Table of Contents
サイバーセキュリティの重要用語10選
サイバーセキュリティを考えるにあたって、必ず知っておいて欲しい以下の10個の用語を解説します。
資産(Asset)
CIAトライアド
脅威(Threat)
脆弱性(Vulnerability)
リスク(Risk)
アタックサーフェス(Attack Surface)
アタックベクタ(Attack Vector)
エクスプロイト(Exploit)
ソーシャルエンジニアリング(Social Engineering)
対策(Countermeasure)
資産(Asset)
資産(Asset)とは、組織や個人が保有する、価値があり保護すべき対象を指します。顧客情報や知的財産などの「情報資産」、サーバーやPCなどの「物理資産」、さらには企業の「ブランド力・信頼」も含まれます。これらが失われたり損なわれたりすると、金銭的損失や事業継続の困難を招きます。セキュリティの第一歩は「何を守るべきか」を正しく把握することから始まります。
資産の具体例
顧客のクレジットカード番号、製品やサービスの設計図など
CIAトライアド
情報セキュリティの3要素、機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)の総称です。
「許可された人だけがアクセスできる(C)」「データが正しく改ざんされていない(I)」「必要な時にいつでも使える(A)」という3つの状態を維持することが、セキュリティの定義とされています。対策を立てる際、どの要素を重視するかを判断する基準となります。
脅威(Threat)
脅威とは、資産に損害を与える可能性のある、外部または内部の要因です。悪意のあるクラッカーだけでなく、地震や火災などの自然災害、操作ミスといった「ヒューマンエラー」も含まれます。脅威そのものを完全に排除することは不可能であるため、どのような脅威が存在し、どの程度の頻度で発生しうるかを分析することが重要です。
脆弱性(Vulnerability)
脆弱性(Vulnerability)とは、資産や対策の中に潜む「弱点」や「欠陥」のことです。ソフトウェアのプログラムミス(バグ)だけでなく、パスワードが単純すぎる、離席時に画面をロックしないといった運用上の不備も含まれます。脅威がこの脆弱性を突くことで被害が発生するため、脆弱性を管理し、修正プログラムの適用などで「穴を塞ぐ」ことが防御の基本です。
脆弱性の具体例
OSの未修正バグ、管理されていない裏口(バックドア)、簡易なパスワードなど
リスク(Risk)
リスク(Risk)とは、特定の「脅威」が「脆弱性」を悪用し、資産に損害を与える可能性とその影響の大きさのことです。単に弱点があるだけでなく、実際に攻撃される可能性(確率)と、起きた時の損害額を掛け合わせて評価します。すべてのリスクをゼロにするのは現実的ではないため、許容できる範囲までリスクを低減・制御することがマネジメントの目的です。
リスクの具体例
重要な顧客データが、古いOSの脆弱性を突かれて盗まれる可能性
アタックサーフェス(Attack Surface)
アタックサーフェス(Attack Surface)とは、攻撃者が侵入や攻撃を試みることができる「攻撃対象領域(接点)」のことです。公開しているWebサーバー、放置されたIoT機器、従業員のメールアドレスなど、外部から触れられるすべてのポイントを指します。DXが進むほどこの面積は広がります。セキュリティ対策では、不要なサービスを停止するなどして、この面積を最小化することが求められます。
アタックサーフェスの具体例
インターネットへの公開サーバ、インターネットに公開されているクラウドストレージなど
アタックベクタ(Attack Vector)
アタックベクタ(Attack Vector)とは、攻撃者が資産に到達するために利用する「攻撃経路」のことです。いわば「侵入ルート」であり、メールの添付ファイル、不正なWebサイト、USBメモリ、あるいは物理的なオフィスへの侵入などが該当します。経路を特定することで、「どこに検問(ファイアウォールや検疫)を置くべきか」という防御戦略を立てることが可能になります。
アタックベクタの具体例
フィッシングメール、脆弱性を抱えた公開サーバーへの通信など
エクスプロイト(Exploit)
エクスプロイト(Exploit)とは、脆弱性を突いて、システムの制御を奪ったり不正操作を行ったりするための「具体的な手段や道具(プログラム)」のことです。脆弱性が「鍵の合わない錠前」だとしたら、エクスプロイトはそれを開けるための「特殊な合鍵」に相当します。インターネット上ではこれらがキットとして流通しており、高度な知識がない攻撃者でも被害を広げる要因となっています。
エクスプロイトの具体例
脆弱性を攻撃するコード、自動攻撃ツールなど
ソーシャルエンジニアリング(Social Engineering)
技術的な隙ではなく、人間の心理的な隙やミスを突いて情報を盗む手法です。信頼できる人物を装って電話でパスワードを聞き出す、肩越しに画面を盗み見る、ゴミ箱から書類を回収するといった行為が含まれます。どんなに最新のシステムを導入しても、扱う「人」が騙されてしまえば防御は破られるため、教育が不可欠な領域です。
ソーシャルエンジニアリングの具体例
システム管理者を装った電話、ショルダーハッキング(盗み見)など
対策(Countermeasure)
リスクを軽減するために講じる、すべての手段(コントロール)のことです。ウイルス対策ソフトなどの「技術的対策」、入退室管理などの「物理的対策」、そしてルール作りや教育などの「組織的対策」の3つを組み合わせます。これらは単体で機能させるのではなく、複数の壁を作る「多層防御」の考え方で配置することが推奨されます。
対策の具体例
多要素認証(MFA)の導入、従業員へのセキュリティ研修
まとめ
| 用語 | 意味 |
| 資産 (Asset) | 守るべき価値のあるもの(データ、信頼、設備)。 |
| CIAトライアド | セキュリティが「保たれている」とはどういう状態か。 |
| 脅威 (Threat) | 資産に損害を与える可能性のある事象やアクター。 |
| 脆弱性 (Vulnerability) | 資産や対策の中に存在する「弱点」。 |
| リスク (Risk) | 脅威が脆弱性を突く可能性と、その影響の大きさ。 |
| アタックサーフェス | 外部から攻撃される可能性がある「面積(窓口)」。 |
| アタックベクタ | 攻撃者が侵入するために使う「経路」。 |
| エクスプロイト | 脆弱性を突くための具体的な「手段・道具」。 |
| ソーシャルエンジニアリング | 人の心理を突く「非技術的」な脅威の代表。 |
| 対策 (Countermeasure) | リスクを管理するために講じるすべての活動。 |
