はじめに:なぜ"用語"で混乱するのか
セキュリティの話になると、急に不安になる。そんな経験はありませんか?
「サーバーがスキャンされています」 「脆弱性が見つかりました」 「不正アクセスの形跡があります」
こう言われると、なんだか大変なことが起きている気がします。でも実際には、言葉の強さと、実際の危険度が一致していないことが多いのです。
言葉が強すぎる問題
セキュリティ用語には、必要以上に怖く聞こえる言葉が多いです。
| 言葉 | 聞こえ方 | 実際の意味 |
|---|---|---|
| スキャニング | 攻撃されている! | ドアをノックされている |
| 不正アクセス | 侵入された! | 許可なくアクセスしようとした |
| 脆弱性 | 危険な欠陥! | 弱点がある可能性 |
「攻撃」と「現象」の違い
セキュリティの世界では、実際に被害が出ていることと、単に起きている現象を区別することが重要です。
- 現象:スキャンが来ている、ログイン試行がある
- 攻撃:侵入された、データが盗まれた、サービスが止まった
現象が起きているだけで「攻撃された」と騒ぐのは、玄関のチャイムが鳴っただけで「泥棒だ!」と叫ぶようなものです。
知らないことが不安を生む構造
不安の正体は、知らないことです。
- 用語の意味が分からない → 何が起きているか分からない
- 何が起きているか分からない → 何をすべきか分からない
- 何をすべきか分からない → 不安になる
この記事では、セキュリティ用語を「会話で正しく使える」レベルで整理します。完璧に理解する必要はありません。何が問題で、何が問題でないかを区別できるようになれば十分です。
第1章:ネットワーク・入口系の用語
サーバーへの入り口に関する用語です。「誰が、どこから、どうやって入ってくるか」を理解するための言葉たち。
スキャニング(Scanning)
一言説明 家の周りをウロウロして、どの窓が開いているか確認すること。
もう少し正確な説明 サーバーのどのポートが開いているか、どんなサービスが動いているかを調べる行為。インターネット上では24時間365日、自動で行われている。
よくある誤解
- ❌「スキャンされた=攻撃された」
- ⭕「スキャンされた=調べられた」
管理者として気にするポイント
- スキャン自体は防げない(グローバルIPがある限り必ず来る)
- 気にすべきは「不要なポートが開いていないか」
ポート(Port)
一言説明 サーバーという建物の「入り口番号」。
もう少し正確な説明 通信の種類ごとに決められた番号。全部で65,535個ある。
| ポート | 用途 |
|---|---|
| 22 | SSH(リモート接続) |
| 80 | HTTP(Webサイト) |
| 443 | HTTPS(暗号化Web) |
| 3306 | MySQL |
よくある誤解
- ❌「ポートが開いている=危険」
- ⭕「不要なポートが開いている=危険」
管理者として気にするポイント
- 使っていないポートは閉じる
- データベースのポート(3306、5432、6379など)は外部に公開しない
プロトコル(Protocol)
一言説明 通信の「お作法」や「ルール」。
もう少し正確な説明 コンピュータ同士がやり取りするときの約束事。HTTP、HTTPS、SSH、FTPなど。
よくある誤解
- ❌「プロトコル=難しいもの」
- ⭕「プロトコル=通信の種類」
管理者として気にするポイント
- HTTPよりHTTPSを使う(暗号化されている)
- FTPよりSFTP/SCPを使う(パスワードが平文で流れない)
ファイアウォール(Firewall / FW)
一言説明 サーバーの玄関に立つ「警備員」。
もう少し正確な説明 許可された通信だけを通し、それ以外をブロックする仕組み。ポート番号やIPアドレスで判断する。
よくある誤解
- ❌「ファイアウォールがあれば安全」
- ⭕「ファイアウォールは入り口の警備だけ。中で起きることは防げない」
管理者として気にするポイント
- 許可するポートを必要最小限にする
- 開けたポートへの攻撃は防げないことを理解する
WAF(Web Application Firewall)
一言説明 Webアプリの「ボディーガード」。
もう少し正確な説明 通常のファイアウォールはポート番号で判断するが、WAFはHTTPリクエストの中身を見て判断する。SQLインジェクションやXSSなどの攻撃パターンを検知してブロックする。
よくある誤解
- ❌「WAFを入れれば全ての攻撃を防げる」
- ⭕「WAFは既知のパターンしか防げない。アプリ自体の修正も必要」
管理者として気にするポイント
- WAFは「追加の防御層」であって「代替」ではない
- 誤検知(正常なリクエストをブロック)に注意
VPN(Virtual Private Network)
