Webアプリケーション開発のための情報セキュリティ対策300用語

Webアプリケーション開発に関連する情報セキュリティ対策について、Web技術、攻撃手法、セキュリティ設定に関する300の用語集を日本語と英語を併記し、アルファベット順に並べて解説します。

---

A

• Access Control (アクセス制御): アクセス制御 - 特定のリソースや機能に対するアクセスをユーザーやグループに基づいて制限するセキュリティ手法です。
• Account Lockout (アカウントロックアウト): アカウントロックアウト - 特定回数のログイン失敗後にユーザーアカウントを一時的にロックすることで、不正アクセスを防ぐ機能です。
• Adversary (攻撃者): 攻撃者 - セキュリティシステムに対して不正アクセスや攻撃を試みる個人やグループを指します。
• AES (Advanced Encryption Standard) (高度暗号化標準): 高度暗号化標準 - データの暗号化に使用される対称鍵暗号方式で、非常に強力なセキュリティを提供します。
• AJAX (Asynchronous JavaScript and XML) (エイジャックス): エイジャックス - Webページを再読み込みせずにサーバーと非同期通信を行う技術です。
• Allow List (許可リスト): 許可リスト - 許可されたリソースやIPアドレスのリストで、これらのみがアクセスできるよう制限するセキュリティ手法です。
• Application Firewall (アプリケーションファイアウォール): アプリケーションファイアウォール - Webアプリケーションへのアクセスを監視し、不正なリクエストをブロックするセキュリティ装置です。
• Authentication (認証): 認証 - ユーザーやシステムが実際に主張するアイデンティティであることを確認するプロセスです。
• Authorization (認可): 認可 - 認証されたユーザーが特定のリソースや機能にアクセスする権限を持っているかを確認するプロセスです。
• Attack Surface (攻撃対象領域): 攻撃対象領域 - 攻撃者がシステムに攻撃を仕掛けることができる、全ての潜在的なエントリーポイントの総称です。

B

• Backdoor (バックドア): バックドア - 通常の認証手続きを避けてシステムにアクセスするための秘密の手段で、攻撃者が使用することがあります。
• Base64 Encoding (Base64エンコーディング): Base64エンコーディング - バイナリデータをASCII文字列として表現するためのエンコーディング手法で、URLやCookieでよく使用されます。
• Black Box Testing (ブラックボックステスト): ブラックボックステスト - 内部構造を知らずに、外部からシステムやアプリケーションをテストする手法です。
• Black Hat Hacker (ブラックハットハッカー): ブラックハットハッカー - 不正行為を目的に、システムに侵入したり破壊活動を行うハッカーです。
• Brute Force Attack (ブルートフォース攻撃): ブルートフォース攻撃 - 全ての可能なパスワードやキーを試すことで、不正に認証情報を取得しようとする攻撃手法です。
• Buffer Overflow (バッファオーバーフロー): バッファオーバーフロー - プログラムにおいてバッファの境界を超えてデータを書き込むことで、コード実行やシステムクラッシュを引き起こす脆弱性です。

C

• CAPTCHA (キャプチャ): キャプチャ - ユーザーが人間であることを確認するために、歪んだ文字や画像認識を使用するテストです。
• Certificate Authority (CA) (認証局): 認証局 - SSL/TLS証明書を発行し、デジタル証明書の信頼性を保証する機関です。
• Clickjacking (クリックジャッキング): クリックジャッキング - 悪意のあるページに無意識にクリックさせる攻撃手法で、ユーザーをだまして望ましくない操作を行わせます。
• Client-side Scripting (クライアントサイドスクリプティング): クライアントサイドスクリプティング - ユーザーのブラウザ上で実行されるスクリプトコードで、主にJavaScriptが使用されます。
• Code Injection (コードインジェクション): コードインジェクション - 悪意のあるコードをアプリケーションに挿入し、実行させる攻撃手法です。
• Content Security Policy (CSP) (コンテンツセキュリティポリシー): コンテンツセキュリティポリシー - Webページのコンテンツの読み込みを制御し、クロスサイトスクリプティング（XSS）などの攻撃を防ぐためのセキュリティ対策です。
• Cross-Site Request Forgery (CSRF) (クロスサイトリクエストフォージェリ): クロスサイトリクエストフォージェリ - 認証済みのユーザーに対して、意図しないアクションを強制的に実行させる攻撃手法です。
• Cross-Site Scripting (XSS) (クロスサイトスクリプティング): クロスサイトスクリプティング - Webページに悪意のあるスクリプトを挿入し、ユーザーの情報を盗む攻撃手法です。
• Cryptography (暗号技術): 暗号技術 - データを保護するために、データを暗号化して読み取れないようにする技術です。
• CSRF Token (CSRFトークン): CSRFトークン - CSRF攻撃を防止するために、リクエストごとに一意のトークンを発行して検証する手法です。

