【応用情報技術者】第8章セキュリティについて

白川秋

8時間前

8つめの応用情報技術者の科目A暗記用のブログです。

作業にもこなれてきて、サクサク進んでいるこの頃です。
ただ、単に項目を羅列しているだけなので、知識が増えていないことに不安を感じてもいます。でもいいの！暗記用に予定を組んで日数を空けてあるので！

というわけで、いってまいりましょう！
れっつ、ごー！ひろみ！

第8章セキュリティ
みんなで使おう！Ankiアプリで暗記しよう
参考図書
合わせて読みたい
最後に

第8章セキュリティ

暗号化

単語	意味
暗号化	暗号化とは、データを第三者に読まれないように「もとの文（平文）」を「読めない形（暗号文）」に変換する技術です。たとえば「HELLO」を「X5#9!」のように変えます。これにより、メールやネットショッピングの情報が盗まれても中身が守られます。復号（ふくごう）とは、暗号文を元に戻す操作です。現代のデジタル社会では、個人情報や企業機密を守るため、暗号化は欠かせません。
暗号化に必要な要素	暗号化には「アルゴリズム（変換ルール）」と「鍵（キー）」が必要です。アルゴリズムは公開されていても安全でなければなりません（ケルクホフスの原理）。鍵は秘密にしておく情報で、同じアルゴリズムでも鍵が違えば結果が変わります。たとえば、鍵が「3」ならアルファベットを3文字ずらす（シーザー暗号）。鍵の長さが長いほど、総当たり攻撃（ブルートフォース攻撃）に強くなります。
暗号化方式の種類	暗号化方式は大きく分けて「共通鍵暗号方式」と「公開鍵暗号方式」の2つがあります。共通鍵方式は暗号化・復号に同じ鍵を使い、高速ですが鍵の配送が課題です。公開鍵方式は暗号化用（公開鍵）と復号用（秘密鍵）の2つの鍵を使い、配送が安全ですが処理が遅いです。実際には、両者を組み合わせた「ハイブリッド方式」がよく使われます。
共通鍵暗号方式	共通鍵暗号方式は、送受信者が同じ鍵を使う方式です。代表例にDES（Data Encryption Standard）がありますが、鍵長が56ビットで現在は脆弱とされ、ほとんど使われていません。現在の主流はAES（Advanced Encryption Standard）で、鍵長は128/192/256ビットから選べ、高速かつ安全です。たとえばWi-FiのWPA2でもAESが使われています。
公開鍵暗号方式	公開鍵暗号方式では、誰でも使える「公開鍵」と本人だけが持つ「秘密鍵」のペアを使います。RSAは大きな素数の積をもとにした方式で、広く使われていますが鍵が長くなりがちです。楕円曲線暗号（ECC）は同じ安全性でより短い鍵を使えるため、スマホやIoT機器に向いています。ElGamal暗号は離散対数問題に基づき、主にデジタル署名に使われます。
ハイブリッド暗号方式	ハイブリッド方式は、公開鍵方式で「共通鍵」を安全に共有し、その後の通信は高速な共通鍵方式で行う仕組みです。たとえばSSL/TLS（ウェブのhttps）では、最初にRSAなどで共通鍵を交換し、以降はAESで通信します。S/MIMEやPGPはメールの暗号化に使われ、これらも同様にハイブリッド方式を採用しています。これにより、速度と安全性の両立が実現されています。

無線LANの暗号

単語	意味
WEP	WEP（Wired Equivalent Privacy）は1999年に登場した初期の無線LAN暗号方式です。WEPキーは10進数または16進数のパスワード（例：A1B2C3D4E5）で、40ビットまたは104ビットの鍵長でした。しかし、設計上の欠陥があり、数分で解読可能と判明。2004年にはWi-Fi Allianceが使用を推奨しないと発表し、現在は完全に廃止されています。
IV	IV（Initialization Vector：初期化ベクトル）は、同じ平文を暗号化しても毎回異なる暗号文になるようにするためのランダム値です。WEPでは24ビットのIVを使っていましたが、これが短すぎて同じIVが繰り返され、攻撃者が鍵を推測できる「IV衝突」が発生しました。これがWEPの致命的弱点の一つです。
RC4	RC4はWEPで使われたストリーム暗号アルゴリズムです。平文と擬似乱数列をXOR（排他的論理和）して暗号化します。しかし、RC4自体にも弱点があり、特に初期の出力バイトに偏りがあることが知られています。このため、WEPだけでなく、TLSなど他のプロトコルでもRC4は2015年以降禁止されています。
WPA	WPA（Wi-Fi Protected Access）はWEPの代替として2003年に登場しました。TKIP（Temporal Key Integrity Protocol）という新しい暗号方式を採用し、IVの長さを48ビットに拡張。さらに、メッセージの改ざん検出機能（MIC）も追加されました。ただし、TKIPはあくまで「暫定措置」であり、完全な解決策ではありませんでした。
TKIP	TKIPはWPAで使われる暗号プロトコルで、RC4を改良したものです。IVを48ビットにし、パケットごとに鍵を動的に変更（Per-Packet Key Mixing）することで、WEPの弱点を回避しました。また、MIC（Message Integrity Code）で改ざんを検出します。しかし、RC4自体の脆弱性は残っており、2008年にはTKIPの解読も報告されています。
WPA2	WPA2は2004年に標準化され、AESをベースにしたCCMP（Counter Mode Cipher Block Chaining Message Authentication Code Protocol）を採用しました。これにより、TKIPの問題を根本的に解決。2018年以降、新製品はWPA2対応が義務化され、長らく業界標準となりました。ただし、2017年に「KRACK攻撃」という脆弱性も発見されています。
CCMP	CCMPはWPA2で使われる暗号方式で、AESをカウンタモードとCBC-MACモードで組み合わせたものです。正式名称は「CCMP（AES）」や「AES-CCMP」とも呼ばれます。データの暗号化と改ざん検出を同時に実現し、RC4よりもはるかに安全です。128ビット鍵と128ビットブロックサイズを使い、現在でも十分な安全性を保っています。
パーソナルモード	パーソナルモード（WPA/WPA2-Personal）は家庭向けのセキュリティ設定で、事前共有鍵（PSK）方式を使います。ユーザーはルーターに「パスフレーズ」（例：MyHomeWiFi2026!）を設定し、全端末が同じ鍵を共有します。設定が簡単ですが、パスフレーズが漏れると全通信が危険になるため、強固なパスワードが必須です。
PSK認証	PSK（Pre-Shared Key）認証は、事前に共有されたパスフレーズをもとに認証を行う方式です。無線LANでは、このパスフレーズから256ビットのマスターキー（PMK）を生成し、4方向ハンドシェイクで一時鍵を交換します。しかし、パスフレーズが弱いと辞書攻撃に弱く、企業環境では不向きです。
エンタープライズモード	エンタープライズモード（WPA/WPA2-Enterprise）は企業向けで、各ユーザーに個別のIDとパスワードを割り当てます。認証はRADIUSサーバを介して行われ、鍵もユーザーごとに動的に生成されるため、セキュリティが高いです。たとえば社員100人がいても、1人だけの資格停止が可能です。
RADIUSサーバ	RADIUS（Remote Authentication Dial-In User Service）サーバは、ユーザー認証・認可・アカウンティング（AAA）を一元管理するサーバです。無線LANのエンタープライズモードでは、アクセスポイントがRADIUSサーバに認証要求を送り、ユーザーの資格を確認します。これにより、個別管理と監査が可能になります。
IEEE 802.1X規格	IEEE 802.1Xはネットワークへのアクセス制御の標準規格です。3つの要素で構成されます：（1）サプリカント（クライアント端末）、（2）オーセンティケータ（アクセスポイントやスイッチ）、（3）認証サーバ（RADIUSサーバ）。サプリカントが認証情報を送ると、オーセンティケータがそれをRADIUSサーバに転送し、認証成功後のみ通信が許可されます。

