用語集

アラート疲労とは、セキュリティや運用チームが毎日大量のアラートに圧倒されるときに起こる現象です。時間が経つにつれて、人々は疲れ、ストレスを感じ、アラートを無視し始めます。

APIセキュリティは、アプリケーションが通信するための現代のソフトウェアの一部であるAPIを、不正アクセス、悪用、または攻撃から保護するプロセスです。

APIセキュリティテストは、APIの認証の欠陥やデータ漏洩などの脆弱性を発見し修正するもので、現代のアプリや機密データを保護するために不可欠です。

アプリケーションセキュリティは、SDLC全体を通じてソフトウェアを脆弱性や攻撃から保護するための実践です。その重要性、一般的な脅威、クラウドやコンテナ環境での現代のアプリケーションを保護するためのライフサイクルの実践について学びましょう。

アプリケーションセキュリティ評価は、ソフトウェアの脆弱性を特定し修正するプロセスです。その目的、構成要素、一般的なツール、サイバー脅威からアプリケーションを保護するための課題を学びましょう。

アプリケーションセキュリティライフサイクルは、ソフトウェア開発のすべての段階にセキュリティを統合します。計画や設計から展開、保守に至るまで。各段階、ベストプラクティス、そして現代のアプリケーションを保護するために重要な理由を学びましょう。

アプリケーションセキュリティポスチャ管理（ASPM）は、組織がソフトウェアライフサイクル全体にわたってアプリケーションセキュリティリスクを完全に可視化し、制御するためのプラットフォームです。

アプリケーションセキュリティテスト（AST）は、攻撃者が利用できる弱点をアプリケーションで確認することを意味します。一般的なASTの方法には、SAST、DAST、IASTがあり、開発の各段階でソフトウェアを安全に保つのに役立ちます。

CIゲーティングは、開発パイプラインにおける自動化された「ライン停止」メカニズムです。セキュリティと品質のポリシーに対してコードを評価し、基準を満たさないコミットをブロックします。

CI/CDパイプラインは、開発者のラップトップからコードを取り出し、安全にユーザーに届けるための自動化されたプロセスです。コードをビルドし、テストし、手動のステップに頼らずにデプロイします。

CI/CDセキュリティは、コミットからデプロイメントまで、継続的インテグレーションおよび継続的デプロイメント（CI/CD）パイプラインにセキュリティを統合するプロセスです。

クラウドセキュリティポスチャーマネジメント（CSPM）は、AWS、Azure、Google Cloudなどのクラウドプラットフォームにおける誤設定、コンプライアンス違反、セキュリティリスクを検出し修正するためにクラウド環境を継続的に監視するセキュリティ手法およびツールセットです。

CNAPP (クラウドネイティブアプリケーション保護プラットフォーム) は統合されたセキュリティモデルです。クラウドセキュリティポスチャ管理 (CSPM)、クラウドワークロード保護 (CWPP)、クラウドインフラストラクチャ権限管理 (CIEM)、およびアプリケーションセキュリティポスチャ管理 (ASPM) を組み合わせています。

CVEは共通脆弱性識別子を意味します。これは、すでに公に知られているサイバーセキュリティの脆弱性を追跡するシステムです。

コンテナセキュリティは、DockerやKubernetes上で動作するコンテナ化されたアプリケーションを、ビルドから実行までのライフサイクル全体にわたって保護するプロセスです。

CVSSは、セキュリティバグの深刻度を示す標準的な方法です。各脆弱性に0から10のスコアを付け、チームが優先的に修正すべきものを把握できるようにします。

DevSecOpsは、DevOpsプロセスの各ステップにセキュリティを追加する作業方法であり、コーディングとテストから始まり、展開と保守に至るまで続きます。

Dockerコンテナの簡単な説明、動作方法、および開発者が環境を問わずアプリを一貫して実行するために使用する理由。

動的アプリケーションセキュリティテスト、またはDASTは、アプリケーションが実行中にそのセキュリティをチェックする方法です。SASTがソースコードを調べるのとは異なり、DASTはSQLインジェクションやクロスサイトスクリプティング（XSS）などの実際の攻撃をライブ環境でシミュレートすることでセキュリティをテストします。

エクスプロイト予測スコアリングシステム（EPSS）は、特定のソフトウェア脆弱性が実際に悪用される可能性を推定するデータ駆動型の標準です。

誤検知とは、セキュリティツールが実際には存在しない問題を報告することです。

コードとしてのインフラストラクチャ (IaC) セキュリティは、Terraform、CloudFormation、Kubernetes YAML などの特定の言語で書かれた構成ファイルやスクリプトをデプロイ前にスキャンすることでクラウドインフラストラクチャを保護するプロセスです。

インタラクティブアプリケーションセキュリティテスト（IAST）は、SAST（静的アプリケーションセキュリティテスト）とDAST（動的アプリケーションセキュリティテスト）を組み合わせて、アプリケーションの脆弱性をより効果的に発見する方法です。