一言説明 インターネット上に作る「専用トンネル」。
もう少し正確な説明 暗号化された仮想的な通信経路。外部から社内ネットワークに安全にアクセスしたり、通信を暗号化したりするために使う。
よくある誤解
- ❌「VPNを使えば匿名になれる」
- ⭕「VPNは通信を暗号化するだけ。接続先には自分のIPが見える」
管理者として気にするポイント
- 管理画面へのアクセスはVPN経由に限定することを検討
- VPN接続のログも取っておく
IP制限(IP Restriction)
一言説明 「この住所の人だけ入れます」という制限。
もう少し正確な説明 特定のIPアドレスからのアクセスだけを許可する設定。管理画面やSSHへのアクセス制限によく使われる。
よくある誤解
- ❌「IP制限があれば認証は不要」
- ⭕「IP制限と認証は両方必要(多層防御)」
管理者として気にするポイント
- 固定IPがない場合は、VPN経由でのアクセスを検討
- クラウドの場合はセキュリティグループで設定
第2章:攻撃・脅威系の用語(怖く見えるやつ)
ニュースでよく見る「怖い言葉」たち。正しく理解すれば、必要以上に怖がらなくて済みます。
不正アクセス
一言説明 許可なく他人のコンピュータに入ろうとすること。
もう少し正確な説明 日本では「不正アクセス禁止法」で定義されている。許可なくIDとパスワードを使ってログインしたり、セキュリティホールを突いて侵入する行為。
よくある誤解
- ❌「不正アクセスがあった=侵入された」
- ⭕「不正アクセスの試行=侵入を試みた。成功したかは別問題」
管理者として気にするポイント
- ログで「試行」と「成功」を区別する
- 試行だけなら日常茶飯事(毎日来る)
ブルートフォース(Brute Force)
一言説明 パスワードを片っ端から試す「力ずく」の方法。
もう少し正確な説明 「123456」「password」「admin」など、よくあるパスワードを順番に試してログインを試みる攻撃。辞書攻撃(よくある単語を試す)もこの仲間。
よくある誤解
- ❌「ブルートフォースは高度な攻撃」
- ⭕「ブルートフォースは最も単純な攻撃。だからこそ自動化されている」
管理者として気にするポイント
- 弱いパスワードを使わない
- SSH鍵認証を使う(パスワード認証を無効化)
- ログイン試行回数を制限する(fail2banなど)
DoS / DDoS
一言説明
- DoS:1人で店に押しかけて営業妨害
- DDoS:大勢で店に押しかけて営業妨害
もう少し正確な説明
- DoS(Denial of Service):大量のリクエストを送ってサービスを利用不能にする攻撃
- DDoS(Distributed DoS):複数のコンピュータから同時に行うDoS攻撃
よくある誤解
- ❌「DDoS攻撃を受けたらデータが盗まれる」
- ⭕「DDoSはサービス妨害。データ漏洩とは別の問題」
管理者として気にするポイント
- 個人で完全に防ぐのは難しい
- CDN(CloudFlareなど)の導入を検討
- クラウドならDDoS対策サービスを確認
脆弱性(Vulnerability)
一言説明 ソフトウェアの「弱点」や「穴」。
もう少し正確な説明 セキュリティ上の欠陥。攻撃者に悪用されると、不正アクセスやデータ漏洩につながる可能性がある。
よくある誤解
- ❌「脆弱性がある=すでに危険」
- ⭕「脆弱性がある=悪用される可能性がある」
管理者として気にするポイント
- ソフトウェアを最新に保つ
- セキュリティアップデートは優先的に適用
- 使わないソフトウェアはアンインストール
ゼロデイ(Zero-day)
一言説明 「まだ誰も知らない」脆弱性。
もう少し正確な説明 開発者も知らない、修正パッチが存在しない脆弱性。発見されてから対策されるまでの期間が「0日」であることから命名。
よくある誤解
- ❌「ゼロデイ攻撃は防げない」
- ⭕「ゼロデイ攻撃は防ぎにくいが、多層防御で被害を軽減できる」
管理者として気にするポイント
- 一般的なWebサービスがゼロデイ攻撃を受ける可能性は低い
- 基本的な対策(アップデート、最小権限)を怠らないことが重要
マルウェア(Malware)
一言説明 「悪意のあるソフトウェア」の総称。
もう少し正確な説明 ウイルス、ワーム、トロイの木馬、スパイウェアなど、悪意を持って作られたソフトウェア全般。
| 種類 | 特徴 |
|---|---|
| ウイルス | 他のファイルに寄生して拡散 |
| ワーム | 自己複製して拡散 |
| トロイの木馬 | 正常なソフトに見せかけて潜伏 |
| スパイウェア | 情報を密かに収集 |
よくある誤解
- ❌「サーバーはマルウェアに感染しない」
- ⭕「サーバーも感染する。特にWordPressなどのCMSは狙われやすい」
管理者として気にするポイント
- 不審なファイルをアップロードしない
