Active Directory
Active Directory は、Microsoft Windows のディレクトリサービスです。 IT 管理者は、Active Directory を使用してアプリケーション、ユーザー、その他のネットワークコンポーネントなどの機能を管理します。 ID (アイデンティティ/認証) およびアクセス管理 (IAM) の重要なソリューションです。
A
Active Directory セキュリティ
Active Directory のセキュリティには、Microsoft Windows のディレクトリサービスである Active Directory 内の脆弱性、設定ミス、その他のセキュリティの問題を特定するための人員、ツール、テクノロジーが含まれます。
A
Active Directory セキュリティグループ
IT 管理者は、Active Directory セキュリティグループを使用して Microsoft のリソースのアクセスの管理と許可を行います。 セキュリティグループには、コンピューターアカウント、ユーザーアカウント、その他の IT 管理者のグループなどが含まれます。
A
アクティブスキャン
アクティブスキャンは、ネットワークを積極的にスキャンして資産とセキュリティの問題を検出するために使用するスキャンです。 アクティブスキャンでは、ネットワーク経由で資産に送信メッセージを送ることにより、資産が応答するかどうか、応答までにどれだけ時間がかかるか、データ損失の問題があるかどうかを確認します。
A
管理者 (アドミン)
情報セキュリティ分野での管理者は通常、ネットワーク、システム、サーバーなどの企業の情報セキュリティインフラの維持に責任を負います。
A
APT 攻撃
APT 攻撃は、ネットワーク内に侵入した攻撃者が通常長期間検出されずに潜伏する標的型のサイバー攻撃です。 APT は通常、計画的かつ高度な攻撃であり、豊富なリソースと経験を持つ国家などの攻撃者によって仕掛けられます。
A
高度な脅威保護 (ATP)
多くの場合、高度な脅威保護には、企業がマルウェアやサイバー攻撃を防ぐのに役立つ多数のサイバーセキュリティソリューションとセキュリティのベストプラクティスが含まれます。
A
エージェント
IT において、エージェントは一般的にソフトウェアエージェントとして知られています。 ソフトウェアエージェントは、コンピューターファイルのアーカイブなどのアクションを自動化する役割を果たします。 多くの場合、エージェントは事前に設定されたスケジュールに従ってバックグラウンドで実行されます。
A
Amazon Web Services (AWS)
Amazon Web Services (AWS) は、サービスとしてのプラットフォーム (PaaS)、サービスとしてのソフトウェア (SaaS)、サービスとしてのインフラ (IaaS) を含むクラウドプラットフォームです。 AWS 内には、コンピュート、ストレージ、データ管理、ネットワーキングなどの 100 を超えるサービスがあります。
A
異常 (アノマリ)
IT とセキュリティにおいて、アノマリとは、標準の状態や意図した状態から逸脱した、説明のつかない異常なアウトプットを指します。
A
API 攻撃
API 攻撃は、攻撃者が API サービスの不正使用を試みたときに発生します。 たとえば API インジェクション攻撃では、攻撃者がソフトウェアにアクセスするために、コーディングや設定ミスの問題を悪用して悪質なコードを注入することがあります。 分散型サービス拒否 (DDoS) 攻撃、中間者 (MitM) 攻撃、SQL インジェクション、ブローカー認証を突いた攻撃などの API 攻撃が仕掛けられることもあります。
A
アプリケーションプログラミングインターフェース (API)
API としても知られるアプリケーションプログラミングインターフェースは、2 つのアプリケーションが互いに通信できるようにするテクノロジーです。 API は、1 つのシステムから別のシステムに対して情報やサービスを要求します。
A
アプリケーションセキュリティ
一般的に、アプリケーションセキュリティとは、攻撃者に悪用される可能性があるセキュリティ上の脆弱性を排除するよう、アプリケーションコンポーネントを開発、更新、テストするプロセスを指します。
A
資産
資産とは、IT 環境内のあらゆる種類のハードウェアまたはソフトウェアを指します。 テクノロジーのイノベーションと導入が急速に進む中、資産とみなされる対象は増加しています。 その例としては、コンピューター、サーバー、ノートパソコン、タブレット、スマートフォン、プリンター、ルーター、オペレーショナルテクノロジー、IoT デバイス、IIoT デバイス、ソフトウェア、ファームウェア、ライセンスなどが挙げられます。
A
Cyber Asset Management(資産の整理と可視化)
資産インベントリは、企業がすべての資産の詳細を追跡して文書で記録する手段です。 このインベントリの対象には、デバイスとハードウェアだけでなく、 データや知的財産などの無形資産も含まれます。
A
攻撃経路
攻撃経路は、攻撃者がセキュリティ上の弱点を悪用してネットワーク内の資産にアクセスするために辿る経路です。 攻撃経路に沿って、攻撃者は資産から資産へと移動できます。
A
アタックサーフェス
アタックサーフェスとは、攻撃者が不正アクセスによってセキュリティ上の弱点を悪用し、システム、ネットワーク、データにアクセスする可能性がある、企業内のすべてのポイントを指します。
A
攻撃手法
攻撃手法は、攻撃者が資産に不正アクセスして脆弱性やその他のセキュリティ上の弱点を悪用できる手段です。
A
認証
IT において、認証とは、資産、プロセス、またはユーザーが特定のシステムリソースにアクセスできることを確認する手段を指します。 認証は、資産、ユーザー、プロセスがなりすましでなく本物であることを検証する手段です。
A
帯域幅
帯域幅は、システムが一定の時間内にネットワーク上で、あるポイントから別のポイントに伝送できるデータの最大量です。 帯域幅はメガビット/秒 (Mbps) の単位で測定されます。
B
行動分析
サイバーセキュリティにおいて、行動分析とは、ユーザーとその他の資産 (サーバーやネットワークなど) の環境内での挙動を評価する手段を指します。 現在、多くの行動分析が機械学習や人工知能 (AI) などの分析ツールによって行われています。 正常な挙動のパターンを分析して把握することにより、潜在的なセキュリティ脅威やインシデントの兆候と見られる変化をより正確に特定できます。
B
ボットネット
ボットネットは、マルウェアに感染した可能性があるコンピューターネットワークであり、多くの場合、不正なアクセス権のある攻撃者グループによって制御されています。 ボットネットの目的は、他のコンピューターにスパムを送信したり DDoS 攻撃を仕掛けたりなど、ネットワークの所有者が気付かないアクティビティを実行することにあります。
B
侵害
侵害は、多くの場合にサイバー侵害と呼ばれます。 侵害は、機密データや保護されている情報の露呈につながるセキュリティインシデントです。
B
侵害対応
侵害対応とは、企業がセキュリティ侵害への対応とセキュリティ侵害からの回復のために取ることができるアクションを意味します。 侵害対応の目的は、運用への影響を最小限に抑えつつ被害を軽減し、可能な限り迅速にビジネスを通常の状態に復旧させることにあります。
B
アクセス制御の不備
アクセス制御の不備があると、攻撃者がデータやファイルにアクセスできるようになります。 攻撃者は、アクセス制御の不備を悪用してデータやアクセス権を変更したり、システム内のその他の許可されていない機能にアクセスしたりすることができます。
B
インターネットセキュリティセンター (CIS)
CIS (Internet Security Center) は、CIS Controls と CIS Benchmarks に責任を負う非営利団体です。 この団体は、企業がデータと IT システムのセキュリティを確保するのに役立つベストプラクティスの確立で主導的役割を果たしており、世界中で知られています。
C
CIS Benchmarks
CIS ベンチマークは、企業が対象となるシステムのセキュリティを確保するのに役立つベストプラクティスです。 25 を超えるベンダー製品群にわたる 100 の CIS ベンチマークがあります。 CIS によると、これらのベンチマークは「政府機関、企業、業界、学界によって作成され認められている、合意に基づいた唯一のベストプラクティスセキュリティ設定ガイド」です。
C
CIS クリティカルセキュリティコントロール
CIS クリティカルセキュリティコントロールは、企業がサイバー防御とサイバー攻撃の防止のために取ることができるベストプラクティスのアクションで、 優先度が高く効果的であると考えられています。 サイバーハイジーン手法の実装や成熟に向けた、サイバーセキュリティ対策構築の最初のステップとして役に立ちます。
C
クラウド
テクノロジーの分野において、クラウドとは、従来の IT のようにオンプレミスで運用するのではなく、ウェブを通じて提供されるサービスやソフトウェアを指します。 クラウドは通常、世界中で同時に稼働している多くのサーバーネットワークを通じて提供されます。
C
クラウドアクセスセキュリティブローカー (CASB)
クラウドアクセスセキュリティブローカー (CASB) は、クラウドサービスプロバイダーとそのユーザー間のリンクとして機能するハードウェアまたはソフトウェア、またはその両方で構成されます。 CASB は、クラウドホスト型の場合もあればオンプレミスの場合もあり、一般的にはセキュリティポリシー適用ポイントとしての役割を果たします。
C
クラウドアプリケーション
クラウドアプリケーションは、ユーザーがインターネットを介してクラウドでアクセスできるソフトウェアです。 ディスクやその他のハードウェアからコンピューターに直接インストールされることがある従来のアプリケーションとは異なり、クラウドアプリケーションは、ユーザーのコンピューターではなくサーバーで管理されます。
C
クラウドアプリケーションの仮想化
クラウドアプリケーションを仮想化することにより、ユーザーは、アプリケーションがインストールされているコンピューター以外のコンピューター上でクラウドアプリケーションにアクセスできます。 これらのアプリケーションは通常、サーバーでセットアップされ、ユーザーはリモート接続でアクセスします。
C
クラウドアプリケーションの脆弱性
クラウドアプリケーションの脆弱性は、攻撃者が設定ミスなどのセキュリティの問題を悪用して資産に不正アクセスできる可能性がある、クラウド環境内の脆弱性です。
C
クラウドアーキテクチャ
クラウドアーキテクチャとは、クラウドコンピューティング環境を構成するすべての要素を指します。 クラウドアーキテクチャは、企業によって異なる場合があります。 一般的には、クラウドにアクセスするためのデバイスなどのフロントエンドのコンポーネント、ストレージやサーバーなどのバックエンドの要素、サービスとしてのインフラ (IaaS)、サービスとしてのソフトウェア (SaaS)、サービスとしてのプラットフォーム (PaaS) などのクラウドベースのデリバリーモデルとネットワークで構成されます。
C
クラウドのアタックサーフェス
