HOME»情報セキュリティマネジメント試験掲示板»用語集チェックの続き
投稿する
確かに、著作権で保護してるのに、「その保護」を解除したらいけませんね(笑)
これは完全にスルーしてました。
さすがです。
法令関係は、細かく原文をチェックしているmomochanさんが大活躍しそうな分野だと思っています。
»[1658] 用語集の全面リニューアルのお知らせ 投稿数:21
»[1657] 【2025年8月】試験結果報告専用スレッド 投稿数:29
用語集チェックの続き [1660]
QMさん(No.1)
引き続き、分類1 セキュリティ です。
今回は 1-2 情報セキュリティ管理 に目を通してみました。
情報セキュリティ事象
英語がインシデントと同じになっているが、momochanさんも触れていたように、「事象」はインシデントとまでは言わないけど、みたいなものも含むので、もっと適切な語がある気がする。(正しい用語は調べていません、すみません)
情報セキュリティインシデント
「脅威」は「情報資産に損失を与える可能性がある要因」なので、実際に発生したインシデントとは区別すべき。
コンピュータ不正アクセス届出制度
「関連する機関に届け出る」と曖昧な表現になっているが、「コンピュータ不正アクセス被害の届出制度」のことだと思われるので、「経済産業省のコンピュータ不正アクセス対策基準に基づき、IPAに届け出る」と明示したほうがいいのでは。
ウイルスや脆弱性の届出制度も同様。
ISMAP
英語は Information system Security Management and Assessment Program
サイバーレスキュー隊
J-CRAT(Cyber Rescue and Advice Team against targeted attack of Japan)のこと。標的型サイバー攻撃が対象。
NOTICE
普通名詞ではなく、IoT機器のセキュリティ対策プロジェクトの名前。
notice.go.jp参照。
SECURITY ACTION
「自己宣言」というキーワードを入れたい。
今回は 1-2 情報セキュリティ管理 に目を通してみました。
情報セキュリティ事象
英語がインシデントと同じになっているが、momochanさんも触れていたように、「事象」はインシデントとまでは言わないけど、みたいなものも含むので、もっと適切な語がある気がする。(正しい用語は調べていません、すみません)
情報セキュリティインシデント
「脅威」は「情報資産に損失を与える可能性がある要因」なので、実際に発生したインシデントとは区別すべき。
コンピュータ不正アクセス届出制度
「関連する機関に届け出る」と曖昧な表現になっているが、「コンピュータ不正アクセス被害の届出制度」のことだと思われるので、「経済産業省のコンピュータ不正アクセス対策基準に基づき、IPAに届け出る」と明示したほうがいいのでは。
ウイルスや脆弱性の届出制度も同様。
ISMAP
英語は Information system Security Management and Assessment Program
サイバーレスキュー隊
J-CRAT(Cyber Rescue and Advice Team against targeted attack of Japan)のこと。標的型サイバー攻撃が対象。
NOTICE
普通名詞ではなく、IoT機器のセキュリティ対策プロジェクトの名前。
notice.go.jp参照。
SECURITY ACTION
「自己宣言」というキーワードを入れたい。
2025.08.10 17:58
momochanさん(No.2)
一応資料によると次のように定義されていましたので載せておきます。
技術情報-セキュリティ技術-情報セキュリティマネジメントシステム-用語 より
情報セキュリティ事象(information security event)
情報セキュリティ方針への違反若しくは管理策の不具合の可能性,又はセキュリティに関係し得る未知の状況を示す,システム,サービス若しくはネットワークの状態に関連する事象。
情報セキュリティインシデント(information security incident)
望まない単独若しくは一連の情報セキュリティ事象,又は予期しない単独若しくは一連の情報セキュリティ事象であって,事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。
