シラバス用語を説明するブログ

試験対策において、シラバスに記載された用語を覚えることは極めて重要です。 まず、シラバスはコースの目標や重要な概念を明確に示すものであり、学ぶべき内容の指針となります。試験問題は、シラバスに基づいて出題されることが多いため、シラバスに記載された用語を理解し、記憶することは、試験合格への第一歩となります。 さらに、用語を覚えることは、関連する知識を深める助けになります。用語には、特定の概念や理論、原則が含まれており、それを正しく理解することで、解答力が向上します。

IT パスポート試験 シラバスVer.6.3用語説明集 経営・組織論関連

(1) 企業活動と経営資源 ・企業活動の目的と基本的な考え方 ・経営におけるヒト,モノ,カネ,情報に対する考え方や管理・手法の意義と必要性

用語 説明
経営理念(企業理念) 企業が追求する目的や方針、価値観を示す指針。
株主総会 株主が集まり、企業の重要な意思決定を行う会議。
決算 企業の一定期間の経営成績と財務状況をまとめた報告書の作成と発表。
社会的責任(CSR:Corporate Social Responsibility) 企業が社会に対して果たすべき責任。環境保護や社会貢献活動などが含まれる。
社会的責任投資(SRI:Socially Responsible Investment) 環境や社会に配慮した企業への投資活動。
ディスクロージャー 企業が財務情報や業績などを外部に公開すること。
監査 企業の財務報告や業務運営が適正であるかをチェックする活動。
グリーン IT 環境負荷を軽減するために、エネルギー効率の良いIT技術や製品を活用すること。
SDGs 持続可能な開発目標(Sustainable Development Goals)。国際的な社会課題解決のための目標。
ステークホルダ 企業活動に影響を与える利害関係者(株主、従業員、顧客など)。
コーポレートブランド 企業そのもののブランド価値や信頼性を指す概念。

(2) 経営管理
経営管理に関する基本的な考え方

経営管理とは
 ・経営管理の目的

用語 説明
経営目標 企業が達成を目指す具体的な目標やビジョン。
財務・資産・人事・情報管理 経営資源を効率的に活用し、企業活動を最適化する管理方法。
PDCA(Plan-Do-Check-Act) 計画、実行、評価、改善を繰り返す管理サイクル。
OODAループ 観察、方向付け、意思決定、行動のサイクルで迅速に対応する手法。
BCP(Business Continuity Plan:事業継続計画) 企業が危機や災害に直面した際に事業を継続させるための計画。
BCM(Business Continuity Management:事業継続管理 事業継続のための計画と運用を管理するための枠組み。
リスクアセスメント リスクを特定し、評価し、対策を講じるプロセス。

② ヒューマンリソースマネジメント
 ・経営管理におけるヒューマンリソースマネジメント(人的資源管理)の重要性

用語 説明
コーチン 指導者が個人の能力を引き出すための支援手法。
メンタリング 経験豊富な指導者が後進を育てるための指導活動。
OJT 業務を通じて行う現場での社員教育
Off-JT 業務外で行われる社員教育(研修など)。
e-ラーニング インターネットを利用したオンライン学習。
アダプティブラーニング 学習者の進捗に応じて学習内容を調整する方法。
CDP(Career Development Program) キャリア形成を支援するためのプログラム。
メンタルヘルス 従業員の精神的健康を保つための取り組み。
HRテック(HRTech) IT技術を活用した人材管理や採用活動の手法。
MBO(Management by Objectives:目標による管理) 目標設定を通じて管理を行う手法。
HRM(Human Resource Management) 人的資源を効果的に管理する手法。
リテンション 優秀な人材を確保し、定着させるための施策。
タレントマネジメント 優秀な人材の採用・育成・配置を戦略的に行うこと。
リーダーシップ 組織を率いる力や指導力
モチベーション 従業員のやる気や意欲を引き出す要因。
ワークエンゲージメント 仕事に対しての積極的な関与や情熱。
ワークライフバランス 仕事と生活の調和を図るための取り組み。
ダイバーシティ 多様性を尊重し、受け入れる企業文化。
テレワーク 自宅やリモートオフィスで行う働き方。
モバイルワーク モバイル機器を使い、場所に縛られずに働く形態。
サテライトオフィス勤務 本社以外の拠点で働く形態。
労務管理の困難さ リモートワークなどでの従業員管理が難しい課題。

(3) 経営組織
 ・経営組織に関する基本的な考え方

用語 説明
階層型組織 組織が上位から下位に分かれて階層化されている構造。明確な権限と指示系統を持つ。
事業部制 それぞれの事業部が独立して経営を行う組織形態。事業ごとに責任を持つ。
機能別組織 組織が機能(マーケティング、製造、財務など)ごとに分かれている形態。
職能別組織 従業員が特定の職能(スキルや専門性)に基づいて組織される形式。
マトリックス組織 1人の従業員が複数の上司に報告する形態。機能とプロジェクトの両方に属する。
プロジェクト組織 特定のプロジェクトに特化して編成される一時的な組織。
カンパニー制 企業が複数の独立したカンパニー(事業部)に分かれて経営を行う形式。
持株会社 他の企業の株式を所有し、経営支配を行うことを主目的とする会社。
最高経営責任者(CEO:Chief Executive Officer) 企業全体の経営を統括する最終責任者。
最高情報責任者(CIO:Chief Information Officer) 情報技術やシステムに関する戦略を担当する責任者。

(4) 社会における IT 利活用の動向
・社会における IT 利活用の動向の概要
① IT の進展とそれに伴う社会の変化
・データ分析の高度化,AI の進化といった,IT の進化が促す社会の変化
・人間の知的活動と AI の進化との関係性
・人間の知的活動を起点としたものの見方,及びデータを起点としたものの見方の変化

用語 説明
コンピュータの処理能力の向上 計算速度やデータ処理能力の大幅な向上が、AIやビッグデータ解析を支える。
データの多様性及びデータ量の増加 様々な形式や種類のデータが膨大に蓄積され、分析の対象となる。
AI の進化 人工知能アルゴリズムが進化し、より高度な認識・判断能力が実現されている。

② 企業活動及び社会生活における IT 利活用の動向
・企業活動及び社会生活における IT 利活用の動向の概要

用語 説明
第 4 次産業革命 IoT、AI、ビッグデータなどの先端技術が融合し、産業や社会の構造を大きく変革すること。
Society5.0 サイバー空間とフィジカル空間を高度に融合させ、経済的発展と社会的課題解決を両立する日本のビジョン。
データ駆動型社会 データを活用し、意思決定や行動を最適化する社会。
デジタルトランスフォーメーション(DX) ITを活用してビジネスや社会の構造を変革し、新しい価値を創造すること。
国家戦略特区法(スーパーシティ法) スーパーシティ構想の実現に向けた法的枠組み。都市全体のデータを活用し、スマートシティを推進するための法律。
官民データ活用推進基本法 政府と民間がデータを共有・活用し、社会課題の解決を図るための法律。
デジタル社会形成基本法 デジタル技術を活用した社会の実現を目指すための基本方針を定める法律。

 