- CMSやプラグインを最新に保つ
- 定期的にファイルの改ざんをチェック
ランサムウェア(Ransomware)
一言説明 ファイルを暗号化して「身代金」を要求するマルウェア。
もう少し正確な説明 感染するとファイルが暗号化され、復号のために金銭(多くは暗号通貨)を要求される。支払っても復号される保証はない。
よくある誤解
- ❌「身代金を払えばデータは戻る」
- ⭕「払っても戻らないことが多い。払うと再度狙われる可能性も」
管理者として気にするポイント
- 定期的なバックアップが最大の対策
- バックアップは本番環境から分離して保管
- RDP(リモートデスクトップ)を外部に公開しない
第3章:ログ・監視・証拠系の用語
「何が起きたか」を知るための用語です。セキュリティは「防ぐ」だけでなく「気づく」ことも重要。
ログ(Log)
一言説明 システムの「日記」や「記録」。
もう少し正確な説明 いつ、誰が、何をしたかの記録。トラブルシューティングやセキュリティ調査に不可欠。
よくある誤解
- ❌「ログを取っていれば安全」
- ⭕「ログは『記録』するだけ。見なければ意味がない」
管理者として気にするポイント
- ログを取っているか確認する
- 定期的にログを確認する習慣をつける
- ログが肥大化してディスクを圧迫しないよう管理する
アクセスログ
一言説明 「誰がいつアクセスしたか」の記録。
もう少し正確な説明 WebサーバーへのHTTPリクエストの記録。IPアドレス、アクセス時刻、リクエストURL、ステータスコードなどが含まれる。
よくある誤解
- ❌「アクセスログに不審なIPがある=侵入された」
- ⭕「アクセスログは全てのアクセスを記録。不審なアクセスがあるのは普通」
管理者として気にするポイント
- 大量の404エラー → スキャンの可能性
- 同じIPからの大量アクセス → ボットまたは攻撃の可能性
- 存在しないはずのファイルへのアクセス → 要調査
監査ログ(Audit Log)
一言説明 「誰が何を変更したか」の記録。
もう少し正確な説明 設定変更、権限変更、データ操作など、重要な操作の記録。コンプライアンスや内部統制で求められることが多い。
よくある誤解
- ❌「監査ログはセキュリティ専門家だけが見るもの」
- ⭕「開発者も見るべき。自分の操作が記録されていることを意識する」
管理者として気にするポイント
- 重要な操作は必ずログに残す
- 監査ログは改ざんされないよう保護する
- 一定期間の保管が法的に求められることがある
ログローテーション
一言説明 ログファイルを定期的に「切り替える」仕組み。
もう少し正確な説明 ログファイルが肥大化しないよう、日次や週次で新しいファイルに切り替え、古いファイルは圧縮・削除する仕組み。
よくある誤解
- ❌「ログローテーションはセキュリティと関係ない」
- ⭕「ログでディスクが溢れるとサービスが止まる。運用とセキュリティは地続き」
管理者として気にするポイント
- logrotateが設定されているか確認
- 保持期間が適切か確認(短すぎると調査できない、長すぎるとディスク圧迫)
アラート(Alert)
一言説明 「何か起きたよ」という通知。
もう少し正確な説明 特定の条件(エラー率上昇、ディスク使用率超過など)を満たしたときに、メールやSlackなどで通知する仕組み。
よくある誤解
- ❌「アラートが来たら必ず対応が必要」
- ⭕「アラートの重要度を設計することが大切。全部同じ扱いだと疲弊する」
管理者として気にするポイント
- 重要なアラートと参考程度のアラートを区別する
- 「オオカミ少年」にならないよう、閾値を適切に設定
インシデント(Incident)
一言説明 セキュリティ上の「事件」や「問題」。
もう少し正確な説明 情報漏洩、不正アクセス、サービス停止など、セキュリティや可用性に影響を与える出来事。
よくある誤解
- ❌「インシデント=大事故」
- ⭕「インシデントには軽微なものから重大なものまである」
管理者として気にするポイント
- インシデント発生時の連絡フローを決めておく
- 「誰に報告するか」「何を記録するか」を事前に整理
フォレンジック(Forensics)
一言説明 セキュリティ事故の「証拠調査」。
もう少し正確な説明 インシデント発生後に、何が起きたか、どこから侵入されたか、何が盗まれたかを調査する技術。法的証拠として使える形で保全することが重要。
よくある誤解
- ❌「フォレンジックは専門業者に任せればいい」
- ⭕「最初の対応を間違えると証拠が消える。初動対応の知識は必要」
管理者として気にするポイント
- インシデント発生時、慌てて再起動やファイル削除をしない
- 専門家に依頼する前に、現状を保全する
- 普段からログを適切に取っておくことが調査の前提
第4章:認証・権限まわりの用語
