セキュリティ IT用語 韓国語一覧
보안 IT 용어 일본어 목록
253語収録 / 253개 수록
組織内部の従業員や元社員などによる情報漏洩・不正アクセスを防ぐための対策。UBAやDLPツールを活用して異常行動を検知・抑止する。
조직 내부 직원이나 전직 직원 등에 의한 정보 유출·불법 접근을 방지하기 위한 대응책. UBA나 DLP 도구를 활용하여 이상 행동을 탐지하고 억제한다.
「信頼しない、常に検証する」を原則とするセキュリティモデルの導入。境界型防御に依存せず、社内外すべてのアクセスを継続的に認証・認可する設計思想。
'신뢰하지 않고 항상 검증한다'는 원칙의 보안 모델 도입. 경계형 방어에 의존하지 않고 사내외 모든 접근을 지속적으로 인증·인가하는 설계 사상.
よく使われる単語やパスワードのリストを用いて認証を突破しようとする攻撃手法。ブルートフォース攻撃より効率的で、弱いパスワードに対して有効。
자주 사용되는 단어나 패스워드 목록을 이용해 인증을 돌파하려는 공격 기법. 브루트포스 공격보다 효율적이며, 취약한 패스워드에 대해 유효하다.
システム設計段階で潜在的なセキュリティ脅威を識別・分析し、対策を優先順位付けする手法。STRIDE等のフレームワークが広く使われる。
시스템 설계 단계에서 잠재적인 보안 위협을 식별·분석하고 대책의 우선순위를 결정하는 기법으로, STRIDE 등의 프레임워크가 널리 활용된다.
実行を許可するアプリケーションを明示的にリスト化し、それ以外の全プログラムの起動をブロックするセキュリティ制御手法。ホワイトリストとも呼ばれる。
실행을 허용할 애플리케이션을 명시적으로 목록화하고 그 외 모든 프로그램의 실행을 차단하는 보안 제어 기법으로, 화이트리스트라고도 불린다.
ユーザーやシステムからの入力データに対して、形式・範囲・文字種などの妥当性チェック仕様を設計すること。SQLインジェクションやXSS対策の基盤となる。
사용자나 시스템으로부터의 입력 데이터에 대해 형식·범위·문자 종류 등의 유효성 검사 사양을 설계하는 것. SQL 인젝션이나 XSS 대책의 기반이 된다.
複数のセキュリティ層を重ねて防御する戦略。一つの対策が突破されても次の層で攻撃を阻止するDefense in Depthの考え方。
여러 보안 계층을 겹쳐서 방어하는 전략. 하나의 대책이 뚫리더라도 다음 계층에서 공격을 차단하는 Defense in Depth 개념.
HTTP Strict Transport Securityの略。WebサーバーがブラウザにHTTPS接続のみを強制するセキュリティポリシーで、SSLストリッピング攻撃を防ぐために使用される。
HTTP Strict Transport Security의 약자. 웹 서버가 브라우저에 HTTPS 연결만을 강제하는 보안 정책으로, SSL 스트리핑 공격을 방지하기 위해 사용된다.
ダークウェブ上に自社の認証情報や機密データが流出していないかを継続的に監視するセキュリティ対策。情報漏洩の早期検知に活用される。
다크웹에 자사의 인증 정보나 기밀 데이터가 유출되지 않았는지 지속적으로 감시하는 보안 대책으로, 정보 유출의 조기 탐지에 활용된다.
Static Application Security Testingの略。アプリケーションのソースコードやバイナリを実行せずに静的解析し、セキュリティ脆弱性を検出する手法。CI/CDパイプラインに組み込んで早期発見に活用される。
Static Application Security Testing의 약자. 애플리케이션의 소스 코드나 바이너리를 실행하지 않고 정적 분석하여 보안 취약점을 탐지하는 기법. CI/CD 파이프라인에 통합해 조기 발견에 활용된다.
ネットワークやシステムに対して悪意ある第三者が行う不正アクセス・破壊・情報窃取などの攻撃行為。DDoS、フィッシング、マルウェア感染など多様な手法が存在する。
네트워크나 시스템에 대해 악의적인 제3자가 수행하는 불법 접근·파괴·정보 탈취 등의 공격 행위. DDoS, 피싱, 멀웨어 감염 등 다양한 수법이 존재한다.
APIへの不正アクセスやデータ漏洩を防ぐためのセキュリティ対策全般。認証・認可、レート制限、入力値検証などの手法でAPIエンドポイントを保護する。
API에 대한 비인가 접근 및 데이터 유출을 방지하기 위한 보안 대책 전반. 인증·인가, 요청 제한, 입력값 검증 등의 방법으로 API 엔드포인트를 보호한다.
システムやリソースへのアクセスを許可・拒否するセキュリティ機能。ユーザーの権限に応じて操作範囲を制限し、不正アクセスや情報漏洩を防ぐ仕組み。
시스템이나 리소스에 대한 접근을 허가·거부하는 보안 기능. 사용자 권한에 따라 조작 범위를 제한하여 비인가 접근 및 정보 유출을 방지하는 구조.
パスワードハッシュ化に特化した暗号化アルゴリズム。ソルトを自動付与し、コストパラメータでブルートフォース攻撃への耐性を調整できる。
비밀번호 해싱에 특화된 암호화 알고리즘. 솔트를 자동으로 부여하며, 코스트 파라미터로 무차별 대입 공격에 대한 내성을 조정할 수 있다.
必要なときだけ一時的に権限を付与するアクセス制御手法。常時特権を持たせず、申請・承認後に限定時間だけ権限を有効化することでリスクを最小化する。
필요할 때만 일시적으로 권한을 부여하는 접근 제어 방식. 상시 특권을 부여하지 않고, 신청·승인 후 제한된 시간 동안만 권한을 활성화하여 보안 리스크를 최소화한다.
インシデント発生後にデジタル機器やログを収集・解析し、証拠を保全・調査する技術。不正アクセスやデータ漏洩の原因究明に活用される。
인시던트 발생 후 디지털 기기와 로그를 수집·분석하여 증거를 보존·조사하는 기술로, 비정상 접근이나 데이터 유출의 원인 규명에 활용된다.
ネットワークを細かいセグメントに分割し、各セグメント間のトラフィックをきめ細かく制御するセキュリティ手法。ゼロトラストアーキテクチャの中核技術であり、横断的な侵害拡大を防ぐ。
네트워크를 세밀한 세그먼트로 분할하여 각 세그먼트 간 트래픽을 세밀하게 제어하는 보안 기법. 제로 트러스트 아키텍처의 핵심 기술로, 횡적 침해 확산을 방지한다.
パスワードレス認証を実現するW3C標準規格。WebAuthnとCTAP2で構成され、生体認証やセキュリティキーを使った安全なログインを提供する。
패스워드 없는 인증을 실현하는 W3C 표준 규격. WebAuthn과 CTAP2로 구성되며, 생체 인증이나 보안 키를 사용한 안전한 로그인을 제공한다.
Cloud Workload Protection Platformの略。サーバー、コンテナ、サーバーレス機能など、クラウド上で実行されるワークロード自体をマルウェアや脆弱性、不正なプロセスから保護するセキュリティソリューション。
Cloud Workload Protection Platform의 약자. 서버, 컨테이너, 서버리스 기능 등 클라우드에서 실행되는 워크로드 자체를 멀웨어, 취약점, 부정 프로세스로부터 보호하는 보안 솔루션.
ソフトウェアの開発・配布プロセス全体における依存ライブラリやビルド環境などのサプライチェーンを対象としたセキュリティ対策。SBOMの管理や脆弱性スキャンが重要。
소프트웨어 개발·배포 프로세스 전반의 의존 라이브러리 및 빌드 환경 등 공급망을 대상으로 한 보안 대책으로, SBOM 관리와 취약점 스캔이 핵심입니다.
組織が情報資産を保護するために策定するルールや方針の文書。アクセス制御・インシデント対応・パスワード管理などの基準を定め、全社員が遵守する義務がある。
조직이 정보 자산을 보호하기 위해 수립하는 규칙과 방침 문서. 접근 제어, 인시던트 대응, 패스워드 관리 등의 기준을 정의하며 전 직원이 준수해야 할 의무가 있다.
マルウェアの一種であるRansomwareによるファイル暗号化・身代金要求攻撃を防ぐための対策。バックアップ管理、EDR導入、ゼロトラスト設計が基本となる。
파일 암호화 및 금전 요구를 목적으로 하는 랜섬웨어 공격을 방지하기 위한 대응책. 백업 관리, EDR 도입, 제로 트러스트 설계가 핵심 요소이다.
法令・規制・社内ルールへの準拠を指す。ITでは個人情報保護法やISO規格への対応、セキュリティポリシーの遵守などが含まれる。
법령·규정·사내 규칙 준수를 의미한다. IT 분야에서는 개인정보보호법, ISO 규격 대응, 보안 정책 준수 등이 포함된다.
CDNなど外部から読み込むリソースが改ざんされていないか検証する仕組み。HTMLのintegrity属性にSRI(Subresource Integrity)ハッシュ値を指定して使用する。
CDN 등 외부에서 불러오는 리소스가 변조되지 않았는지 검증하는 메커니즘. HTML의 integrity 속성에 SRI 해시값을 지정하여 사용한다.
クラウド環境におけるID・アクセス権限を可視化・管理するセキュリティソリューション。過剰な権限の検出やリスク低減を自動化し、最小権限の原則を実現するために使用される。
클라우드 환경에서 ID 및 접근 권한을 시각화·관리하는 보안 솔루션. 과도한 권한 탐지 및 리스크 감소를 자동화하여 최소 권한 원칙을 구현하는 데 사용된다.
クラウド環境全体のセキュリティを体系的に設計する枠組み。IAM・暗号化・ネットワーク分離・ログ監視などを統合し、ゼロトラストの原則に基づいてリスクを最小化する設計思想。
클라우드 환경 전반의 보안을 체계적으로 설계하는 프레임워크. IAM·암호화·네트워크 분리·로그 모니터링 등을 통합하고, 제로 트러스트 원칙을 기반으로 리스크를 최소화하는 설계 사상.
JSONベースのオープン標準トークン形式。ヘッダー・ペイロード・署名の3部構成で、APIの認証・認可に広く使われる。サーバーレスでの状態管理が可能。
JSON 기반의 오픈 표준 토큰 형식. 헤더·페이로드·서명의 3부 구성으로, API 인증·인가에 널리 사용된다. 서버 측 세션 없이 상태 관리가 가능하다.
Webアプリケーションにおける最も重大なセキュリティリスクをまとめたOWASPの公式ガイドライン。SQLインジェクションやXSSなど10項目が定期的に更新される。
웹 애플리케이션에서 가장 심각한 보안 위험을 정리한 OWASP의 공식 가이드라인. SQL 인젝션, XSS 등 10가지 항목이 주기적으로 업데이트된다.
パスワードを使わずに生体認証・ハードウェアキー・マジックリンクなどで本人確認を行う認証方式。フィッシングやパスワード漏洩リスクを大幅に低減できる。
비밀번호 없이 생체 인증, 하드웨어 키, 매직 링크 등으로 본인을 확인하는 인증 방식. 피싱 및 비밀번호 유출 위험을 크게 줄일 수 있다.
OAuth 2.0を拡張したシンプルで標準的なID認証プロトコル。アクセストークンに加え「IDトークン」を発行することで、ユーザーの身元確認をセキュアに行える。
OAuth 2.0을 확장한 간단하고 표준적인 ID 인증 프로토콜. 액세스 토큰과 함께 'ID 토큰'을 발급함으로써 사용자의 신원 확인을 안전하게 수행할 수 있다.
偽サイトや詐欺メールでパスワード・個人情報を騙し取るフィッシング攻撃を防ぐための対策。多要素認証・メールフィルタリング・社員教育などが主な手段。
가짜 사이트나 사기 이메일로 비밀번호·개인정보를 탈취하는 피싱 공격을 방어하기 위한 대책. 다중 인증·이메일 필터링·직원 교육 등이 주요 수단이다.
透明なiframeを重ねることでユーザーに意図しないクリックをさせるUIを使ったWeb攻撃手法。X-Frame-Optionsヘッダーで対策できる。
투명한 iframe을 겹쳐 사용자가 의도치 않은 클릭을 하도록 유도하는 UI 기반 웹 공격 기법. X-Frame-Options 헤더로 대응할 수 있다.
