A
Alert Fatigue
アラート疲労とは、セキュリティや運用チームが毎日大量のアラートに圧倒されるときに起こる現象です。時間が経つにつれて、人々は疲れ、ストレスを感じ、アラートを無視し始めます。
API Security
APIセキュリティは、アプリケーションが通信するための現代のソフトウェアの一部であるAPIを、不正アクセス、悪用、または攻撃から保護するプロセスです。
API Security Testing
APIセキュリティテストは、APIの認証の欠陥やデータ漏洩などの脆弱性を発見し修正するもので、現代のアプリや機密データを保護するために不可欠です。
Application Security
アプリケーションセキュリティは、SDLC全体を通じてソフトウェアを脆弱性や攻撃から保護するための実践です。その重要性、一般的な脅威、クラウドやコンテナ環境での現代のアプリケーションを保護するためのライフサイクルの実践について学びましょう。
Application Security Assessment
アプリケーションセキュリティ評価は、ソフトウェアの脆弱性を特定し修正するプロセスです。その目的、構成要素、一般的なツール、サイバー脅威からアプリケーションを保護するための課題を学びましょう。
Application Security Life Cycle
アプリケーションセキュリティライフサイクルは、ソフトウェア開発のすべての段階にセキュリティを統合します。計画や設計から展開、保守に至るまで。各段階、ベストプラクティス、そして現代のアプリケーションを保護するために重要な理由を学びましょう。
Application Security Posture Management (ASPM)
アプリケーションセキュリティポスチャ管理(ASPM)は、組織がソフトウェアライフサイクル全体にわたってアプリケーションセキュリティリスクを完全に可視化し、制御するためのプラットフォームです。
Application Security Testing
アプリケーションセキュリティテスト(AST)は、攻撃者が利用できる弱点をアプリケーションで確認することを意味します。一般的なASTの方法には、SAST、DAST、IASTがあり、開発の各段階でソフトウェアを安全に保つのに役立ちます。
C
CI Gating
CIゲーティングは、開発パイプラインにおける自動化された「ライン停止」メカニズムです。セキュリティと品質のポリシーに対してコードを評価し、基準を満たさないコミットをブロックします。
CI/CD Pipeline
CI/CDパイプラインは、開発者のラップトップからコードを取り出し、安全にユーザーに届けるための自動化されたプロセスです。コードをビルドし、テストし、手動のステップに頼らずにデプロイします。
CI/CD security
CI/CDセキュリティは、コミットからデプロイメントまで、継続的インテグレーションおよび継続的デプロイメント(CI/CD)パイプラインにセキュリティを統合するプロセスです。
Cloud Security Posture Management (CSPM)
クラウドセキュリティポスチャーマネジメント(CSPM)は、AWS、Azure、Google Cloudなどのクラウドプラットフォームにおける誤設定、コンプライアンス違反、セキュリティリスクを検出し修正するためにクラウド環境を継続的に監視するセキュリティ手法およびツールセットです。
Cloud-Native Application Protection Platform (CNAPP)
CNAPP (クラウドネイティブアプリケーション保護プラットフォーム) は統合されたセキュリティモデルです。クラウドセキュリティポスチャ管理 (CSPM)、クラウドワークロード保護 (CWPP)、クラウドインフラストラクチャ権限管理 (CIEM)、およびアプリケーションセキュリティポスチャ管理 (ASPM) を組み合わせています。
Common Vulnerabilities and Exposures (CVE)
CVEは共通脆弱性識別子を意味します。これは、すでに公に知られているサイバーセキュリティの脆弱性を追跡するシステムです。
Container Security
コンテナセキュリティは、DockerやKubernetes上で動作するコンテナ化されたアプリケーションを、ビルドから実行までのライフサイクル全体にわたって保護するプロセスです。
CVSS (Common Vulnerability Scoring System)
CVSSは、セキュリティバグの深刻度を示す標準的な方法です。各脆弱性に0から10のスコアを付け、チームが優先的に修正すべきものを把握できるようにします。
D
DevSecOps
DevSecOpsは、DevOpsプロセスの各ステップにセキュリティを追加する作業方法であり、コーディングとテストから始まり、展開と保守に至るまで続きます。
Docker Container
Dockerコンテナの簡単な説明、動作方法、および開発者が環境を問わずアプリを一貫して実行するために使用する理由。
Dynamic Application Security Testing (DAST)