「誰であるか確認する」「何ができるか制限する」ための用語です。
認証(Authentication)
一言説明 「あなたは誰ですか?」を確認すること。
もう少し正確な説明 ユーザーが本人であることを確認するプロセス。パスワード、指紋、顔認証など。
よくある誤解
- ❌「認証=パスワード入力」
- ⭕「パスワードは認証の一手段。他にも方法がある」
認可(Authorization)
一言説明 「あなたは何ができますか?」を確認すること。
もう少し正確な説明 認証されたユーザーに対して、どの操作を許可するかを決めるプロセス。
認証と認可の違い
| 認証(Authentication) | 認可(Authorization) |
|---|---|
| 誰であるか | 何ができるか |
| ログイン | 権限チェック |
| 本人確認 | アクセス制御 |
管理者として気にするポイント
- 認証が通っても、認可で制限をかける
- 「ログインできる=全部できる」にしない
IAM(Identity and Access Management)
一言説明 「誰が何にアクセスできるか」を管理する仕組み。
もう少し正確な説明 ユーザーやシステムのアイデンティティを管理し、リソースへのアクセス権限を制御するサービス。AWSやGCPなどのクラウドで重要。
よくある誤解
- ❌「IAMは難しいから後回し」
- ⭕「IAMの設定ミスが最大のセキュリティリスク」
管理者として気にするポイント
- rootアカウントは日常的に使わない
- 用途ごとにIAMユーザー/ロールを分ける
- 定期的に使っていない権限を見直す
権限昇格(Privilege Escalation)
一言説明 本来持っていない権限を手に入れること。
もう少し正確な説明 一般ユーザーが管理者権限を取得するなど、与えられた権限を超えてアクセスすること。脆弱性を悪用して行われることが多い。
よくある誤解
- ❌「権限昇格は高度な攻撃でしか起きない」
- ⭕「設定ミスで意図せず権限昇格できる状態になっていることもある」
管理者として気にするポイント
- sudoの設定を見直す
- アプリケーションは必要最小限の権限で動かす
- コンテナはrootで実行しない
最小権限の原則(Principle of Least Privilege)
一言説明 「必要な権限だけ与える」という考え方。
もう少し正確な説明 ユーザーやプログラムには、業務に必要な最小限の権限だけを与える。不要な権限は与えない。
よくある誤解
- ❌「便利だから全員に管理者権限を」
- ⭕「何かあったとき被害が拡大するので、権限は最小限に」
管理者として気にするポイント
- 「とりあえずAdmin」をやめる
- 定期的に権限を棚卸しする
- 退職者のアカウントはすぐ削除
多要素認証(MFA / Multi-Factor Authentication)
一言説明 「2つ以上の方法で本人確認」すること。
もう少し正確な説明 パスワード(知識)+ スマホアプリ(所持)のように、異なる種類の認証を組み合わせる。1つが漏れても、もう1つで防げる。
| 要素 | 例 |
|---|---|
| 知識 | パスワード、PIN |
| 所持 | スマホ、セキュリティキー |
| 生体 | 指紋、顔認証 |
よくある誤解
- ❌「MFAは面倒なだけ」
- ⭕「MFAはパスワード漏洩時の最後の砦」
管理者として気にするポイント
- 管理画面やクラウドコンソールには必ずMFAを設定
- 個人のGitHubやAWSにもMFAを設定
第5章:「実はそこまで怖くない言葉」整理
ログやニュースで見かけて不安になる言葉。でも実際は「よくあること」だったりします。
「スキャンされています」
危険な場合
- 開いているポートに脆弱なサービスが動いている
- スキャン後に不正ログイン成功のログがある
よくあるだけの場合
- 単にポートを調べられただけ
- 毎日来るもの(インターネットに公開していれば普通)
結論:スキャン自体は日常。問題は「開けっ放しのドア」があるかどうか。
「大量のアクセスがあります」
危険な場合
- サービスが遅くなっている(DoS攻撃の可能性)
- 認証成功のログが混じっている
よくあるだけの場合
- ボットによるクローリング
- 自社の監視ツールからのアクセス
- 検索エンジンのクローラー
結論:アクセス元とアクセス先を確認。正体が分かれば怖くない。
「海外IPからの通信があります」
危険な場合
- 日本国内向けサービスなのに海外からログイン成功
- 深夜に海外IPから管理画面にアクセス
よくあるだけの場合
- CDNのエッジサーバー
- 海外のユーザー(グローバルサービスの場合)
- クラウドサービスのリージョン
結論:「海外=危険」ではない。アクセス先と時間帯で判断。
「認証失敗のログがあります」
危険な場合