SQLインジェクション対策として、クエリ内の変数部分をプレースホルダーに置き換え、値をバインドして実行する安全なDB操作手法。
SQL 인젝션 대책으로, 쿼리 내 변수 부분을 플레이스홀더로 대체하고 값을 바인딩하여 실행하는 안전한 DB 조작 기법입니다.
単一の防御策に頼らず、複数のセキュリティ層を重ねてシステムを守る設計思想。一層が突破されても次の層で防御できる多重防護の考え方。
단일 방어에 의존하지 않고, 여러 보안 계층을 겹쳐서 시스템을 보호하는 설계 사상. 한 계층이 뚫려도 다음 계층에서 방어할 수 있는 다중 방호 개념.
カメラで撮影した顔の特徴点をAIで解析し、本人確認を行う生体認証技術。スマートフォンのロック解除やオフィス入退室管理などに広く活用される。
카메라로 촬영한 얼굴의 특징점을 AI로 분석하여 본인 확인을 수행하는 생체 인증 기술. 스마트폰 잠금 해제나 사무실 출입 관리 등에 널리 활용된다.
攻撃者が侵入後、同一ネットワーク内で権限昇格や他システムへの横断的移動を行う手法。内部拡散とも呼ばれ、APT攻撃で多用される。
공격자가 침입 후 동일 네트워크 내에서 권한 상승이나 다른 시스템으로 횡적 이동을 수행하는 기법. 내부 확산이라고도 하며 APT 공격에서 자주 활용된다.
公開鍵暗号方式を用いてデータの送信者を認証し、改ざんを検知する仕組み。電子文書の真正性・完全性・否認防止を保証するために利用される。
공개키 암호화 방식을 사용하여 데이터 송신자를 인증하고 위변조를 감지하는 기술. 전자 문서의 진정성·무결성·부인 방지를 보장하기 위해 활용된다.
macOSやiOSが提供するパスワード・証明書・トークンなどの機密情報を安全に保存・管理する仕組み。アプリ間での資格情報の共有やSSL証明書の管理にも使われる。
macOS 및 iOS에서 제공하는 패스워드, 인증서, 토큰 등의 민감한 정보를 안전하게 저장·관리하는 체계. 앱 간 자격 증명 공유나 SSL 인증서 관리에도 활용된다.
個人を特定できる情報を仮名に置き換えるデータ保護技術。GDPRなどの規制対応で活用され、元データへの再識別には追加情報が必要となる。
개인을 식별할 수 있는 정보를 가명으로 대체하는 데이터 보호 기술. GDPR 등 규정 준수에 활용되며, 원본 데이터 재식별에는 추가 정보가 필요하다.
Webアプリケーションへの不正アクセスを防ぐファイアウォール。SQLインジェクションやXSSなどの攻撃を検知・遮断し、アプリケーション層(L7)でトラフィックをフィルタリングする。
웹 애플리케이션에 대한 비정상적인 접근을 차단하는 방화벽. SQL 인젝션, XSS 등의 공격을 탐지·차단하며 애플리케이션 계층(L7)에서 트래픽을 필터링한다.
SSL/TLS証明書などのデジタル証明書の発行・更新・失効・保管を一元管理するプロセス。有効期限切れによる障害防止やコンプライアンス対応に不可欠な運用管理。
SSL/TLS 인증서 등 디지털 인증서의 발급·갱신·폐기·보관을 통합 관리하는 프로세스. 유효기간 만료로 인한 장애 방지 및 컴플라이언스 대응에 필수적인 운영 관리.
Application Security Posture Management。アプリケーション開発ライフサイクル全体のセキュリティリスクを統合管理し、SAST・DAST・SCA等の結果を集約して優先順位付けするプラットフォーム。
애플리케이션 개발 라이프사이클 전반의 보안 리스크를 통합 관리하고, SAST·DAST·SCA 등의 결과를 집약하여 우선순위를 부여하는 플랫폼.
ユーザーが意図しないリンクやボタンをクリックさせる攻撃(Clickjacking)を防ぐ対策。X-Frame-OptionsヘッダやCSPのframe-ancestorsで制御する。
사용자가 의도하지 않은 링크나 버튼을 클릭하도록 유도하는 클릭재킹 공격을 방지하는 대책. X-Frame-Options 헤더나 CSP의 frame-ancestors 지시어로 제어한다.
Zero Trust Network Accessの略。VPNのようにネットワーク全体へのアクセスを許可するのではなく、ユーザーのIDやデバイスの状態を検証し、許可された特定のアプリケーションにのみアクセスさせるセキュリティ技術。
Zero Trust Network Access의 약자. VPN처럼 네트워크 전체에 대한 접근을 허용하는 것이 아니라, 사용자의 ID나 디바이스 상태를 검증하고 허용된 특정 애플리케이션에만 접근하게 하는 보안 기술.
マルウェアに感染した多数のコンピュータ(ボット)をネットワーク化し、攻撃者がリモートで制御できる状態にした集合体。DDoS攻撃やスパム送信などに悪用される。
악성코드에 감염된 다수의 컴퓨터(봇)를 네트워크화하여 공격자가 원격으로 제어할 수 있는 상태로 만든 집합체. DDoS 공격이나 스팸 발송 등에 악용된다.
開発プロセスの早い段階(左側)からセキュリティ対策を組み込む考え方。脆弱性を後工程で発見するよりコストを大幅に削減できる。DevSecOpsの中核概念。
개발 프로세스의 초기 단계(왼쪽)부터 보안 대책을 통합하는 개념. 취약점을 후반 공정에서 발견하는 것보다 비용을 크게 절감할 수 있으며, DevSecOps의 핵심 개념이다.
システムやアプリケーションの脆弱性を発見・評価するためのテスト手法。ペネトレーションテストや脆弱性スキャンなどが含まれ、リリース前の必須工程とされる。
시스템이나 애플리케이션의 취약점을 발견하고 평가하기 위한 테스트 기법. 침투 테스트, 취약점 스캔 등이 포함되며, 릴리스 전 필수 과정으로 간주된다.
クレジットカード情報を扱うシステムに求められる国際セキュリティ基準(PCI DSS)への準拠対応。カード会員データの保護・暗号化・アクセス制御などが要件に含まれる。
신용카드 정보를 다루는 시스템에 요구되는 국제 보안 표준(PCI DSS) 준수 대응. 카드 회원 데이터 보호, 암호화, 접근 제어 등이 요건에 포함된다.
複数の端末から特定サーバーに大量のリクエストを送りつけ、サービスを停止させる分散型サービス拒否攻撃。Webサービスの可用性を脅かす代表的な攻撃手法。
여러 단말기에서 특정 서버로 대량의 요청을 보내 서비스를 마비시키는 분산 서비스 거부 공격. 웹 서비스의 가용성을 위협하는 대표적인 공격 기법.
Security Information and Event Managementの略。複数のシステムからログやイベントを収集・分析し、セキュリティ脅威をリアルタイムで検知・管理するプラットフォーム。
Security Information and Event Management의 약자. 여러 시스템에서 로그와 이벤트를 수집·분석하여 보안 위협을 실시간으로 탐지·관리하는 플랫폼.
ユーザーやシステムに対して、業務遂行に必要な最低限の権限のみを付与するセキュリティ設計の原則。PoLPとも呼ばれ、不正アクセスや内部脅威のリスク低減に有効。
사용자나 시스템에 업무 수행에 필요한 최소한의 권한만 부여하는 보안 설계 원칙. PoLP라고도 하며, 불법 접근 및 내부 위협 리스크 감소에 효과적이다.
暗号鍵のライフサイクル(生成・配布・保管・失効・破棄)を一元管理するシステム。KMSとも呼ばれ、AWS KMSやHashiCorp Vaultが代表例。
암호화 키의 라이프사이클(생성·배포·보관·폐기)을 중앙에서 관리하는 시스템. KMS라고도 불리며, AWS KMS나 HashiCorp Vault가 대표적인 예시이다.
Lightweight Directory Access Protocolの略。ネットワーク上のユーザーやリソース情報を管理・検索するためのプロトコルで、Active DirectoryなどのディレクトリサービスにアクセスするためにIT企業で広く利用される。
Lightweight Directory Access Protocol의 약자. 네트워크상의 사용자 및 리소스 정보를 관리·검색하기 위한 프로토콜로, Active Directory 등 디렉터리 서비스에 접근하기 위해 IT 기업에서 널리 활용된다.
ソフトウェア開発のCI/CDパイプラインにおいて、脆弱性スキャンやコードレビューなどのセキュリティチェックをパスしないと次工程に進めない仕組み。
소프트웨어 개발의 CI/CD 파이프라인에서 취약점 스캔이나 코드 리뷰 등의 보안 검사를 통과하지 못하면 다음 단계로 진행할 수 없는 구조.
既知のシグネチャに頼らず、アナリストが能動的にネットワーク内の潜在的脅威や侵害の痕跡を探索・検出するセキュリティ活動。
알려진 시그니처에 의존하지 않고, 분석가가 능동적으로 네트워크 내 잠재적 위협이나 침해 흔적을 탐색·검출하는 보안 활동.
CIS(Center for Internet Security)が策定したサイバーセキュリティのベストプラクティス集。優先度順に並んだ18の管理策で構成され、組織のセキュリティ対策の基盤として広く活用される。
CIS(Center for Internet Security)가 수립한 사이버 보안 모범 사례 모음으로, 우선순위에 따라 정렬된 18개의 관리 항목으로 구성되어 있으며 조직의 보안 대책 기반으로 널리 활용된다.
Azureが提供するクラウドセキュリティ管理サービス。マルチクラウド・ハイブリッド環境の脅威検出、脆弱性評価、セキュリティスコア可視化を統合的に行う。
Azure가 제공하는 클라우드 보안 관리 서비스로, 멀티 클라우드 및 하이브리드 환경에서 위협 탐지, 취약점 평가, 보안 점수 시각화를 통합적으로 수행한다.
ソフトウェアやスクリプトに電子署名を付与し、発行者の正当性と改ざんされていないことを証明する技術。配布時の信頼性確保に使われる。
소프트웨어나 스크립트에 전자 서명을 부여하여 배포자의 정당성과 변조 여부를 증명하는 기술로, 배포 시 신뢰성 확보에 활용된다.
悪意あるスクリプトをWebページに埋め込み、閲覧ユーザーのブラウザ上で実行させる攻撃手法。XSSと略され、セッションハイジャックや情報漏洩の原因となる。
악의적인 스크립트를 웹 페이지에 삽입하여 열람 사용자의 브라우저에서 실행시키는 공격 기법. XSS로 약칭되며, 세션 하이재킹이나 정보 유출의 원인이 된다.
USBや NFC などの物理デバイスを使った認証手段。フィッシング耐性が高く、FIDO2/WebAuthn規格に対応したものが企業導入で広く使われる。
USB나 NFC 등의 물리적 장치를 이용한 인증 수단. 피싱 저항성이 높으며, FIDO2/WebAuthn 규격을 지원하는 제품이 기업 환경에서 널리 도입되고 있다.
インターネットと内部ネットワークの間に設ける中間ネットワーク領域。Webサーバやメールサーバなど外部公開サービスを配置し、内部ネットワークへの直接アクセスを防ぐ。
인터넷과 내부 네트워크 사이에 설정하는 중간 네트워크 영역. 웹 서버나 메일 서버 등 외부 공개 서비스를 배치하여 내부 네트워크로의 직접 접근을 차단한다.
悪意のある目的で作られたソフトウェアの総称。ウイルス、ランサムウェア、スパイウェアなどが含まれ、システムへの不正アクセスやデータ窃取を引き起こす。
악의적인 목적으로 제작된 소프트웨어의 총칭. 바이러스, 랜섬웨어, 스파이웨어 등이 포함되며, 시스템 무단 접근이나 데이터 탈취를 일으킨다.
組織のセキュリティ防御を担うチーム。侵入検知・ログ監視・インシデント対応などを通じて、Red Teamの攻撃からシステムを守る役割を持つ。
조직의 보안 방어를 담당하는 팀. 침입 탐지, 로그 모니터링, 인시던트 대응 등을 통해 Red Team의 공격으로부터 시스템을 보호하는 역할을 한다.
