受付時間 9:00〜17:00(平日のみ)
文字サイズ
文字サイズ
Artificial Intelligenceの略。「AI(人工知能)」という言葉は、昭和31年に米国の計算機科学研究者ジョン・マッカーシーが初めて使った言葉。昭和25年代後半から昭和35年代が第一次AIブーム、昭和55年代が第二次AIブーム、現在は平成20年代から始まる第三次AIブームである(近年の大規模言語モデルなどの登場を契機に、第4次AIブームに入ったとの見方もある)。「AI」に関する確立した定義はないが、人間の思考プロセスと同じような形で動作するプログラム、あるいは人間が知的と感じる情報処理・技術といった広い概念で理解されている。
平成29年4月にIPA内に設置された産業サイバーセキュリティセンター(Industrial Cyber Security Center of Excellence, ICSCoE)が実施している人材育成プログラム。制御技術(OT:Operational Technology)と情報技術(IT)の両方の知識・スキルを有し、社会インフラ・産業基盤へのサイバーセキュリティリスクに対応できる人材の育成を目的としている。
コンピュータをネットワークで接続するために、それぞれのコンピュータに割り振られた一意の数字の組み合わせのこと。IPアドレスは、127.0.0.1 のように0~255 までの数字を4つ組み合わせたもので、単にアドレスと略されることがある。 現在主に使用されているこれらの4つの数字の組み合わせによるアドレス体系は、IPv4(アイ・ピー・ブイフォー)と呼ばれている。また、今後情報家電などで大量にIPアドレスが消費される時代に備えて、次期規格として、IPv6(アイ・ピー・ブイシックス)と呼ばれるアドレス体系への移行が進みつつある。なお、IPv6では、アドレス空間の増加に加えて、情報セキュリティ機能の追加などの改良も加えられている。
Information Sharing and Analysis Centerの略。業界内での情報共有・連携を図る組織のこと。国内では、金融や交通、電力、ICTなどの分野にISACがある。ICT-ISACでは、ICT分野の情報セキュリティに関する情報(インシデント情報を含む。)の収集・調査・分析を行っている。
Information Security Ma nagement System の略称。情報セキュリティを確保するための、組織的、人的、運用的、物理的、技術的、法令的なセキュリティ対策を含む、経営者を頂点とした総合的で組織的な取り組み。組織が ISMS を構築するための要求事項をまとめた国際規格が ISO/IEC 2 7001(国内規格は JIS Q 27001)であり、審査機関の審査に合格すると「ISMS 認証」を取得できる。
IT Business Continuity Planの略。企業の事業継続計画(BCP)の一部として策定する、災害やサイバー攻撃、システム障害などによってITシステムが停止した場合でも、業務を継続・早期復旧できるようにするための計画。企業の重要な情報資産やシステムの保護、損失の最小化を目的とし、復旧目標(RTO/RPO)や代替手段、バックアップ、システムの冗長化、クラウド活用などの対策が含まれる。ITへの依存度が高まる現代において、定期的な見直しと訓練を通じて実効性を高めることが求められる。
Japan Vulnerability Notesの略。日本で使用されているソフトウェアなどの脆弱性関連情報と対策情報を提供する、脆弱性対策情報ポータルサイトのこと。
Media Access Control addressの略。隣接する機器同士の通信を実現するためのアドレスのこと。ネットワーク機器やPC、ルーターなどについている固有の識別番号で、一般的に12桁の16進数で「00-00-00-XX-XX-XX」などと表される。
Mean Time To Recoveryの略。システム障害の発生からサービスが正常に復旧するまでの平均所要時間を示す指標。復旧速度や運用体制の成熟度を測る際に用いられ、数値が低いほどシステムの信頼性や可用性が高いと評価される。
National Cybersecurity Office(NCO)の略。国家サイバー統括室の略称。2025年5月に成立したサイバー対処能力強化法および同整備法を受け、内閣サイバーセキュリティーセンター(NISC)を改組し、同年7月1日に内閣官房に設置された。サイバーセキュリティ戦略本部の事務局として、行政機関の情報システムに対する不正活動の監視・分析、助言や情報提供、監査等を行うとともに、サイバーセキュリティ確保に関する総合調整の役割を担う。
Network Time Protocolの略。あらゆる機器の時刻情報を同期するためのプロトコル(通信規約)のこと。時刻情報を配信するサーバーと、時刻合わせを行うクライアント間、およびサーバー間の通信方法を定めている。
Project Management Officeの略。(企業組織やプロジェクト規模によっては、Program Management Office、Portfolio Management Officeとも呼ばれる。)組織全体のプロジェクトを横断的に管理する体制を指す。政府ガイドラインでのPMOは、府省全体の管理となっているが、一般企業においては、企業全体のプロジェクトの管理と読み替えられる。PJMOが個々のプロジェクト計画を定めるのに対し、PMOは全プロジェクトについて、横断的に管理・支援を行う。(例:計画、予算、執行管理、PJMO支援など)
企業や組織が自社の技術や知見にとどまらず、大学・研究機関・他企業・スタートアップなど外部の知識や人材、アイデアを積極的に活用して、新たな価値を創出する考え方。生成AIやAIマネジメントの分野では、外部技術やサービスとの連携によりイノベーションを推進しつつ、リスクや責任を適切に管理することが重要とされる。
悪意を持って情報システムに侵入し、データの改ざん・機密情報の盗み出し・サーバー攻撃・情報システムの破壊などを行うこと。