クラウドのアタックサーフェスとは、攻撃者がセキュリティ上の弱点を検出して悪用し、環境に不正アクセスする可能性がある、クラウド環境内のコンポーネントとクラウド環境に接続されているコンポーネントのすべてを意味します。
C
クラウドコンピューティング
クラウドコンピューティングには、ウェブを通じてクラウドベースのサービスを提供するのに必要なあらゆるコンポーネントが含まれます。 ソフトウェアやネットワークだけでなく、ハードウェアやストレージなども含まれることがあります。 多くの企業は、コスト削減効果、柔軟性、スケーラビリティなどの理由で、オンプレミスからのテクノロジーからクラウドコンピューティングへの移行を進めています。
C
クラウドコントロールプレーン
クラウドコントロールプレーンは、ユーザーとロールの作成、構成ガイドライン、アクセス管理その他の、クラウドコンピューティング環境全体のオーケストレーションや管理アクティビティを可能にする機能です。
C
クラウドコスト管理
クラウドコスト管理は、クラウドコンピューティング関連の費用を効率的に管理して最適化するためのプロセスです。
C
クラウドイネーブルメント
クラウドイネーブルメントは、(ハードウェア、ソフトウェア、その他の資産などの) 企業の既存の IT インフラを調べたうえで、パブリック、プライベート、またはハイブリッド環境のいずれかのクラウドインフラを作成、導入、管理するための計画を作成するプロセスです。
C
サービスとしてのクラウドファイヤーウォール (FWaaS)
クラウドファイヤーウォールは、クラウド内でホストされる不正なネットワークトラフィックをフィルタリングするもので、 クラウド環境の境界としての役割を果たします。 サービスとしてのクラウドファイヤーウォール (FWaaS) は、クラウド環境内で稼働してクラウドリソースと悪質なアクティビティを隔てるサービスです。
C
クラウドインフラ
クラウドインフラとは、ハードウェア、ストレージ、その他のリソースなど、クラウドコンピューティング環境を運用するのに必要なすべてのコンポーネントを指します。
C
CIEM (クラウドインフラ権限管理)
CIEM は、クラウド環境のアクセス権限の管理に役立つソリューションです。 クラウドパーミッション管理 (CPM) としても知られるこれらのソリューションは、アクセスに最小権限を付与するアプローチを採用して、クラウドリソースアクセスに関連するアクセス許可を管理します。
C
クラウド移行
クラウド移行とは、(たとえばオンサイトサーバーでホストされるような) 従来の IT 環境からクラウドコンピューティング環境へ企業リソースを移動する際の計画、開発、実装を指します。 多くの場合、企業データとその他のアプリケーションやサービスのすべてまたは一部が、 Microsoft Azure、Google Cloud Services、Amazon Web Services などのクラウド環境に移動されます。
C
クラウドネイティブ
クラウドネイティブは、クラウド内で構築されて実行されるアプリケーションを定義するために用いられる用語です。 これらのアプリケーションは通常、軽量のコンテナであり、柔軟性とスケーラビリティがあり、幅広い環境に効率よく導入できます。
C
Cloud Security
クラウドセキュリティには、オフプレミスとクラウドに格納されているすべてのデータとリソースを保護するためのプロセス、ツール、リソース、ポリシーが含まれます。 企業を保護するために、脆弱性、設定ミス、その他のセキュリティの問題を検出して修正できるよう、クラウド環境内のすべての資産を継続的に評価します。
C
クラウドセキュリティゲートウェイ
クラウドセキュリティゲートウェイは、クラウドアクセスセキュリティブローカー (CASB) と呼ばれることもあります。 クラウドセキュリティゲートウェイとは、企業がさまざまなポイントでセキュリティポリシーを適用するためにクラウドサービス環境と利用者の間に配置する、ポリシーの施行ポイントです。 クラウドセキュリティゲートウェイゲートウェイは、クラウドホスト型の場合もあればオンプレミスの場合もあります。
C
クラウドセキュリティ態勢管理 (CSPM)
クラウドセキュリティ態勢管理 (CSPM) とは、企業が設定ミスやその他のコンプライアンスまたはセキュリティリスクなどのクラウドベースの問題を探し出すために使用できる、ツールやリソースを指します。 通常、クラウド環境内のセキュリティやコンプライアンスの問題を特定するとセキュリティチームにアラートが送信されます。
C
クラウドセキュリティツール
クラウドセキュリティツールには、企業がクラウドセキュリティのリスクを軽減したり、セキュリティ上の弱点を特定したりするために使用するポリシー、プロセス、手順、テクノロジー、その他のリソースが含まれます。
C
クラウドサービスプロバイダー (CSP)
CSP は、クラウドコンピューティングインフラ、アプリケーション、ストレージ、その他のサービスなどのクラウドベースのサービスを提供します。 有名な CSP としては、Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP) などがあります。
C
クラウドの脆弱性
クラウドの脆弱性とはセキュリティ上の弱点で、攻撃者がクラウドベースの環境にアクセスするために悪用する可能性のある設定ミスやその他のセキュリティの問題などのことです。
C
クラウドワークロード保護プログラム (CWPP)
クラウドワークロード保護プログラム (CWPP) は、クラウド環境内のワークロードや複数クラウド環境にわたるワークロードのセキュリティの確保をサポートするとともに、それらを管理するプログラムです。 CWPP は、一般的なエンドポイントの観点からではなく、ワークロードのレベルからクラウドセキュリティに対処します。
C
クラウドワークロードセグメンテーション
クラウドワークロードセグメンテーションは、さまざまなクラウドワークロード間のアクセスとサービスを規定して管理するためのルールを作成するプロセスです。
C
クラウドベースデリバリーモデル
クラウドベースデリバリーモデルとは、クラウドコンピューティングサービスの提供方法のことです。 企業に最適なモデルは、それぞれ固有のさまざまな要因によって決まりますが、一般的なクラウドベースデリバリーモデルには、IaaS、PaaS、SaaS の 3 つがあります。
C
クラウドネイティブアプリケーション保護プラットフォーム (CNAAP)
クラウドネイティブアプリケーション保護プラットフォーム (CNAAP) は、開発から本稼働までのクラウドアプリケーションの保護に役立つクラウドセキュリティアーキテクチャの一種です。 CNAAP を導入するメリットとしては、クラウドベースの環境に対する可視性の向上や、クラウドベースのリスクの早期検出などが挙げられます。
C
CWE (共通脆弱性タイプ)
CWE は、開発、コード、設計、またはアーキテクチャに潜在する可能性があるソフトウェアの脆弱性を指すために使用される共通言語です。 CWE のデータベースは MITRE Corporation が管理しており、各 CWE にはセキュリティ上の脆弱性の種類が示されています。 既知の特定の脆弱性のインスタンスを指す CVE とは異なります。
C
コンプライアンス
プライバシーとセキュリティにおいて、コンプライアンスとは、第三者が管理または監督する特定の要件や基準を満たしていることを企業が証明できることを指します。 たとえば、医療機関は HIPAA 監査でデータセキュリティとプライバシーの要件を満たしていることを証明する必要があります。
C
サービスとしてのコンプライアンス (CaaS)
サービスとしてのコンプライアンス (CaaS) は、多くの場合、特定のコンプライアンス義務の要件を満たすように企業をサポートする、マネージドサービスプロバイダー (MSP) によって監督されます。
C
コンプライアンスフレームワーク
コンプライアンスフレームワークは、企業が特定の義務やその他の要件に準拠していることを証明するために満たさなければならない、特定の要件またはガイドラインの概要を示したものです。 現在では、プライバシーフレームワーク、セキュリティフレームワーク、リスク管理フレームワークなど、業界、州、国などの要件を網羅するさまざまなコンプライアンスフレームワークがあります。
C
コンピューターセキュリティ
コンピューターセキュリティは、情報セキュリティやサイバーセキュリティと呼ばれることもあります。 コンピューターセキュリティには、ネットワークその他の環境にあるコンピューターシステムを潜在的な侵害やセキュリティの問題から守るために使用する、すべてのプロセス、ツール、リソースが含まれます。
C
設定
情報セキュリティにおいて、設定とは、ハードウェア、ソフトウェア、アプリケーションなどのシステムを設定して管理する方法を指します。
C
設定管理
設定管理とは、コンピューティング環境内のハードウェアまたはソフトウェアに加えられた変更を管理するために使用するプロセスを指します。
C
構成管理 (Configuration Management)
構成管理とは、コンピューティング環境の機能やパフォーマンスに変更が加えられたときに承認済みの一貫したアプローチが使用されるようにプロセスを確立することを指します。
C
コンテナ
コンテナは、仮想化されたオペレーティングシステムの一種です。 アプリケーションと、ライブラリなどのアプリケーションに必要なコンポーネントのすべてをランタイム環境としてパッケージ化します。
C
コンテナ環境
コンテナ環境は、コンテナイメージとコンテナイメージに関連したデータボリュームを含むファイルシステムにコンテナからアクセスできるばかりでなく、コンテナその他のオブジェクトに関する情報などの重要なリソースにもコンテナからアクセスできるようにします。
C
コンテナイメージ
コンテナイメージは、アプリケーションを実行できるようにする実行コードのファイルです。 コンテナイメージは変更不可なので、任意の種類の環境で一貫したデプロイメントを実行するのに役立ちます。
C
コンテナイメージタグ
コンテナイメージタグは、14.04 などと表され、コンテナ内でホストされるアプリケーションの固有のリリースまたはバージョンです。
C
コンテナレジストリ
コンテナレジストリは、コンテナイメージの格納場所です。 開発者と継続的インテグレーション (CI) システムはプッシュされたコンテナをここに格納します。
C
コンテナセキュリティ
コンテナセキュリティには、企業がコンテナのセキュリティを確保してアプリケーションを目的どおりに動作させるために活用する、すべての人員、ツール、リソースが含まれます。
C
コンテンツ配信ネットワーク (CDN)
コンテンツ配信ネットワーク (CDN) は、通常、異なる地域に設置されているサーバーのグループで、連携してウェブコンテンツを配信します。 ユーザーに近い地域にコンテンツを格納することにより、迅速な配信をサポートします。
C
継続的デプロイ
継続的デプロイメント (CD) は、運用 (または DevOps) においてテストに合格したビルドを自動的に本番環境にプッシュする開発手法です。 継続的デプロイは、合格したテストビルドをすぐに利用可能にします。
C
継続的デプロイ (CD) システム
