セキュリティに関する技術解説
サポートサービス委員会にて作成した、セキュリティについての技術解説を掲載しております。
技術用語解説
| 技術用語 | 解説 |
|---|---|
| Active Directory | Active Directory(AD)は、Windowsサーバで利用可能なディレクトリサービスで、ネットワーク上の端末、サーバ、プリンタ、アプリケーションなどを一元管理します。ユーザやグループのアクセス権限を統合的に管理することで、ITインフラの運用効率を高め、組織のセキュリティを強化します。また、グループポリシーを活用することで、リソースの管理やアクセス制御を簡素化し、適切な権限やセキュリティポリシーを一括で適用できます。たとえば、社員のログイン認証を集中管理し、アクセス可能なリソースを制限することで、組織全体のセキュリティを向上させます。 |
| 多要素認証 (MFA: Multi-Factor Authentication) | 多要素認証(MFA)は、ユーザがシステムにアクセスする際に、2つ以上の異なる認証要素を組み合わせて利用する認証手法です。認証要素には、知識要素(例: パスワード)、所持要素(例: スマートフォンや認証アプリ)、生体要素(例: 指紋認証)、位置情報、デバイス情報などがあります。MFAを導入することで、1つの認証情報が漏洩した場合でも、不正アクセスを防ぎ、セキュリティを強化します。また、フィッシング攻撃やパスワードリスト攻撃といった脅威への耐性が向上し、攻撃者がすべての認証要素を突破しない限り、システムへの侵入を防ぐことができます。 |
| 証明書認証 | 証明書認証は、ユーザやデバイスがネットワークやシステムに安全にアクセスするための認証手法です。クライアント証明書は特定のユーザの信頼性を確認し、デバイス証明書はデバイスの信頼性を確認します。この手法は、リモートアクセス、VPN、Wi-Fi認証、HTTPS接続などで広く使用されます。正規のユーザやデバイスのみがシステムにアクセスできるようにし、認証成功時にのみネットワーク接続を許可します。これにより、不正アクセスや偽装攻撃のリスクを低減できます。 |
| ネットワークアクセス制限 | ネットワークアクセス制限は、組織内外のネットワークへのアクセスを、特定のユーザやデバイスに限定するセキュリティ対策です。ユーザ認証やIPアドレスフィルタリングを活用し、アクセス可能な範囲を厳密に制御します。不正アクセスや情報漏洩、外部からの攻撃リスクを低減する効果があります。ただし、アクセス制限だけでは十分でない場合もあるため、侵入検知システムや監視体制との併用が推奨されます。 |
| EPP (Endpoint Protection Platform) | EPPは、エンドポイント(PCやモバイルデバイスなど)をサイバー攻撃やマルウェアから守るためのセキュリティソリューションです。主にマルウェアの検出・駆除やリアルタイム監視を行い、製品によっては脆弱性管理やファイアウォール、デバイス制御といった追加機能も提供します。EPPは主に既知の脅威を検出し、感染拡大を防ぐ役割を担いますが、多くの場合、シグネチャベースの検出が中心であり、未知の脅威や高度な攻撃に対する防御には限界があります。そのため、EDRやその他の高度なソリューションと併用することで、より包括的なセキュリティ対策を実現できます。 |
| EDR (Endpoint Detection and Response) | EDRは、エンドポイント(PCやモバイルデバイスなど)の監視、脅威検出、応答を提供・強化するセキュリティソリューションです。ふるまい分析や機械学習を活用し、異常な動きや攻撃の兆候をリアルタイムで検出します。EDRの導入により、ランサムウェアやAPT攻撃などの高度な脅威を特定し、攻撃者の行動を追跡したり、侵入経路を分析したりすることが可能です。また、インシデントレスポンスを迅速化し、詳細な調査を支援することで、侵入後の攻撃を抑制し、被害の拡大を防ぐための重要な手段として利用されます。 |
| ネットワーク型ウイルス対策 | ネットワーク型ウイルス対策は、ネットワーク全体のトラフィックを監視し、ウイルスやマルウェアを検出・防御する仕組みです。通信内容の解析やトラフィックモニタリングにより、悪意のあるコンテンツを特定し、被害の拡大を防ぎます。不正アクセスやボットネットなどの脅威にも対応可能ですが、他のセキュリティ対策と組み合わせた多層防御が重要です。さらに、サンドボックス技術やAIを導入することで、未知の脅威や高度な攻撃への対応力を強化できます。 |
| URLフィルタリング | URLフィルタリングは、特定のウェブサイトやインターネットリソースへのアクセスを制限し、悪意のあるサイトや不適切なコンテンツカテゴリをブロックする仕組みです。業務に無関係なサイトや危険なサイトへのアクセスを抑えることで、情報漏洩、ネットワーク侵入、マルウェア感染のリスクを軽減します。たとえば、ゲームやSNS、ポルノサイトだけでなく、フィッシングサイトやマルウェア配布サイトなどのセキュリティリスクが高いサイトも制限できます。 |
| UTM (Unified Threat Management) | UTMは、企業のネットワークセキュリティを一元管理する統合型ソリューションです。ファイアウォールをはじめ、アンチウイルス、侵入防止システム(IPS)、サンドボックス、アプリケーション制御、Webフィルタリングなど、複数のセキュリティ機能を一つのプラットフォームに統合しています。UTMを活用することで、個別に対策を導入する場合より効率的に広範囲の脅威を防御でき、セキュリティ管理の簡素化やコスト削減を実現します。 |