D

• Data Encryption (データ暗号化): データ暗号化 - データを第三者に読み取られないように暗号化するプロセスです。
• Data Exfiltration (データ流出): データ流出 - 不正にデータを持ち出す行為で、機密情報の漏洩につながります。
• Data Masking (データマスキング): データマスキング - 機密データを一部隠して、データが露出するのを防ぐ手法です。
• Data Validation (データ検証): データ検証 - ユーザーからの入力データが正しく、安全であることを確認するプロセスです。
• Denial of Service (DoS) Attack (サービス拒否攻撃): サービス拒否攻撃 - システムやネットワークに過剰な負荷をかけて、サービスを利用不能にする攻撃です。
• Diffie-Hellman Key Exchange (ディフィー・ヘルマン鍵交換): ディフィー・ヘルマン鍵交換 - セキュアな通信チャネルで暗号鍵を交換するための暗号プロトコルです。
• Digital Certificate (デジタル証明書): デジタル証明書 - 公開鍵の所有者を証明するために認証局が発行する電子文書です。
• Directory Traversal (ディレクトリトラバーサル): ディレクトリトラバーサル - サーバ上のファイルやディレクトリに不正アクセスする攻撃手法で、相対パスを利用します。
• DNS Spoofing (DNSスプーフィング): DNSスプーフィング - DNSリクエストを偽装し、誤ったIPアドレスに誘導する攻撃手法です。
• Domain Validation (DV) (ドメイン認証): ドメイン認証 - SSL/TLS証明書の認証方法で、ドメインの所有権のみを確認する方式です。

E

• Encryption (暗号化): 暗号化 - データを解読不能な形式に変換し、不正なアクセスから保護する技術です。
• End-to-End Encryption (エンドツーエンド暗号化): エンドツーエンド暗号化 - 通信の発信者から受信者までのすべての経路でデータを暗号化し、第三者によるアクセスを防ぐ方式です。
• Escaping (エスケーピング): エスケーピング - 特殊文字を無害な文字列に変換し、スクリプトインジェクションなどの攻撃を防ぐ方法です。
• Event Logging (イベントログ): イベントログ - システムやアプリケーションの活動やイベントを記録するプロセスで、セキュリティインシデントの追跡に使用されます。
• Exploit (エクスプロイト): エクスプロイト - ソフトウェアやシステムの脆弱性を悪用して不正アクセスや攻撃を行うプログラムやスクリプトです。

F

• Firewall (ファイアウォール): ファイアウォール - ネットワークやシステムを不正アクセスから保護するためにトラフィックを制御するセキュリティ装置です。
• Form Input Validation (フォーム入力検証): フォーム入力検証 - Webフォームに入力されたデータが正当であるかを確認し、不正なデータを除外するプロセスです。
• Forward Secrecy (前方秘匿性): 前方秘匿性 - 通信セッションごとに異なる暗号鍵を使用することで、過去のセッションのデータが将来的に解読されるリスクを低減する技術です。
• Fuzzing (ファジング): ファジング - ソフトウェアやアプリケーションに無効なデータやランダムデータを入力し、脆弱性を発見するテスト手法です。

G

• Gateway (ゲートウェイ): ゲートウェイ - 異なるネットワーク間でデータの送受信を行うための中継デバイスです。
• Geofencing (ジオフェンシング): ジオフェンシング - 地理的な境界を設定し、その範囲内でのみ特定の操作やアクセスを許可する技術です。
• Greylisting (グレーリスティング): グレーリスティング - 不明なメール送信者からのメッセージを一時的に拒否し、再送要求を行うことでスパムメールを防ぐ手法です。
• Guarded Host (ガーディッドホスト): ガーディッドホスト - 高度なセキュリティ対策が施されたサーバーやコンピュータで、厳重な監視やアクセス制御を行います。

