ISO 27001およびISMS（情報セキュリティマネジメントシステム）に関連する300の用語集

ISO 27001およびISMS（情報セキュリティマネジメントシステム）に関連する300の用語集を日本語と英語を併記し、アルファベット順に並べて解説します。

A

• Access Control (アクセス制御): アクセス制御 - 情報資産へのアクセスを制限するためのプロセスで、適切な権限を持つ者のみがアクセスできるようにします。
• Accountability (アカウンタビリティ): 説明責任 - 情報セキュリティに関して、各人が自らの行動に責任を持つことです。
• Accreditation (認定): 認定 - ISMSの適合性を第三者が認定するプロセスで、ISO 27001の基準に基づいて行われます。
• Asset (資産): 資産 - 組織にとって価値のある情報、ハードウェア、ソフトウェアなどを指します。
• Audit (監査): 監査 - ISMSの運用や効果を評価するために、定期的に実施される審査や調査のことです。
• Authentication (認証): 認証 - 利用者が正当な権利を持つ者であることを確認するプロセスです。
• Authorization (認可): 認可 - 認証されたユーザーに対して、特定のリソースへのアクセス権限を付与するプロセスです。
• Availability (可用性): 可用性 - 必要なときに情報資産が利用可能である状態を指します。

B

• Baseline Security (ベースラインセキュリティ): ベースラインセキュリティ - 最低限必要とされるセキュリティ対策の基準です。
• Breach (侵害): 侵害 - 情報セキュリティのルールや方針が破られることを指します。特に、データ漏洩などがこれに含まれます。
• Business Continuity Plan (BCP) (事業継続計画): 事業継続計画 - 重大な障害や災害が発生した際に、組織が事業を継続するための計画です。
• Business Impact Analysis (BIA) (事業影響分析): 事業影響分析 - 事業の中断が組織に与える影響を評価し、重要な業務を特定するプロセスです。

C

• Certification (認証): 認証 - ISMSがISO 27001の要件を満たしていることを第三者が公式に確認し、認定することです。
• Chief Information Security Officer (CISO) (最高情報セキュリティ責任者): 最高情報セキュリティ責任者 - 組織の情報セキュリティ戦略を監督する責任者です。
• Classification (分類): 分類 - 情報資産をその重要性や機密性に基づいて分類するプロセスです。
• Compliance (コンプライアンス): コンプライアンス - 法律や規制、規範を遵守することを指します。
• Confidentiality (機密性): 機密性 - 情報が許可された者以外にはアクセスされないことを保証する特性です。
• Continuous Improvement (継続的改善): 継続的改善 - ISMSの効果を持続的に向上させるためのプロセスです。
• Control (統制): 統制 - セキュリティリスクを管理するために実施される方策や対策を指します。
• Corrective Action (是正措置): 是正措置 - 発生した問題や不適合を修正するための具体的な行動を指します。
• Cybersecurity (サイバーセキュリティ): サイバーセキュリティ - ネットワーク、システム、データをサイバー攻撃から守るための実践や技術です。

D

• Data Classification (データ分類): データ分類 - データをその機密性や重要性に基づいて分類し、適切に保護することです。
• Data Encryption (データ暗号化): データ暗号化 - データを保護するために、アルゴリズムを使って読み取り不可能な形式に変換することです。
• Data Integrity (データ完全性): データ完全性 - データが正確であり、許可されない改ざんが行われていないことを保証する特性です。
• Data Loss Prevention (DLP) (データ損失防止): データ損失防止 - 敏感な情報が組織の外部に流出するのを防ぐための技術やプロセスです。
• Digital Forensics (デジタルフォレンジックス): デジタルフォレンジックス - サイバー犯罪やインシデントに対する調査と証拠収集の技術です。
• Disaster Recovery Plan (DRP) (災害復旧計画): 災害復旧計画 - 重大な障害が発生した場合に、ITシステムを復旧させるための計画です。
• Document Control (文書管理): 文書管理 - ISMSに関する文書が適切に管理され、更新されることを確保するプロセスです。

