ICT Glossary

デジタル・ネイティブ インターネットやパソコン、スマートフォン等が存在する生活環境で育ってきた世代のことであり、デジタル機器の取扱に関してなんの抵抗もなく、サービスや製品の概念を受け入れやすい世代。

デジタル著作権管理 コンテンツが持つ著作権を保護するために、特定の許可された機器やソフトウェアでのみ再生や視聴、閲覧を可能にする仕組み。コンテンツの複製自体は可能だが、再生時には認証を行い、再生を行う権利を持つ正当なユーザーにのみ再生に必要なキー情報を提供する。

デジタル署名 主に公開鍵暗号方式を用いて行う本人確認、改ざん防止を目的とした電子的な署名。データを送受信する際、送信者と受信者はハッシュ関数（規則性のない値を生成する手法）で算出したハッシュ値を比較し合い、これにより本人確認及び改ざんの有無の確認が可能となる。ユーザー自身は、こうした内部の仕組みを意識することなく使用できる。

災害計画 防災計画として災害の予防計画、災害発生時の緊急対応のマニュアル策定、必要な体制構築を行うこと。

災害復旧 災害などによりコンピューターシステム等が使用できない状態から、使用可能となる状態まで復旧させること。事業継続計画に内包される場合が多い。

分散コンピューティング 複数のコンピューター上に存在する複数のプログラムによって構成され、単一のプログラムとして稼働する仕組み。複数のコンピューター同士は互いにネットワークを経由して通信を行い、全体として処理を進める。

分散型サービス拒否攻撃 無数のマシンを乗っ取り、それらのマシンを使用して単一の標的のシステムを一斉に攻撃し、過負荷によって標的のサービスにつながらないようにするサイバー攻撃手法。

ドロッパー それ自体には無害に見えるプログラムだが、マルウェア(悪意を持ったプログラム)を侵入させる入口となりうるプログラム。BOT 同様に遠隔地から指示を受け、どのマルウェアを実行するかを決定する。

eディスカバリ 電子証拠開示のことを指し、民事訴訟において開示を行う情報のうち電子的に保存されているものを指す。

電子署名 「Digital Signature」を参照してください。

デジタル投票 投票行為を電子化した方式のこと。

エフェクティブネス・ダッシュボード 脅威の評価、脅威の検出、修復・復旧基準など、サイバーセキュリティ活動の有効性を測定するための指標が挙げられている。

電子医療記録 医療関係者が患者に対する記録(カルテ)を電子的に保存、管理、利用するためのもの。電子カルテとも呼ぶ。

暗号化 第三者に内容を知られることがないように特定のアルゴリズムによってその内容を秘匿する方法。暗号化は復号するためのキーを用いて行う。

暗号鍵 「Encryption」を参照してください。

エンドポイントセキュリティ ユーザーが直接触れる、ワークステーションやモバイル機器等、特定の IT インフラ部分(エンドポイント)のためのセキュリティ。

企業リスクマネジメント リスクの特定、管理、緩和など、組織の資本および収益に及ぼすリスクの影響を最小限に抑えるために、組織の活動を計画、組織化、指導、および制御するプロセス。

エクスプロイト セキュリティポリシーに違反して、ネットワークや情報システムのセキュリティ侵害をする技術。

外的脅威 組織内で発生する内的脅威とは対照的に、組織外で発生する脅威。通常は従業員または「インサイダー」によって発生する。

顔認証 顔画像から特徴となるポイントを抽出することで識別し、あらかじめ登録しておいた顔画像データベースと照合して認証を行う方式。

連邦情報処理標準 アメリカ合衆国の連邦政府機関が軍事以外の用途で購買・利用する情報・通信機器が満たすべき技術標準を定めた規格。工業技術の標準化を推進する NIST(米国立標準技術研究所)によって策定されている。