Key Management Serviceの略。暗号化キーの生成・管理・ローテーションを一元的に行うサービス。AWSやGCPなどのクラウドプロバイダーが提供し、データ保護とコンプライアンス対応に活用される。
Key Management Service의 약자. 암호화 키의 생성·관리·로테이션을 일원화하여 처리하는 서비스. AWS, GCP 등 클라우드 프로바이더가 제공하며, 데이터 보호 및 컴플라이언스 대응에 활용된다.
組織がシステムやデータを保護するために定めた規則・ガイドライン。アクセス制御、パスワード要件、インシデント対応手順などを含む。
조직이 시스템과 데이터를 보호하기 위해 정의한 규칙 및 가이드라인. 접근 제어, 비밀번호 요건, 인시던트 대응 절차 등을 포함한다.
量子コンピュータによる攻撃にも耐えられる暗号技術。現行のRSAや楕円曲線暗号が量子解読されるリスクに備え、NIST標準化が進む次世代暗号方式。
양자 컴퓨터의 공격에도 견딜 수 있는 암호 기술. 기존 RSA 및 타원 곡선 암호가 양자 해독될 위험에 대비해 NIST 표준화가 진행 중인 차세대 암호 방식.
実際の攻撃者を模倣した専門チームが、組織のシステムやプロセスに対して実践的な侵入テストや攻撃シミュレーションを行うセキュリティ演習。
실제 공격자를 모방한 전문 팀이 조직의 시스템과 프로세스에 대해 실전적인 침투 테스트 및 공격 시뮬레이션을 수행하는 보안 훈련.
クラウド環境などにおいて、データを「保存時」「通信時」だけでなく、メモリ上で「処理中(使用中)」の段階でもハードウェアレベルの暗号化領域(TEE)を用いて隔離・保護するセキュリティ技術。
클라우드 환경 등에서 데이터를 '저장 시', '통신 시'뿐만 아니라, 메모리상에서 '처리 중(사용 중)'인 단계에서도 하드웨어 수준의 암호화 영역(TEE)을 이용해 격리·보호하는 보안 기술.
公開鍵と秘密鍵のペアを使う非対称暗号方式。公開鍵で暗号化したデータは対応する秘密鍵でのみ復号できる。TLSやSSHなど多くのセキュリティプロトコルの基盤技術。
공개키와 개인키 쌍을 사용하는 비대칭 암호화 방식. 공개키로 암호화한 데이터는 대응하는 개인키로만 복호화할 수 있으며, TLS·SSH 등 많은 보안 프로토콜의 기반 기술이다.
MTTD(平均検知時間)を短縮すること。インシデント発生から検知までの時間を短くすることで、被害の最小化やシステム復旧の迅速化を図る取り組み。
MTTD(평균 탐지 시간)를 단축하는 것. 인시던트 발생부터 탐지까지의 시간을 줄여 피해 최소화 및 시스템 복구 신속화를 도모하는 활동.
人間のユーザーではなく、アプリケーションやサービスが他のリソースやAPIにアクセスする際に使用する専用アカウント。権限を最小限に絞って運用するのがセキュリティのベストプラクティス。
사람이 아닌 애플리케이션이나 서비스가 다른 리소스나 API에 접근할 때 사용하는 전용 계정입니다. 최소 권한 원칙에 따라 운용하는 것이 보안 모범 사례입니다.
情報セキュリティマネジメントシステム(ISMS)の国際規格。組織の情報資産を守るためのリスク管理体制を定義し、認証取得により取引先への信頼性証明に活用される。
정보 보안 관리 시스템(ISMS)의 국제 표준 규격. 조직의 정보 자산을 보호하기 위한 리스크 관리 체계를 정의하며, 인증 취득을 통해 거래처에 신뢰성을 증명하는 데 활용된다.
複数の踏み台ホストから大量のリクエストを送りつけてサービスを停止させるDDoS攻撃を防ぐための技術・運用対策の総称。WAFやCDN、レートリミットなどが活用される。
다수의 좀비 호스트에서 대량의 요청을 보내 서비스를 마비시키는 DDoS 공격을 방어하기 위한 기술 및 운영 대책의 총칭. WAF, CDN, 레이트 리밋 등이 활용된다.
CPUやSoCに組み込まれた隔離された安全実行領域。暗号鍵や生体認証データを保護し、メインOSからもアクセス不可能な環境でセキュアな処理を行う。
CPU나 SoC에 내장된 격리된 보안 실행 영역. 암호화 키나 생체 인증 데이터를 보호하며, 메인 OS에서도 접근 불가능한 환경에서 보안 처리를 수행한다.
クラウド環境でアプリやサービスなどのワークロードに対してIDを付与し、人間のユーザーを介さずにリソースへ安全にアクセスできる認証・認可の仕組み。
클라우드 환경에서 앱이나 서비스 등의 워크로드에 ID를 부여하여, 사람이 개입하지 않고 리소스에 안전하게 접근할 수 있는 인증·인가 메커니즘.
個人データの収集・処理を目的達成に必要な最小限に留める原則。GDPRなどのプライバシー法規制において重要な要件とされており、不要なデータ保持によるリスクを低減する。
개인 데이터의 수집·처리를 목적 달성에 필요한 최소한으로 제한하는 원칙. GDPR 등 개인정보 보호 법규에서 중요한 요건으로, 불필요한 데이터 보유로 인한 리스크를 줄인다.
暗号化や厳格なアクセス制御によってデータを安全に保管する仕組み。パスワード・APIキー・個人情報などの機密データを保護する目的で使われる。
암호화 및 엄격한 접근 제어를 통해 데이터를 안전하게 보관하는 구조. 비밀번호, API 키, 개인정보 등 민감한 데이터를 보호하는 목적으로 사용된다.
エンドポイント・ネットワーク・クラウドなど複数のセキュリティレイヤーからデータを統合し、脅威の検出・調査・対応を一元化するセキュリティソリューション。EDRを拡張した概念。
엔드포인트·네트워크·클라우드 등 여러 보안 레이어의 데이터를 통합하여 위협 탐지·조사·대응을 일원화하는 보안 솔루션. EDR을 확장한 개념.
指紋・顔・虹彩・声紋など人体の生体情報を用いた認証方式。パスワード不要で高いセキュリティと利便性を両立し、スマートフォンや入退室管理システムに広く採用されている。
지문, 얼굴, 홍채, 성문 등 신체의 생체 정보를 이용한 인증 방식. 비밀번호 없이도 높은 보안성과 편의성을 동시에 실현하며, 스마트폰과 출입 관리 시스템에 널리 활용된다.
Webアプリケーションで、HTMLやJavaScriptなどに動的な値を出力する際に特殊文字を無害化する処理。XSS攻撃を防ぐための基本的なセキュリティ対策。
웹 애플리케이션에서 HTML이나 JavaScript 등에 동적 값을 출력할 때 특수 문자를 무해하게 변환하는 처리. XSS 공격을 방지하기 위한 기본적인 보안 대책.
動的アプリケーションセキュリティテスト(DAST)は、実行中のアプリケーションに対して外部から攻撃をシミュレートし、脆弱性を検出するテスト手法。
동적 애플리케이션 보안 테스트(DAST)는 실행 중인 애플리케이션에 외부에서 공격을 시뮬레이션하여 취약점을 탐지하는 테스트 기법입니다.
一般ユーザーが管理者権限などより高い権限を取得するプロセス。正規の操作(sudoなど)と、脆弱性を悪用した不正な昇格の両方を指す。
일반 사용자가 관리자 권한 등 더 높은 권한을 획득하는 프로세스. sudo 같은 정상적인 조작과 취약점을 악용한 불법적인 권한 상승 모두를 가리킨다.
攻撃者が正規ユーザーのセッションIDを盗み取り、認証済みセッションに不正に割り込む攻撃手法。Cookieの盗聴やXSSなどを悪用される。
공격자가 정상 사용자의 세션 ID를 탈취하여 인증된 세션에 불법으로 침입하는 공격 기법. 쿠키 도청이나 XSS 등을 악용한다.
HTTPレスポンスヘッダーにセキュリティ関連の設定を追加する対策。XSS・クリックジャッキング・MIMEスニッフィングなどの攻撃を防ぐためにContent-Security-PolicyやX-Frame-Optionsなどを設定する。
HTTP 응답 헤더에 보안 관련 설정을 추가하는 보안 조치. XSS·클릭재킹·MIME 스니핑 등의 공격을 방지하기 위해 Content-Security-Policy나 X-Frame-Options 등을 설정한다.
従業員がサイバー攻撃やフィッシング、情報漏洩などのリスクを理解し、適切に対処できるよう実施する組織的な教育・研修活動のこと。
직원들이 사이버 공격, 피싱, 정보 유출 등의 위험을 이해하고 적절히 대처할 수 있도록 실시하는 조직적인 교육·연수 활동.
Dockerなどのコンテナ環境における脆弱性管理・アクセス制御・イメージスキャンなどのセキュリティ対策の総称。CI/CDパイプラインへの組み込みが推奨される。
Docker 등 컨테이너 환경에서의 취약점 관리, 접근 제어, 이미지 스캔 등 보안 대책의 총칭. CI/CD 파이프라인에 통합하는 것이 권장된다.
パスワードハッシュ化アルゴリズムの一種。2015年のPassword Hashing Competitionで優勝し、メモリコスト・時間コスト・並列性を調整できる高い耐ブルートフォース性が特徴。
패스워드 해시 알고리즘의 일종으로, 2015년 Password Hashing Competition에서 우승했습니다. 메모리 비용, 시간 비용, 병렬성을 조정할 수 있어 브루트포스 공격에 강한 것이 특징입니다.
セキュリティ研究者が発見した脆弱性を、ベンダーに修正期間を与えてから公開する慣行。CVDとも呼ばれ、悪用リスクを最小化しながら透明性を確保するプロセス。
보안 연구자가 발견한 취약점을 벤더에게 수정 기간을 준 뒤 공개하는 관행. CVD라고도 불리며, 악용 위험을 최소화하면서 투명성을 확보하는 프로세스.
「何も信頼しない」を前提とするセキュリティモデル。社内外問わず全アクセスを常に検証・認証し、最小権限の原則に基づいてリソースへのアクセスを制御する考え方。
'아무것도 신뢰하지 않는다'는 전제를 기반으로 한 보안 모델. 내부·외부 불문하고 모든 접근을 항상 검증·인증하며, 최소 권한 원칙에 따라 리소스 접근을 제어하는 개념.
ユーザーやシステムの認証・認可を一元管理する仕組み。誰が何にアクセスできるかを制御し、最小権限の原則に基づいてリソースへのアクセスを管理する。
사용자 및 시스템의 인증·인가를 중앙에서 관리하는 체계. 누가 무엇에 접근할 수 있는지를 제어하며, 최소 권한 원칙에 따라 리소스 접근을 관리한다.
Webアプリケーションにおけるクロスサイトスクリプティング(XSS)攻撃を防ぐための実装。入力値のサニタイズ、出力エスケープ、CSPヘッダー設定などが主な対策手法。
웹 애플리케이션에서 XSS 공격을 방지하기 위한 구현 방법. 입력값 새니타이징, 출력 이스케이프, CSP 헤더 설정 등이 주요 대응 기법이다.
「何も信頼しない」を原則とするセキュリティモデル。社内外を問わず全アクセスを検証し、最小権限でリソースへのアクセスを制御するZTA設計思想。
'아무것도 신뢰하지 않는다'는 원칙의 보안 모델. 내부·외부 구분 없이 모든 접근을 검증하고, 최소 권한으로 리소스 접근을 제어하는 ZTA 설계 사상.
デジタル通信において身元や公開鍵の正当性を保証する電子文書。SSL/TLS証明書やクライアント証明書など、HTTPS通信やユーザー認証に広く利用される。
디지털 통신에서 신원이나 공개 키의 정당성을 보증하는 전자 문서. SSL/TLS 인증서나 클라이언트 인증서 등, HTTPS 통신 및 사용자 인증에 널리 활용된다.
認証や認可に使われる一時的な文字列データ。JWTやOAuthのアクセストークンとして利用され、ユーザーの識別やAPIアクセス権限の検証に使われる。
인증 및 인가에 사용되는 임시 문자열 데이터. JWT나 OAuth의 액세스 토큰으로 활용되며, 사용자 식별 및 API 접근 권한 검증에 사용된다.
