セキュリティバイデザイン 設計・企画の段階でセキュリティ対策を考えておくことです。 プライバシーバイデザイン 設計・企画の段階で個人情報のセキュリティ対策を考えておくことです。 セキュアプログラミング プログラミングの段階でセキュリティの高いも…

データベース暗号化 データベースを暗号化することで改竄を防ぎます。 データベースアクセス制御 データベースへのアクセスを制限することで不正アクセスを防ぎます。 データベースバックアップ データベースをバックアップすることで障害に備えます。 ログ…

パケットフィルタリング 外部受信したパケットが不正だと認められた場合にそれを破棄するシステムです。 MAC アドレスフィルタリング 特定のMACアドレスの機器しか無線LANに接続できないようにするシステムです。 認証サーバ ネットワークにおいてログインし…

SPF Sender Policy Framework の略で、送信元のIPアドレスを照合し、メールの送信元が正しいものであるか確認する仕組みです。 DKIM 送信側が電子署名を付与して送信者元がなりすまされていないことを証明する技術です。 SMTP-AUTH メール送信時にメールサー…

IPSec IPパケットの暗号化によって機密性。完全性を保つ技術です。 SSL/TLS 別項参照 SSH インターネットに接続された電子機器を遠隔操作、管理するためのプロトコルです。 HTTP over TLS（HTTPS） 別項参照 WPA2，WPA3 別項参照 PGP（Pretty Good Privacy）…

RASIS 別項参照 RAS技術 RASISの最初の3つの項目（信頼性、可用性、保守性）を満たすための技術です。 UPS 停電時に電子機器などに電力を供給する装置です。 多重化技術 サーバやデータベースなど様々なものを多重化することで、災害などでそのうちの1つが使…

技術的セキュリティ対策の種類 クラッキング対策 不正に侵入、データの窃盗、改竄などをされないように対策することです。 マルウェア・不正プログラム対策 マルウェア対策ソフトの導入やマルウェア定義ファイルの更新を行い、マルウェアに対策を施します。 …

情報セキュリティ啓発 情報セキュリティについて資料配付、メディア活用をして教育を行います。 情報セキュリティ訓練 標的型メールに関する訓練やレッドチーム演習などを行い実際に攻撃されるときに備えます。 利用者アクセスの管理 アカウントや特権的アク…

セキュリティ機能要件 セキュリティ対策を行うに当たっての必要な機能を示したものです。 セキュリティ保証要件 セキュリティ対策の評価方法について記してあります。 保証レベル どれほどしっかりセキュリティ対策がされているか示す指標です。 JISEC（IT …

情報セキュリティ委員会 情報セキュリティを運営するための組織内の委員会のことです。経済産業省が発行しているセキュリティ管理基準において設置が求められています。 情報セキュリティ関連組織 CSIRT 報告を受けた情報セキュリティインシデントについて調…

情報セキュリティマネジメントシステム（ISMS） 情報セキュリティの業務を整理、まとめたものです。 管理策 情報セキュリティインシデントの適切に処理し、情報セキュリティの教育、訓練を行って、法的及び契約上の要求事項の順守を確固たるものにし、ISMSを…

情報セキュリティ方針 情報セキュリティについて考える基準を記したものです。 情報セキュリティ目的 情報セキュリティ対策を行う目的を明確にするものです。 情報セキュリティ対策基準 情報セキュリティ対策を行うときの指針を記したものです。 情報管理規…

情報セキュリティ継続 継続的に情報セキュリティの運用を行うためのプロセスです。 緊急事態の区分 緊急事態をいくつかのレベルに分類することです。 緊急時対応計画（コンティンジェンシ計画） 緊急時の対応を確実に適切なものとするために予め立てておく計…

リスクコントロール リスクの扱い方の面から見たリスク対応方法です。 リスク回避 リスクが起きないようにすることです。 リスクヘッジ リスクを予測してそれに備えることです。 リスクファイナンシング 財政面から見たリスクの対応方法です。 リスク保有 リ…

リスク基準 リスク受容基準 どのくらいのリスクであれば許容出来るか決めるための基準です。 リスクレベル リスクの大きさを生起確率とその結果であらわすものです。 リスクマトリックス リスクレベルを2次元の表にプロットしてまとめたものです。 リスク所…