E

• Encryption (暗号化): 暗号化 - データを保護するためにアルゴリズムを使用して、読み取り不可能な形式に変換するプロセスです。
• Enterprise Risk Management (ERM) (企業リスク管理): 企業リスク管理 - 企業全体のリスクを包括的に管理するためのフレームワークです。
• Ethical Hacking (エシカルハッキング): エシカルハッキング - システムの脆弱性を発見し、改善するために、合法的に行われるハッキング活動です。
• Event Logging (イベントロギング): イベントロギング - システムやネットワークで発生したすべてのイベントを記録するプロセスです。
• Extranet (エクストラネット): エクストラネット - 企業内部のネットワークを選択的に外部パートナーと共有するためのネットワークです。

F

• Firewall (ファイアウォール): ファイアウォール - ネットワークトラフィックを制御し、外部からの不正アクセスを防ぐためのセキュリティシステムです。
• Forensic Investigation (フォレンジック調査): フォレンジック調査 - サイバーインシデント後のデジタル証拠を収集し、分析するプロセスです。
• Framework (フレームワーク): フレームワーク - 情報セキュリティ管理を行うためのガイドラインや構造を提供する枠組みです。

G

• Gap Analysis (ギャップ分析): ギャップ分析 - 現在の状態と目標状態との間の差異を特定し、改善のための方針を策定するプロセスです。
• Governance (ガバナンス): ガバナンス - 組織の目標達成のために、意思決定や管理を行う枠組みです。

H

• Honeypot (ハニーポット): ハニーポット - 攻撃者を引き寄せ、攻撃手法を観察するために設置された偽のシステムやデータです。

I

• Identification (識別): 識別 - 個人やシステムの身元を確認するプロセスです。
• Incident Response (インシデント対応): インシデント対応 - セキュリティインシデントが発生した際に、それに対処するためのプロセスです。
• Information Asset (情報資産): 情報資産 - 組織にとって価値があり、保護すべき情報やデータを指します。
• Information Security (情報セキュリティ): 情報セキュリティ - 情報の機密性、完全性、および可用性を保護するための対策や管理手法です。
• Information Security Management System (ISMS) (情報セキュリティマネジメントシステム): 情報セキュリティマネジメントシステム - 情報セキュリティを組織的に管理するための一連のポリシーや手順、プロセスです。
• Integrity (完全性): 完全性 - 情報が不正に変更されていないことを保証する特性です。
• Internal Audit (内部監査): 内部監査 - ISMSの運用状況を確認し、改善点を特定するために組織内部で行われる監査です。
• ISO/IEC 27001 (ISO/IEC 27001): ISO/IEC 27001 - 情報セキュリティマネジメントシステムの国際規格で、情報資産の保護を目的としています。

J

• Joint Venture (合弁事業): 合弁事業 - 二つ以上の企業が共同で新しい事業を立ち上げることを指し、情報セキュリティの管理が求められます。

K

• Key Management (鍵管理): 鍵管理 - 暗号化や復号化に使用する暗号鍵の生成、配布、保管、廃棄を行うプロセスです。
• Know Your Customer (KYC) (顧客確認): 顧客確認 - 組織が取引相手の身元を確認するために行うプロセスで、特に金融業界で重要です。

L

• Layered Security (多層防御): 多層防御 - 複数のセキュリティ対策を重ねることで、攻撃からの保護を強化する手法です。
• Least Privilege (最小特権): 最小特権 - ユーザーやシステムに対して、必要最小限の権限のみを付与するセキュリティ原則です。
• Legal Compliance (法令遵守): 法令遵守 - 組織が適用されるすべての法律や規制を遵守することを指します。

M

• Malware (マルウェア): マルウェア - 悪意のあるソフトウェアで、システムやネットワークに損害を与える目的で作成されます。
• Management Review (経営レビュー): 経営レビュー - 経営者がISMSの運用状況を定期的に確認し、必要な改善を指示するプロセスです。
• Mitigation (緩和策): 緩和策 - セキュリティリスクの影響を減少させるための措置です。
• Mobile Device Management (MDM) (モバイルデバイス管理): モバイルデバイス管理 - モバイルデバイスのセキュリティと管理を行うためのシステムやポリシーです。
• Monitoring (監視): 監視 - 情報システムやネットワークの状態を常に観察し、異常や問題を早期に検知することです。

