- 2FA – 二要素認証(2FA)は、アカウントログインに対して第2レベルの認証を追加します。
- アドレス空間配置のランダム化(ASLR:Address Space Layout Randomization) – メモリ破壊のバグの悪用をより困難にするための技術
- アプリケーションセキュリティ(Application Security) – アプリケーションレベルのセキュリティは、たとえば基礎となるオペレーティングシステムや接続されたネットワークよりはむしろ、OSI参照モデルのアプリケーション層を含むコンポーネントの解析に焦点を当てています。
- アプリケーションセキュリティ検証(Application Security Verification) – OWASP MASVSに対するアプリケーションの技術的評価
- アプリケーションセキュリティ検証レポート(Application Security Verification Report) – 検証者によって作成された特定のアプリケーションの全体的な結果と確証解析を文書化したレポート
- 認証(Authentication) – 要求されたアプリケーションユーザのIDの検証
- 自動検証(Automated Verification) – 問題を発見するために脆弱性シグネチャを用いる自動ツール(動的解析ツールや静的解析ツールのどちらか一方、または両方)の使用
- ブラックボックステスト(Black box testing) – 内部構造や動作を見分せずにアプリケーションの機能を検査するソフトウェアテストの方法
- コンポーネント(Component) – 関連ディスク及び他のコンポーネントと通信を行うネットワークインタフェースを有する自己完結型のコードユニット
- クロスサイトスクリプティング(XSS:Cross-Site Scripting) – Webアプリケーションで一般的に発見される、コンテンツの中にクライアントサイドのスクリプトの注入を許可するセキュリティの脆弱性
- 暗号モジュール(Cryptographic module) – 暗号アルゴリズムを実装する、および/または暗号鍵を生成するハードウェア、ソフトウェア、および/またはファームウェア
- CWE - CWEは、コミュニティで開発された一般的なソフトウェアセキュリティ脆弱性のリストです。これは、共通の用語、ソフトウェアセキュリティツールのための指標、脆弱性の識別、緩和、防止の試みのためのベースラインとして役立ちます。
- DAST – 動的アプリケーションセキュリティテスト(DAST)技術は、実行状態であるアプリケーションのセキュリティ脆弱性を示す条件を検出するために設計されています。
- 設計検証(Design Verification) – アプリケーションのセキュリティアーキテクチャの技術的評価
- 動的検証(Dynamic Verification) – アプリケーションの実行中に問題を検出するために脆弱性シグネチャを用いる自動化されたツールの使用
- グローバル一意識別子(GUID: Globally Unique Identifier) – ソフトウェアにおいて識別子として用いられる一意の参照番号
- HTTP(Hyper Text Transfer Protocol) – 分散、協力、ハイパーメディア情報システムのためのアプリケーションプロトコル。World Wide Web(WWW)のためのデータ通信の基盤
- ハードコードされた鍵(Hardcoded keys) – デバイス自身に格納されている暗号鍵
- IPC – プロセス間通信。IPCプロセスでは、互いに、そしてカーネルと通信してアクティビティを調整します。
- 入力検証(Input Validation) – 信頼されていないユーザ入力の正規化と妥当性検証
- Javaバイトコード - Javaバイトコードは、Java仮想マシン(JVM)の命令セットです。各バイトコードは、パラメータを渡すための0、もしくはそれ以上のバイトとともに、命令(オペコード)を表す1バイト、場合によっては2バイトで構成されます。
- 悪意のあるコード(Malicious Code) – 計画したアプリケーションのセキュリティポリシーを回避するような、アプリケーション所有者に知られていない、開発中にアプリケーションに導入されたコード。ウイルスやワームなどのマルウェアとは異なります。
- マルウェア(Malware) – アプリケーションユーザや管理者が気付かないうちに、実行中のアプリケーションに導入される実行可能なコード
- OWASP(Open Web Application Security Project) – オープンWebアプリケーションセキュリティプロジェクト(OWASP)は、アプリケーションソフトウェアのセキュリティ向上に焦点を置いた、世界的なフリーでオープンなコミュニティです。OWASPの使命は、人々と組織がアプリケーションセキュリティリスクに関する情報に基づいた決断ができるように、アプリケーションセキュリティを「可視化」することです。参照:http://www.owasp.org/
- 個人識別情報(PII:Personally Identifiable Information) - 個人を識別、連絡、特定するため、もしくは文脈上で個人を識別するために、単独、もしくは他の情報とともに使用されうる情報のこと
- PIE – 位置独立実行形式(PIE)は、主メモリのどこかに位置され、絶対アドレスにかかわらず適切に実行されるマシンコードの本体のこと
- PKI – PKIは、エンティティのそれぞれのIDに公開鍵をバインドする仕組みです。バインドは、認証局(CA)による証明書の登録および発行のプロセスを通して制定されます。
- SAST – 静的アプリケーションセキュリティテスト(SAST)は、セキュリティ脆弱性を示すコーディングと設計条件のために、アプリケーションソースコード、バイトコード、バイナリを解析するために設計された一連の技術です。SASTソリューションは、非実行状態でアプリケーションを「徹底的」に解析します。
- SDLC – ソフトウェア開発サイクル
- セキュリティアーキテクチャ(Security Architecture) – どこで、どのようにセキュリティ制御が使用されているかを識別し説明するため、またユーザデータ及びアプリケーションデータの場所及び重要性を識別し、説明するためにアプリケーションの設計を抽象化したもの
- セキュリティ設定(Security Configuration) – セキュリティ制御がどのように使用されるかについて影響するアプリケーション実行時の設定
- セキュリティ制御(Security Control) – セキュリティチェック(たとえばアクセス制御チェック)を行い、もしくは呼び出されたときにセキュリティ効果(たとえば監査記録の生成)をもたらす機能もしくはコンポーネント
- SQLインジェクション(SQLi) – データ駆動型アプリケーションを攻撃するために使用される、悪意のあるSQL文がエントリーポイントに挿入されるコード注入技術
- SSO認証 – シングルサインオン(SSO)は、ユーザが1つのクライアントにログインしたときに発生し、ユーザが使用しているプラットフォーム、技術、ドメインに関係なく、他のクライアントも自動的に認証されます。たとえば、あなたがGoogleにログインすると、あなたは自動的にYouTube、ドキュメント、メールサービスにログインします。
- 脅威モデリング(Threat Modeling) - より洗練されたセキュリティアーキテクチャを構築することから成り立つ技術で、脅威エージェント、セキュリティゾーン、セキュリティコントロール、重要な技術的およびビジネス的資産を特定します。
- トランスポート層のセキュリティ(Transport Layer Security) – インターネット上の通信セキュリティを提供する暗号プロトコル
- URI/URL/URLフラグメント(URI/URL/URL fragments) – URI(Uniform Resource Identifier)は、名前やWebリソースを識別するために使用される文字列です。URL(Uniform Resource Locator)は、リソースを参照するためによく使用されます。
- ユーザ受け入れテスト(UAT: User acceptance testing) – 伝統的に、すべてのソフトフェアがリリース前に本番環境を模したテスト環境で行われるテスト
- 検証者(Verifier) – OWASP ASVS要件に基づきアプリケーションをレビューする人、もしくはチーム
- ホワイトリスト(Whitelist) – 許可されたデータやオペレーションのリスト。たとえば、入力検証の実施を許可された文字列のリスト
- X.509証明書(X.509 Certificate) – X.509証明書は、広く受け入れられている国際的なX.509公開鍵暗号基盤(PKI)標準を使用するデジタル証明書で、公開鍵が証明書に含まれるユーザ、コンピュータ、サービスIDに属していることを検証します。