継続的デプロイシステムは、ビルドの合不合を監視します。合格したビルドは本番環境に移行可能なので、 CD はテストに合格したビルドのデプロイメントを自動化しています。
C
継続的インテグレーション
継続的インテグレーションは、開発者が、コード変更の承認に追従して、コードを日常的に共有のソース管理リポジトリに統合できるようにするプロセスです。
C
継続的インテグレーション (CI) システム
継続的インテグレーションシステムは、GitHub のマージされたプルリクエストのようなソースコントロールのコミットを監視し、ソースコントロールに変更が加えられたときにテスト用のビルドを自動的に起動させます。
C
継続的インテグレーションおよび継続的デプロイ (CI/CD) システム
CICD システムは、GitHub のマージされたプルリクエストのようなソースコントロールのコミットを監視し、ソースコントロールに変更が加えられたときに (テストのために) ビルドを自動的に起動させます。 ビルドとテストフェーズが完了すると、テストに合格したビルドは本番環境にプッシュされるので、 テストに合格したビルドのデプロイメントが自動化されます。
C
継続的なネットワーク監視
継続的なネットワーク監視は、たとえば Nessus Network Monitor の使用などにより、非侵入型のアプローチですべての環境にわたる資産のインサイトを取得し、脆弱性、トラフィックや帯域幅の問題、設定ミス、その他のセキュリティの問題を検出します。
C
認証情報窃取
認証情報窃取は、攻撃者がユーザー名とパスワードなどのユーザーの認証情報を取得して、システムやネットワークへの不正アクセスを試みるサイバー攻撃の一種です。
C
クレデンシャルスタッフィング
クレデンシャルスタッフィングは、自動化されたツールを使用して、不正に入手したユーザー名やパスワードなどの認証情報でシステムやネットワークへの不正アクセスを試みる攻撃です。
C
認証スキャン
認証スキャンは認証情報を使って行うスキャンです。認証済みスキャンとも呼ばれ、システムの権限を使用して資産を詳細に評価します。 脅威にさらされているポート、プロトコル、その他のサービスを調査して脆弱性などの問題を俯瞰する、非認証 (未認証) スキャンとは異なります。
C
クロスサイトリクエストフォージェリ (CSRF)
OWASP は、クロスサイトリクエストフォージェリを「現在アクセス認証済みのウェブアプリケーションに対してエンドユーザーに意図しないアクションを実行させる」攻撃と定義しています。
C
クロスサイトスクリプティング (XSS)
ウェブサイトに悪質なコードを注入して訪問者を標的にする攻撃です。
C
CVE
CVE は、MITRE が管理する Common Vulnerabilities and Exposures の略語です。 脆弱性などの一般に公開されているコンピューターの弱点やセキュリティの問題などのデータベースです。
C
CVSS スコア
CVSS スコアは、Common Vulnterability Scoring System (共通脆弱性スコアシステムスコア) の略語です。 CVSS スコアにより、企業はセキュリティ上の脆弱性を評価して得点を付け、自社に最大のリスクをもたらす可能性がある脆弱性を見極めたうえで、優先順位付けと修正のプロセスを進めることができます。
C
サイバー攻撃
サイバー侵害としても知られるサイバー攻撃は、多くの場合、ハッカーと呼ばれる不正ユーザーが資産、システム、ネットワークに対して不正アクセスを試みたときに発生します。 攻撃の動機はそれぞれ異なりますが、多く見られる目的としては、アクセス拒否の設定、データの破壊、抽出、暗号化、他の攻撃の足場づくりなどがあります。
C
サイバー防御
サイバー防御は、企業がサイバー攻撃を防ぐために用いる戦略です。
C
Cyber Exposure
Tenable が先駆的に提唱した Cyber Exposure は、企業におけるアタックサーフェス全体のサイバーリスクの把握、予測、対処を支援するサイバーセキュリティのアプローチです。 リスクベースの脆弱性管理の原則に基づいて作成されたサイバーエクスポージャー管理のベストプラクティスでは、セキュリティ担当者や IT 運用担当者から執行幹部や主要なステークホルダーまでの全員が理解できる、リスクに焦点を合わせた測定指標に基づいた「共通言語」を導入します。
C
Cyber Exposure Gap
Cyber Exposure Gap とは、企業がサイバーセキュリティ態勢を成熟させるために検出して優先順位を付け、軽減または修正する必要がある脆弱性、設定ミス、その他のセキュリティ上の問題を指します。
C
Cyber Exposure Lifecycle
Cyber Exposure Lifecycle は、各企業が自社のサイバーセキュリティ対策の正常性とセキュリティを継続的に評価するために使用できるフレームワークです。 サイバーセキュリティ対策に Cyber Exposure Lifecycle を適用した企業は、何が脅威にさらされているか、 リスクに基づいて何を優先させるべきか、 エクスポージャーを低減できているか、 競合企業と比較してどうか、といった質問に的確に答えられるようになります。
C
Cyber Exposure Score (CES)
Tenable の Cyber Exposure Score (CES) は、検出された脆弱性がもたらす脅威、攻撃者が脆弱性を悪用する可能性、影響を受ける資産の重大度、攻撃が成功した場合に予測される影響に基づいて自動的に計算される、サイバーリスクの客観的な尺度です。
C
サイバーハイジーン
サイバーハイジーン (またはサイバー衛生) は、企業が、資産、ユーザー、データの保護のためにセキュリティ基準を確立、管理、改善、維持する目的で利用する、あらゆるプロセスとプラクティスを表す用語です。
C
サイバーリスク
サイバーリスクは、サイバー攻撃による侵害によって生じる可能性のある損害を表す用語です。 NIST は、サイバーリスクを「サイバーリソースへの依存によって生じるリスク (サイバー空間に常時または断続的に存在するシステムやシステム要素に依存することから生じるリスク) 」と定義しています。 NIST によると、リスクには、「製造システムの不正なアクセス、使用、開示、中断、変更、破壊などにより、電子的手段を介して製造システムにもたらされる、情報機能または運用機能、または両方に用いられるデジタルテクノロジーの障害に起因する、金銭的損失、運用の中断、または損害のリスク」などが含まれます。
C
サイバーリスク管理
サイバーリスク管理には、潜在的なサイバーセキュリティ脆弱性や脅威の検出と分析、それらに対する防御と対応、その後の復旧のために企業が用いるすべての手法と手順が含まれます。
C
サイバー脅威
サイバー脅威は、システムやデータに不正アクセスする目的で攻撃者に悪用されることが考えられる、企業内に存在する可能性のある脆弱性です。 企業の進化とともにサイバー脅威環境も変化しており、資産、ユーザー、またはその他のネットワークコンポーネントやシステムコンポーネントから派生した脆弱性、設定ミス、その他のセキュリティの問題などが含まれています。
C
CyberScope
CyberScope は、企業が連邦情報セキュリティマネジメント法 (FISMA) に関連する報告の管理に使用できるプラットフォームです。 アメリカ合衆国国土安全保障省 (DHS) は報告書作成のために、CyberScope の使用を義務付けています。
C
サイバーセキュリティ
サイバーセキュリティとは、企業が潜在的なサイバー攻撃からすべての資産とデータを保護するために使用する、すべての手法とプロセスを指します。 CISA は、サイバーセキュリティを「ネットワーク、デバイス、データを不正アクセスや犯罪使用から保護する技巧であり、情報の機密性、完全性、可用性を確保するプラクティス」と定義しています。
C
サイバーセキュリティライフサイクル
NIST のサイバーセキュリティフレームワークに基づくサイバーセキュリティライフサイクルには、 特定、防御、検出、対応、復旧の 5 つの段階があります。 企業は、サイバーセキュリティのベストプラクティスを確立するためのガイドラインとしてこのフレームワークを採用することができます。
C
サイバーセキュリティリスク
サイバーセキュリティリスクとは、自社のシステム、ネットワーク、またはデータのいずれかに対する不正アクセスにつながるかもしれない、企業内に存在する可能性がある脆弱性やその他のセキュリティの問題を指します。
C
データ分類
情報セキュリティにおいて、データ分類とは、重要で保護する必要がある資産を特定してそれらの保護方法を決定するうえでの指針となる、すべての資産の整理方法 (値の割り当てを含む) 指します。
D
データ保護
データ保護とは、企業が不正アクセスや侵害を防ぐためにデータを保護する方法を指します。 医療機関でのデータ保護には、データの機密性、完全性、可用性を保護するために使用するすべてのプロセスが含まれます。
D
サービス拒否 (DoS)
DoS としても知られるサービス拒否は、許可されているユーザーがネットワークやデバイスにアクセスできないようにするサイバー攻撃の一種です。
D
デシリアライゼーション
OWASP はデシリアライゼーションについて、ある形式のデータを取り出してオブジェクトに再構築するプロセス (たとえば JSON でデータをシリアル化するなど) と定義しています。
D
DevOps
DevOps は、Development (開発) と Operations (運用) の略語です。 DevOps ではこれら 2 つの領域を統合し、ソフトウェア開発ライフサイクルでのソフトウェアやアプリケーションのスピード、精度、セキュリティを向上させます。
D
分散型サービス拒否 (DDoS)
DDoS としても知られる分散型サービス拒否攻撃では、攻撃者または攻撃者のグループが 1 台のサーバーに (または複数のサーバーに同時に) 大量にアクセス要求を送信して、許可されたユーザーが特定のサービスやサイトにアクセスできないようにします。
D
DLP
DLP は、Data Loss Prevention (データ損失防止) の略語です。 DLP とは、企業が不正アクセスにつながる可能性がある脆弱性を検出し、そのような脆弱性からデータを守るために使用するすべてのコンポーネントを指します。
D
Docker
Docker は、開発者が使用するコンテナ化プラットフォームです。Docker の使用によって、アプリケーションをコンテナ内に配置して、アプリケーションの実行に必要なすべてのコンポーネントを任意の環境で機能させることができます。
D
ドメイン管理者
Domain Admin (ドメイン管理者) は、Domain Administrator の略語です。 ドメイン管理者は、ドメインのアクセス権限の管理に責任を負います。
D
二重脅迫型ランサムウェア
二重脅迫型ランサムウェアは、攻撃者が企業に侵入してデータを暗号化することに加えて、身代金を得るためにデータの一部またはすべてを抽出するランサムウェア攻撃の一種です。
D
動的脅威評価 (DTA)
動的脅威評価 (DTA) は、 アメリカ国防情報局 (DIA) が、個々の統合短期戦略能力計画 (Joint Strategic Capabilities Plan) に関連して攻撃者の能力と意図を評価する目的で作成したプロセスです。
D
