はじめに
セキュリティの学習を始めるとき、最大の課題は「何から学べばいいのか」「専門用語が多すぎて理解できない」という悩みです。
本ドキュメントは、セキュリティに初めて触れる方向けに、実務で本当に必要な70個のキーワードを、段階的に解説した完全ガイドです。
このFAQの特徴
実務ベース:机上の空論ではなく、実際のセキュリティ運用で使われる知識だけを掲載
段階的学習:基礎→実務→対応復旧まで、セキュリティのライフサイクル全体をカバー
初心者目線:難しい概念を「日本語」で説明。専門用語も丁寧に解説
実例豊富:実際の企業セキュリティで起きる例を多数掲載
すぐ使える:学んだ知識が直接、職場で活用できる
対象読者
セキュリティ部門に配属されたばかりの方
セキュリティ教育を受ける必要がある経営層・従業員
CISSP等の資格を目指す初級学習者
セキュリティ体制の構築を検討している経営者・企画担当者
学習時間の目安
全体:4〜6時間(各ステージ1時間程度)
ステージ別:各セクション15〜30分で完読可能
参考書的活用:必要な部分だけピックアップして学習することも可能
ステージ1:基礎概念の理解
1.1 組織・文化
Q1. セキュリティ教育とは何ですか?
A. 組織全体の従業員にセキュリティの重要性と実践的な知識を習得させるプログラムです。フィッシング対策、パスワード管理、データ取り扱いなどが含まれます。全員参加が基本で、定期的(年1回以上)の実施が推奨されます。
Q2. セキュリティ文化醸成とはどういう意味ですか?
A. 「セキュリティは全員の責任」という認識を組織に浸透させるプロセスです。トップの方針支持、報奨制度、インシデント時の非難回避などを通じて、従業員がセキュリティを積極的に実践する環境を作ります。
Q3. 組織的責任分担とは?
A. セキュリティを誰が担当するかを明確に定義することです。CISOs(最高情報セキュリティ責任者)、セキュリティチーム、部門長、各従業員の役割と権限を決めて、責任の所在を明確にします。
Q4. リスク認識とは?
A. 従業員が「セキュリティ脅威がどのような形で存在するか」を理解することです。実例やシミュレーションを通じて、自分たちの行動がどんなリスクを生むかを認識させます。
1.2 ユーザー
Q5. MFA(多要素認証)とは何ですか?
A. パスワード+別の認証方法(SMSコード、生体認証、ハードウェアトークン等)を組み合わせる認証方式です。パスワード漏洩時も不正アクセスを防げるため、最も効果的な防御手段の1つです。
Q6. パスワードポリシーとは?
A. パスワードの長さ・複雑さ・変更頻度などの規則です。例:「8文字以上、大文字・数字・記号を含む」「90日ごとに変更」。強いパスワードポリシーは初期段階で最大の防御効果があります。
Q7. フィッシング認識とは?
A. メールやSMSで本物そっくりの詐欺メッセージを見分ける能力です。従業員がフィッシングに騙されると、認証情報や個人情報が窃取されます。定期的な訓練が重要です。
Q8. セキュアな行動習慣とは?
A. 日常的なセキュリティ実践です。例:公開WiFi使用禁止、デバイス放置禁止、怪しいリンククリック禁止、ログアウト徹底など。小さな習慣が大きな防御になります。
ステージ2:基本的な防御知識
2.1 データ
Q9. データ分類とは?
A. 組織のデータを重要度で分けることです。例:個人情報(最高機密)→社内事務文書(機密)→広報資料(公開可)。分類によって保護レベルが変わります。
Q10. データの重要度レベル分けの基準は?
A. 漏洩時の影響度と復旧コストで判断します。個人情報・財務情報は「極秘」、営業秘密は「秘密」、社内通達は「限定公開」等に分けるのが一般的です。
Q11. 機密・個人情報の定義は?
