![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2025-04-12T10:44:23+00:00","default:hotate","hotate") #author("2025-04-12T10:49:59+00:00","default:hotate","hotate") #contents &tag(用語集,セキュリティ); #taglist(tag=用語集) * [[用語集]] [#vc8cf5d6] - [[NISTIR 8259|セキュリティ用語解説|NRIセキュア>https://www.nri-secure.co.jp/glossary/nistir-8259]] NIST IR8259とは、IoT機器製造企業が、実施すべきセキュリティ関連活動の推奨事項が、販売する製品の市販前・市販後というフェーズに分けられ記載されているガイドラインです。 - [[CSIRTを進化させる次の一手 攻撃者を欺く攻めのセキュリティ技術、サイバーデセプション|PwC Japanグループ>https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/ng-csirt01.html]] サイバーデセプション(以下、デセプション)は直訳すると「欺くこと」を意味し、その言葉通り、ネットワーク内に配置した罠(偽の情報など)を用いて攻撃者を欺き、攻撃を遅延・阻止する手法を指します。 - [[Need-to-Knowの原則とは【用語集詳細】>https://www.sompocybersecurity.com/column/glossary/need-to-know]] Need-to-Knowは、ユーザーのアクセスできる情報を、その職務に関連する範囲にのみ制限すべきとする原則です。 - [[多すぎる脆弱性に素早く適切な「トリアージ」、標準指標CVSSだけに頼っては危険(2ページ目) | 日経クロステック(xTECH)>https://xtech.nikkei.com/atcl/nxt/column/18/02840/052000003/?P=2]] KEV Catalog(Known Exploited Vulnerabilities Catalog) 米国土安全保障省(DHS)のサイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)が公開する、実際に悪用された脆弱性のリストだ。 - [[多すぎる脆弱性に素早く適切な「トリアージ」、標準指標CVSSだけに頼っては危険(3ページ目) | 日経クロステック(xTECH)>https://xtech.nikkei.com/atcl/nxt/column/18/02840/052000003/?P=3]] CVSSの欠点をカバーする評価手法として、SSVC(Stakeholder-Specific Vulnerability Categorization)という評価手法もある - [[セキュリティー・クリアランス対応後れの日本 政治・経済に情報障壁:日経ビジネス電子版>https://business.nikkei.com/atcl/gen/19/00081/032800658/?n_cid=nbpnb_mled_enew]] セキュリティー・クリアランス(SC)とは、国家安全保障に関わる機密情報を取り扱う人物の信頼性を政府が審査・認定する制度のこと。 - [[国内でも相次ぐSNSの乗っ取り、原因は2要素認証の無効化と怖いマルウエア | 日経クロステック(xTECH)>https://xtech.nikkei.com/atcl/nxt/column/18/00001/09088/?]] リアルタイムフィッシングとは、攻撃者がフィッシングサイトなどでサービスのログインに必要な認証情報を盗みながら、裏で不正ログインを試みる攻撃手法だ - [[生成AIのフェイク画像を見抜くた機能普及に向けて大きな弾み!C2PAにGoogleが参加 - PC Watch>https://pc.watch.impress.co.jp/docs/news/1567550.html]] C2PA(Coalition for Content Provenance and Authenticity) C2PAは、コンテンツクレデンシャル機能(Contents Credential)と呼ばれるコンテンツの改変履歴(来歴)をコンテンツに付加する、ないしはクラウド上に保存する規格の策定や開発を行なっている。 - [[制御システムを守れるか、日立が設けたサイバー防衛訓練施設の全容 | 日経クロステック(xTECH)>https://xtech.nikkei.com/it/atcl/column/14/346926/112201215/]] (2017/11/22) 訓練施設「Nx Security Training Arena」(略称NxSeTA、エヌエックスセタ) - [[楽天が公開サーバーにテキスト設置、セキュリティー向上に役立つ「security.txt」 | 日経クロステック(xTECH)>https://xtech.nikkei.com/atcl/nxt/column/18/00001/08552/]] (2023/10/25) security.txtは、当該企業が提供する製品やサービスの脆弱性情報を見つけた人が通知する窓口を示すためのファイルだ。