2023年4月の用語紹介

（1） インシデント
サイバーセキュリティ分野において、サイバーセキュリティリスクが発現・現実化した事象のこと。
◎インデックス：い

（2） 監査
組織内においてサイバーセキュリティ対策が適切に実施されているかどうかを判定するために、監査証拠を収集し、それを客観的に評価するための、体系的で、独立し、文書化したプロセスのこと。監査は、内部監査（第一者）または外部監査（第二者・第三者）のいずれでも、または複合監査（複数の分野の組合せ）でもあり得る。
◎インデックス：か

（3） サイバー攻撃
コンピュータシステムやネットワークに、悪意を持った攻撃者が不正に侵入し、データの窃取・破壊や不正プログラムの実行等を行うこと。
◎インデックス：さ

（4） サイバーセキュリティ
サイバーセキュリティとは、電子データの漏えい・改ざん等や、期待されていた IT システムや制御システム等の機能が果たされないといった不具合が生じないようにすること。
◎インデックス：さ

（5） サイバーセキュリティリスク
サイバーセキュリティリスクとは、サイバーセキュリティに関連して不具合が生じ、それによって企業の経営に何らかの影響が及ぶ可能性のこと。
◎インデックス：さ

（6） 残留リスク
リスク対応（回避、低減、移転）後に残るリスク。保有リスクともいう。
◎インデックス：ざ

（7） 情報セキュリティ報告書
企業の情報管理・情報システム等のセキュリティの取組の中でも社会的関心の高いものについて情報開示することにより、当該企業の取組が顧客や投資家などのステークホルダーから適正に評価されることを目指すもの。（参考： 経済産業省の「情報セキュリティ報告書モデル」： http://www.meti.go.jp/policy/netsecurity/docs/secgov/2007_JohoSecurityReportModelRevised.pdf） 27
◎インデックス：じ

（8） ステークホルダー
意思決定もしくは活動に影響を与え、影響されることがあるまたは影響されると認知している、あらゆる人または組織。具体的には、株主、債権者、顧客、取引先等である。
◎インデックス：す

（9） セキュリティポリシー
企業・組織におけるセキュリティに関する理念である意図と方針を経営者が正式に表明したもの。セキュリティポリシーに沿って、組織内セキュリティ対策が規定される。
◎インデックス：せ

（10）多層防御
物理層、ネットワーク層からデータ層までの多層防御を導入することで、１つの機器やソフトウェアに依存する拠点防御対策や、単一の境界防御層（主としてネットワーク境界）に依存する対策の場合より、未知のマルウェアや新たな攻撃手法の登場により容易に突破されるリスクの軽減が期待される。 IPA では、多層防御の１例として、以下四つのポイントを紹介している。①ソフトウェア感染リスクの低減、②重要業務を行う端末やネットワークの分離、③重要情報が保存されているサーバでの制限、④事後対応の準備。
◎インデックス：た

出典：サイバーセキュリティ経営ガイドラインVer 2.0
https://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v2.0.pdf