ICT Glossary

アクセス アクセスとはユーザーがコンピューターやネットワークに接続すること、あるいは接続した先のリソースを使用すること。

アクセスコントロール アクセスコントロールとは、アクセスした際にユーザーに与えられる権限(読取り、書込み、実行)の有無により、ユーザー毎にアクセス可能なリソースの範囲を限定すること。

アカウンタビリティ 組織や個人が自己の言動や方針・経過などについて説明すること。また「結果に対する責任」と「説明する責任」の二つの意味合いを含めている。

アカウント ユーザーがコンピューターやネットワークにアクセス(ログイン)するための利用権限。ユーザー ID とパスワードを含めた認証情報のことをアカウントと呼ぶ場合もある。

アドオン ソフトウェアが本来持つ機能を補う目的で後から機能追加を行うこと。

管理者（権限） コンピューターやネットワークにおいて、通常の利用では行うことができない設定変更やソフトウェアのインストール、削除等のシステムに対する重要な作業を行うことができる特別な権限。

持続的標的型攻撃 様々な手段(例・サイバー攻撃、物理的接触、詐欺等)を組み合わせて、特定の組織や個人を狙って継続的に行われる攻撃のこと。高度な技術、専門性、そして多大な人的リソースで仕掛けられる。

アドウェア ユーザーの意図しない場面で表示される広告。スパイウェアによって盗み出されたユーザーの趣味嗜好に関する個人情報に沿って表示される場合が多い。

アラート 警告、警報。システムが利用者に注意や警戒を促すための通知やメッセージなど。

分析 IT においては、特にデータを分析すること。分析手法や分析アルゴリズムの活用方法を検討することも含み、方法論的な意味合いを持つ。

アノニマス（ハッカーグループ） 世界的な規模で活動を行っているハッカー集団。Hacker+ Activists=Hacktivists という造語が生まれたきっかけの集団でもあり、単なる情報搾取やスパイ活動だけが主目的ではなく、社会に対するアンチテーゼを訴える目的でハッキングを行うことも多い。アノニマスには特定のリーダーがいないとされ、活動毎に自発的に期間限定のリーダーが誕生する。そのため、活動は必ずしもアノニマスとして統一された意識の下で行われているわけではなく、賛同者が揃わない場合は攻撃計画が企画倒れになることもあるという。

アンチウィルス コンピューターあるいはネットワークを監視し、既知の悪意あるコードを検知または特定するためのプログラム。アンチウィルスは、悪意あるコードを除去や無効化する機能も持ち、ウィルスによる事故やトラブルを未然に防止・抑制することができる。

アプリケーション 基本ソフトウェア(OS)の上で動作する応用ソフトウェアのこと を指す。例えば、Windows 上で動作する Office や Outlook など。 Web サーバ上で動作するものを Web アプリ、スマートフォン上で動作するものはスマートフォンアプリと呼ぶ。

アプリケーションプログラミングインターフェース プログラムに記入できる「命令」や「関数」の集合。「命令」や「関数」をいちからすべて構築することには多大な時間がかかるが、API から一般的な機能を呼び出して貼り付けることで、プログラム開発の期間は大幅に短縮される。

人口知能 人間のように思考する人工的な機械、または人間が頭を使って行っていた作業を自動化する機能。最近ではその分野のひとつである「機械学習」が流行しており、ディープラーニングによって膨大なデータ、複雑なパターンから高い精度での情報予測や分析を行うことができるようになってきている。

アセットベースドアプローチ すべての企業資産（アセット）目録を関連する脅威と照合、確認すること。

資産管理 IT 関連においては、特に「IT 資産管理」を指す。企業・組織内に存在するハードウェア、ソフトウェア、ライセンスなどを管理すること。

攻撃対象領域 攻撃者がシステム内でプローブ(調査)、攻撃、あるいは存在を維持することを可能にする情報システムの特徴。

攻撃者 インターネット、コンピューター、アプリケーション、ネットワークに対して何らかの意図を持ち、ハッキングやクラッキングを行い、不正侵入、情報窃取、破壊等の犯罪行為を行う者、集団。