N

• Network Security (ネットワークセキュリティ): ネットワークセキュリティ - ネットワークインフラを保護し、不正アクセスや攻撃から守るための技術やプロセスです。
• Nonconformity (不適合): 不適合 - ISMSの要件や方針に対して、適合していない状態を指します。

O

• Objective (目的): 目的 - ISMSにおいて達成すべき具体的な目標や成果を指します。
• Offsite Backup (オフサイトバックアップ): オフサイトバックアップ - データを災害などから保護するため、別の物理的な場所にバックアップを保存することです。
• Operational Security (OpSec) (運用セキュリティ): 運用セキュリティ - 日常業務におけるセキュリティリスクを管理するためのプロセスです。
• Outsourcing (アウトソーシング): アウトソーシング - 組織の業務やプロセスを外部の企業に委託することです。情報セキュリティの観点から、委託先の管理が重要です。

P

• Patch Management (パッチ管理): パッチ管理 - ソフトウェアの脆弱性を修正するために、更新プログラム（パッチ）を適用するプロセスです。
• Penetration Testing (ペネトレーションテスト): ペネトレーションテスト - システムやネットワークの脆弱性を発見するために、意図的に攻撃を行うテストです。
• Personal Data (個人データ): 個人データ - 個人を特定できる情報で、法律により保護されています。
• Phishing (フィッシング): フィッシング - 不正な手段で個人情報を騙し取る詐欺の手法です。
• Policy (ポリシー): ポリシー - 組織が遵守すべき基本的な方針やルールを定めた文書です。
• Preventive Action (予防措置): 予防措置 - 潜在的な問題を事前に防止するために講じる具体的な行動を指します。
• Privacy (プライバシー): プライバシー - 個人の私的情報が保護される権利を指します。
• Procedure (手順書): 手順書 - ISMSの各プロセスを実施するための具体的な手順や方法を記載した文書です。
• Process (プロセス): プロセス - 特定の目的を達成するために一連の行動を体系的に実行することです。
• Protection (保護): 保護 - 情報や資産を脅威から守るための対策を指します。

Q

• Qualitative Risk Assessment (定性的リスク評価): 定性的リスク評価 - リスクの評価を主観的な判断や経験に基づいて行う手法です。
• Quantitative Risk Assessment (定量的リスク評価): 定量的リスク評価 - リスクの評価を数値やデータに基づいて行う手法です。
• Quality Management System (QMS) (品質マネジメントシステム): 品質マネジメントシステム - 組織の製品やサービスの品質を管理し、改善するための一連の方針や手続きです。

R

• Recovery Point Objective (RPO) (復旧ポイント目標): 復旧ポイント目標 - データが失われた際に、どの時点まで復旧する必要があるかを定める目標です。
• Recovery Time Objective (RTO) (復旧時間目標): 復旧時間目標 - 災害発生後、どのくらいの時間内に業務を再開できるかを定める目標です。
• Redundancy (冗長性): 冗長性 - システムやネットワークが故障しても、別の経路や装置で機能を維持するためのバックアップや代替手段を指します。
• Residual Risk (残留リスク): 残留リスク - すべての対策を講じた後にも依然として残るリスクです。
• Resilience (レジリエンス): レジリエンス - システムや組織が障害から迅速に回復し、正常な状態に戻る能力を指します。
• Resource (リソース): リソース - ISMSの実施や維持に必要な人材、技術、情報などの資源を指します。
• Response Plan (対応計画): 対応計画 - インシデントや災害が発生した際に、迅速かつ適切に対応するための計画です。
• Risk (リスク): リスク - 脅威が発生し、それによって情報資産に損害が生じる可能性を指します。
• Risk Assessment (リスク評価): リスク評価 - リスクの特定、分析、評価を行い、対応方法を決定するプロセスです。
• Risk Management (リスク管理): リスク管理 - 組織が直面するリスクを管理し、最小化するための一連のプロセスや手法を指します。
• Risk Treatment (リスク対応): リスク対応 - リスクを受容、軽減、回避、または移転するための具体的な措置を講じることです。