フィンテック IT を駆使して新しい金融サービスを創出したり、その見直しを行う試み。従来は大手金融機関が独占していた業務が、ITC の発展 により個人や新興金融企業でも遂行可能となってきたことから、業界秩序や社会構造が変化する可能性を秘めている。

ファイアウォール ネットワーク間の通信において、通過させるものとそうでないものを分けるシステムを指す。通常は専用のハードウェア機器で通信内容をフィルタリングする。従来のファイアウォールはネットワーク層やトランスポート層までをサポートし ているが、より上位のレイヤをサポートするものとして HTTP プ ロトコルに特化した Web Application Firewall(WAF)という製品も登場している。

欠陥 「Vulnerability」を参照してください。

フォレンジック分析 サイバー犯罪を証明し、法的な対応ができるように、証拠としてデバイスから情報とデータを抽出・分析すること。

ゲーミフィケーション ゲーム的な要素を応用すること。ゲーム設計の手法や技術を盛り込んだサービスを提供することで顧客ロイヤリティが上がる、業務が効率化するといった効果を見込むことができる。

ジオターゲティング Web サイトにアクセスした際に記録される IP アドレスから、居住地域等を割り出し分析することで、地域特化型の広告配信に利用し たりするマーケティング手法のひとつ。

ハッカソン Hack と Marathon という単語からなる混成語。ひとつのテーマに対して個人やワークグループが集中的にアイデアを出し合い、改善や利用方法の提案を行うもの。テーマはプログラミング言語や API、企業が所有する特定の技術などが主なものになるが、最近では医療関連や自動車など扱われるジャンルは幅広くなってきている。

ハッカー コンピューターやネットワークに対して通常の人よりも深い知識をもち、課題解決を行う人のこと。また、システムや機械の仕組みを分析・解明し、独自の使い方を考案する。

ハドゥープ Java で書かれたオープンソースの分散処理フレームワーク。 Apache(Web サーバーソフトウェアのひとつ)のプロジェクトとして開発され、大規模データを取り扱う際に利用されている。

医療保険の相互運用性と説明責任に関する法律 アメリカの医療機関における患者情報の機密性、統合性、および可用性を維持することを目的に定められた法律。

ホームオートメーション 住宅における自動化のこと。各種センサーによる照明、空調、植物への自動給水、ペットへの自動給餌などが含まれる。パソコンやモバイル機器を通じて、家庭内の電気製品などが一元的に操作、管理される。

ホットスポット 公衆無線 LAN が利用可能なアクセスポイント。

WWW を支える技術のひとつである HTTP プロトコルによって伝送されるマークアップ言語。

ハイパーテキスト・トランスファー・プロトコル インターネット上にデータを転送するための技術的なルール。 Web ブラウザは HTTP、あるいは暗号化された HTTPS を使用し、ユーザーが安全な方法で Web サイトにアクセスすることを可能にする。

インシデント インシデントは「事象」を意味する。サイバーインシデントとは、仮想空間におけるインシデントのこと。さらに、そこへセキュリティという接頭辞がついた場合、仮想空間におけるセキュリティ上の事象、つまりサイバー攻撃に遭っていることを指す。インシデント管理はその事象への対処の迅速化、業務の再開あるいは継続を支援するための管理プロセスのひとつ。

インシデント開示 企業の事業、個人情報、または顧客データのセキュリティに重大な影響を及ぼすインシデントが発生した際に、社内外へ公表すること。特定の法的管轄下においては、組織の種類およびインシデントの内容によって、情報開示を要請されることがある。

インシデント管理 「Incident」を参照してください。

インシデント報告 「Incident」を参照してください。

インシデント対応計画 セキュリティを脅かすインシデントが発生したときに従うべき段階的なプロセスについての文書化された計画。インシデントの影響を適切に検討、対応、制限し、想定されるシナリオを網羅したもの。

独立リスクアセスメント 組織内のサイバーセキュリティ管理が直面しているリスクに適切であることを保証する ため、第三者機関に組織のリスクを特定・分析・評価をさせるプロセス。