監査 IT 関連においては、特に「情報セキュリティ監査」を指す。法令や監督官庁からの指示、企業や組織の内規に照らし合わせ、IT 資産に対する運用状況やアクセスログ、アカウントの管理状況などが正しく運用されているかをチェックすること。

監査証跡 AUDIT TRAILとは、セキュリティ関連の記録のことでシステム、アカウント、また行われた操作が時系列に羅列された履歴のこと。

拡張現実 現実の世界にデジタル情報を重ね合わせる技術。 スマートフォン、PC、ウェアラブルデバイスの画面等を通して、現実にはその場にないものをあたかも存在するように見せるなど、新しい表現の創出が可能。

認証 コンピューターやネットワークに対してユーザーがアクセス しようとした際、正しいユーザーであることを確認すること。主にユ ーザ ID とパスワードによる認証が多いが、最近では多要素認証という方式で、ユーザー ID とパスワード以外にも認証情報を必要とすることも増えてきている。

権限付与 コンピューターやネットワークに対してアクセスする際、認証されたユーザーに対してシステム側から権限(読込、書込、実行)を与えられること。

可用性 コンピュータ・システムやネットワークが継続的に稼働する能力のことであり、情報セキュリティの3大要素の一つであり、システムの信頼性を表す要素の一つでもある。可用性が高い程セキュアであり、信頼性が高い。

バックドア システムやネットワークがユーザーに提供する以外の隠された機能。その存在を知る者以外にはアクセスが難しいことから、裏口 (BACKDOOR)と呼ばれる。正当な管理者が管理用に設置する場合もあるが、不正侵入したハッカーに作られてしまうこともある。

バックアップ データの複製を取り、障害や過失によるデータ削除・改変等のインシデントに備えること。

バックアップと障害復旧 事業継続マネジメントにおける考え方のひとつで、災害等による被害を最小限にするため、あるいは災害リスクを回避するための措置。重要なデータやシステムを単一のデータセンターに格納するのではなく、遠隔地で定期的にバックアップを取るなどの対策が知られている。

ベストプラクティス 一定の基準により最も優れていると評価される実践事例。ベストプラクティスとして評価された事例は、詳細が公開され、模範や標準として普及が図られる場合が多い。

ビッグデータ 従来のデータベース管理システムなどでは記録や保管、解析が難しいような巨大なデータ群。これらを解析することで有用な知見を得ることができるとされる。

バイオメトリクス 生物が持つ固有の情報(指紋、声紋、顔、網膜、静脈など)を用いて認証を行う技術。

ビットコイン Peer to Peer(P2P)ネットワーク上で運営される仮想暗号通貨。取引(トランザクション)はユーザー間で直接行われる。サイバー犯罪に悪用されるケースが多いことから、利用を制限している国も少なくない。日本では金融機関におけるビットコインの扱いは禁じられている。

ブロックチェイン 重要なデータを世界中に点在するコンピューターに分散して保存する技術。従来、クレジットカード決済や株の売買など、金融取引の信頼性は専門の第三者機関の認証によってのみ担保されていたが、ブロックチェインを応用した場合、第三者機関を通さず個人と個人の間で、より信頼性の高い取引が実現できるようになる。もともとはビットコインの中核技術として Satoshi Nakamoto によって考案されたコンピューターネットワーク技術であるが、近年は健全な利用方法を模索するために、複数の企業が共同で研究を行っている。

ブルートゥース 半径 10～100m 程度の近距離でのデータ転送を目的として無線通信規格。スマートフォン、オーディオ機器、ワイヤレスイヤホンなどによく使われる。

ボット マルウェア(悪意あるプログラム)の一種。感染したコンピューターは他のコンピューターに乗っ取られ、サイバー攻撃を行うようになる。スパムメールによって送信される場合が多い。

ボットネット サイバー犯罪者らがマルウェアを使用して乗っ取った複数のコンピュータによって構成される巨大なネットワーク。

ボトルネック コンピューターの処理速度やネットワークの通信速度を下げる要因となる部分。

サイバー侵害、攻撃 コンピューターやネットワーク上に存在する脆弱性を突いた攻撃により侵入を行うこと。

侵入検知 企業や組織が持つネットワークと外部を隔てる境界部分に侵入検知用のハードウェアを設置し、外部からの通信に攻撃コードが含まれているかどうかをチェックし、含まれている場合にはアラートを上げること。