有効なアクセス許可
有効なアクセス許可は、Active Directory オブジェクト (ユーザーまたはユーザーグループがアクセスする可能性があるファイルやフォルダーなど) へのアクセスをユーザーに許可するために Active Directory で使用されます。
E
暗号化
暗号化は、意図しないユーザーによるデータや情報へのアクセスを防止するために作られたコードにデータを変換するために使われるプロセスです。
E
エンドユーザー
情報テクノロジーにおいて、エンドユーザーとは、企業の資産にアクセスしてジョブ要求を実行できる人を指します。
E
エンドポイント
サイバーセキュリティにおいて、エンドポイントとは、コンピューター、スマートフォン、ノートパソコン などの、ネットワークのエンドポイントにあるデバイスを指します。
E
エンドポイント保護
エンドポイント保護とは、サイバー攻撃を受けやすいコンピューター、ノートパソコン、スマートフォン、タブレットその他のデバイスのすべてのエンドポイントを保護するために企業が使用するプロセスを指します。
E
エンドポイントセキュリティ
エンドポイントセキュリティには、企業がサイバー侵害からすべての資産を保護するために使用するすべてのリソースが含まれます。 一般的には、コンピューター、タブレット、ノートパソコン、スマートフォンなどのデバイスで用いられます。
E
エンタープライズ
情報セキュリティにおいて、エンタープライズという用語は、企業がビジネス機能をサポートするために使用することがある、すべての情報通信システムを表すために用いられます。
E
エンタープライズ IT セキュリティ
エンタープライズ IT セキュリティとは、サイバー攻撃にさらされる可能性がある脆弱性、設定ミス、その他のセキュリティの問題の特定と修正など、企業が自社のデータと資産を保護するために使用するすべてのプロセスを指します。
E
権限
情報セキュリティにおいて、権限とはユーザーアクセスを判断するデータ構造を指します。
E
環境
情報セキュリティにおいて、環境という用語は、企業が日常の事業活動に使用するすべてのインフラ、ハードウェア、ソフトウェア、その他のリソースを表すために用いられます。
E
倫理的ハッキング
倫理的ハッキングは、ネットワーク、データ、またはその他の資産へのアクセスを試行する権限をハッカーに与える、サイバーセキュリティテストの手法です。
E
エクスプロイト
サイバーセキュリティにおいて、エクスプロイトとは通常、攻撃者が情報システム内の脆弱性やセキュリティ上の弱点を悪用するために使用するツールの一種を指します。
E
外部テスト
サイバーセキュリティにおいて、外部テストとは、企業の外部に露出している資産を分析して、攻撃者に悪用される可能性がある潜在的なセキュリティ上の弱点がないかどうかを確認する、脆弱性評価の一種を指します。
E
ファイヤーウォール
サイバーセキュリティにおいて、ファイヤーウォールとは、企業が一連の事前設定済みのセキュリティポリシーに基づいてネットワークを出入りするデータの監視とフィルタリングを行うために使用するしくみを指します。
F
FISMA
FISMA は、Federal Information Security Management Act (連邦情報セキュリティマネジメント法) の略称です。 アメリカ連邦議会は、アメリカ合衆国の情報サイバーセキュリティ対策の一連の基準として 2002 年に FISMA を制定しました。
F
ゲートウェイ
サイバーセキュリティにおいて、ゲートウェイとは、2 つの異なるネットワークまたはアプリケーションの間にある、ネットワーク内のノードを指します。 通常は、伝送プロトコルが異なる 2 つのネットワークまたはアプリケーション間にあります。
G
一般データ保護規則 (GDPR)
一般データ保護規則 (GDPR) は、欧州連合 (EU) 内で定められた一連のプライバシーおよびセキュリティ規制です。 世界で最も厳格なポリシーの 1 つとみなされており、企業が EU の外部に位置していても、EU の居住者からデータを収集する場合はこの規則が適用されます。
G
Google Cloud Platform (GCP)
Google Cloud Platform (GCP) は、ウェブサイトやアプリケーションなどのさまざまなサービスを作成、導入、拡張するために、Google が提供するクラウドインフラ内で開発者が使用できるツールです。
G
企業統治
情報セキュリティにおいて、企業統治 (ガバナンス) とは、企業全体で一貫した手法が確立されるようにするためのプライバシー、セキュリティ、コンプライアンス、その他の重要なビジネス領域の指針にかかわる、人員、プロセス、ポリシーを指します。
G
HIPAA
HIPAA は、Health Insurance Portability and Accountability Act of 1996 (1996 年の医療保険の相互運用性と説明責任に関する法律) の一般的な略称であり、米国における個人健康情報 (PHI) の機密性、可用性、完全性の保護と確保を目的とする国内基準を定めたものです。
H
ハイブリッドクラウド
ハイブリッドクラウドという用語は、たとえばパブリッククラウドで動作するアプリケーションとプライベートクラウドで動作するアプリケーションがある場合など、複数の異なる環境内で動作するアプリケーションを含む IT インフラを表すために用いられます。
H
ID アクセス管理 (IAM)
ID アクセス管理 (IAM) は、適切な人員が業務に必要な情報やリソースに適切にアクセスできるようにするとともに、権限のないユーザーによるデータ、システム、資産へのアクセスを防止するために IT 部門が使用するプロセスです。
I
アイデンティティセキュリティ
アイデンティティセキュリティは、主にシステムやネットワークへのアクセスが承認される認証機能を指します。ユーザー ID やそのユーザー ID が持つアクセス権限なども制御する機能です。 アイデンティティセキュリティは IAM の一部となります。
I
イメージ
イメージは、(ubuntu:14.04 などの) コンテナイメージファイル内でホストされるアプリケーションです。
I
イメージスキャン
イメージスキャンは、コンテナ内の脆弱性やその他のセキュリティの問題を明らかにするのに役立つプロセスです。
I
イメージタグ
イメージタグは、(14.04 などの) コンテナ内でホストされるアプリケーションの固有のリリースまたはバージョンです。
I
インシデント対応
サイバーセキュリティにおいて、インシデント対応とは、サイバー侵害などの悪影響のある出来事に対応する行動を管理する計画、プロセス、ポリシーの使用を指します。
I
産業用コントロールプレーン (ICP)
産業用コントロールプレーン (ICP) は、ICS ネットワーク内のプログラマブルロジックコントローラー (PLC) の一部です。 プロトコルには、ファームウェアのプログラミング、設定、更新などのエンジニアリング機能を管理するためのコントロールプレーンプロトコルと、セットポイントやタグのようなプロセスパラメーターをはじめとする、進行中のプロセスの物理パラメーターを管理するためのデータプレーンプロトコルの 2 種類があります。 サイバー攻撃によってコントロールプレーンに中断その他の影響が生じると、電力供給などの基幹サービスが提供不能になったり、欠陥品が製造されたりなど、さまざまな問題の原因となる可能性があります。
I
産業用制御システム (ICS)
産業用制御システム (ICS) は、オペレーショナルテクノロジーの主要コンポーネントです。 ICS には、産業プロセスを管理するさまざまな種類のデバイス、コントロール、システム、ネットワークが含まれます。
I
産業用制御システム (ICS) セキュリティ
産業用制御システム (ICS) セキュリティには、ICS のセキュリティを確保するために使用するプロセス、ハードウェア、ソフトウェアが含まれます。 ICS セキュリティのソリューションには、詳細な可視化、資産インベントリ、パッシブおよびアクティブな脅威の検出、リスクベースの脆弱性管理、構成管理などがあります。 内外の脅威のリスクを減らし、多くの産業における操業の継続には、ICS セキュリティを維持することが不可欠です。
I
IIOT (産業用のモノのインターネット)
IIoT とは、産業環境内での IoT デバイスの使用を指します。 IIoT デバイスは、手動での操作を必要とせず、テレメトリデータを提供してクラウドを活用できるようにして、効率を向上させてエラーが起きる可能性を減らします。
I
産業セキュリティ管理
産業セキュリティ管理には、産業用制御システム (ICS) の安全性とセキュリティを確保するためのプロセスが含まれます。 セキュリティ管理の手法には、可視性、セキュリティ、制御の各要素が含まれます。 製造工場を保護するには、潜在的なリスクを最小限に抑えるとともに、すべての資産に対して、産業オートメーションネットワークなどの、被害を最小限に抑える低コストのセキュリティを実現する必要があります。 企業は、パフォーマンスと生産高、アップタイム、従業員への配慮など、その他の重要な要件に相反することがないようにセキュリティを設計して管理する必要があります。 オートメーションネットワークのセキュリティの確保は、今日の産業セキュリティ管理における最大の課題です。
I
Industry 4.0
Industry 4.0 とは、第 4 次産業革命を指すものであり、今日の産業環境のデジタル化と自動化の進展を意味します。
I
情報権利管理 (IRM)
IRM は、権限のないユーザーにアクセスに与えないように、特定の機密データまたはシステムに対するユーザーアクセスを管理します。 IRM は、デジタル著作権管理 (DRM) の一部です。
I
情報セキュリティ
情報セキュリティとは、情報セキュリティのリスクを管理して軽減するために使用するすべてのリソースを指し、 企業がデータ、ネットワーク、その他の資産に対する不正アクセスを防ぐ方法です。InfoSec とも呼ばれます。
I
インフラストラクチャ (インフラ)
情報セキュリティにおいて、インフラとは、オンプレミスとクラウドベースのテクノロジーを含む、IT ビジネスサービスの実現に必要とされるすべての設備、ハードウェア、ソフトウェア、その他のサポートサービスを指します。
I
サービスとしてのインフラ (IaaS)
サービスとしてのインフラ (IaaS) は、オペレーティングシステム、ネットワーク、サーバー、ストレージ、その他のクラウド基盤で必要とされるものの仮想化されたリソースにインターネットを介してアクセスできるクラウドベースのサービスです。
I
インフラのコード化 (IaC)
インフラのコード化 (IaC) は、仮想化されたインフラとクラウドインフラのセキュリティと運用をソースコードによって自動化することを可能にし、企業はデータセンターでインフラをプロビジョニングすることができます。
I
インサイダー脅威
インサイダー脅威は、従業員、ベンダー、サプライヤー、請負業者などの内部関係者が、(意図的であるかどうかを問わず) 企業の資産、データ、システム、ネットワーク、知的財産、その他のコンポーネントに損害を与えるセキュリティリスクです。
I
統合
情報テクノロジーでは、統合によって企業全体のデータと資産をつなぐデータパイプラインが構築されます。
I
