セキュリティ基礎用語集
この教材の要約
共通基礎と技術入門で出てくる主要語を、本文を読み進めるために必要な粒度で短く確認します。
概念図
用語集
├─ 共通基礎の用語
│ ├─ 情報資産
│ ├─ CIA
│ ├─ 誤送信、誤共有
│ └─ フィッシング
├─ 技術専門の用語
│ ├─ 認証、認可
│ ├─ セッション
│ ├─ Web脆弱性
│ └─ ログ、封じ込め、根絶
└─ 迷ったとき
└─ 本文へ戻って文脈で確認する
はじめに
この用語集は、共通基礎トラックと技術専門トラックで出てくる主要語を、読み進めやすい粒度で整理したものです。
厳密な定義よりも、「研修文脈でどう理解すればよいか」を優先します。
定義は NIST CSRC Glossary、NIST SP 800-61 Rev. 3、OWASP Cheat Sheet Series、IPA「安全なウェブサイトの作り方」などの表現を参考に、研修向けに平易化しています。1
共通基礎の用語
情報資産
会社にとって価値があり、守る必要がある情報や仕組み全体。
ファイルだけでなく、認証情報、設定、ログ、システムも含みうる。
機密性
見てよい人だけが見られる状態。
完全性
情報や設定が勝手に変わらず、正しい状態が保たれていること。
可用性
必要なときに必要な人が使えること。
誤送信
本来送るべきでない相手へメールやメッセージを送ってしまうこと。
誤共有
本来見せるべきでない範囲へファイルや情報を共有してしまうこと。
フィッシング
正規の連絡やサイトを装って、認証情報や金銭、操作をだまし取る行為。
技術専門の用語
認証
その人やシステムが誰かを確認すること。
認可
その人やシステムに何を許すかを決めること。
セッション
認証済み状態を継続して扱う仕組み。
SQLインジェクション
入力値が不適切にSQLへ入り込み、想定外のDB操作が起きる問題。
XSS
画面に表示する値の扱いが弱く、ブラウザ上で意図しないスクリプト実行が起きる問題。
CSRF
利用者が意図しない状態変更を、攻撃者が用意した別画面や別サイト経由で行われる問題。
最小権限
必要な人やシステムに、必要な範囲だけ権限を与える考え方。
ハードニング
不要な機能や露出を減らし、想定した使い方だけに寄せること。
監査証跡
後から検証、説明できるように残す記録。
封じ込め
インシデント時に被害が広がらないよう、影響範囲を抑えること。
根絶
侵害や不具合の原因となっている要素を取り除くこと。
迷ったときの使い方
この用語集だけで理解を完結させるのではなく、本文へ戻って文脈で確認してください。
特に、認証と認可、隔離と封じ込め、機密性と完全性は混同しやすいポイントです。
次に読む
関連トピック
| 関係 | 教材 | 使い方 |
|---|---|---|
| 関連 | セキュリティ基礎シリーズFAQ | 用語が迷いやすい運用論点をFAQで確認する |
| 次に読む | セキュリティ技術入門の学習地図 | 用語理解を次の学習テーマへつなげる |
| 横断参照 | セキュリティ基礎シリーズ教材マトリクス | 用語に関係する教材を探す |