セキュリティ侵害対策 不正なデータアクセスのリスクを軽減し、セキュリティ侵害による被害を軽減するための行動指針のこと。

私物端末の業務利用 従業員が私用のモバイル端末などの機器を職場に持ち込み、職場の情報システムにアクセスするなどして、業務に使用すること。明確な運用ルールがない場合、サイバー攻撃の格好の標的となることも。

バッファオーバーフロー 設計者が意図しないメモリ破壊によって、任意の悪意ある命令が実行可能になる脆弱性。もっとも重大なセキュリティホールのひとつとして知られ、その対策への優先度は高い。

バグ 「Vulnerability」を参照してください。

事業継続計画 企業や組織が災害や火災、テロ、サイバー攻撃等によって事業継続が困難にならないように被害を最小限にするための計画や最短で復旧可能にするための計画をまとめたもの。

カードリーダー メモリーカードリーダーとも。パソコンなどに接続してメモリーカードの読み書きを行う機器。

最高情報責任者 「Chief Security Officer」を参照してください。

CISO 最高情報セキュリティ責任者 「Chief Security Officer」を参照してください。

最高セキュリティ責任者 CIO(最高情報責任者)、CISO(最高情報セキュリティ責任者)とも呼ばれる。企業や組織において情報やセキュリティに関する意思決定権を有する役員のことである。経営目線と技術目線の両方に対する造詣の深さと、素早い意思決定が求められる。

クライアント・サーバ コンピューターを構成する方式のひとつ。システムの機能やデータを提供するサーバーと、利用するためのインターフェイスを持つクライアントに分かれる。Windows リッチクライアントがデータベースサーバーにアクセスするケースや、Web ブラウザ(HTTP クライアント)が Web サーバーにアクセスするケースなどがある。

クラウドアプリケーション 仮想サーバー上に置かれたシステムに対して動作するアプリケーション。ブラウザを介さずに動作できるため、デスクトップにデータなどを保存すればオフラインでも利用できる。

クラウドコンピューティング 本来自ら構築していたインフラやソフトウェアやデータ等をインターネット上のリソースを使用して提供されるサービスとして、必要な時に必要な規模で利用する方式。代表的なものに Amazon Web Service や Microsoft Azure などが挙げられる。

クラウドストレージ クラウドコンピューティングのひとつ。インターネット経由で大容量かつ暗号化通信等によって安全に、あたかもローカルにストレージがあるかのように利用可能な領域のこと。代表的なものに Google Drive や DropBox、AWS の S3 などが挙げられる。

クラスタ 房、塊、集団等の意味を持つ。記憶装置の分野では、ハードディスク等のディスク状の記憶媒体を OS が管理する最小単位を指す。企業情報システムなどでは、複数のコンピューターを連結し、利用者や他のコンピューターに対し全体で 1 台のコンピューターのように動作するシステムをいう。またソーシャルメディアにおいては、似た様な所属や趣味、政治信条などの属性が近いユーザー同士の相互的なつながりを持つ集団をクラスタということがある。

コマンド＆コントロール 標的のシステムにインストールされた悪意あるソフトウェアと通信するための攻撃者のデータリンク。

コンピューティング技術産業協会 IT 業界内で作成された各業務の実務能力基準の認定活動などを行う IT 業界団体。欧米を中心として 10 拠点を持ち、全世界で様々な企業や団体、学校機関、政府機関などがメンバーとなって活動している。

サイバー攻撃による被害が発生した際、原因究明や影響範囲の特定を行う組織の総称。有事の際の活動以外にも、平時の際の日々の監視や企業内における教育啓蒙活動も行う。

「Computer Emergency Response Team」を参照してください。

ウィルス 一般的には、実行されると複製する(自身のソースコードをコピー する)、あるいは異なるコンピュータープログラムを変更することにより感染する、悪意あるソフトウェアプログラム(マルウェア)の一種。