JIS Q 27000:2019情報セキュリティ方針への違反若しくは管理策の不具合の可能性,又はセキュリティに関係し得る未知の状況を示す,システム,サービス若しくはネットワークの状態に関連する事象。
情報セキュリティインシデント(information security incident)
望まない単独若しくは一連の情報セキュリティ事象,又は予期しない単独若しくは一連の情報セキュリティ事象であって,事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。
技術情報-セキュリティ技術-情報セキュリティマネジメントシステム-用語 より
セキュリティインシデントとは、セキュリティの事故・出来事のことです。単に「インシデント」とも呼ばれます。例えば、情報の漏えいや改ざん、破壊・消失、情報システムの機能停止またはこれらにつながる可能性のある事象等がインシデントに該当します。
中小企業のためのセキュリティインシデント対応の手引き IPA より「事象」とは、システムまたはネットワークで識別できるあらゆる出来事のことをいう。
「コンピュータセキュリティインシデント(事件)」とは、組織が定めるセキュリティポリシーやコンピュータの利用規定に対する違反行為または差し迫った脅威、あるいは、標準的なセキュリティ活動に対する違反行為または差し迫った脅威を示す。
NIST コンピュータセキュリティインシデント対応ガイド IPA より
「コンピュータセキュリティインシデント(事件)」とは、組織が定めるセキュリティポリシーやコンピュータの利用規定に対する違反行為または差し迫った脅威、あるいは、標準的なセキュリティ活動に対する違反行為または差し迫った脅威を示す。
2025.08.10 20:31
momochanさん(No.3)
「インシデント(incident)」とは、一般的に「重大な事故に至る可能性がある出来事」を意味し、「アクシデント(accident: 偶発事故)」や「ハプニング(happening: 出来事)」とは区別されます。情報セキュリティにおけるインシデントとは、情報の機密性、完全性、可用性を脅かす事象であり、その結果として事業運営を危うくする可能性のあるものです。コンピューターウイルスへの感染やサービス運用妨害攻撃、その結果生じる情報漏えいやシステム停止など、ITシステムの正常な運用または利用を阻害する(実害のある)一連の事象だけでなく、そのような事象に繋がる可能性のある(まだ実害のない)弱点探索(スキャン)なども広義のインシデントとして含む場合もあります。
なお、インシデントの分類の一つとして「不正アクセス」という言葉が用いられることがありますが、これは厳密には正確ではありません。国や文化によって法的あるいは倫理的に不正とされるものが異なる(日本国内の例でいえば、「不正アクセス行為の禁止等に関する法律」によって「不正アクセス」が主に実害のあるものに限定された内容で定義されている)ことや、システムの仕様によって不正とするものが異なることなどから、何をもって「不正」と定義されるのかが曖昧であるため、発生したインシデントの様態をあらわす言葉として使用する場合は注意が必要です。
[インシデントの例]
・スキャンなどの不審なアクセス(Scan)
・送信ヘッダを詐称した電子メールの配送(Forged)
・システムへの侵入(Intrusion)
・フィッシング詐欺(Phishing)
・分散型サービス運用妨害(DDoS)
・コンピュータウィルスの感染(Virus)
・迷惑メール(Spam)
・先進的で執拗な脅威(APT)
CSIRTガイド 一般社団法人JPCERTコーディネーションセンター より
なお、インシデントの分類の一つとして「不正アクセス」という言葉が用いられることがありますが、これは厳密には正確ではありません。国や文化によって法的あるいは倫理的に不正とされるものが異なる(日本国内の例でいえば、「不正アクセス行為の禁止等に関する法律」によって「不正アクセス」が主に実害のあるものに限定された内容で定義されている)ことや、システムの仕様によって不正とするものが異なることなどから、何をもって「不正」と定義されるのかが曖昧であるため、発生したインシデントの様態をあらわす言葉として使用する場合は注意が必要です。
[インシデントの例]
・スキャンなどの不審なアクセス(Scan)