内部テスト
情報セキュリティにおいて、内部テストとは、企業が許可を得たうえで環境のフルスキャンを実行し、脆弱性に加えて設定ミスその他のセキュリティの問題を検出するために使用できる脆弱性評価の手段を指します。 企業内の既知と未知のセキュリティの問題を検出したり、セキュリティ制御が目的どおりに機能しているかどうかを確認したりするために使用するプロセスです。
I
モノのインターネット (IoT)
IoT は、ネットワーク上でデータの収集と他のデバイスへのデータの送信を行う、相互接続されたデバイスで構成されます。通常、人の手を介することなく、 ネットワークを通じてマシン間で通信が行われます。
I
インターネットセキュリティ
インターネットセキュリティには、ウェブサイト、ネットワーク、ブラウザなどのインターネットリソースやその他のオンライン行動のセキュリティを確保するために使用するプロセスが含まれます。
I
IoT セキュリティ
IoT セキュリティには、IoT デバイスの管理と保護に使用する、すべてのプロセス、ハードウェア、リソース、ツールが含まれます。
I
ISO 27000
ISO 27000 は、国際標準化機構 (ISO) が管理する、情報セキュリティ管理システム (ISMS) に関する一連のセキュリティ規格です。 ISO によると、これらの規格に従うことにより「あらゆる種類の企業が、財務情報、知的財産、従業員の詳細情報、第三者から預かった情報などの資産のセキュリティを管理できる」ようになります。
I
IT
IT は、Information Technology (情報技術) の略語です。 情報技術とは、すべてのハードウェア、ソフトウェア、データ、その他のコンポーネントを機能させ、それらのセキュリティを確保してオペレーショナルレジリエンスを確保するための、データパイプラインや資産などの企業内の情報ネットワークに関連するすべてのプロセスを指します。
I
IT セキュリティ
IT セキュリティには、情報セキュリティインフラを管理して、セキュリティ上の弱点や起こりうる侵害から守るために使用するすべてのプロセス、ハードウェア、リソース、ツールが含まれます。
I
IT/OT コンバージェンス
IT/OT コンバージェンスとは、IT デバイスと OT デバイスが同じ環境内で接続したりやり取りしたりする場合を指します。 これは、OT デバイスが外部ネットワークに接続して意図的に行われることもあれば、誰かが (外部ネットワークに接続されていた) ノートパソコンをアップデートするために OT デバイスに接続したときのように、偶発的に起きることもあります。
I
IT/OT セキュリティ
IT/OT セキュリティには、特に IT/OT コンバージェンスが発生する場所で企業が IT 環境と OT 環境両方のセキュリティを確保するのに必要なすべての人員、ツール、リソースが含まれます。
I
Kubernetes
Kubernetes は、クラウドネイティブアプリケーション開発の主要なプロセスの自動化に使う、オープンソースのオーケストレーションプラットフォームです。 元々は Google によって設計されたものですが、現在は Cloud Native Computing Foundation が管理しています。 Kubernetes は、企業がクラウド環境でコンテナの管理と拡張を行う用途に効果的です。
K
Kubernetes Security Posture Management (KSPM)
KSPM としても知られる Kubernetes のセキュリティ態勢管理は、多くの企業がコンテナ環境を管理するために使用するリソースである Kubernetes 内においてセキュリティの問題を検出して修正するのに有効なサイバーセキュリティツールです。
K
ラテラルムーブメント
サイバーセキュリティにおいて、ラテラルムーブメントとは、環境内における攻撃者の探索と移動の方法を指します。 一旦攻撃によって資産やエンドポイントが侵害されると、多くの場合、攻撃者は検出されることなく、ネットワークの奥深くまで侵入することができます。
L
最小アクセス権限 (または最小権限アクセス)
最小アクセス権限 (または最小権限アクセス) は、最小権限の原則 (POLP) と呼ばれることもあります。 最小アクセス権限では、一般的に特定の役割やタスクに最低限必要とされる、最低レベルのアクセス権がユーザーに与えられます。
L
Log4Shell
CVE-2021-44228 は、Log4Shell としても知られている Apache Log4j ソフトウェアの重大な欠陥です。 Log4j は、Apache Logging Services に含まれている、広く用いられている Java ロギングライブラリです。このライブラリは、アプリケーションやサービスからのメッセージをログに記録するために使用されます。デバッグが目的の場合が多くあります。 攻撃者は、Log4j の脆弱なバージョンを実行しているサーバーに特殊な細工を施したリクエストを送信して Log4Shell を悪用することができます。 サーバーが Log4j を使用してリクエストをログに記録すると、エクスプロイトは Java Naming and Directory Interface (JNDI) を介して Lightweight Directory Access Protocol (LDAP) などのさまざまなサービスを使って、攻撃者が制御するサーバーに悪質なペイロードを転送するようリクエストします。
L
機械学習
機械学習は、データなどの情報を使用してタスクのパフォーマンスを継続的に向上させる演算方法です。
M
マルウェア
マルウェアは、資産やネットワークを中断させたり、システムに不正アクセスしたり、データなどの資産を盗用、変更、削除、暗号化したりといった、具体的な不正行為を意図して開発されたソフトウェアです。
M
マルウェアスキャナー
企業はマルウェアスキャナーを使用して資産やネットワークをスキャンし、コンピューター上のウイルスなどの悪質なソフトウェアやコードを見つけ出します。
M
中間者 (MitM) 攻撃
中間者攻撃は、公衆無線 LAN など安全でないネットワークを通じてユーザーを侵害します。
M
マイクロセグメンテーション
サイバーセキュリティにおいて、マイクロセグメンテーションとは、情報セキュリティ担当者が、データセンター内に個人単位のワークロードにまで分割したセキュリティセグメントを作成し、各セグメント別にセキュリティ制御やセキュリティサービスを開発できるようにするプロセスを指します。
M
Microsoft Azure
Microsoft Azure は、Microsoft のパブリッククラウドコンピューティングプラットフォームです。 Azure は、PaaS、IaaS、マネージドデータベースサービスなどのさまざまなサービスを提供します。
M
設定ミス
情報セキュリティにおいて、設定ミスとは、ソフトウェア、デバイス、システムなどが不適切に設定されており、不正アクセスやその他のセキュリティの問題が助長される可能性がある場合を指します。
M
MSP
MSP は、Managed Services Provider (マネージドサービスプロバイダー) の略語です。 MSP は、インフラ、セキュリティ、アプリケーション、サポート、管理などを提供するサービスや、その他の顧客向けサービスに責任を負います。 サービスは、MSP 独自のデータセンターを通じて提供される場合もあれば、MSP がサードパーティのサービスプロバイダーと直接連携して提供する場合もあります。 多くの MSP は、継続的モニタリングサービスを提供しています。
M
MSSP
MSSP は、Managed Security Services Provider (マネージドセキュリティサービスプロバイダー) の略語です。 MSSP は、顧客のセキュリティデバイス、プロセス、システムの管理に責任を負います。 MSSP が VPN やファイヤーウォールを管理する、または脆弱性スキャンやその他のサイバーセキュリティ関連サービスを提供する、などの例があります。
M
マルチクラウド
マルチクラウドは、クラウドベースのサービスの組み合わせを使用するクラウドコンピューティングモデルです。たとえばパブリッククラウドとプライベートクラウドの組み合わせ、または、パブリック、プライベート、エッジのクラウドサービスのさまざまな組み合わせがあります。
M
マルチテナント
マルチテナントは、ソフトウェアアーキテクチャの一種で、ソフトウェアの 1 つのインスタンスとそれを支えるサービスが、テナントと呼ばれる複数のクライアントにサービスを提供するモデルです。
M
National Cybersecurity Federally Funded Research and Development Center (FFRDC)
FFRDC (米国サイバーセキュリティ連邦研究開発センター) は、MITRE が運営しています。 米国標準技術研究所 (NIST) の National Cybersecurity Center of Excellence (NCCoE) をサポートするとともに、企業におけるサイバーセキュリティの差し迫ったニーズへの対応を支援することを目的とした、連邦政府が資金提供する研究開発センターです。
N
米国標準技術研究所 (NIST)
1901 年に設立された国立標準技術研究所 (NIST) は、 アメリカ合衆国商務省の機関であり、 NIST サイバーセキュリティフレームワークなど、さまざまなセキュリティ基準を管理しています。 NIST のコンプライアンスは連邦政府機関の義務となっていますが、そのガイドラインは業界全体のベストプラクティスとみなされています。
N
NERC CIP
NERC CIP は、North American Electric Reliability Corporation (北米電力信頼度協議会) Critical Infrastructure Protection (重要インフラ保護) の略称です。 NERC CIP は、北米の大規模電力システム (BES) のセキュリティとオペレーショナルレジリエンスを確保するための一連の基準です。
N
Nessus
Tenable が開発した Nessus は、資産の脆弱性やその他のセキュリティ上の弱点を継続的に監視する脆弱性スキャンツールです。 Nessus は、正確な高速スキャンで注意の必要な脆弱性を特定し、企業が優先的に対処すべき脆弱性を明らかにします。
N
ネットワークモニター
ネットワークモニターは、環境を継続的に監視して資産と資産に関連する脆弱性やセキュリティの問題を検出するツールです。 ネットワークモニターは、ネットワークのすべての資産 (従来の IT、モバイルデバイス、クラウドがホストするアプリケーションと資産、オペレーショナルテクノロジー、オペレーティングシステム、データベース、エンドポイント、ウェブアプリケーション、仮想マシン、ネットワークデバイス、ハイパーバイザーなど) について、ビジネスを中断させることなく継続的な可視化を実現します。 ネットワークモニターは、ネットワークトラフィックをパケットレベルで分析することにより、サーバー側とクライアント側両方の脆弱性を明らかにするだけでなく、ネットワークの使用状況も監視し、 また、転送中の PII (個人を特定できる情報) や機密データの検出や、ポートスキャンやポートに関連するその他のアクティビティの識別もできます。 ネットワークモニターを使用することで、疑わしいアクティビティの検出が可能になり、チームは攻撃者によるネットワーク、データ、システムの侵害を阻止できます。