A. 機密情報は企業の競争力に関わるデータ(営業戦略、顧客名簿、技術仕様等)。個人情報は氏名・住所・電話番号・メールアドレス等、個人を特定できる情報です。法律でも保護が義務付けられています。
Q12. データライフサイクルとは?
A. データの生成→使用→保管→廃棄までの流れです。各段階で異なる保護方法が必要。例:使用中は暗号化、廃棄時はシュレッディング等。
2.2 アプリケーション
Q13. 入力検証とは何ですか?
A. ユーザーが入力するデータが安全かチェックすることです。例:メールアドレスの形式確認、数値のみ許可等。不正な入力(SQLインジェクション等)から保護します。
Q14. セキュアコードとは?
A. セキュリティ脆弱性を含まない安全なプログラミング手法です。入力検証、エラーハンドリング、認証チェック等を正しく実装したコードを指します。
Q15. 認証・認可とは何が違いますか?
A. 認証は「あなたは誰ですか?」の確認(ログイン)。認可は「あなたは何ができますか?」のアクセス制御(権限管理)です。どちらも重要です。
Q16. CWE(脆弱性タイプ)の基礎とは?
A. よくある脆弱性の分類リストです。SQLインジェクション、クロスサイトスクリプティング(XSS)、認証不備等が該当します。CWEを知ることで脆弱性を体系的に理解できます。
2.3 ネットワーク
Q17. ファイアウォールとは何ですか?
A. ネットワークの入口に設置する「関所」です。許可されたトラフィックのみ通すルールを設定し、不正な通信をブロックします。
Q18. VPNとは何の役に立ちますか?
A. Virtual Private Networkの略。公開WiFiでも通信を暗号化して盗聴を防げます。出張時や在宅勤務での使用が一般的です。
Q19. ネットワーク隔離とは?
A. 重要システムを別のネットワークに分けることです。例:財務システムを一般ネットワークから隔離することで、不正アクセス時の被害を限定できます。
Q20. 通信遮断・ルール管理とは?
A. ファイアウォールのルール設定を指します。「このサーバーへのアクセスは許可」「あの通信は拒否」等を定義・管理することで、安全な通信環境を作ります。
ステージ3:実装・運用レベル
3.1 予防(Prevention)
Q21. IDS/IPSとは何ですか?
A. IDSは不正アクセスを「検知」するシステム。IPSはそれを「防止」するシステムです。ネットワークトラフィックを監視し、攻撃パターンを検出・ブロックします。
Q22. WAF(Webアプリケーション・ファイアウォール)の役割は?
A. Webアプリケーション特化のファイアウォール。SQLインジェクション、XSS、DDoS等のWeb攻撃から保護します。通常のファイアウォールより細かい制御が可能です。
Q23. 暗号化とは何ですか?
A. データを読めない形に変換することです。転送中(通信暗号化)と保管中(ストレージ暗号化)の2種類があります。漏洩時も読まれない状態にできます。
Q24. アクセス制限・パスワード強制変更とは?
A. 不要なアクセス権を削除し、利用者を最小限に絞る(最小権限の原則)。パスワード強制変更は侵害検知時に全ユーザーに実施させ、不正アクセスを遮断します。
3.2 検知(Detection)
Q25. トラフィック監視とは?
A. ネットワークを流れるデータの流量と内容を観察することです。異常な通信パターンを早期に発見できます。
Q26. 異常検知とは何をしていますか?
A. 通常と異なる挙動を自動的に検出すること。例:夜中のアクセス、通常と異なるデバイスからのログイン等。AIを使う場合もあります。
Q27. ふるまい監視とは?
A. ユーザーやシステムの「行動」を監視することです。ファイルの大量ダウンロード、通常と異なる検索等、内部脅威を検知できます。
Q28. SIEM(セキュリティ情報・イベント管理)の役割は?
A. 複数のログを1つの場所に集約・分析するシステムです。ファイアウォール、サーバー、アプリケーション等から情報を収集し、関連性を分析してインシデントを検知します。
Q29. 脆弱性スキャンとは?