・送信ヘッダを詐称した電子メールの配送(Forged)
・システムへの侵入(Intrusion)
・フィッシング詐欺(Phishing)
・分散型サービス運用妨害(DDoS)
・コンピュータウィルスの感染(Virus)
・迷惑メール(Spam)
・先進的で執拗な脅威(APT)
2025.08.10 21:38
momochanさん(No.4)
QMさん
横から口を挟むような形になってしまい失礼いたしました。
このスレッドは、QMさんが管理人様に向けて書かれているものでした。
私が公的な資料を載せる目的は、少しでも説得力を持たせたいという気持ちもありましたが、どちらかというと、他の方にも参考資料としてご活用いただければ…という思いが強かったです。
とはいえ、管理人様からは「そんな資料、いちいち載せなくても分かるよ」と思われてしまうかもしれません。
その点につきましても配慮が足りず申し訳ありませんでした。
そもそも目的が違うならスレッドを分けるべきだったと反省しています。
場を乱してしまいすみませんでした。
横から口を挟むような形になってしまい失礼いたしました。
このスレッドは、QMさんが管理人様に向けて書かれているものでした。
私が公的な資料を載せる目的は、少しでも説得力を持たせたいという気持ちもありましたが、どちらかというと、他の方にも参考資料としてご活用いただければ…という思いが強かったです。
とはいえ、管理人様からは「そんな資料、いちいち載せなくても分かるよ」と思われてしまうかもしれません。
その点につきましても配慮が足りず申し訳ありませんでした。
そもそも目的が違うならスレッドを分けるべきだったと反省しています。
場を乱してしまいすみませんでした。
2025.08.11 07:38
QMさん(No.5)
momochanさん
いえいえ、内容を確認・補強していただけで助かります。
なんとなくの記憶で書いているものも多いので、
正確にはこうだとか、他にも間違いがあるとか、
他の人もどんどん便乗してくれたほうが嬉しいです。
お互いに勉強になりますし。
詳しい情報は、あって困るものではないです。
(なので、あえて「修正依頼」にチェックはしていない)
> 横から口を挟むような形になってしまい失礼いたしました。
いえいえ、内容を確認・補強していただけで助かります。
なんとなくの記憶で書いているものも多いので、
正確にはこうだとか、他にも間違いがあるとか、
他の人もどんどん便乗してくれたほうが嬉しいです。
お互いに勉強になりますし。
詳しい情報は、あって困るものではないです。
(なので、あえて「修正依頼」にチェックはしていない)
2025.08.11 09:19
QMさん(No.6)
分類1の残り。
1-3 セキュリティ技術評価
特になし
1-4 情報セキュリティ対策
組織における内部不正防止ガイドライン
「適切なガイドラインの導入により」と一般論のように書かれているが、これはIPAが作成しているガイドラインのことだと思われるので、その旨を明示したほうがいいのでは。
多重化技術
物理的セキュリティ対策の項目なので、通信の効率化ではなく、機器や回線を複数用意する類の話と思われる。
1-5 セキュリティ実装技術
PGP
暗号化だけでなく、電子署名にも使う。
1-3 セキュリティ技術評価
特になし
1-4 情報セキュリティ対策
組織における内部不正防止ガイドライン
「適切なガイドラインの導入により」と一般論のように書かれているが、これはIPAが作成しているガイドラインのことだと思われるので、その旨を明示したほうがいいのでは。
多重化技術
物理的セキュリティ対策の項目なので、通信の効率化ではなく、機器や回線を複数用意する類の話と思われる。
1-5 セキュリティ実装技術
PGP
暗号化だけでなく、電子署名にも使う。
2025.08.11 09:21
momochanさん(No.7)
QMさん、ありがとうございます。
公的な資料は以前から集めていましたが、ちょっと度が過ぎたかなと思いまして…。
また何かありましたら便乗させていただきます。
公的な資料は以前から集めていましたが、ちょっと度が過ぎたかなと思いまして…。
また何かありましたら便乗させていただきます。
2025.08.11 12:22
QMさん(No.8)
分類2 法務
なんとなく言葉からイメージするる一般論を書いているものが多いようですが、
具体的な法令等に準拠した正確な表現のほうがよいでしょう。
2-1 知的財産権
