アイデンティティ セキュリティ用語集

A-GH-NO-Z

Active Directory

Microsoft Windowsおよびその他のWindowsアプリケーションに認証および認可リソースを提供するMicrosoftアプリケーション。

アイデンティティ アクセス管理(IAM)

電子的なIDとそれに関連するアクセス権限の許可の管理に必要なビジネス プロセスを自動化するソフトウェア。これにより、単一のポリシー解釈に従ってアクセス権限が付与され、すべての個人とサービスが適切に認証、認可、監査されることが保証されます。

もっと見る
アイデンティティ ガバナンス

重要なアプリケーションやデータへのユーザー アクセスを管理および制御するためのルール、プラクティス、プロセスを自動化するID管理ソフトウェア。アイデンティティ ガバナンスにより、組織は説明責任と透明性を向上させるとともに、コンプライアンス要件に準拠して、リスク管理を強化できます。

もっと見る
アイデンティティ キューブ

各IDとそのIDに関連付けられたアクセス権限および属性の多次元のビュー。

アイデンティティ キー

各IDを一意に識別するためにアイデンティティ ストアが使用する単一の値(通常はアイデンティティ ストアにより生成されます)。

アイデンティティ ストア

ID情報を保持するシステム。アイデンティティ ストアは、多くの場合、格納されている情報の一部についての源泉情報となります。

アイデンティティ プロバイダー(IdP)

プリンシパル(ユーザー、サービス、またはシステム)のID情報を作成、保持、管理し、連携ネットワークまたは分散ネットワーク内の他のサービス プロバイダー(アプリケーション)にプリンシパル認証を提供するシステム。

アカウント管理

接続されたシステムにおける認証を管理するための一連のプロセス。主な機能として、接続されたシステムにおけるユーザー アカウントの作成と削除があります。

アクセス制御

システムにアクセスする(システム上の情報や資料についての知識を得たり、それらを変更したりする)能力やその機会を関係者に付与する、またはそれらを拒否するシステム制御、およびそれに関連するプロセス。

アクセス権付与承認

アクセス権限がユーザーの職務内容と一致し、ポリシー ガイドラインに準拠していることを確認するために、ユーザーのアクセス権限を定期的にレビューすること。アクセス権限審査(ID棚卸)は、一般的に、サーベンス・オクスリー法などの規制へのコンプライアンスを確保するための内部制御の手段として用いられます。

アクセス権申請・付与

組織内のリソースへの新規アクセス権限の要求、既存のアクセス権限の変更、またはアクセス権限の削除に使用されるシステムまたはプロセス。

アクセス権限

利用、参照、変更、作成、削除する権利など、ユーザーがシステム リソースにアクセスする権利。

アクセス権限管理

ファイル、アプリケーション、システム、デバイスなど、組織内のリソースへの認証と認可を制御するために使用されるシステムまたはプロセス。多くのアクセス権限管理では、組織内のオブジェクトへのアクセスを許可または拒否するロールとルールの評価システムをベースとしています。

アクティビティ監視

システムまたはアプリケーションから収集されたログ データを使用して、ユーザーのアクション(システムへのアクセス、データの変更など)を監視する手段。

アサーション

特定のID、またはグループのメンバーであるとの主張。通常、クレデンシャル(ユーザーIDとパスワードのペア)により証拠を示す必要があります。

アテステーション

「アクセス権限審査(ID棚卸)」の別名。アクセス権限がユーザーの職務内容と一致し、ポリシー ガイドラインに準拠していることを確認するために、ユーザーのアクセス権限を定期的にレビューすること。

アプリケーション ストアまたはアプリ ストア

ユーザーがアプリケーションを参照してダウンロードできるサービス。

インターフェース

ユーザーがコミュニケーションしたり、コンピュータ ソフトウェアを使用したりできるようにするテクノロジー。ディスプレイ画面、キーボード、マウス、デスクトップの外観、文字、色、ヘルプ メッセージなどが含まれます。

エスカレーション

レビュー担当者または承認担当者が一定期間内にリクエストに応答しない場合に、警告、通知、またはアクションの委任を行うプロセス。

エンタイトルメント管理

ユーザーに認可を付与するアプリケーションおよびサービスを一元的に定義するメカニズム。きめ細かなアクセス エンタイトルメント(「認可」、「特権」、「アクセス権」、「アクセス権許諾」、「ルール」とも呼ばれます)を付与、解決、適用、取り消し、および管理するプロセスです。

エンタープライズ リスク管理

リスクを特定および評価し、リスクに備えて修復するための戦略的アプローチ。

もっと見る
オフボーディング

従業員、契約社員、パートナー、顧客などのユーザーが組織を離れる際にアクセス権限を削除するプロセス。

オンプレミスまたは「オンプレ」

クラウド サービス プロバイダーなどの遠隔地にある施設ではなく、ソフトウェアを使用する個人または組織の施設(建物)内のコンピュータにインストールされ、実行されるソフトウェア。

