日々進化しているIT業界において、セキュリティに関する絶対に覚えておくべき基本用語と最新のトレンド用語を厳選して46個ご紹介します。情シス担当者や企業の情報セキュリティ担当者は、本記事で紹介するセキュリティ用語は全て押さえておくようにしましょう。

最新！セキュリティ用語46選

ISMS （情報セキュリティマネジメントシステム）

ISMS（Information Security Management System）は、組織内で情報セキュリティを体系的に管理するためのフレームワークです。
情報セキュリティポリシーの策定、実施、監視、改善などのプロセスを含みます。
これにより、機密性、完全性、可用性などの情報セキュリティの要件を確保し、リスクを管理します。

IDS

IDSは、ネットワークやシステム内の異常なアクティビティを監視し、悪意のある侵入を検出します。
検出されたイベントは警告やログとして記録され、セキュリティプロフェッショナルによる調査や対策を支援します。

⇒セキュリティ対策IDSとIPSとは？機能と役割、2つの違いについて解説

IPS

IPSは、IDSの機能に加えて、侵入を検出した後、自動的に攻撃を遮断または阻止します。
これにより、即座に対策を実施し、セキュリティ脅威からシステムを保護します。

⇒セキュリティ対策IDSとIPSとは？機能と役割、2つの違いについて解説

EDR（Endpoint Detection and Response）

EDRはエンドポイントデバイス（コンピューター、スマートフォンなど）に導入され、セキュリティインシデントを検出し、迅速に対応する能力を提供します。
通常、マルウェアの検出や不審なアクティビティの監視に使用されます。

⇒EDRとは？EPPとの違いや概要、製品比較まで徹底解説

SQLインジェクション（SQL Injection）

SQLインジェクションは、アプリケーションのデータベースに不正なSQLを実行する攻撃手法です。
攻撃者がアプリケーションに対して不正なSQLクエリを送信し、データベースから情報を取得したり、データベースを操作したりすることができます。

NGAV

NGAVは、伝統的なアンチウイルスソフトウェアに比べて高度な検出機能を備えた次世代のウイルス対策ソフトウェアです。
挙動分析や機械学習を活用して新たな脅威を検出し、防御します。

⇒NGAV（次世代型アンチウイルス）とは？従来型との違いや製品の選び方のポイントまで

OSINT (Open Source Intelligence)

OSINTは、オープンソースから収集した情報を分析し、独自の情報を得る手法です。
脅威情報の収集や不正行為検知などセキュリティ監視に活用できます。

⇒OSINTとは？OSINTの意味や重要性、簡単な調査方法を解説

CASB（Cloud Access Security Broker）

CASBは、クラウドサービスの利用時にセキュリティポリシーを適用し、データの保護を強化するためのツールです。
クラウドアプリケーションへのアクセスとデータ共有を制御します。

⇒CASBとは？導入のメリットや注意点まで徹底解説

SASE (Secure Access Service Edge)

SASEは、ネットワークとセキュリティを統合したアーキテクチャで、クラウドベースのセキュリティとネットワークサービスを提供します。
ユーザーとデバイスのセキュアなアクセスを実現します。

⇒SASEとは？クラウド時代に最適なシステム運用方法を徹底解説
⇒【最新版】SASE製品徹底比較！おすすめ3選紹介

サイバー脅威インテリジェンス（Cyber Threat Intelligence）

サイバー脅威インテリジェンスは、サイバー攻撃に関する情報を収集、分析、共有するプロセスです。
攻撃の手法、攻撃者の特徴、攻撃の標的などに関する情報を提供し、組織がサイバー脅威に対処するための意思決定をサポートします。
インテリジェンスは、セキュリティ戦略の構築と実行に不可欠です。

サプライチェーン攻撃

サプライチェーン攻撃は、組織のサプライチェーンに潜入し、信頼性のあるパートナーや供給業者を入口として不正アクセスなどを行うサイバー攻撃の手法です。
これにより、多くの組織が影響を受ける可能性があります。

CSIRT（Computer Security Incident Response Team）

CSIRTは、セキュリティインシデントに対処する専門のチームで、インシデントの検出、対応を担当します。
セキュリティインシデントの迅速な対応を支援し、被害を最小限に抑えます。

CCSP

CCSPは、クラウドセキュリティの専門知識とスキルを持つセキュリティプロフェッショナルを認定する資格です。
クラウド環境でのセキュリティに関する高い専門知識が求められます。

⇒CCSPとは？おすすめの勉強法や試験概要、取得メリットまで

SIEM（Security Information and Event Management）

SIEMは、セキュリティイベントの収集、分析、監視を行い、セキュリティインシデントを早期に検出するためのソフトウェアツールやサービスの統合プラットフォームです。

⇒SIEMにより新たなセキュリティ対策を！機能やメリット、必要とされる背景

シングルサインオン（Single Sign-On, SSO）

SSOは、複数のアプリケーションやサービスに対して、1つの認証情報でアクセスできる仕組みです。
ユーザーエクスペリエンスを向上させつつ、セキュリティを強化します。