認証

単語	意味
認証	認証とは、「あなたは本当に本人ですか？」と確認する仕組みです。たとえばログイン画面でIDとパスワードを入力するのは認証の一例です。認証が成功すると、次に「アクセスコントロール」（何を見られるか）が適用されます。認証なしでは、誰でもシステムに侵入できてしまうため、セキュリティの第一歩です。
利用者認証	利用者認証は、システムを利用する人物が正当かどうかを確認することです。方法には「知識」（パスワード）、「所持」（ICカード）、「生体」（指紋）の3種類があります。最近ではこれらを組み合わせた「多要素認証」が主流です。たとえばスマホのロック解除で「顔認証＋PINコード」を使うのがそれです。
アクセスコントロール	アクセスコントロールは、認証後の「権限管理」です。たとえば社員Aは給与ファイルを見られず、人事部だけが見られるようにする仕組みです。代表的なモデルに「RBAC（Role-Based Access Control）」があり、役割（例：管理者、一般ユーザー）ごとに権限を割り当てます。これにより、最小権限の原則が実現できます。
固定式パスワード方式	固定式パスワード方式は、一度設定したパスワードをずっと使い続ける方法です。簡単ですが、漏洩リスクが高く、推測されやすいパスワード（例：123456）を使っていると簡単に突破されます。そのため、定期的なパスワード変更や複雑なパスワードの設定が推奨されています。
パスワードの強度	パスワードの強度は、総当たり攻撃に対する耐性で決まります。使用可能な文字種類を M、長さを n とすると、総パターン数は Mn です。たとえば英数字（62種）で8文字なら 628≈2.18×1014 通り。これが大きいほど安全です。記号を含めたり、長くしたりすると指数的に強度が上がります。
チャレンジレスポンス認証	チャレンジレスポンス認証は、サーバがランダムな「チャレンジ」（問い）を出し、クライアントが「レスポンス」（答え）を返す方式です。パスワードそのものを送らないため、盗聴されても安全です。たとえば、サーバが「12345」と送り、クライアントが「パスワード＋12345のハッシュ値」を返します。
チャレンジコード	チャレンジコードは、チャレンジレスポンス認証でサーバが生成するランダムな値です。毎回異なるため、過去の通信を再生（リプレイ攻撃）しても認証できません。このコードは通常、時間限定で有効で、セッションごとに新しく生成されます。
ハッシュ値	ハッシュ値は、任意のデータから固定長の「指紋」を生成する関数（例：SHA-256）の出力です。同じ入力なら常に同じ出力になり、逆算（元のデータを復元）はほぼ不可能です。パスワード認証では、パスワードのハッシュ値を保存し、入力値のハッシュと照合します。これにより、パスワードを平文で保存しなくて済みます。
ワンタイムパスワード	ワンタイムパスワード（OTP）は、1回しか使えないパスワードです。たとえば銀行のアプリが表示する「739284」は30秒で無効になります。これにより、パスワードが盗まれても再利用できません。主に「時刻同期型」と「イベント同期型（S/KEY）」の2種類があります。
時刻同期方式	時刻同期方式は、サーバとクライアントが同じ時計を持ち、現在時刻に基づいてOTPを生成する仕組みです（例：Google Authenticator）。アルゴリズム（HOTPの派生）で「秘密鍵＋現在時刻」から6桁のコードを生成。時刻が数分ずれても許容範囲内なら認証可能ですが、時計が大きくずれると失敗します。
S/KEY方式	S/KEYはイベント同期型のOTP方式で、連続したハッシュ計算に基づきます。たとえば、初期値 S から H(H(H(S))) を生成し、1回使うごとに1段階戻ります。サーバは次の予想値を保存し、一致すれば認証成功。ネットワークが不安定でも使えるのが利点ですが、現在は時刻同期型が主流です。
シングルサインオン	シングルサインオン（SSO）は、1回のログインで複数のサービスを使える仕組みです。Cookie型は同一ドメイン内でクッキーを共有（例：Googleサービス）。リバースプロキシ型はゲートウェイが代わりに認証（企業内システム）。SAML型はXMLベースで異なるドメイン間で認証情報をやりとり（例：学校ポータルとクラウド教材）。
バイオメトリクス認証	バイオメトリクス認証は、指紋・顔・虹彩・声などの生体情報を使う認証です。利便性が高い一方、生体情報は変更できないため漏洩リスクが深刻です。そのため、生体データは端末内に安全に保存（Secure Enclaveなど）し、外部送信はせず、ハッシュ化されたテンプレートのみを使うのがベストプラクティスです。
リスクベース認証	リスクベース認証は、ユーザーの行動や環境から「リスクスコア」を算出し、異常があれば追加認証を求める仕組みです。たとえば、いつも東京からログインしている人が突然ブラジルから接続したら、SMS認証を要求します。AIが学習し、精度は年々向上しています。
Kerberos方式	KerberosはMITが開発したネットワーク認証プロトコルで、対称鍵暗号（通常AES）を使います。中央の「KDC（Key Distribution Center）」がチケットを発行し、クライアントとサーバの間で安全に通信を確立します。Windows Active Directoryの標準認証方式としても使われています。
2要素認証	2要素認証（2FA）は、「知識＋所持」や「知識＋生体」など、2種類の認証要素を組み合わせる方式です。たとえば「パスワード（知識）＋スマホアプリのOTP（所持）」。これにより、パスワードが漏れても不正ログインを防げます。現在、多くのオンラインサービスで推奨されています。
CAPTCHA認証	CAPTCHAは、「あなたは人間ですか？」と確認する仕組みで、歪んだ文字や画像選択（例：「信号機を含む写真を選んでください」）を使います。ボット（自動プログラム）の不正アクセスを防ぐ目的です。最新のreCAPTCHA v3はユーザー行動を分析し、非表示で判定することも可能です。
リモートアクセス	リモートアクセスは、外出先から社内ネットワークに接続することです。VPN（仮想プライベートネットワーク）が代表的で、通信を暗号化し、まるで社内にいるかのように使えます。ただし、認証が甘いと外部からの侵入口になるため、2FAや証明書認証の併用が必須です。
PPPの認証技術	PPP（Point-to-Point Protocol）はダイヤルアップやDSLで使われる通信プロトコルで、認証はLCP（Link Control Protocol）とNCP（Network Control Protocol）の2段階で行われます。LCPは物理リンク確立後に認証（PAP/CHAP）を行い、成功後、NCPがIPアドレスなどのネットワーク設定を交渉します。つまり、LCP＝「誰か確認」、NCP＝「どうつなげるか設定」です。
PAP	PAP（Password Authentication Protocol）はPPPの認証方式で、ユーザー名とパスワードを平文で送信します。簡単ですが盗聴に極めて弱く、現在はほぼ使われていません。CHAPのような安全な方式への移行が強く推奨されています。
CHAP	CHAP（Challenge Handshake Authentication Protocol）は、チャレンジレスポンス方式を使ったPPP認証です。サーバがチャレンジを送り、クライアントが「MD5(チャレンジ＋パスワード＋ID)」を返します。パスワードは送らないため安全で、接続中にも定期的に再認証可能です。
RADIUS認証システム	RADIUSは、集中認証・認可・アカウンティング（AAA）を行うプロトコルです。クライアント（例：Wi-Fiアクセスポイント）がRADIUSサーバにユーザー情報を送り、サーバが認証結果を返します。UDPベースで軽量ですが、暗号化が弱いため、最近はTLSで保護するRadSecが推奨されています。
Diameter	DiameterはRADIUSの後継プロトコルで、TCP/SCTP上で動作し、信頼性と拡張性が高いです。3G/4G/5Gのモバイルネットワークで広く使われ、リアルタイム課金やQoS制御にも対応。RADIUSの「Request/Response」モデルを拡張し、セッション管理もサポートします。
IEEE 802.1X	IEEE 802.1Xはポートベースのネットワークアクセス制御で、EAP（Extensible Authentication Protocol）を中核とします。EAPは認証方法を柔軟に選べる枠組みで、EAP-MD5（シンプルだが弱い）、EAP-TLS（証明書ベースで高セキュリティ）などがあります。802.1Xでは、サプリカントがEAPメッセージをオーセンティケータ（スイッチ）経由でRADIUSサーバに送り、認証を完了します。PPPとは異なり、LAN環境向けですが、EAPはPPPでも使われます。