コンフィグレーション（機器構成、設定） 機器を動作させるために必要な設定を行うこと。もしくは設定が記述されたファイルを指す。

予期せぬ事業中断のカバレッジ クライアントまたはサプライヤに起因する事業中断によって利益損失および追加費用が生じた場合に払い戻しを行い、自社の財務的影響を軽減すること。

情報システムコントロール協会(ISACA)と IT ガバナンス協会 (ITGI)が 1992 年に作成を開始した情報技術(IT)管理について のベストプラクティス集。企業内の IT ガバナンスの適正化などの補助となる。

クッキー Web アプリがサーバー側のセッション情報を引き出すためのキーや、 ブラウザ側に保持させたい値を格納するためのブラウザ側の保存領域。

危機管理計画 事業継続計画（BCP）全体における、コミュニケーションと意思決定の要素。 危機管理計画を徹底することで、迅速なコミュニケーションが促進され、社内外のステークホルダーに対する安全性も保証される。 また、インパクトアセスメントを実行するための方針と手順、および問題発生時の報道機関とのやりとりを管理する計画も含まれている。

クリティカルアセット 重要資産を指すが、電力業界における大規模電力系統の信頼性制御や信頼性に影響を与える可能性のある IT 機器やネットワークなど、特に広範に大きな影響を与える可能性のあるものを言う。

重要インフラ 他に代替することが著しく困難なサービスを提供する事業が形成する生活及び社会経済活動の基盤。その機能が停止、低下、利用不可能な状態に陥った場合には生活や社会経済活動に大きな影響を及ぼすおそれが生じるもの。電気、ガス、水道、交通等が挙げられる。

暗号通貨 ビットコインに代表される、暗号理論を用いて取引の安全性や新規発行の統制を行う仮想通貨。

暗号 第三者に内容を知られないように特殊なアルゴリズムを用いて内容を秘匿する方法。

顧客関係管理 データベースなどを用いて顧客の属性や接触履歴を記録、管理すること。また、そのために利用される情報システムを指す。顧客に応じてきめ細かく対応できるようになり、長期的な関係の構築に効果を発揮する。

サイバー インターネットを含む仮想空間。

サイバー攻撃 仮想空間におけるシステムやネットワークが持つ脆弱性を突いた攻撃を行い、情報窃取や DDoS によってサービス停止に追いやるこ と。

サイバー犯罪 仮想空間における犯罪行為。著作権侵害やネットを悪用した詐欺、業務妨害や信用毀損などが含まれる。

サイバー犯罪者 「Attacker」を参照してください。

サイバーエスピオナージ（スパイ） 仮想空間における諜報活動。国家支援のもとに行われるインテリジェンス行為のひとつで、外国の軍事・政治・経済に関する情報を必要に応じてハッキングを行い収集すること。

サイバー恐喝 機密情報の流出・データの暗号化や削除・サービス拒否などといった悪意のある攻撃をして、その攻撃を停止する条件として金銭の支払いを要求する犯罪。

詐欺（サイバー） 仮想空間における詐欺行為の総称。フィッシング詐欺やワンクリック詐欺、未払いを装って不正に送金させる詐欺などが挙げられる。

サイバーインシデント サイバーインシデントとは、仮想空間におけるインシデントのこと。

サイバーリスク 仮想空間における脅威が原因となる企業や組織のリスク。

サイバーセキュリティ Cybersecurityとも書く。仮想空間における脅威や脆弱性への対策を行うこと。

サイバースペース 「Cyber」を参照してください。

サイバー脅威インテリジェンス インターネット上における通信を観測し、どの IP アドレスからどのような攻撃が行われているか、どの IP アドレスがマルウェア配布を行っているかなどの情報を収集し、脅威の大きさや流行などの 変化を調査分析すること。

サイバーセキュリティリスク評価 組織の重要なリスク分野におけるギャップを特定し、そのギャップを埋めるためにリスクの分析や評価を行う。また、セキュリティ投資の結果を評価することは、時間とお金といった資源を無駄にしないようにする狙いがある。

