行う攻撃手口です。
    企業のWebサイトから顧客・会員情報を盗み出す、改ざんする、閲覧できる状態にするなど、有名企業などで過去に多くの被害実例があります。

    SSL

    ■SSLとはSecure Sockets Layerの略で、パソコンとWebサーバー間でデータを暗号化し送信できる通信方法です。
    主にユーザーの機密性の高い個人情報(例:クレジットカード情報など)の送受信に多く利用されています。
    SSLの認証を取得したWebサーバーを利用すると、パソコンのブラウザー画面には①https②鍵マークが表示されます。

    URLフィルタリング

    ■URL(Uniform Resource Locator)とはhttp://から始まるWebサイトの住所のことです。
    ユーザーにとって不適切なWebサイトの定義は、個人、組織によっても多少の差はありますが、一例として「アダルト」「薬物」「詐欺」「犯罪」等に関連したWebサイトはユーザーが閲覧すべきでない内容を含んでいるものが大半です。
    またこれらのWebサイトの中には「マルウェア」等のウイルス感染を狙った悪質なものも多く含まれているため、ユーザーの閲覧自体が非常に危険です。
    URLフィルタリングとは、ユーザーにとって危険性の高い、不適切で悪質なWebサイトをユーザーがアクセスできないように制限するセキュリティ対策の一つです。

    UTM

    ■UTM(Unified Threat Management)の略で、統合脅威管理と言います。
    多種多様な脅威に対応した様々なセキュリティ機能を一つのハードウェアに統合して、コンピュータネットワークの監視を行うことです。

  • V~Z
    VPN
    ■VPNとはVirtual Private Networkの略で、仮想的なプライベートネットワーク接続のことです。
    企業の拠点間などで、認証や暗号化等を用いた安全な通信を低コストで行うための技術です。
    VPNには
    • ①インターネットVPN=インターネットを利用
    • ②IP-VPN=通信事業者の専用回線、閉域網(限定されたネットワーク)を利用
    の2種類があります。
    Webアプリケーション

    ■インターネット環境の中で使用されるアプリケーションソフトウェアです。
    ユーザーがインターネット上で閲覧するページ(例:検索サイト、電子商取引サイト、SNS、ブログなど)のほとんどはWebアプリケーションです。
    ユーザーはパソコンやスマートフォンからインターネットにアクセスし、ブラウザ上で利用します。

    Wi-Fi不正利用
    ■Wi-Fi(無線LANなど)不正利用とは、他人が契約して利用しているWi-Fiにアクセスし、無断で利用することを言います。
    パスワード管理のずさんな無線LAN機器(企業、個人など)や誰でも利用できる無料の公衆無線LAN(公共施設、飲食店など)の中でセキュリティ対策が不十分な場所では以下のような被害にあう可能性もあります。
    • ・メールの盗み見
    • ・インターネットバンキング等の不正送金
    • ・パスワードの盗難
    • ・他人へのなりすましでの悪用 など
    不正利用は電波法違反容疑での逮捕といった実例もあります。
  • 数字・記号

表示価格は、特に記載がある場合を除きすべて税抜です。

ページ上部へ戻る