オンボーディング

新規の従業員、契約社員、パートナー、顧客などのユーザーが組織に加わる際にアクセス権限を付与するプロセス。

委任

レビュー担当者または承認担当者が、一時的または永続的に、自分の決定権限を別のユーザーに委譲できるプロセス。

ガバナンス

組織の指針とするとともに、組織における測定と制御に用いるルール、プラクティス、プロセスのシステム。

クラウド コンピューティング

インターネット経由で提供されるコンピューティング サービス。サービスがオンデマンドで販売される、サービスには弾力性があり、ユーザーは多寡にかかわらずいつでも必要なだけサービスを利用できる、サービスはすべてサービス プロバイダーによって管理される(利用者が必要なのはWebブラウザのみ)という3つの特徴があります。

クレデンシャル

主張されたIDを認証する手段。通常は、ペアで使用されるアイデンティティ アサーション情報の非公開部分を指します(通常、公開部分はユーザーIDです)。クレデンシャルは時間の経過にともない変更される可能性があるほか、取り消されることもあります。

もっと見る

クロスドメイン アイデンティティ管理システム(SCIM)

ユーザーとグループを表すスキーマ、および必要なすべての作成、読み取り、更新、削除(CRUD)オペレーション用のREST APIを定義することで、クラウドにおけるユーザー管理をシンプルにするために使用されるオープン標準。

グラム・リーチ・ブライリー法(GLBA)

金融機関が個人の個人情報を扱う方法を制御するために米国で制定された連邦法。GLBAは、金融機関に対して、情報共有のプラクティスについて説明したプライバシー通知書面の顧客への提供を義務付けています。

グループ

コンピュータ システムへのアクセス制御をシンプルにするためのユーザーの集合。従来から使用されているグループは静的で、グループ メンバーを個別に選択することでグループが定義されます。しかし動的なグループでは、指定された検索条件に一致するすべてのユーザーがこの動的グループのメンバーとみなされます。

コンプライアンス

明確に定義された仕様やポリシー、標準、または法律に準拠すること。ポリシーには、社内の指示、手順、要件や、社外の法律、規制、標準、契約に由来するものがあります。ポリシーのもととなる法律には、刑事罰や民事罰が規定されている法律、あるいは規則などがあります。

もっと見る
コンプライアンスの維持

コンプライアンスを一度限りのものと扱うのではなく、プロセスとツールを使用して、自動化され、一貫性があり、予測可能な方法でコンプライアンス要件を満たすこと。

コンプライアンス管理

ルールとガバナンス ポリシーを遵守するために使用されるあらゆるツール、システム、スタッフ、プロセスの総称。

もっと見る
コンプライアンス遵守

政府、機関、業界団体、その他の団体によって定められた法律、規制、標準、ガイドライン、仕様を組織が遵守すること。

もっと見る
共有アカウント

複数の人間のユーザーまたはマシン ユーザーが使用するシステムまたはアプリケーションのログインID。特権アカウントは、多くの場合、管理者の間で共有されます(例:root、sa、Administrator)。

孤立アカウント

組織を離れたユーザーに属するアカウント。孤立アカウントは、従業員が退職または異動した際にアクセス権限を削除しなかったことが直接の原因で生じます。IT監査担当者は、セキュリティ リスクを調査する場合にしばしば孤立アカウントに着目します。

拡張アクセス制御マークアップ言語(XACML)

Webサービス、デジタル著作権管理(DRM)、エンタープライズ セキュリティ アプリケーションのセキュリティ ポリシーと情報へのアクセス権限を表現するために設計された、オープン標準のXMLベース言語。

機械学習(ML)

システムが自動的に特徴を識別し、情報を分類して、データのパターンを見つけ、判断と予測を行い、インサイトを見出すことを可能にする人工知能(AI)のサブセット。

源泉情報

特定のID属性に対してオンライン上で最も信頼できる値を含んでいるシステム。たとえば、値(従業員ID番号など)を作成するシステムが源泉ソースとなる場合があります。また、ユーザーが情報(携帯電話番号など)を入力する場所となるシステムが源泉ソースとなる場合もあります。

監査

システム制御の適切性を評価し、確立されたポリシーおよび運用手順への準拠を確保するとともに、制御、ポリシー、または手順に必要な変更を推奨することを目的とした、記録および活動の独立したレビューと調査。

監査ログ

システムまたはアプリケーション内で発生したイベントの記録をキャプチャするログ。たとえば、監査ログには、システムへのすべてのログイン、ログインを行ったユーザーの名前、ログインが発生した時刻などが含まれます。

