セキュリティ用語集 2025

AI脅威、パスワードレス認証、ポスト量子暗号、2025年の最新セキュリティ動向を網羅した包括的なサイバーセキュリティ定義。検証済みの統計と専門家の情報源で更新。

🤖 AI & 機械学習セキュリティ

AIを活用した攻撃

人工知能を利用して説得力のあるフィッシングメール、ディープフェイク、適応型マルウェアを作成し、従来のセキュリティ対策を回避する高度なサイバー攻撃。国家主体やサイバー犯罪者が高度なキャンペーンにAIを活用。

関連ツール: セキュリティのベストプラクティス

Deepfakes

AI生成のリアルな偽画像、動画、音声を使ったなりすまし詐欺やソーシャルエンジニアリング攻撃。これらの技術により犯罪者は信頼された個人や組織を装った偽の通信を作成可能。

関連ツール: セキュリティのベストプラクティス

自律型マルウェア

ターゲット環境に応じてリアルタイムで動作を変更できる自己適応型悪意ソフトウェア。91%のセキュリティ専門家が今後10年でAIを活用した攻撃の急増を予測し、自律型マルウェアは重要な新興脅威。

関連ツール: 侵害対応ガイド

モデルポイズニング

攻撃者がAIの学習データセットに悪意あるデータを注入し、モデルの整合性や動作を損なう攻撃手法。誤分類やシステム障害を引き起こす可能性。

プロンプトインジェクション

攻撃者がAIシステムの入力を操作し、機密情報を抽出したり、大規模言語モデルやチャットボットに意図しない動作を引き起こすセキュリティ脆弱性。

GenAIデータ漏洩

生成AIツールを通じた機密情報の意図しない露出。2024年にAIツールに入力されたデータの27.4%が機密情報とみなされ、重大なプライバシーとセキュリティリスクを生む。

🔐 パスワードレス認証

FIDO認証

ユーザーデバイスに保存された暗号鍵を使ったパスワードレス認証を可能にするFast Identity Online標準。Googleによると、8億以上のアカウントがパスキーをサポートし、従来のパスワードより50%高速なログインを実現。

関連ツール: パスワードジェネレーター | 2FAセットアップ

WebAuthn

公開鍵暗号を用いた強力な認証を可能にするW3Cウェブ標準。バイオメトリクス、セキュリティキー、プラットフォーム認証器をサポートし、安全なパスワードレスログイン体験を提供。

FIDO2

WebAuthnとCTAPプロトコルを統合した最新のFIDO Alliance標準。2025年には95%以上のiOSおよびAndroidデバイスがパスキー対応で、パスワードレスの普及を促進。

パスワードレス認証

バイオメトリクス、デバイス証明書、暗号鍵を用いて従来のパスワードを排除する認証方法。米国企業の50%が何らかのパスワードレス認証を採用し、従来のパスワードベースシステムと比べて約200万ドルのコスト削減を実現。

関連ツール: パスワードマネージャー | ベストプラクティス

バイオメトリックスプーフィング

偽の指紋、写真、合成バイオメトリックデータを使って生体認証システムを騙す技術。生体認証の普及に伴い、これらの攻撃手法の理解が重要になる。

プラットフォーム認証器

Touch ID、Face ID、Windows Helloなどのデバイス内蔵認証機能で、外部セキュリティキーを必要とせずFIDO認証に利用可能。

🅰️ A-D

高度持続的脅威 (APT)

侵入者がネットワークにアクセスし、長期間にわたり検知されずに潜伏する持続的かつ標的型のサイバー攻撃。2025年のデータでは中国関連の活動が150%増加し、最速のeCrime拡散時間はわずか51秒。APTはAI生成のソーシャルエンジニアリングを含む高度な手法を用いて高価値組織を狙う。

関連ツール: 侵害対応ガイド

Authentication

ユーザー、デバイス、システムの身元を検証するプロセス。一般的な方法にはパスワード、生体認証、スマートカード、多要素認証がある。現代の認証はパスキーやFIDO2などのパスワードレスソリューションへ移行中。