マルウェア検出とは、ウイルス、ランサムウェア、スパイウェア、トロイの木馬などの有害なソフトウェアをシステム、ネットワーク、アプリケーションで見つけてブロックすることを意味します。

MTTRは、既知の脅威にどれだけ迅速に対応するかを示す重要なサイバーセキュリティ指標です

多要素認証は、アプリケーションやシステムにアクセスするために2つ以上の種類の確認を必要とするセキュリティ方法です。MFAは追加の保護層を提供し、パスワードだけに依存しないようにします。

NVDは、NISTによって維持されている世界の主要な脆弱性データのリポジトリです。CVE識別子にCVSSの深刻度スコア、CWE分類、詳細な技術的説明を付加します。

オープンソース監査は、ソフトウェアアプリケーション内で使用されるすべてのオープンソースコンポーネントの包括的なレビューです。

OWASPトップ10は、最も深刻なウェブアプリケーションの脆弱性をリストアップしています。OWASPはまた、開発者やセキュリティチームがこれらの問題を発見、修正、防止する方法を学ぶための有益なリソースを提供しています。

フィッシングは、攻撃者が銀行、クラウドサービス、同僚などの信頼できる存在を装い、被害者を騙してパスワード、クレジットカード番号、その他の資格情報などの機密情報を漏らさせるソーシャルエンジニアリング攻撃の一種です。

RBACは、組織内でユーザーを特定の役割に割り当てることでシステムのセキュリティを管理する方法です。各役割には独自の権限セットがあり、その役割のユーザーが許可されるアクションを決定します。

リバースシェルは、被害者のコンピュータが攻撃者のコンピュータへの接続を開始するリモートシェルです。

SBOMは、サードパーティおよびオープンソースのライブラリ、フレームワークのバージョンを含む、ソフトウェアを構成するコンポーネントの詳細なインベントリです。

シークレット検出は、コードベース、CI/CDパイプライン、クラウドをスキャンして、APIキー、認証情報、暗号化キー、トークンなどの露出したシークレットを特定するプロセスです。これは、クレデンシャルスタッフィングボットやクラウドリソースハイジャッカーなどの攻撃者が、これらの露出したシークレットを悪用して不正アクセスを得る可能性があるため、非常に重要です。

修復とは、組織のシステムにおける弱点を修正または除去して、安全性を高め、リスクを軽減することを意味します。

ソフトウェア構成分析（SCA）は、アプリケーション内で使用されるサードパーティライブラリのリスクを特定し管理するセキュリティプロセスです。

ソフトウェア開発ライフサイクル、またはSDLCは、開発チームがアプリケーションを計画、設計、構築、テスト、そして組織的に立ち上げるのを助けるプロセスです。

ソフトウェアサプライチェーンセキュリティは、ソフトウェア開発の最初のコード行から最終的なデプロイメントまで、すべての部分、プロセス、ツールを安全に保つことです。

SQLインジェクション（SQLi）は、攻撃者が入力フィールドに悪意のあるSQL文を入力してデータベースを操作する攻撃の一種です。

SSDLC（セキュアソフトウェア開発ライフサイクル）は、従来のSDLCを拡張し、ソフトウェア開発の各段階—設計、コーディング、テスト、展開、保守—にセキュリティプラクティスを組み込むものです。その目的は、脆弱性を早期に特定し対処することで、コストのかかる修正を減らし、より安全なアプリケーションを確保することです。

SASTは、アプリケーションのソースコード（開発者が書いた元のコード）、依存関係（コードが依存する外部ライブラリやパッケージ）、またはバイナリ（実行準備が整ったコンパイル済みコード）を実行前にチェックするアプリケーションセキュリティテストの一種です。

クロスサイトスクリプティング、またはXSSは、攻撃者が有害なスクリプトをウェブページに追加できるウェブサイトのセキュリティ欠陥です。これらのスクリプトはほとんどの場合、JavaScriptで書かれています。

ゼロトラストは、ネットワークの境界内であっても、デバイス、ユーザー、アプリケーションを信頼すべきではないとするサイバーセキュリティの概念です。デバイスの健全性、アイデンティティ、コンテキストの確認後にのみアクセスが許可されます。

ゼロデイ脆弱性は、ベンダーや開発者が発見したばかりのソフトウェアのセキュリティ欠陥であり、パッチを作成またはリリースする時間がまだない状態です。修正がないため、サイバー犯罪者はこれらの欠陥を利用して、発見や阻止が難しい攻撃を仕掛けることができます。

二要素認証（2FA）は、ユーザーが本人確認のために2種類の認証要素を提供する必要があるセキュリティ方法です。MFA（多要素認証）の一部と見なされます。MFAは2つ以上の検証要素を含むことができますが、2FAは特に2つの要素を意味します。