セキュリティ用語解説

XDR (Extended Detection and Response)は、サイバー攻撃の事後対処として、万が一脅威がユーザ環境に侵入した際に、攻撃の痕跡を検知、可視化することでインシデントの調査、原因特定、対処を行う機能です。EDR (Endpoint Detection and Response)は、エンドポイントに限定した機能ですが、XDRはエンドポイントに加えて、ネットワークやサーバ、メールなど複数レイヤの情報を相関分析することで、サイバー攻撃の全体像を可視化して対処できます。

アタックサーフェスマネジメント（ASM）とは、攻撃者の視点からサイバー攻撃が行われる可能性のある組織のアタックサーフェス（攻撃対象領域）を把握し、セキュリティを強化する取り組みや技術です。アタックサーフェスに対するリスクの把握、評価、軽減を継続的に実践するアタックサーフェスリスクマネジメント（ASRM）を取り入れることで、組織の事業継続を脅かすインシデントの発生を抑えます。

CVSS(Common Vulnerability Scoring System)とはシステムやソフトウェアが持つ脆弱性の深刻度を評価する国際的な指標です。ベンダに依存しない中立的な基準とスコアリング方法により、定量的に脆弱性の深刻度を表現します。

EDR（Endpoint Detection and Response）は、エンドポイント（クライアント端末、サーバなど）において実行されたプロセスのアクティビティを常時記録し、攻撃者による不正な挙動の兆候を検知します。また、攻撃の全体像の可視化や、リモートによるエンドポイントの隔離機能などを提供することで、インシデントの根本原因の効率的な調査と迅速な対応を支援します。

IPS(Intrusion Prevention System)は、組織のネットワークやデバイスへの通信を監視することで、侵入の兆候を検知・遮断し、不正なアクセスを防止するセキュリティシステムです。IPSは導入するタイプによって、ネットワーク型IPS（NIPS）とホスト型IPS（HIPS）があります。また、不正な侵入の兆候を検知する方法として、シグネチャ型とアノマリ型があります。

IDS（Intrusion Detection System）とは、組織が守るべきデジタル資産やネットワークへの侵入を検知する機能を提供するシステムです。IDSを導入することで、組織は情報セキュリティにおけるCIA（Confidentiality(機密性)、Integrity（完全性）、Availability(可用性)）などを脅かすサイバー攻撃の兆候を迅速に検知して、リスクの軽減策を実践します。IDSは、ネットワーク型IDS（NIDS）とホスト型IDS（HIDS）という2つのタイプがあります。

MDR（Managed Detection and Response）は、サイバー攻撃の兆候を監視し、脅威を発見した際に対処を行うSOCを支援するアウトソーシングサービスです。サービスの中核としてXDR（Extended Detection and Response）やSIEM（Security Information and Event Management）が用いられます。

OT（Operational Technology）とは物理環境と作用する技術であり、OTセキュリティは工場や発電所の監視制御、製鉄所の精錬、ダムの排水量調節、港のコンテナ荷役、病院の医療装置等で利用される制御システムやデバイスを保護することを意味します。サイバー空間の情報を扱うITセキュリティの対となる言葉としてOTが用いられます。

WAF（Webアプリケーションファイアウォール）は、通過するHTTP通信の内容を検査し、制御を行うアプリケーションゲートウェイファイアウォールの一種です。クロスサイトスクリプティング（XSS）やSQLインジェクションなど、Webアプリケーションの脆弱性を悪用する攻撃に対して、該当の通信を拒否、もしくはデータの無害化などサニタイジング処理を行います。

インフルエンスオペレーションとは、虚偽情報を拡散したり、特定組織の機密情報をリークしたりすることで、混乱と不信感を増幅させ、個人や国家の意思決定へ干渉することを狙う作戦を指します。この記事では、インフルエンスオペレーションの目的やプロセスについて解説します。

クラウドセキュリティとは、可用性、完全性、および機密性に対する攻撃や侵害から、クラウド上に存在するすべてのデータおよびサービスを確実に保護することです。クラウドサービスプロバイダは、安全なクラウドインフラストラクチャを提供します。責任共有モデルにより、クラウドで実行するワークロード、アプリケーション、およびデータを保護する責任はクラウドの利用者にあります。

コンテナセキュリティは、インフラストラクチャやランタイムはもちろん、コンテナイメージの作成から本番稼働、運用までのビルドパイプライン全体を保護することが重要です。

サイバーセキュリティプラットフォームは、セキュリティの可視化、分析、および一連のセキュリティレイヤーとデータソースにわたる制御を統合し、保護、スケーラビリティ、およびパフォーマンスを強化する手段をビジネスに提供するように設計されています。

ゼロトラストとは「全てのアクセスを継続的に評価し、認証・認可を行う」というリソースの保護を目的としたサイバーセキュリティの概念です。ゼロトラストの概念を採用したインフラストラクチャやポリシーによって構成される組織のサイバーセキュリティ体制が、ゼロトラストアーキテクチャです。

