Hello there, ('ω')ノ
1. 基本のキ:攻撃・脆弱性・リスク
| 用語 |
ひと言で |
日常のたとえ |
| 脅威(Threat) |
システムを狙う“悪い存在” |
泥棒 |
| 脆弱性(Vulnerability) |
侵入を許す“隙” |
玄関の鍵をかけ忘れ |
| リスク(Risk) |
脅威×脆弱性が合わさり起こる損害 |
泥棒が鍵のかかっていない家に入る可能性 |
2. 攻撃関連ワード
| 用語 |
意味 |
超シンプルな例 |
| XSS(クロスサイトスクリプティング) |
入力欄に悪質スクリプトを仕込んで他人の画面を乗っ取る |
店の掲示板にウイルス付きチラシを貼る |
| CSRF(クロスサイトリクエストフォージェリ) |
“本人になりすまし”別サイト経由で勝手に注文等を実行 |
宅配ピザを他人の家に勝手に注文 |
| SQLインジェクション |
データベースへの命令文をすり替え、情報を盗む |
受付伝票に「金庫の鍵ちょうだい」と印刷し通す |
| IDOR(直接オブジェクト参照不備) |
URLやIDを書き換えて他人のデータにアクセス |
隣のロッカー番号を入力して開けてしまう |
| RCE(リモートコード実行) |
サーバーで好きなプログラムを実行できる最悪レベル |
家の中に侵入して電気を勝手に操作 |
3. 防御・対策ワード
| 用語 |
意味 |
ポイント |
| WAF(Web Application Firewall) |
Webアプリ専用の門番 |
XSS・SQLi を自動でブロック |
| パッチ |
脆弱性をふさぐプログラム修正 |
スマホのOSアップデートと同じ |
| 多要素認証(MFA) |
パスワード+SMSなど二重確認 |
鍵+暗証番号の二重ロック |
| SOC(Security Operation Center) |
24時間監視チーム |
防犯カメラのモニタールーム |
| ゼロトラスト |
社内外すべて“信頼しない”設計思想 |
社員証があっても毎回手荷物検査 |
4. 情報漏えい・インシデント系
| 用語 |
定義 |
覚え方 |
| PⅡ(個人を特定できる情報) |
氏名・住所・カード番号など |
“個人情報”と同義でOK |
| データブリーチ |
大量の機密データが外部流出 |
大規模火災=大ごと |
| ランサムウェア |
PCを人質に“身代金”を要求 |
デジタル版「立てこもり」 |
| SOC2 / ISO27001 |
情報管理の国際認証 |
建物の“耐震基準”のようなもの |
5. バグバウンティ固有ワード
| 用語 |
意味 |
チェックポイント |
| スコープ |
調査して良い範囲 |
超重要:外れると報酬ゼロ |
| Duplicate |
先に報告者がいて重複 |
承認されないが学びにはなる |
| PoC(Proof of Concept) |
再現手順+証拠 |
動画・Curl コマンドなどで示す |
| Severity |
深刻度ランク |
Critical / High / Medium / Low |
| Triage |
プラットフォーム側の一次判定 |
ここを通過すると企業へ連絡 |
6. ざっくり相関図(イメージ)
[脅威] ─→ “攻撃手法(XSS等)”
↓
[脆弱性]
↓
──【リスク】──
↓対策
(WAF, MFA, パッチ)
※脅威が攻撃を仕掛け、脆弱性と結びつくことでリスクが発生。
そこに対策を当てて軽減する――という構造です。
まとめ:言葉がわかると理解が深まる!
- “略語は怖くない”:まず日本語で意味を言い換える
- 攻撃⇔防御を 対(つい)で覚える と整理しやすい
- チームで用語の認識を合わせれば、報告・相談がスムーズに
セキュリティは“難しい単語ゲーム”ではありません。
「誰が」「どこで」「何をする」が分かれば怖くない のです!
Best regards, (^^ゞ
