IT用語帳

アタックサーフェス

Attack Surface

あたっくさーふぇす

攻撃者がシステムに対して攻撃を仕掛ける可能性のある全てのポイント(入口)の総称。ネットワークポート、API、Webフォーム、ユーザーインターフェースなどが含まれ、アタックサーフェスの最小化がセキュリティ設計の基本原則となる。
攻撃設計リスクセキュリティ
情報システムの企画・設計・開発・運用でのセキュリティ確保の推進又は支援に関すること > 企画・要件定義(セキュリティの観点)

関連キーワードの用語

SCリスクアセスメント

リスク特定、リスク分析、リスク評価のプロセス全体を指す。情報資産に対する脅威と脆弱性を洗い出し、リスクの大きさを算定し、対応の優先度を判断する。ISMSにおけるリスクマネジメントの中核プロセスである。

SCリスク特定

リスクを発見、認識及び記述するプロセス。リスク源、事象、それらの原因及び起こり得る結果の特定を含む。情報資産の洗い出しと、それらに対する脅威・脆弱性の特定を行う。

SCリスク分析

リスクの性質を理解し、リスクレベルを決定するプロセス。定性的分析と定量的分析の手法があり、脅威の発生可能性と影響度からリスクの大きさを算定する。

SC脅威

システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因。JIS Q 27000では「一つ以上の要因によって付け込まれる可能性がある、資産又は管理策の弱点」を脆弱性と区別して定義している。

SC脆弱性

一つ以上の脅威によって付け込まれる可能性がある、資産又は管理策の弱点。技術的な欠陥だけでなく、運用手順の不備や人的な弱点も含まれる。脅威と脆弱性の組み合わせによりリスクが顕在化する。

SCリスクコントロール

リスクを修正する対策を講じること。リスク低減の具体的手段として、技術的対策(暗号化、アクセス制御等)や運用的対策(手順の整備、教育等)を実施してリスクレベルを許容範囲内に抑える。