- 失敗の後に成功がある(パスワードを当てられた可能性)
- 短時間に数千回の試行
よくあるだけの場合
- ユーザーがパスワードを忘れた
- ボットによる無差別な試行(毎日ある)
結論:失敗だけなら防いでいる証拠。成功したかどうかを確認。
「脆弱性が発見されました」
危険な場合
- 使っているソフトウェアの脆弱性で、攻撃コードが公開されている
- 外部から悪用可能な脆弱性
そこまで急がなくていい場合
- 使っていないソフトウェアの脆弱性
- ローカルからしか悪用できない脆弱性
- 緊急度が低い(CVSSスコアが低い)
結論:「脆弱性」という言葉で焦らない。影響範囲と緊急度を確認。
第6章:会話で困らない!省略用語・横文字クイックリファレンス
エンジニア同士の会話やSlackで飛び交う略語。「それ何の略?」と聞けないまま流してしまった経験はありませんか?
ここでは、よく使われる省略用語をまとめます。
脆弱性・攻撃関連
| 略語 | 正式名称 | 意味 |
|---|---|---|
| CVE | Common Vulnerabilities and Exposures | 脆弱性に付けられる世界共通のID。「CVE-2024-1234」のような形式 |
| CVSS | Common Vulnerability Scoring System | 脆弱性の深刻度を0〜10で表すスコア。7以上は「高」、9以上は「緊急」 |
| RCE | Remote Code Execution | リモートから任意のコードを実行できる脆弱性。最も危険なタイプ |
| SQLi | SQL Injection | SQLインジェクション。DBに不正なSQLを実行させる攻撃 |
| XSS | Cross-Site Scripting | 悪意あるスクリプトをWebページに埋め込む攻撃 |
| CSRF | Cross-Site Request Forgery | ユーザーの意図しないリクエストを送信させる攻撃 |
| SSRF | Server-Side Request Forgery | サーバーに意図しないリクエストを送信させる攻撃 |
| LFI | Local File Inclusion | サーバー内のファイルを不正に読み込む攻撃 |
| RFI | Remote File Inclusion | 外部のファイルを不正に読み込ませる攻撃 |
| PoC | Proof of Concept | 脆弱性が実際に悪用可能であることを示す実証コード |
会話例
「このCVE、CVSSスコアいくつ?」 「9.8でRCE可能らしい。PoC出てるから早めにパッチ当てたほうがいい」
暗号・通信関連
| 略語 | 正式名称 | 意味 |
|---|---|---|
| TLS | Transport Layer Security | 通信を暗号化するプロトコル。HTTPSの「S」の部分 |
| SSL | Secure Sockets Layer | TLSの古い名前。今はTLSを使うがSSLと呼ぶことも多い |
| HTTPS | HTTP over TLS/SSL | HTTPを暗号化したもの |
| SSH | Secure Shell | 暗号化されたリモート接続。サーバー管理で必須 |
| PKI | Public Key Infrastructure | 公開鍵暗号を使った認証基盤 |
| CA | Certificate Authority | 証明書を発行する認証局。Let’s EncryptやDigiCertなど |
| CSR | Certificate Signing Request | 証明書発行のための申請データ |
| HSTS | HTTP Strict Transport Security | HTTPSを強制するブラウザ向けの仕組み |
| CORS | Cross-Origin Resource Sharing | 異なるオリジン間でのリソース共有を制御する仕組み |
会話例
「本番のSSL証明書、来週切れるよ」 「Let’s Encryptだから自動更新のはず。certbotのログ確認して」
認証・認可関連
| 略語 | 正式名称 | 意味 |
|---|---|---|
| IAM | Identity and Access Management | ユーザーと権限を管理する仕組み。AWSで頻出 |
| MFA | Multi-Factor Authentication | 多要素認証。パスワード+スマホアプリなど |
| 2FA | Two-Factor Authentication | 二要素認証。MFAの一種 |
| SSO | Single Sign-On | 一度のログインで複数サービスにアクセスできる仕組み |
| SAML | Security Assertion Markup Language | SSOで使われる認証情報の交換形式 |