独立検証（第三者検証） 計画・プロセスまたは製品の開発に関与していない第三者機関によって実施され、プロセスまたは製品が特定の要件に従って実行されていることを確認する検証。

情報通信技術 総務省は通信事業の主管であるため ICT という言葉を用い、経産省は IT という言葉を用いている。日本社会一般では IT という言葉が一般的だが海外では ICT を使う例が多い。

情報セキュリティ 機密性・完全性・可用性を確保し、情報資産を正当な権利を持った人だけが使用できる状態にしておくこと。 また、情報資産が正当な権利を持たない人により変更されていないことを確実にしておくこと。

情報共有 個々の組織構成員が持つ情報を共有して蓄積し、活用すること。企業等の組織においては、情報共有のための IT システムが導入される場合が多い。

内部犯行 企業や組織にあるシステムやネットワークの構成、設計、利用方法等を熟知している内部の人間による情報漏えいや改ざんにより生じるサイバー犯罪、サイバー攻撃のこと。

内部犯行 企業や組織にあるシステムやネットワークの構成、設計、利用方法等を熟知している内部の人間による情報漏えいや改ざんにより生じるサイバー犯罪、サイバー攻撃のこと。

知的財産 発明や創作によって生み出されたものを発明者の財産として一定の期間保護する権利。商標権や、特許権が含まれる。

アイキャン インターネットにおけるドメイン名と IP アドレスを管理する非営利団体。

インターネットガバナンス インターネットにおける統制、管理のこと。ドメイン管理団体の ICANN や国連などを中心に議論が行われている。

PC やサーバ等が繋がっていた従来のインターネットに対して、あらゆる機器(モノ)がネットワーク機能を有し、インターネットへ接続されること。接続される機器を IoT 機器と呼ぶこともある。

侵入防止システム ファイアウォールと同様にネットワーク間の境界部分に設置される。ファイアウォールと異なり、通信プロトコルや IP アドレスによる細かな設定は必要としない。検知は主にシグネチャ（署名）ベースで行われ、シグネチャに登録されている不正な通信を検知すると管理者へ通知を行いこれを遮断する。その他、アノマリ検知方式（通常の行動パターンやデータと逸脱する通信を検知・遮断する）のものも存在する。

侵入 「Intrusion Prevention System」を参照してください。

オブジェクト指向のプログラミング言語のひとつ。汎用性が高く、OS を問わず実行できる。最近では Android アプリの開発言語として再び注目を浴びている。

キーロガー ユーザーがキーボードを使用して入力する文字のキーコードを盗み取るウィルス。

法執行機関 警察のように、法に基づいて強制力を持った実働を行う国家組織。

企業や組織内においてプライベート IP を使用して構成されたネットワークを指す。

位置情報サービス 利用者が持つ機器に搭載されている GPS 機能によって取得される位置情報を活用したサービス。

ロギング コンピュータ・システムやネットワーク等における各種事象について記録をとること。Webアプリであればアクセスログ、FW等のネットワーク機器であればsyslogなどがロギングの対象となる。

ロギング コンピューターやネットワーク等における各種事象につい て記録をとること。Web アプリであればアクセスログ、ファイアウォール、ネットワーク機器であれば syslog などがロギングの対象となる。

機械学習 人工知能における研究分野のひとつ。ディープラーニングによって膨大なデータ、複雑なパターンから高い精度での予測や分析を行うことができる。

悪意あるコード コンピューターが実行する命令のうち、意図的に悪影響を及ぼすように作られた命令。具体的には、データの破壊や侵入するためのウィルスやワーム、トロイの木馬と呼ばれるプログラムのことを指す。