通信する2者の間に攻撃者が割り込み、双方に気づかれないまま通信内容を盗聴・改ざんする攻撃手法。MitM攻撃とも呼ばれる。
통신하는 두 당사자 사이에 공격자가 끼어들어, 양측이 눈치채지 못한 채로 통신 내용을 도청·변조하는 공격 기법. MitM 공격이라고도 불린다.
米国立標準技術研究所(NIST)が策定したサイバーセキュリティ対策の枠組み。識別・防御・検知・対応・復旧の5機能で構成され、組織のリスク管理に活用される。
미국 국립표준기술연구소(NIST)가 수립한 사이버보안 대책 프레임워크. 식별·보호·탐지·대응·복구의 5가지 기능으로 구성되며, 조직의 리스크 관리에 활용된다.
パスワードを一方向性の暗号化関数(ハッシュ関数)で変換した値。bcryptやArgon2などを使いDB保存時に平文を残さないセキュリティ手法。
패스워드를 단방향 암호화 함수(해시 함수)로 변환한 값. bcrypt나 Argon2 등을 사용해 DB 저장 시 평문을 남기지 않는 보안 기법.
Intrusion Prevention Systemの略。ネットワーク上の不正アクセスや攻撃をリアルタイムで検知し、自動的にブロックするセキュリティシステム。IDSの検知機能に加え遮断機能を持つ。
Intrusion Prevention System의 약자. 네트워크상의 불법 접근이나 공격을 실시간으로 탐지하고 자동으로 차단하는 보안 시스템. IDS의 탐지 기능에 더해 차단 기능을 갖춘다.
複数の異なる組織やシステム間で、ユーザー認証情報を共有・連携する仕組み。SAMLやOIDCなどのプロトコルを使い、シングルサインオンを実現する。
서로 다른 여러 조직이나 시스템 간에 사용자 인증 정보를 공유·연계하는 구조. SAML이나 OIDC 등의 프로토콜을 활용해 싱글 사인온(SSO)을 구현한다.
米国サーベンス・オクスリー法(SOX)に基づき、上場企業が財務報告の信頼性確保と内部統制の整備・評価を義務付けられた対応のこと。ITシステムへのアクセス管理やログ監査が重要。
미국 사베인스-옥슬리법(SOX)에 따라 상장기업이 재무보고의 신뢰성 확보와 내부통제 정비·평가를 의무적으로 수행해야 하는 대응으로, IT 시스템 접근 관리 및 로그 감사가 핵심입니다.
Public Key Infrastructureの略。デジタル証明書と公開鍵暗号を用いて、通信の認証・暗号化・署名を管理するための仕組みや体系全体を指す。
Public Key Infrastructure의 약자. 디지털 인증서와 공개 키 암호화를 사용하여 통신의 인증·암호화·서명을 관리하는 구조 및 체계 전반을 가리킨다.
ファイル・ディレクトリ・リソースなどに対するアクセス権限のこと。読み取り・書き込み・実行の権限をユーザーやグループ単位で設定し、システムのセキュリティを管理する。
파일, 디렉토리, 리소스 등에 대한 접근 권한을 의미한다. 읽기·쓰기·실행 권한을 사용자 및 그룹 단위로 설정하여 시스템 보안을 관리한다.
SQLインジェクション攻撃を防ぐための対策。プリペアドステートメントやバインド変数の使用、入力値のバリデーション・エスケープ処理が基本手法となる。
SQL 인젝션 공격을 방지하기 위한 대응책. 준비된 구문(Prepared Statement)과 바인드 변수 사용, 입력값 유효성 검사 및 이스케이프 처리가 기본 방법이다.
システムやネットワークに対して実際の攻撃を模擬し、脆弱性を発見・評価するセキュリティ検査手法。ペンテストとも呼ばれる。
시스템이나 네트워크에 대해 실제 공격을 모의하여 취약점을 발견하고 평가하는 보안 검사 기법으로, 펜테스트라고도 불린다.
レッドチーム(攻撃側)とブルーチーム(防御側)が連携・協力してセキュリティの改善を行う手法。両者の知見を融合し、実践的な防御力強化を目指す。
레드팀(공격 측)과 블루팀(방어 측)이 연계·협력하여 보안을 개선하는 기법. 양측의 지식을 융합해 실질적인 방어력 강화를 목표로 한다.
アプリの開発者を証明し、改ざんを防ぐためにデジタル署名を付与する仕組み。iOSはApple、AndroidはGoogle Playによる署名管理が必要。
앱 개발자를 증명하고 위변조를 방지하기 위해 디지털 서명을 부여하는 방식. iOS는 Apple, Android는 Google Play를 통한 서명 관리가 필요합니다.
ネットワークトラフィックの許可・拒否条件を定義した設定。送信元IP、宛先IP、ポート番号などを基に通信を制御し、不正アクセスを防ぐ。
네트워크 트래픽의 허용·차단 조건을 정의한 설정입니다. 출발지 IP, 목적지 IP, 포트 번호 등을 기반으로 통신을 제어하여 불법 접근을 방지합니다.
Policy-Based Access Control(ポリシーベースアクセス制御)。企業のビジネスルールやコンプライアンス要件をロジック(ポリシー)として記述し、それに基づいてアクセス可否を一元的に判定する手法。
Policy-Based Access Control(정책 기반 접근 제어). 기업의 비즈니스 규칙이나 컴플라이언스 요건을 로직(정책)으로 작성하고, 이를 기반으로 접근 가능 여부를 일원적으로 판정하는 기법.
APIキー・パスワード・証明書などの機密情報を安全に保存・配布・ローテーションする仕組み。HashiCorp VaultやAWS Secrets Managerなどのツールが広く使われる。
API 키, 패스워드, 인증서 등의 기밀 정보를 안전하게 저장·배포·교체하는 구조. HashiCorp Vault나 AWS Secrets Manager 등의 툴이 널리 활용된다.
パスワードや暗号鍵を総当たりで試みる攻撃手法。すべての組み合わせを機械的に試すため、複雑なパスワード設定やアカウントロック機能による対策が必要。
비밀번호나 암호화 키를 무차별적으로 대입해보는 공격 기법. 가능한 모든 조합을 기계적으로 시도하므로, 복잡한 비밀번호 설정과 계정 잠금 기능으로 대응이 필요하다.
Security Operations Centerの略。組織のセキュリティ監視・分析・対応を一元管理する専門チームまたは施設。24時間365日体制でサイバー脅威を検知・対処する。
Security Operations Center의 약자. 조직의 보안 모니터링·분석·대응을 일원화하여 관리하는 전문 팀 또는 시설. 24시간 365일 체제로 사이버 위협을 탐지하고 대처한다.
個人情報保護法(PIPA)に基づき、個人データの収集・利用・管理を適法に行うための技術的・組織的対策を実施すること。
개인정보보호법(PIPA)에 따라 개인 데이터의 수집·이용·관리를 적법하게 수행하기 위한 기술적·조직적 대책을 시행하는 것.
Cloud Security Posture Managementの略。AWSやGCPなどのクラウドリソースの設定ミスやコンプライアンス違反を自動で検知・可視化し、セキュリティリスクを低減するツール。
Cloud Security Posture Management의 약자. AWS나 GCP 등 클라우드 리소스의 설정 오류나 컴플라이언스 위반을 자동으로 탐지·시각화하여 보안 리스크를 줄이는 도구.
JSON Web Key Setの略。JWTの署名検証に必要な公開鍵のセットをJSON形式で提供する仕組み。IdPがエンドポイント(/.well-known/jwks.jsonなど)で公開し、クライアントが鍵を自動取得するために使う。
JSON Web Key Set의 약자. JWT의 서명 검증에 필요한 공개키 세트를 JSON 형식으로 제공하는 구조. IdP가 엔드포인트(/.well-known/jwks.json 등)에 공개하여, 클라이언트가 키를 자동 획득하기 위해 사용한다.
一度の認証で複数のシステムやサービスにアクセスできる仕組み。ユーザーの利便性向上とパスワード管理コスト削減に効果的。略称はSSO。
한 번의 인증으로 여러 시스템 및 서비스에 접근할 수 있는 구조. 사용자 편의성 향상과 비밀번호 관리 비용 절감에 효과적이며, 약칭은 SSO.
ネットワーク上のコンテンツを検査し、有害・不適切なWebサイトやファイルへのアクセスをブロックするセキュリティ技術。企業のポリシー管理やマルウェア対策に活用される。
네트워크상의 콘텐츠를 검사하여 유해하거나 부적절한 웹사이트 및 파일 접근을 차단하는 보안 기술로, 기업 정책 관리 및 악성코드 대책에 활용된다.
管理者権限など高い権限を持つアカウントのアクセスを一元管理・監視する仕組み。PAMとも呼ばれ、特権アカウントの不正利用や内部脅威を防ぐために導入される。
관리자 권한 등 높은 권한을 가진 계정의 접근을 중앙에서 관리·모니터링하는 체계. PAM이라고도 불리며, 특권 계정의 부정 사용 및 내부 위협을 방지하기 위해 도입된다.
パッチや修正プログラムが存在しない未知の脆弱性(Zero-day)が発見された際に、被害を最小限に抑えるための緊急対応・暫定措置の実施プロセス。
패치나 수정 프로그램이 존재하지 않는 미지의 취약점(Zero-day)이 발견되었을 때, 피해를 최소화하기 위한 긴급 대응 및 임시 조치 실행 프로세스.
Mobile Device Managementの略。スマートフォンやタブレットなど企業のモバイル端末を一元管理し、セキュリティポリシーの適用やリモートワイプなどを行う仕組み。
Mobile Device Management의 약자. 스마트폰이나 태블릿 등 기업의 모바일 단말기를 일원화하여 관리하고, 보안 정책 적용 및 원격 초기화 등을 수행하는 체계.
米国国立標準技術研究所。情報セキュリティのフレームワーク(NIST CSF)やガイドライン(SP 800シリーズ)を策定し、世界標準として広く参照される機関。
미국 국립표준기술연구소. 정보 보안 프레임워크(NIST CSF)와 가이드라인(SP 800 시리즈)을 수립하며, 전 세계 보안 표준으로 널리 참조되는 기관.
Role-Based Access Controlの略。ユーザーに役割(ロール)を割り当て、そのロールに基づいてリソースへのアクセス権限を管理する仕組み。最小権限の原則を実現しやすい。
Role-Based Access Control의 약자. 사용자에게 역할(롤)을 할당하고, 그 역할에 따라 리소스 접근 권한을 관리하는 방식. 최소 권한 원칙을 구현하기 쉽다.
MicrosoftのクラウドネイティブなSIEM/SOARサービス。ログの収集・分析・脅威検知・インシデント対応を一元管理し、AIを活用したセキュリティ監視を提供する。
Microsoft의 클라우드 네이티브 SIEM/SOAR 서비스. 로그 수집·분석·위협 탐지·인시던트 대응을 일원화하여 관리하며, AI를 활용한 보안 모니터링을 제공한다.
サーバーが発行したトークン(主にJWT)をクライアントが保持し、リクエスト時にヘッダーへ付与することで認証を行う仕組み。セッション管理不要でステートレスなAPI認証に広く使われる。
서버가 발급한 토큰(주로 JWT)을 클라이언트가 보유하고, 요청 시 헤더에 첨부하여 인증을 수행하는 방식. 세션 관리가 불필요하며 스테이트리스한 API 인증에 널리 사용된다.
「信頼しない、常に検証する」原則に基づくネットワークアクセス制御モデル。ユーザーや端末の場所を問わず、アクセスのたびに認証・認可を行いZTNAとも呼ばれる。
'신뢰하지 않고 항상 검증한다'는 원칙에 기반한 네트워크 액세스 제어 모델. 사용자나 단말의 위치에 관계없이 접근할 때마다 인증 및 인가를 수행하며 ZTNA라고도 불린다.
現在時刻とシークレットキーを組み合わせて生成する一時的なパスワード。TOTP(RFC 6238)として標準化されており、30秒ごとに更新される6〜8桁の数字が使われる。二要素認証で広く採用。
현재 시각과 시크릿 키를 조합하여 생성하는 임시 비밀번호. TOTP(RFC 6238)로 표준화되어 있으며, 30초마다 갱신되는 6~8자리 숫자가 사용된다. 이중 인증에서 널리 채택되고 있다.