動的アプリケーションセキュリティテスト、またはDASTは、アプリケーションが実行中にそのセキュリティをチェックする方法です。SASTがソースコードを調べるのとは異なり、DASTはSQLインジェクションやクロスサイトスクリプティング(XSS)などの実際の攻撃をライブ環境でシミュレートすることでセキュリティをテストします。
I
Infrastructure as Code (IaC) Security
コードとしてのインフラストラクチャ (IaC) セキュリティは、Terraform、CloudFormation、Kubernetes YAML などの特定の言語で書かれた構成ファイルやスクリプトをデプロイ前にスキャンすることでクラウドインフラストラクチャを保護するプロセスです。
Interactive Application Security Testing (IAST)
インタラクティブアプリケーションセキュリティテスト(IAST)は、SAST(静的アプリケーションセキュリティテスト)とDAST(動的アプリケーションセキュリティテスト)を組み合わせて、アプリケーションの脆弱性をより効果的に発見する方法です。
M
Malware Detection
マルウェア検出とは、ウイルス、ランサムウェア、スパイウェア、トロイの木馬などの有害なソフトウェアをシステム、ネットワーク、アプリケーションで見つけてブロックすることを意味します。
Mean Time to Remediation (MTTR)
MTTRは、既知の脅威にどれだけ迅速に対応するかを示す重要なサイバーセキュリティ指標です
MFA (Multi-Factor Authentication)
多要素認証は、アプリケーションやシステムにアクセスするために2つ以上の種類の確認を必要とするセキュリティ方法です。MFAは追加の保護層を提供し、パスワードだけに依存しないようにします。
O
Open Source Audit
オープンソース監査は、ソフトウェアアプリケーション内で使用されるすべてのオープンソースコンポーネントの包括的なレビューです。
OWASP Top 10
OWASPトップ10は、最も深刻なウェブアプリケーションの脆弱性をリストアップしています。OWASPはまた、開発者やセキュリティチームがこれらの問題を発見、修正、防止する方法を学ぶための有益なリソースを提供しています。
R
RBAC (Role-Based Access Control)
RBACは、組織内でユーザーを特定の役割に割り当てることでシステムのセキュリティを管理する方法です。各役割には独自の権限セットがあり、その役割のユーザーが許可されるアクションを決定します。
Reverse Shell
リバースシェルは、被害者のコンピュータが攻撃者のコンピュータへの接続を開始するリモートシェルです。
S
SBOM
SBOMは、サードパーティおよびオープンソースのライブラリ、フレームワークのバージョンを含む、ソフトウェアを構成するコンポーネントの詳細なインベントリです。
Secret Detection
シークレット検出は、コードベース、CI/CDパイプライン、クラウドをスキャンして、APIキー、認証情報、暗号化キー、トークンなどの露出したシークレットを特定するプロセスです。これは、クレデンシャルスタッフィングボットやクラウドリソースハイジャッカーなどの攻撃者が、これらの露出したシークレットを悪用して不正アクセスを得る可能性があるため、非常に重要です。
Security Remediation
修復とは、組織のシステムにおける弱点を修正または除去して、安全性を高め、リスクを軽減することを意味します。
Shift Left Security
Software Composition Analysis (SCA)
ソフトウェア構成分析(SCA)は、アプリケーション内で使用されるサードパーティライブラリのリスクを特定し管理するセキュリティプロセスです。
Software Development Life Cycle (SDLC)
ソフトウェア開発ライフサイクル、またはSDLCは、開発チームがアプリケーションを計画、設計、構築、テスト、そして組織的に立ち上げるのを助けるプロセスです。
Software Supply Chain Security
ソフトウェアサプライチェーンセキュリティは、ソフトウェア開発の最初のコード行から最終的なデプロイメントまで、すべての部分、プロセス、ツールを安全に保つことです。
SQL Injection (SQLi)
SQLインジェクション(SQLi)は、攻撃者が入力フィールドに悪意のあるSQL文を入力してデータベースを操作する攻撃の一種です。
SSDLC
SSDLC(セキュアソフトウェア開発ライフサイクル)は、従来のSDLCを拡張し、ソフトウェア開発の各段階—設計、コーディング、テスト、展開、保守—にセキュリティプラクティスを組み込むものです。その目的は、脆弱性を早期に特定し対処することで、コストのかかる修正を減らし、より安全なアプリケーションを確保することです。
Static Application Security Testing (SAST)
SASTは、アプリケーションのソースコード(開発者が書いた元のコード)、依存関係(コードが依存する外部ライブラリやパッケージ)、またはバイナリ(実行準備が整ったコンパイル済みコード)を実行前にチェックするアプリケーションセキュリティテストの一種です。