| OAuth | Open Authorization | 認可のためのプロトコル。「Googleでログイン」などで使用 |
| OIDC | OpenID Connect | OAuth 2.0ベースの認証プロトコル |
| JWT | JSON Web Token | 認証情報をJSONで表現したトークン。「ジョット」と読む |
| RBAC | Role-Based Access Control | 役割(ロール)ベースのアクセス制御 |
| ABAC | Attribute-Based Access Control | 属性ベースのアクセス制御 |
会話例
「新しいサービス、SSO対応してる?」 「SAMLとOIDC両方対応。JWTで認証情報やり取りしてる」
ネットワーク・インフラ関連
| 略語 | 正式名称 | 意味 |
|---|---|---|
| FW | Firewall | ファイアウォール。通信を制御する仕組み |
| WAF | Web Application Firewall | Webアプリ専用のファイアウォール |
| IDS | Intrusion Detection System | 侵入検知システム。不正アクセスを検知する |
| IPS | Intrusion Prevention System | 侵入防止システム。検知+ブロックする |
| VPN | Virtual Private Network | 仮想的な専用回線。暗号化されたトンネル |
| DMZ | Demilitarized Zone | 非武装地帯。外部と内部の間に置くネットワーク領域 |
| CDN | Content Delivery Network | コンテンツを分散配信する仕組み。CloudFlareなど |
| NAT | Network Address Translation | プライベートIPとグローバルIPを変換する仕組み |
| DNS | Domain Name System | ドメイン名とIPアドレスを紐づける仕組み |
| ACL | Access Control List | アクセス制御リスト。許可/拒否のルール一覧 |
会話例
「このサーバー、WAF入れてる?」 「CloudFlare経由だからCDNのWAF使ってる。IDS/IPSは別途検討中」
監視・運用関連
| 略語 | 正式名称 | 意味 |
|---|---|---|
| SIEM | Security Information and Event Management | セキュリティログを集約・分析するシステム |
| SOC | Security Operations Center | セキュリティ監視を行うチームまたは組織 |
| NOC | Network Operations Center | ネットワーク監視を行うチームまたは組織 |
| CSIRT | Computer Security Incident Response Team | セキュリティインシデント対応チーム |
| EDR | Endpoint Detection and Response | 端末(PC等)の脅威検知・対応システム |
| XDR | Extended Detection and Response | EDRを拡張し、複数のソースを統合したもの |
| SOAR | Security Orchestration, Automation and Response | セキュリティ運用の自動化ツール |
| IOC | Indicator of Compromise | 侵害の痕跡。不正アクセスの証拠となる情報 |
| TTPs | Tactics, Techniques, and Procedures | 攻撃者の戦術・技術・手順 |
会話例
「うちにSOCある?」 「外部のマネージドSOC使ってる。SIEMはSplunk」
規格・フレームワーク関連
| 略語 | 正式名称 | 意味 |
|---|---|---|
| OWASP | Open Web Application Security Project | Webセキュリティのオープンコミュニティ。Top 10が有名 |
| CIS | Center for Internet Security | セキュリティベンチマークを提供する組織 |
| NIST | National Institute of Standards and Technology | 米国の標準技術研究所。セキュリティフレームワークが有名 |
| ISO 27001 | - | 情報セキュリティマネジメントの国際規格 |
| PCI DSS | Payment Card Industry Data Security Standard | クレジットカード業界のセキュリティ基準 |