ファイアウォールは、通過するパケットのヘッダ情報や内容を検査して通信の制御を行うソリューションです。主に内部ネットワークと外部ネットワークのようなセキュリティレベルの異なる境界上に導入することで、不正アクセスなどのサイバー攻撃から組織のネットワークを保護します。ネットワーク型のものが主流ですが、PCにインストールして機能するパーソナルファイアウォールもあり、PCのプロセスごとに通信を制御する特徴があります。

「フィッシング（phishing）」とは、利用者を騙して様々な情報を詐取するネット詐欺の手口です。多くの場合、実在の組織を偽装したメールやメッセージを、不特定多数の利用者にばらまきます。そして、偽のWebサイトへ誘導し、利用者を騙し自ら情報を入力するように仕向け詐取します。このような手口を日本では「フィッシング詐欺」とも呼び、ネット詐欺の中でも代表的な存在となっています。

Log4Shell(CVE-2021-44228、CVE-2021-45046、CVE-2021-45105)はリモートコード実行（RCE）の脆弱性であり、悪意のある攻撃者が任意のJavaコードを実行して、標的とするサーバを制御します。

PPAP（ピーピーエーピー）とは、メールで機密情報や個人情報を含むZIPなどで暗号化したファイルを送付し、その後同じ手段（メール）で平文の復号用パスワードを別送することを指します。

RaaS（Ransomware as a Service）とは、ランサムウェア本体や身代金要求のためのインフラなどランサムウェア攻撃に必要な一式を「サービス」として提供するものであり、サイバー犯罪のビジネスモデルの1つです。RaaSが登場したことで、技術的な知識を持たないサイバー攻撃者でも自分たちが狙う対象に対して容易にランサムウェア攻撃を仕掛けることが可能になりました。

VPN（仮想私設網：Virtual Private Network）とは、複数の拠点間で仮想の専用回線を構築することにより、暗号化されたセキュアな通信ができる環境のことを指します。パブリックネットワークの通信では、情報の窃取や改ざんの危険性あり、そのための対策の1つとして開発・普及しました。

Zerologonは、MicrosoftのNetlogonプロセスの暗号化における脆弱性であり、Microsoft Active Directoryドメインコントローラに対する攻撃を可能にします。Zerologonを利用すると、ハッカーはルートドメインコントローラを含む任意のコンピュータになりすますことができます。

SOC（ソック：Security Operation Center）とは、ネットワークやシステムの監視とログ分析から、サイバー攻撃やインシデントの発生を把握する組織（部署・チーム）のことです。発生したインシデントへの対処や、サイバー攻撃を阻止するための対策立案までを担う場合もあります。サイバー攻撃は、いつ行われるかわからないため、それを監視するSOCも24時間365日体制での対応が求められます。そのため、自組織でSOCを運用するケースに加えて、パートナー企業などにアウトソーシングするケース（MDR：Managed Detection and Response）があります。

SOAR(Security Orchestration, Automation and Response)とは、サイバー攻撃のインシデント対応やセキュリティ運用を自動化する機能やソリューションのことです。 ベンダーがあらかじめ設定したルールや、ユーザが定義したプレイブックを基に、一定の条件が満たされた際の作業プロセスを自動的に処理し、運用者の業務負荷を削減します。

SIEM（Security Information and Event Management）とは、サイバーセキュリティの監視・検出・調査を行うためのソリューションです。SIEMはネットワークやシステムにおいて発生するイベントログを収集し、管理・分析をすることで、セキュリティインシデントの早期発見や、迅速な対応に寄与します。

SASE（サシー：Secure Access Service Edge）は、Gartnerが2019年に提唱したネットワークセキュリティモデルです。SD-WANやプロキシといったネットワーク機能、セキュアウェブゲートウェイ（SWG）やIDS/IPSなどのセキュリティ機能を統合し、クラウドサービスとして提供することで、境界線防御では守り切れないリモート環境やクラウド環境を脅威から保護しよう、と提唱された概念です。

MSS（マネージドセキュリティサービス：Managed Security Service）は、セキュリティ対策の運用・管理を外部の協力会社にアウトソーシングするものです。マネージドセキュリティサービスを提供するベンダーには、セキュリティのほかシステムやネットワークの維持・保守・監視なども提供する「マネージドサービスプロバイダー（MSP）」や、セキュリティに特化した「マネージドセキュリティサービスプロバイダー（MSSP）」があります。

ゼロデイ攻撃とは、システムの脆弱性に対して、修正が行われる前に、それを悪用するサイバー攻撃のことを指します。ユーザの対処期間が0日で行われる攻撃であるため「ゼロデイ攻撃」と呼ばれます。通常、脆弱性はセキュリティテストやユーザーレポートなどにより発見され、システムベンダがその脆弱性に対応した修正プログラムを公開した後に、公表されることになります。