Vaulted

セキュリティ・暗号化用語集

Vaulted を支えるセキュリティの概念をわかりやすく解説します。

AES-256-GCM

AES-256-GCM は、256 ビット鍵の Advanced Encryption Standard と Galois/Counter Mode を組み合わせた対称暗号アルゴリズムで、1 回の処理でデータの機密性と完全性の検証を同時に提供します。

bcrypt

bcryptはBlowfishブロック暗号に基づくパスワードハッシュ関数であり、組み込みのソルトと設定可能なコストファクターを持ち、GPUやカスタムハードウェアによるアクセラレーションに特に耐性を持つ形で計算コストが高くなるよう設計されています。

GDPR

GDPR(General Data Protection Regulation、一般データ保護規則)は、EU域内および欧州経済領域の個人の個人データを組織がどのように収集、処理、保存、共有するかを規制する欧州連合の包括的なデータ保護法です。

HIPAA

HIPAA(Health Insurance Portability and Accountability Act)は、Protected Health Information(PHI)として知られる個人識別可能な医療情報のプライバシーとセキュリティ保護の国家標準を確立する米国連邦法です。

HMAC

HMAC(Hash-Based Message Authentication Code)は、暗号ハッシュ関数と秘密鍵を組み合わせて固定サイズの認証コードを生成する暗号メカニズムで、受信者がメッセージの完全性と真正性の両方を検証できるようにします。

JSON Web Token

JSON Web Token(JWT)は、RFC 7519で定義されたコンパクトでURLセーフなトークン形式で、2つの当事者間のクレームをデジタル署名されたJSONオブジェクトとして表現し、ステートレス認証と情報交換を可能にします。

Key Wrapping

Key Wrappingは、あるキー(ペイロードキー)を別のキー(Wrappingキー、またはキー暗号化キー)で暗号化する暗号操作であり、保存や転送の際にキーマテリアルの機密性と完全性を保護します。

OAuth

OAuth 2.0は、ユーザーがパスワードをサードパーティと共有することなく、サードパーティアプリケーションが別のサービス上のユーザーのプロファイルやデータなどのリソースへの限定的なアクセスを取得できるようにするオープンな認可フレームワークです。

PBKDF2

PBKDF2(Password-Based Key Derivation Function 2)は RFC 8018 で定義された鍵導出アルゴリズムで、通常 HMAC-SHA-256 の擬似ランダム関数をパスワードとソルトに反復的に適用し、ブルートフォースに対して計算コストが高い導出鍵を生成します。

PCI-DSS

PCI-DSS(Payment Card Industry Data Security Standard)は、PCI Security Standards Councilによって制定されたセキュリティ要件のセットであり、カード会員データを保護し、クレジットカード情報を処理、保存、または転送するすべての組織が安全な環境を維持することを確保します。

RSA

RSA(Rivest-Shamir-Adleman)は、2 つの大きな素数の積の因数分解の計算上の難しさからセキュリティを導く非対称暗号アルゴリズムで、暗号化、デジタル署名、セキュアな鍵交換に使用されます。

SHA-256

SHA-256(Secure Hash Algorithm 256-bit)は SHA-2 ファミリーの暗号ハッシュ関数で、任意の長さの入力を受け取り固定の 256 ビット(32 バイト)ダイジェストを生成します。出力が入力について何も明かさない一方向関数として設計されています。

SOC 2

SOC 2(System and Organization Controls 2)は、AICPAによって策定された監査フレームワークであり、セキュリティ、可用性、処理の完全性、機密性、プライバシー(Trust Services Criteriaと呼ばれる)に関するサービス組織のコントロールを評価します。

TLS/SSL

TLS(Transport Layer Security)は、ネットワーク上の2者間の通信にプライバシー、データ完全性、および認証を提供する暗号プロトコルです。SSL(Secure Sockets Layer)はその廃止された前身であり、現代の「SSL」への言及はほぼ常にTLSを意味します。

URL フラグメント

URL フラグメントは、ハッシュ記号(#)の後に現れる URL の部分です。RFC 3986 に従い、ブラウザはフラグメントをクライアントサイドのみで処理し、サーバーへの HTTP リクエストには含めません。

Web Crypto API

Web Crypto API は、暗号化、復号、鍵生成、ハッシュ化、署名などの暗号プリミティブのスイートへの JavaScript インターフェースを提供する W3C 標準で、ブラウザにネイティブ実装されています。

アクセス制御

アクセス制御は、特定のリソースにアクセスを許可されるユーザー、システム、またはプロセスと、それらのリソースに対して実行を許可されるアクションを規制するセキュリティメカニズムとポリシーの集合です。