監査不備

IT制御が効果的ではないと監査人が評価すること。この用語は、一般的に、SOX法監査において、企業が外部に向けて信頼できる財務データを報告する能力に悪影響を与える可能性のある制御上の不備を警告する際に使用されます。

脅威の検知と対応

ネットワーク、システム、または機密データが侵害される前に、悪意のある活動を特定し、無効化または軽減するための一連のサイバー セキュリティのプラクティスとツール。

脅威ベクトル

サイバー犯罪者がコンピュータ システムやネットワークへの違法な不正アクセスを行うために使用する方法またはメカニズム。

関連付け

異なるデータ ソースのアイデンティティ データを、IDを表す共通スキーマにまとめるプロセス。関連付けルールを使用してアプリケーション アカウントおよびアクセス権限にIDを自動的にリンクすることも、ツールを使用して手動で正しいリンクを確立することもできます。

階層的ロール モデル

ロール ベース アクセス制御では、ロール階層によってロール間の継承関係が定義されます。たとえば、銀行におけるロール構造では、すべての従業員が「従業員」ロールのメンバーとして扱われます。その上には「部門マネージャー」および「会計士」というロールがあり、「従業員」ロールのすべてのアクセス権許諾を継承します。

サイバー セキュリティ

デジタル リソース(ハードウェア、ソフトウェア、ネットワーク、データなど)を外部のサイバー脅威や迷惑行為、悪意のある内部関係者、不注意なユーザーから保護するために組み合わせて使用される、多くのツール、システム、プラクティス、プロセス、手順を総体的に表す用語。

もっと見る
サイバー セキュリティ リスク評価

情報と情報システムをサイバー脅威から保護する組織の能力の評価。

サイバー セキュリティ監査

組織のサイバー セキュリティとサイバー リスクの包括的な評価と分析。

もっと見る
サイバー リスク

情報や情報技術の機密性または完全性が損なわれることで発生し、金銭的損失、業務への悪影響、システム、組織、政府、および個人の損害へとつながるおそれがあるリスク。

もっと見る
サイバー攻撃

データ、アプリケーション、またはその他のデジタル資産の変更、ブロック、制御、削除、破壊、無効化、中断、漏洩、改ざん、窃取を明確に意図した、コンピュータ システム、デジタル デバイス、またはネットワークへの不正アクセス。

もっと見る
サードパーティ リスク管理

ベンダー、パートナー、サービス プロバイダー、サプライヤー、契約社員など、外部のビジネス パートナーやベンダーに起因するリスクを組織が特定、評価、制御するプロセス。

もっと見る
サービス アカウント

あるシステムから別のシステムに安全なアクセスを許可する必要がある場合にアプリケーション間通信で使用される共有アカウントの一種。

シャドーIT

IT部門が把握していない、組織内で使用されているデジタル システム・端末(パーソナル コンピュータ(PC)・ノート パソコン・タブレット・スマートフォンなど)・ソフトウェア・アプリケーション(通常は既製のパッケージ ソフトウェア)・サービス(主にSaaS(Software as a Service)・PaaS(Platform as a Service)・IaaS(Infrastructure as a Service))を指します。

もっと見る
シングル サイン オン(SSO)

ユーザーが1つのユーザー名とパスワードを入力するだけで企業内の多数のリソースにアクセスできる認証プロセス。アプリケーションやシステムごとに個別に認証とサインオンを行う必要がなくなります。

もっと見る
ステップアップ認証

リソースに設定された定義済みポリシーに基づいて、必要な認証レベルを決定する方法。ユーザーが特定のリソースにアクセスする際に、ポリシー評価に基づきより高いレベルの認証(多要素認証(MFA)の使用など)を要求されることがあります。

セキュリティ侵害

インシデントによりプライベートな境界、保護された境界、または機密性の高い論理的なIT境界に無許可で侵入され、デジタル データ、アプリケーション、サービス、ネットワーク、デバイスが不正にアクセスされた場合に生じ、最終的には情報への不正アクセスにつながります。

セキュリティ情報イベント管理(SIEM)テクノロジー

セキュリティ情報管理(SIM)は、ログ管理(ログ データの収集、レポート、分析)の機能を提供し、法規制遵守レポート、内部脅威管理、リソース アクセス監視をサポートします。セキュリティ イベント管理(SEM)は、セキュリティ デバイス、ネットワーク デバイス、システム、アプリケーションからのイベント データをリアルタイムで処理し、セキュリティ監視、イベントの関連付け、インシデント対応の機能を提供します。このテクノロジーは、標的型攻撃やセキュリティ侵害に関連するアクティビティを発見するために使用できるほか、さまざまな規制要件に準拠するためにも使用されます。

セルフサービス

ユーザーがセルフサービスのインターフェースを使用してリソースへのアクセスをリクエストできるようにするプロセス。このインターフェースでは、ワークフローを使用してリクエストが適切な管理者にルーティングされ、承認が行われます。