デジタル署名とPKI

単語	意味
デジタル署名	デジタル署名は、電子文書の「改ざんされていないこと」と「誰が送ったか」を証明する仕組みです。たとえば、Aさんがメッセージを送るとき、自分の秘密鍵で署名し、BさんはAさんの公開鍵で検証します。これにより、偽造や否認（「送ってない！」）を防げます。技術的には、メッセージのハッシュ値を秘密鍵で暗号化することで実現されます。
メッセージダイジェスト	メッセージダイジェストとは、任意の長さのデータから固定長の短い「指紋」（ハッシュ値）を生成するものです。たとえば、1GBのファイルでも160ビットの値になります。この値は元のデータが少しでも変わるとまったく違う値になるため、改ざん検出に使われます。代表的なアルゴリズムにはMD5やSHAシリーズがあります。
MD5	MD5は128ビットのハッシュ値を生成するアルゴリズムですが、2004年頃から衝突（異なる入力で同じハッシュ値になること）が容易に発見できるようになり、現在ではセキュリティ用途では使用されません。たとえば、2つの異なるPDFファイルが同じMD5値を持つケースが報告されています。そのため、デジタル署名や証明書には不適切です。
SHA-1	SHA-1は160ビットのハッシュ値を生成しますが、2017年に「SHAttered攻撃」で実用的な衝突が実証され、信頼性が失われました。現在、主要ブラウザやOSはSHA-1証明書を拒否しています。例えば、Google Chromeは2017年以降、SHA-1を使ったHTTPSサイトを「安全でない」と表示します。
SHA-2	SHA-2はSHA-256やSHA-512などを含むハッシュ関数ファミリーで、現在広く使われています。たとえば、TLS証明書やブロックチェーン（Bitcoin）ではSHA-256が採用されています。衝突耐性が高く、2026年現在も安全とされています。計算式は複雑ですが、基本はビット演算と論理関数を繰り返してハッシュ値を生成します。
SHA-3	SHA-3は2015年にNISTが標準化した新しいハッシュ関数で、構造がSHA-2とは異なり「Keccak（ケチャック）」アルゴリズムを採用しています。たとえば、SHA3-256はSHA-256と同じ出力長ですが、内部構造がスポンジ構造と呼ばれるもので、理論的により安全とされています。ただし、実際の現場ではまだSHA-2が主流です。
PKI（公開鍵基盤）	PKI（Public Key Infrastructure）は、公開鍵暗号方式を安全に使うための仕組み全体を指します。デジタル証明書、認証局（CA）、失効リストなどが含まれます。たとえば、Webサイトが「https://」で始まるのは、そのサイトがPKIに基づいて信頼されている証です。これにより、通信相手の正体を確認できます。
認証局（CA）	認証局（CA: Certificate Authority）は、デジタル証明書を発行・管理する信頼できる第三者機関です。たとえば、Let’s EncryptやDigiCertなどが有名です。CAは、Webサイトの所有者が本当にそのドメインを管理しているかを確認し、証明書に署名します。この署名があることで、ブラウザはサイトを「信頼」します。
デジタル証明書の失効情報	証明書は有効期限内でも、秘密鍵が漏洩したなどの理由で無効になることがあります。その情報を伝える仕組みが「失効情報」です。主にCRL（証明書失効リスト）とOCSP（オンライン証明書ステータスプロトコル）の2方式があります。これらにより、ブラウザは「まだ使える証明書か」をリアルタイムで確認できます。
CRLモデル	CRL（Certificate Revocation List）は、失効した証明書のシリアル番号を一覧にしたリストです。CAが定期的に更新し、クライアントがダウンロードしてチェックします。しかし、リストが大きくなると通信負荷が増し、最新情報が反映されるまでに遅延があるという欠点があります。2026年では、徐々にOCSPへ移行が進んでいます。
OCSPモデル	OCSP（Online Certificate Status Protocol）は、証明書の有効性をリアルタイムで問い合わせる仕組みです。ブラウザがCAのOCSPサーバに「この証明書は有効？」と問い合せ、即座に「Good」「Revoked」などの応答を受け取ります。プライバシー懸念や可用性の問題から、最近ではOCSP Stapling（サーバが事前に応答をキャッシュ）が推奨されています。

情報セキュリティ実装技術

単語	意味
SSL/TLS	SSL（Secure Sockets Layer）とその後継であるTLS（Transport Layer Security）は、インターネット通信を暗号化するプロトコルです。たとえば、Webブラウザとサーバ間の通信を盗聴や改ざんから守ります。2026年現在、TLS 1.2と1.3が主流で、SSL 3.0やTLS 1.0/1.1は廃止されています。
ハンドシェイク	TLSハンドシェイクは、通信開始時にクライアントとサーバが暗号方式や鍵を合意する手続きです。たとえば、TLS 1.3では1往復（1-RTT）で接続が確立され、高速かつ安全です。この過程でサーバ証明書の検証や共通鍵の生成が行われ、その後の通信が暗号化されます。
データの伝送（暗号化通信）	ハンドシェイク後に、対称暗号（例：AES）を使ってデータを暗号化して送受信します。対称暗号は高速で、大量データ向きです。鍵はハンドシェイクで安全に共有された「プリマスターシークレット」から派生します。これにより、第三者が通信内容を読むことはできません。
サーバ認証とクライアント認証	通常のWebアクセスでは「サーバ認証」のみ行われ、ユーザーはサーバの正体を確認します。一方、「クライアント認証」は、サーバがユーザー（クライアント）の証明書を要求し、厳格な本人確認を行う仕組みです。金融機関の内部システムなどで使われます。
DV証明書	DV（Domain Validation）証明書は、ドメインの所有権だけを確認して発行される証明書です。たとえば、メールやDNSレコードで確認します。発行が速く無料（Let’s Encryptなど）で利用可能ですが、組織名は表示されません。個人ブログや小規模サイト向けです。
OV証明書	OV（Organization Validation）証明書は、企業や団体の実在性も確認されます。発行には数日かかり、費用もかかりますが、ブラウザで組織名が表示されるため、信頼性が高まります。中規模企業のWebサイトなどでよく使われます。
EV証明書	EV（Extended Validation）証明書は最も厳格な審査を経て発行され、かつてはブラウザのアドレスバーが緑色になり、組織名が表示されていました。しかし、2020年代に入り主要ブラウザがこの表示を廃止したため、現在はOVとの差が小さくなっています。それでも法的要件のある場面で使われます。
ネットワークセキュリティ	ネットワークセキュリティは、外部からの不正アクセスや内部からの情報漏洩を防ぐための技術群です。ファイアウォール、IDS、WAF、VPNなどが含まれ、レイヤー（階層）ごとに防御を重ねる「ディフェンス・イン・デプス」が基本戦略です。
