暗号化
情報を特定のルールで変換し、第三者に内容が分からないようにする技術。
機密性を保つために重要なセキュリティ対策。
通信、保存、認証など多様な場面で利用される。
例:メール本文を暗号化して盗み見を防ぐ。
復号
暗号化された情報を、元の状態に戻すこと。
暗号化と対になる処理で、正しい鍵がなければ復号できない。
機密情報の受信側が行う操作。
例:受け取った暗号化ファイルを復号して内容を読む。
共通鍵暗号方式
暗号化と復号に同じ鍵を使う方式。
処理が高速で、ファイル暗号やVPNに多く使われる。
鍵の共有が必要であり、送信方法に注意が必要。
例:事前に共有したパスワードを使ってZIPファイルを復号する。
公開鍵暗号方式
暗号化と復号に異なる鍵を使う方式。
暗号化には「公開鍵」、復号には「秘密鍵」を使用する。
安全に鍵をやり取りする手段として普及している。
例:相手の公開鍵で暗号化して送信し、相手だけが復号できる。
ハイブリッド暗号方式
共通鍵と公開鍵の両方を組み合わせた暗号方式。
共通鍵でデータを高速に暗号化し、その鍵を公開鍵で暗号化する。
安全性と効率のバランスを取った方式。
例:メール本文は共通鍵で暗号化し、その鍵を公開鍵で送る。
ハッシュ関数
入力データから一定長のハッシュ値(ダイジェスト)を生成する関数。
同じ入力に対しては必ず同じ出力を返す。
改ざん検出やパスワード保存などに使われる。
例:ログイン時に入力されたパスワードのハッシュと保存値を比較する。
ディスク暗号化
ハードディスク全体を暗号化することで、不正アクセスから情報を保護する方法。
端末の盗難や紛失に対する有効な対策。
起動時にパスワードなどで復号が必要。
例:BitLockerなどを用いてノートPCの全ディスクを暗号化する。
ファイル暗号化
特定のファイル単位で内容を暗号化する方法。
ファイルの送受信や保管時のセキュリティ対策に有効。
共有時には鍵やパスワードの伝達が必要。
例:顧客名簿のExcelファイルを暗号化してメールで送信する。
デジタル署名
電子データに対して、送信者の本人性と内容の改ざんがないことを証明するための電子的な署名。
送信者の秘密鍵でハッシュ値に署名し、受信者は公開鍵でその署名を検証する。
認証、改ざん防止、否認防止の3つの効果がある。
例:契約書PDFにデジタル署名を付与し、受信者が正当な差出人かを確認する。
タイムスタンプ(時刻認証)
電子データが特定の時点で存在したことを証明する仕組み。
第三者機関が時刻を記録して証明する。
証拠保全や契約履歴の保証に使われる。
例:電子契約書に発行時のタイムスタンプを付ける。
リスクベース認証
ログイン時の状況(端末、場所、時間など)に応じて認証レベルを変える方式。
異常な挙動があった場合は追加認証を要求する。
利便性とセキュリティの両立を目指す。
例:海外からのアクセス時にはワンタイムパスワードを要求する。
ログイン
システム利用時に本人であることを証明する基本的な手段。
IDがユーザー名、パスワードが秘密情報として扱われる。
定期的な変更と複雑な設定が望ましい。
例:社内システムにIDとパスワードでログインする。
アクセス管理
誰が、いつ、どの情報にアクセスできるかを制御する仕組み。
利用者や部署ごとに異なる権限を設定する。
不正利用や漏えいを防止する。
例:営業部は顧客情報にアクセスできるが、人事情報は非公開。
ICカード
認証や入退室、決済などに使われるチップ入りカード。
社員証や学生証などとしても使われる。
暗号化情報の記録やセキュリティ強化に利用される。
例:オフィスの入館やPCログインにICカードをかざして認証する。
ワンタイムパスワード
使い捨てのパスワードで、一定時間または1回限り有効。
盗まれても再利用されないため安全性が高い。
トークンやアプリで生成される。
例:ネットバンキングで毎回異なるパスワードを入力する。
多要素認証
異なる種類の認証要素を2つ以上組み合わせて本人確認を行う方法。
「知識」「所持」「生体」のうち2つ以上を用いる。
パスワード単独よりも強力な認証手段。
例:ID+パスワードに加え、スマホの認証コードを入力する。
パスワードレス認証
パスワードを使わず、顔認証や端末認証などでログインする方法。
利便性とセキュリティの両立を実現する。
生体認証や認証アプリと組み合わせて用いられる。
例:スマホの顔認証でクラウドサービスにログインする。
EMV 3-Dセキュア(3Dセキュア2.0)
オンラインクレジットカード決済時の本人認証方式。
利用者の端末情報や行動履歴などをもとにリスクを判定する。
追加認証なしでスムーズに決済できる場合もある。
例:カード決済時にスマホの認証アプリで承認する。
SMS認証
携帯電話のSMSで認証コードを受け取り、入力して認証する方法。
電話番号に紐づく確認手段として使われる。
不正ログイン対策として一般的。
例:会員登録時に届いた6桁のコードを入力する。
シングルサインオン
1回のログインで複数のサービスやシステムを利用できる仕組み。
ログイン情報の統合管理により、利便性が向上する。
企業や教育機関などで広く使われている。
例:社内ポータルにログインすると、メールや勤怠管理も使える。
生体認証(バイオメトリクス認証)
指紋、顔、声などの身体的特徴を使って本人を確認する認証方式。