エンドツーエンド暗号化

エンドツーエンド暗号化(E2EE)は、送信者のデバイスでデータを暗号化し、受信者のデバイスでのみ復号できる通信方式で、サービスプロバイダーを含む中間者が平文コンテンツにアクセスできないことを保証します。

キーローテーション

キーローテーションは、有効な暗号化キーやクレデンシャルを定期的に新しく生成したものに交換し、古いキーを廃止または無効化することで、キーが侵害された場合の露出期間を限定するセキュリティプラクティスです。

クライアントサイド暗号化

クライアントサイド暗号化とは、通常ブラウザやネイティブアプリでデータをサーバーに送信する前にユーザーのデバイスで暗号化するプラクティスで、サーバーが受け取り保存するのは暗号化されたデータのみとなります。

クレデンシャル管理

クレデンシャル管理とは、アクセスクレデンシャルのライフサイクル全体を安全に管理するためのポリシー、プロセス、ツールの集合で、作成、安全な保存、制御された共有、定期的なローテーション、タイムリーな失効を含みます。

シークレット共有

シークレット共有とは、クレデンシャル管理の文脈において、パスワード、API キー、秘密鍵などの機密情報を、露出を最小化し永続性を制限し不正アクセスを防ぐために設計されたチャネルを通じて当事者間で転送するプラクティスです。

シークレット管理

シークレット管理とは、API キー、パスワード、トークン、証明書、暗号鍵などの機密クレデンシャルをアプリケーション、インフラ、チームをまたいで安全に保存、配布、ローテーション、監査する規律です。

シングルサインオン

シングルサインオン(SSO)は、ユーザーが中央のアイデンティティプロバイダーで一度認証し、その後クレデンシャルを再度求められることなく複数の独立したアプリケーションやサービスにアクセスできるようにする認証スキームです。

ゼロトラスト

ゼロトラストは、ネットワークの場所に基づく暗黙の信頼を排除し、すべてのリソースへのすべてのアクセス要求に対して、アイデンティティ、デバイスの状態、および認可の継続的な検証を要求するセキュリティアーキテクチャです。

ゼロ知識アーキテクチャ

ゼロ知識アーキテクチャとは、暗号化・復号の操作がすべてクライアント側で行われるため、サービスプロバイダーがユーザーの代わりに保存しているデータをアクセス・読み取り・復号できないシステム設計です。

ソーシャルエンジニアリング

ソーシャルエンジニアリングは、人間の心理(信頼、恐怖、緊急性、または親切心)を操作して、機密情報を漏らさせたり、不正アクセスを許可させたり、セキュリティを損なうアクションを実行させたりする攻撃技術の一類です。

ソルト(暗号学)

暗号ソルトは、ハッシュ関数または鍵導出関数で処理される前にパスワードや他の入力と組み合わされるランダム値で、同一の入力が異なる出力を生成することを保証し、事前計算された攻撃テーブルを無効にします。

データ侵害

データ侵害とは、機密性の高い、保護された、または秘密のデータが、ハッキング、内部者の脅威、設定ミス、または偶発的な露出によって、不正な当事者によってアクセス、開示、または盗まれるセキュリティインシデントです。

データ損失防止

データ損失防止(DLP)は、意図的か偶発的かに関わらず、組織からの機密データの不正な転送、漏洩、または流出を検出して防止するために設計された戦略、ツール、プロセスの集合です。

データ流出

データ流出は、ネットワークベースの技術、物理メディア、または侵害されたアカウントによって、組織のシステムから攻撃者が制御する外部の場所への不正なデータ転送です。

デジタル署名

デジタル署名は、秘密鍵を使ってメッセージまたはドキュメントに対して署名を生成する暗号方式で、対応する公開鍵を持つ誰でもデータの真正性と完全性を確認するために署名を検証できます。

ノンス

ノンス(number used once)は、暗号化操作において厳密に一度だけ使用される固有の通常ランダムまたは順次の値で、同一の入力が異なる出力を生成することを保証し、リプレイ攻撃とパターン分析を防ぎます。

パスワードハッシュ化

パスワードハッシュ化は、固有のソルトと組み合わせて、計算コストの高い一方向暗号関数をパスワードに適用し、元のパスワードを回復可能な形で保存せずに検証できる固定長ダイジェストを生成するプラクティスです。

フィッシング

フィッシングは、攻撃者が受信者を騙して機密情報を明かさせたり、悪意のあるリンクをクリックさせたり、マルウェアをインストールさせたりするために、信頼できるエンティティを装った詐欺的な通信(通常はメール、SMS、またはインスタントメッセージ)を送るソーシャルエンジニアリング攻撃です。