サイバーセキュリティリスク戦略 取締役会レベルで承認されたサイバーセキュリティリスクの評価と緩和に対する組織全体としてのアプローチを指す。

ダークデータ 企業などに蓄積されたデータのうち、有効利用されていないが何らかの理由で保存されているデータを指す。フォーマットも一定ではなく非定型的なデータが多いが、解析することで有用なデータとなる場合があるとされる。

ダークウェブ 通常の検索エンジンなどでは発見することができない Web サイト の集合。ハッカー集団やクラッカー、活動家らが利用している。利用するには通常のブラウザだけではなく、通信経路を秘匿するソフ トウェアを併用する必要がある。

データ分類アプローチ データを適切に管理し、アクセス制御ポリシーを適用するために、可用性、完全性および機密性の要件を含む、特定のパラメータに従ってデータを分類すること。

データエクスフィルトレーション 攻撃者が標的のシステム内で機密情報を発見した際に、一括化して見つからないように標的のシステムから持ち出す行為。

データローカライゼーション 国民の個人情報を保護し、かつ国内の経済成長を促進するために各国政府が定める指針。これに従って国内のデータを保存・処理し、取り扱う必要がある。

情報漏洩対策 機密情報の紛失や外部への漏えいを防止・ 阻止(Prevention)すること。また、そのための装置や仕組みのことを指す。

データ移行制限 ある法的管轄区域に保管されている個人情報を別の管轄区域に移すときに、安全性評価または予防措置を講じることを義務付ける規則。

データベース 情報を蓄積し、検索が容易に行えるようにした情報の集合。データ の蓄積の方式によって様々なデータベースが存在するが、企業において主に利用されているのはリレーショナルデータベース(RDB) である。

データセンター サーバーやネットワーク機器を設置し、運用することを目的とした施設の総称。運用に特化した施設のため、空調や電源、配線等が効率よく行える。

復号鍵 暗号化された情報を平文に復号するための鍵(キー)。

多層防御 あるサイバー攻撃への対処を想定した場合に、単一の防御策をとるのではなく、複数の防御策を多層的に行うことで、攻撃を完全に防ぐのではなく、攻撃を遅らせたり、断念させることに主眼をおいた防御戦略のこと。防御する側は多層防御の全てが破られる前に何らかの対処を行うことで攻撃者の目的達成を防ぎやすくなる。

サービス拒否攻撃 通信ネットワークを通じて大量のデータや不正なデータを標的のシステムに送り付けることで、システムに異常を引き起こすタイプのサイバー攻撃手法。無数のマシンを乗っ取り、それらのマシンを使用して標的のシステムへ一斉に DoS 攻撃をしかける手法を、DDoS(Distributed DoS attack= 分散型 DoS 攻撃)と呼ぶ。

デジタルアセット修復 この修復プロセスにより、デジタルコンテンツまたはアカウントをサイバーセキュリティインシデントに起因する損失・損傷前の状態に戻す。

デジタル証明書 公開鍵証明書とも呼ばれる。暗号化を行う際に使用する証明書で、証明書の中には、公開鍵とその所有者情報(有効期間、発行者、署名アルゴリズム等)が含まれる。証明書は信頼できる第三者機関によって公開鍵が正しい所有者のものであることを証明するものとして、暗号化を行う公開鍵配布の手段として利用されている。

デジタル通貨 インターネット上で利用可能な暗号化通貨のこと。ビットコインが代表例。

デジタルフィンガープリント コンテンツが改ざんされていないこと(同一性)の確認のために使用される値のこと。主にハッシュ関数（規則性のない値を生成する手法）で計算した結果を用いる。

デジタルフォレンジック サイバー攻撃、サイバー犯罪による被害発生時、その犯罪捜査を行う際の法的な証拠能力を備えつつ証拠を明らかにする調査や技術の総称のことである。デジタル鑑識とも呼ばれる。

デジタルアイデンティティ コンピューターがあらゆるモノ(人間や画像、端末など全て)を扱う際に使用するアイディンティティ情報のことを指し、それらの属性情報の集合からなる。