A. ソフトウェアやシステムの弱点(脆弱性)を自動検査することです。既知の脆弱性データベースと照合し、パッチが必要かどうかを特定します。
Q30. DLP(データ損失防止)とは何ですか?
A. 機密データが外部に流出するのを防ぐシステムです。メール添付、USBコピー、クラウドアップロード等を監視・ブロックします。
3.3 ポリシー・コンプライアンス
Q31. ポリシー策定とは?
A. セキュリティのルール(方針)を文書化することです。「パスワードは90日ごとに変更」「重要データは暗号化」等。全員が守るべきルールを明確にします。
Q32. リスク評価とは何をしていますか?
A. 起こりうる脅威と影響度を分析することです。どのリスクに対応するか優先順位を付けるために必須です。
Q33. コンプライアンス監視とは?
A. セキュリティポリシーが守られているか定期的にチェックすることです。違反を検出して改善指導します。
Q34. 監査ログとは?
A. システムへのアクセス履歴を記録することです。「誰が、いつ、何をしたか」が分かり、インシデント調査や不正検出に使います。
Q35. 規制要件(GDPR、PCI-DSS等)とは?
A. 法律や業界ルールによるセキュリティ義務です。GDPR(EU個人情報保護)、PCI-DSS(クレカ取扱企業)等があり、違反時は罰金が課されます。
ステージ4:対応・復旧
4.1 インシデント検知・対応
Q36. インシデント検知とは?
A. セキュリティ問題が発生したことを発見することです。SIEM、脆弱性スキャン、ユーザー報告等から検知します。早期発見が被害を最小限に抑えます。
Q37. インシデント通知とは何をしていますか?
A. セキュリティ問題が発生した場合、関係者(管理層、IT部門等)に即座に報告することです。迅速な通知が素早い対応につながります。
Q38. 外部通報対応とは?
A. 個人情報漏洩時に官庁や本人に報告する義務です。GDPR等の法律により、一定条件下での報告が必須。弁護士・PR部門と協力します。
Q39. DDoS検知とは?
A. 大量のアクセスで対象システムを落とそうとする攻撃を検知することです。トラフィック量の急増パターンで自動検出できます。
Q40. 異常なアクセス検出とは?
A. 通常と異なるログインを検知すること。例:深夜ログイン、未知のIPアドレス、失敗したログイン試行が多い等。多要素認証で追加確認します。
Q41. デバイス管理(紛失・盗難対応)とは?
A. スマートフォンやノートパソコンの現在地を把握し、紛失・盗難時にリモートで初期化することです。機密データが外部に流出するのを防ぎます。
4.2 初期対応
Q42. 不正アクセス遮断とは?
A. 侵入したアカウントを即座にロックしたり、パスワード変更を強制したりすることです。攻撃者による追加の悪用を防ぎます。
Q43. 通信遮断とは何をしていますか?
A. 感染したデバイスやサーバーをネットワークから切断することです。マルウェア感染やデータ流出を拡大させないための緊急処置です。
Q44. データ隔離とは?
A. 影響を受けたデータを他のシステムから分離することです。被害の拡大を防ぐための初期対応です。
Q45. ユーザーサポートとは何をしていますか?
A. インシデント時にユーザーに指示を出すことです。「パスワードをリセットしてください」「このメールは開かないでください」等。サポートホットラインを開設することもあります。
Q46. リセット対応とは?
A. 侵害されたアカウント・デバイスを初期状態に戻すことです。パスワードリセット、デバイス初期化等が含まれます。
4.3 復旧(Recovery)
Q47. バックアップ復元とは?
A. インシデント前に保存したデータを復元することです。ランサムウェア等でデータを暗号化された場合の救命ロープです。定期的なバックアップが必須です。
Q48. 通信路復旧とは?
A. ダウンしたネットワークやシステムを復旧させることです。代替インターネット回線の起動等が含まれます。
Q49. 冗長化切り替えとは?
A. メインシステムが落ちた時、予備システムに自動切り替えすることです。ダウンタイムを最小化でき、BCP(事業継続計画)の重要な要素です。
Q50. パッチ適用とは?
