サイバーセキュリティで知っておきたい用語集
........
- 更新日
- 2023.09.27
- 公開日
- 2023.08.22
INDEX
ペネトレーションテスト
疑似的な攻撃を行って、システムやネットワークの脆弱性を発見する試験。
実際の攻撃者と同じ手法やツールを用いて、侵入経路や影響範囲を調査する。
脆弱性スキャン
システムやネットワークに存在する脆弱性をソフトウェアで自動的に検出すること。
システムに適用されていないセキュリティパッチや設定ミスなどを報告する。
一般的な弱点の発見を簡易に行えるが、独自プログラムや未知の脆弱性の検出は不得意。
暗号化
情報を特定のルールに従って変換し、第三者に読み取られないようにすること。
暗号化された情報は、適切な鍵を持つ者だけが復元できる。
暗号化は、データの機密性や完全性を保護するために重要なセキュリティ対策である。
ユーザ認証
システムやネットワークにアクセスする者の正当性を確認すること。
パスワードや生体認証などの手段を用いて、アクセス権限を持つ者だけがシステムにログインできるようにする。
ユーザ認証は、不正アクセスや情報漏洩を防止するために必要である。
セキュリティ監視(SOC: Security Operation Center)
ネットワークやデバイスを常時監視してサイバー攻撃の検出や分析を行い、対応策を検討する専門組織。
セキュアマイコン(Secure Microcontroller)
通常のマイクロコントローラとは異なり、高度なセキュリティ機能を組み込んだマイクロコントローラのことを指す。
セキュアマイコンは、主に機密性の高い情報を処理するシステムやインターネットに接続されるIoTデバイスなどにおいて、セキュリティ攻撃から保護するための仕組みが強化されている。
セキュアエレメント
暗号化や認証などのセキュリティ機能を備えた専用IC。
内部に秘密鍵や証明書などの重要な情報を保持し、外部からの不正な読み取りや改ざんを防ぐ。セキュアエレメントは、高いセキュリティレベルを要求されるシステムで利用される。
セキュアフラッシュメモリ
暗号化や認証などのセキュリティ機能を備えたフラッシュメモリ。
内部に保存されたデータは暗号化されており、特定の鍵やパスワードがなければ読み取りできない。セキュアフラッシュメモリは、データの盗難や流出を防ぐために有効である。
セキュリティインシデント
システムやネットワークにおいて、セキュリティ上の異常や問題が発生した事象。
サイバー攻撃や情報漏洩、ウイルス感染などが例として挙げられる。
セキュリティインシデントは、早期発見と迅速な対応が重要である。
第三者認証
ある規格や基準に対して、その適合性を評価するために、利害関係のない外部の機関が行う審査と認証のこと。
第三者認証は、公正・公平な判断に基づいて行われるため、認証を受けた組織や製品は、取引先や消費者からの信頼性や信用性が高まる。
OT(Operational Technology)セキュリティ
工場や社会インフラの制御機器など、産業制御システムの安定稼働を守るためのセキュリティ対策。サイバー攻撃や物理的な干渉による機器の故障やデータの改ざん・流出などを防ぐ。
経済産業省は、インターネットに接続する産業向け製品は、IEC 62443に基づく認証を取得することを推奨している。
IT(Information Technology)セキュリティ
コンピュータや情報通信技術を対象とした、情報を守るためのセキュリティ対策。
ウイルスやハッキングなどによるデータの破壊・漏洩・盗用などを防ぐ。
準拠するセキュリティ規格は「ETSI EN 303 645」「NISTIR 8259」など。
サイバーレジリエンス法(Cyber Resilience Act, CRA)
EUで提案されている法案で、サイバーセキュリティの観点からデジタル要素を持つ製品を規制するもの。
製品の製造業者や小売業者に、指定のサイバーセキュリティ要件を満たすことを義務付ける。
2025年以降に欧州に出荷する製品については、サイバーレジリエンス法に準拠しなければ出荷できない。
IEC 62443
IEC(国際電気標準会議)が制定した規格で、工場のセキュリティ確保のために、制御システムにおけるセキュリティに関する要件や手順などを定めたもの。
ETSI EN 303 645
ETSI(欧州電気通信標準化機構)が発行した欧州規格で、民生用IoT機器に適用される一連の基本的なサイバーセキュリティに関する規定を提供するもの。
マルウェア
コンピュータやネットワークを破壊、操作することを目的として、不正な動作をするプログラムやソフトウェアの総称。
ウイルスやワーム、トロイの木馬、ランサムウェアなどがある。
ランサムウェア
マルウェアの一種で、感染させたシステムのデータを暗号化し、復元するための金銭を要求するもの。
支払いに応じても復元されない場合もあるので、バックアップや予防が重要である。
DoS(Denial of Service)攻撃
システムに大量の通信やリクエストを送りつけて、ターゲットのシステムやネットワークを過負荷にし、正規の利用者にサービス提供を妨害する攻撃手法。
複数の攻撃元から同時に行う場合はDDoS(Distributed Denial of Service)攻撃と呼ばれる。