ファイアウォール	ファイアウォールは、ネットワークの出入り口に設置され、通信を許可・拒否する「門番」です。IPアドレス、ポート番号、プロトコルなどに基づいてフィルタリングします。家庭用ルーターや企業のセキュリティゲートウェイに組み込まれています。
フィルタリングルール	フィルタリングルールは、「どの通信を許可・拒否するか」を定義した条件です。たとえば、「外部からのTCP 22番ポート（SSH）への接続を許可」などと設定します。ルールは順序が重要で、上から順に評価され、最初に一致したルールが適用されます。
パケットフィルタリング型	パケットフィルタリング型ファイアウォールは、IPヘッダやTCP/UDPヘッダの情報をもとに通信を制御します。シンプルで高速ですが、アプリケーション層の内容（例：HTTPのURL）までは検査できません。Linuxのiptablesなどが代表例です。
アプリケーションゲートウェイ型	アプリケーションゲートウェイ（プロキシ型）ファイアウォールは、アプリケーション層（L7）まで解析し、細かい制御が可能です。たとえば、「特定のWebサイトへのアクセスをブロック」など。ただし処理が重く、通信速度に影響が出ることもあります。
スタティックパケットフィルタリング	スタティック（静的）パケットフィルタリングは、事前に決められた固定ルールで通信を制御します。状態（セッション）を記憶しないため、双方向通信の整合性を保つのが難しい場合があります。現在はほとんど使われていません。
ダイナミックパケットフィルタリング	ダイナミック（動的）パケットフィルタリング、すなわち「ステートフルインスペクション」は、通信の状態（例：接続中か？）を記憶し、双方向の通信を安全に制御します。たとえば、内側から外への接続を許可すれば、その返信パケットも自動で許可します。現代のファイアウォールの主流です。
フィルタリングの例	例：企業ネットワークで「外部からのHTTP（80番）とHTTPS（443番）のみを許可し、それ以外は拒否」。また、内部から外部へのFTP（21番）は禁止。このようなルールにより、攻撃の入り口を最小限に抑えます。
プロキシサーバ	フォワードプロキシは、クライアントがインターネットにアクセスする際に中継するサーバです。社内PCがWebを見るとき、直接ではなくプロキシ経由で接続します。これにより、アクセスログ取得、コンテンツフィルタリング、キャッシュによる高速化が可能になります。
リバースプロキシサーバ	リバースプロキシは、外部ユーザーがWebサーバにアクセスする際、その前に立って中継するサーバです。負荷分散、SSL終端、WAF機能などを提供します。たとえば、NginxやCloudflareがリバースプロキシとして使われ、バックエンドサーバを隠します。
WAF	WAF（Web Application Firewall）は、Webアプリケーション特有の攻撃（SQLインジェクション、XSSなど）を防ぐ装置です。「ホワイトリスト方式」は許可されたパターンのみを通す安全な方法で、「ブラックリスト方式」は既知の攻撃パターンを拒否します。前者の方が安全ですが、運用が難しいため、両方を組み合わせるのが一般的です。
IDS	IDS（Intrusion Detection System）は、ネットワークやホスト上で不正行為を「検出」するシステムです。攻撃を止めることはできず、あくまで監視・警告が目的です。ログを分析し、管理者に通知します。
NIDS	NIDS（Network-based IDS）はネットワーク全体のトラフィックを監視し、異常を検出します。たとえば、SnortやSuricataが代表的で、ネットワークの中心に設置して全通信を監視します。
HIDS	HIDS（Host-based IDS）は、個別のコンピュータ上で動作し、ファイル変更やログイン試行などを監視します。たとえば、重要なシステムファイルが書き換えられたら警告を出します。エンドポイント保護に有効です。
IPS	IPS（Intrusion Prevention System）は、IDSの機能に加え、攻撃を「自動で遮断」します。たとえば、悪意あるパケットをドロップしたり、接続を切断したりします。リアルタイム防御が可能ですが、誤検知（フォールスポジティブ）で正常通信を遮断するリスクがあります。
UTM	UTM（Unified Threat Management）は、ファイアウォール、IPS、アンチウイルス、WAFなどを1台に統合したセキュリティ装置です。中小企業向けに人気で、管理が簡単ですが、高負荷時に性能が低下する可能性があります。
EDR	EDR（Endpoint Detection and Response）は、エンドポイント（PCやサーバ）の挙動を詳細に記録・分析し、高度な脅威（例：ゼロデイ攻撃）を検出し、対応まで支援するシステムです。2026年ではクラウド型EDRが主流で、AIによる異常検知も活用されています。
ハニーポット	ハニーポットは、攻撃者をおびき寄せる「おとり」システムです。本物のサービスのように見せかけ、攻撃者の手法やツールを観察・分析します。研究や脅威インテリジェンス収集に使われます。
不正検知方法	不正検知には「シグネチャ方式」と「アノマリー方式」があります。前者は既知の攻撃パターンに一致するかを調べ、後者は通常と異なる「異常」行動を検出します。両者を組み合わせることで、未知の攻撃にも対応できます。
シグネチャ方式	シグネチャ方式は、ウイルス定義ファイルのように、既知の攻撃の「特徴（シグネチャ）」と照合して検出します。精度は高いですが、新しい攻撃には対応できません。IDSやアンチウイルスソフトで広く使われています。
アノマリー方式	アノマリー（異常）方式は、学習した「正常な状態」から逸脱した行動を検出します。たとえば、夜中に大量のデータを外部に送信するなど。未知の攻撃に有効ですが、誤検知が多く、調整が難しいのが課題です。
フォールスポジティブ	フォールスポジティブ（偽陽性）は、正常な通信や行動を「攻撃」と誤って判断することです。たとえば、社員が新規ツールを使っただけで警報が鳴るなど。運用負荷を増やすため、調整が重要です。
フォールスネガティブ	フォールスネガティブ（偽陰性）は、実際の攻撃を見逃してしまうことです。最も危険で、セキュリティホールにつながります。多層防御（ディフェンス・イン・デプス）でリスクを軽減します。
VPN	VPN（Virtual Private Network）は、インターネット上に「仮想的な専用線」を作り、安全に通信する技術です。リモートワークや拠点間接続で使われ、通信内容を暗号化し、盗聴や改ざんを防ぎます。
トランスポートモード	IPsecのトランスポートモードは、ホスト間通信を暗号化する方式で、IPヘッダはそのまま、ペイロード（データ部分）のみを保護します。主に1対1の通信（例：PC間）で使われます。
トンネルモード	トンネルモードは、元のIPパケット全体を新しいIPパケットで包み込む方式です。拠点間VPN（例：東京支社↔大阪支社）で使われ、経路全体を暗号化できます。
VPNを実現するプロトコル	IPsec（Internet Protocol Security）は、VPNを実現する代表的プロトコルです。その中で、認証ヘッダ（AH）はデータの整合性と送信元認証を提供しますが、暗号化はしません。一方、暗号ペイロード（ESP）は暗号化＋認証を提供し、現在の主流です。多くの場合、ESP単体で利用されます。