N
ネットワーク監視システム
ネットワーク監視システムには、ネットワークトラフィックを監視するためのハードウェアとソフトウェアが含まれます。 たとえば Nessus Network Monitor を使用して、継続的にネットワークを監視すると、非侵入型のアプローチですべての環境にある資産のインサイトを取得し、脆弱性、トラフィックや帯域幅の問題、設定ミス、その他のセキュリティの問題を検出できます。
N
ネットワーク監視ツール
ネットワーク監視ツールは、ネットワークと資産のセキュリティなどの問題を継続的に監視します。 ネットワーク監視ツールを使用すると、非侵入型のアプローチでネットワークを継続的に可視化することができ、ネットワークトラフィックをパケットレベルで可視化し、新しい資産と一時的な資産を含む、サーバー側とクライアント側の脆弱性を見つけ出すことができます。
N
ネットワークセキュリティ
ネットワークセキュリティには、ネットワークを潜在的なサイバー侵害や、不正アクセスを含むその他のセキュリティの問題から守るために使用する、すべてのプログラム、ポリシー、プロセス、ツール、リソースが含まれます。
N
ネットワークセグメンテーション
ネットワークセグメンテーションを行うとネットワークが小さなセグメントに区分されるため、情報セキュリティチームはそれらのセグメントを個別に管理し、各セグメントに別々のコントロールやポリシーを適用できます。
N
次世代ファイヤーウォール (NGFW)
次世代ファイヤーウォール は、企業が、アプリケーション、ポート、またはプロトコルレベルなど、さまざまなレベルでポリシーを適用することで潜在的な攻撃を発見して阻止するために使用できるファイヤーウォールの一種です。
N
NIS指令
ネットワークおよび情報システム (NIS) 指令は、欧州連合 (EU)、その中でも特に重要サービスオペレーター (OES) と関連デジタルサービスプロバイダー (RDSP) に適用される一連のサイバーセキュリティ規制です。 この指令は、ネットワークと情報システムのセキュリティを向上させてサイバー攻撃やその他のセキュリティの問題の悪用を防ぐのに役立つ、統一された一連の基準を作成するものです。
N
非認証スキャン
未認証スキャンとも呼ばれる非認証スキャンを実行すると、認証情報を使わずに攻撃者がエクスポージャーを通してネットワークを悪用する方法について洞察することができます。
N
オンプレミス
オンプレとも呼ばれるオンプレミスは、コンピューティング環境、たとえば、すべてのハードウェアおよびソフトウェアインフラ、が企業の施設内に設置される場合を指します。 オンプレミスのインフラは、すべてのデータとコアサービスを、許可されたユーザーだけがアクセスできるプライベートネットワーク内で維持します。
O
オンライン脆弱性スキャナー
オンライン脆弱性スキャナーは、ウェブサイトやネットワーク内の脆弱性を探し出す外部スキャナーの一種です。
O
オープンソース
オープンソースソフトウェアは、誰もが公開、変更、使用できるコードの種類です。
O
OWASP (Open Web Application Security Project)
一般に OWASP と呼ばれる Open Web Application Security Project は、ソフトウェアセキュリティの向上に重点を置く非営利団体です。
O
OpenShift
Red Hat の OpenShift は、Kubernetes 管理プラットフォームです。
O
オペレーショナルテクノロジー (OT)
企業は、重要なインフラと産業環境の機能を維持するために OT としても知られる運用技術 (オペレーショナルテクノロジー) を使用します。 OT には、OT 環境の産業用制御システム (ICS) のシステムとデバイス、ならびにプロセスを管理、保護、制御するためのソフトウェアとハードウェアが含まれます。 OT デバイスは、製造、輸送、石油・ガス、電力、電気・ガス・水道を供給する公益事業、その他の類似する業界で一般に使用されています。
O
企業管理者
企業管理者は、企業の ID アクセス管理 (IAM) に責任を負う情報セキュリティ部門内の人担当者です。 ID アクセス管理には、関連するポリシーやユーザーアクセスロールの管理が含まれます。
O
OT セキュリティ
OT セキュリティは、OT デバイスの管理と監視の手順を含む、OT インフラ内のすべてのハードウェア、ソフトウェア、デバイスを内外の脅威やその他のサイバーリスクから守るためのプロセスで構成されます。
O
OWASP の上位 10 件の脆弱性
OWASP Foundation によると、OWASP Top 10 は「開発者とウェブアプリケーションセキュリティのための標準的な啓発文書であり、 ウェブアプリケーションの非常に重大なセキュリティリスクに関する幅広い意見をまとめたもの」です。
O
パッシブスキャン
パッシブスキャンにより、企業は、自動化されたシステムがネットワークを継続的に監視し、事前に設定したベースラインを外れた問題が発生するたびに新しい資産、不正な資産、または一時的な資産をすぐに特定してアラートを発動するように設定できます。
P
パッチ
セキュリティパッチは通常、導入されたソフトウェアやサービス内で検出されたセキュリティ上の弱点やその他の問題を修正するものです。 問題が開発やテストの段階で検出されず、導入後の環境で修正する必要が生じたために、多くの場合必要になります。
P
PCI DSS
PCI DSS は、Payment Card Industry Data Security Standard の略語です。 これらの基準には、クレジットカードを取り扱う企業が、機密で保護されているカードデータの機密性、完全性、可用性を保護する方法がまとめられています。
P
ペネトレーションテスト
ペンテストとも呼ばれるペネトレーションテストは、アタックサーフェスの弱点を検出するために行われます。 脆弱性評価プログラムは、攻撃者が弱点を悪用する前に修正できるように弱点を見つけ出します。 ペンテストはスタンドアロンで行われる作業で、 多くの場合にサードパーティが行います。 ペネトレーションテストによって、脆弱性評価および脆弱性管理対策の効果に関するインサイトが得られます。
P
持続型脅威
持続型脅威は、ネットワーク内に侵入した攻撃者が長期間検出されずに潜伏するサイバー攻撃です。
P
フィッシング
フィッシングは、攻撃者がユーザーをだましてユーザー名とパスワードや財務情報などの機密情報を開示させる悪質な目的で E メールを送信する、ソーシャルエンジニアリング攻撃の手法です。 多くの場合、これらの E メールは正規の送信元から送られてきたように見えますが、実際はそうではありません。
P
サービスとしてのプラットフォーム (PaaS)
サービスとしてのプラットフォーム (PaaS) は、アプリケーションの構築と導入が可能な完全な開発環境を構成するハードウェアとソフトウェアを提供する、クラウドベースのモデルです。
P
プラグイン
プラグインは、拡張機能またはアドオンと呼ばれることもあります。 プラグインは通常、元のソフトウェアを変更することなく新しい機能を追加します。
P
予測に基づいた優先順位付け
予測に基づいた優先順位付けは、Tenable が収集した脆弱性データとサードパーティの脆弱性・脅威データを組み合わせ、Tenable が開発した高度なデータサイエンスアルゴリズムを使って分析します。 それぞれの脆弱性には、この分析の結果を組み込んだ格付けである Vulnerability Priority Rating (VPR) が付けられます。VPR は、毎日更新され、NVD (National Vulnerability Database) でまだ公開されていない脆弱性を含みます。
P
プロキシサーバー
プロキシサーバーは、ユーザーとウェブなどのエンドポイントの中間点です。 ユーザーとウェブベースのサービス間で情報を送信するために使用されます。
P
ランサムウェア
ランサムウェアは、攻撃者が、データを暗号化してユーザーが身代金を支払うまでアクセスできないようにすることを目的として、サーバーやその他のコンピューターなどのデバイスを制御するために使用する、悪質なソフトウェアの一種です。
R
レジストリ
レジストリは、コンテナイメージの格納場所です。 開発者と継続的インテグレーション (CI) システムはレジストリを使ってプッシュされたコンテナを保管します。
R
リモートアクセス
リモートアクセスは、ハードウェアまたはソフトウェアを利用して行われ、ユーザーはネットワーク環境の外部からネットワークリソースにアクセスできるようになります。
R
リポジトリ
リポジトリは、レジストリ内のイメージの格納場所または名前空間です。
R
リソース
情報セキュリティにおいて、リソースとは、データの格納または伝送のためにエンタープライズ内で使用されるすべてのコンポーネントを指します。 ハードウェア、サービス、アプリケーション、ソフトウェア、その他のインフラのコンポーネントが含まれます。
R
リスク
情報セキュリティにおいて、リスクとは企業のシステム、サービス、またはデータへの潜在的な脅威を指します。 リスクの例には、脆弱性、設定ミス、マルウェアなどが含まれますあります。
R
リスク分析
リスク分析は、情報セキュリティに関連したもので、内外のリスクを特定して分析し、企業による製品、商品、重要サービスの提供能力がどのよう影響される可能性があるかを判断します。 リスク分析とリスク評価という用語は、同じ意味で使われることがよくありますが、正確には同じではありません。 リスク分析は通常、より大規模なリスク評価の一部として行われます。
R
リスク評価
情報セキュリティにおいて、リスク評価は、企業に影響を与える可能性がある内外の潜在的な脅威を検出して分析します。 リスク評価とリスク分析という用語は、同じ意味で使われることがよくありますが、正確には同じではありません。 リスク評価では通常、企業全体のリスクを俯瞰するものです。
R
リスク管理
サイバーセキュリティにおいて、リスク管理とは、企業がテクノロジー環境内のセキュリティ脅威 (またはセキュリティリスク) を検出、評価、優先順位付け、軽減、修正するために使用するプロセスを指します。
R
リスクの優先順位付け
サイバーリスクの優先順位付けは、企業のリスクを徹底的に調べます。企業は、調査で得られたリスクインテリジェンスを活用して、実際に最大のリスクをもたらす脅威を見極め、重要なサービス、データ、運用に最大のリスクをもたらす脅威を修正する計画を立てることができます。
R
リスクしきい値
リスクしきい値は、企業が受け入れられるとする、サイバーリスクの最大量を数値化したものです。 多くの場合、潜在的なリスクを軽減するのか、修正するのか、許容するのか、しないのか、を決定するためにセキュリティ担当者が使用します。
R
リスク許容度
リスク許容度は、企業が具体的な戦略や目的に基づいて受け入れるリスクの量のベースラインを定めるものです。
R
リスクベースの脆弱性管理