インターネット技術の標準化を行う団体IETF(Internet Engineering Task Force)が発行する仕様書RFC 9116で規定されている。 - [[新用語「ASPM」とは? ソフトウェア品質を高めるためのセキュリティ最新動向を解説! (2/2)|CodeZine(コードジン)>https://codezine.jp/article/detail/18400?p=2]] 言い換えるとASPMはパイプラインとリポジトリを統合し、そのうえで脆弱性や誤設定などの問題を検出可能な状態にして、全体で一括して管理できるようにするものとなる。 - [[「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」を取りまとめました (METI/経済産業省)>https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html]] サイバー攻撃から自社のIT資産を守るための手法として注目されている「ASM(Attack Surface Management)」について、自社のセキュリティ戦略に組み込んで適切に活用してもらえるよう... - [[2段階認証も突破する「SIMスワップ」、漏れた個人情報は闇サイトで売買される | 日経クロステック(xTECH)>https://xtech.nikkei.com/atcl/nxt/column/18/02574/090700009/]] SIMスワップの手口は、犯人が事前に個人情報を入手してこれを基に身分証明書を偽造。携帯ショップに赴いてSIMを再発行したり、MNPで電話番号を引き継いだりする - [[みずほFGはExcelチェックシートから移行、クラウド点検はポスチャー管理で自動化 | 日経クロステック(xTECH)>https://xtech.nikkei.com/atcl/nxt/column/18/02599/100400003/?n_cid=]] 「ポスチャー管理」と呼ばれるツールを導入して、クラウド設定の点検などを自動化するユーザー企業が増えている。「ポスチャー」とは「姿勢」や「状態」という意味。 IaaS(インフラストラクチャー・アズ・ア・サービス)やPaaS(プラットフォーム・アズ・ア・サービス)の設定を管理するCSPM(Cloud Security Posture Management)と、SaaSの設定を管理するSSPM(SaaS Security Posture Management)がある - [[信頼できる発信者を識別する技術の実用化・ウェブ標準化を目指す「オリジネーター・プロファイル(OP)技術研究組合」設立 - INTERNET Watch>https://internet.watch.impress.co.jp/docs/news/1471180.html]] 「オリジネーター・プロファイル(Originator Profile=OP)」 OPは、インターネット上のコンテンツ作成者、デジタル広告の出稿元などの情報を検証可能なかたちで付与する技術だという。 - [[Mark of the Webとは【用語集詳細】>https://www.sompocybersecurity.com/column/glossary/motw]] Mark of the Web(略称MOTW)は、Windowsにおいて採用されている、ファイルに対するセキュリティ警告機能です。 - [[「VSTO」がVBAマクロに代わる新たな攻撃ベクトルとして注目されるワケ - ITmedia エンタープライズ>https://www.itmedia.co.jp/enterprise/articles/2302/04/news030.html]] Visual Studio Tools for Office VSTOを利用したサイバー攻撃は実行面や永続性の面でも都合がよく、さらに現状でほとんどのセキュリティベンダーが検出できない状態にあるため、今後増加が懸念される。 - [[用語 TLP | TheHiveGuides>https://tdc-yamada-ya.github.io/TheHiveGuides/glossary/tlp.html]] TLP とは情報の共有を促進するために作成された仕様で、 簡単に言えば情報の公開可能な範囲を4色で分けるものです。 - [[【CSIRT通信】セキュリティー業界でよく使われるチャタムハウスルールとは? Sansan公式メディア「mimi」>https://jp.corp-sansan.com/mimi/2017/10/csirt-5.html]] このルールの下では、参加者は受け取った情報を自由に引用・公開することができますが、「その情報を誰が発言したのか」「その会議にどのような参加者が居たのか」という情報は伏せなければなりません。 - [[TTPとは【用語集詳細】>https://www.sompocybersecurity.com/column/glossary/ttp]] TTP(Tactics, Techniques, and Procedures)は、攻撃者の戦術・技術・手順の総称です。 - [[MSS(Managed Security Service)|セキュリティ用語解説|NRIセキュア>https://www.nri-secure.co.jp/glossary/mssp]] MSSとは、企業や組織の情報セキュリティシステムの運用管理を、社外のセキュリティ専門企業などが請け負うサービスのことです。 - [[【VirusTotal(ウイルストータル)とは】Googleが提供する診断サービス 怪しいサイトやファイルは徹底的に検査 - 特選街web>https://tokusengai.com/_ct/17417254]] Googleが提供している「VirusTotal(ウイルストータル)」というサービス。指定したファイルやサイトを数十個のセキュリティソフトのデータベースで一斉診断できるのが特徴だ。 -- https://www.virustotal.com/gui/home/upload - [[脅威ハンティング(スレット・ハンティング) | セキュリティ用語集 | サイバーセキュリティ | NECソリューションイノベータ>https://www.nec-solutioninnovators.co.jp/ss/insider/security-words/49.html]] 脅威ハンティングはサイバーセキュリティのプロアクティブな防衛活動であり、スレット・ハンティングとも呼ばれる。 - [[「積極的サイバー防御」(アクティブ・サイバー・ディフェンス)とは何か ―より具体的な議論に向けて必要な観点について― - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ>https://blogs.jpcert.or.jp/ja/2022/09/active-cyber-defense.html]] 「積極的サイバー防御」、「アクティブ・サイバー・ディフェンス」、「アクティブ・ディフェンス」、それぞれの言葉に共通しているのは、攻撃被害が発生する前、あるいは被害が拡大する前に攻撃者側に対してなんらかの対抗手段を取ることです。 - [[DNSシンクホールが明かす、日本を狙う標的型攻撃の実態 | 日経クロステック(xTECH)>https://xtech.nikkei.com/it/atcl/column/15/101400241/101400002/]] 攻撃者が手放したドメインを契約 - [[TLPT支援(脅威ベースペネトレーションテスト支援)|三井物産セキュアディレクション株式会社>https://www.mbsd.jp/solutions/assessment/tlpt/]] TLPT(Threat Led Penetration Test:脅威ベース ペネトレーションテスト)は、対象とする組織やシステムにおける脅威を分析し、脅威シナリオを作成し、実際の攻撃者と同様の手法を用いた攻撃に対して、組織として検知・ブロックできているか等組織の対応力(サイバーレジリエンス力)を評価します。 - [[サイバーハイジーンにおけるITセキュリティポリシーの定義 - ZDNet Japan>https://japan.zdnet.com/article/35187922/]] サイバーハイジーンとは、一般の衛生管理と同じようにIT環境を健全な状態に保つ「サイバー空間の衛生管理の取り組み」を指す。 - [[あなたもパスワードを使い回しているはず、ユーザー認証の「常識」はもう限界(2ページ目) | 日経クロステック(xTECH)>https://xtech.nikkei.com/atcl/nxt/column/18/01897/122200007/?P=2]] (2022/01/17) フィッシング詐欺をサービスとして提供する「フィッシング・アズ・ア・サービス(PHaaS)」が2022年には勢いを増すと予測する - [[アトリビューションとは【用語集詳細】>https://www.sompocybersecurity.com/column/glossary/attribution]] サイバーセキュリティの世界では攻撃者および攻撃源の特定といった意味で用いられています。 - [[そのサイバー攻撃は誰がやったか、日本の「アトリビューション」に必要なもの | 日経クロステック(xTECH)>https://xtech.nikkei.com/atcl/nxt/column/18/01661/102700006/?P=2]] (2021/10/28) 海外では、「ファイブ・アイズ」と呼ばれる国家レベルの機密情報ネットワークがある。 - [[暗号鍵を利用者がクラウドに「持ち込む」、BYOKの巧みな仕組み | 日経クロステック(xTECH)>https://xtech.nikkei.com/atcl/nxt/column/18/01829/102100001/]] (2021/10/26) 「BYOK(Bring Your Own Key)」という、あまり耳慣れない言葉への関心がにわかに高まりつつある。機微性の高い情報を取り扱う際に必要とされる技術だ。 