情報セキュリティの脅威と攻撃手法

単語	意味
情報セキュリティと脅威	情報セキュリティとは、大切なデータやシステムを守るための仕組みです。一方、「脅威（threat）」とは、その安全を損なう可能性のある出来事や行為のことを指します。たとえば、ハッカーによる不正アクセスや自然災害も脅威になります。脅威は「意図的」なもの（例：マルウェア）と「偶発的」なもの（例：停電）に分けられ、これらから情報を守ることがセキュリティの目的です。
JIS Q 27000:2019	JIS Q 27000:2019は、日本で定められた「情報セキュリティマネジメント」に関する国際規格（ISO/IEC 27000の日本版）です。この規格では、情報セキュリティの用語や基本概念が統一されており、組織がリスクを管理し、適切な対策を講じるための共通言語を提供します。企業や学校がセキュリティ体制を整える際の土台となる重要な文書です。
情報セキュリティの3つの特徴	情報セキュリティには「機密性（Confidentiality）」「完全性（Integrity）」「可用性（Availability）」という3つの柱があります。機密性は「許可された人だけが情報を見られる」こと、完全性は「情報が改ざんされていない」こと、可用性は「必要なときに情報にアクセスできる」ことです。これらをまとめて「CIAトライアド」と呼び、セキュリティ対策の評価基準となります。
物理的脅威	物理的脅威とは、コンピュータやサーバーそのものを破壊・盗難・故障させるような現実世界の危険です。たとえば、火災、地震、停電、盗難などが該当します。たとえソフトウェアが完璧でも、サーバーが盗まれれば情報は漏れます。そのため、施錠、監視カメラ、UPS（無停電電源装置）など、物理的な防御も重要です。
技術的脅威	技術的脅威は、ソフトウェアやネットワークの脆弱性を突いた攻撃です。代表例はマルウェアやDoS攻撃などです。たとえば、未修正のバグ（脆弱性）があると、ハッカーが遠隔からシステムを乗っ取ることも可能です。こうした脅威に対抗するには、OSやアプリの更新（パッチ適用）やファイアウォールの導入が不可欠です。
人的脅威	人的脅威は、人間のミスや悪意によるリスクです。誤ってメールを誤送信したり、パスワードを他人に教えたりする「ヒューマンエラー」や、内部の人間が故意に情報を漏らす「内部犯行」が含まれます。教育やアクセス制限、二要素認証などの対策で、人的リスクを減らすことが重要です。
マルウェア（不正プログラム）	マルウェアとは「悪意あるソフトウェア」の総称で、ウィルス、ワーム、トロイの木馬などが含まれます。これらはユーザーの知らないうちにPCに侵入し、個人情報を盗んだり、システムを破壊したりします。2026年現在、AIを使った高度なマルウェアも登場しており、従来の対策だけでは防げないケースが増えています。
ワーム	ワームは、他のファイルに感染せず、自力でネットワークを通じて広がるマルウェアです。たとえば、メールの添付ファイルを開くと、自動でアドレス帳の全員に自分自身を送信します。ワームは大量の通信を発生させ、ネットワークを麻痺させる「DoS攻撃」の原因にもなります。自己複製能力が特徴です。
トロイの木馬	トロイの木馬は、一見便利なソフト（例：無料ゲーム）に見せかけて、裏で悪さをするプログラムです。ギリシャ神話の「トロイの木馬」のように、中身に敵（マルウェア）を隠しています。ユーザーが自らインストールしてしまうため、検出が難しく、キーロガーやバックドアとして使われることが多いです。
スパイウェア	スパイウェアは、ユーザーの行動をこっそり監視・記録するマルウェアです。入力したパスワードや閲覧履歴を収集し、第三者に送信します。広告表示を目的とした「アドウェア」もスパイウェアの一種です。ブラウザの拡張機能や怪しいアプリから感染することが多く、定期的なスキャンが有効です。
ボット	ボットは、遠隔操作可能なマルウェアに感染したPCのことを指します。多数のボットがネットワークでつながったものを「ボットネット」と呼び、攻撃者は「C&C（Command and Control）サーバー」を通じて一括で指示を出します。これにより、大規模なDDoS攻撃やスパム送信が可能になります。2026年ではIoT機器もボット化されるケースが増加中です。
ルートキット	ルートキットは、システムの最深部（ルート権限）に潜り込み、自分の存在を隠すマルウェアです。通常のアンチウイルスでは検出できず、OSの起動前から動作する「ブートキット」型も存在します。一度感染すると完全な除去が極めて難しく、再インストールが必要になることもあります。
ランサムウェア	ランサムウェアは、ファイルを暗号化して「身代金（ransom）」を要求するマルウェアです。2026年現在、AIを使ってターゲットを絞る「高度標的型」が主流で、企業や病院が狙われています。支払っても復号されないケースもあり、バックアップの定期取得が唯一の確実な対策です。
キーロガー	キーロガーは、キーボードの入力を記録するスパイウェアです。パスワードやクレジットカード番号を盗むのに使われます。ハードウェア型（USBに接続）とソフトウェア型があり、後者はトロイの木馬に含まれることが多いです。仮想キーボードや二要素認証でリスクを軽減できます。
エクスプロイトキット	エクスプロイトキットは、複数の脆弱性を自動で攻撃するツールです。ユーザーが悪意あるサイトにアクセスすると、ブラウザやFlashの穴を突いてマルウェアをダウンロードします。2026年では、JavaScriptやWebAssemblyを悪用する新しいタイプが登場しており、常に最新のパッチ適用が必須です。
マクロウィルス	マクロウィルスは、WordやExcelの「マクロ機能」に埋め込まれた悪意あるスクリプトです。文書を開くだけで自動実行され、他のファイルに感染を広げます。最近は「マクロの無効化」がデフォルト設定になっているため減少傾向ですが、社会工程学（例：「緊急文書です！」）で有効化させる手口が使われています。
偽セキュリティ対策ソフト	偽セキュリティソフト（フェイクAV）は、「ウイルスに感染しています！」と偽の警告を出し、有料ソフトを買わせる詐欺プログラムです。見た目は本物そっくりで、高校生でも騙されやすいです。公式ストア以外からのダウンロードは避け、既存のセキュリティソフトを信頼しましょう。
セキュリティ対策ソフト	セキュリティ対策ソフト（アンチウイルス）は、マルウェアの検出・駆除を行うツールです。2026年では、AIによる「未知の脅威」への対応や、クラウド連携型のリアルタイム保護が標準です。Windows Defender（Microsoft Defender）も高性能になっており、追加ソフト不要のケースも増えています。
セキュリティパッチ	セキュリティパッチは、ソフトウェアの脆弱性を修正する更新プログラムです。マイクロソフトやAppleは毎月「パッチの日」を設けて公開しています。放置すると、その穴を突かれて攻撃されるリスクが高まります。自動更新をONにして、常に最新状態を保ちましょう。
コンペア法	コンペア法（比較法）は、既知のマルウェアの「シグネチャ（特徴パターン）」とファイルを照合して検出する方法です。高速で正確ですが、新種のマルウェアには対応できません。式で表すと「ファイルFがシグネチャDBに一致 → 検出」となります。伝統的だが限界もある手法です。
チェックサム法	チェックサム法は、ファイルの内容から「ハッシュ値（例：SHA-256）」を計算し、変更がないか確認する方法です。元のハッシュ値と比較し、異なれば改ざんされたと判断します。式： H=Hash(File) ただし、意図的に同じハッシュ値を作る「衝突攻撃」への対策も必要です。
ビヘイビア法	ビヘイビア法（行動監視法）は、プログラムの「動き」を見て不審な挙動（例：大量のファイル暗号化）を検出します。未知のマルウェアにも有効で、AIが学習して精度を上げています。ただし、誤検知（フェイクポジティブ）が出やすいのが課題です。
標的型攻撃メール	標的型攻撃メールは、特定の組織や個人を狙い、信頼されそうな内容（例：「社内通知」）でマルウェアを送り込む手口です。2026年では、AIが過去のメールを学習して「そっくりな文章」を生成するため、見分けが極めて困難です。リンクや添付ファイルは常に疑いましょう。
パスワードクラック	パスワードクラックとは、他人のパスワードを不正に解読する行為です。主な手法には「辞書攻撃」「ブルートフォース攻撃」「レインボーテーブル攻撃」などがあります。強力なパスワード（長くて複雑）と二要素認証で、クラックを防ぎましょう。
辞書攻撃	辞書攻撃は、「password」「123456」などのよく使われる単語リストを使ってパスワードを推測する方法です。英単語だけでなく、日本の場合は「誕生日」「名字＋数字」もターゲットになります。予測不能なパスワード（例：Xk9#mQ!p）を使えば防げます。
ブルートフォース攻撃	ブルートフォース攻撃は、すべての文字の組み合わせを試す「総当たり」攻撃です。たとえば4桁の数字なら0000～9999を全部試します。計算量は膨大ですが、GPUやクラウドを使えば短時間で突破可能です。パスワードを長く（12文字以上）すれば、現実的に不可能になります。
類推攻撃	類推攻撃は、ユーザーの属性（名前、誕生日、ペットの名前など）からパスワードを推測する方法です。SNSの投稿からヒントを得て攻撃します。プライベート情報をネットに書き込まず、パスワードに個人情報を含めないことが重要です。
パスワードリスト攻撃	パスワードリスト攻撃は、過去の流出データ（例：「id: tanaka, pw: abc123」）をもとに、同じIDとパスワードの組み合わせを他のサービスで試す攻撃です。これを防ぐには「サービスごとに異なるパスワード」を使うしかありません。パスワードマネージャーの利用が推奨されます。
レインボーテーブル攻撃	レインボーテーブル攻撃は、事前にハッシュ値と平文の対応表（レインボーテーブル）を作っておき、パスワードのハッシュ値から逆引きする手法です。対策として「ソルト（salt）」というランダム値をパスワードに加えてハッシュ化します。式： H=Hash(Password+Salt) これにより、テーブル攻撃を無効化できます。
フットプリンティング	フットプリンティングは、攻撃者がターゲットのシステム情報を収集する初期段階の行為です。IPアドレス、OS種別、使用ソフトなどを調べ、どの攻撃が有効かを判断します。WHOIS検索やDNS情報、公開ポートから情報を得ます。情報公開の最小化が防御につながります。
ポートスキャン	ポートスキャンは、ターゲットのコンピュータで開いている「ポート（通信の入り口）」を調べる行為です。開いているポート＝稼働中のサービス（例：Webサーバー）を意味し、そこが攻撃の突破口になります。ファイアウォールで不要なポートを閉じるのが基本対策です。
ICPスキャン	TCPスキャンは、TCPプロトコルを使ってポートの状態を調べるスキャン手法です。代表的なのは「フルコネクションスキャン」で、実際に接続を試みます。確実ですがログに残りやすく、攻撃者にはあまり使われません。
SYNスキャン	SYNスキャンは、TCPの3-way handshakeの途中で止める「ステルススキャン」です。SYNパケットを送り、返ってきたSYN+ACKでポートが開いていると判断します。接続を完了しないためログに残りにくく、最もよく使われるスキャン手法です。
FINスキャン	FINスキャンは、TCPの終了フラグ（FIN）を送って反応を見るスキャンです。RFCに従うOSは、閉じたポートにのみRSTを返すため、反応がなければポートが開いていると推測できます。ファイアウォールを回避できる場合がありますが、Windowsでは無効です。
UDPスキャン	UDPスキャンは、UDPプロトコルのポートを調べる手法です。UDPはコネクションレスのため、ICMPエラーメッセージの有無で判断します。ただし、多くのシステムがICMPを抑制しているため、精度が低く、時間がかかります。DNSやDHCPなどUDPサービスの調査に使われます。