リスクベースの脆弱性管理 (RBVM) は、企業によるサイバーリスクの特定と管理に役立つ Cyber Exposure の一部です。 RBVM では、機械学習分析を使用して、脆弱性の深刻度と攻撃者の行動に資産の重大度を関連付けることにより、企業が最大のリスクをもたらす脆弱性をまず優先して修正を行ってから、よりリスクの低い脆弱性を優先順位付けできるようにします。
R
ランタイム
開発と運用 (DevOps) では、ランタイム (実行時) にプログラムやアプリケーションが実行されます。
R
ランタイム分析
ランタイム分析では、プログラムやアプリケーションの実行時に行われる可能性がある、悪質なアクティビティや疑わしいアクティビティを探し出します。
R
サンドボックス
サンドボックスは、開発者がプログラムやシステム、アプリケーションなどを、それらが通常実行される環境に悪影響を及ぼすことがないように隔離してテストするために使用するプロセスです。
S
SCADA セキュリティ
効果的な SCADA セキュリティでは、SCADA システムを保護するためにスマートスキャニングとパッシブネットワーク監視の両方が用いられます。
S
SCADA システム
SCADA (Supervisory Control and Data Acquisition/監視制御およびデータ取得) システムは、多くの場合、分散拠点で、産業機器、センサー、エンドデバイスと通信してそれらからデータを収集する制御システムです。 SCADA は、処理のためにデータをコンピューターに伝送し、オペレーターやその他の担当者がデータを使用できるようにします。
S
Security Assessment
セキュリティ評価は、企業が自社のセキュリティ手法や手順を評価し、制御が期待どおりに機能しているかどうかを判断するために使用できるプロセスです。 セキュリティ評価は、侵害などのインシデントが起きる前に企業がセキュリティギャップを解消する機会です。
S
セキュリティ監査
セキュリティ監査は、企業のセキュリティに関する記録、行動、文書、その他の資料を評価して、データセキュリティの特定の基準や要件をどの程度満たしているのかを判断する、評価の一種です。
S
セキュリティコンプライアンス
セキュリティコンプライアンスによって、特定のセキュリティ規制または基準を満たすためのプロセス、ポリシー、文書、制御が完備されていることが確認できます。
S
セキュリティフレームワーク
セキュリティフレームワークは、企業が社内全体のセキュリティリスクを検出、評価、軽減または修正するために使用できる一連の基準です。
S
セキュリティギャップ
セキュリティギャップとは、企業がリスクを減らすために軽減する必要がある、エンタープライズ内のセキュリティ上の弱点、または基準や規制に直接関連するセキュリティ上の弱点を指します。
S
セキュリティ情報イベント管理 (SIEM)
SIEM (セキュリティ情報イベント管理) は、企業が脅威検出とインシデント管理に使用できるテクノロジーの組み合わせです。 大方の SIEM では、リアルタイムのイベントと過去のイベントを分析し、企業が自社の情報セキュリティシステムの現状を完全に把握できるようにします。
S
セキュリティ成熟度
セキュリティ成熟度は、企業のセキュリティ対策の目的と目標の達成状況を表します。 多くの企業は、セキュリティ向上のためのプラクティスを成熟させるために、まずセキュリティ評価を実行して現在のセキュリティプロファイルを明らかにして、目標とするプロファイルを定めます。
S
セキュリティオペレーションセンター (SOC)
SOC としても知られるセキュリティオペレーションセンターは、企業のセキュリティの問題を継続的に監視してそれらに対処するためのテクノロジー、プロセス、人員、その他のリソースを集約する中央の拠点です。
S
Security Orchestration and Automation (SOAR)
SOAR (Security Orchestration and Automation/セキュリティ業務の協調および自動化) は、企業が効率的かつ効果的にリスクの特定と管理、インシデント対応、その他のセキュリティプロセスに重点を置けるよう、テクノロジーとその他のリソースを組み合わせる手法です。 SOAR は、複数のソースや個人の間のセキュリティプロセスを自動化して合理化します。
S
セキュリティ態勢
セキュリティ態勢とは、企業の現在の情報セキュリティの状態を意味します。 一般的には、企業がどの程度リスクを可視化していて、どのような軽減、修正措置を講じているかを表します。
S
セキュリティ脅威
セキュリティ脅威とは、企業のシステム、ネットワーク、データなどを、不正に盗難、変更、中断や破壊の危険にさらす、外部からの攻撃や脆弱性などのあらゆるリスクを意味します。
S
セキュリティ上の脆弱性
セキュリティ上の脆弱性とは、攻撃者がネットワークを侵害してデータやシステムに不正アクセスするために悪用できるような、ハードウェアまたはソフトウェアの欠点、バグ、プログラムミスを指します。
S
セキュリティ上の弱点
脆弱性などのセキュリティ上の弱点とは、攻撃者がエクスプロイトの実行に使用する可能性がある欠陥、設定ミス、その他のセキュリティの問題を指します。
S
セグメンテーション
情報セキュリティにおいて、セグメンテーションとは、ネットワークをさまざまなコンポーネントに分割するために使用するプロセスを指します。 たとえば、ネットワークセグメンテーションでは、各セグメントを個別の小規模ネットワークとして設計できます。
S
サーバーレスコンピューティング
サーバーレスコンピューティングは、クラウドサービスプロバイダー (CSP) がリソースをオンデマンドで顧客に割り当てるクラウドコンピューティングの一種です。 クラウドサービスのコスト削減モデルとしてサーバーレスコンピューティングを選択する事例もあります。
S
サービスレベルアグリーメント (SLA)
SLA は、クラウドホスティングサービスなどのサービスプロバイダーと顧客間の契約です。 多くの場合、両者の関係や製品提供の範囲を決定するために使用され、可用性、サービスレベル、その他の関連メトリクスなどの情報が含まれます。
S
サービスメッシュ
サービスメッシュは、ソフトウェアアーキテクチャで使用される用語で、企業がサービスまたはマイクロサービス間の通信に使用できるインフラの特定のレイヤーを指します。
S
共有責任モデル
共有責任モデルは、クラウドサービスプロバイダーとユーザーが、クラウドセキュリティのプロセスの責任を分担するものです。
S
シフトレフト
DevOps において、シフトレフトという用語は、開発運用チームがソフトウェア開発プロセスのテストや品質などの評価をプロセスの早期にシフトすることを表します。 すなわち SDLC において手順を前倒しすることを指します。
S
SOC2
SOC2 は、米国公認会計士協会 (AICPA) が監督する System and Organization Controls for Service Organization Control 2 の略語です。 準拠は義務付けられていませんが、企業が顧客データのセキュリティ、可用性、完全性、機密性を保護するのに役立ちます。
S
ソーシャルエンジニアリング
ソーシャルエンジニアリングは、攻撃者が、サイバー攻撃で使用するためにユーザーをだまして認証情報などの機密情報や個人情報を提供させようとする目的で用いる手法です。 フィッシングは、ソーシャルエンジニアリングの一例です。 これらのメールは、正規の送信元から送られてきたもののように見え、ユーザーを巧みに誘導して通常は公開しない情報を公開させるように作られています。
S
サービスとしてのソフトウェア (SaaS)
SaaS を使うと、従来のソフトウェアのようにデバイスにアプリケーションをインストールしなくても、ウェブを介してクラウドベースのアプリケーションにアクセスできます。 アプリケーションはインターネットを通じて利用可能になります。
S
ソフトウェア開発ライフサイクル (SDL)
ソフトウェア開発ライフサイクル (SDL) は、開発者が、特定の顧客やビジネスに焦点を合わせた目的や目標を達成させながらソフトウェアを設計、作成、テスト、実装、管理するために使用するプロセスです。
S
Software-Defined Wide Area Network (SD-WAN)
SD-WAN は、仮想プライベート LAN サービス (VPLS) とマルチプロトコルラベルスイッチング (MPLS) により、ワイドエリアネットワーク (WAN) でユーザーをアプリケーションに接続するための仮想サービスとして使用されることが多い、ソフトウェアによって定義されるワイドエリアネットワークです。
S
SolarWinds
SolarWinds Orion Platform は 2020 年に攻撃されたネットワーク監視ツールで、その結果、顧客システムが侵害されました。 攻撃者は、顧客に送信されたアップデートに含まれていたプラットフォームコードのハッキングによりシステムにバックドア侵入をした後、マルウェアをインストールして顧客に対するスパイ活動を行いました。 SolarWinds が SEC に行った報告によると、約 18,000 社の顧客がこの侵害の影響を受けました。
S
スピアフィッシング
スピアフィッシングは、悪意を持って特定のユーザーや企業を標的にして機密情報を盗み出すフィッシング攻撃の一種です。
S
SQL インジェクション
SQL インジェクションを使って、攻撃者はサーバーに悪質なコードを注入し、SQL を使用して通常はアクセス不可能な機密情報にアクセスできます。
S
サプライチェーン攻撃
サプライチェーン攻撃は、サードパーティ攻撃と呼ばれます。 この種の攻撃は通常、攻撃者がサードパーティ環境内のセキュリティ上の弱点を悪用したときに行われます。 このような侵害により、攻撃者は多くの場合に検出されることなく接続ネットワークを探索できます。
S
タグ
タグは、(14.04 などの) コンテナ内でホストされているアプリケーションの固有のリリースまたはバージョンです。
T
Tenable
Tenable はサイバーエクスポージャーソリューションを提供します。 世界中のおよそ 4 万の企業と組織がサイバーリスクを正確に把握し、削減するために Tenable を採用しています。 Nessus® の開発者である Tenable は、脆弱性に対する専門性を基盤に、あらゆるコンピューティングプラットフォーム上のあらゆるデジタル資産を管理、保護できる世界初のプラットフォームを展開しました。Tenable は、フォーチュン 500 の約 6 割、およびグローバル 2000 の約 4 割の企業や、大規模な政府機関などで採用されています。 詳しくは jp.tenable.com をご覧ください。
T
Tenable Community
Tenable Community は、Tenable に関するあらゆる情報のナレッジベースです。 Tenable Community は、Tenable とサイバーセキュリティに関心を持つ人々が集まってアイデアを交換したり、情報を共有したり、さまざまなセキュリティ関連のトピックを検索したりできる場となっています。
T
Tenable Lumin
Tenable Lumin は、企業がサイバーエクスポージャー を理解して削減するのに役立つ、高度な可視化、意思決定支援、分析、測定ソリューションです。 Lumin は脆弱性データを有益なインサイトに変換し、企業全体のサイバーリスク管理をサポートします。
