情報セキュリティマネジメントシステム（ISMS） 情報セキュリティの業務を整理、まとめたものです。 管理策 情報セキュリティインシデントの適切に処理し、情報セキュリティの教育、訓練を行って、法的及び契約上の要求事項の順守を確固たるものにし、ISMSを…

情報セキュリティ方針 情報セキュリティについて考える基準を記したものです。 情報セキュリティ目的 情報セキュリティ対策を行う目的を明確にするものです。 情報セキュリティ対策基準 情報セキュリティ対策を行うときの指針を記したものです。 情報管理規…

情報セキュリティ継続 継続的に情報セキュリティの運用を行うためのプロセスです。 緊急事態の区分 緊急事態をいくつかのレベルに分類することです。 緊急時対応計画（コンティンジェンシ計画） 緊急時の対応を確実に適切なものとするために予め立てておく計…

リスクコントロール リスクの扱い方の面から見たリスク対応方法です。 リスク回避 リスクが起きないようにすることです。 リスクヘッジ リスクを予測してそれに備えることです。 リスクファイナンシング 財政面から見たリスクの対応方法です。 リスク保有 リ…

リスク基準 リスク受容基準 どのくらいのリスクであれば許容出来るか決めるための基準です。 リスクレベル リスクの大きさを生起確率とその結果であらわすものです。 リスクマトリックス リスクレベルを2次元の表にプロットしてまとめたものです。 リスク所…

責任損失 事件・事故について責任を問われ、生じる損失のことです。 人的損失 事故や事件に人が巻き込まれ、傷害を負うことで、これにより生産性が悪くなります。 リスクの種類 オペレーショナルリスク 不適切な内部システムや外部要因によって生じるリスク…

機密性 別項参照 完全性 別項参照 可用性 別項参照 情報資産台帳 情報資産が何かを記した帳簿です。

情報セキュリティリスクに対応するに当たり、情報資産を把握しないと保護対象が明確にならないため、これの把握を最初に行います。 情報セキュリティリスクアセスメント 情報資産、それに対するリスク、脅威を明確にし、その重大性を評価、許容の可否を判断…

情報セキュリティポリシに基づく情報の管理 情報資産を保護するためには情報セキュリティポリシに基づいて管理をする必要があります。 情報セキュリティポリシ 情報セキュリティ対策を行う上で必要な考え方、行為をまとめたものです。どんな人にでも分かるよ…

PKI（公開鍵基盤） Public Key Infrastructure の略で、公開鍵暗号方式を利用するためのセキュリティについてののインフラのことです。 CA（認証局） Certification Authority の略で、証明書の有効性を保証します。 ルート認証局 自身で自身を証明する認証…

身体的特徴 静脈パターン認証 静脈のある位置によって個人を識別する認証です。 虹彩認証 虹彩（目の中にある入ってくる光の量を調節する膜）を認証に用いる技術です。 声紋認証 人の声を認証に用いる技術です。 顔認証 顔のパーツの位置から個人を識別する…

アクセス管理 対象データへのアクセス権限がある人のみがアクセス出来るように管理することです。 IC カード ICチップを埋め込んだカードです。 PIN コード Personal Identification Number の略です。パスワードはインターネット上に保存されますが、PINは…

ディジタル署名 送信してきた相手が誰であるかデジタル的に証明するものです。 署名鍵 ディジタル署名を暗号化するときに使用する秘密鍵のことです。 検証鍵 暗号化されたデジタル署名を復号するために使用する公開鍵のことです。 XML ディジタル署名 XMLに…

CRYPTREC 暗号リスト 電子政府が推奨する暗号のリストです。 電子政府 情報通信技術によって様々な処理の効率化をし、効果的な政府を目指すものです。 暗号方式 暗号化（暗号鍵） 対象データの内容をを第三者に知られないように暗号化用の鍵を使用してコード…

辞書攻撃 パスワードの割り出しに辞書にある単語を使用する手法です。 総当たり（ブルートフォース）攻撃 パスワードをしらみつぶしに調べていく手法です。 パスワードリスト攻撃 何らかの方法で入手したID・パスワードを利用して当該アカウントに不正アクセ…