| デバイス制御 | デバイス制御は、外部デバイス(USBメモリや外付けハードドライブなど)の接続や使用を制限・管理する仕組みです。特定のデバイスのみ使用を許可する機能や、接続履歴のログ記録・監視を通じて、不正なストレージ利用や機器の接続を防ぎます。これにより、データ漏洩やマルウェア感染、内部不正のリスクを軽減できます。さらに、コンプライアンス遵守やデータ盗難対策としても有効で、組織のセキュリティレベル向上に寄与します。 |
| メール誤送信防止 | メール誤送信防止は、メール送信時の誤送信を防ぐための対策です。送信前に確認ポップアップを表示する機能や、特定の宛先への送信時に警告を出す機能、送信後に一定時間内での取り消しを可能にする機能を提供します。また、機密情報を含むメールには暗号化を適用することでセキュリティを強化します。これにより、誤送信による情報漏洩や誤った情報伝達を防ぎ、特に個人情報や機密情報を扱う場合にヒューマンエラーのリスクを大幅に低減できます。 |
| バックアップ | バックアップは、重要なデータやシステムのコピーを定期的に作成・保存し、データの損失や破損、ランサムウェア攻撃などのリスクに備える手法です。障害や災害が発生した際には、バックアップから迅速にデータを復元することで業務の継続を支援します。たとえば、ランサムウェア感染によりデータが暗号化された場合でも、感染前の状態に復元可能です。バックアップは、業務の安定性を確保し、重要情報を保護するための基本的な対策として不可欠です。 |
| ログ管理・保管 | ログ管理・保管は、システムやネットワークの動作に関連するイベントを記録し、保存・分析する仕組みです。これにより、正常な動作の確認や異常検出が可能となり、不正アクセスや内部不正行為の早期発見、侵入の痕跡追跡に役立ちます。適切なログ管理ツールの利用は、セキュリティインシデントの詳細な分析や対応を迅速に行えるようにします。また、ログは監査証跡としての役割を果たし、法令遵守や内部統制の強化にも寄与します。 |
| IDaaS (Identity as a Service) | IDaaSは、ID管理および認証機能をクラウドで提供するサービスです。ユーザのID情報や認証プロセスを一元管理し、シングルサインオン(SSO)機能を利用して複数のアプリケーションやサービスへの効率的なアクセス制御が可能になります。多要素認証(MFA)、デバイス管理、条件付きアクセスなどの機能を提供し、パスワード管理の課題や認証情報漏洩リスクを軽減します。外部クラウドサービスやアプリケーションへの安全なアクセスが必要な場合に特に有効です。 |
| CASB (Cloud Access Security Broker) | CASBは、クラウドサービスの利用状況を可視化し、セキュリティポリシーの適用と管理を行うためのソリューションです。クラウド上のデータやアプリケーションを監視し、不正アクセスの防止、データ暗号化、DLP(データ漏洩防止)機能を活用したリスク低減が可能となります。加えて、アクセス制御やコンプライアンス遵守を支援し、機密データの漏洩や不正利用を未然に防ぎます。特に、クラウドサービスのセキュリティ管理を効率化し、安全性を向上させる役割を担います。 |
| DLP (Data Loss Prevention) | DLPは、機密情報や重要データの漏洩を防ぐための技術です。メール内容の送信、ファイルの送受信、USBデバイスへの保存、クラウドストレージへのアップロードなど、さまざまなデータ転送経路を監視し、設定されたポリシーに基づいて不適切な転送やアクセスを制限します。これにより、顧客情報や財務データなどの外部漏洩リスクを低減し、情報資産の機密性を保護します。特に、内部不正や不注意によるデータ漏洩の防止に効果的です。 |
| スパムメール対策 | スパムメール対策は、迷惑メールやフィッシング攻撃、マルウェアを含む可能性のあるメールを防ぐ仕組みです。特定のキーワードや発信元、送信パターンを分析するフィルタリング手法や、機械学習を活用した高度な分類技術を用います。不正なメールを検出・ブロックし、自動的にスパムフォルダへ振り分けるほか、悪意のあるリンクや添付ファイルを検出してユーザを保護します。これにより、フィッシング攻撃やマルウェアの拡散を防ぎ、ビジネス環境におけるセキュリティリスクを軽減します。 |
| サンドボックス | サンドボックスは、疑わしいプログラムやファイルを隔離し、安全な仮想環境内で動作を検証する技術です。ダウンロードしたファイルやメールの添付ファイルを実行する前に仮想環境で動作させ、悪意のある挙動や不審なコードを検出します。不正が確認された場合は、実際のシステムへの影響を防ぐことが可能です。この技術により、未知のマルウェアやゼロデイ攻撃といった新たな脅威を早期に発見し、感染の拡大を防止します。 |
| ゼロトラスト | ゼロトラストは、ネットワーク内外を問わずすべてのアクセスを信頼せず、常に検証を行うセキュリティモデルです。このモデルでは、ユーザーやデバイスの認証を強化し、最小権限原則に基づいてアクセスを許可します。ゼロトラストを導入することで、内部および外部の脅威からシステムを保護し、不正アクセスやデータ漏洩のリスクを低減できます。また、セキュリティ管理の効率化も期待できます。特に、クラウド環境やリモートワークの普及により増加したセキュリティ課題に対応するため、ゼロトラストは効果的な対策です。 |
| セキュリティアセスメント | セキュリティアセスメントは、企業のIT資産を評価し、システムやネットワークの脆弱性やリスクを特定するプロセスです。この評価を通じて、セキュリティの現状を把握し、リスクに優先順位をつけることができます。その結果、具体的なリスク軽減策を策定し、効果的なセキュリティ対策を実施できます。セキュリティアセスメントは、サイバー攻撃や情報漏洩のリスク削減に加え、コンプライアンス要件の遵守を支援します。 |
関連サービス・ソリューション紹介
解説書
- 企業におけるSNS活用とリスクへの対策
(H27年1月) - セキュリティ対策がわかる本(H19年12月)
(H27年1月)