関連ツール: 2FAガイド | パスワードジェネレーター

Authorization

認証後に特定のリソースや操作へのアクセスを許可または拒否するプロセス。認証済みユーザーが何をできるかを決定。

Backdoor

通常の認証を回避するシステムへの隠れた侵入口。開発者が意図的に作成する場合や攻撃者が悪意で設置する場合がある。

Biometrics

指紋、顔認識、虹彩スキャン、音声パターンなどの生体的特徴を用いた認証方法。パスワードレス認証のためにパスキー技術と統合が進む。

関連ツール: 2FAガイド

Botnet

サイバー犯罪者が遠隔操作する感染コンピュータ（ボット）のネットワークで、協調攻撃、スパム送信、暗号通貨マイニングに利用。

ブルートフォース攻撃

パスワード、暗号鍵、ログイン資格情報を得るために、可能な組み合わせをすべて試す試行錯誤の手法。

関連ツール: パスワード強度チェッカー

証明機関 (CA)

ウェブサイト、組織、個人の身元をオンライン通信で検証するためのデジタル証明書を発行する信頼された機関。

クレデンシャルスタッフィング

盗まれたアカウント資格情報を使い、大規模な自動ログイン要求で不正アクセスを試みるサイバー攻撃の一種。

Cryptography

情報を暗号化して読み取り不能にし、正しい鍵を持つ者だけが復号できるようにする情報保護の手法。量子コンピューティングの進展によりポスト量子暗号が重要に。

データ侵害

機密、保護、または秘密のデータが不正にアクセス、開示、盗難される事件。

関連ツール: 侵害対応ガイド

DDoS (分散型サービス拒否)

複数のソースから大量のインターネットトラフィックを送り、対象サーバーの正常な通信を妨害する攻撃。

🅴 E-H

Encryption

数学的アルゴリズムと暗号鍵を使い、読み取り可能なデータを読み取り不能に変換して不正アクセスから情報を保護するプロセス。

エンドツーエンド暗号化 (E2EE)

通信当事者のみがメッセージを読める通信システム。メッセージは送信者のデバイスで暗号化され、受信者のデバイスでのみ復号される。

Exploit

システムの脆弱性を利用して意図しない動作を引き起こしたり、不正アクセスを可能にするソフトウェア、コード、コマンドの一連。

Firewall

事前定義されたセキュリティルールに基づき、ネットワークの入出力トラフィックを監視・制御し、不正アクセスを防止するネットワークセキュリティ機器。

ハッシュ関数

入力データを固定長の文字列に変換する数学的アルゴリズム。パスワード保存、データ整合性検証、デジタル署名に使用。

Honeypot

攻撃者を誘引し検出するための偽のシステムやネットワークを作成し、攻撃手法やツールの情報を収集するセキュリティ機構。

🅸 I-L

アイデンティティ盗難

他人の個人情報を詐取し、通常は金銭的利益や犯罪行為に利用する詐欺行為。

インシデント対応

セキュリティ侵害やサイバー攻撃の後処理を体系的に行い、被害の最小化と復旧時間の短縮を目指す手法。

侵入検知システム (IDS)

ネットワークやシステムの活動を監視し、悪意のある行為やポリシー違反を検出して管理者に警告するセキュリティツール。

Keylogger

キーロガーはコンピュータ上のキー入力を記録するソフトウェアまたはハードウェアで、パスワードやクレジットカード番号などの機密情報を盗むために悪用されることが多い。

ロジックボム

特定の条件やイベント（特定の日付、ユーザー操作、システム状態など）で発動する悪意のあるコード。

🅼 M-P

Malware

コンピュータシステムに損害を与えたり、不正アクセスを行う悪意のあるソフトウェア。ウイルス、ワーム、トロイの木馬、ランサムウェア、スパイウェアを含む。

中間者攻撃 (MITM)

通信当事者が直接通信していると思っている間に、攻撃者が秘密裏に通信を傍受・改ざんする攻撃。

多要素認証 (MFA)

アカウントやシステムへのアクセスに2つ以上の検証要素を要求するセキュリティ手法。米国の74%の回答者が職場アカウントで2FAを使用しているが、組織はより安全でユーザー体験に優れたパスキーなどのパスワードレス代替へ移行中。