ユーザーのアイデンティティを最初のセキュリティ境界として扱うアプローチ。IDaaS・MFA・ゼロトラストと組み合わせ、認証・認可を中心にセキュリティポリシーを設計する考え方。
사용자 아이덴티티를 최초의 보안 경계로 취급하는 접근 방식. IDaaS·MFA·제로 트러스트와 결합하여 인증·인가를 중심으로 보안 정책을 설계하는 개념.
Chief Information Security Officerの略。企業の情報セキュリティ戦略を統括する最高責任者で、リスク管理・セキュリティポリシー策定・インシデント対応の指揮を担う。
Chief Information Security Officer의 약자. 기업의 정보 보안 전략을 총괄하는 최고 책임자로, 리스크 관리, 보안 정책 수립, 인시던트 대응 지휘를 담당한다.
Demonstrating Proof of Possessionの略。アクセストークンを特定のクライアントに紐付けるOAuth拡張仕様。トークン盗難・再利用攻撃を防ぎ、トークンバインディングを実現する。
Demonstrating Proof of Possession의 약자. 액세스 토큰을 특정 클라이언트에 연결하는 OAuth 확장 사양. 토큰 도용 및 재사용 공격을 방지하고 토큰 바인딩을 실현한다.
組織が外部から攻撃される可能性のあるすべての露出ポイントを継続的に発見・評価・管理するプロセス。ASMとも呼ばれ、シャドーITや未把握資産の可視化にも有効。
조직이 외부에서 공격받을 수 있는 모든 노출 지점을 지속적으로 발견·평가·관리하는 프로세스. ASM이라고도 하며, 섀도 IT 및 미파악 자산의 가시화에도 효과적이다.
システムやネットワークに対して組織が定める最低限のセキュリティ基準。設定値やポリシーの標準として使用し、コンプライアンス対応や脆弱性管理の基盤となる。
시스템이나 네트워크에 대해 조직이 정하는 최소한의 보안 기준. 설정값과 정책의 표준으로 사용되며, 컴플라이언스 대응과 취약점 관리의 기반이 된다.
APIキーやパスワードなど、システムが使用する機密情報の総称。ソースコードへの直接埋め込みを避け、環境変数やシークレット管理サービスで安全に管理するのが基本。
API 키나 패스워드 등 시스템이 사용하는 기밀 정보의 총칭. 소스 코드에 직접 포함시키지 않고, 환경 변수나 시크릿 관리 서비스를 통해 안전하게 관리하는 것이 기본 원칙이다.
パスワードの代わりに生体認証やPINを使って認証するFIDO2準拠の仕組み。フィッシング耐性が高く、AppleのTouch ID/Face IDやGoogleアカウントでの採用が広がっている。
비밀번호 대신 생체 인증이나 PIN을 사용하여 인증하는 FIDO2 준거 방식. 피싱 내성이 높으며, Apple의 Touch ID/Face ID나 Google 계정에서의 채용이 확산되고 있다.
正規のソフトウェアに偽装して端末に侵入する悪意あるプログラム。バックドア設置や情報窃取を目的とし、ユーザーが気づかぬうちに実行される。
정상적인 소프트웨어로 위장하여 단말기에 침투하는 악성 프로그램. 백도어 설치나 정보 탈취를 목적으로 하며, 사용자가 인지하지 못한 채 실행된다.
サーバーサイドリクエストフォージェリ(SSRF)攻撃を防ぐための対策。外部からの不正なリクエストによって内部ネットワークやクラウドのメタデータにアクセスされるのを防ぐ。
서버 측 요청 위조(SSRF) 공격을 방지하기 위한 대책. 외부의 부정한 요청으로 내부 네트워크나 클라우드 메타데이터에 접근되는 것을 막는 보안 조치.
Proof Key for Code Exchangeの略。OAuth 2.0の認可コードフローにおいてコードインターセプト攻撃を防ぐセキュリティ拡張。SPA・モバイルアプリでの認証に必須。
Proof Key for Code Exchange의 약자. OAuth 2.0 인가 코드 흐름에서 코드 가로채기 공격을 방지하는 보안 확장. SPA 및 모바일 앱 인증에 필수적이다.
ユーザーやシステムに付与されていたアクセス権限やリソースを削除・無効化するプロセス。退職者のアカウント削除やクラウドリソースの解放時に実施される。
사용자나 시스템에 부여된 접근 권한 및 리소스를 삭제·비활성화하는 프로세스. 퇴사자 계정 삭제나 클라우드 리소스 해제 시 수행된다.
「何も信頼しない」を前提とし、社内外問わず全アクセスを継続的に認証・認可するセキュリティモデル。境界防御型VPNの代替として注目される。
'아무것도 신뢰하지 않는다'는 원칙하에 내외부 모든 접근을 지속적으로 인증·인가하는 보안 모델. 경계 방어형 VPN의 대안으로 주목받고 있다.
ソフトウェアの開発・配布プロセスに侵入してマルウェアを埋め込む攻撃。npm/PyPIへの悪意あるパッケージ公開やビルドパイプラインへの侵入が代表例。
소프트웨어 개발·배포 프로세스에 침입하여 악성코드를 심는 공격. npm/PyPI 악성 패키지 공개나 빌드 파이프라인 침입이 대표적 사례.
Googleが提供するゼロトラストセキュリティモデルに基づいたエンタープライズ向けアクセス管理サービス。VPNなしでユーザーやデバイスの状態を継続的に検証しアクセス制御を行う。
Google이 제공하는 제로 트러스트 보안 모델 기반의 엔터프라이즈용 접근 관리 서비스. VPN 없이 사용자 및 디바이스 상태를 지속적으로 검증하여 접근을 제어한다.
暗号化に使用する鍵の生成・保管・配布・破棄までのライフサイクルを安全に管理するプロセス。KMSやHSMなどのツールが活用される。
암호화에 사용하는 키의 생성·보관·배포·폐기까지의 라이프사이클을 안전하게 관리하는 프로세스. KMS나 HSM 등의 툴이 활용된다.
OAuth 2.0の後継仕様。PKCEの必須化・インプリシットフローの廃止・リフレッシュトークンローテーションの義務化などセキュリティ強化がまとめられた統合仕様。
OAuth 2.0의 후속 사양. PKCE 필수화, 임플리시트 플로우 폐지, 리프레시 토큰 로테이션 의무화 등 보안 강화를 통합한 사양.
Secure Access Service Edgeの略。ネットワークとセキュリティ機能をクラウドで統合したアーキテクチャ。リモートワーク環境でのセキュアなアクセスを実現する。
Secure Access Service Edge의 약자. 네트워크와 보안 기능을 클라우드에서 통합한 아키텍처로, 원격 근무 환경에서 안전한 접근을 실현한다.
セキュリティ侵害や障害発生時に被害を最小化するための対応手順。検知・封じ込め・根本原因分析・復旧・再発防止までの一連のプロセスを指す。
보안 침해나 장애 발생 시 피해를 최소화하기 위한 대응 절차. 탐지·격리·근본 원인 분석·복구·재발 방지까지의 일련의 프로세스를 의미한다.
災害やサイバー攻撃など緊急事態発生時に、業務を継続・早期復旧するための事前計画。リスク分析・対応手順・復旧目標(RTO/RPO)を定める。
재해나 사이버 공격 등 긴급 상황 발생 시 업무를 지속하고 조기에 복구하기 위한 사전 계획으로, 리스크 분석·대응 절차·복구 목표(RTO/RPO)를 정의한다.
SaaS Security Posture Management。SaaSアプリケーションのセキュリティ設定・権限・データ露出を継続的に監視し、リスクを可視化・修復するセキュリティソリューション。
SaaS 애플리케이션의 보안 설정·권한·데이터 노출을 지속적으로 모니터링하고 리스크를 가시화·복구하는 보안 솔루션.
個人を特定できる情報(氏名・住所・メールアドレス等)を不正アクセスや漏洩から守るための法的・技術的対策の総称。日本ではPマーク取得や個人情報保護法への準拠が求められる。
개인을 식별할 수 있는 정보(이름, 주소, 이메일 등)를 불법 접근이나 유출로부터 보호하기 위한 법적·기술적 대책의 총칭. 일본에서는 P마크 취득이나 개인정보보호법 준수가 요구된다.
Endpoint Detection and Responseの略。PC・サーバー等のエンドポイントでの脅威をリアルタイムに検知・分析し、インシデント対応を自動化・支援するセキュリティソリューション。
Endpoint Detection and Response의 약자. PC·서버 등 엔드포인트에서의 위협을 실시간으로 탐지·분석하고, 인시던트 대응을 자동화·지원하는 보안 솔루션.
Secure Access Service Edgeの略。広域ネットワーク機能(SD-WANなど)とネットワークセキュリティ機能(ZTNA、CASB、SWGなど)を統合し、クラウドサービスとして提供するセキュリティの新しいフレームワーク。
Secure Access Service Edge의 약자. 광역 네트워크 기능(SD-WAN 등)과 네트워크 보안 기능(ZTNA, CASB, SWG 등)을 통합하여 클라우드 서비스로 제공하는 보안의 새로운 프레임워크.
暗号鍵の生成・保管・管理を行う専用ハードウェアデバイス。Hardware Security Moduleの略で、耐タンパー性を持ち、鍵が外部に漏れない設計になっている。
암호화 키의 생성, 저장, 관리를 수행하는 전용 하드웨어 장치. Hardware Security Module의 약자로, 탬퍼 저항성을 갖추고 키가 외부로 유출되지 않는 설계로 되어 있다.
Security Assertion Markup Language の略。異なるシステム間でユーザー認証情報を安全に交換するためのXMLベースの標準プロトコル。SSO(シングルサインオン)の実装に広く使用される。
Security Assertion Markup Language의 약자. 서로 다른 시스템 간에 사용자 인증 정보를 안전하게 교환하기 위한 XML 기반 표준 프로토콜로, SSO(싱글 사인온) 구현에 널리 사용된다.
クレジットカード情報を安全に扱うための国際セキュリティ基準。カード決済を扱うシステムは準拠が必須で、定期的な監査や脆弱性スキャンが求められる。
신용카드 정보를 안전하게 처리하기 위한 국제 보안 표준. 카드 결제를 다루는 시스템은 준수가 필수이며, 정기적인 감사 및 취약점 스캔이 요구된다.
ユーザーのログイン状態を維持・管理する仕組み。セッションIDの発行・保存・失効処理を含み、セキュリティ上の適切な設計が求められる。
사용자의 로그인 상태를 유지·관리하는 구조. 세션 ID의 발급·저장·만료 처리를 포함하며, 보안상 적절한 설계가 요구된다.
コンテナイメージに含まれる脆弱性や不審なパッケージを自動検出するプロセス。CI/CDパイプラインに組み込み、デプロイ前にセキュリティリスクを早期発見するために使用される。
컨테이너 이미지에 포함된 취약점이나 의심스러운 패키지를 자동으로 탐지하는 프로세스. CI/CD 파이프라인에 통합하여 배포 전에 보안 리스크를 조기에 발견하기 위해 사용된다.
従業員がフィッシングやソーシャルエンジニアリング等のサイバー脅威を認識し、適切に対応できるよう実施する教育・訓練プログラム。
직원들이 피싱, 소셜 엔지니어링 등 사이버 위협을 인식하고 적절히 대응할 수 있도록 실시하는 교육·훈련 프로그램.
ユーザーの行動・デバイス・場所などのリスク要因を動的に評価し、認証強度を自動調整する仕組み。不審なアクセスには多要素認証を要求する。
사용자의 행동, 디바이스, 위치 등 리스크 요인을 동적으로 평가하여 인증 강도를 자동 조정하는 방식. 의심스러운 접근에는 MFA를 요구한다.
組織内の機密データが外部に漏洩・流出しないよう監視・制御する仕組み。DLPとも呼ばれ、メールやUSBなど各チャネルでのデータ移動を検知・ブロックする。
조직 내 기밀 데이터가 외부로 유출되지 않도록 감시·제어하는 체계. DLP라고도 불리며, 이메일이나 USB 등 각 채널에서의 데이터 이동을 감지하고 차단한다.