ZTNA (Zero Trust Network Access)

ZTNAは、ゼロトラストモデルをベースにしたセキュリティネットワークアクセスの方法です。
従来のVPNとは異なり、より柔軟でセキュリティの高いアクセスを実現します。

⇒ZTNA (Zero Trust Network Access) とは？メリットやVPNとの比較も

セキュリティアップデート（Security Patch）

セキュリティアップデートは、ソフトウェアやオペレーティングシステムの脆弱性を修正するための修正プログラムです。
これらを適切に適用することで、システムのセキュリティを強化できます。

セキュリティインシデント（Security Incident）

セキュリティインシデントは、システムまたはネットワークでのセキュリティ違反、侵害、または異常事象を指します。

セキュリティオーディット（Security Audit）

セキュリティオーディットは、組織のセキュリティポリシー、プロセス、および技術を評価するプロセスです。
外部のセキュリティ専門家が、セキュリティの脆弱性やリスクを特定し、組織に対する脅威に対処するための推奨事項を提供します。

セキュリティトークン（Security Token）

セキュリティトークンは、ワンタイムパスワードを生成する機器やソフトウェアのことです。
最近では、二要素認証の1つとして取り入れられています。

セキュリティポリシー（Security Policy）

セキュリティポリシーは、組織内で適用されるセキュリティに関するルール、ガイドライン、基準のセットです。
これは、情報資産の保護、アクセス制御、データの取り扱い、パスワードポリシーなど、セキュリティに関する方針を文書化したものです。

脆弱性（Vulnerability）

脆弱性は、システムやソフトウェア内のセキュリティ上の弱点を指します。
攻撃者はこれらの脆弱性を悪用してシステムに侵入し、攻撃を行います。

⇒脆弱性とは？発生原因から被害事例、対処法までわかりやすく解説
⇒脆弱性診断とは？脆弱性を放置するリスクやおすすめの診断ツールも紹介
⇒脆弱性診断ツールおすすめ4選！選び方のポイントを解説

ゼロトラスト（zero trust security model）

ゼロトラストは、「全てを信頼せずに検証する」という新しいセキュリティの概念です。ゼロトラストモデルは、守るべき情報資産は社内外に存在することを前提とし、ネットワーク内のすべてのユーザーやデバイスに対して、厳格なアクセスコントロールと認証を要求します。

⇒ゼロトラストとは？実現するポイントやゼロトラストが広まった背景も解説！

SOAR（Security Orchestration Automation and Response）

SOARは、インシデント対応、オーケストレーション、自動化を統合的に管理する支援するプラットフォームです。
セキュリティチームの効率性を向上させ、迅速な対応を可能にします。

⇒SOARとは？SOARが求められる理由や機能、SIEMとの違いについて解説

SOC（Security Operation Center）

SOCは、セキュリティインシデントの監視、検出、対応を行う専門的なセキュリティチームや施設のことを指します。
セキュリティオペレーションの中心であり、サイバーセキュリティを強化します。

⇒SOCとは？仕組みや最適な仕組みまで紹介

ダークウェブ

ダークウェブは、一般的な検索エンジンではアクセスできない非公開なインターネットの一部です。
ここでは、匿名性が高く、不正取引、違法なコンテンツ、ハッキングツール、盗まれたデータなどが売買されます。

⇒ダークウェブとは？対策方法のダークウェブモニタリングも紹介

DRP（Disaster Recovery Plan）

DRPは、システムやデータの災害からの迅速な回復を確保するための計画です。
データバックアップ、システム復旧手順、災害時の拠点などを含みます。

DMZ（Demilitarized Zone）

DMZは、企業ネットワークと外部ネットワークの間に設けられたセキュリティゾーンで、公開サーバーやサービスを配置することがあります。
内部ネットワークと外部からの攻撃を分離するために使用されます。

DoS攻撃（Denial of Service Attack）

DoS攻撃は、攻撃者がネットワーク、システム、またはサービスに過度なトラフィックを送信することにより、正規のユーザーがアクセスできなくなるようにする攻撃です。
目的は、サービスの中断や利用不能を引き起こすことです。

二次漏洩

二次漏洩は、発生したデータ漏洩またはセキュリティインシデントの後、漏洩した情報がさらに拡散することを指します。
初めての漏洩が外部に知られないようにし、情報を保護するために努力が払われても、さらなる漏洩が発生する可能性があります。

二要素認証（Two-Factor Authentication, 2FA）

二要素認証は、正規のユーザーであることを確認するセキュリティプロセスで、通常は3つの要素（何か知っている、何か持っている、何かある）の内、2つを組み合わせて認証を行います。
例えば、パスワード（何か知っている）とスマートフォンに送信される一時的なコード（何か持っている）を組み合わせて利用します。
これにより、不正アクセスを防ぎ、セキュリティを向上させます。

ネットワークセグメンテーション（Network Segmentation）

ネットワークセグメンテーションは、ネットワークを複数のセグメントまたはサブネットに分割するセキュリティプラクティスです。
各セグメントは独自のセキュリティポリシーとアクセス制御を持ち、セキュリティを強化します。