関連ツール: 完全な2FAガイド | セキュリティのベストプラクティス

ネットワークセグメンテーション

ネットワークを小さなサブネットに分割し、セキュリティ、パフォーマンス、管理性を向上させ、セグメント間のアクセスを制限する手法。

Patch

既存のソフトウェアやOSのバグ修正、脆弱性対応、機能改善を目的としたソフトウェア更新。

ペネトレーションテスト

セキュリティ専門家が実施する模擬サイバー攻撃で、システムのセキュリティ評価と脆弱性の特定を行う。

Phishing

電子通信（通常はメール）で信頼できる存在を装い、機密情報を不正に取得しようとする詐欺的な試み。

Public Key Infrastructure (PKI)

デジタルキーと証明書を管理し、デジタル環境での安全な通信と認証を可能にするフレームワーク。

🅰️ Q-T

Quarantine

悪意のあるファイル、メール、ネットワークトラフィックを隔離し、分析中の被害を防ぐ手法。

Ransomware

被害者のファイルを暗号化し、復号キーの支払いを要求する悪意のあるソフトウェア。

サービスとしてのランサムウェア (RaaS)

サイバー犯罪グループがアフィリエイトに使いやすいツールキットを提供し、利益の一部を得るランサムウェアの進化形。このモデルにより参入障壁が下がり攻撃が急増。2025年のランサムウェア復旧コストは平均273万ドルで、オフラインバックアップとネットワークセグメンテーションが重要な防御策。

関連ツール: 侵害対応ガイド | セキュリティのベストプラクティス

リスク評価

セキュリティリスクを特定、分析、評価し、その影響と発生可能性を判断するプロセス。

Rootkit

オペレーティングシステムやセキュリティソフトウェアから隠れて持続的にアクセスを維持する悪意のあるソフトウェア。

Salt

レインボーテーブル攻撃を防ぎ、同じパスワードでも異なるハッシュを生成するために、ハッシュ化前にパスワードに追加されるランダムデータ。

ソーシャルエンジニアリング

人を心理的に操作して機密情報を引き出したり、セキュリティを脅かす行動を取らせる手法。

スピアフィッシング

特定の個人や組織を狙った標的型フィッシング攻撃で、個人情報を使い信頼性を高める。

SQLインジェクション

ウェブアプリケーションの脆弱性を突き、データベース情報を操作または取得するコードインジェクション技術。

脅威インテリジェンス

既存または新興の脅威に関する証拠に基づく知識で、組織のセキュリティ判断を支援。

トロイの木馬

正当なソフトウェアに見えるが、実行時に有害な活動を行い、攻撃者に不正アクセスを提供する悪意のあるソフトウェア。

🅿️ U-Z

ユーザーアクセス制御 (UAC)

OSの不正な変更を防ぐため、許可や管理者資格情報を求めるセキュリティ機能。

仮想プライベートネットワーク (VPN)

デバイスとネットワーク間の安全な接続で、データを暗号化しユーザーのIPアドレスを隠す。

Vulnerability

攻撃者が不正アクセスや損害を与えるために悪用可能なシステム、アプリケーション、ネットワークの弱点。

Whaling

経営幹部や政府関係者などの高位個人を狙った標的型フィッシング攻撃。

Zero-Day

ベンダーに知られておらず、修正パッチも存在しないソフトウェアの脆弱性で、防御手段がないため特に危険。

ゼロトラスト

ユーザーやデバイスがネットワークリソースにアクセスする際に、場所に関係なくすべてのアクセスを検証するセキュリティモデル。

⛓️ サプライチェーンセキュリティ

ソフトウェア部品表 (SBOM)

アプリケーションで使用されるソフトウェアコンポーネントと依存関係の詳細な一覧。米国政府はサプライヤーにSBOMを義務付け、ソフトウェアサプライチェーンの透明性と責任を向上。

サプライチェーンポイズニング

開発や配布中に正当なソフトウェアに悪意あるコードを注入。ReversingLabsは2020年から2023年にかけてオープンソースパッケージリポジトリ経由の脅威が1300%増加と検出。

サードパーティリスク

ベンダー、サプライヤー、ビジネスパートナーを通じて導入されるセキュリティ脆弱性。これらのリスクはデータ侵害の主要原因となり、包括的なベンダーリスク管理プログラムが必要。