認証や認可に使われる一時的な文字列。JWTやOAuthのアクセストークンが代表例で、APIアクセス制御やSSOの仕組みで広く活用される。
인증 및 인가에 사용되는 임시 문자열로, JWT나 OAuth 액세스 토큰이 대표적이며 API 접근 제어 및 SSO 구조에서 널리 활용된다.
悪意あるSQLコードをフォームや入力欄に挿入してDBを不正操作する攻撃手法。プリペアドステートメントやエスケープ処理で対策する。
악의적인 SQL 코드를 폼이나 입력란에 삽입하여 DB를 불법으로 조작하는 공격 기법. 준비된 구문(Prepared Statement)이나 이스케이프 처리로 대응한다.
組織のセキュリティを強化するため、実際の攻撃者を模擬して侵入テストや脆弱性の発見を行う専門チーム。Blue Teamと対をなす存在。
조직의 보안을 강화하기 위해 실제 공격자를 모방하여 침투 테스트 및 취약점 발견을 수행하는 전문 팀. Blue Team과 대를 이루는 존재.
ログイン時だけでなく、セッション中も継続してユーザーの行動・生体情報などを検証し、不正アクセスをリアルタイムで検知・遮断する認証方式。
로그인 시점뿐만 아니라 세션 중에도 지속적으로 사용자의 행동·생체 정보 등을 검증하여 비정상 접근을 실시간으로 탐지·차단하는 인증 방식.
自然災害やサイバー攻撃などの重大障害発生時に、ITシステムを迅速に復旧させるための手順・体制を定めた計画。RPOとRTOが核心指標となる。
자연재해나 사이버 공격 등 중대 장애 발생 시 IT 시스템을 신속히 복구하기 위한 절차와 체계를 정의한 계획으로, RPO와 RTO가 핵심 지표가 된다.
OSやソフトウェアの脆弱性修正プログラム(パッチ)を計画的に収集・テスト・適用・管理するプロセス。セキュリティリスクの低減と安定稼働を目的とする。
OS나 소프트웨어의 취약점 수정 프로그램(패치)을 계획적으로 수집·테스트·적용·관리하는 프로세스. 보안 리스크 감소와 안정적인 운영을 목적으로 한다.
ネットワークトラフィックをリアルタイムで分析し、脅威を検知・対応するセキュリティソリューション。AIや機械学習を活用して異常な通信パターンを検出する。
네트워크 트래픽을 실시간으로 분석하여 위협을 탐지하고 대응하는 보안 솔루션. AI 및 머신러닝을 활용해 비정상적인 통신 패턴을 감지한다.
ネットワークトラフィックをリアルタイムで監視・分析し、脅威を検出して自動または手動で対応するセキュリティソリューション。NDRとも呼ばれる。
네트워크 트래픽을 실시간으로 모니터링·분석하여 위협을 탐지하고 자동 또는 수동으로 대응하는 보안 솔루션으로, NDR이라고도 불린다.
ネットワークの境界に設置し、通信トラフィックを監視・制御するセキュリティシステム。許可ルールに基づき不正アクセスや攻撃をブロックする。
네트워크 경계에 설치하여 통신 트래픽을 모니터링하고 제어하는 보안 시스템. 허용 규칙에 따라 불법 접근 및 공격을 차단한다.
脆弱性を生み出さないよう、設計・実装段階からセキュリティを考慮したコードを記述する手法。SQLインジェクションやXSSなどの攻撃を防ぐための実装ルールを定める。
취약점이 발생하지 않도록 설계·구현 단계부터 보안을 고려하여 코드를 작성하는 기법. SQL 인젝션이나 XSS 등의 공격을 방지하기 위한 구현 규칙을 정의한다.
システム設計の初期段階からセキュリティを組み込む考え方。後付け対策ではなく、アーキテクチャレベルで脅威を排除することでコスト削減とリスク低減を図る。
시스템 설계 초기 단계부터 보안을 내재화하는 개념. 사후 대책이 아닌 아키텍처 수준에서 위협을 제거함으로써 비용 절감과 리스크 저감을 실현한다.
企業が自社サービスの脆弱性を発見・報告した外部の研究者やハッカーに対して報奨金を支払うセキュリティプログラム。脆弱性の深刻度に応じて報酬額が変動する。
기업이 자사 서비스의 취약점을 발견하고 보고한 외부 연구자나 해커에게 보상금을 지급하는 보안 프로그램. 취약점의 심각도에 따라 보상 금액이 달라진다.
権限を与えること。Authorization。
권한을 부여하는 것. Authorization.
ユーザーの同意なく個人情報や操作履歴を収集・送信する悪意あるソフトウェア。キーロガーや広告追跡ツールが代表例で、情報漏洩リスクが高い。
사용자 동의 없이 개인정보나 조작 이력을 수집·전송하는 악성 소프트웨어. 키로거나 광고 추적 도구가 대표적이며, 정보 유출 위험이 높다.
従業員のセキュリティ意識向上を目的に、偽のフィッシングメールを送信して対応を確認する訓練。クリック率や報告率を分析し、教育効果を測定する。
직원들의 보안 의식 향상을 목적으로 가짜 피싱 메일을 발송하여 대응을 확인하는 훈련. 클릭률과 신고율을 분석하여 교육 효과를 측정한다.
クラウド環境のセキュリティ設定ミスを継続的に検出・修正するツール。Cloud Security Posture Managementの略で、マルチクラウド環境のコンプライアンス違反リスクを可視化する。
클라우드 환경의 보안 설정 오류를 지속적으로 탐지하고 수정하는 도구입니다. Cloud Security Posture Management의 약자로, 멀티클라우드 환경의 컴플라이언스 위반 리스크를 가시화합니다.
Security Orchestration, Automation and Responseの略。セキュリティインシデント対応を自動化・効率化するプラットフォームで、複数のセキュリティツールを統合してアラート処理や対応フローを自動実行する。
Security Orchestration, Automation and Response의 약어. 보안 인시던트 대응을 자동화·효율화하는 플랫폼으로, 여러 보안 도구를 통합하여 알림 처리 및 대응 흐름을 자동으로 실행한다.
攻撃者が大量のMFA認証要求を送りつけ、ユーザーが誤って承認してしまうことを狙うソーシャルエンジニアリング攻撃。MFA Bombing/Pushbombingとも呼ばれる。
공격자가 대량의 MFA 인증 요청을 보내 사용자가 실수로 승인하게 유도하는 소셜 엔지니어링 공격. MFA Bombing/Pushbombing이라고도 불린다.
指の指紋パターンを用いて本人確認を行う生体認証技術。スマートフォンのロック解除やアプリログイン、PCの認証などで広く活用されている。
손가락의 지문 패턴을 이용해 본인 확인을 수행하는 생체 인증 기술. 스마트폰 잠금 해제나 앱 로그인, PC 인증 등에 널리 활용된다.
XML External Entity攻撃への対策。外部エンティティ参照を無効化することで、任意ファイル読み取りやSSRFなどのリスクを防ぐセキュリティ施策。
XML External Entity 공격에 대한 대응책. 외부 엔티티 참조를 비활성화하여 임의 파일 읽기나 SSRF 등의 위험을 방지하는 보안 조치.
パスワードのハッシュ化前にランダムな文字列を付加する手法。レインボーテーブル攻撃を防ぎ、同一パスワードでも異なるハッシュ値を生成することでセキュリティを強化する。
비밀번호를 해시화하기 전에 무작위 문자열을 추가하는 기법. 레인보우 테이블 공격을 방지하고, 동일한 비밀번호라도 서로 다른 해시값을 생성하여 보안을 강화한다.
HTTP通信をTLS/SSLで暗号化したプロトコル。Webサイトとブラウザ間のデータを安全に送受信するために使用され、現在はすべてのサイトで必須とされる。
HTTP 통신을 TLS/SSL로 암호화한 프로토콜. 웹사이트와 브라우저 간의 데이터를 안전하게 송수신하기 위해 사용되며, 현재 모든 사이트에서 필수로 적용된다.
公開鍵暗号基盤(PKI)を利用した認証・暗号化の仕組み全体。デジタル証明書の発行・管理・失効を担うCAや登録局などで構成される。
공개 키 암호화 기반(PKI)을 활용한 인증·암호화 구조 전체. 디지털 인증서의 발급·관리·폐기를 담당하는 CA 및 등록 기관 등으로 구성된다.
クロスサイトリクエストフォージェリ(CSRF)攻撃を防ぐための施策。トークン検証やSameSite Cookie設定などを用いて、悪意あるサイトからの不正リクエストを防止する。
크로스 사이트 요청 위조(CSRF) 공격을 방지하기 위한 조치. 토큰 검증이나 SameSite Cookie 설정 등을 활용해 악의적인 사이트로부터의 불법 요청을 차단한다.
クラウド環境における機密データの漏洩を防ぐサービス。個人情報やクレジットカード番号などの機密情報を自動検出し、マスキングや警告などのポリシーを適用できる。
클라우드 환경에서 민감한 데이터의 유출을 방지하는 서비스. 개인정보나 신용카드 번호 등의 민감 정보를 자동으로 탐지하고, 마스킹이나 경고 등의 정책을 적용할 수 있다.
ユーザーやシステムの正当性を確認するプロセス。パスワード、トークン、生体情報などを用いて本人確認を行い、不正アクセスを防ぐ仕組み。
사용자나 시스템의 정당성을 확인하는 프로세스. 비밀번호, 토큰, 생체 정보 등을 사용하여 본인 확인을 수행하고 불법 접근을 방지하는 구조.
GitHubに統合されている、プロジェクトが依存するパッケージ(npmやpipなど)の脆弱性をスキャンし、アップデートのためのPull Requestを自動生成するボットツール。
GitHub에 통합되어 있는 도구로, 프로젝트가 의존하는 패키지(npm이나 pip 등)의 취약점을 스캔하고 업데이트를 위한 Pull Request를 자동으로 생성하는 봇 툴.
クラウド環境向けの侵入検知システム。ネットワークトラフィックを監視・分析し、不正アクセスや脅威をリアルタイムで検出するマネージドセキュリティサービス。
클라우드 환경을 위한 침입 탐지 시스템. 네트워크 트래픽을 모니터링·분석하여 비정상 접근 및 위협을 실시간으로 탐지하는 매니지드 보안 서비스.
サードパーティアプリがユーザーのパスワードを知らずに、リソースへの限定的なアクセス権を付与するための認可フレームワーク。現在はOAuth 2.0が主流。
서드파티 앱이 사용자의 비밀번호 없이 리소스에 대한 제한적인 접근 권한을 부여하기 위한 인가 프레임워크. 현재는 OAuth 2.0이 주류.
Next.jsなどのモダンなReactフレームワークと極めて相性が良い、開発者向けの認証・ユーザー管理SaaS。UIコンポーネントが豊富で、数行でパスワードレス認証やSSOが実装できる。
Next.js 등 모던 React 프레임워크와 매우 궁합이 좋은 개발자용 인증 및 사용자 관리 SaaS. UI 컴포넌트가 풍부하여 몇 줄만으로 패스워드리스 인증이나 SSO를 구현할 수 있다.
ユーザーの属性(部署・役職・場所など)に基づいてアクセス権を動的に制御する仕組み。RBACより柔軟できめ細かいポリシー設定が可能で、ゼロトラスト環境で注目される。
사용자의 속성(부서·직책·위치 등)을 기반으로 접근 권한을 동적으로 제어하는 방식. RBAC보다 유연하고 세밀한 정책 설정이 가능하며, 제로 트러스트 환경에서 주목받고 있다.
Vulnerability Exploitability eXchangeの略。SBOMで検出された脆弱性に対して、「実際に自社製品で悪用可能かどうか(影響あり・影響なし等)」のステータスを機械可読な形式で提供する文書。
Vulnerability Exploitability eXchange의 약자. SBOM에서 발견된 취약점에 대해 '실제로 자사 제품에서 악용 가능한지 여부(영향 있음/없음 등)'의 상태를 기계 판독 가능한 형식으로 제공하는 문서.
システムやアプリケーションのセキュリティ上の弱点を洗い出す作業。ペネトレーションテストやツールを用いてリスクを評価し、対策を講じるために実施する。
시스템이나 애플리케이션의 보안 취약점을 찾아내는 작업. 침투 테스트나 도구를 활용하여 위험을 평가하고, 대책을 마련하기 위해 수행한다.