ゼロトラスト

人、デバイス、またはユーザーとして指定されたその他あらゆるエンティティを含むすべてのIDについて、企業ネットワークの内部のユーザーであるか、外部のユーザーであるかにかかわらず、データやアプリケーションへのアクセス前、およびアクセス中に認証、認可され、継続的に検証されることを求めるITセキュリティ フレームワーク。

もっと見る
ソルベンシーII

2012年に発効し、EU加盟国のすべての保険会社に適用されるリスクベースの規制の枠組み。ソルベンシーIIは、欧州の保険会社のガバナンス、運営、意思決定にリスクに対する認識を植え付けることを目指しています。

侵害

セキュリティ制御が破られ、システムやアプリケーションへの未認証の侵入につながるリスクが生じること。あるいは特定のシステムにおいて定められたセキュリティ制御の違反により、情報資産またはシステム コンポーネントが無防備にさらされた状態となること。

修正

ポリシー違反などのコンプライアンス上の課題や問題を修復する行為またはプロセス。

再割り当て

オペレーションの実行責任を別のユーザーに移譲するアクション。

属性

デジタル アイデンティティに関連付けられた単一の情報。属性の例として、名前、電話番号、所属機関などがあります。ユーザーについての各識別情報は、そのユーザーの属性と考えることができます。ユーザーにはID属性があり、それぞれの属性は1つ以上のターゲット システムに保存される可能性があります。

属性ベース アクセス制御

部門、場所、管理者、時刻などの特性に基づいてポリシーを設定および適用する認可方法。

もっと見る
承認ワークフロー

ユーザー アクセス権限やロール定義などのアイデンティティ アーティファクトへの変更要求について、認証済みのユーザーからの承認獲得を自動化するビジネス プロセス。

最小権限

ユーザーのアクセス(データやアプリケーションへのアクセスなど)またはアクセスの種類(読み取り、書き込み、実行、削除など)を、ユーザーが職務を遂行するために必要な最小限に制限しようとする概念。

もっと見る

生体認証

識別または検証の目的で使用できる身体的特徴または行動特性。優れた生体認証の条件は、各個人に固有で、長期にわたり安定しており、簡単迅速に提示および検証できること、そして人為的な手段によって容易に複製できないことです。

職務分掌

タスクを2つ以上に分割することで、過失や不正行為に対する組織の許容範囲を超えた取り返しのつかない影響が生じるようなアクションを1人の担当者が単独で実行できないようにします。

もっと見る
職務分掌(SoD)

1つ以上の重要なビジネス取引について、1人の担当者が過度な権限を握らないようにすることで不正行為を防止するための内部制御。相互排他的なアクセスやロールを指します。1人の担当者による単独行動でシステムの侵害が生じないように、機密情報やリスクの高いアクションに対する責任を分割します。セキュリティ原則としてのSoDの主な目的は、不正行為や過失を防止することです。この原則が適用された例として、銀行小切手に2名の署名が求められる場合や、自分自身のワークフロー リクエストの承認禁止があります。「職務分掌」とも呼ばれます。

重大な欠陥

IT制御に重大な欠陥があると監査人が評価すること。この用語は、一般的に、SOX法監査において、財務諸表の重大な虚偽記載を防止または検知できないことを示す際に使用されます。

集約

エンタープライズ アプリケーションから一元化されたアイデンティティ データ リポジトリへのアイデンティティ データの収集と関連付け。

ダッシュボード

指標や主要業績評価指標(KPI)を集約してあらゆるユーザーが一目で確認できるように表示するレポート メカニズム。ユーザーは、ダッシュボードから追加のビジネス インテリジェンス(BI)ツール、パフォーマンス管理(PM)ツール、分析ツールを使用してさらに詳しい調査を実施できます。

ディレクトリ

ボリューム、フォルダー、ファイル、プリンター、ユーザー、グループ、デバイス、電話番号、その他のオブジェクトなど、一般的な項目やネットワーク リソースを特定、管理、運営、編成するための共有情報インフラストラクチャ。

デジタル アイデンティティ

個人のアナログ アイデンティティのデジタル版。個人に関連付けられた複数のアカウント、クレデンシャル、エンタイトルメント、行動、使用パターンで構成されます。

データ ガバナンス

収集から利用、最終的な廃棄に至るまで、存在期間全体にわたってデータを管理することにより、進化を続ける企業をサポートして利益をもたらし、保護するための方法。

もっと見る
データセンター

コンピュータ システム、およびサーバー(Webサーバー、アプリケーション サーバー、データベース サーバーなど)、スイッチ、ルーター、データ ストレージ デバイス、ロード バランサー、ワイヤー ケージまたはクローゼット、保管庫、ラック、関連機器などの関連するコンポーネントを収容するために使用される施設。