関連ツール: 侵害対応 | セキュリティガイドライン

依存関係の混乱

内部依存関係に似た名前の悪意あるパッケージを公開リポジトリにアップロードし、自動システムを騙して侵害コードをダウンロードさせる攻撃。

コード署名

ソフトウェアの真正性と整合性を保証するデジタル署名プロセスで、サプライチェーンの改ざん防止とソフトウェア配布の信頼確立に重要。

🛡️ ゼロトラストとモダンアーキテクチャ

ゼロトラストアーキテクチャ

ユーザーやデバイスがネットワークリソースにアクセスする際に場所に関係なく検証を要求するセキュリティモデル。サイバー脅威の高度化とリモートワークやIoTデバイスの普及に伴い重要性が増す。

アイデンティティファブリック

製品に依存しない統合されたアイデンティティツールとサービスのセットで、Identity-Firstセキュリティ戦略の重要な構成要素。適切に実装されるとマルチクラウド環境の管理負担を軽減。

SASE (Secure Access Service Edge)

ネットワークセキュリティ機能とWAN機能をエッジで統合し、ユーザーの場所に関係なく安全なアクセスを提供するクラウドネイティブセキュリティアーキテクチャ。

XDR (Extended Detection and Response)

複数のセキュリティ層にわたる包括的な脅威検出と対応を提供し、可視性を向上させ応答時間を短縮する統合セキュリティプラットフォーム。

Microsegmentation

データセンターやクラウド環境で安全なゾーンを作り、ワークロードを分離し侵害時の横移動を制限するネットワークセキュリティ技術。

📱 IoT & 5Gセキュリティ

モノのインターネットデバイスの保護対策。2025年にはIoT市場が770億ドルに達する見込みで、多くのデバイスが十分なセキュリティ機能を欠く。重要な考慮点はデバイス認証、暗号化、定期的なセキュリティ更新。

5Gネットワークのセキュリティリスクで、産業制御システムやリアルタイムアプリケーションに影響。攻撃面の増加、ネットワークスライシングの脆弱性、エッジコンピューティングのセキュリティ課題を含む。

5Gのセキュリティリスク

産業用制御システムやリアルタイムアプリケーションに影響を与える5Gネットワークのセキュリティ脆弱性。これには、攻撃対象領域の拡大、ネットワークスライシングの脆弱性、エッジコンピューティングのセキュリティ課題が含まれます。

デバイスアイデンティティ管理

IoTデバイスを一意に識別、認証、管理するシステムで、大規模IoT展開のセキュリティ維持に不可欠。

エッジコンピューティングセキュリティ

ネットワークのエッジ、IoTデバイスやユーザーに近い場所にある計算資源のセキュリティ考慮。エッジノード、データ処理、通信の保護を含む。

🔍 インシデント対応とフォレンジクス

サイバー脅威インテリジェンス

情報に基づくセキュリティ判断に用いられる脅威に関する証拠ベースの知識。新たな敵対的手法の特定や新興脅威への先手を打つために重要。

関連ツール: 侵害対応ガイド

デジタルフォレンジクス

デジタルデバイスやデータを調査し、サイバーインシデントを再構築し法的証拠を収集する科学的プロセス。攻撃手法の理解と法的手続きの支援に不可欠。

セキュリティオーケストレーション

セキュリティツールとプロセスの自動調整。SOCの自動化は増加するアラートの管理とセキュリティインシデントへの対応時間短縮に寄与。

脅威ハンティング

既存のセキュリティソリューションを回避する高度な脅威を検出するためにネットワークやデータセットを積極的に探索するセキュリティ実践。

🔢 数字と記号

2FA (二要素認証)

ユーザーが本人確認のために異なる2つの認証要素を提供するセキュリティプロセス。

関連ツール: 2FAセットアップガイド

3DES (Triple Data Encryption Standard)

DES暗号アルゴリズムを3回適用する対称鍵暗号アルゴリズム。

404エラー

要求されたウェブページがサーバー上に見つからないことを示すHTTPステータスコード。

51秒

2025年に記録された最速のeCrime拡散時間で、攻撃者が侵害ネットワーク内を迅速に横移動できることを示す。

📝 一般的なセキュリティ略語

📚 関連セキュリティガイド