ソフトウェアに含まれるすべてのコンポーネントや依存ライブラリを一覧化した部品表。脆弱性管理やライセンス遵守のために活用される。
소프트웨어에 포함된 모든 컴포넌트와 의존 라이브러리를 목록화한 부품 명세서. 취약점 관리 및 라이선스 준수를 위해 활용된다.
Common Vulnerabilities and Exposuresの略。公開されたセキュリティ脆弱性に一意のID(CVE-YYYY-NNNNN)を付与する国際標準の識別システム。脆弱性管理や対応優先度の判断に活用される。
Common Vulnerabilities and Exposures의 약자. 공개된 보안 취약점에 고유한 ID(CVE-YYYY-NNNNN)를 부여하는 국제 표준 식별 시스템으로, 취약점 관리 및 대응 우선순위 결정에 활용된다.
セキュリティ制御の分類の一つで、システムへの不正アクセスや異常な活動をリアルタイムまたは事後に検知・記録する仕組み。IDS、ログ監視、監査ログなどが該当する。
보안 제어의 분류 중 하나로, 시스템에 대한 무단 접근이나 비정상적인 활동을 실시간 또는 사후에 탐지하고 기록하는 메커니즘. IDS, 로그 모니터링, 감사 로그 등이 해당된다.
EU一般データ保護規則。EU市民の個人データ収集・処理・保管に関する厳格な規制で、違反時には最大2000万ユーロまたは年間売上高の4%の制裁金が科される。
EU 일반 데이터 보호 규정. EU 시민의 개인 데이터 수집·처리·보관에 관한 엄격한 규제로, 위반 시 최대 2,000만 유로 또는 연간 매출액의 4%에 해당하는 제재금이 부과된다.
データベースのパスワードやAPIキーなどの機密情報を安全に保存・管理・ローテーションするサービス。AWSやGCPなどのクラウドプロバイダーが提供し、ハードコードを防ぐ。
데이터베이스 비밀번호나 API 키 등 민감한 정보를 안전하게 저장·관리·순환시키는 서비스. AWS, GCP 등 클라우드 프로바이더가 제공하며 하드코딩을 방지한다.
パスワードを一方向性のハッシュ関数で変換し、元の値を復元できない形式で保存するセキュリティ手法。bcryptやArgon2などのアルゴリズムが推奨される。
패스워드를 단방향 해시 함수로 변환하여 원래 값을 복원할 수 없는 형태로 저장하는 보안 기법. bcrypt나 Argon2 등의 알고리즘이 권장된다.
正規のサービスや組織になりすましたメール・サイトで、ユーザーのID・パスワード・クレジットカード情報などを詐取するサイバー攻撃手法。
정규 서비스나 조직을 사칭한 이메일·사이트를 통해 사용자의 ID·비밀번호·신용카드 정보 등을 탈취하는 사이버 공격 기법.
ベンダーがまだ把握していない、またはパッチが提供されていない脆弱性。発見から修正までの間に攻撃者に悪用されるリスクが非常に高い。
벤더가 아직 파악하지 못했거나 패치가 제공되지 않은 취약점. 발견부터 수정까지의 기간 동안 공격자에게 악용될 위험이 매우 높다.
Webアプリケーションにおいて、ブラウザが読み込むリソースの出所を制限するHTTPヘッダーベースのセキュリティ機構。XSSやデータインジェクション攻撃を防ぐために使用される。
웹 애플리케이션에서 브라우저가 로드하는 리소스의 출처를 제한하는 HTTP 헤더 기반의 보안 메커니즘. XSS 및 데이터 인젝션 공격을 방지하기 위해 사용된다.
組織のセキュリティ対策を体系的に整理・実施するための枠組み。NIST CSFやISO 27001などが代表例で、リスク管理や統制の基準として活用される。
조직의 보안 대책을 체계적으로 정리하고 실행하기 위한 틀. NIST CSF나 ISO 27001 등이 대표적이며, 리스크 관리 및 통제 기준으로 활용된다.
悪意あるソフトウェアの動作・構造を静的・動的手法で調査し、脅威の特定や対策立案に役立てるセキュリティ分析手法。
악성 소프트웨어의 동작과 구조를 정적·동적 방법으로 조사하여 위협을 식별하고 대응책 수립에 활용하는 보안 분석 기법입니다.
法令・規制・社内規定などへの準拠状況を継続的に監視・管理するプロセス。GDPRやPCI DSSなどの規制対応やリスク低減を目的とする。
법령·규제·사내 규정 등의 준수 상태를 지속적으로 모니터링하고 관리하는 프로세스. GDPR, PCI DSS 등의 규제 대응 및 리스크 감소를 목적으로 한다.
Software Asset Managementの略。組織内のソフトウェアライセンスを一元管理し、コンプライアンス遵守やコスト最適化を図る管理手法・プロセスのこと。
Software Asset Management의 약어. 조직 내 소프트웨어 라이선스를 일원화하여 관리하고, 컴플라이언스 준수 및 비용 최적화를 도모하는 관리 기법 및 프로세스.
多数のアカウントに対して少数の一般的なパスワードを試みる攻撃手法。アカウントロックアウトを回避しながら不正アクセスを狙う。ブルートフォース攻撃の一種。
다수의 계정에 대해 소수의 일반적인 패스워드를 시도하는 공격 기법. 계정 잠금을 피하면서 무단 접근을 노린다. 브루트포스 공격의 일종.
技術的手段ではなく、人間の心理や信頼を利用して機密情報を騙し取ったり、不正アクセスを試みる攻撃手法。フィッシングや成りすましが代表例。
기술적 수단이 아닌 인간의 심리와 신뢰를 이용하여 기밀 정보를 속여 빼내거나 불법 접근을 시도하는 공격 기법. 피싱이나 사칭이 대표적인 사례이다.
SSL/TLS証明書の発行・更新・失効・廃棄までの一連のライフサイクルを一元管理するプロセス。期限切れによる障害防止や、PKIインフラの健全性維持に不可欠な運用管理手法。
SSL/TLS 인증서의 발급·갱신·폐지·폐기까지 일련의 라이프사이클을 통합 관리하는 프로세스. 만료로 인한 장애 방지 및 PKI 인프라의 건전성 유지에 필수적인 운영 관리 기법.
ユーザーのタイピングリズムやマウス操作・歩行パターンなどの行動的特徴を用いて本人認証や不正検知を行うバイオメトリクス技術。
사용자의 타이핑 리듬, 마우스 조작, 보행 패턴 등 행동적 특징을 이용해 본인 인증 및 부정 탐지를 수행하는 바이오메트릭스 기술.
ログイン済みユーザーが意図しないリクエストを悪意あるサイト経由で送信させられる攻撃手法。CSRFトークンによる検証が主な対策として用いられる。
로그인된 사용자가 악의적인 사이트를 통해 의도하지 않은 요청을 전송하도록 유도되는 공격 기법으로, CSRF 토큰 검증이 주요 대응책으로 활용된다.
送信者と受信者が同一の鍵を使って暗号化・復号を行う方式。AESやDESが代表例で、処理速度が速い反面、鍵の安全な共有が課題となる。
송신자와 수신자가 동일한 키를 사용하여 암호화·복호화를 수행하는 방식. AES, DES가 대표적이며 처리 속도가 빠른 반면, 키의 안전한 공유가 과제가 된다.
システム設計の初期段階からプライバシー保護を組み込む考え方。後付けではなく、アーキテクチャ・仕様レベルでGDPRなどの要件を満たす設計を実現する。
시스템 설계 초기 단계부터 개인정보 보호를 내재화하는 개념으로, 사후 대응이 아닌 아키텍처 및 사양 수준에서 GDPR 등의 요건을 충족하는 설계를 실현한다.
コンテナイメージに含まれる脆弱性や設定ミスを自動検出する手法。CI/CDパイプラインに組み込み、デプロイ前に既知のCVEや不審なパッケージを検知する。
컨테이너 이미지에 포함된 취약점이나 설정 오류를 자동으로 검출하는 방법. CI/CD 파이프라인에 통합하여 배포 전에 알려진 CVE나 의심스러운 패키지를 탐지한다.
ネットワーク上のトラフィックやログを収集・分析し、セキュリティインシデントの原因究明や証拠保全を行う技術。侵害経路の特定やマルウェア通信の検出に活用される。
네트워크상의 트래픽과 로그를 수집·분석하여 보안 인시던트의 원인 규명 및 증거 보전을 수행하는 기술. 침해 경로 식별과 악성코드 통신 탐지에 활용된다.
コンテナイメージのデプロイ前に署名検証を行うセキュリティ機能。承認されたイメージのみ本番環境へのデプロイを許可し、サプライチェーン攻撃を防止する。
컨테이너 이미지 배포 전 서명 검증을 수행하는 보안 기능. 승인된 이미지만 프로덕션 환경 배포를 허용하여 공급망 공격을 방지한다.
EU一般データ保護規則(GDPR)に準拠するための取り組み。個人データの収集・処理・保管に関するポリシー整備、同意取得フロー実装、データ削除対応などが含まれる。
EU 일반 데이터 보호 규정(GDPR)을 준수하기 위한 대응 활동. 개인 데이터 수집·처리·보관 정책 수립, 동의 취득 플로우 구현, 데이터 삭제 대응 등이 포함된다.
特定のWebサイトやコンテンツへのアクセスを制限・許可する技術。企業ネットワークでの不正サイトブロックやコンプライアンス対応に活用される。URLフィルタリングやコンテンツカテゴリ分類を使って制御する。
특정 웹사이트나 콘텐츠에 대한 접근을 제한하거나 허용하는 기술. 기업 네트워크에서 불법 사이트 차단 및 컴플라이언스 대응에 활용되며, URL 필터링과 콘텐츠 카테고리 분류를 통해 제어한다.
Cloud-Native Application Protection Platformの略。CSPM(設定監視)、CWPP(ワークロード保護)、CIEM(クラウド権限管理)などを統合し、クラウドネイティブアプリのライフサイクル全体を包括的に保護するプラットフォーム。
Cloud-Native Application Protection Platform의 약자. CSPM(설정 모니터링), CWPP(워크로드 보호), CIEM(클라우드 권한 관리) 등을 통합하여 클라우드 네이티브 앱의 전체 라이프사이클을 포괄적으로 보호하는 플랫폼.
データセットにノイズを加えることで個人情報を保護しつつ統計的有用性を維持する技術。機械学習モデルの学習データ保護にも活用される。
데이터셋에 노이즈를 추가하여 개인 정보를 보호하면서 통계적 유용성을 유지하는 기술로, 머신러닝 모델의 학습 데이터 보호에도 활용된다.
Webアプリケーションのセキュリティ向上を目的とした非営利団体。脆弱性トップ10(OWASP Top 10)などのガイドラインを公開し、セキュリティ対策の標準として広く活用されている。
웹 애플리케이션 보안 향상을 목적으로 하는 비영리 단체. 취약점 상위 10개(OWASP Top 10) 등의 가이드라인을 공개하여 보안 대책의 표준으로 널리 활용되고 있다.
コンピュータに感染し、自己複製しながら他のファイルやシステムに被害を与える悪意あるプログラム。メールの添付ファイルや不正サイト経由で拡散することが多い。
컴퓨터에 감염되어 자가 복제를 통해 다른 파일이나 시스템에 피해를 주는 악성 프로그램. 이메일 첨부 파일이나 악성 사이트를 통해 확산되는 경우가 많다.
システムやコードに対して脆弱性・マルウェア・不正アクセスのリスクを自動的に検出するプロセス。CI/CDパイプラインに組み込まれることも多い。
시스템이나 코드에 존재하는 취약점, 악성코드, 불법 접근 위험을 자동으로 탐지하는 프로세스. CI/CD 파이프라인에 통합되는 경우도 많다.
ソフトウェア開発においてセキュリティ上の脆弱性を防ぐための規約・指針。SQLインジェクションやXSSなどの攻撃を防ぐ実装ルールを定めたドキュメント。
소프트웨어 개발 시 보안 취약점을 방지하기 위한 규약 및 지침. SQL 인젝션, XSS 등의 공격을 막기 위한 구현 규칙을 정의한 문서.