H

• Hash Function (ハッシュ関数): ハッシュ関数 - 任意のデータを固定長のビット列に変換し、データの整合性確認やパスワード管理に使用されるアルゴリズムです。
• Honeypot (ハニーポット): ハニーポット - 攻撃者をおびき寄せ、セキュリティインシデントの分析や対策に役立てるための偽装されたシステムです。
• HTTP Strict Transport Security (HSTS) (HTTP厳密トランスポートセキュリティ): HTTP厳密トランスポートセキュリティ - ブラウザに対して、指定されたドメインへの接続を常にHTTPSで行うよう指示するセキュリティ機能です。
• HTTP/2 (エイチティーティーピーツー): HTTP/2 - Web通信の効率を向上させるための次世代のHTTPプロトコルで、マルチプレキシングやヘッダー圧縮をサポートします。
• Hypertext Transfer Protocol Secure (HTTPS) (ハイパーテキスト転送プロトコルセキュア): ハイパーテキスト転送プロトコルセキュア - HTTPにSSL/TLSを組み合わせたプロトコルで、データ通信を暗号化して保護します。

I

• Identity Provider (IdP) (アイデンティティプロバイダ): アイデンティティプロバイダ - ユーザーの認証を提供し、他のサービスに対してユーザー情報を提供する機関やサービスです。
• Insecure Deserialization (不正なデシリアライズ): 不正なデシリアライズ - 外部から提供されたデータをデシリアライズする際に、意図しないコード実行やデータ改ざんが発生する脆弱性です。
• Input Sanitization (入力サニタイズ): 入力サニタイズ - ユーザーからの入力データを無害化し、不正なデータがシステムに影響を与えないようにするプロセスです。
• Injection Attack (インジェクション攻撃): インジェクション攻撃 - アプリケーションに対して不正なデータを挿入し、意図しない動作やデータ漏洩を引き起こす攻撃です。
• Intrusion Detection System (IDS) (侵入検知システム): 侵入検知システム - ネットワークやシステムに対する不正アクセスや攻撃を検出するセキュリティシステムです。
• Intrusion Prevention System (IPS) (侵入防止システム): 侵入防止システム - IDSに加えて、不正アクセスや攻撃を自動的に遮断するセキュリティシステムです。
• IP Spoofing (IPスプーフィング): IPスプーフィング - 攻撃者が他のデバイスのIPアドレスを偽装して通信を行うことで、不正アクセスを行う手法です。

J

• JWT (JSON Web Token) (ジェイソンウェブトークン): ジェイソンウェブトークン - Webサービス間でユーザーの認証情報や属性情報を安全にやり取りするためのトークンです。
• JavaScript Object Notation (JSON) (ジェイソン): ジェイソン - 軽量なデータ交換フォーマットで、Web APIで広く使用されます。

K

• Key Management (鍵管理): 鍵管理 - 暗号鍵の生成、配布、保管、破棄を安全に行うためのプロセスやシステムです。
• Key Pair (鍵ペア): 鍵ペア - 公開鍵と秘密鍵のセットで、暗号化やデジタル署名に使用されます。
• Keystore (キーストア): キーストア - 暗号鍵やデジタル証明書を安全に保管するためのファイルやシステムです。

L

• LDAP Injection (LDAPインジェクション): LDAPインジェクション - 不正なLDAPクエリを挿入することで、ディレクトリサービスに対する認証や権限を乗っ取る攻撃です。
• Least Privilege (最小権限): 最小権限 - ユーザーやプロセスがシステム上で必要最低限の権限のみを持つようにするセキュリティ原則です。
• Load Balancer (ロードバランサー): ロードバランサー - 複数のサーバーにトラフィックを均等に分散させることで、システムの可用性とパフォーマンスを向上させる装置です。
• Logging (ロギング): ロギング - システムやアプリケーションの活動を記録するプロセスで、セキュリティインシデントの分析に使用されます。
• Logic Bomb (ロジックボム): ロジックボム - 特定の条件が満たされた時に悪意のあるコードを実行するプログラムやスクリプトです。

M

• Malware (マルウェア): マルウェア - 悪意を持って作成されたソフトウェアで、システムを破壊したり、データを盗んだりする目的があります。
• Man-in-the-Middle Attack (MitM) (中間者攻撃): 中間者攻撃 - 通信の途中に第三者が割り込み、データを盗聴または改ざんする攻撃手法です。
• Message Authentication Code (MAC) (メッセージ認証コード): メッセージ認証コード - メッセージの完全性と認証を保証するために、秘密鍵を使用して生成される短いビット列です。
• Multi-Factor Authentication (MFA) (多要素認証): 多要素認証 - 2つ以上の異なる認証手段を組み合わせてユーザーを認証するセキュリティ手法です。