データ侵害

機密データ、秘密データ、個人情報、保護されたデータが、未認証の何者かによって公開、流出、または破損されるサイバー セキュリティ インシデント。

もっと見る
トークン

情報システムにアクセスするための認証要素として使用されるソフトウェアまたはハードウェア。ハードウェア トークンは、ワンタイム パスワードを計算する、通常クレジット カードやキー フォブの大きさの小型デバイスです。ソフトウェア トークンは、ハードウェア トークンと同じ機能を持ちますが、携帯電話やタブレットなど、ユーザーが既に所有しているデバイスにソフトウェアとしてインストールされる点が異なります。

プロビジョニング解除

システム内のユーザー アカウントを削除するプロセス。

もっと見る

取り消し

権限審査(ID棚卸)中にレビュー担当者が行った決定に基づいて、ユーザーから特定のロールまたはエンタイトルメントを削除する行為。

多要素認証(MFA)

複数の要素を要求する認証プロセス。これらの要素は通常、ユーザーのみが知り得る情報(パスワード、パスフレーズ、PIN)、ユーザーが所持している物(トークン、スマート カード)、ユーザーが「何者であるか」を示す情報(指紋、声紋、網膜スキャン)の3つのカテゴリーに分類されます。

もっと見る
特権

アカウント属性の特定の値(一般的にはグループ メンバーシップ)、またはアクセス権許諾。セキュリティ エンタイトルメントとは、特定のシステム上のユーザー アカウントに付与される、なんらかのデータや機能にアクセスするための権限です。

特権クリープ

異動、昇進、あるいは単に通常の業務遂行を通して、時間の経過とともにより多くのアクセス権限が従業員に付与されることから生じるアクセス制御の脆弱性。業務遂行に実際に必要な範囲を超えて従業員にエンタイトルメントを付与すると、組織が不要なビジネス リスクにさらされることになります。

調整

ID管理ソリューション内のアイデンティティ データと、管理対象リソースに実際に存在するデータを定期的に比較するプロセス。調整により、アカウント データを関連付けて、差異を明らかにすることで、ワークフローを呼び出して警告を発したり、データに変更を加えたりすることができます。

透明性

説明責任、リスク管理、集団的な意思決定に必要なすべての情報が利用できる状態。

内部制御

組織が不正行為を防止および検知し、機密性の高い資産を保護できるようにするためのプロセス。通常、内部制御は、組織のプロセスとITリソースをレビュー、監視、測定する手段となります。

内部脅威

機密性の高いアプリケーションやデータにアクセスできる組織内の従業員による、不正行為、盗難、妨害行為、またはプライバシー侵害の潜在的なリスク。

認可

定義されたポリシーに基づいて、情報リソースへのアクセスを許可または拒否するプロセス。

もっと見る
認定

「アクセス権限審査(ID棚卸)」を参照

認証

通常、情報システム内のリソースへのアクセス権限を付与する前提条件として、アクセス権限請求者が提示した識別子の有効性に対する信頼を確立するプロセス。

もっと見る

ID連携

認証、認可、アクセス制御、侵入検知および防止システム(IDPS)、サービス プロバイダーなどの複数のコンポーネントを組み合わせることにより、安全なユーザー アクセスをシンプルに実現するソリューション。

もっと見る
ハイブリッドIT

ハイブリッドITとは、組織が一部の情報技術(IT)リソースをオンプレミス(データセンター内)で提供および管理し、その他のリソースについてはクラウドベースのサービスを利用する、エンタープライズ コンピューティングのアプローチです。

バーゼルII

バーゼル銀行監督委員会が策定した、国際的に金融と銀行業務を規制する一連の銀行規制。バーゼルIIは、財務リスクとオペレーショナル リスクを軽減することを目的に、金融機関の最低自己資本要件を設定することで、バーゼルの自己資本基準を各国の規制へと組み込むことを目指しています。

パスワード

システム サービスへのアクセスを制御するために使用される秘密の認証データの一形態。電子的な識別子の保有者は、パスワードを利用して、自分がその識別子の発行を受けた本人であることを裏付けることができます。ユーザーのみが知っており、認証システムが確認できるクレデンシャルです。

パスワード ポリシー

パスワードの作成、保管、使用に関する一連の要件。多くの場合、これらの要件により、パスワードでどのような種類の文字を何文字使うべきかといった制約が課されます。

パスワードのリセット

パスワードを忘れたユーザーや、パスワードを一定回数間違えてロックアウトされたユーザーが、別の要素で認証して新しいパスワードを定義できるようにするプロセスまたはテクノロジー。