コピープロテクト外し
ここは知的財産権の項目なので不要かもしれないが、不正競争防止法でも規制あり。
不正競争防止法の場合は、回避すること自体ではなく、手段やサービスの提供が問題になる。
営業秘密
秘密管理性、有用性、非公知性の3用件は明示しておきたい。
2-2 セキュリティ関連法規
不正アクセス行為
ここでは不正アクセス禁止法での定義を示すべき。
「ネットワークを通じて」「アクセス制御しているものに対して」という要件がある。
不正アクセスを助長する行為
こちらも不正アクセス禁止法における定義を。
個人情報取扱事業者
個人情報は「生存する」個人を識別できる情報。
個人情報取扱事業者は、個人情報「データベース」を事業のために使用している業者。
特定個人情報の適正な取扱いに関するガイドライン
「特定個人情報」とはマイナンバー(を含む情報)のことなので、それ以外の話は書かないほうがよい。
プライバシーマーク
「一定の基準」「このような認証は」など、一般論のように書いているが、JIS Q 15001 に適合した事業者を認定する制度なので、そのように明記したほうがよい。
不正指令電磁的記録に関する罪
作成・提供・保管が対象なので、実際の侵入行為は例として不適切。
情報流通プラットフォーム対処法
安全性を保つことではなく、権利侵害等への対処が主目的。
なんとなく言葉からイメージするる一般論を書いているものが多いようですが、
具体的な法令等に準拠した正確な表現のほうがよいでしょう。
2-1 知的財産権
コピープロテクト外し
ここは知的財産権の項目なので不要かもしれないが、不正競争防止法でも規制あり。
不正競争防止法の場合は、回避すること自体ではなく、手段やサービスの提供が問題になる。
営業秘密
秘密管理性、有用性、非公知性の3用件は明示しておきたい。
2-2 セキュリティ関連法規
不正アクセス行為
ここでは不正アクセス禁止法での定義を示すべき。
「ネットワークを通じて」「アクセス制御しているものに対して」という要件がある。
不正アクセスを助長する行為
こちらも不正アクセス禁止法における定義を。
個人情報取扱事業者
個人情報は「生存する」個人を識別できる情報。
個人情報取扱事業者は、個人情報「データベース」を事業のために使用している業者。
特定個人情報の適正な取扱いに関するガイドライン
「特定個人情報」とはマイナンバー(を含む情報)のことなので、それ以外の話は書かないほうがよい。
プライバシーマーク
「一定の基準」「このような認証は」など、一般論のように書いているが、JIS Q 15001 に適合した事業者を認定する制度なので、そのように明記したほうがよい。
不正指令電磁的記録に関する罪
作成・提供・保管が対象なので、実際の侵入行為は例として不適切。
情報流通プラットフォーム対処法
安全性を保つことではなく、権利侵害等への対処が主目的。
2025.08.11 18:07
momochanさん(No.9)
コピープロテクト外し
著作権で保護されたコンテンツから、その保護を解除する行為を指す。
⇒著作権で保護されたコンテンツに施されたコピー防止機能を解除する行為を指す。
私的使用のための複製であっても、技術的保護手段を回避しての複製は認められないので、その点にも触れておきたい。(著作権法第30条の2)
著作権で保護されたコンテンツから、その保護を解除する行為を指す。
⇒著作権で保護されたコンテンツに施されたコピー防止機能を解除する行為を指す。
私的使用のための複製であっても、技術的保護手段を回避しての複製は認められないので、その点にも触れておきたい。(著作権法第30条の2)
2025.08.12 20:53
QMさん(No.10)
> 著作権で保護されたコンテンツから、その保護を解除する行為を指す。
> ⇒著作権で保護されたコンテンツに施されたコピー防止機能を解除する行為を指す。
確かに、著作権で保護してるのに、「その保護」を解除したらいけませんね(笑)
これは完全にスルーしてました。
さすがです。
法令関係は、細かく原文をチェックしているmomochanさんが大活躍しそうな分野だと思っています。
2025.08.12 21:01
QMさん(No.11)
分類2の残り。
ここは私は詳しくない分野なので、ほとんど書けることはありませんでした。
2-3 労働関連・取引関連法規
指揮命令
請負契約では、委託側は直接指揮命令できない、というのも明記したい。
2-4 その他の法律・ガイドライン・技術者倫理