単語	意味
バッファオーバーフロー	プログラムが用意したメモリ領域（バッファ）よりも多くのデータを書き込むと、あふれたデータが隣接するメモリを上書きしてしまう現象です。悪意ある攻撃者はこの仕組みを利用して、任意のコードを実行させたり、システムをクラッシュさせたりします。たとえば、10文字分のバッファがあるのに「HelloWorld!」（12文字）を無理やり入れると、その後ろの重要なデータが壊れます。防御には境界チェックやセキュアな言語（Rust、Javaなど）の使用が有効です。
ディレクトリトラッバーサル	Webアプリケーションがファイル読み込み機能を持つ際、ユーザー入力で「../../etc/passwd」のように「..」（親ディレクトリ）を含むパスを指定されると、サーバ内の意図しないファイルにアクセスされる危険があります。これは「パストラバーサル」とも呼ばれます。たとえば、画像表示機能で「?img=../../../secret.txt」を送ると、内部ファイルが漏洩します。対策は、入力値の正規化と許可されたパス以外のアクセス禁止です。
SQLインジェクション	Webフォームに入力された文字列がそのままSQL文に組み込まれる場合、攻撃者が「' OR '1'='1」のような文字列を送ることで、データベースの認証やデータを不正操作できます。例えばログイン処理で sql 1 SELECT * FROM users WHERE name = '[入力]' AND pass = '[入力]' に対し「admin'--」と入力すると、条件が常に真になり、管理者としてログイン可能です。対策はプリペアドステートメント（パラメータ化クエリ）の使用です。
OSコマンドインジェクション	Webアプリが内部でOSコマンド（例：pingやls）を実行する際に、ユーザー入力をそのままコマンドに埋め込むと、攻撃者が「; rm -rf /」などの追加コマンドを実行させられます。たとえば「?host=google.com; cat /etc/passwd」でパスワードファイルが表示される可能性があります。防御には入力のサニタイズと、可能ならOSコマンドの使用自体を避けることです。
クロスサイトスクリプティング	Webページに悪意あるJavaScriptコードを埋め込み、他のユーザーのブラウザで実行させる攻撃です。たとえば掲示板に「<script>alert(document.cookie)</script>」を投稿すると、閲覧者のCookieが盗まれます。XSSには「保存型」「反射型」「DOM型」の3種類があります。対策は、出力時にHTMLエスケープ（< → < など）を行うことです。
フィッシング	本物そっくりの偽メールやWebサイトを使って、ユーザーからパスワードやクレジットカード情報を騙し取る手法です。たとえば「Amazonからのお知らせ」というメールに「アカウント停止の恐れがあります」と書かれ、偽サイトへ誘導されます。2025年以降はAI生成の高精細偽サイトが増加しており、注意が必要です。二要素認証（2FA）の導入が有効な防御策です。
スミッシング	SMS（ショートメッセージ）を使ったフィッシングで、「スミッシング（Smishing）＝SMS + Phishing」です。たとえば「【配達通知】荷物未受け取り。下記URLで再設定」というメッセージに偽リンクが含まれ、個人情報を入力させられます。日本では2025年に被害件数が前年比で約1.8倍に増加しています。SMS内のリンクは信頼できるものだけをクリックすべきです。
DNSキャッシュポイズニング	DNSサーバが持つキャッシュ（ドメイン名→IPアドレスの対応表）を改ざんし、ユーザーを偽サイトに誘導する攻撃です。たとえば「bank.example.com」を本来のIPではなく攻撃者のIPに変えることで、ログイン情報が盗まれます。DNSSEC（DNS Security Extensions）による署名検証が主要な対策です。
SEOポイズニング	検索エンジン最適化（SEO）技術を悪用し、人気キーワードで偽サイトを上位表示させる手法です。たとえば「無料動画ダウンロード」と検索すると、マルウェアを含むサイトが1位に表示され、ユーザーが感染します。2025年には生成AIを使った大量コンテンツ生成によるSEOポイズニングが急増しています。信頼できるドメインのみを訪問することが重要です。
リフレクタ攻撃	攻撃者が第三者のサーバ（リフレクタ）を介して標的に攻撃トラフィックを送る手法で、「リフレクション攻撃」とも呼ばれます。たとえばNTPやDNSサーバに小さな問い合わせを送ると、大きな応答が標的に向かうように仕向けます。これにより、攻撃元を隠しつつ大規模DDoS攻撃が可能です。対策は、オープンリゾルバやオープンNTPサーバの閉鎖です。
NTP増幅攻撃	ネットワークタイムプロトコル（NTP）のmonlist機能を悪用し、小さな要求で数十倍の応答を生成させて標的に洪水攻撃を行うDDoSの一種です。たとえば60バイトの要求で4000バイト以上の応答が返るため、帯域を圧迫します。2024年以降、多くのISPがNTPサーバの設定見直しを進め、被害は減少傾向ですが、未対応サーバが残っています。
Smurf攻撃	「スマーフ攻撃」と読む、ICMPプロトコルを利用した古典的DDoS攻撃です。攻撃者はブロードキャストアドレス宛に偽装ICMP Echoリクエスト（ping）を送り、ネットワーク内の多数の端末が一斉に応答（flood）することで標的を圧迫します。現代のルータはブロードキャストへのICMP転送を無効化しているため、実行は困難ですが、歴史的意義のある攻撃手法です。
ICMP Flood攻撃	大量のICMP Echoリクエスト（ping）を標的に送り続け、ネットワーク帯域やCPUを枯渇させる攻撃です。単純ですが、十分な帯域があれば効果的です。たとえば1秒間に10万パケットを送ると、小規模サーバは通信不能になります。対策はファイアウォールでのICMPトラフィック制限や、クラウド型DDoS防衛サービスの利用です。
SYN Flood攻撃	TCP接続の最初の「SYN」パケットを大量に送り、サーバの接続待ち状態（半開状態）を飽和させるDDoS攻撃です。通常は「SYN → SYN-ACK → ACK」と3回のやり取り（ハンドシェイク）で接続成立しますが、攻撃者はACKを返さず、リソースを占有します。対策にはSYN Cookieや接続数制限があります。
標的型攻撃	特定の組織や個人を狙い、綿密に計画された攻撃です。たとえば、ある企業の役員を調べ、その関心に沿ったメール（「業界レポート添付」など）でマルウェアを送ります。2025年にはAIを活用したカスタマイズ型メールが増加し、従来のフィルタを回避するケースが増えています。従業員教育とEDR（Endpoint Detection and Response）導入が鍵です。
水飲み場攻撃	「ウォーターホール攻撃」とも呼ばれ、標的がよく訪れるWebサイトにマルウェアを仕掛け、そこを経由して感染させる手法です。たとえば、ある業界の技術者がよく見るブログに脆弱性を突くスクリプトを埋め込み、アクセスしたPCを乗っ取ります。対策はブラウザ・OSの最新化と、Web隔離（Web Isolation）技術の活用です。
やり取り型攻撃	攻撃者が通信の流れを監視・介入し、送受信内容を改ざんまたは盗聴する手法で、中間者攻撃（MITM）の一種です。たとえば、公共Wi-Fiで通信を傍受し、ログイン情報を取得します。防御にはHTTPS（SSL/TLS）通信の徹底と、証明書の検証が不可欠です。
ビジネスメール詐欺（BEC）	企業幹部や取引先を装い、社内メールで「至急振込お願い」と偽指示を出す詐欺です。2025年には生成AIによる自然な日本語メールが多用され、見分けが難しくなっています。対策は「金銭関連は必ず電話確認」などの社内ルールと、メールゲートウェイの高度なフィルタリングです。
中間者攻撃	通信路に攻撃者が割り込み、AとBの間に自分を挟んで通信を盗聴・改ざんする攻撃です。たとえばカフェのフリーWi-Fiで、攻撃者がルータになりすまし、すべての通信を通過させます。防御にはHTTPSの利用（URLが「https://」で鍵マークあり）と、公開鍵証明書の正当性確認が必須です。