情報処理安全確保支援士試験 シラバスVer.4.0用語説明集 情報セキュリティ管理関連

(1)情報セキュリティ管理 組織の情報セキュリティ対策を包括的かつ継続的に実施するために,情報セキュリティ管 理の考え方,情報資産などの保護対象を理解する。

用語 説明
情報セキュリティポリシーに基づく情報の管理 組織が定めたセキュリティ方針に基づいて情報を保護・管理すること。
情報資産 組織が保有する価値のある情報やデータ。
リスクマネジメント(JIS Q 31000) リスクを特定し、評価し、管理するための国際標準に基づいた手法。
監視 情報セキュリティの状態や異常を継続的に確認すること。
情報セキュリティ事象 セキュリティに関わる異常や問題が発生した事象。
情報セキュリティインシデント 情報の漏洩や改ざんなど、セキュリティが実際に損なわれた事態。
アカウント管理 システムやネットワークへのアクセス権を持つユーザーの管理。
利用者アクセス権の管理(need-to-know(最小権限)の原則) 利用者に必要最小限の権限のみを付与する原則。
クラウドサービスの責任共有モデル クラウドサービスの提供者と利用者がセキュリティの責任を分担するモデル。
セキュリティエコノミクス 情報セキュリティ対策におけるコストと効果の関係を分析する分野。
外部委託やクラウドサービスの利用時における情報セキュリティ 外部委託先やクラウドを利用する際に情報を適切に保護するためのセキュリティ対策。
サイバーハイジー 基本的なサイバーセキュリティ対策を定期的に実施し、情報システムの衛生を保つこと。

 

(2)リスク分析と評価
① 情報資産の調査
情報セキュリティリスクアセスメント及び情報セキュリティリスク対応に当たり,情報資産(情報システム,データ,文書ほか)を調査して特定することを理解する。
② 情報資産の重要性による分類
機密性,完全性,可用性の側面から情報資産の重要性を検討し,情報資産を保護するために,定められた基準に基づいて情報資産を分類することを理解する。

用語 説明
情報セキュリティリスクアセスメント 情報資産に対する潜在的なリスクを特定し、評価するプロセス。
情報セキュリティリスク対応 リスクアセスメントで特定されたリスクに対して適切な対策を講じること。
情報資産 情報システムやデータ、文書など、組織にとって価値のある情報。
機密性 情報が許可された者だけにアクセス可能である状態を保持する特性。
完全性 情報が正確であり、不正に改ざんされていない状態を保つこと。
可用性 必要なときに情報が適切にアクセスでき、利用可能な状態を保つこと。
情報資産台帳 組織の情報資産を管理するために記録された台帳やリスト。

③ リスクの種類
調査した情報資産を取り巻く脅威に対するリスクの種類を理解する。

用語 説明
財産損失 物理的またはデジタルな財産が損害を受けるリスク。
責任損失 法的または契約上の義務が果たせないことで発生する損失。
純収益の喪失 予想されていた収益が得られない、または失われるリスク。
人的損失 人材の離職や労働力の減少などによるリスク。
オペレーショナルリスク 業務運営に関連するリスク(システムの障害やミスなど)。
サプライチェーンリスク サプライチェーンの途絶や不安定さによって生じるリスク。
外部サービス利用のリスク クラウドや外部のサービスを利用することによるリスク。
SNSによる情報発信のリスク ソーシャルメディア上での誤情報の発信やプライバシーの侵害などのリスク。
地政学的リスク 政治的・経済的な状況の変化や国際関係によるリスク。
ペリル 直接的にリスクを引き起こす危険要因(例: 火災、洪水)。
ハザード リスクを高める要因(例: 危険な作業環境、不十分な防護対策)。
モラルハザード リスクを負わない立場で不適切な行動をとることで生じるリスク。
年間予想損失額 1年間に予想される損失の金額。
得点法 リスクの重大性を数値化して評価する方法。
コスト要因 リスク対策や損失に関連する費用。

④ 情報セキュリティリスクアセスメント リスクを特定し,そのリスクの生じやすさ及び実際に生じた場合に起こり得る結果を定 量的又は定性的に把握してリスクレベルを決定し,組織が定めたリスク受容基準に基づく 評価を行うことを理解する。

用語 説明
リスク基準(リスク受容基準) 組織が受け入れ可能なリスクのレベルを定める基準。
リスクレベル リスクの重大性を評価した結果。
リスクマトリックス リスクの発生確率と影響を視覚化してリスクレベルを示す表。
リスク所有者 リスク管理の責任を持つ者や組織。
リスク源 リスクを引き起こす可能性のある要因や状況。
リスクアセスメントのプロセス リスクを特定し、分析・評価する一連の手順。
リスク特定 リスクとなり得る要素を認識するステップ。
リスク分析 リスクの発生確率や影響を分析するプロセス。
リスク評価 リスクが受け入れ可能かどうかを判断するプロセス。
リスク忌避 リスクを避けるためにリスク源を排除すること。
リスク選好 ある程度のリスクを受け入れながら利益を追求する選択。
リスクの定性的分析 数値化せずにリスクの重大性や発生確率を評価する手法。
リスクの定量的分析 数値データを用いてリスクを分析する手法。

⑤ 情報セキュリティリスク対応 情報セキュリティリスクアセスメントの結果を考慮して,適切な情報セキュリティリス ク対応の選択肢を選定し,その選択肢の実施に必要な管理策を決定することを理解する。

用語 説明
リスクコントロール リスクを低減するために管理策を実施し、リスクの影響を最小限にすること。
リスクヘッジ リスクの影響を緩和するために複数の手段を組み合わせて対応すること。
リスクファイナンシング リスク発生時の金銭的損失に備えるための資金計画や保険の手配。
サイバー保険 サイバー攻撃セキュリティインシデントによる損失を補償する保険。
リスク回避 リスクの原因となる行動やプロセスを取り除くことでリスクを回避すること。
リスク共有(リスク移転・分散) リスクを第三者と分担または移転する手法(例:保険や外部委託)。
リスク保有 リスクが低い場合やコスト対効果が合わない場合にリスクをあえて受け入れること。
リスク集約 組織内のリスクを集めて一括管理し、効率的に対応策を講じること。
残留リスク 対策を講じても完全には排除できないリスク。
リスク対応計画 リスク対応のために具体的な対策と手順をまとめた計画。
リスク登録簿 組織内の全リスクを一覧化し、対応状況や責任者などを記載したドキュメント。
リスクコミュニケーション リスクに関する情報を組織内外で適切に共有し、対策を講じるための意思疎通。

(3)情報セキュリティ継続 組織が困難な状況(例えば,危機又は災害)に陥る事態に備えて,情報セキュリティ継続 (継続した情報セキュリティの運用を確実にするためのプロセス)を組織の事業継続マネジ メントシステムに組み込む必要性を理解する。

用語 説明
緊急事態の区分 緊急事態の種類を分類し、危機の重大度や対応レベルを決定するための基準。例えば、自然災害やサイバー攻撃など、組織に影響を与えるリスクに基づき分類されます。
緊急時対応計画(コンティンジェンシー計画) 緊急事態が発生した際に、事業の継続や復旧を迅速に行うための計画。予期せぬ事態に備え、事前に定めた手順やリソースを基に対応を行います。
復旧計画 システムやサービスがダウンした際、通常の運用状態に戻すための具体的な手順を示した計画。システム復旧にかかる時間や手順が詳細に記載されています。
災害復旧(Disaster Recovery) 自然災害や大規模なシステム障害に対して、組織のITインフラやデータを元の状態に復旧するための対策。通常、復旧計画の一部として、迅速な復旧を目指します。
バックアップによる対策 重要なデータやシステムのバックアップを定期的に取ることで、緊急事態時にもデータを復元できるようにする対策。これにより、データの喪失を最小限に抑えます。
被害状況の調査手法 緊急事態が発生した後に、被害の範囲や影響を評価するための手法。被害の全体像を把握し、適切な復旧や対応策を講じるために用いられます。