| GDPR | General Data Protection Regulation | EU の個人情報保護規則 |
| SOC 2 | Service Organization Control 2 | サービス事業者向けのセキュリティ監査基準 |
会話例
「うちのサービス、PCI DSS対応必要?」 「クレカ決済は外部サービス使ってるから、直接は不要。ただOWASP Top 10は押さえておいて」
その他よく使う略語
| 略語 | 正式名称 | 意味 |
|---|---|---|
| APT | Advanced Persistent Threat | 高度で持続的な脅威。国家レベルの攻撃者 |
| C2 / C&C | Command and Control | マルウェアを遠隔操作するためのサーバー |
| RAT | Remote Access Trojan | 遠隔操作型のトロイの木馬 |
| PII | Personally Identifiable Information | 個人を特定できる情報 |
| PHI | Protected Health Information | 保護対象の医療情報 |
| DLP | Data Loss Prevention | データ漏洩を防ぐ仕組み |
| BYOD | Bring Your Own Device | 私物デバイスを業務に使うこと |
| Zero Trust | - | 「何も信頼しない」セキュリティモデル |
| Pentest | Penetration Test | 侵入テスト。疑似的な攻撃で脆弱性を調査 |
| Red Team | - | 攻撃者役として組織のセキュリティを検証するチーム |
| Blue Team | - | 防御側としてセキュリティを運用するチーム |
会話例
「次のPentest いつ?」 「来月。外部のRed Teamに依頼してる」
略語クイズ:これ何の略?
最後に、よく混乱する略語をクイズ形式で整理します。
| 略語 | ❌ よくある誤解 | ⭕ 正しい意味 |
|---|---|---|
| SSL | セキュリティソフトの名前 | 暗号化通信のプロトコル(今はTLS) |
| WAF | Wifiのセキュリティ | Webアプリ専用ファイアウォール |
| IAM | アイアム(I am) | アイエーエム(Identity and Access Management) |
| JWT | ジェイダブリューティー | ジョット(JSON Web Token) |
| CSRF | シーエスアールエフ | シーサーフ(Cross-Site Request Forgery) |
| OAuth | オーオース | オーオース(認可)。認証はOIDC |
第7章:まとめ:セキュリティは「言葉の整理」で8割決まる
用語を正しく理解する意味
セキュリティ用語を正しく理解することで:
- 適切に怖がれる:本当に危険なことと、そうでないことを区別できる
- 正しく説明できる:上司やチームに状況を正確に伝えられる
- 適切に対応できる:何をすべきかが分かる
「なんとなく怖い」から「これは対応が必要、これは大丈夫」に変わります。
不安になったときの思考順
セキュリティ関連で不安になったら、以下の順序で考えてみてください。
1. 何が起きているか(現象の確認)
↓
2. 被害は出ているか(実害の確認)
↓
3. 被害が拡大する可能性はあるか(リスクの評価)
↓
4. 今すぐ対応が必要か(緊急度の判断)
↓
5. 何をすべきか(アクションの決定)
慌てて対応すると、状況を悪化させることがあります。まず落ち着いて状況を確認しましょう。
次にやるべき現実的な対策
この記事を読んだ後、まずやってほしいことは:
今日やること
- 使っていないポートが開いていないか確認する
- MFAを設定していないサービスがないか確認する
- ログローテーションが設定されているか確認する
今週やること
- SSHを鍵認証に変更する(まだの場合)
- 管理画面へのIP制限を検討する
- セキュリティアップデートの適用状況を確認する
習慣にすること
- 週1回、ログを見る時間を作る
- 月1回、権限の棚卸しをする
- セキュリティ情報を定期的にチェックする
セキュリティは完璧を目指すものではありません。「何も知らない」から「基本を押さえている」になるだけで、リスクは大幅に減ります。
この記事で整理した用語を、日々の業務で使ってみてください。言葉が分かると、世界の見え方が変わります。
関連記事
- あなたのサーバーは毎日「下見」されている:スキャニングの正体 — スキャニングについて詳しく解説
- 【保存版】ログ設計完全ガイド — ログの設計と運用について