セキュリティ用語集 ― 初心者がまず押さえたい20語をやさしく解説
ニュースや社内ルールで飛び交うセキュリティ用語。「なんとなく分かるけど、説明はできない」——そんな言葉を、初心者向けにやさしくまとめました。攻撃の名前から守るための技術まで、まず押さえたい20語を「攻撃・脅威」「対策・技術」「基礎概念」の3グループで解説します。気になる言葉から拾い読みしてください。
このページの使い方
各用語は「ひとことで言うと」「なぜ大事か」をセットで説明しています。深く学びたい人は、関連記事や信頼できる参考サイトへのリンクもたどってみてください。体系立てて学びたい方は連載「はじめてのセキュリティ」もどうぞ。
A. 知っておきたい「攻撃・脅威」
1. マルウェア
悪意あるソフトウェア(malicious software)の総称。ウイルス、ワーム、トロイの木馬、後述のランサムウェアなどをまとめてこう呼びます。メールの添付ファイルや偽サイト、USBメモリなどから感染し、情報を盗んだり端末を操作したりします。「ウイルス対策ソフト」が守ろうとしている相手が、このマルウェアです。
2. ランサムウェア
感染した端末やサーバーのデータを暗号化して使えなくし、元に戻す代わりに身代金(ransom)を要求するマルウェア。近年は「データを盗んだうえで公開すると脅す」二重恐喝型が主流です。企業の事業停止に直結するため、定期的なバックアップと復旧訓練が要になります。
3. フィッシング
銀行や有名サービスを装った偽メール・偽サイトに誘導し、ID・パスワード・カード情報を入力させて盗む詐欺。最近はAIで文面が自然になり、見分けが難しくなっています。送信元アドレスやリンク先URLを確認する習慣が最初の防御です。
4. 標的型攻撃
不特定多数ではなく、特定の企業・組織を狙い撃ちにする攻撃。取引先を装ったメールなど、相手をよく調べたうえで仕掛けてくるのが特徴です。「うちは無関係」と思っている組織ほど、侵入の入口(踏み台)として狙われます。
5. ゼロデイ脆弱性
修正プログラム(パッチ)がまだ存在しない、未知の弱点を突く攻撃。「対策が出るまで0日」という意味です。防ぎきれない前提で、被害を最小化する多層防御や早期検知が重要になります。
6. DDoS攻撃
大量のアクセスを一斉に送りつけてサーバーをパンクさせ、サービスを停止させる攻撃(分散型サービス妨害)。世界中の乗っ取られた機器が”加担”させられることもあります。Webサービスの可用性を脅かす代表的な脅威です。
7. SQLインジェクション
Webサイトの入力欄に不正な命令文(SQL)を紛れ込ませ、データベースから情報を抜き取ったり改ざんしたりする古典的かつ強力な攻撃。対策はアプリ側の作り込みで、開発時の基本対策として広く知られています。
8. ブルートフォース攻撃(総当たり攻撃)
パスワードを片っ端から試して突破する力任せの攻撃。単純なパスワードや使い回しは、この攻撃に弱いです。後述の多要素認証や、試行回数の制限(ロックアウト)が有効な対策になります。
9. ソーシャルエンジニアリング
技術ではなく「人の心理」をだまして情報を引き出す手口。電話で担当者になりすます、緊急を装って急かす、肩越しに画面を盗み見るなど。どれだけ技術で守っても、人が”うっかり”すれば突破されるため、教育が欠かせません。
10. サプライチェーン攻撃
狙う相手を直接攻めず、取引先・委託先・利用しているソフトの提供元など”弱い経路”を経由して侵入する攻撃。自社の対策が万全でも、つながっている先が穴になり得ます。委託先や利用OSSの管理が問われます。
B. 身を守る「対策・技術」
11. 多要素認証(MFA/2段階認証)
パスワード(知識)に加えて、スマホへの通知やワンタイムコード(所持)など、複数の要素で本人確認する仕組み。パスワードが漏れても突破されにくくなる、最も費用対効果の高い対策の一つです。まず有効化すべき設定です。
12. ファイアウォール
ネットワークの出入り口で通信を監視し、許可していない通信を遮断する”門番”。社内ネットワークと外部インターネットの境界に置かれます。基本的かつ今も重要な防御の土台です。
13. VPN
通信を暗号化したトンネルを作り、外出先からでも安全に社内ネットワークへつなぐ技術(仮想専用線)。公衆Wi-Fiでの盗み見対策にもなります。一方でVPN機器自体の脆弱性が狙われる事例も多く、更新が欠かせません。
14. 暗号化(SSL/TLS)
データを第三者に読めない形に変換する技術。Webサイトの「https://」や鍵マークは、通信がTLSで暗号化されている印です。盗み見られても中身を守れるため、現代の通信の前提になっています。
15. ゼロトラスト
「社内なら安全」という前提を捨て、すべてのアクセスを毎回検証する考え方(何も信頼しない=ゼロトラスト)。テレワークやクラウド利用が広がり、境界で守る発想だけでは限界が出てきたために主流になりました。
16. EDR
端末(PC・サーバー)の挙動を常時監視し、不審な動きを検知して対応する仕組み(Endpoint Detection and Response)。「入られない」だけでなく「入られた後に素早く気づいて止める」ための技術です。
17. WAF
Webアプリケーションを狙う攻撃(前述のSQLインジェクション等)を専門に防ぐ防御の壁(Web Application Firewall)。一般的なファイアウォールが見ない「アプリ層」の攻撃をふるい分けます。
C. 土台になる「基礎概念」
18. 脆弱性 / CVE
脆弱性とは、ソフトやシステムに潜む”弱点・欠陥”のこと。世界中で見つかった脆弱性には「CVE-西暦-番号」という共通の識別番号が付けられ、管理されています。攻撃はこの弱点を突いて行われるため、修正パッチの適用が基本対策です。
19. 情報セキュリティの3要素(CIA)
セキュリティが守るべき3つの柱。機密性(許可された人だけが見られる)、完全性(情報が改ざんされていない)、可用性(使いたいときに使える)。英語の頭文字をとってCIAと呼びます。あらゆる対策はこの3つのどれかを守るために存在します。
20. インシデント / CSIRT
インシデントとは、情報漏えいや不正アクセスなど、セキュリティ上の”事故・事象”のこと。これに対応する専門チームをCSIRT(シーサート)と呼びます。事故ゼロは現実的でないため、「起きた後にいかに早く正しく動くか」を備えるのが現代の考え方です。
言葉が分かれば、ニュースもルールも”自分ごと”になる。
Omamori AI の結論
- 事実:セキュリティ用語は「攻撃の名前」「守る技術」「基礎概念」に大別でき、初心者はまず代表的な20語を押さえれば、ニュースや社内ルールの大半が読めるようになる。
- 判断軸:用語を丸暗記するのではなく、「何を・どこから守るための言葉か」をセットで理解する。攻撃語は脅威の入口、対策語はその打ち手、基礎概念は全体の地図。
- 打ち手:このページをブックマークし、知らない語に出会ったら戻って確認する。次の一歩として、体系立てて学べる連載「はじめてのセキュリティ」へ。
次に読む
👉 連載「はじめてのセキュリティ」第1回:なぜ今、あなたが狙われるのか
👉 学びを資格にしたい人へ:セキュリティ資格おすすめロードマップ【2026年版】