N

• Network Segmentation (ネットワーク分割): ネットワーク分割 - ネットワークを小さなセグメントに分割し、セキュリティを向上させる技術です。
• Non-Repudiation (否認防止): 否認防止 - メッセージや取引の送信者がその行為を否認できないようにするセキュリティ機能です。
• Nonce (ナンス): ナンス - 一度しか使用されないランダムな値で、リプレイ攻撃を防ぐために使用されます。

O

• OAuth (オーオース): オーオース - サードパーティアプリケーションに対して、ユーザーのパスワードを共有することなく、限定的なアクセスを許可するための認証プロトコルです。
• Obfuscation (難読化): 難読化 - コードやデータを意図的に複雑にして、第三者が理解したり解析したりするのを困難にする技術です。
• Open Web Application Security Project (OWASP) (オープンウェブアプリケーションセキュリティプロジェクト): オープンウェブアプリケーションセキュリティプロジェクト - Webアプリケーションのセキュリティ向上を目的とした非営利団体で、脆弱性リストやベストプラクティスを公開しています。
• One-Time Password (OTP) (ワンタイムパスワード): ワンタイムパスワード - 一度だけ使用できる使い捨てのパスワードで、追加のセキュリティ層として使用されます。
• Output Encoding (出力エンコーディング): 出力エンコーディング - ユーザーの入力を安全にWebページに表示するために、特殊文字を適切にエンコードするプロセスです。

P

• Patching (パッチ適用): パッチ適用 - ソフトウェアの脆弱性を修正するために、修正プログラムやパッチを適用するプロセスです。
• Penetration Testing (ペネトレーションテスト): ペネトレーションテスト - システムやアプリケーションの脆弱性を発見するために、攻撃者の視点からセキュリティテストを行う手法です。
• Phishing (フィッシング): フィッシング - 偽のWebサイトやメールを使ってユーザーの個人情報を盗み取る詐欺行為です。
• Plaintext (平文): 平文 - 暗号化されていない、読みやすい形式のデータです。
• Policy (ポリシー): ポリシー - システムやアプリケーションの利用やアクセスに関する規則や方針を定めた文書です。
• Private Key (秘密鍵): 秘密鍵 - 公開鍵暗号方式で使用される鍵の一つで、暗号化されたデータの復号やデジタル署名の生成に使用されます。
• Privilege Escalation (権限昇格): 権限昇格 - システム内で攻撃者が通常のユーザー権限から管理者権限に昇格する攻撃手法です。

Q

• Query Parameter (クエリパラメータ): クエリパラメータ - URL内に含まれるキーと値のペアで、Webアプリケーションに追加情報を渡すために使用されます。

R

• Ransomware (ランサムウェア): ランサムウェア - システムやデータを人質に取り、復号のために身代金を要求する悪意のあるソフトウェアです。
• Rate Limiting (レート制限): レート制限 - 特定の時間内に行えるリクエストの数を制限し、サービスの過負荷や不正なアクセスを防ぐ技術です。
• Redirection (リダイレクション): リダイレクション - ユーザーを一つのURLから別のURLに自動的に転送するプロセスです。
• Replay Attack (リプレイ攻撃): リプレイ攻撃 - 正規のデータ通信を盗聴し、その通信を再送信することで認証を不正に突破する攻撃手法です。
• Repudiation (否認): 否認 - システム上で行われたアクションや取引の発生を後になって否定することです。
• Reverse Proxy (リバースプロキシ): リバースプロキシ - クライアントからのリクエストを受け取り、内部のサーバーに転送して応答を返すプロキシサーバです。