パスワードの同期

ユーザーからパスワードを受け取り、他のリソースのパスワードをそのパスワードと同じになるように変更するソリューション。

パスワード管理

システム全体でパスワードを制御、設定、リセット、同期するプロセスを自動化したもの。

パブリック クラウド

企業ファイアウォールの外側で一般に公開され、インターネット経由で提供されるクラウド コンピューティング環境。クラウド コンピューティング テクノロジーを使用して、プロバイダーの組織外部の顧客をサポートする仕組みがパブリック クラウド コンピューティングです。パブリック クラウド サービスを利用すると、各種のスケール メリットを活かしてリソースを共有することで、コストを削減できるとともに、テクノロジーの選択肢を増やすことができます。

ビジネス継続性

重大な混乱を生じる災害、緊急事態、その他の予期せぬ事象が発生した場合に、組織が重要な業務を維持できるようにするために必要な事前の計画と準備。

フェデレーション

組織において、別の組織が提供する認証を信頼し、その認証結果に基づいて認可を提供できるようにする一連の取り決め。ユーザーが複数の組織のリソースにシームレスにアクセスできるようにすることが連携の目的です。

もっと見る
プライベート クラウド

企業ファイアウォールの外側で一般に公開され、インターネット経由で提供されるクラウド コンピューティング環境。クラウド コンピューティング テクノロジーを使用して、プロバイダーの組織外部の顧客をサポートする仕組みがパブリック クラウド コンピューティングです。パブリック クラウド サービスを利用すると、各種のスケール メリットを活かしてリソースを共有することで、コストを削減できるとともに、テクノロジーの選択肢を増やすことができます。

プロビジョニング

一意のユーザー アイデンティティに基づいて、システム、アプリケーション、データベースへのユーザー アクセス権限を付与、変更、または削除するプロセス。自動ユーザー プロビジョニングは、ユーザーとそのアクセス権限の管理を迅速かつシンプルにすることを目的としています。これは、オンボーディングや退職などのビジネス プロセスを自動化およびコード化し、これらのプロセスを複数のシステムに接続することで実現されます。

ベンダー リスク管理

ビジネス パートナーに関連するリスクを特定、評価、軽減、管理、監視するためのフレームワーク。

ペイメント カード インダストリー(PCI)データ セキュリティ基準(DSS)

ペイメント カード会員のアカウント データのセキュリティを強化するためにPCI Standards Councilによって策定された基準。この基準は、セキュリティ管理、ポリシー、手順、ネットワーク アーキテクチャ、ソフトウェア設計、その他の重要な対策を含む12の中核要件で構成されています。

ポリシー

組織によって、または規制上の義務の結果として定義される、ビジネスを遂行するために正式に定められた一連のルール。

ポリシーの適用

定義されたポリシーが組織によって遵守されることを自動的に保証する一連の予防的コントロールと発見的コントロール。

ポリシー評価

オペレーションを許可する前にポリシー違反がないかチェックすることで、ポリシーを自動的に適用するルール。

保護対象保健情報(PHI)

個人の過去、現在、将来の身体的または精神的な健康や状態、および遺伝情報に関連するデータ。

北米電力信頼度協議会重要インフラ保護基準(NERC CIP)

北米における基幹電力システムの継続的な信頼性を保護するために策定された、2008年初頭承認のフレームワーク。CIP基準は、重要なサイバー資産を特定し、保護することを電力会社に義務付けています。

特権アカウント

特権アカウントとは、システムまたはアプリケーションにおいて通常のユーザーよりも強力なアクセス権限が付与されるログインIDです。特権アカウントは通常、システム管理者がシステムを管理したり、システム上でサービスを実行したりする場合、あるいはアプリケーションが別のアプリケーションにプログラム的に接続する場合に使用されます。

発見的コントロール

ビジネスに重大な影響を与えると企業が判断したイベント(望ましくないもの、または望ましいもの)、エラー、その他の事象を特定するために用いられる手順。自動化​​により支援されることもあります。

マイクロセグメンテーション

ネットワークをより小さなゾーン、つまりマイクロセグメントに分割し、アプリケーションのワークロードをセグメント化して個別に保護するネットワーク セキュリティ対策。ゼロトラスト セキュリティ アプローチの基本要素の一つです。

もっと見る
モデル監査ルール(MAR)

2010年1月1日に発効した、米国の非上場保険会社に対して金融システムとデータの完全性に対する効果的な管理体制を確立していることの証明を義務付ける規則。MARは、サーベンス・オクスリー法と同様に、より高い透明性、内部制御のより厳格な遵守、そしてより優れたコーポレート ガバナンスを求めています。

ユーザー プロビジョニング

オンプレミス、クラウド、ハイブリッド環境など、どのような環境であるかを問わず、ユーザーのデジタル アイデンティティと複数のリソースに対するアクセス権限を同時に作成、保持、更新、廃棄すること。