サイバーテロリズム ネットワークを利用した情報システムに対する攻撃のことです。 ダークウェブ 特別なソフトウェアを利用しないと閲覧出来ないウェブサイトのことです。 サイバーキルチェーン サイバー攻撃の段階を7つに分類したものです。

不正のトライアングル 機会，動機，正当化の3つの要因が揃ったときに不正が発生するという理論です。 機会 不正の実行を容易または可能にする状況のことです。 動機 不正行為を後押しする要因のことです。 正当化 不正行為を良しとする理由のことです。 状況…

バグ プログラムの欠陥、誤りのことです。 セキュリティホール ソフトウェアに存在するバグ、不具合など不利益をもたらし得るもののことです。 人的脆弱性 人間が原因の脆弱性です。メールに添付された不正ソフトを開封してしまう等がこれにあたります。 シ…

マルウェア 意図的に情報資産に攻撃を加えるプログラムのことです。 コンピュータウイルス 他のプログラムに寄生し、増殖や潜伏等を行うマルウェアのことです。 マクロウイルス マクロ機能を使用したウイルスのことです。 遠隔操作型ウイルス 遠隔操作により…

クラッキング 悪意を持ってコンピュータシステムに侵入、破壊、改竄を行うことです。 ビジネスメール詐欺（BEC） 企業の従業員を狙った金銭を目的とする詐欺です。関係者を装ってメールをし、マルウェアを侵入させたり情報を窃取します。 ソーシャルエンジニ…

情報資産 別項参照 脅威 情報資産にリスク、損失を発生させる原因のことです。 脆弱性 プログラム上の情報セキュリティの欠陥のことです。 サイバー空間 （ネットワークなどにより構築された）仮想的な空間のことです。 サイバー攻撃 サイバー空間においての…

CIA属性 セキュリティを構築する上で重要な概念である、機密性、完全性、可用性の頭文字を取ったものです。 機密性（Confidentiality） 意図せず外部に情報が漏れることがないようにすることです。 完全性（Integrity） 情報の正確性、完全性（欠落がないこ…

ハンドオーバ 携帯端末が、移動中に使用基地局を変更することです。 ローミング 契約業者のサービスエリア外でも契約業者の提携先の業者の通信インフラを利用して同様のサービスを受けられる仕組みのことです。 MIMO Multiple-Input and Multiple-Output の…

携帯端末（携帯電話，スマートフォン，タブレット端末など） 持ち運びのできる通信機器のことです。 テザリング モバイルデータ通信を利用出来る端末を用いて、通信機器をインターネットに接続することです。 テレマティクス （自動車などの）移動体に通信機…

移動体通信事業者 移動して使用出来る通信端末を自社で保有して取り扱う事業者のことです。 MVNO（仮想移動体通信事業者） Mobile Virtual Network Operator の略で、自社で通信インフラを保有せずに、移動体通信事業者から借用して取り扱う事業者のことです…

専用線サービス 別項参照 回線交換サービス 別項参照 パケット交換サービス 別項参照 IP電話 IPを利用した電話方式です。 FTTH 別項参照 衛星通信サービス 地球上の様々な場所間の通信を可能にするために、衛星を中継局として通信するサービスです。 国際通…

ネットワークOS ネットワーク環境に接続された機器を管理、制御するためのOSのことです。

エクストラネット 複数のイントラネットを連携させ、他の組織との情報共有を可能にしたものです。 EC（電子商取引） Electronic Commerce の略です。ネットワーク上の電子情報で商取引を行うことです。 EDI Electronic Data Interchange の略で、ビジネス文…

イントラネット 企業など、一定の組織内で使用されるネットワークです。 VPN Virtual Private Network の略で、公衆回線に仮想的な専用線を構築して遠隔地ともプライベートネットワークが実現出来るようにしたものです。 PVC（相手固定接続） Permanent Virt…

全文検索型 検索ワードをもとにホームページの全文を対象に目的のデータを検索する方法です。 ディレクトリ型 手動でWebページを分類する方法です。 ロボット型 ロボットがホームヘージのデータを収集して、データベース化する手法です。