ICT Glossary

リスク優先順位 識別されたリスク事象の発生確率および潜在的な結果を定量的に評価して、リソースの割り当ての基礎を形成できるランキングを作成するプロセス。

リスク・レジストリー 識別されたすべてのリスクについて、ある一定の形式・ルールで算出した評価を記載すること。

リスクベースドアプローチ 企業の重要な資産を公開する場合の財務的、対外的、規定的なリスクに対する考え方。 継続的なとらえかたが必要であり、PCDAサイクルを繰り返すことで、組織は変化に対応し、発展していくための姿勢を維持することができる。

ルートキット 悪意を持って遠隔地のコンピューターに不正侵入しようとする人間が利用するソフトウェアのパッケージ。感染した場合、ルートキットは OS の深い階層に隠れていることが多く、発見しにくい。

ルーター パケットが宛先に配信されるべき次のネットワークポイント。

セーフハーバー 1998年10月25日にEC(欧州委員会/European Commission) と DOC(米国商務省/U.S. Department of Commerce)の間に結ばれた、個人情報の安全な環境を提供するのに必要な最低限の標準ルール。またはそれを管理する団体の名称。

サンドボックス 隔離されたコンピューター環境内でプログラムを動作させ、外へ影響が及ばないようにするセキュリティモデル。

スケアウェア 入金や個人情報の入力を促すメッセージを表示するなどして、ユー ザーの恐怖心をあおり、金銭や個人情報を奪うことを目的としたマルウェアの一種。主にセキュリティソフトに擬態したものをローグプログラム(ROGUE PROGRAM)と呼ぶが、セキュリティソフ トとしての機能はない。

セキュア・ソケット・レイヤー サーバ認証、クライアント認証とサーバとクライアント間の暗号通信を管理するコンピューターネットワークのプロトコル。

セキュリティ アサーション マークアップ ランゲージ 標準化団体 OASIS によって策定された、認証情報を表現するための XML 仕様。AuthXML と S2ML を統合して標準化したもの。認証情報の交換方法は SAML プロトコルとしてまとめられており、メッセージの送受信には HTTP もしくは SOAP が使われる。

セキュリティ情報/イベント管理 リアルタイムな IT 環境の中で、セキュリティイベントやインシデントを特定、 監視、記録、分析すること。

シングルサインオン 1つのセッションで複数のアプリケーションにアクセスするためのログイン認証情報(例・ID、パスワード)を使用することを許可するユーザー認証サービス。

スニッファー ネットワークトラフィックを監視・分析するプログラム。正規、あるいは非正規な目的により、ネットワーク上で転送されるデータをキャプチャー（取り込み保存）する。企業における正規の使い方としては、キャプチャーデータを利用して、ネットワーク管理者がトラフィックの効率化を図ることができる。

ソーシャルエンジニアリング 巧みな心理操作によって不正行為を行い、より複雑な詐欺行為を実行することで目的に合わせ情報収集すること。1つの例としてフィッシング詐欺がある。

主権 本来、国民および領土を統治し、国家が他国からの干渉を受けずに独自の意思決定を行う権利を指す。情報セキュリティの文脈ではパブリッククラウド環境(特に物理サーバに対して自国の裁判権が及ばない場合)の使用は、事実上、主権を放棄するのと同じといった使われ方をする場合が多い。

スパム 迷惑メール、未承諾メール。

スピアフィッシング 「Phishing」を参照してください。

なりすまし インターネット上で他人になりすますこと。

スパイウェア ユーザーの認知及び許可なく、インストールされ、知らず知らずのうちにユーザーの情報を収集しているソフトウェア。ユーザーの明示的な許可なしに、バックグラウンドでインターネット接続(いわゆるバックチャンネル)を行う。

SCADA 監視制御データ収集システム プロセス制御、機器及び環境制御を目的とした遠隔地からのリアルタイムデータ収集を行うソフトウェア・アプリケーション・プログラム。発電所、石油・ガス精製所、水道、運輸等で使われている。

サプライチェーンリスク SCMにより企業内外のリソースや資産にアクセス可能となることで、各組織でセキュリティレベルに差が起こり得ることから、組織の商品やサービスのサプライヤから発生するリスク。

シンクライアント ユーザーが使用する端末の機能を最小限にし、サーバ側で処理及び中央管理を行う仕組み。

第三者のリスク サプライヤや事業に関係する全ての外部当事者に企業、データ、業務及び財務情報を開示するリスクのこと。

脅威の実行集団 組織のセキュリティに影響を与える、またはその可能性がある実行集団のこと。ほとんどの場合、これはサイバー犯罪者、国家に後援されている組織、内部実行者である。一方で、知らぬ間に彼らに機密データを漏らすことになった従業員も含まれる。

トロイの木馬 マルウェアの一種で、標的型メール等でよく使用される、一見害がないように見えるが、実際には悪意があるプログラム。ウィルスとは違い、自己増殖機能はない。

二段階認証 2つの異なる手段の資格証明による認証のこと。例えば、ユーザー ID 及びパスワードに加えて、ユーザーの端末に送信されるセキュリ ティコードの入力など。

統合脅威管理 単一のコンソールから、セキュリティに関連したアプリケーションやインフラ構成機器の監視及び一元管理を可能にするセキュリティ管理アプローチ。

仮想マシン ソフトウェア上にインストールされ、専用ハードウェアを模倣(エミュレート)するオペレーティング・システム(OS)あるいはアプリケーション。

ヴァーチャル・プライベート・ネットワーク 安全性の低いネットワーク上でも、暗号化通信で接続を確立させる技術。

脆弱性 脅威に脅かされる可能性のある弱点のこと。実際には、アタッカーは感染しやすいシステムの欠陥/欠点にアクセスし悪用するのである。

脆弱性 攻撃者がシステムに侵入する際に使用する弱点が「脆弱性」である。脆弱性は、時には欠陥やバグ(プログラムの不具合や不調)などといった形で現れる。

無線LAN 特定の範囲のユーザーに対し、電波を使用してネットワーク接続を提供する技術。

ゼロトラスト 米国の調査会社 Forrester Research 社が2010年に提唱した概念。「性悪説」により、リソース、パケット、ネットワーク等を信頼せず、 常に検証を行うことを前提としたセキュリティコンセプト。

ゼロデイ まだ一般には知られていない、攻撃者がネットワークやシステムへのアクセスや制御を得るために使用されるソフトウェアの脆弱性。

3D プリント 立体印刷、三次元造形とも言う。従来のプリンタは紙の平面上に印刷するのに対し、3D プリンタは三次元の立体を造形することができ、様々な産業分野での活用が期待されている。