A. セキュリティ脆弱性を修正するソフトウェア更新を導入することです。脆弱性スキャンで検出された問題を修正します。
Q51. 緊急修正とは何ですか?
A. 重大な脆弱性に対する即座の対応。通常のパッチスケジュールを待たず、緊急に修正を当てます。ゼロデイ脆弱性の場合が典型です。
Q52. パッチ検証とは?
A. 適用したパッチが本当に効果があり、システムに悪影響を与えていないか確認することです。テスト環境で事前検証が重要です。
Q53. 再デプロイとは?
A. 修正されたシステムを本番環境に再配置することです。慎重に段階的に実施し、問題がないか監視します。
Q54. データリストアとは?
A. バックアップからデータを復元する具体的な作業です。データベース、ファイルサーバー等を対象に行います。
Q55. 整合性確認とは?
A. 復元したデータが元のデータと正確に一致しているか確認することです。チェックサムやハッシュ値を使用します。
Q56. デバッグ・分析とは?
A. 復旧後、何が問題だったかを技術的に調査することです。根本原因を特定し、再発防止に備えます。
4.4 事後対応・改善
Q57. 危機管理チーム発動とは?
A. インシデント対応のため、IT部門・法務・経営陣を集めたチームを立ち上げることです。大規模インシデント時の指揮体制を確立します。
Q58. ステークホルダー対応とは?
A. 顧客、パートナー、株主等、利害関係者への説明・報告です。信頼回復が重要な活動です。
Q59. マスコミ対応とは何をしていますか?
A. インシデントが報道された場合、メディアからの問い合わせに対応することです。PR部門と法務部門が協力し、正確で責任ある情報発信を心がけます。
Q60. サービス再起動とは?
A. 復旧後、システムやサービスを正常に起動させることです。監視下で慎重に行います。
Q61. 評価・改善とは?
A. インシデント対応がうまくいったか振り返り、次に生かすことです。対応時間、漏洩規模、対応手順の問題点等を評価します。
Q62. 教訓文書化とは?
A. インシデントから得られた教訓を文書にまとめることです。「このような状況では効果的だった」「改善が必要だった」等の記録です。
Q63. 組織学習とは?
A. インシデントの教訓を組織全体で共有し、セキュリティレベルを向上させることです。研修や手順改善に反映させます。
Q64. 透明性確保とは?
A. ステークホルダーに対して、インシデント対応の状況を正直に伝えることです。隠蔽や過小報告は信頼喪失につながります。
Q65. 監査ログ確認とは?
A. インシデント調査を後から証明するため、ログを確認・保存することです。法的責任追及や規制遵守に必要です。
補足:よくある初心者の質問
Q66. セキュリティ対策にはいくらくらいお金がかかりますか?
A. 組織規模と脅威レベルで大きく異なります。小企業は年100万円程度、大企業は数億円に及ぶこともあります。「100%安全」は不可能なので、リスク評価に基づいて優先順位を付けた投資が重要です。
Q67. セキュリティ対策をするなら何から始めたらいいですか?
A. まずは組織診断。現在の脅威を把握してから対策を立てます。一般的には「強いパスワード+MFA」「セキュリティ教育」「バックアップ」の3点セットから始めるのが効果的です。
Q68. セキュリティインシデントは必ず起きるものですか?
A. はい。完全には防げません。だから「予防→検知→対応→復旧」のサイクルが必要なのです。起きたときの対応能力を高めることが現実的な戦略です。
Q69. セキュリティエンジニアになるにはどうしたらいいですか?
A. このFAQで基礎を学んだ後、CISSP等の認定資格取得を目指します。同時に「脆弱性診断」「ペネトレーションテスト」等の実践的なスキルを磨くことも重要です。
Q70. セキュリティと利便性はどちらを優先すべきですか?
A. 両立が理想的です。「セキュリティが厳しすぎてユーザーが困っている」は実装失敗です。リスク評価を基に、許容できるレベルのセキュリティ対策を設計します。