もっと見る
予防的コントロール

ビジネスに重大な悪影響を与える可能性があると組織が判断した望ましくないイベント、エラー、その他の事象を防止するために用いられる内部制御。

ラストマイル プロビジョニング

ユーザーのライフサイクルの変化に基づいて、対象リソースに変更を適用するプロセス。

リスク

特定の脅威ソースが特定の情報システムの脆弱性を悪用する(誤って、または意図的に悪用する)可能性、およびそのような事態が発生した場合の影響。

リスクベース認証

特定のシステムへのアクセスによってシステムが侵害される危険性に基づいて、認証プロセスの厳格さを変化させる手法。リスク レベルが高くなるにつれて、より包括的で厳格な認証プロセスが使用されます。

リスク管理

リスクを特定、制御、および軽減するための全体的なプロセス。

リスク管理戦略

リスク管理戦略とは、組織がどのようにリスクを評価し、特定されたリスクに対応し、新しいリスクがないか継続的に注視し、既知のリスクを監視する計画であるかを定めるフレームワークです。

リスク評価

システム セキュリティに対するリスクを特定し、発生確率、結果として生じる影響、およびこの影響を軽減するための追加のセキュリティ対策を決定するプロセス。

リスク軽減

脅威の発生確率、または脅威の結果として生じる影響を軽減するプロセス。リスク軽減の選択肢として、脆弱性の除去、内部制御の強化、悪影響の規模の低減などがあります。

もっと見る
リソース

ID管理システムによって管理されているシステム、アプリケーション、データベース、またはその他のオブジェクト。

リバース プロキシ

内部ネットワーク上のWebサーバーに単一の認証ポイントを提供するソフトウェア。各Webアプリケーションにソフトウェアをインストールする必要がないことがリバース プロキシ アーキテクチャの利点です。

ルール

組織によって、または規制上の義務の結果として定義される、一連の定められたガイドライン。

ロール

ロールとは、IDが組織内のリソースにアクセスし、特定のオペレーションを実行できるようにするエンタイトルメントまたはその他のロールの集合です。たとえばシンプルなロールの例として、単一のシステムのコンテキスト内で定義されたエンタイトルメントの集合があります。ロールは、よく使用されるエンタイトルメントのセットをカプセル化し、ユーザーに個別に割り当てるのではなく、パッケージとして割り当てることで、システムおよびアプリケーションのセキュリティ管理をシンプルにするために使用されます。

ロール ベース アクセス制御(RBAC)

組織内でのユーザーのロールに基づいてユーザー アクセスを制限するモデル。

もっと見る
ロール モデル

ロールとロール階層、主体におけるロールのアクティブ化、主体と客体の媒介、ユーザー/ロールのメンバーシップとロール セットのアクティブ化に関する制約を定義した、図式によるロールの記述。ロール モデルは、ロール定義のセットと、暗黙的または明示的なロール割り当てのセットです。

ロール ライフサイクル管理

ロールの作成、変更、廃止、ロールの承認、ロール権限審査(ID棚卸)、およびロールの分析を自動化するプロセス。

ロールの作成

ロール モデル内でロールを定義し、ビジネス プロセスと職務に基づいてそれらのロールを適切なアクセス権限のセットにマッピングするプロセス。

ロールの割り当て

ユーザーにロールを付与するプロセス。ロールはユーザーに暗黙的に割り当てられる場合があります。たとえば、一部のデータベースには、「要件Xに一致するユーザーには、ロールYが自動的に割り当てられる」という形式のルールが含まれています。

ロール権限審査(ID棚卸)

ロールに適切なアクセス権限が含まれていること、およびロールのメンバーが適切であることを確認するために、1つ以上のロールを定期的にレビューすること。ロール権限審査(ID棚卸)は、内部制御として、およびロールの過剰な増加を防止する方法として一般的に使用されます。

ロール管理

ロールとロールの割り当ては、わずかな間でも変化しないことはありません。そのため、ロールの管理が必要となります。つまり、ロールに関連付けられたエンタイトルメントをレビューし、レビュー結果に応じて更新するとともに、暗黙的または明示的にロールが割り当てられているユーザーについてもレビューし、必要に応じて変更する必要があります。ロール管理には、このようなレビューと変更に影響するビジネス プロセスが含まれます。

A-G

BYOA

BYOA(Bring Your Own Application)とは、従業員が職場で個人のアプリケーション アカウント(Facebook、LinkedInなど)にアクセスすることを許可するポリシーを指します。

BYOD

BYOD(Bring Your Own Device)とは、従業員が個人所有のモバイル端末(ノート パソコン、タブレット、スマートフォン)を職場に持ち込み、それらのデバイスを使用して会社の部外秘の情報やアプリケーションにアクセスすることを許可するポリシーを指します。

CSV

コンマ区切り値(CSV)ファイルは、リスト形式の表として構造化されたデータをデジタル保存するために使用されるデータ ファイルで、グループ内の関連する各項目(メンバー)は、コンマで区切ってセットとしてまとめられます。

