パスつく.com

セキュリティ用語集

パスワードセキュリティに関連する専門用語をわかりやすく解説します。

ア行

IDS/IPS

ネットワークやシステムへの不正侵入を検知 (IDS) し、自動的に遮断 (IPS) するセキュリティシステムです。

IP スプーフィング

送信元 IP アドレスを偽装して身元を隠す攻撃手法です。

IP ブロックリスト

悪意ある IP アドレスからのアクセスを拒否するリストです。

アクセス制御

ユーザーやシステムがリソースにアクセスできる範囲を管理する仕組みです。

アドウェア

広告を強制表示するソフトウェアで、スパイウェアを兼ねる場合もあります。

暗号化

データを第三者が読めない形式に変換し、情報の機密性を保護する技術の総称です。

インシデントレスポンス

セキュリティ事故発生時の対応手順と体制です。

エアギャップ

ネットワークから物理的に隔離してセキュリティを確保する手法です。

HSM

暗号鍵を安全に保管・処理する専用ハードウェアです。

SSL/TLS

インターネット上の通信を暗号化し、データの盗聴や改ざんを防ぐプロトコルです。

SQL インジェクション

データベースへの問い合わせに不正な SQL 文を挿入し、データの窃取や改ざんを行う攻撃手法です。

エンドツーエンド暗号化

送信者から受信者まで一貫して暗号化し、中間者が内容を読めない通信方式です。

エントロピー

パスワードの予測困難さをビット数で表す指標で、値が大きいほど総当たり攻撃への耐性が高くなります。

OAuth

パスワードを共有せずに第三者アプリケーションへのアクセス権限を委譲する認可プロトコルです。

カ行

鍵管理

暗号鍵の生成・保管・配布・廃棄を安全に行うプロセスです。

キーロガー

キーボードの入力内容を密かに記録し、パスワードや個人情報を窃取するマルウェアの一種です。

CAPTCHA

人間とボットを区別するための認証テストです。

脅威インテリジェンス

サイバー脅威に関する情報を収集・分析して防御に活用する活動です。

クレデンシャルスタッフィング

漏洩した ID とパスワードの組み合わせを別のサービスに自動入力し、不正ログインを試みる攻撃です。

クロスサイトスクリプティング

Web ページに悪意あるスクリプトを注入し、閲覧者のブラウザ上で不正な処理を実行させる攻撃です。

権限昇格

通常のユーザー権限から管理者権限を不正に取得し、システムの制御を奪う攻撃手法です。

コードレビュー

ソースコードを他者が検査してバグや脆弱性を発見する品質管理手法です。

コンプライアンス

法令や業界基準に準拠したセキュリティ対策を維持することです。

サ行

最小権限の原則

業務に必要な最小限の権限のみを付与するセキュリティ原則です。

サイバー保険

サイバー攻撃による損害を補償する保険商品です。

サプライチェーン侵害

ソフトウェアの開発・配布過程に介入して悪意あるコードを混入させる攻撃です。

サンドボックス

プログラムを隔離された環境で実行し、システム全体への影響を防ぐセキュリティ技術です。

CSRF

ユーザーの認証済みセッションを悪用して不正なリクエストを送信させる攻撃です。

GDPR

EU の個人データ保護に関する包括的な規則です。

CVE

公開された脆弱性に一意の識別番号を付与する国際的な命名規則です。

SIEM

セキュリティイベントを一元的に収集・分析して脅威を検知するシステムです。

事業継続計画

災害時にも事業を継続するための計画と体制です。

辞書攻撃

よく使われる単語やフレーズのリストを用いてパスワードを推測する攻撃手法です。

SIM スワッピング

携帯電話の SIM カードを不正に再発行して SMS 認証を乗っ取る攻撃です。

ショルダーサーフィン