SSL/TLSのダウングレード攻撃	安全な通信（TLS 1.3など）を強制的に古い脆弱なプロトコル（SSL 3.0など）に落とし込む攻撃です。「POODLE攻撃」が有名で、暗号化を解除され通信内容が盗まれます。対策は古いプロトコルの無効化（SSL 3.0/TLS 1.0の廃止）と、最新のTLS設定の適用です。
リプレイ攻撃	正当な通信データを記録し、後で再送することで不正操作を行う攻撃です。たとえば「振込依頼」のパケットをコピーして再送すると、二重に振込されます。防御には「タイムスタンプ」や「ノンス（一度だけ使う乱数）」を通信に含め、同じデータの再利用を防ぎます。式で表すと、受信側は if nonce∈used_nonces⇒reject と判定します。
MITB攻撃	「Man-in-the-Browser（ブラウザ中間者）攻撃」とも呼ばれ、ブラウザにマルウェア（例：Zeus）を仕込み、オンラインバンキングの画面を改ざんして不正送金させる手法です。たとえば「送金先」欄が見えないまま、別の口座に送金されます。対策はアンチウイルスソフトと、銀行側の多要素認証（例：ワンタイムパスワード）です。
ドライブバイダウンロード攻撃	ユーザーが何の操作もせずに、脆弱性のあるブラウザで悪意あるWebサイトを訪れるだけでマルウェアが自動ダウンロード・実行される攻撃です。2025年は広告ネットワーク経由の攻撃（Malvertising）が主流です。対策はOS・ブラウザの自動更新と、広告ブロッカーの使用です。
クリックジャッキング	透明なボタンやiframeを重ねて、ユーザーが気づかないうちに「いいね！」や「ダウンロード」をクリックさせる攻撃です。たとえば「ゲーム開始」ボタンの下に「Facebookいいね」ボタンを隠します。防御にはHTTPヘッダー「X-Frame-Options: DENY」や「Content-Security-Policy: frame-ancestors 'none'」の設定です。
スクリプトジャッキング	Webサイトにスクリプトを埋め込み、訪問者のPCのCPUを使って攻撃者が暗号通貨をマイニング（採掘）する攻撃です。ユーザーはPCが重くなるだけで、気づきにくいのが特徴です。2025年にはAIトレーニング用の計算資源を奪う「AIジャッキング」も報告されています。対策はブラウザ拡張（例：NoCoin）や、スクリプト監視ツールの導入です。
スパムメール	大量に送られる迷惑メールで、広告・詐欺・マルウェア配布が目的です。2025年は生成AIにより、自然な日本語で個別名入りのスパムが増加しています。Gmailなどのフィルタは機械学習で99%以上をブロックしますが、完全ではありません。怪しいメールは開封せず、即削除が原則です。
Adversarial Examples攻撃	AIモデル（特に画像認識）に対して、人間には判別不能な微小なノイズを加えた入力を与えることで、誤認識させる攻撃です。たとえば「パンダ」の画像にノイズを加えると、AIは「チンパンジー」と判断します。これは自動運転や顔認証へのリスクとなり得ます。防御にはロバストな学習（Adversarial Training）が研究されています。
ソーシャルエンジニアリング攻撃	人間の心理的弱点を突いて情報を引き出す手法で、技術的脆弱性を使いません。「ダンプスターダイビング（ゴミあさり）」もその一種で、捨てられた書類からパスワードや社内情報を探ります。他にも「権威を装う」「緊急性を演出する」などのテクニックがあります。対策は社員教育と、情報廃棄時のシュレッダー使用です。
サイドチャネル攻撃	暗号処理中の電力消費・時間・電磁波などを観測し、秘密鍵を推測する攻撃です。たとえば、RSA暗号の処理時間が鍵のビットパターンに依存するため、それを計測して鍵を復元できます。物理的な隔離や、定数時間アルゴリズムの使用が対策です。
RLTrap	近年注目される新興攻撃で、強化学習（Reinforcement Learning）エージェントの報酬関数を操作し、意図しない行動を学習させる手法です。たとえば自律ロボットに「障害物を避けよ」と教える代わりに「センサーを壊せ」と学習させます。2025年から産業AIへの応用リスクが指摘されており、防御策はまだ発展途上です。
ペネトレーションテスト	システムの脆弱性を、攻撃者の視点で模擬的に探る「合法的なハッキング」です。ホワイトボックステスト（内部情報あり）とブラックボックステスト（外部からのみ）があります。2026年現在、クラウド環境やAIシステム向けのテスト手法が標準化されつつあります。定期実施がセキュリティ強化の基本です。
デジタルフォレンジックス	サイバー犯罪後の証拠収集・分析手法で、ハードディスクやメモリ、ネットワークログから攻撃の痕跡を復元します。たとえばランサムウェア感染後の暗号化キーの痕跡を解析し、復旧の手がかりを得ます。国際標準（ISO/IEC 27037）に基づき、証拠の改ざん防止が重要です。
耐タンパ性	システムが改ざん（Tampering）されにくい性質を指します。たとえばソフトウェアが起動時に自己チェックを行い、改変されていれば停止します。ブロックチェーンも「改ざん耐性」が高い技術の一例です。実装にはハッシュ値の検証や、セキュアブートが用いられます。
ゾーニング	ネットワークを「信頼できるゾーン（社内）」「非信頼ゾーン（インターネット）」「DMZ（公開サーバ用）」などに分け、セキュリティレベルを段階的に設定する設計思想です。たとえばWebサーバはDMZに置き、DBサーバとはファイアウォールで隔離します。ゼロトラスト時代でも基本となる考え方です。
クリアデスク	業務終了時に机の上に書類やUSBメモリを置きっぱなしにせず、すべて片付けるセキュリティ習慣です。情報漏洩やゴミあさり対策として、ISO/IEC 27001でも推奨されています。特に金融・医療機関では義務化されるケースが増えています。
クリアスクリーン	PCを離席する際にロックし、画面に情報を表示しないルールです。Windowsなら「Win+L」、Macなら「Control+Command+Q」で即時ロックできます。2025年調査では、中小企業の40%がこのルールを徹底できていないとの報告もあり、教育の重要性が高まっています。
アンチパスバック	物理アクセス制御で、1人が入室した後に続けて他人が尾随（テールゲート）できないようにする仕組みです。たとえば入退室ゲートで「1人1カード」を厳格に管理し、複数通過を検知したらアラームを鳴らします。データセンターなどで必須の対策です。
インターロックゲート	二重扉の間（エアロック）で、一方の扉が閉まるまでもう一方を開けられないようにするセキュリティ装置です。これにより、無断侵入や爆風の遮断が可能になります。原子力施設や高セキュリティラボで使われ、近年はクラウドデータセンターにも導入が進んでいます。
IPMOR	「Trusted Platform Module On Router」の略で、ルータ内蔵のTPMチップにより、ファームウェアの整合性を検証し、不正書き換えを防ぐ技術です。2025年以降、IoTルータのセキュリティ強化策として注目されています。TPMは暗号鍵をハードウェアで保護し、リモート証明（Remote Attestation）も可能にします。
シャドーIT	従業員が会社の承認なく私的にクラウドサービス（例：Google Drive、LINE）を使う行為です。業務効率は上がるものの、情報漏洩リスクが高まります。2025年調査では、企業の70%が何らかのシャドーITを検知しています。対策は「承認済み代替サービスの提供」と「DLP（Data Loss Prevention）導入」です。
不正のトライアングル	不正行為が起きる3要素「機会（Opportunity）」「動機（Pressure）」「正当化（Rationalization）」が揃うと、内部不正が発生しやすくなるという理論です。たとえば「給料が安い（動機）＋監査がない（機会）＋会社が悪い（正当化）」で横領が起きる。これを防ぐには、内部統制と倫理教育が重要です。