エンベロープ暗号化では、データを暗号化するための鍵を別の鍵で暗号化して保管する。データの暗号化鍵を暗号化して、外から見えないように保管する仕組みを封筒(エンベロープ)に例えているわけだ。 - [[セキュリティ開発ライフサイクル?! – Future Hearts>https://future-hearts.com/2019/01/07/seclifecycle01/]] Security Development Lifecycle(SDL)とは、2004年にマイクロソフト社が提唱した、安全なソフトウェア製品開発のための開発プロセスのことです。 - [[一般的なネットワークセキュリティ脅威の識別 単元 | Salesforce Trailhead>https://trailhead.salesforce.com/ja/content/learn/modules/network-security-basics/identify-common-network-security-threats]] ハクティビスト (ハッカー + アクティビスト) は、政治的、社会的、道徳的な立場を動機としており、特定の組織を標的にします。 - POC (Point of Contact) -- インシデントが発生した際の対応窓口として組織内外との連絡・橋渡しを行う - [[リスクベース認証 | セキュリティ用語集 | サイバーセキュリティ | NECソリューションイノベータ>https://www.nec-solutioninnovators.co.jp/ss/insider/security-words/24.html]] システムのアクセスログなどからユーザの行動パターンを分析し、より確実に本人認証を行うための方式である。 - [[OSや仮想マシンからアプリのデータを保護、Armv9のCCAの詳細判明 | 日経クロステック(xTECH)>https://xtech.nikkei.com/atcl/nxt/column/18/00001/05795/?n_cid=]] (2021/07/06) CCA:Confidential Compute Architecture CCAは、特権ソフトウエアの機能を制限し、アプリケーションソフトウエアのコードやデータを保護する仕組みである - [[ビジネスメール詐欺(BEC)とは、仕組みや効果的な対策について徹底解説>https://cybersecurity-jp.com/column/29527]] Business E-mail Compromise(BEC) ビジネスメール詐欺とは、業務用メールを盗み見して経営幹部や取引先になりすまし、従業員をだまして送金取引などに係る資金を詐取するなどの金銭的な被害をもたらすサイバー攻撃です。 - [[秘密鍵暗号方式>http://www.infonet.co.jp/ueyama/ip/glossary/private_key.html]] 「シーザー暗号」 は、 文字をいくつかずらせて暗号化します - [[エモテット(Emotet) | 日経クロステック(xTECH)>https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/092400143/?]] 実在する組織や人物になりすまし、実際に業務でやり取りされた内容の偽メールを送りつけるなど、巧妙な攻撃手段で被害を広げている。 - [[クリームスキミング(チェリーピッキング)とは - IT用語辞典 e-Words>http://e-words.jp/w/%E3%82%AF%E3%83%AA%E3%83%BC%E3%83%A0%E3%82%B9%E3%82%AD%E3%83%9F%E3%83%B3%E3%82%B0.html]] インフラ、通信、交通など公共性の高い産業分野で、事業者が収益性の高いサービスや地域、顧客のみを選別して他を切り捨て、市場を「いいとこ取り」すること。特に、規制緩和で参入した新規事業者によるそのような振る舞い。 - [[いま注目のセキュリティサービス「MDR」について知る | BLOG | サイバーリーズン | EDR(次世代エンドポイントセキュリティ)>https://www.cybereason.co.jp/blog/security/2546/]] MDRとは“Managed Detection and Response”の略で、日本語に訳すと「検知と対応のマネージドサービス」という意味になります。MDRは、サイバー攻撃の侵入を防ぐというよりは、既にネットワーク内に侵入した脅威をいち早く検知し、素早く対応をとるためのマネージドサービスです。 - [[暗号通信の中身までチェック、図解で見るアンチウイルス機能の仕組み | 日経クロステック(xTECH)>https://xtech.nikkei.com/atcl/nxt/column/18/01319/052800002/?n_cid=nbpnxt_mled_itm]] ウイルスなどのマルウエアを検知して排除するアンチウイルスゲートウエイ(AVGW:AntiVirus Gateway)を解説する。 #taglist(tag=セキュリティ) * 関連 [#pb6dec75] - [[セキュリティ]]