(4)情報セキュリティ諸規程(情報セキュリティポリシーを含む組織内規程) 情報セキュリティ管理における情報セキュリティポリシーの目的,考え方,情報セキュリ ティポリシーに従った組織運営を理解する。また,組織の情報セキュリティ目的,資産の分 類・管理手順,情報セキュリティ対策基準などを体系的に定めることを理解する。

用語 説明
情報セキュリティ方針 組織全体の情報セキュリティに関する基本方針を定めた文書。情報資産を保護するための全体的な方向性を示します。
情報セキュリティ目的 情報セキュリティを確保するために設定された具体的な目標。セキュリティ対策の効果を測定し、改善するための指標となります。
情報セキュリティ対策基準 情報資産を保護するために定められた具体的なセキュリティ対策の基準。技術的・組織的な対策が含まれます。
情報管理規程 組織内での情報の取り扱いに関する規程。情報の分類、使用、保存、破棄などを管理するための手順が定められています。
秘密情報管理規程 秘密情報の取り扱いに関するルールを定めた規程。秘密保持契約(NDA)など、機密性を確保するための方針が記載されています。
文書管理規程 文書の作成、保存、廃棄に関する手順や基準を定めた規程。文書のライフサイクル全体を管理します。
情報セキュリティインシデント対応規程 マルウェア感染などの情報セキュリティインシデントが発生した場合の対応手順を定めた規程。迅速な対応が可能になるよう、手順や責任が明確化されています。
情報セキュリティ教育の規程 組織内の従業員に対して実施する情報セキュリティ教育の内容や手順を定めた規程。セキュリティ意識の向上を目的としています。
プライバシーポリシー(個人情報保護方針) 個人情報をどのように収集、使用、保護するかを定めた方針。個人情報保護法GDPRなどの規制に基づいて策定されます。
職務規程 従業員が職務を遂行する際の行動基準を定めた規程。職務に関連する情報セキュリティの責任範囲なども含まれます。
罰則の規程 情報セキュリティ違反に対して適用される罰則を定めた規程。違反行為に対する組織の対応を明確にします。
対外説明の規程 情報セキュリティに関する対外的な説明の手順を定めた規程。組織の信頼性を確保するために、透明性を持たせたコミュニケーションが行われます。
例外の規程 特別な状況で、通常の情報セキュリティ規程の適用を除外するための手順を定めた規程。例外の範囲や承認手続きが記載されています。
規則更新の規程 情報セキュリティ規程を定期的に見直し、更新するための手順を定めた規程。技術の進化や法規制の変更に対応するためのプロセスです。
規程の承認手続 情報セキュリティ規程を策定・更新する際に必要な承認手続きを定めたもの。承認プロセスを明確にすることで、組織全体での合意形成が行われます。
ソーシャルメディアガイドラインSNS利用ポリシー) 従業員がソーシャルメディアを利用する際の行動指針を定めた規程。組織の評判や情報漏えいのリスクを防ぐために策定されます。

(5)情報セキュリティマネジメントシステムISMS) 組織体における情報セキュリティ管理の水準を高め,維持し,改善していく ISMS情報セキュリティマネジメントシステム)の 仕組みを理解する。

用語 説明
ISMS適用範囲 ISMSが適用される範囲を定義する文書。組織内のどの情報資産や業務にISMSを適用するかを明確にします。
リーダーシップ 情報セキュリティに関してトップマネジメントが果たす役割。方針の策定や資源の提供など、組織全体の方向性を示します。
計画 情報セキュリティ管理のための具体的な目標と活動計画。リスク評価や管理策の計画も含まれます。
運用 計画に基づいて情報セキュリティ管理を実施するプロセス。リスク対策の実行や定期的なモニタリングが含まれます。
パフォーマンス評価 ISMSの有効性を評価するプロセス。内部監査やマネジメントレビューを通じて、システムの改善点を見つけます。
改善 ISMSの継続的な改善を行うプロセス。不適合や是正措置を通じてセキュリティ水準を向上させます。
管理目的 ISMSを通じて達成すべき具体的なセキュリティ目標。リスク低減や情報保護の目的が含まれます。
情報セキュリティ管理策 情報資産を保護するために導入される管理策。組織的管理策、人的管理策、物理的管理策、技術的管理策の4つに分類されます。
管理策タイプ 予防、検知、是正の3つのタイプに分類される情報セキュリティ管理策。リスクを抑えるためにどの段階で対策を取るかを示します。
サイバーセキュリティ概念 サイバー攻撃に対する識別、防御、検知、対応、復旧の5つの概念。組織のサイバーセキュリティを強化するための基本的な枠組みです。
有効性 ISMSが適切に機能しているかどうかを評価するための指標。管理策が目標を達成しているかを測定します。
ISMS適合性評価制度 ISMSが国際規格に適合しているかを評価する制度。第三者機関が適合性を確認し、認証を行います。
ISMS認証 ISMSがISO/IEC 27001の基準に適合していることを証明する認証。セキュリティ管理の適切さを示すために取得されます。
JIS Q 27001(ISO/IEC 27001) ISMSの国際規格であるISO/IEC 27001の日本工業規格(JIS)版。情報セキュリティ管理の基準を示します。
JIS Q 27002(ISO/IEC 27002) 情報セキュリティ管理策に関する国際規格であるISO/IEC 27002の日本工業規格(JIS)版。管理策の具体的なガイドラインを提供します。
情報セキュリティガバナンス 組織における情報セキュリティのガバナンス(管理・統制)を定めた規格。JIS Q 27014(ISO/IEC 27014)はその基準を示しています。
JIS Q 27017(ISO/IEC 27017) クラウドサービスにおける情報セキュリティ管理策を定めた国際規格。クラウド利用者と提供者の双方が対象となります。

(6)情報セキュリティ管理におけるインシデント管理 インシデント発生時から解決までの一連のフローであるインシデント管理を理解する。

用語 説明
インシデントハンドリング 情報セキュリティのインシデントに対処する一連のプロセス。検知から解決までの流れを管理します。
検知 インシデントを早期に発見するプロセス。監視システムやアラートを利用して異常を検知します。
連絡受付 インシデントの報告を受け付けるプロセス。従業員やユーザーからの通報を受け取ります。
トリアージ インシデントの優先順位を決定するプロセス。影響度や緊急度に応じて対応の優先順位を設定します。
インシデントレスポンス(対応) インシデントに対して具体的な対応を行うプロセス。問題を解決し、被害を最小限に抑えます。
報告/情報公開 インシデントの結果や対応内容を関係者に報告するプロセス。必要に応じて外部に情報を公開することもあります。
テイクダウン 攻撃を受けているシステムや脅威を排除するプロセス。攻撃の中止や被害の拡大を防ぐための措置を講じます。

(7)情報セキュリティ組織・機関 不正アクセスによる被害受付の対応,再発防止のための提言,情報セキュリティに関する 啓発活動などを行う情報セキュリティ組織・機関の役割,及び関連する制度を理解する。