特になし
2-5 標準化関連
JISやISOなどは、日本語名称も記載したい。
残りの分野も順番に見ていくつもりですが、次は少し間が空くかも。
ここは私は詳しくない分野なので、ほとんど書けることはありませんでした。
2-3 労働関連・取引関連法規
指揮命令
請負契約では、委託側は直接指揮命令できない、というのも明記したい。
2-4 その他の法律・ガイドライン・技術者倫理
特になし
2-5 標準化関連
JISやISOなどは、日本語名称も記載したい。
残りの分野も順番に見ていくつもりですが、次は少し間が空くかも。
2025.08.12 21:04
momochanさん(No.12)
一見もっともらしく書かれているためつい見過ごしてしまいがちですが、すべてを疑って読んでみると綻びが見えてきますね。
2025.08.13 07:40
momochanさん(No.13)
官民データ活用促進基本法
政府や地方自治体が保有するデータを民間企業や研究者に提供し、イノベーションを推進することを目指している。
⇒なぜ上記のような説明になっているのか。
官民データ活用促進基本法には広範な目的が明記されていますが、その中には行政の効率化や社会課題の解決を目的として、施策の企画・立案に官民データを根拠として活用することを基本理念に掲げています。
政府や地方自治体が保有するデータを民間企業や研究者に提供し、イノベーションを推進することを目指している。
⇒なぜ上記のような説明になっているのか。
官民データ活用促進基本法には広範な目的が明記されていますが、その中には行政の効率化や社会課題の解決を目的として、施策の企画・立案に官民データを根拠として活用することを基本理念に掲げています。
2025.08.13 07:41
momochanさん(No.14)
指揮命令
指揮命令が労働者派遣法に限定されているかのような印象を受けます。
指揮命令とは「業務の進め方や行動について、直接的に命令・指示を出すこと」だと思いますが、労働法の文脈では「誰が誰に対して指揮命令を行っているか」が、請負契約か労働者派遣かを判断するポイントなので、そこにも触れておきたい。
準委任契約
善管注意義務にも触れておきたい。
請負契約
契約不適合責任にも触れておきたい。
守秘契約
秘密保持契約(NDA)という用語も入れておきたい。
コピーレフト
特に、著作権の考え方を逆転させる方式で、
⇒特に、著作権の考え方(コピーライト)を逆転させる方式で、
コピーライトという言葉も入れておきたいかな。
「copyleft(コピーレフト)」という言葉は、「copyright(コピーライト)」の語源の“right=権利”を“右”と見立てて、反対語として“left=左”を当てた造語。
指揮命令が労働者派遣法に限定されているかのような印象を受けます。
指揮命令とは「業務の進め方や行動について、直接的に命令・指示を出すこと」だと思いますが、労働法の文脈では「誰が誰に対して指揮命令を行っているか」が、請負契約か労働者派遣かを判断するポイントなので、そこにも触れておきたい。
準委任契約
善管注意義務にも触れておきたい。
請負契約
契約不適合責任にも触れておきたい。
守秘契約
秘密保持契約(NDA)という用語も入れておきたい。
コピーレフト
特に、著作権の考え方を逆転させる方式で、
⇒特に、著作権の考え方(コピーライト)を逆転させる方式で、
コピーライトという言葉も入れておきたいかな。
「copyleft(コピーレフト)」という言葉は、「copyright(コピーライト)」の語源の“right=権利”を“右”と見立てて、反対語として“left=左”を当てた造語。
2025.08.13 12:07
momochanさん(No.15)
TrustedWeb推進協議会
デジタル庁ではTrustedWeb推進協議会を「TrusetedWebの実現に向けた取組やホワイトペーパー等に関する議論を行う会議」だと説明しています。
そこで、Trusted Webとは何かを説明しておいたほうが良いと思います。
デジタル庁ではTrustedWeb推進協議会を「TrusetedWebの実現に向けた取組やホワイトペーパー等に関する議論を行う会議」だと説明しています。
そこで、Trusted Webとは何かを説明しておいたほうが良いと思います。