EU一般データ保護規則(GDPR)

オンラインで消費者から収集した個人情報を組織が処理および利用する方法を制御するために可決された法律。

もっと見る
FISMA(連邦情報セキュリティ近代化法)

政府の情報と運営を保護するためのガイドラインとセキュリティ基準を定める米国の法律。

FedRAMP

米国政府機関が使用するクラウド サービスおよびソリューションのセキュリティを確保するために作成された連邦リスク認可管理プログラム。

もっと見る

H-N

HIPAA法違反

1996年制定の医療保険の相互運用性と説明責任に関する法律(HIPAA法)で定められたルールに違反した場合に生じる結果。これらのルールでは、患者の保護対象保健情報(PHI)の保護に重点が置かれています。

HIPAA法(医療保険の相互運用性と説明責任に関する法律)

電子データ交換(EDI)、セキュリティ、およびすべての医療関連データの機密保持のための標準化されたメカニズムを確立することを目的に米国で制定された連邦法。HIPAA法は、個人を特定するあらゆる情報の機密性とデータの完全性を確保するためのセキュリティ メカニズムを義務付けています。

IDaaS(Identity as a Service)

クラウドにホストされてクラウド サービスとして提供され、サードパーティのサービス プロバイダーによって管理されるIAMソフトウェア。

ID管理

人、システム、デバイスなどのデジタル エンティティのアクセス権許諾を検証し、割り当てるために使用されるセキュリティ ソリューション。

もっと見る
LDAP(Lightweight Directory Access Protocol)

ディレクトリ内の情報にアクセスするための一連のプロトコル。LDAPを使用すると、ほぼすべてのコンピュータ プラットフォームで実行されるほとんどすべてのアプリケーションがディレクトリ情報を取得できます。

NIS2指令

欧州連合(EU)初のサイバー セキュリティ指令であるNIS指令の第2版。より多くのセクターへと適用範囲が拡大されるとともに、EU加盟国全体での統一的な導入のためのガイドラインが含まれています。

もっと見る
NISTサイバーセキュリティフレームワーク

アメリカ国立標準技術研究所(NIST)は、米国商務省傘下の機関です。NISTサイバーセキュリティフレームワークは、米国の重要インフラストラクチャ(重要とみなされる資産、システム、機能)のセキュリティを向上させるために作成されました。

もっと見る

O-Z

OAuth

認可のためのオープン標準。OAuthは、クライアントがサーバー リソースにアクセスするための方法を、リソース オーナー(別のクライアントやエンド ユーザー)に代わって提供します。また、エンド ユーザーがユーザー エージェント リダイレクトを使用して、クレデンシャル(通常はユーザー名とパスワードのペア)を共有することなく、サーバー リソースへのサードパーティ アクセスを認可するプロセスも提供します。

OpenID

サードパーティ サービス(Relying Party、またはRP)を使用してユーザーを認証する方法を規定したオープン標準。組織が独自の認証システムを提供する必要がなくなるとともに、ユーザーはデジタル アイデンティティを統合できるメリットがあります。

OpenID Connect

OpenIDが行うタスクの多くを実行するオープン標準ですが、APIフレンドリーであるとともに、ネイティブ アプリケーションやモバイル アプリケーションで使用しやすい形で実現されています。この標準は、OAuth 2.0プロトコルの上位に位置するシンプルなアイデンティティ レイヤーとなっており、クライアントは認可サーバーによって実行される認証に基づいてエンド ユーザーのIDを検証できるほか、相互運用性のあるRESTに類似の方法でエンド ユーザーについての基本的なプロファイル情報を取得できます。

SAML

Security Assertion Markup Language(SAML)は、セキュリティ ドメイン間、つまりアイデンティティ プロバイダー(アサーションのプロデューサー)とサービス プロバイダー(アサーションのコンシューマー)間で認証および認可データを交換するためのXMLベースの標準です。

SOX法コンプライアンス

投資家や顧客を不正な企業慣行から保護するために2002年に制定された米国連邦法であるサーベンス・オクスリー法(SOX法)への準拠を指します。

もっと見る

SOX法(サーベンス・オクスリー法)

「上場企業会計改革および投資家保護法」としても知られるこの法律は、企業の財務情報開示の正確性と信頼性を向上させることにより投資家を保護することを目的として2002年に制定されました。この法規は、米国の証券取引所に上場するすべての企業に影響します。

SaaS(Software as a Service)

アプリケーションがベンダーまたはサービス プロバイダーによってホストされ、通常は従量課金制でインターネット経由で顧客に提供されるソフトウェア配布モデル。SaaSソフトウェアは、1つまたは複数のサービス プロバイダーによってリモートで所有、提供、管理されます。