マルウェア 不正な機能またはプロセスを実行することにより、システムの運用を阻害する悪意あるソフトウェアの総称。

マネージドサービスプロバイダ 企業や組織におけるシステム・ネットワークの運用・監視・保守をアウトソーシングサービスとして提供すること。

マチュリティダッシュボード リスクの特定、セキュリティの保護、セキュリティを脅かすインシデントの分析、インシデントへの対応、またインシデントから復旧する分野における現在の対応力のレベルなど、企業のサイバーセキュリティプログラムの成長度合を表す指標を挙げらている。

マイクロセグメンテーション ネットワークの単位(セグメント)を最小に近い状態まで細分化し、トラブルが起きた際の影響範囲を小さくする方法。セグメント毎にセキュリティ対策を施すことができ、サイバー攻撃等のリスクに対する強靭性も高まる。

ミドルウェア ソフトウェアのうち、OS とアプリケーションの中間に位置するもので、様々なソフトウェアから共通して利用される機能を提供する。

リスクコントロール セキュリティの脅威や脆弱性によって起こり得る損失や不具合を防止・最小化するために講じる措置。

モバイルデバイス 携帯して持ち歩ける電子機器。具体的には、タブレット端末やスマートフォンを指すことが多い。しかし状況によっては、ノートパソコンや従来型の携帯電話機も含まれる。

多層認証 ID とパスワードの認証要素以外にワンタイムパスワードや画像認証等の他の要素を認証情報として使用する認証方式。より高いセキュリティが求められるシステムにおいて利用されることが多い。

アメリカ国家安全保障局 アメリカ国防総省の諜報機関。中央情報局(CIA)がおもにヒューミント(HUMINT; human intelligence)と呼ばれるスパイなどの人間を使った諜報活動を担当するのに対し、NSA はシギント (SIGINT; signal intelligence)と呼ばれる電子機器を使った情報収集活動とその分析、集積、報告を担当する。

ネットワーク エンドポイント間や、他のネットワークの間で、データの転送及び受送信を可能にする IT 基盤の集合体。

ネットワーク管理者 ネットワークの設定変更、機器の追加等の権限を持つ管理者。

ネットワークセグメンテーション 大規模なネットワークを小規模なネットワークに分割して管理すること。ソフトウェア・OS の分野 では、OS がコンピューターのメインメモリを用途などに応じて可変長の領域に分割して管理することをいう。

次世代ファイアウォール 従来のファイアウォールと IPS を組合せた性能を持つ製品。ポート番号と IP アドレスによるフィルタリングに加え、アプ リケーションを識別したフィルタリングを取り入れ、柔軟なフィルタリングが可能。例えば、特定のユーザーのみアクセス可能な Web サイトを設定することができる。

オープンソース・ソフトウェア プログラムのソースコードを広く一般に公開し、誰でも自由に扱うことを良しとする考え方。また、その考えに基づいて開発・公開されたプログラム。オープンソースとして公開されたプログラムはオープンソースライセンスに基づいて使用、複製、改変、再配布等を行って良いとされている。

オペレーティング・システム Windows や MacOS、Linux、Unix 等に代表される、端末やサーバーを使用する上で必要な基本ソフトウェア。

パケット ネットワーク経路上を流れるデータの伝送単位。送受信されるデータのサイズが大きい場合は自動的に分割(フラグメンテーション)される。

パスワード ユーザー ID と対になる認証情報。ユーザー ID を持つ利用者本人のみが知る情報であるため、データベースにパスワードを平文で保存することは絶対にあってはならない。パスワードの同一性確認であればハッシュ関数を使用して算出された値を比較するだけで必要十分である。

パスワード管理 「Password」を参照してください。

パッチ プログラムに存在するバグを修正するための修正プログラム。

PCI DSS PCIデータセキュリティスタンダード クレジットカード情報を安全に取り扱うために事業者に求められるセキュリティ基準を定めた規格の一つ。カード発行会社や銀行、加盟店、決済代行業者など、クレジットカード情報を取り扱うすべての事業者を対象としたもので、情報システムや情報管理についての詳細で具体的な要件を定めている。カード業界以外でもセキュリティ基準の標準として利用されることがある。