バックドア（Backdoor）

バックドアは、システムやソフトウェアに秘密のアクセスポイントを作成することで、攻撃者が後でアクセスできるようにする手法です。
非合法なアクセスや悪用に使用されます。
セキュリティ上の脅威においてすべてのバックドアの設置を防ぐことが重要です。

パスワードハッシュ（Password Hash）

パスワードハッシュは、パスワードを保護するために使用される暗号化された形式です。
通常、ハッシュ関数を使用してパスワードが一定の長さのランダムな文字列に変換され、データベース内に格納されます。
ハッシュ化されたパスワードは元のパスワードを非表示にし、不正アクセスやパスワードの漏洩から保護します。

BCP（Business Continuity Plan）

BCPは、組織が予期せぬ災害や中断に備え、事業継続性を確保するための計画です。
重要な業務プロセスの継続性を確保し、システムやデータの復旧を助けます。

⇒BCP対策とは？BCP対策のメリットと策定の流れを解説

PKI（Public Key Infrastructure）

PKIは、公開鍵暗号化のためのインフラストラクチャーで、デジタル証明書の発行、鍵の管理、認証などを提供します。
セキュリティとデータ保護に重要です。

標的型攻撃

標的型攻撃は、特定の組織、個人、または業界を標的にした高度なサイバー攻撃の形態です。
攻撃者は被害者のシステムとネットワークに侵入し、カスタマイズされた手法を使用して機密情報を窃取またはシステムを破壊しようとします。

⇒標的型攻撃とは？仕組みから手法、対策方法まで徹底解説

VPN（Virtual Private Network）

VPNは、公衆ネットワーク（インターネットなど）を通じてデータ通信を暗号化し、セキュリティトンネルを確立する技術です。
VPNを使用することで、リモートユーザーやリモートオフィスは、安全に組織内のネットワークに接続できます。

⇒VPNのセキュリティは安全？セキュリティリスクと対策
⇒【最新】VPN製品おすすめ6選！徹底比較

ブラックハットハッカー（Black Hat Hacker）

ブラックハットハッカーは、不正な活動や犯罪行為のためにコンピューターシステムを侵害する個人またはグループを指します。
彼らは合法的な許可なしにシステムにアクセスし、データを盗んだり、システムを損傷させたり、その他の不正行為を行ったりします。

プライバシー・バイ・デザイン

プライバシー・バイ・デザインは、データ保護とプライバシーを製品やサービスの設計段階から組み込むアプローチです。
これは、ユーザーの個人情報を適切に保護し、プライバシー侵害を最小限に抑えるための原則です。
プライバシー保護はデフォルトで提供され、顧客の信頼性を構築し、規制要件を遵守するために重要です。

ファイアウォール

ファイアウォールは、ネットワークとインターネットの間に配置され、不正なトラフィックやアクセスを制限するセキュリティデバイスまたはソフトウェアです。
特定のポートやプロトコルを通じた不正アクセスを防ぎ、ネットワークの安全性を確保します。

⇒ファイアウォールの基本を知っておこう｜設定方法からトラブルシューティングまで

フィッシング詐欺

フィッシング詐欺は、偽のウェブサイトや電子メールを使用して、被害者から個人情報や金銭を盗み取る詐欺手法です。
一般的にはURLや添付ファイルを通じて実施されます。
手口が巧妙化していることから、近年被害が増えています。個人だけではなく、組織に対して行われることがあるため注意が必要です。

ペネトレーションテスト（Penetration Testing）

ペネトレーションテストは、システムやネットワークのセキュリティを評価するために合法的に侵入テストを行うプロセスです。

ホワイトハッカー（White Hat Hacker）

ホワイトハットハッカーは、合法的な目的でセキュリティテストを行う個人または専門家です。
侵入テストや脆弱性評価を実施し、セキュリティを向上させる役割を果たします。

Mirai（マルウェア）

​​Miraiは、IoT（Internet of Things）デバイスに感染し、ボットネットを形成するマルウェアです。
ボットネットは、大規模なDDoS攻撃に利用され、サービスの遮断やネットワークへの攻撃に関与します。

⇒ランサムウェアとは？手口や対策まで詳しく解説

ランサムウェア（ランサムワーム）

ランサムウェアは、コンピュータやデータを暗号化し、被害者に身代金支払いを要求する悪意のあるソフトウェアです。
身代金を支払うまでデータへのアクセスが拒否され、身代金の支払いに復号鍵の提供が約束される場合もあります。

⇒ランサムウェアから企業を守る！未然防止策から感染時の対処手順も解説

まとめ

今回ご紹介した用語以外にもセキュリティに関するIT用語は膨大に存在しています。
企業にとって情報漏洩のリスクは非常に大きいため、最新のセキュリティに関する用語は押さえた上で自社のセキュリティを強化していきましょう。
弊社では、セキュリティ用語集を含め、最新の脅威動向や事例、セキュリティ対策方法などが1冊に詰まった、セキュリティ大全資料をご用意しております。セキュリティ対策の見直しや更なる強化にぜひお役立てください。