用語 説明
情報セキュリティ委員会 組織内の情報セキュリティに関する方針や対策を策定する委員会。情報セキュリティの管理を行います。
CSIRT コンピュータセキュリティインシデント対応チーム。インシデント発生時に対応を行い、再発防止策を提言します。
PSIRT プロダクトセキュリティインシデント対応チーム。製品に関するセキュリティインシデントに対処します。
SOC(Security Operation Center) セキュリティオペレーションセンター。24時間体制で脅威の監視やインシデント対応を行います。
abuse@ドメイン 不正使用報告のための窓口。悪用事例を報告するための連絡先です。
noc@ドメイン ネットワーク運用センターの連絡窓口。ネットワークの問題を報告するための連絡先です。
security@ドメイン セキュリティ関連の報告窓口。セキュリティに関する問題やインシデントを報告するための連絡先です。
ホワイトエシカルハッカー 法律に従い、システムの脆弱性を探し改善提案を行うハッカー。情報セキュリティの向上に寄与します。
サイバーセキュリティ戦略本部 日本政府のサイバーセキュリティに関する戦略を策定・実施する機関。
内閣サイバーセキュリティセンター(NISC) 日本のサイバーセキュリティの総合的な施策を推進する政府機関。
IPA セキュリティセンター 情報処理推進機構が運営する、情報セキュリティに関する啓発や支援を行う機関。
CRYPTREC 暗号技術の評価や推奨を行う、日本政府のプロジェクト。
NIST 米国国立標準技術研究所。セキュリティ基準やガイドラインの策定を行います。
MITRE サイバーセキュリティや情報技術の研究・開発を行う非営利団体
FIRST インシデントレスポンスチームの国際的なフォーラム。セキュリティインシデントに関する情報共有を促進。
JPCERT コーディネーションセンター 日本のセキュリティインシデントに対する情報共有と調整を行う組織。
J-CSIP サイバー情報共有イニシアティブ。セキュリティ情報の共有を促進する活動。
サイバーレスキュー隊(J-CRAT) サイバー攻撃に対して迅速に対応するためのチーム。
Trusted Web 推進協議会 安全なウェブ環境を構築するための取り組みを行う協議会。
コンピュータ不正アクセス届出制度 不正アクセスの報告を義務づける制度。
コンピュータウイルス届出制度 コンピュータウイルスの発生を報告する制度。
脆弱性関連情報に関する届出制度 ソフトウェアの脆弱性に関する情報を報告する制度。
情報セキュリティサービス基準 情報セキュリティサービスの提供に関する基準。
情報セキュリティサービス審査登録制度 情報セキュリティサービスの適合性を審査し登録する制度。
ISMAP 政府情報システムのためのセキュリティ評価制度。
脆弱性開示(ISO/IEC 29147) ソフトウェア製品の脆弱性を開示するための国際基準。
脆弱性情報取扱手順(ISO/IEC 30111) 脆弱性情報を取り扱うための国際基準。
NOTICE セキュリティ関連の注意喚起情報を提供する仕組み。
SECURITY ACTION 情報セキュリティの向上を目的とした取り組み。
情報セキュリティ早期警戒パートナーシップ サイバー攻撃の早期警戒を目的とした情報共有プログラム。
ISAC 情報共有と分析のためのセキュリティ情報共有組織。

(8)情報セキュリティに関する基準 情報セキュリティに関する基準,指針を理解する。

用語 説明
コンピュータウイルス対策基準 コンピュータウイルスから情報システムを保護するための基準。
コンピュータ不正アクセス対策基準 不正アクセスを防止し、被害を最小限に抑えるための基準。
ソフトウェア製品等の脆弱性関連情報に関する取扱規程 ソフトウェアの脆弱性に関する情報を取り扱うための規程。
政府機関等の情報セキュリティ対策のための統一基準群 政府機関が遵守すべき情報セキュリティの統一基準。
サイバーセキュリティ経営ガイドライン 経営者がサイバーセキュリティを考慮した経営を行うための指針。
中小企業の情報セキュリティ対策ガイドライン 中小企業が実施すべき情報セキュリティ対策に関する指針。
IoT セキュリティガイドライン IoTデバイスのセキュリティ対策に関する指針。
サイバー・フィジカル・セキュリティ対策フレームワーク サイバー空間と物理空間の両方に対応したセキュリティ対策のフレームワーク
金融機関等コンピュータシステムの安全対策基準・解説書 金融機関向けのコンピュータシステムの安全対策に関する基準と解説。
PCI DSS クレジットカード情報の安全性を確保するための基準(Payment Card Industry Data Security Standard)。
サイバーセキュリティフレームワーク(CSF) サイバーセキュリティ対策のためのフレームワーク
NIST SP 800 シリーズ 米国国立標準技術研究所が発行する、情報セキュリティに関する標準とガイドラインのシリーズ。

情報処理安全確保支援士試験 シラバスVer.4.0用語説明集 情報セキュリティ関連

(1)情報セキュリティの目的と考え方
情報の機密性(Confidentiality),完全性(Integrity),可用性(Availability)を確保,維持することによって,様々な脅威から情報システム及び情報を保護し,情報システムの信頼性を高めることを理解する。

用語 説明
機密性(Confidentiality) 情報へのアクセスを許可された者のみがその情報にアクセスできるようにする特性。
完全性(Integrity) 情報が正確で改ざんされていないことを保証する特性。
可用性(Availability) 必要なときに情報やシステムにアクセスできる状態を維持する特性。
真正性(Authenticity) 情報や通信が正当なものであることを証明する特性。
責任追跡性(Accountability) 行った行動や操作が特定できるように記録されている特性。
否認防止(Non-Repudiation) 実行された行動や通信が後から否認されないように証明する特性。
信頼性(Reliability) システムや情報が信頼できる状態であることを保証する特性。
多層防御 複数のセキュリティ対策を組み合わせて防御層を強化する手法。
セキュリティバイデザイン 設計段階からセキュリティを組み込む手法。
プライバシーバイデザイン 設計段階からプライバシー保護を組み込む手法。

 

(2)情報セキュリティの重要性 社会のネットワーク化に伴い,企業にとって情報セキュリティの水準の高さが企業評価の 向上につながること,情報システム関連の事故が事業の存続を脅かす可能性があることから, 情報セキュリティの重要性を理解する。

用語 説明
情報資産 組織にとって価値のある情報やデータ、その管理システムなどを指す。
脅威 情報システムや情報資産に損害を与える可能性のある外部や内部のリスク要因。
脆弱性 情報システムの欠陥や弱点で、脅威に対して攻撃されやすい部分。
サイバー攻撃 ネットワークやシステムに対して不正にアクセスし、データを盗む、破壊する、改ざんする行為。

 

(3)脅威 
① 脅威の種類 情報資産に対する様々な脅威を理解する。

用語 説明
事故 システムやデータに対して予期せぬ事象が発生し、損害が発生すること。
災害 地震や洪水などの自然災害によって、情報システムに損害が発生すること。
故障 機器やシステムの不具合により、正常な機能が損なわれること。
破壊 システムやデータが意図的または偶発的に破壊されること。
盗難 情報資産が盗まれること。
侵入 許可されていない者がシステムや施設に不正にアクセスすること。
不正アクセス 許可のない者がシステムやデータにアクセスすること。
盗聴 通信内容が外部に傍受されること。
なりすまし 他人の身分を偽って不正行為を行うこと。
改ざん データやシステムが不正に変更されること。
エラー 誤動作や誤入力によってシステムが期待通りに動作しないこと。
クラッキング 不正な手段でシステムに侵入し、データを破壊または盗む行為。
ビジネスメール詐欺(BEC 組織の従業員を装って偽のメールを送り、金銭や機密情報を詐取する行為。
権限昇格 システム上の脆弱性を利用して、通常の権限よりも高い権限を取得すること。
誤操作 ユーザーが操作ミスを行い、システムに不具合を引き起こすこと。
アクセス権の誤設定 システムやデータへのアクセス権が適切に設定されていないこと。
紛失 情報資産が行方不明になること。
破損 情報やシステムが物理的または論理的に壊れること。
盗み見 他人の画面や情報を許可なく覗き見る行為。
不正利用 権限を持たない者が情報資産を不正に使用すること。
ソーシャルエンジニアリング 人間の心理を利用して、情報を詐取する手法。
情報漏えい 機密情報が外部に漏れること。
故意 悪意を持って行動すること。
過失 意図せずに間違いを犯すこと。
誤謬(ごびゅう) 認識や判断の誤りによって引き起こされるミス。
内部不正 組織内の人間による不正行為。
妨害行為 システムや業務を意図的に妨害する行為。
SNSの悪用 ソーシャルメディアを使って悪意のある活動を行うこと。
踏み台 攻撃者が別のシステムを攻撃するために利用する中間システム。
迷惑メール(スパム) 無差別に大量に送信される不要なメール。
AIに対する脅威 AIシステムを悪用または攻撃するリスク。
攻撃ベクトル(Attack Vector 攻撃が行われる経路や手段。
攻撃対象領域(Attack Surface 攻撃が可能なシステムやネットワークの領域。