他人の肩越しに画面やキーボード入力を覗き見てパスワードなどの機密情報を盗み取る行為です。

シングルサインオン

一度の認証で複数のサービスやアプリケーションにアクセスできる仕組みです。

スパイウェア

ユーザーの行動や個人情報を密かに収集し、外部に送信するマルウェアの一種です。

スピアフィッシング

特定の個人や組織を狙い、事前に収集した情報を使って巧妙に仕掛けるフィッシング攻撃です。

スプリットトンネリング

VPN 接続時に一部の通信のみ VPN を経由させる設定です。

脆弱性

ソフトウェアやシステムに存在するセキュリティ上の欠陥で、攻撃者に悪用される可能性がある弱点です。

生体認証

指紋、顔、虹彩など身体的特徴を用いて本人確認を行う認証方式で、パスワードの代替や補完に使われます。

セキュアコーディング

脆弱性を作り込まないためのプログラミング手法と原則です。

セキュリティ監査

組織のセキュリティ対策の有効性を第三者が評価する活動です。

セキュリティトークン

認証時に使用する物理デバイスまたはソフトウェアで、ワンタイムパスワードの生成や暗号鍵の保管に用います。

セッションハイジャック

有効なセッション ID を窃取または推測し、正規ユーザーになりすましてサービスを不正利用する攻撃です。

ゼロデイ攻撃

修正パッチが提供される前の未知の脆弱性を悪用する攻撃で、防御が極めて困難です。

ゼロトラスト

ネットワークの内外を問わず、すべてのアクセスを信頼せず検証するセキュリティモデルです。

ソーシャルエンジニアリング

技術的な手段ではなく、人間の心理的な隙を突いて機密情報を引き出す攻撃手法の総称です。

SOC

組織のセキュリティを 24 時間体制で監視・対応する専門チームです。

ソルト

パスワードのハッシュ化時に付加するランダムなデータで、同一パスワードでも異なるハッシュ値を生成させます。

タ行

ダークウェブ

通常のブラウザではアクセスできない匿名性の高いネットワーク空間で、漏洩情報の売買にも利用されます。

タイポスクワッティング

正規ドメインの打ち間違いを狙って偽サイトを設置する攻撃です。

多層防御

複数のセキュリティ対策を重ねて単一障害点を排除する戦略です。

多要素認証

知識・所持・生体の 3 要素のうち 2 つ以上を組み合わせて本人確認を行う認証方式です。

中間者攻撃

通信の送信者と受信者の間に割り込み、データの盗聴や改ざんを行うサイバー攻撃です。

通信時暗号化

ネットワーク上を流れるデータを暗号化して盗聴を防ぐ技術です。

DNS over HTTPS

DNS クエリを HTTPS で暗号化してプライバシーを保護するプロトコルです。

DNS スプーフィング

DNS の応答を偽装して偽サイトに誘導する攻撃です。

DMZ

内部ネットワークと外部ネットワークの間に設置する緩衝地帯です。

TOTP

時刻に基づいて一定間隔で変化するワンタイムパスワードを生成する認証方式で、二段階認証に広く使われます。

DDoS 攻撃

大量のリクエストを送りつけてサーバーやネットワークを過負荷状態にし、サービスを停止させる攻撃です。

ディープフェイク

深層学習技術を用いて音声や映像を精巧に偽造する技術で、なりすまし詐欺に悪用されるリスクがあります。

ディザスタリカバリ

災害やシステム障害からの復旧計画と手順です。

データ分類

情報の機密度に応じてデータを分類し、適切な保護レベルを適用する手法です。

データマスキング

機密データを匿名化・仮名化して安全に利用する技術です。

データ漏洩

組織が保有する機密情報や個人情報が、不正アクセスや設定ミスにより外部に流出する事故です。

デジタル署名

公開鍵暗号を用いてデータの改ざん検知と送信者の認証を行う技術です。

トークナイゼーション

機密データを無意味なトークンに置換して保護する手法です。