本人固有の情報を使うため偽装が難しい。
スマートフォンや入退室管理で使われる。
例:指紋でスマホのロックを解除する。
静脈パターン認証
手のひらや指の静脈の形状を読み取って認証する方法。
偽造が困難で、接触型と非接触型がある。
高セキュリティが求められる施設で利用される。
例:金融機関のATMで手のひらの静脈認証を利用する。
虹彩認証
目の虹彩(瞳の中の模様)を読み取ることで本人確認を行う方法。
高精度で、本人以外の通過を防げる。
航空機の搭乗口や高セキュリティエリアで利用される。
例:出国ゲートで目をスキャンして通過する。
声紋認証
声の波形や周波数の特徴を使って本人確認を行う認証方式。
音声による非接触の認証が可能。
電話口での本人確認などに活用される。
例:カスタマーセンターで本人確認として声を登録する。
顔認証
顔の特徴点をもとに本人かどうかを判定する認証方法。
スマホ、空港、施設の入退室などで普及している。
マスク着用などで精度が変化することがある。
例:駅の自動改札を顔認証で通過するシステム。
網膜認証
目の奥にある網膜の血管パターンを使った高度な認証方式。
最も偽装が難しい生体認証の一つ。
セキュリティが非常に厳しい施設で使用される。
例:軍事施設や研究所などでの本人確認に利用される。
本人拒否率(FRR)
正しい本人であるのに認証が拒否される割合。
誤って利用者を排除してしまう指標。
セキュリティと利便性のバランスが求められる。
例:指が濡れていて指紋認証に失敗する。
他人受入率(FAR)
本人ではないのに認証が通ってしまう割合。
セキュリティ上の致命的なミスに直結する。
FARが低いほど安全性が高い。
例:顔が似た別人が誤って認証されてしまう。
PKI(公開鍵基盤:Public Key Infrastructure)
公開鍵暗号を使った認証や暗号通信を実現するための仕組み。
証明書や認証局の仕組みで信頼性を担保する。
電子契約やSSL通信に用いられる。
例:Webサイトが正規の運営者であることをPKIで証明する。
デジタル証明書
公開鍵に関する所有者情報を第三者機関が証明するデータ。
改ざんやなりすましを防ぐために使われる。
電子署名やSSL通信に欠かせない要素。
例:ブラウザに表示されるHTTPS証明書。
ルート証明書
認証チェーンの最上位にある信頼の出発点となる証明書。
OSやブラウザにあらかじめ信頼されている。
これが信頼されていないと証明書は無効になる。
例:Webサイトの証明書がルート証明書に紐づいている。
トラストアンカー(信頼の基点)
ルート証明書のように、認証の信頼性を保証する起点。
安全な通信の土台となる存在。
信頼されている証明書は自動的に受け入れられる。
例:OSにあらかじめ組み込まれている信頼済みルート証明書。
サーバ証明書
Webサーバが正規であることを証明するデジタル証明書。
HTTPS通信を通じてユーザーと安全にやり取りできる。
証明書の発行には認証局の審査がある。
例:銀行のWebサイトにアクセスすると証明書が自動的に検証される。
クライアント証明書
クライアント(利用者や端末)の身元を証明する証明書。
サーバ側でアクセス制御や認証に用いられる。
組織内でのセキュアな通信やアプリ連携に使われる。
例:社内ネットワークに接続するPCにクライアント証明書を配布する。
CA(認証局:Certificate Authority)
デジタル証明書を発行・管理・失効する信頼された第三者機関。
証明書の正当性を担保する役割。
ルート認証局、中間認証局などが存在する。
例:Let’s Encrypt や DigiCert などの証明書発行サービス。
CRL(証明書失効リスト)
失効された証明書の一覧をまとめたリスト。
盗難や期限切れなどで無効となった証明書が登録される。
クライアントは通信前にCRLを参照して確認する。
例:なりすましが疑われる証明書がCRLで失効扱いになる。
セキュリティバイデザイン
システムの設計段階からセキュリティを組み込む考え方。
後付けの対策ではなく、企画・開発の初期から意識する。
製品全体の安全性と信頼性が向上する。
例:ログイン機能の仕様を最初から多要素認証対応にする。
プライバシーバイデザイン
個人情報保護をシステムやサービスの設計段階から取り入れる考え方。
情報の最小収集や目的外利用の禁止が基本。
個人の権利を重視した設計手法。
例:サービス登録時に必須項目だけ入力し、任意項目は明確に説明する。
クロスサイトスクリプティング対策
ユーザーからの入力内容をWebページに表示する際に、スクリプトとして実行されないように処理する。
入力値をHTMLエスケープする、信頼された文字だけを許可するなどが基本対策。
コンテンツセキュリティポリシー(CSP)の導入も有効。
例:<script>などのタグをそのまま出力せず、「<script>」のように変換して表示する。
SQLインジェクション対策
ユーザーの入力内容をSQL文に直接埋め込まず、プリペアドステートメントを使うことで不正な命令の注入を防ぐ。
入力値の検証・制限(バリデーション)や、DBエラーの非表示も対策として有効。
データベースやWebアプリケーションの脆弱性を突かれない設計が重要。
例:WHERE name = ? として、ユーザーの入力を安全にバインドしてSQLを実行する。