S

• Salting (ソルト化): ソルト化 - パスワードのハッシュを作成する際に、ランダムなデータを追加してハッシュを固有にするプロセスで、辞書攻撃を防ぐために使用されます。
• Sanitization (サニタイズ): サニタイズ - ユーザー入力を無害化し、悪意のあるデータがシステムに悪影響を与えないようにする技術です。
• Secure Socket Layer (SSL) (セキュアソケットレイヤー): セキュアソケットレイヤー - インターネット上で安全なデータ通信を行うための暗号化プロトコルで、現在はTLSに取って代わられています。
• Security Assertion Markup Language (SAML) (セキュリティアサーションマークアップ言語): セキュリティアサーションマークアップ言語 - シングルサインオン（SSO）を実現するためのXMLベースの標準規格です。
• Session Hijacking (セッションハイジャック): セッションハイジャック - 有効なセッションIDを盗んで、正規ユーザーに成りすまして不正アクセスする攻撃手法です。
• Single Sign-On (SSO) (シングルサインオン): シングルサインオン - 一度の認証で複数のシステムやアプリケーションにアクセスできる仕組みです。
• SQL Injection (SQLインジェクション): SQLインジェクション - SQLクエリに悪意のあるコードを挿入し、データベースを不正に操作する攻撃手法です。
• Subdomain Takeover (サブドメイン乗っ取り): サブドメイン乗っ取り - DNS設定のミスを悪用して、既存のサブドメインを攻撃者のコントロール下に置く攻撃手法です。
• Symmetric Encryption (対称暗号): 対称暗号 - 同じ鍵を使用してデータの暗号化と復号を行う暗号方式です。
• Synchronous (同期): 同期 - データ通信やプロセスが同時に実行される方式で、通信完了を待ってから次の操作を行います。

T

• Tamper Detection (改ざん検知): 改ざん検知 - データやシステムが不正に変更されたかどうかを検出する技術です。
• Threat Modeling (脅威モデリング): 脅威モデリング - システムに対する潜在的な脅威を特定し、リスクを評価するプロセスです。
• Tokenization (トークナイゼーション): トークナイゼーション - 機密データを安全なトークンに置き換え、不正アクセスからデータを保護する技術です。
• Transport Layer Security (TLS) (トランスポートレイヤーセキュリティ): トランスポートレイヤーセキュリティ - SSLの後継として、インターネット上で安全なデータ通信を提供する暗号化プロトコルです。
• Two-Factor Authentication (2FA) (二要素認証): 二要素認証 - 2つの異なる認証要素を組み合わせてユーザーを認証するセキュリティ手法です。

U

• Unauthorized Access (不正アクセス): 不正アクセス - 認可されていないユーザーがシステムやデータにアクセスする行為です。
• Universal Resource Identifier (URI) (ユニバーサルリソース識別子): ユニバーサルリソース識別子 - インターネット上のリソースを一意に識別するための文字列です。
• Update Management (更新管理): 更新管理 - ソフトウェアやシステムのセキュリティ更新を適時に行い、脆弱性を修正するプロセスです。

V

• Vulnerability (脆弱性): 脆弱性 - システムやアプリケーションに存在するセキュリティホールで、攻撃者に悪用される可能性があります。
• Virtual Private Network (VPN) (仮想プライベートネットワーク): 仮想プライベートネットワーク - 公共のネットワークを通じてプライベートな通信を確立する技術で、トンネリングと暗号化を使用します。
• Virus (ウイルス): ウイルス - 他のプログラムに感染し、システムに害を与える悪意のあるソフトウェアです。

W

• Web Application Firewall (WAF) (ウェブアプリケーションファイアウォール): ウェブアプリケーションファイアウォール - Webアプリケーションに対する攻撃を検出し、防ぐために設置されるファイアウォールです。
• Whitelisting (ホワイトリスト化): ホワイトリスト化 - 許可されたIPアドレスやドメインのみがアクセスできるように制限するセキュリティ対策です。
• Wireless Security (無線セキュリティ): 無線セキュリティ - 無線通信におけるデータの盗聴や改ざんを防ぐためのセキュリティ技術です。
• Worm (ワーム): ワーム - ネットワークを通じて自己複製し、感染を広げる悪意のあるソフトウェアです。

X

• XML External Entity (XXE) Attack (XML外部実体攻撃): XML外部実体攻撃 - XMLパーサーが外部実体を処理する際に悪意のあるデータを読み込ませ、不正アクセスやデータ漏洩を引き起こす攻撃です。

Y

• Yubikey (ユビキー): ユビキー - 二要素認証などで使用される物理的なハードウェアトークンです。

Z

• Zero-Day Exploit (ゼロデイエクスプロイト): ゼロデイエクスプロイト - セキュリティ脆弱性が発見される前に、それを悪用する攻撃手法です。
• Zone-Based Firewall (ゾーンベースファイアウォール): ゾーンベースファイアウォール - ネットワークをゾーンに分割し、ゾーン間のトラフィックを制御するファイアウォール設定です。

セイ・コンサルティング・グループのWebアプリケーション開発の情報セキュリティ対策

5.6 Webアプリケーション開発のための情報セキュリティ対策

キーワード：Web技術、攻撃手法、セキュリティ設定

セイコンサルティンググループ