トラステッド・ウェブ(Trusted Web)は、特定のサービスに依存せずに、個人・法人によるデータのコントロールを強化する仕組み、やり取りするデータや相手方を検証できる仕組み等の新たな信頼の枠組みをインターネットやウェブに付加するイニシアティブです。
2025.08.13 23:02
momochanさん(No.16)
最小権限の原則
「Need to Know(最小権限)の原則」となっていますが、少し違いがあると思います。
・Need to Knowの原則…
必要とする人にのみ情報へのアクセスを許可し、不要な人によるアクセスは禁止する
(情報へのアクセスに焦点を当てていて、その人が知る必要があるかどうかが判断基準)
・最小権限の原則(PoLP: Principle of Least Privilege)…
必要とする者に対しても、業務遂行に必要となる最低限の権限のみを与える
(操作可能な権限に焦点を当てていて、その人ができることを最小限に抑えるのが目的)
「Need to Know(最小権限)の原則」となっていますが、少し違いがあると思います。
・Need to Knowの原則…
必要とする人にのみ情報へのアクセスを許可し、不要な人によるアクセスは禁止する
(情報へのアクセスに焦点を当てていて、その人が知る必要があるかどうかが判断基準)
・最小権限の原則(PoLP: Principle of Least Privilege)…
必要とする者に対しても、業務遂行に必要となる最低限の権限のみを与える
(操作可能な権限に焦点を当てていて、その人ができることを最小限に抑えるのが目的)
2025.08.14 12:17
momochanさん(No.17)
CVSS
「共通脆弱性評価システム」という用語も入れたい。
3-2-1ルール
「3つのコピー」
⇒オリジナルのデータとそのバックアップを2つ持つなら、「3つのコピー」を持つではなく「3つのデータ」を持つとしたほうがよいと思います。
ビヘイビア法
「振る舞い検知」という用語も入れたい。
「共通脆弱性評価システム」という用語も入れたい。
3-2-1ルール
「3つのコピー」
⇒オリジナルのデータとそのバックアップを2つ持つなら、「3つのコピー」を持つではなく「3つのデータ」を持つとしたほうがよいと思います。
ビヘイビア法
「振る舞い検知」という用語も入れたい。
2025.08.14 17:18
momochanさん(No.18)
状況的犯罪予防
5つの基本原則を載せておきたい。
5つの基本原則を載せておきたい。
・犯行を難しくする(やりにくくする)
・捕まるリスクを高める(やると見つかる)
・犯行の見返りを減らす(割に合わない)
・犯行の誘因を減らす(その気にさせない)
・犯罪の弁明をさせない(言い訳させない)
出典:組織における内部不正防止ガイドライン IPA
・捕まるリスクを高める(やると見つかる)
・犯行の見返りを減らす(割に合わない)
・犯行の誘因を減らす(その気にさせない)
・犯罪の弁明をさせない(言い訳させない)
2025.08.14 20:39
momochanさん(No.19)
第三者提供
個人情報をその情報を収集した本人の同意なしに他の人や団体に渡すことを指す。
⇒この表現は誤解されかねない記述ですので、次のように改めた方がよいでしょう。
個人情報をその情報を収集した本人の同意なしに他の人や団体に渡すことを指す。
⇒この表現は誤解されかねない記述ですので、次のように改めた方がよいでしょう。
第三者提供とは、個人情報取扱事業者が保有する個人情報を、本人およびその事業者以外の第三者に提供する行為を指し、原則として本人の同意が必要です。
2025.08.14 23:36
momochanさん(No.20)
(No.19)の補足
個人情報の保護に関する法律 第27条(第三者提供の制限)
個人情報取扱事業者は、…(中略)…、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
個人情報の保護に関する法律 第27条(第三者提供の制限)
個人情報取扱事業者は、…(中略)…、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
2025.08.14 23:58
その他のスレッド
»[1659] 基本情報に合格している場合、過去問道場のみで十分でしょうか? 投稿数:3»[1658] 用語集の全面リニューアルのお知らせ 投稿数:21
»[1657] 【2025年8月】試験結果報告専用スレッド 投稿数:29