マルウェア・不正プログラム
 マルウェア・不正プログラムの種類とその振る舞いを理解する。

用語 説明
コンピュータウイルス 他のプログラムに感染し、データを破壊したり、システムを停止させたりする悪意のあるソフトウェア。
マクロウイルス ワープロソフトや表計算ソフトなどで使われるマクロ機能を悪用して、感染を広げるウイルス。
ワーム ネットワークを介して自己増殖し、システムに負荷をかける悪意のあるプログラム。
ボット 攻撃者が遠隔操作できるように感染したコンピュータをボットネットに組み込むプログラム。
遠隔操作型ウイルス(RAT) 攻撃者が遠隔で感染したコンピュータを操作できるようにするウイルス。
C&Cサーバ ボットネットの指令を出すコントロールサーバ。
コネクトバック 攻撃者がファイアウォールを回避して遠隔操作するために、感染した端末から接続を開始する手法。
リバースシェル 攻撃者が遠隔からシェル(コマンドライン)を操作できるようにする手法。
トロイの木馬 有用なプログラムを装いながら、裏で不正な活動を行う悪意のあるソフトウェア。
スパイウェア ユーザーの情報を秘密裏に収集し、外部に送信するプログラム。
ランサムウェア データを暗号化し、復元するための身代金を要求する不正プログラム。
キーロガー キーボードの入力を監視し、パスワードなどの機密情報を盗むプログラム。
ルートキット 不正アクセスを隠すためにシステムの管理権限を奪取し、検出を困難にするソフトウェア。
バックドア 攻撃者がシステムに密かにアクセスするために設置される裏口のプログラム。
ステルス技術 マルウェアの存在を隠すための技術。ポリモーフィック型(変形する)やメタモーフィック型(全く異なる形に変化する)などがある。
ファイルレスマルウェア ファイルを使用せず、システムのメモリ上で動作するマルウェア
エクスプロイトコード ソフトウェアの脆弱性を攻撃するために作られたコード。
エクスプロイトキット 複数のエクスプロイトを集め、攻撃を自動化するためのツール。

 

(4)脆弱性
 情報システムの情報セキュリティに関する欠陥,行動規範・職務分掌の組織での未整備, 従業員への不徹底などの脆弱性を理解する。

用語 説明
バグ プログラム内の不具合やエラー。セキュリティリスクを引き起こす場合がある。
セキュリティホール システムやソフトウェアの脆弱な部分で、攻撃者に悪用される可能性のある欠陥。
人的脆弱性 従業員の不注意や知識不足により発生するセキュリティ上の脆弱性
内部統制の不備 組織内の業務管理や規則の不徹底により生じるセキュリティの脆弱性
シャドーIT 組織が許可していない個人デバイスクラウドサービスを使用する行為。セキュリティリスクが伴う。
バッファエラー メモリの管理ミスにより、データが溢れ出す脆弱性。攻撃に悪用されることがある。
認可・権限・アクセス制御の不備 ユーザーの権限設定やアクセス制御が適切に行われていない場合に生じる脆弱性
不適切な入力確認 ユーザー入力が適切に検証されないことで発生する脆弱性SQLインジェクションなどの攻撃に悪用されることがある。
パスワードのハードコード ソースコード内にパスワードが埋め込まれている状態。外部に漏洩するリスクが高い。
認証の欠如 ユーザーの正当性を確認する認証プロセスが欠けているため、なりすましや不正アクセスが発生しやすくなる。
重要情報の平文での保存・送信 暗号化されていない状態で重要な情報を保存・送信することで、情報漏えいのリスクが高まる。
レースコンディション 同時に実行される複数の操作が競合し、予期しない結果を招く脆弱性
OWASP Top 10 Webアプリケーションのセキュリティ脅威に関するトップ10リスト。開発者が対策をすべき代表的な脆弱性を示す。

 

(5)不正のメカニズム
 不正行為が発生する要因,内部不正による情報セキュリティ事故・事件の発生を防止する ための環境整備の考え方を理解する。

用語 説明
不正のトライアングル 不正が発生する3つの要因「機会」「動機」「正当化」を示す理論。これらが揃うと不正行為が起こりやすい。
機会 不正行為を行うための状況や環境が整っていること。例として、内部統制の不備や監視の欠如が挙げられる。
動機 不正を行う人物の背後にある理由や欲求。経済的問題やプレッシャーが動機となることが多い。
正当化 不正を行う人物がその行為を正当化する心理的プロセス。不正行為を許容できる理由付けを行う。
状況的犯罪予防 犯罪や不正行為が発生しやすい状況を改善し、行為の発生を防ぐための予防策。
割れ窓理論 小さな違法行為や規律違反を放置すると、さらなる不正や犯罪が助長されるとする理論。
防犯環境設計 建物や空間のデザインを通じて、犯罪を未然に防ぐための環境を整備する考え方。

 

(6)攻撃者の種類,攻撃の動機 悪意をもった攻撃者の種類,及び攻撃者が不正・犯罪・攻撃を行う主な動機,流れ,パタ ーンを理解する。

用語 説明
スクリプトキディ 他人が作成したツールやスクリプトを使って攻撃を行う初心者レベルのハッカー。知識は浅く、自己顕示欲が強い場合が多い。
ボットハーダー ボットネットを制御して、大規模なサイバー攻撃を行う攻撃者。遠隔操作型ウイルスを用いて攻撃を行う。
内部犯 組織の内部にいる人間が行う不正行為や攻撃。機密情報の漏えいやシステムの改ざんなどが含まれる。
愉快犯 犯行を楽しむことが動機で、利益を目的としない攻撃者。無差別に攻撃を行うことが多い。
詐欺犯 金銭的利益を目的に詐欺行為やサイバー攻撃を行う者。フィッシング詐欺などが一般的な手法。
故意犯 何らかの理由で故意に犯罪や攻撃を行う者。特定の目的や利益を持つことが多い。
ダークウェブ 匿名性が高く、違法な取引や犯罪行為が行われるインターネットの一部。
金銭奪取 サイバー攻撃者が金銭を盗むことを目的に行う行為。ランサムウェア攻撃が代表的。
二重脅迫(ダブルエクストーション) ランサムウェア攻撃で、データの暗号化に加え、情報の公開を脅迫する攻撃手法。
ハクティビズム 政治的・社会的な理由でサイバー攻撃を行うこと。ハクティビストは特定のメッセージを広めるために攻撃を行う。
サイバーテロリズム 政治的または宗教的動機に基づいてインフラや情報システムを攻撃し、恐怖を引き起こす行為。
リークサイト 漏洩した機密情報やデータを公開するためのウェブサイト。攻撃者が脅迫や圧力をかけるために利用する。
脅威モデリング システムやアプリケーションに対する脅威を分析・評価し、対策を立てる手法。
サイバーキルチェーン サイバー攻撃のプロセスを7つのステップで示したモデル。攻撃を防御するためにどの段階で対策を行うかを分析する。
MITRE ATT&CK サイバー攻撃の戦術や技術をまとめた知識ベース。攻撃者の行動を理解し、防御策を立てるために使用される。
MITRE CAPEC 共通の攻撃パターンを分類し、攻撃者の手口を特定するためのデータベース。