T
Tenable Nessus
Tenable Nessus は、脆弱性評価をシンプル、簡単、かつ直感的なものにします。 評価、優先度付け、問題の修正にかかる時間と労力が削減できます。 Nessus は、セキュリティ担当者の業務を深く理解した基礎を土台に開発、構築されています。
T
Tenable Research
Tenable Research は、世界トップレベルの サイバーエクスポージャーに関する インテリジェンス、データサイエンスに基づいたインサイト、アラート、セキュリティアドバイザリを提供しする調査研究ユニットです。
T
Tenable Web App Scanning
Tenable.io Web App Scanning は、包括的かつ正確な脆弱性スキャンにより、単一のプラットフォームで IT、クラウド、ウェブアプリケーションの脆弱性を完全に可視化します。
T
Tenable.ad
Tenable.ad によって、企業は Active Directory 内のすべてを可視化して重大なリスクを予測し、攻撃者が悪用する前にリスクに対処して攻撃経路を遮断することができます。
T
Tenable.cs
Tenable.cs は、企業がクラウドリソース、コンテナイメージ、クラウド資産のセキュリティを確保し、コードからクラウド、ワークロードまでのエンドツーエンドのセキュリティを実現できるようにする、開発者向けのクラウドネイティブなアプリケーションプラットフォームです。
T
Tenable.ep
Tenable.ep は、企業があらゆる場所のあらゆるプラットフォーム上にあるすべて資産のサイバー空間に露呈されたリスクを常に把握できるようにする、包括的なリスクベースの脆弱性管理ソリューションです。
T
Tenable.io
Tenable.io は、業界で最も広範囲にわたる脆弱性カバレッジを提供するとともに、優先的に修正すべきセキュリティの問題を予測できる機能を備えています。 Nessus を搭載した、クラウドで管理される包括的なエンドツーエンドの脆弱性管理ソリューションです。
T
Tenable.ot
Tenable.ot は、サイバー脅威、悪意のある内部関係者、ヒューマンエラーから産業用ネットワークを保護します。 サイバー空間に露呈されたリスクや脅威を特定して、オペレーショナルテクノロジー (OT) 環境を守り、運用の安全性と信頼性を確保します。
T
Tenable.sc
Tenable.sc はオンプレミスで管理され、Nessus テクノロジーを搭載しています。 Tenable.sc 製品スイートは、業界で最も包括的な脆弱性カバレッジを提供し、ネットワークをリアルタイムで継続的に評価する、 完全なエンドツーエンドの脆弱性管理ソリューションです。
T
脅威検出 (または脅威ハンティング)
脅威ハンティングとも呼ばれる脅威検出は、さまざまな脅威指標またはその他のセキュリティ調査に基づいて企業全体の脅威を検出するために使用される、サイバーセキュリティのプロセスです。
T
脅威インテリジェンス
脅威インテリジェンスとは、企業が脅威状況内に存在する可能性がある脅威をより深く理解するために使用できる情報やリソースを指します。 チームが優先的に修正すべきセキュリティ上の弱点を見極めて攻撃者に悪用される可能性を減らせるようサポートするうえで重要な情報です。
T
脅威環境
脅威環境には、企業に影響を与えるあらゆる種類のサイバーセキュリティ関連の脅威とリスクが含まれています。 企業全体にわたる状況を指しますが、個々の資産、ユーザー、サービスなどの粒度の細かいレベルに観点を置く場合もあります。
T
脅威の緩和
脅威の緩和には、企業が脅威の潜在的な影響を減らすために使用できるプロセスが含まれます。 検出されてから修正までの期間に行う封じ込めや、脅威を解決できるまで隔離する手順などが挙げられます。
T
脅威モデリング
OWASP によると、脅威モデリングとは、アプリケーションとその環境に関連するセキュリティなど、企業が「価値のあるものを保護する中で脅威とその軽減方法を特定、伝達、理解する」ために使用するプロセスを指します。
T
脅威の修正
脅威の修正は、企業が自社の環境内の脅威を検出して解決するために使用するプロセスのことです。 一般的に脅威が環境内にとどまっているときに使用するプロセスである脅威の軽減とは異なり、脅威の修正は、パッチをインストールしたりアップデートを適用したりなど、脅威を完全に取り除くために使用されます。
T
トークン
プログラミングにおいて、ソフトウェアトークンとしても知られるトークンは、たとえば二要素認証プロセスの一部として、デバイスのセキュリティ認証に使用されます。
T
トロイの木馬
トロイの木馬はマルウェアの一種です。 悪質なコードの場合もあれば、悪質なファイルやプログラムの場合もあり、 多くの場合、合法的なもののように見せかけて作られています。 攻撃者は、資産に対するタスクを実行できるようにバックドアを仕掛けたり、データのコピー、破壊、暗号化、削除などのよって資産にアクセスできないようにしたりするなど、さまざまな形でトロイの木馬を使用します。
T
ネットワークセキュリティの種類
ネットワークセキュリティには、いくつかの種類があります。 ネットワークセキュリティは、ハードウェア、ソフトウェア、すべてのクラウドサービスといったネットワークインフラに対する不正アクセスを防止するために企業が使用する、あらゆるプロセス、ツール、リソースで構成されます。 ネットワークセキュリティの例としては、アクセス制御、E メールセキュリティ、ファイヤーウォール、アンチウイルス、アンチマルウェア、アプリケーションセキュリティ、脆弱性評価および管理、VPN、多要素認証などが挙げられますが、このほかにも種類があります。
T
URL
URL は Uniform Resource Locator の略語です。 ウェブサイトでは、URL によってネットワークとサーバーの通信が可能になります。 URL は通常、ウェブアドレスを構成するドメイン名とその他の情報で構成されています。
U
URL 分析
URL 分析は、ウェブアドレスを調べて、潜在的な悪意のあるアクティビティがその URL に関連していないかどうかを確認するために使用するプロセスです。
U
仮想マシン (VM)
仮想マシン (VM) はソフトウェアから実行されるものであり、実際のデバイスではありません。 一般的には、VM はコンピューターシステムのように機能する、イメージまたはコンピューターファイルです。 イメージは、コンピューターのウィンドウ内で機能します。
V
仮想プライベートネットワーク (VPN)
企業は、オンラインのプライバシーを確保するために VPN としても知られる仮想プライベートネットワークを使用します。 VPN では、資産の IP アドレスが非表示になり、 データの暗号化とルーティングが安全なネットワークを介して行われます。 VPN により、安全な匿名インターネットアクセスが可能になります。
V
脆弱性評価
脆弱性評価は、攻撃者がネットワークを悪用して資産に不正アクセスする可能性を減らすためにアタックサーフェス内の脆弱性を検出、分析、修正する手段です。
V
脆弱性評価ツール
脆弱性評価ツールは、IT 環境全体の脆弱性を検出するために使用するツールです。 脆弱性評価プログラムは、資産検出と脆弱性監視を継続的かつ容易に行うために、脆弱性評価ツールを基本とし、並行して実際のリスクに基づいた脅威の優先順位付けを行うプロセスを実行します。
V
脆弱性管理
脆弱性管理は、さまざまなツールとプロセスを使用して企業全体の資産と脆弱性を特定するプログラムです。 問題の軽減、脆弱性の修正、セキュリティ態勢の強化などの方策の立案にも役立ちます。
V
脆弱性の修正
脆弱性の修正は、脆弱性評価によって環境内の脆弱性が特定された後に、それらのセキュリティの問題を修正 (またはパッチを適用) するために情報セキュリティチームが使用するプロセスです。 成熟した脆弱性管理対策を有する企業は、企業に最大の脅威をもたらす脆弱性の修正に優先的かつ集中的に取り組めるよう、Tenable の Predictive Prioritization などのツールやリソースを使用して、修正する脆弱性に優先順位を付けます。
V
脆弱性スキャナー
脆弱性スキャナーは、ネットワーク、サーバー、オペレーティングシステム、アプリケーションなどの IT インフラ内の設定ミス、脆弱性、その他のセキュリティの問題を検出します。
V
脆弱性スキャンツール
脆弱性スキャンツールは、アタックサーフェス内の脆弱性を検出します。 成熟した脆弱性評価および脆弱性管理プロセスの一部として、優先順位付けと修正の対象とするサイバーリスクを特定するために使用されます。
V
脆弱性テストツール
脆弱性テストツールは、脆弱性評価ツールとしても知られています。 脆弱性評価ツールは、環境内の脆弱性や設定ミスなどのセキュリティの問題を見つけ出し、修正計画を立てるのに役立ちます。
V
ウェブアプリケーション
ウェブアプリケーションは、従来のコンピューターやオンサイトサーバーではなく、ウェブブラウザ内で実行されるソフトウェアの一種です。 ウェブアプリケーションの例としては、Gmail や Yahoo のような E メール、ウェブベースフォーム、オンラインショッピングプログラムなどがあります。
W
ウェブアプリケーションスキャン
ウェブアプリケーションスキャンは、ウェブアプリケーション内の脆弱性を検出します。 Nessus などで実行されるこれらのスキャンは、ウェブアプリケーションのセキュリティの問題を継続的に探すように自動化できます。
W
ウェブアプリケーションセキュリティ
ウェブアプリケーションセキュリティは、企業内で使用されるすべてのウェブアプリケーションとウェブサービスを検出し、それらの脆弱性、設定ミス、その他のセキュリティ上の弱点を評価するために使用するサイバーセキュリティの手法です。
W
ウェブセキュリティ
ウェブセキュリティは、さまざまなセキュリティリスクからウェブサービスやウェブアプリケーションを保護することを目的とした情報セキュリティの手法です。
W
ウェブサイト脆弱性スキャナー
ウェブサイト脆弱性スキャナーは、ウェブサイト内の脆弱性や設定ミスなどのセキュリティリスクを特定するために使用されます。
W
XML 外部エンティティ (XXE)
XXE を利用して攻撃者は外部エンティティを使用し、ファイル URL ハンドラ、内部ファイル共有、内部ポートスキャン、リモートコード実行、DoS 攻撃などによって内部ファイルにアクセスできます。
X
ゼロデイ脆弱性
ゼロデイ脆弱性は、修正のためのパッチがまだ存在しないため脆弱な状態にある、攻撃者に悪用される可能性がある既知の脆弱性です。
Z
Zero Trust Exchange
Zero Trust Exchange は、ゼロトラストのアプローチを導入してセキュリティを確保するクラウドベースのプラットフォームです。 すべてを検証するという概念に基づいて侵害やその他のセキュリティの問題が発生する可能性を低減します。
Z
ゼロトラストネットワークアクセス (ZTNA) アーキテクチャ
ゼロトラストネットワークアクセス (ZTNA) アーキテクチャは、セキュリティに対するゼロトラストのアプローチに基づいたシステムやデータへのリモートアクセスを実現する、アクセスコントロールポリシーやその他の手順を確立します。
Z