責任損失 事件・事故について責任を問われ、生じる損失のことです。 人的損失 事故や事件に人が巻き込まれ、傷害を負うことで、これにより生産性が悪くなります。 リスクの種類 オペレーショナルリスク 不適切な内部システムや外部要因によって生じるリスク…

機密性 別項参照 完全性 別項参照 可用性 別項参照 情報資産台帳 情報資産が何かを記した帳簿です。

情報セキュリティリスクに対応するに当たり、情報資産を把握しないと保護対象が明確にならないため、これの把握を最初に行います。 情報セキュリティリスクアセスメント 情報資産、それに対するリスク、脅威を明確にし、その重大性を評価、許容の可否を判断…

情報セキュリティポリシに基づく情報の管理 情報資産を保護するためには情報セキュリティポリシに基づいて管理をする必要があります。 情報セキュリティポリシ 情報セキュリティ対策を行う上で必要な考え方、行為をまとめたものです。どんな人にでも分かるよ…

PKI（公開鍵基盤） Public Key Infrastructure の略で、公開鍵暗号方式を利用するためのセキュリティについてののインフラのことです。 CA（認証局） Certification Authority の略で、証明書の有効性を保証します。 ルート認証局 自身で自身を証明する認証…

身体的特徴 静脈パターン認証 静脈のある位置によって個人を識別する認証です。 虹彩認証 虹彩（目の中にある入ってくる光の量を調節する膜）を認証に用いる技術です。 声紋認証 人の声を認証に用いる技術です。 顔認証 顔のパーツの位置から個人を識別する…

アクセス管理 対象データへのアクセス権限がある人のみがアクセス出来るように管理することです。 IC カード ICチップを埋め込んだカードです。 PIN コード Personal Identification Number の略です。パスワードはインターネット上に保存されますが、PINは…

ディジタル署名 送信してきた相手が誰であるかデジタル的に証明するものです。 署名鍵 ディジタル署名を暗号化するときに使用する秘密鍵のことです。 検証鍵 暗号化されたデジタル署名を復号するために使用する公開鍵のことです。 XML ディジタル署名 XMLに…

CRYPTREC 暗号リスト 電子政府が推奨する暗号のリストです。 電子政府 情報通信技術によって様々な処理の効率化をし、効果的な政府を目指すものです。 暗号方式 暗号化（暗号鍵） 対象データの内容をを第三者に知られないように暗号化用の鍵を使用してコード…

辞書攻撃 パスワードの割り出しに辞書にある単語を使用する手法です。 総当たり（ブルートフォース）攻撃 パスワードをしらみつぶしに調べていく手法です。 パスワードリスト攻撃 何らかの方法で入手したID・パスワードを利用して当該アカウントに不正アクセ…

バグ プログラムの欠陥、誤りのことです。 セキュリティホール ソフトウェアに存在するバグ、不具合など不利益をもたらし得るもののことです。 人的脆弱性 人間が原因の脆弱性です。メールに添付された不正ソフトを開封してしまう等がこれにあたります。 シ…

マルウェア 意図的に情報資産に攻撃を加えるプログラムのことです。 コンピュータウイルス 他のプログラムに寄生し、増殖や潜伏等を行うマルウェアのことです。 マクロウイルス マクロ機能を使用したウイルスのことです。 遠隔操作型ウイルス 遠隔操作により…

クラッキング 悪意を持ってコンピュータシステムに侵入、破壊、改竄を行うことです。 ビジネスメール詐欺（BEC） 企業の従業員を狙った金銭を目的とする詐欺です。関係者を装ってメールをし、マルウェアを侵入させたり情報を窃取します。 ソーシャルエンジニ…

情報資産 別項参照 脅威 情報資産にリスク、損失を発生させる原因のことです。 脆弱性 プログラム上の情報セキュリティの欠陥のことです。 サイバー空間 （ネットワークなどにより構築された）仮想的な空間のことです。 サイバー攻撃 サイバー空間においての…

CIA属性 セキュリティを構築する上で重要な概念である、機密性、完全性、可用性の頭文字を取ったものです。 機密性（Confidentiality） 意図せず外部に情報が漏れることがないようにすることです。 完全性（Integrity） 情報の正確性、完全性（欠落がないこ…