 

(7)攻撃手法
 情報システム,組織及び個人への不正な行為と手法を理解する。

用語 説明
辞書攻撃 パスワードや暗号を辞書に載っている単語を使って試す攻撃手法。単純なパスワードが狙われる。
総当たり(ブルートフォース)攻撃 可能なすべての組み合わせを試すことでパスワードを解読しようとする攻撃手法。
リバースブルートフォース攻撃 一つのパスワードを用いて多数のユーザーのアカウントに対するログイン試行を行う攻撃手法。
レインボーテーブル攻撃 事前に計算されたハッシュとパスワードの対応を使って、ハッシュを逆算しパスワードを求める攻撃。
パスワードリスト攻撃(クレデンシャルスタッフィング) 盗まれたパスワードのリストを使用して、他のアカウントへの不正アクセスを試みる攻撃。
クロスサイトスクリプティング(反射型) 一時的にページにスクリプトを埋め込む攻撃で、ユーザーがアクセスした時に実行される。
クロスサイトスクリプティング(格納型) 攻撃者がスクリプトをサーバに保存し、他のユーザーがアクセスするとそのスクリプトが実行される。
クロスサイトスクリプティング(DOMベース) ユーザーのブラウザ内でのDOM操作を利用し、悪意のあるスクリプトを実行させる攻撃。
クロスサイトリクエストフォージェリ ユーザーが知らないうちに不正なリクエストを実行させる攻撃。特にセッションが有効な状態で問題となる。
クリックジャッキング ユーザーが意図しない操作をさせるために、透明なボタンを重ねる手法。
ドライブバイダウンロード 悪意のあるソフトウェアが自動的にユーザーのデバイスにダウンロードされる攻撃手法。
SQLインジェクション データベースに対する不正なSQLクエリを挿入して、情報を取得したり変更したりする攻撃。
HTTPヘッダインジェクション 不正なデータをHTTPヘッダに挿入し、Webアプリケーションの動作を変更する攻撃。
OSコマンドインジェクション 外部からの入力を使って、システムのOSコマンドを実行させる攻撃。
ディレクトリトラバーサル 攻撃者が特定のファイルやディレクトリにアクセスするために、パスを操作する手法。
バッファオーバーフロー プログラムのバッファに過剰なデータを送り込み、実行されるコードを変更する攻撃手法。
オープンリダイレクトの悪用 ユーザーを悪意のあるサイトにリダイレクトさせるために、信頼できるサイトのURLを利用する攻撃。
中間者(Man-in-the-middle)攻撃 通信の中間に割り込み、データを傍受・改ざんする攻撃。
MITB(Man-in-the-browser)攻撃 ブラウザ上で動作するマルウェアを使い、ユーザーの情報を不正に取得する攻撃。
三者中継(オープンリレー) メールなどの通信を第三者が中継することにより、正規の通信を不正に監視する攻撃。
IPスプーフィング 自分のIPアドレスを隠して他人になりすます手法。
DNSキャッシュポイズニング DNSのキャッシュを攻撃して、ユーザーを偽のサイトに誘導する攻撃。
フィッシング(スミッシングほか) 偽のサイトやメッセージを使って、個人情報を盗む攻撃。スミッシングはSMSを用いたフィッシング。
セッションハイジャック 有効なセッションを不正に利用し、ユーザーとして振る舞う攻撃。
セッションIDの固定化(Session Fixation)攻撃 攻撃者があらかじめ知っているセッションIDを利用して不正アクセスを行う手法。
リプレイ攻撃 捕らえたデータを再利用して不正な通信を行う攻撃手法。
ドメインフロンティング攻撃 複数のドメインを利用して攻撃を行い、攻撃源を隠す手法。
多要素認証疲労攻撃(Multi-Factor Authentication Fatigue Attack) 認証を求めるメッセージを大量に送信し、ユーザーに疲労を与える攻撃。
DoS(Denial of Service:サービス妨害)攻撃 サーバやサービスを正常に利用できなくするために過剰なリクエストを送る攻撃。
DDoS攻撃(マルチベクトル型ほか) 多数のコンピュータから一斉に攻撃を行い、サービスをダウンさせる手法。
DRDoS攻撃 攻撃者が第三者を利用してDDoS攻撃を行う手法。
ICMP Flood攻撃 ICMPプロトコルを利用し、ネットワークを圧倒させる攻撃。
Smurf攻撃 ICMPのエコー要求を利用してDDoS攻撃を仕掛ける手法。
リフレクション攻撃 攻撃者がターゲットに対して、第三者を使ってトラフィックを反射させる手法。
DNS水責め攻撃(ランダムサブドメイン攻撃) 複数のDNSサブドメインに対してDDoS攻撃を仕掛ける手法。
クリプトジャッキング 他人のコンピュータを利用して暗号通貨をマイニングする攻撃。
標的型攻撃 特定の組織や個人を狙った高度な攻撃で、APT(Advanced Persistent Threat)や水飲み場型攻撃、やり取り型攻撃などが含まれる。
APT(Advanced Persistent Threat) 長期間にわたり特定のターゲットを狙った攻撃。通常、高度な技術や資源を持つ攻撃者によるもの。
水飲み場型攻撃 攻撃者がターゲットの関連するウェブサイトを狙い、マルウェアを埋め込む手法。
やり取り型攻撃 攻撃者がターゲットに対して連続的に情報を取得し、攻撃を強化していく手法。
SEOポイズニング 検索エンジン最適化(SEO)の手法を悪用して、悪意のあるサイトを上位に表示させる攻撃。
ゼロデイ攻撃 ソフトウェアの脆弱性が公表される前に行われる攻撃。パッチが未適用の状態で悪用される。
サイドチャネル攻撃 システムの実行時の情報を盗むことで、暗号化やデータを解析する手法。
テンペスト攻撃 電磁波を利用して、コンピュータの画面やデータを傍受する攻撃手法。
プローブ攻撃 サイドチャネル情報を取得するための攻撃手法で、特定のプローブを使ってデータを引き出す。
タイミング攻撃 処理時間の違いを利用して、秘密情報を漏洩させる攻撃手法。
電力解析攻撃 バイスの消費電力を測定し、秘密鍵を特定する攻撃。
エアギャップに対する攻撃 完全に隔離されたシステムに対して物理的または間接的にアクセスし、攻撃を行う手法。
サービス及びソフトウェアの機能の悪用 特定の機能やサービスの脆弱性を突いて攻撃を行う手法。RLO(Right-to-Left Override)やオープンリゾルバの悪用など。
RLO(Right-to-Left Override)の悪用 文字の表示順序を操作することで、悪意のある情報を隠す手法。
オープンリゾルバの悪用 DNSゾルバの設定ミスを利用して、攻撃者がDNSリクエストを送信する手法。
バージョンロールバック攻撃 古いバージョンのソフトウェアを悪用することで、セキュリティ対策を回避する攻撃手法。
AIを悪用した攻撃 AI技術を利用して、標的型攻撃やフィッシング、マルウェアの生成、脆弱性発見の効率化などを行う攻撃。
標的型攻撃・フィッシング・なりすましの巧妙化 AIを使って、よりリアルななりすましやフィッシング攻撃を実施する手法。
マルウェア(バリアント(亜種))の生成 AIを利用して新たなマルウェアの亜種を生成し、検知を回避する手法。
システムの脆弱性発見の効率化 AI技術を使って、システムの脆弱性を迅速に発見する手法。
ディープフェイク AI技術を使用して作成された偽の音声や映像で、なりすましや誤情報の拡散に利用される。
敵対的サンプル(Adversarial Examples) 機械学習モデルを欺くために特別に作成された入力データ。
プロンプトインジェクション AIモデルに対して不正な入力を行い、意図しない結果を引き出す手法。
データポイズニング レーニングデータを改ざんして、機械学習モデルの出力を操作する攻撃。
モデルインバージョン攻撃 学習済みモデルのパラメータを推測し、不正にアクセスする攻撃。
メンバーシップ推測攻撃 特定のデータがトレーニングデータに含まれているかを推測する攻撃手法。
攻撃の準備 攻撃のための情報収集やスキャンを行う準備。フットプリンティングやポートスキャンなどが含まれる。
フットプリンティング ターゲットのネットワークやシステムについて情報を収集するプロセス。
ポートスキャン ネットワーク上のオープンポートを特定するためのスキャン技術。
RaaS(Ransomware as a Service) ランサムウェアをサービスとして提供し、他者が利用できるようにするビジネスモデル。
ラテラルムーブメント 一度侵入したシステムから他のシステムへと移動し、さらなる攻撃を行う手法。