情報セキュリティ管理

単語	意味
リスクマネジメント	リスクマネジメントとは、「起こりうる悪い出来事（リスク）を予測し、その影響を最小限に抑えるための計画的な取り組み」です。情報セキュリティでは、ハッキングやデータ漏洩などのリスクを対象とします。たとえば「パスワードが盗まれたらどうなるか？」を考え、それを防ぐ手段を講じるのがリスクマネジメントです。目的は「完全にリスクをゼロにする」のではなく、「許容できるレベルまで下げる」ことです。
JIS Q 31000:2019	JIS Q 31000:2019は、日本工業規格（JIS）で定められた「リスクマネジメントの基本原則とガイドライン」です。国際規格ISO 31000:2018を日本語化・国内適用したもので、あらゆる組織がリスクを体系的に管理するためのフレームワークを提供します。この規格は特定の業種に限定されず、企業、学校、自治体などどこでも使える汎用性が特徴です。情報セキュリティ管理でも、リスクマネジメントの基本方針として広く参照されています。
リスクアセスメント	リスクアセスメントは、「リスクを特定→分析→評価」する一連のプロセスです。これはリスクマネジメントの中心的な活動で、具体的なリスクの内容とその重大度を明らかにします。たとえば「社内サーバーが外部から攻撃される可能性があるか？」「もし攻撃されたらどれだけの損失が出るか？」などを調査・判断します。この結果に基づいて、次にどのような対策を取るべきかが決まります。
リスク特定	リスク特定は、リスクアセスメントの第1ステップで、「何がリスクになり得るか」を洗い出す作業です。たとえば、情報システムでは「不正アクセス」「内部犯行」「自然災害による停電」などが候補になります。ヒアリング、チェックリスト、過去の事故事例の分析などを通じて、潜在的な脅威や脆弱性を列挙します。この段階では「あり得ない」と思えるものも含めて幅広く考えるのがポイントです。
リスク分析	リスク分析では、特定されたリスクが「どのくらいの確率で発生するか」「発生したときにどのくらいの被害が出るか」を定量的または定性的に評価します。たとえば、発生確率を「低・中・高」、影響度を「軽微・中程度・重大」と分類し、マトリクスで可視化します。数値で表す場合は、期待損失額＝発生確率 × 被害額といった式も使われます。
リスク評価	リスク評価は、分析結果をもとに「どのリスクを優先して対応すべきか」を判断する段階です。たとえば「発生確率が高く、影響も大きいリスク」は最優先で対処します。一方、「ほぼ起きないし、起きたとしても大したことない」リスクは後回しにできます。この評価により、限られたリソース（時間・お金・人手）を効率よく配分することが可能になります。
リスク対応	リスク対応には主に4つの戦略があります。 ① リスク回避：リスクの原因を完全に排除する（例：危険なサービスを使わない）。 ② リスク低減（軽減）：発生確率や影響を減らす（例：ファイアウォール導入、バックアップ取得）。 ③ リスク移転（転嫁）：第三者にリスクを負わせる（例：サイバー保険への加入）。 ④ リスク保有（受容）：リスクを受け入れ、対応しない（例：コストが見合わない小さなリスク）。実際には、これらを組み合わせて対応します。たとえば重要なシステムは「低減＋保険」で守ることが多いです。
ISO/IEC 15408	ISO/IEC 15408（通称「Common Criteria」）は、IT製品やシステムのセキュリティ機能を評価するための国際規格です。たとえば暗号モジュールやOSの信頼性を、第三者機関が一定の基準（Protection Profile）に基づいて検証します。日本では「共通基準適合性評価制度（JISEC）」がこれに対応しており、政府調達などで要求されることがあります。高校生向けに言えば、「セキュリティ性能の“検定試験”」のようなものです。
ISMS	ISMS（Information Security Management System：情報セキュリティマネジメントシステム）は、「情報を守るための仕組み全体」を指します。単にソフトウェアを入れるだけでなく、組織のルール、教育、監査、改善活動など、人的・技術的・物理的対策を統合的に運用します。PDCAサイクル（Plan→Do→Check→Act）を回しながら継続的に改善するのが特徴です。多くの企業がISMSを導入し、その証明としてISO/IEC 27001の認証を取得しています。
ISO/IEC 27002	ISO/IEC 27002は、ISMSを実装する際に参考にする「セキュリティ対策の実践ガイドライン」です。アクセス制御、暗号化、人的資源のセキュリティなど、100以上の具体的な管理策（コントロール）が記載されています。日本ではJIS Q 27002として制定されており、2022年の改訂で構成が大幅に見直され、現代のクラウド・リモートワーク環境にも対応しています。これは「何をやるべきか」のメニュー帳のような存在です。
ISO/IEC 27001	ISO/IEC 27001は、ISMSの「要求事項」を定めた国際規格で、組織がISMSを正式に構築・運用・維持するための枠組みを提供します。日本ではJIS Q 27001として同等の内容が規定されています。この規格に準拠し、第三者認証機関の審査に合格すると「ISO 27001認証」を取得でき、顧客や取引先への信頼向上につながります。2026年現在、日本国内での認証取得企業は1万件以上に上っています。
CSIRT	CSIRT（Computer Security Incident Response Team）は、「サイバー攻撃や情報漏洩などのインシデント（事故）に迅速に対応する専門チーム」です。企業や大学、政府機関などに設置され、被害の拡大防止、原因分析、再発防止策の提案を行います。たとえばランサムウェア感染が発覚したら、CSIRTが隔離・復旧・報告を一手に担います。近年は「SOC（Security Operations Center）」と連携する形で常時監視も行うケースが増えています。
JPCERT/CC	JPCERT/CC（Japan Computer Emergency Response Team Coordination Center）は、日本の国家的なCSIRTとして、サイバー攻撃への対応支援や情報共有を行う非営利組織です。企業や行政機関からの相談を受け付け、国内外のCERTと連携して脅威情報を発信しています。たとえば大規模なフィッシング攻撃が発生した際、JPCERT/CCが注意喚起メールを配信し、被害拡大を防ぎます。2026年現在、国内の主要なインシデント対応の中核を担っています。
PSIRT	PSIRT（Product Security Incident Response Team）は、ソフトウェアやハードウェアメーカーが自社製品の脆弱性対応のために設ける専門チームです。たとえばあるスマートフォンにセキュリティ欠陥が見つかった場合、PSIRTが調査・修正プログラムの開発・ユーザーへの通知を行います。AppleやMicrosoft、富士通など大手企業には必ずPSIRTが存在し、CVE（後述）を通じて脆弱性情報を公開します。
SIM3	SIM3（Security Information and Incident Management for Medium and Small-sized enterprises）は、中小企業向けにIPA（情報処理推進機構）が提供する無料のセキュリティ監視・インシデント対応支援サービスです。ログ収集・分析ツールをクラウドで提供し、異常通信やマルウェア感染の兆候を検知します。2026年現在、全国の中小企業約5,000社以上が利用しており、専門人材が不足しがちな中小企業のセキュリティ強化に貢献しています。
JVN	JVN（Japan Vulnerability Notes）は、IPAとJPCERT/CCが共同で運営する、日本語の脆弱性情報ポータルサイトです。国内で発見されたソフトウェアの脆弱性について、CVE番号、影響範囲、対策方法などを分かりやすく解説しています。たとえば「Windowsの更新が必要」というニュースの裏には、JVNが詳細情報を提供していることが多いです。一般ユーザーも無料で閲覧可能で、セキュリティ対策の第一歩として活用されています。
J-CRAT	J-CRAT（Japan Cyber Resilience and Awareness Team）は、内閣官房が2023年に設立した国家レベルのサイバーセキュリティ啓発・支援チームです。特に地方自治体や医療機関など、サイバー攻撃に弱いセクターを重点的に支援します。訓練の実施、緊急時の対応支援、国民向け啓発キャンペーン（例：「パスワードの使い回し禁止」）などを展開しており、2026年現在、全国の自治体の9割以上がJ-CRATと連携しています。
CRYPTREC	CRYPTREC（Cryptography Research and Evaluation Committees）は、総務省と経済産業省が運営する、暗号技術の評価・推奨を行う専門委員会です。電子政府や民間システムで使うべき安全な暗号方式（例：AES、RSA、SHA-256）をリストアップし、定期的に見直しています。逆に「使ってはいけない古い暗号（例：MD5、DES）」も明示しており、開発者が安全な選択をするための指針となっています。2026年版では、ポスト量子暗号（PQC）の候補も追加されました。
ISMAP	ISMAP（Information System Security Management and Assessment Program）は、政府がクラウドサービスの安全性を評価・公表する制度です。AWS、Azure、さくらのクラウドなどが対象で、セキュリティ要件を満たしたサービスは「ISMAP適合」として政府機関が利用可能になります。民間企業もこのリストを参考に安全なクラウドを選ぶことができ、2026年現在、登録サービスは100件以上に達しています。これは「国がお墨付きを与えた安全なクラウド」の目安です。
CVSS	CVSS（Common Vulnerability Scoring System）は、脆弱性の深刻度を数値（0.0～10.0）で評価する国際的なフレームワークです。基本評価（Base）、現状評価（Temporal）、環境評価（Environmental）の3つのメトリクスから構成され、たとえば「リモートから誰でも攻撃可能で、システムが完全に乗っ取られる」ような脆弱性は9.8など高スコアになります。このスコアを見て、企業は「どの脆弱性を優先して修正すべきか」を判断します。
CCE	CCE（Common Configuration Enumeration）は、セキュリティ設定（例：「パスワードの長さを8文字以上にする」）に一意のIDを付与する標準です。これにより、異なるツールや組織間で同じ設定を正確に指し示せます。たとえば「CCE-12345-6」というIDが「SSHのrootログインを禁止する設定」を意味する、といった具合です。米国NISTが中心となって整備されており、自動化されたセキュリティ設定チェックに活用されています。
CVE	CVE（Common Vulnerabilities and Exposures）は、世界中のソフトウェア脆弱性に一意のID（例：CVE-2025-1234）を付けて管理するリストです。MITREという非営利団体が運営し、IPAやJPCERT/CCも協力しています。このIDがあれば、誰でも同じ脆弱性を正確に特定・検索でき、パッチ情報や対策を共有しやすくなります。2026年1月時点で、登録件数は25万件を超え、日々更新されています。
CWE	CWE（Common Weakness Enumeration）は、ソフトウェアの「典型的な脆弱性の原因（欠陥パターン）」を集めたカタログです。たとえば「バッファオーバーフロー」「SQLインジェクション」「不適切な入力検証」などがCWE-120、CWE-89などとして分類されています。開発者はこのリストを参考に、コードを書く段階から脆弱性を防ぐことができます。CWEはCVEの「なぜその脆弱性が生まれたか」の背景を説明する役割も果たします。