ブルートフォース攻撃

ブルートフォース攻撃は、正しい値が見つかるまですべての可能な組み合わせを系統的に試すことでパスワード、暗号化キー、またはその他のシークレットを特定しようとする暗号解析的手法です。

ランサムウェア

ランサムウェアは、被害者のファイルを暗号化したり、システムからロックアウトしたりして、復号キーやアクセスの回復と引き換えに(通常は暗号通貨での)支払いを要求するマルウェアです。

ロールベースアクセス制御

ロールベースアクセス制御(RBAC)は、管理者、編集者、閲覧者などのロールに権限が割り当てられ、ユーザーは個々のアカウントに直接権限を付与されるのではなく、ロールに割り当てられることで権限を得るアクセス制御モデルです。

一時的シークレット

一時的シークレットとは、パスワード、トークン、鍵などの機密データアイテムで、限られた時間または限られたアクセス回数後に永久かつ回復不可能な形で破棄されるよう意図的に設計されたものです。

中間者攻撃

中間者攻撃(MITM)は、攻撃者が直接通信していると信じている2者間の通信を密かに傍受し、場合によっては改ざんするサイバー攻撃です。

保存時の暗号化

保存時の暗号化とは、ディスク、データベース、バックアップメディアなどの永続ストレージに暗号化された形式でデータを保存するプラクティスで、ストレージメディアが侵害されてもデータを保護します。

公開鍵基盤

公開鍵基盤(PKI)は、デジタル証明書とそれに関連する公開鍵・秘密鍵ペアの作成、管理、配布、保存、および失効に使用される、役割、ポリシー、ハードウェア、ソフトウェア、手続きの包括的なフレームワークです。

最小権限の原則

最小権限の原則とは、すべてのユーザー、プロセス、システムが許可された機能を果たすために必要な最小限のアクセスレベルを、最小限の時間だけ付与されるべきであるというセキュリティ概念です。

初期化ベクトル

初期化ベクトル(IV)は、鍵と並んで暗号アルゴリズムへの追加入力として使用されるランダムまたは疑似ランダム値で、同じ鍵で暗号化された同一の平文が操作をまたいで異なる暗号文を生成することを保証します。

多要素認証

多要素認証(MFA)は、アクセスが許可される前に、知識、所持、生体という異なるカテゴリからの2つ以上の独立したクレデンシャルをユーザーに提示させる認証方式です。

対称暗号化

対称暗号化は、暗号化と復号の両方に同じ秘密鍵を使用する暗号方式です。送信者と受信者の両方がデータを暗号化・復号するために同一の鍵を持つ必要があります。

平文

平文は元の暗号化されていない人間が読める形式のデータです。暗号学では、暗号アルゴリズムへの入力または復号アルゴリズムの出力を指します。

暗号文

暗号文は暗号アルゴリズムの暗号化出力で、対応する復号鍵なしには読み取れない元データの変換された表現です。

権限昇格

権限昇格は、攻撃者が脆弱性、設定ミス、または盗まれたクレデンシャルを悪用して当初許可されていたよりも高いレベルの権限を得る攻撃技術であり、通常は一般ユーザーから管理者またはroot アカウントへの移行です。

監査ログ

監査ログは、ユーザーのアクション、アクセス試行、設定変更、セキュリティイベントなど、システム内のイベントとアクティビティの時系列で改ざんが明らかになるような記録で、説明責任、法令遵守、フォレンジック分析のために維持されます。

自己消滅メッセージ

自己消滅メッセージとは、指定された回数アクセスされた後、または定義された期間が経過した後に自動的かつ永久に削除されるよう設計されたメッセージまたは共有データです。

認証局

認証局(CA)は、公開鍵基盤内のウェブサイト、組織、またはデバイスなどのエンティティのアイデンティティを確認するために使用されるデジタル証明書を発行、署名、管理する信頼できるサードパーティ組織です。

転送時の暗号化

転送時の暗号化とは、盗聴や改ざんを防ぐために、ネットワーク経由で 2 つのシステム間を移動するデータを暗号化するプラクティスで、通常 TLS(Transport Layer Security)またはその前身の SSL を通じて実装されます。

鍵導出

鍵導出とは、パスワード、パスフレーズ、共有シークレットなどのソース値を、高エントロピーの鍵素材を生成するために設計された決定論的アルゴリズムを使って 1 つ以上の暗号鍵に変換するプロセスです。

非対称暗号化

非対称暗号化は、誰でもデータの暗号化に使用できる公開鍵と、所有者だけが復号のために持つ秘密鍵という、数学的に関連した鍵のペアを使用する暗号システムで、事前に秘密鍵を共有する必要をなくします。