 

(8)情報セキュリティに関する技術
 ① 暗号技術 脅威を防止するために用いられる暗号技術の活用を理解する。また,暗号化の種類,代 表的な暗号方式の仕組み,特徴を理解する。

用語 説明
暗号技術 情報の秘密性を確保するための技術。データを暗号化し、不正アクセスから保護する。
CRYPTREC暗号リスト 日本での暗号の適用性を評価し、推奨するための暗号方式のリスト。
暗号方式 情報を暗号化・復号化するための手法。共通鍵暗号方式と公開鍵暗号方式に大別される。
暗号化(暗号鍵) データを暗号化するために使用される鍵。暗号文を生成するために利用される。
復号(復号鍵) 暗号化されたデータを元の状態に戻すために使用される鍵。
共通鍵暗号方式 暗号化と復号化に同じ鍵を使用する暗号方式。
公開鍵暗号方式 暗号化に公開鍵、復号化に秘密鍵を使用する方式。
RSA暗号 公開鍵暗号方式の一種で、整数の素因数分解の困難さに基づく暗号。
楕円曲線暗号(ECDSA) 楕円曲線を用いた公開鍵暗号方式。高いセキュリティを持ちながら、短い鍵長での運用が可能。
鍵共有 暗号化通信において、通信を行う両者が同じ鍵を持つこと。
Diffie-Hellman(DH)鍵共有方式 二者間で安全に共通鍵を生成するための鍵共有方式。
前方秘匿性(PFS:Perfect Forward Secrecy) 過去のセッション鍵が将来のセッションのセキュリティに影響を与えない性質。
ハイブリッド暗号 共通鍵暗号方式と公開鍵暗号方式を組み合わせた暗号方式。
認証暗号 データの認証と暗号化を同時に行う技術。AEAD(Authenticated Encryption with Associated Data)が代表的。
認証付き暗号 データが改ざんされていないことを確認できる暗号。
秘密分散(電子割符) 情報を複数の部分に分割し、各部分を異なる場所に保管することでセキュリティを向上させる手法。
秘密計算 プライバシーを保ちながら、計算を行う技術。秘密分散方式や準同型暗号方式が含まれる。
量子暗号 量子力学を基にした暗号技術。量子ビットの特性を利用してセキュリティを強化。
耐量子暗号(PQC) 量子コンピュータによる攻撃に対抗するための暗号技術。
ハッシュ関数 データの要約を生成し、一方向性を持つ関数。SHA-256やSHA-3が例。
SHA-256(SHA-2) セキュアハッシュアルゴリズムの一種で、256ビットのハッシュ値を生成。
SHA-3 SHA-2の後継で、より高いセキュリティを提供するハッシュ関数
一方向性 ハッシュ関数の特性で、出力から元の入力を推測することが困難であること。
第二原像発見困難性 特定の出力に対して、異なる入力を見つけることが困難である特性。
衝突発見困難性 異なる2つの入力が同じハッシュ値を持つことを見つけることが困難である特性。
ブロック暗号 データを固定サイズのブロックに分割して暗号化する方式。AESやCamelliaが例。
AES(Advanced Encryption Standard) アメリカ政府が標準化したブロック暗号方式。広く利用されている。
暗号利用モード ブロック暗号を適用する際の操作方法。CBC(Cipher Block Chaining)やCTR(Counter)などがある。
CBC(Cipher Block Chaining) 各ブロックが前のブロックの暗号文に依存しているブロック暗号利用モード。
CTR(Counter) カウンタを用いて各ブロックを暗号化するストリーム暗号の方式。
ストリーム暗号 データをビット単位で暗号化する方式。KCipher-2が例。
軽量暗号 制約のあるデバイス向けに設計された、リソース消費が少ない暗号方式。
鍵生成 暗号化に使用する鍵を生成するプロセス。
疑似乱数 規則的なパターンを持たない乱数のようなデータ。
乱数生成 予測不可能な乱数を生成するプロセス。
疑似乱数生成器(PRNG) 疑似乱数を生成するアルゴリズム
鍵管理 鍵の生成、保管、配布、廃棄を行うプロセス。
ストレージ暗号化 ストレージデバイス内のデータを暗号化する技術。
ファイル暗号化 個々のファイルを暗号化する手法。
危殆化 セキュリティが低下すること。
ゼロ知識証明 知識を証明する際に、証明者がその知識を示さずに真実であることを証明する技術。
ブロックチェーン データの不正変更を防ぎ、信頼性を保証する分散型データベース技術。
SSL/TLS暗号設定ガイドライン SSL/TLSの設定に関するベストプラクティス。
ワンタイムパッド 完全にランダムな鍵を使用する暗号方式。情報を完全に秘匿することが可能。
計算量(オーダー記号) アルゴリズムの効率を評価するための記法。
暗号強度(ビットセキュリティ) 暗号が持つセキュリティの強さを表す指標。
情報量的安全性 情報理論に基づく安全性の評価。
計算量的安全性 計算の難易度に基づく安全性の評価。

 