S

• Security Awareness Training (セキュリティ意識向上トレーニング): セキュリティ意識向上トレーニング - 組織のメンバーが情報セキュリティの重要性を理解し、適切に行動するための教育プログラムです。
• Security Incident (セキュリティインシデント): セキュリティインシデント - 情報セキュリティが脅かされるイベントや出来事を指します。
• Security Policy (セキュリティポリシー): セキュリティポリシー - 組織が守るべき情報セキュリティに関する基本方針を定めた文書です。
• Segregation of Duties (職務分離): 職務分離 - 一つの業務プロセスにおいて、権限や責任を分散させることで、不正やミスを防止する手法です。
• Service Level Agreement (SLA) (サービスレベルアグリーメント): サービスレベルアグリーメント - サービス提供者と顧客の間で交わされる、サービスの品質や性能に関する合意です。
• Social Engineering (ソーシャルエンジニアリング): ソーシャルエンジニアリング - 人の心理や行動を利用して、情報を不正に取得する手法です。
• Software as a Service (SaaS) (サービスとしてのソフトウェア): サービスとしてのソフトウェア - インターネット経由で提供されるソフトウェアの利用モデルで、セキュリティ管理が重要です。
• Source Code Review (ソースコードレビュー): ソースコードレビュー - プログラムコードのセキュリティ上の欠陥やバグを発見するために行うレビューです。
• Spyware (スパイウェア): スパイウェア - ユーザーの行動や情報を密かに監視し、外部に送信する悪意のあるソフトウェアです。
• Stakeholder (ステークホルダー): ステークホルダー - ISMSに関与し、その結果に影響を受ける利害関係者を指します。
• Standard Operating Procedure (SOP) (標準作業手順書): 標準作業手順書 - 業務やプロセスを実施するための標準的な手順を記載した文書です。
• Supply Chain Security (サプライチェーンセキュリティ): サプライチェーンセキュリティ - 供給チェーン全体における情報や物品のセキュリティを確保するための対策です。
• Surveillance Audit (監視監査): 監視監査 - ISO 27001認証の維持のために、定期的に行われる外部監査です。

T

• Threat (脅威): 脅威 - 情報資産に損害を与える可能性のある事象や要因を指します。
• Tokenization (トークン化): トークン化 - センシティブなデータをトークンに置き換え、セキュリティを高める技術です。
• Two-factor Authentication (2FA) (二要素認証): 二要素認証 - ユーザーがシステムにアクセスする際に、2つの異なる認証要素を使用するセキュリティ手法です。

U

• User Access Management (ユーザーアクセス管理): ユーザーアクセス管理 - ユーザーのアクセス権を管理し、適切な権限を維持するプロセスです。
• User Behavior Analytics (UBA) (ユーザー行動分析): ユーザー行動分析 - ユーザーの行動を分析し、不正行為や異常な行動を検出する技術です。
• User Rights (ユーザー権限): ユーザー権限 - ユーザーが情報資産に対して持つアクセス権限を指します。

V

• Vulnerability (脆弱性): 脆弱性 - システムやソフトウェアに存在する、悪用される可能性のある欠陥や弱点を指します。
• Vulnerability Assessment (脆弱性評価): 脆弱性評価 - システムやネットワークの脆弱性を特定し、評価するプロセスです。

W

• Whitelisting (ホワイトリスティング): ホワイトリスティング - 許可されたソフトウェアやIPアドレスのみが実行やアクセスを許されるように制限するセキュリティ手法です。
• Wireless Security (ワイヤレスセキュリティ): ワイヤレスセキュリティ - 無線通信ネットワークにおけるセキュリティ対策を指します。

X

• XML Encryption (XML暗号化): XML暗号化 - XMLデータを暗号化して保護する技術です。

Y

• Y2K Compliance (2000年問題対応): 2000年問題対応 - 年数が4桁でない場合の問題を避けるため、2000年問題に対応したシステムです。

Z

• Zero-day Exploit (ゼロデイエクスプロイト): ゼロデイエクスプロイト - 脆弱性が公表される前に、その脆弱性を悪用する攻撃です。
• Zero Trust Architecture (ゼロトラストアーキテクチャ): ゼロトラストアーキテクチャ - すべてのネットワークを信頼せず、常に検証することを前提としたセキュリティモデルです。

セイ・コンサルティング・グループのセキュリティ管理の仕組み研修

5.5 セキュリティ管理の仕組み

キーワード：情報セキュリティ、情報セキュリティ10大脅威、リスクマネジメント

セイコンサルティンググループ