トロイの木馬

正規のソフトウェアを装ってシステムに侵入し、バックドアの設置や情報窃取を行うマルウェアです。

ナ行

二段階認証

パスワードに加えてもう 1 つの認証要素を組み合わせることで、不正アクセスを防ぐセキュリティ手法です。

認証局

デジタル証明書を発行・管理する信頼された第三者機関で、通信相手の正当性を保証します。

ネットワーク分離

ネットワークを論理的に分割して攻撃の横展開を防ぐ手法です。

ハ行

バグバウンティ

脆弱性の発見者に報奨金を支払うセキュリティプログラムです。

パスキー

パスワードの代わりに公開鍵暗号を用いて認証を行う、FIDO2 標準に基づくパスワードレス認証方式です。

パスワードスプレー

少数のよく使われるパスワードを多数のアカウントに試行する攻撃です。

パスワードポリシー

組織やサービスが定めるパスワードの作成・管理に関するルールで、最低文字数や文字種の要件を規定します。

パスワードマネージャー

複数のパスワードを暗号化して一元管理し、安全な生成・自動入力を行うソフトウェアです。

バックドア

正規の認証を迂回してシステムにアクセスするための隠された経路で、攻撃者が不正侵入に利用します。

ハッシュ

任意の長さのデータを固定長の値に変換する一方向関数で、パスワードの安全な保存に使われます。

パッチ管理

ソフトウェアの修正プログラムを計画的に適用して脆弱性を解消する運用です。

ハニーポット

攻撃者をおびき寄せて手口を分析するための囮システムです。

PKI

公開鍵暗号基盤。デジタル証明書の発行・管理・検証を行う仕組みです。

ファイアウォール

ネットワーク通信を監視し、設定されたルールに基づいて不正なアクセスを遮断するセキュリティ機構です。

ファジング

ランダムまたは異常なデータを入力してソフトウェアの脆弱性を発見するテスト手法です。

フィッシング

正規のサービスを装った偽サイトやメールでユーザーの認証情報を騙し取るサイバー攻撃の手口です。

VPN

通信を暗号化した仮想的な専用回線を構築し、安全にデータをやり取りする技術です。

ブルートフォース攻撃

パスワードの全組み合わせを総当たりで試行し、正解を見つけ出す力任せの攻撃手法です。

ペネトレーションテスト

攻撃者の視点でシステムの脆弱性を検証する実践的なセキュリティ評価手法です。

ホエーリング

企業の経営層や幹部を標的にした高度なフィッシング攻撃で、大規模な金銭被害や情報漏洩を狙います。

ポートスキャン

ネットワーク上の開放ポートを探索して脆弱性を発見する偵察行為です。

保存時暗号化

ストレージに保存されたデータを暗号化し、物理的な盗難やディスクの不正読み取りから保護する技術です。

ボットネット

マルウェアに感染した多数のコンピュータを遠隔操作し、DDoS 攻撃やスパム送信に悪用するネットワークです。

マ行

マルウェア

コンピュータに害を与える目的で作成された悪意あるソフトウェアの総称で、ウイルスやトロイの木馬などを含みます。

水飲み場攻撃

標的が頻繁に訪れる Web サイトを改ざんしてマルウェアを配布する攻撃です。

ラ行

ランサムウェア

ファイルを暗号化して使用不能にし、復元と引き換えに身代金を要求するマルウェアの一種です。

ルートキット

システムの深部に潜伏し、自身の存在を隠蔽するマルウェアです。

レインボーテーブル

ハッシュ値から元のパスワードを逆引きするための事前計算済みテーブルで、ソルトなしのハッシュに有効です。

レートリミット

一定時間内のリクエスト数を制限してサービスを保護する仕組みです。

ワ行

ワーム

自己複製して他のコンピュータに拡散するマルウェアの一種です。

WAF

Web アプリケーションへの攻撃を検知・遮断する専用ファイアウォールです。

パスワードを生成する →