プログラムがバッファの境界を超えてデータを書き込む脆弱性。攻撃者による任意コード実行やシステムクラッシュを引き起こす可能性があり、C/C++で特に注意が必要。
프로그램이 버퍼의 경계를 초과하여 데이터를 쓰는 취약점. 공격자에 의한 임의 코드 실행이나 시스템 충돌을 일으킬 수 있으며, C/C++에서 특히 주의가 필요하다.
パスワードに加え、SMS・認証アプリ・生体認証など複数の要素を組み合わせてユーザーを認証するセキュリティ手法。不正アクセスのリスクを大幅に低減できる。
비밀번호 외에 SMS, 인증 앱, 생체 인증 등 여러 요소를 조합하여 사용자를 인증하는 보안 기법. 무단 접근 위험을 크게 줄일 수 있다.
インターネット通信を暗号化するプロトコル。SSLの後継がTLSで、現在はTLS 1.2/1.3が主流。HTTPS通信やAPIの安全な接続に不可欠な技術。
인터넷 통신을 암호화하는 프로토콜. SSL의 후속이 TLS이며, 현재는 TLS 1.2/1.3이 주류. HTTPS 통신이나 API의 안전한 연결에 필수적인 기술.
サイバー攻撃に関する脅威情報を収集・分析・共有する仕組み。攻撃者の手口やIOCを活用し、インシデント対応や予防的な防御策の強化に役立てる。
사이버 공격에 관한 위협 정보를 수집·분석·공유하는 체계. 공격자의 수법이나 IOC를 활용하여 인시던트 대응 및 예방적 방어 강화에 활용한다.
感染したシステムのファイルを暗号化し、復号と引き換えに身代金を要求する悪意のあるマルウェア。企業や医療機関など重要インフラへの攻撃事例が急増している。
감염된 시스템의 파일을 암호화한 후 복호화 대가로 금전을 요구하는 악성 멀웨어. 기업, 의료기관 등 주요 인프라를 대상으로 한 공격 사례가 급증하고 있다.
任意のデータを固定長の文字列(ハッシュ値)に変換する処理。パスワード保存やデータ整合性確認に使われ、元データへの復元が困難な一方向性が特徴。
임의의 데이터를 고정 길이의 문자열(해시값)로 변환하는 처리. 비밀번호 저장이나 데이터 무결성 확인에 사용되며, 원본 데이터로 복원이 어려운 단방향성이 특징.
任意のデータを固定長のハッシュ値に変換する関数。パスワード保存やデータ整合性の検証、デジタル署名などに広く使われる不可逆的な変換処理。
임의의 데이터를 고정 길이의 해시 값으로 변환하는 함수. 비밀번호 저장, 데이터 무결성 검증, 디지털 서명 등에 널리 사용되는 단방향 변환 처리.
システム設計・開発の初期段階からセキュリティを組み込む手法。脅威モデリングや脆弱性対策をアーキテクチャレベルで実施し、安全なシステムを構築する。
시스템 설계·개발 초기 단계부터 보안을 내재화하는 방법론. 위협 모델링과 취약점 대책을 아키텍처 수준에서 실시하여 안전한 시스템을 구축한다.
プロジェクトが使用するライブラリやパッケージの既知の脆弱性(CVE)を自動検出するプロセス。SCA(ソフトウェアコンポジション解析)とも呼ばれ、CI/CDパイプラインに組み込むのが一般的。
프로젝트에서 사용하는 라이브러리나 패키지의 알려진 취약점(CVE)을 자동으로 탐지하는 프로세스. SCA(소프트웨어 컴포지션 분석)라고도 하며, CI/CD 파이프라인에 통합하는 것이 일반적이다.
暗号化されたデータを元に戻すこと。Decryption。
암호화된 데이터를 원래대로 되돌리는 것. Decryption.
データを第三者が読めない形式に変換する技術。AESやRSAなどのアルゴリズムを使い、通信や保存データの機密性を保護する。
데이터를 제3자가 읽을 수 없는 형식으로 변환하는 기술. AES나 RSA 등의 알고리즘을 사용하여 통신 및 저장 데이터의 기밀성을 보호한다.
公開鍵基盤(PKI)の日常的な管理・運用業務。証明書の発行・更新・失効、認証局(CA)の管理、鍵管理ポリシーの策定などが含まれる。
공개 키 기반(PKI)의 일상적인 관리·운영 업무로, 인증서 발급·갱신·폐기, 인증 기관(CA) 관리, 키 관리 정책 수립 등이 포함된다.
クラウド環境でユーザーやデバイスのIDを一元管理する仕組み。認証・認可・SSO・MFAなどを統合し、セキュアなアクセス制御を実現するサービスまたは概念。
클라우드 환경에서 사용자 및 디바이스의 ID를 일원 관리하는 체계. 인증·인가·SSO·MFA 등을 통합하여 안전한 액세스 제어를 실현하는 서비스 또는 개념.
データをどれくらいの期間保存・管理するかを定めた規則。法令遵守やストレージコスト削減のため、保存期間や削除タイミングを明文化したもの。
데이터를 얼마나 오랫동안 저장하고 관리할지를 정한 규칙. 법령 준수 및 스토리지 비용 절감을 위해 보존 기간과 삭제 시점을 명문화한 정책.
Attribute-Based Access Controlの略。ユーザー・リソース・環境の属性を組み合わせてアクセス制御を行うモデル。RBACより細粒度なポリシー設定が可能。
Attribute-Based Access Control의 약자. 사용자·리소스·환경의 속성을 조합하여 접근 제어를 수행하는 모델. RBAC보다 세분화된 정책 설정이 가능하다.
脆弱性の深刻度を数値化するための標準スコアリングシステム(CVSS: Common Vulnerability Scoring System)。0〜10のスコアで重大度を評価し、パッチ適用優先度の判断に使われる。
취약점의 심각도를 수치화하는 표준 점수 산정 시스템(CVSS: Common Vulnerability Scoring System). 0~10점 척도로 위험도를 평가하며, 패치 적용 우선순위 결정에 활용된다.
自己複製機能を持つマルウェアの一種。ホストプログラムを必要とせず、ネットワークを通じて自律的に拡散し、システムリソースの枯渇や情報漏洩を引き起こす。
자기 복제 기능을 가진 악성코드의 일종. 호스트 프로그램 없이 네트워크를 통해 자율적으로 확산되며, 시스템 리소스 고갈이나 정보 유출을 일으킨다.
暗号化されたデータのまま演算処理を行える暗号技術。復号せずに計算結果を得られるため、クラウド上での機密データ処理に活用される。
암호화된 데이터 상태에서 연산 처리를 수행할 수 있는 암호 기술. 복호화 없이 계산 결과를 얻을 수 있어 클라우드 환경에서의 기밀 데이터 처리에 활용된다.
TPMとも呼ばれる、マザーボードに組み込まれたセキュリティチップ。暗号鍵の生成・保存やデバイス認証を担い、BitLockerなどのディスク暗号化機能の基盤となる。
TPM이라고도 불리는 마더보드에 내장된 보안 칩으로, 암호화 키 생성·저장 및 디바이스 인증을 담당하며 BitLocker 등 디스크 암호화 기능의 기반이 된다.
APIキーやパスワードなどの機密情報を安全に保管・管理する仕組み。HashiCorp VaultやAWS Secrets Managerなどが代表例で、アクセス制御や監査ログも提供する。
API 키나 비밀번호 등 민감한 정보를 안전하게 저장·관리하는 시스템. HashiCorp Vault나 AWS Secrets Manager가 대표적이며, 접근 제어 및 감사 로그 기능도 제공한다.
SSL/TLS証明書などの発行・更新・失効・監視を一元管理するプロセス。期限切れによる障害防止や自動更新の仕組み構築が実務上重要となる。
SSL/TLS 인증서 등의 발급·갱신·폐기·모니터링을 일원화하여 관리하는 프로세스. 만료로 인한 장애 방지와 자동 갱신 체계 구축이 실무상 중요하다.
パスワードなどをハッシュ化する際にランダムな文字列(ソルト)を付加する手法。レインボーテーブル攻撃への対策として広く使われる。
비밀번호 등을 해시화할 때 무작위 문자열(솔트)을 추가하는 기법. 레인보우 테이블 공격에 대한 대책으로 널리 사용된다.
正規の認証プロセスを回避して、不正にシステムやリソースへアクセスする攻撃手法。SQLインジェクションやセッション固定攻撃などが代表例。
정규 인증 프로세스를 우회하여 시스템이나 리소스에 비정상적으로 접근하는 공격 기법. SQL 인젝션, 세션 고정 공격 등이 대표적인 사례이다.
システムやアプリケーションの脆弱性を継続的に発見・評価・修正・監視するプロセス。CVSSスコアを基にリスク優先度を決定し、パッチ適用やリスク許容の判断を行う。
시스템 및 애플리케이션의 취약점을 지속적으로 발견·평가·수정·모니터링하는 프로세스. CVSS 점수를 기반으로 리스크 우선순위를 결정하고, 패치 적용 및 리스크 수용 여부를 판단한다.
暗号学において、ある情報が真であることを、「それが真であること以外の情報を一切明かすことなく」相手に証明する手法。プライバシー保護やブロックチェーンの匿名技術(ZKP)として注目されている。
암호학에서 어떤 정보가 참이라는 것을 '그것이 참이라는 것 이외의 정보를 일절 밝히지 않고' 상대에게 증명하는 기법. 프라이버시 보호나 블록체인의 익명 기술(ZKP)로 주목받고 있다.
システムやネットワークのセキュリティ対策が適切に実施されているかを第三者または内部チームが体系的に検証・評価するプロセス。脆弱性の発見やコンプライアンス準拠の確認が主な目的。
시스템이나 네트워크의 보안 대책이 적절히 시행되고 있는지를 제3자 또는 내부 팀이 체계적으로 검증·평가하는 프로세스. 취약점 발견 및 컴플라이언스 준수 확인이 주요 목적.
機密データや個人情報が不正に外部へ流出する事象。内部不正・サイバー攻撃・設定ミスなどが主な原因となり、企業の信頼失墜や法的責任につながるリスクがある。
기밀 데이터나 개인정보가 불법적으로 외부로 유출되는 사고. 내부 비위, 사이버 공격, 설정 오류 등이 주요 원인이며, 기업의 신뢰 손상과 법적 책임으로 이어질 수 있는 리스크가 있다.
ユーザーのログイン時の状況(場所・デバイス・時間帯など)を分析し、リスクレベルに応じて追加認証を要求する認証方式。RBAとも呼ばれる。
사용자 로그인 시 상황(위치·기기·시간대 등)을 분석하여 위험 수준에 따라 추가 인증을 요구하는 인증 방식으로, RBA라고도 불린다.
システムやサーバの脆弱性を最小化するため、不要なサービスの無効化やパッチ適用、設定強化などを行うセキュリティ対策のプロセス。
시스템이나 서버의 취약점을 최소화하기 위해 불필요한 서비스 비활성화, 패치 적용, 설정 강화 등을 수행하는 보안 강화 프로세스.
Common Vulnerability Scoring Systemの略。脆弱性の深刻度を0〜10のスコアで定量評価するための業界標準フレームワーク。スコアが高いほど緊急対応が必要。
Common Vulnerability Scoring System의 약자. 취약점의 심각도를 0~10점으로 정량 평가하는 업계 표준 프레임워크. 점수가 높을수록 긴급 대응이 필요하다.
ネットワークやシステムへの不正アクセス・攻撃をリアルタイムで検知し、管理者に通知するセキュリティシステム。IPSと異なり、遮断は行わず検知・警告に特化する。
네트워크나 시스템에 대한 불법 접근 및 공격을 실시간으로 탐지하여 관리자에게 알리는 보안 시스템. IPS와 달리 차단은 수행하지 않고 탐지 및 경고에 특화되어 있다.
セキュリティ上の欠陥。Vulnerability。
보안상의 결함. Vulnerability.
異なるオリジン間でのリソース共有を制御するブラウザのセキュリティ機能。サーバー側でAccess-Control-Allow-Originヘッダーを設定することで、クロスオリジンリクエストを許可できる。
다른 출처 간의 리소스 공유를 제어하는 브라우저 보안 기능. 서버 측에서 Access-Control-Allow-Origin 헤더를 설정하여 크로스 오리진 요청을 허용할 수 있다.