② 認証技術
 認証の種類,仕組み,特徴,脅威を防止するためにどのような認証技術が用いられるか, 認証技術が何を証明するかを理解する。

用語 説明
認証技術 ユーザーやシステムの身元を確認するための技術。
デジタル署名 デジタルデータの真正性と改ざん防止を保証するための電子的な署名。
署名鍵 デジタル署名を生成するために使用される秘密鍵
検証鍵 デジタル署名を検証するために使用される公開鍵。
XMLデジタル署名 XMLデータの署名を行うための標準仕様。
ブラインド署名 署名者が内容を知らない状態で署名を行う方式。プライバシーを保ちながら認証を行う。
グループ署名 特定のグループのメンバーが署名を行う際、メンバーの身元を隠したまま署名する方式。
トランザクション署名 特定の取引に対するデジタル署名。取引の完全性を保証する。
タイムスタンプ(時刻認証) デジタルデータに対して時刻を記録することで、データの存在を証明する手法。
メッセージダイジェスト メッセージを要約した固定長のデータ。ハッシュ関数を用いて生成される。
メッセージ認証 メッセージが改ざんされていないことを確認するプロセス。
MAC(Message Authentication Code) メッセージ認証符号。メッセージと秘密鍵から生成され、メッセージの整合性を保証する。
HMAC MACの一種で、ハッシュ関数秘密鍵を組み合わせたメッセージ認証符号。
CMAC ブロック暗号を用いたメッセージ認証符号。
フィンガプリント ユーザーの指紋などの生体情報を用いた認証方法。
チャレンジレスポンス認証 認証サーバーが送信するチャレンジに対し、クライアントが適切なレスポンスを返すことで認証する方式。
リスクベース認証 ユーザーの行動や環境に基づき、認証の強度を調整する方式。
コードサイニング ソフトウェアやデジタルコンテンツにデジタル署名を行い、その正当性を保証する手法。
エンティティ認証 ユーザーやデバイスの身元を確認するプロセス。

 

③ 利用者認証
 利用者認証のために利用される技術の種類,仕組み,特徴を理解する。

用語 説明
利用者認証 ユーザーの身元を確認するためのプロセス。
ログイン(利用者 ID とパスワード) ユーザーがサービスにアクセスするための基本的な認証方法。利用者IDとパスワードを使用する。
アクセス管理 システム内のリソースへのアクセス権を管理するプロセス。
ICカード 集積回路を持つカードで、認証や支払いに使用される。
PINコード 個人識別番号。ユーザーが自分を識別するために使用する短い数字。
Kerberos方式 ネットワーク上での認証を安全に行うためのプロトコル。チケットを使用してユーザーの身元を確認。
LDAPサーバでの認証 Lightweight Directory Access Protocolを用いた認証方法。ディレクトリサービスからユーザー情報を取得。
ワンタイムパスワード 一度限り使用できるパスワード。特定の時間やイベントに基づいて生成される。
多要素認証 複数の認証要素(知識、所有、生体情報)を組み合わせてユーザーを認証する方法。
多段階認証 認証を複数のステップに分けることでセキュリティを強化する手法。
パスワードレス認証 パスワードを使用せず、他の手段(生体情報、デバイス認証など)でユーザーを認証する方法。
FIDO UAF Fast Identity Online User Authentication。ユーザーがデバイスを使って認証する標準。
FIDO U2F Fast Identity Online Universal 2nd Factor。二要素認証を提供するための標準。
FIDO2 FIDO U2Fの進化版で、パスワードレス認証を可能にする。
WebAuthn FIDO2の一部で、ウェブアプリケーションでの認証を可能にするAPI
Passkeys ユーザーが認証するためにデバイスが生成するデジタルキー。
EMV 3-D セキュア オンライン取引のセキュリティを強化するためのプロトコル
アイデンティティ連携 複数のサービス間でユーザーのアイデンティティ情報を共有する方法。
OpenID Connect OAuth 2.0を基にしたアイデンティティ連携のプロトコル
SAML Security Assertion Markup Language。異なるドメイン間での認証を行うための標準。
IdP(Identity Provider) ユーザーの認証情報を管理し、他のサービスに提供する組織やシステム。
IDaaS(Identity as a Service) クラウドベースで提供されるアイデンティティ管理サービス。
シングルサインオン 一度の認証で複数のサービスにアクセスできるようにする仕組み。
CAPTCHA 自動プログラムによる攻撃を防ぐためのテスト。ユーザーが人間であることを確認する。
AAA(認証,認可,アカウンティング) 認証(ユーザー確認)、認可(アクセス権限)、アカウンティング(使用履歴記録)のプロセス。
eKYC(electronic Know Your Customer) 電子的手段で顧客確認を行うプロセス。特に金融サービスでの利用が増加。

 

④ 生体認証技術
 利用者確認に利用される技術の一つである生体認証技術の種類,仕組み,特徴を理解する

用語 説明
生体認証技術 ユーザーの身体的または行動的特徴を基にした認証技術。
身体的特徴 ユーザーの身体的特性に基づく認証方法。
静脈パターン認証 手のひらや指の静脈パターンを用いた認証方法。静脈は内部にあるため、偽造が難しい。
虹彩認証 目の虹彩の独特なパターンを用いてユーザーを認証する方法。非常に高い精度を持つ。
顔認証 顔の特徴を分析してユーザーを識別する方法。
網膜認証 目の網膜の血管パターンを利用した認証方法。
行動的特徴 ユーザーの行動パターンに基づく認証方法。
声紋認証 ユーザーの声の特徴(ピッチ、トーン、リズムなど)を基にした認証方法。
署名認証 ユーザーの署名のスタイル(筆圧やスピード)を分析して認証する方法。
本人拒否率(FRR) 本人が正しく認証されなかった場合の割合。
他人受入率(FAR) 他人が誤って認証された場合の割合。

 

⑤ 公開鍵基盤 
PKI(Public Key Infrastructure:公開鍵基盤)の仕組み,特徴,活用場面を理解する。

用語 説明
PKI(Public Key Infrastructure:公開鍵基盤) 公開鍵暗号技術を利用して、通信の安全性を確保するための仕組み。
デジタル証明書(公開鍵証明書) 公開鍵とその所有者の情報を含む電子的な証明書。信頼性のある第三者によって発行される。
ルート証明書 PKIの最上位に位置する証明書で、トラストアンカーとして機能する。
トラストアンカー(信頼の基点) 信頼できる証明書のルート。通常、ルート証明書によって管理される。
中間 CA 証明書 ルート CA から発行された証明書で、ユーザーやサーバーに対して証明書を発行する。
サーバ証明書 サーバーの身元を証明するためのデジタル証明書。
クライアント証明書 クライアントの身元を証明するためのデジタル証明書。
コードサイニング証明書 ソフトウェアやアプリケーションの整合性と発行者の信頼性を証明するための証明書。
CRL(Certificate Revocation List:証明書失効リスト) 失効した証明書の一覧。信頼性のあるCAによって定期的に更新される。
OCSP 証明書の失効状況をリアルタイムで確認するためのプロトコル
CA(Certification Authority:認証局 デジタル証明書を発行し、管理する組織。
VA(Validation Authority) 証明書の有効性を確認するための機関。
GPKI(Government Public Key Infrastructure:政府認証基盤) 政府機関向けのPKI。国のサービスやシステムでの利用が想定される。
BCA(Bridge Certification Authority:ブリッジ認証局 異なるPKI間の相互運用性を確保するための機関。
ITU-T X.509 デジタル証明書や公開鍵の標準規格。
証明書パス検証 証明書の信頼性を確認するために、ルート証明書から対象証明書までのパスを確認するプロセス。
サブジェクト 証明書の所有者(ユーザーやサーバー)の情報。
CP/CPS(Certificate Policy/Certification Practice Statement) 証明書の利用方針や運用手順に関する文書。
CAA(Certificate Authority Authorization) 特定のドメインに対して証明書を発行するCAを指定するためのリクエスト。
証明書自動発行(SCEP,ACME 証明書を自動的に発行・管理するためのプロトコル
CA/Browser Forum ウェブブラウザとCA間の相互運用性を確保するための基準を策定するフォーラム。