ペネトレーションテスト コンピューターやネットワーク、アプリケーションに存在する脆弱性を突いた攻撃を攻撃者と同様の手法で行い、擬似的に侵入を試みるテスト。侵入検査とも呼ぶ。あくまで侵入することを目的としているため、侵入に繋がらない脆弱性についてはテストを行わない場合もある。また、脆弱性を使わない攻撃(つまり仕様や設計の不備を突いた攻撃)による侵入が可能かどうかについても確認することができるため、真の脅威を洗い出す場合に有効。全ての脆弱性を洗い出すことが目的ではないため、特性を理解しておく必要がある。

ペリメータ・ディフェンス ネットワーク外層からの攻撃をブロックすることに特化したネットワーク防御の考え方。複数層用いることで、ディフェンスを強化することが可能。

許可 コンピューターのハードディスクなどに保存されているファイルやデ ィレクトリに対するユーザーのアクセス権。一般に、UNIX システムにおけるアクセス権を指す言葉として用いられる。

個人識別情報 特定の個人に対して、身元特定がであったり、コンタクト可能であったり、または居場所を特定できる情報。公に既に存在する上記情報は非機密とみなされる。生体情報（指紋や虹彩、静脈など）、医療情報、個人の財務情報、パスポート番号などのその他の同情報は機密扱いとみなされ、暗号化する必要がある。

フィッシング 機密情報への不正アクセスを目的に、特定の組織を標的とした、なりすましメール。

物理セキュリティ 施設や建物などの「物理的」部分に関係するセキュリティのことを指す。物理セキュリティが脆弱だと、サイバーセキュリティ以前に不法侵入を許したり、社内から文書を持ち出されたり、備品が盗難されたりという事態になりかねない。

著作権侵害 著作物を許可無く、あるいは許可の範囲を超えて使用するなどにより、保護されている著作者人格権あるいは著作財産権を侵害すること。

特権アカウント 一般にシステム管理者が使う、高いレベルのシステムアカウント。サーバーの起動や停止、アプリケーションのインストールやシステム設定の変更、全データへのアクセスなど、システムに対するあらゆる操作が可能。

プロトコル コンピューターの通信接続手順や通信規約。

公開鍵基盤 公開暗号鍵の配布と識別をサポートし、インターネット等のネットワーク上でユーザーとコンピューター同士の安全なデータ交換を可能にする。

サービス品質 機器やシステムが外部に提供するサービスの品質の水準。特に、通信回線やネットワークに様々な種類の通信が混在しているとき、通信内容に応じてそれぞれに適した通信品質を確保すること。また、そのための技術や機能。

ランサムウェア 攻撃者が標的のデータを「誘拐」し暗号化し、「身代金=ransom」として金銭などと復号鍵の交換を求めてくることに使われるマルウェアの一種。

冗長性 情報システムの分野では、障害に備えて機材や回線などを複数用意し、並列に使用したり一部をすぐ使える状態で待機させたりすることがある。このような余裕を冗長性と呼び、システムをそのように設計・配置することを冗長化という。

リモートアクセスツール 攻撃者が物理的に触ることなく、遠隔操作によりシステムをコントール下に置くことを可能にする悪意あるソフトウェア。ただし、技術サポート等、正当なサービスで使用される IT システムにも存在することがある。

レプリケーション あるデータベースと同一の内容の複製(レプリカ)を別のコンピューター上に作成し、常に内容を同期させること。データベース管理システムがこの機能を持っている場合が多い。

リジリエンス 企業や人が依存しているサイバーリソース(情報や通信システム 等)に対する執拗で永続的かつ高度な攻撃に直面しても、常に回復力を保てること。

情報公開する責任 関係者の合意の元、システムメーカーなどの修正に一定時間をかけた後、脆弱性の詳細な情報を公開する。

リスク評価 「Cybersecurity Risk Assessment」を参照してください。