すでにインストールされているOSを削除した上で、新しくOSを再インストールする方法のこと。記憶領域にあるデータはすべて消去されるので、データはバックアップから復元する必要がある。
不正競争防止法で次のように定義されている。「業として特定の者に提供する情報として電磁的方法(電子的方法、磁気的方法その人の知覚によっては認識することができない方法をいう。次項において同じ。)により相当量蓄積され、および管理されている技術上または営業上の情報(秘密として管理されているものを除く。)をいう。
International Electrotechnical Commissionの略。 電気・電子技術分野の国際規格を策定する非政府組織で、電力、電子機器、情報通信技術(ICT)などにおける安全性や互換性を確保する基準を提供している。 ISOと連携して情報技術分野の標準化も進めており、AIマネジメントシステムに関する国際規格「ISO/IEC 42001」は、両機関の合同専門委員会(JTC1)により策定された。
International Organization for Standardizationの略。スイス・ジュネーブに本部を置く、国際的な標準化を推進する非政府組織。製品やサービス、マネジメントシステムの品質・安全性・効率性を確保するための国際規格を策定しており、品質管理(ISO 9001)、情報セキュリティ(ISO/IEC 27001)、AIマネジメント(ISO/IEC 42001)などが広く利用されている。これらの規格は、生成AIを含む企業活動の信頼性向上や経営管理の高度化、取引先・社会からの信頼確保に寄与する共通の枠組みを提供する。
AIマネジメントシステムの構築・運用に影響を与える、組織の内部および外部の状況、利害関係者の期待などの背景要因。
プログラミング言語で書かれたプログラムを機械語に変換する作業
インターネットを通じて、別の企業や組織、国家を攻撃する行為の総称。対象は、個人が所有するパソコンやスマホから、企業のサーバーやデータベース、国の重要インフラまでさまざまである。ネット社会となった現代では、インターネット空間をサイバー空間と呼ぶ。サイバー空間において、敵対する国家、企業、集団、個人などを攻撃する行為やその防御をサイバー戦争と呼ぶこともある。
「サイバーセキュリティお助け隊サービス」は、中小企業のセキュリティ対策に不可欠な各種サービスをワンパッケージにまとめた、民間事業者による安価なサービス。IPAにおいて中小企業向けセキュリティサービスが満たすべき基準を設定しており、同基準を充足するサービスに「お助け隊マーク」を付与し、同サービスの普及促進活動を行っている。
サイバー攻撃やシステム障害が発生しても、業務の継続性を維持しながら影響を最小限に抑え、迅速に回復・適応できる能力を指す。従来の「防御中心」のサイバーセキュリティに対し、攻撃を受けることを前提に「備える・耐える・回復する・適応する」といった一連の対応力を含む概念であり、組織の事業継続性と信頼性を高めるための重要な要素として NIST CSF2.0でも位置づけられている。
サイロ化とは、組織やシステムが部署や部門ごとに分断され、情報やデータ、意思決定が十分に共有・連携されない状態を指す。その結果、全体最適が図れず、リスク管理や業務効率、意思決定の質が低下する要因となる。
ハードディスクに強力な磁気を照射することで、ハードディスク内の磁気記録領域に記録されている情報を破壊する装置のこと。短時間で効率よく、大量のハードディスクのデータを完全に消去できる。
一人のユーザーが目的を達成するための道のり(プロセス)を表に表したもの。カスタマージャーニーマップともいう。
企業や組織などが所有している情報全般のこと。情報資産には顧客情報や販売情報などの情報自体に加え、ファイルやデータベースといったデータ、CD-ROMやUSBメモリなどの記録メディア、紙媒体の資料も含まれる。
情報システム(ハードウェア、ソフトウェア、ネットワークなどを含む)におけるセキュリティ上の欠陥のこと。
セキュリティの事故・出来事のこと。単に「インシデント」とも呼ばれる。例えば、情報の漏えいや改ざん、破壊・消失、情報システムの機能停止またはこれらにつながる可能性のある事象などがインシデントに該当。
OS やソフトウェアに存在する脆弱性が公開された後、修正プログラムや回避策がベンダーから提供されるまでの間に、その脆弱性を悪用して行われるサイバー攻撃のこと。
プログラムにおいてよく利用される機能を切り出し、再利用しやすいようにまとめたもので、プログラム作成のための部品のこと。ライブラリを利用することで、1から作る必要がなくなり、効率的に開発を行うことができる。
状況や環境の変化に応じて、柔軟かつ迅速に対応し、継続的に調整・改善される性質や状態を指す。AIマネジメントの文脈では、技術の進化や社会的要請、リスクの変化に応じて、リスク管理とイノベーションのバランスを固定的にせず、継続的に見直し・改善を行う姿勢を表す際に用いられる。
AIシステムの動作や出力結果を可視化し、性能や公平性、バイアスの有無などを評価・監視するためのツール。AIマネジメントでは、透明性や説明責任を確保する手段として、ダッシュボードの活用が推奨されている。
多要素認証は、サービス利用時において利用者の認証を行うために、3つの要素(①利用者だけが知っている情報②利用者の所有物③利用者の生体情報)のうち、少なくとも2つ以上の要素を組み合わせて認証する安全性が高い認証方法。例えば、利用者が知っている情報としてはパスワード、利用者の所有物としては、スマートフォンの電話番号を用いたメッセージ認証、利用者の生体情報としては指紋認証や顔認識などがある。また、近年ではFIDO2と呼ばれる、デバイスを使用したパスキーによる認証により、パスワードレスでの認証が広まっている。
技術や制度、ルールなどが環境の変化や進歩に追いつけず、価値や有効性を失ってしまうこと。
紙などで管理されてきた情報(非デジタル情報)をデジタル化するデジタイゼーション(digitization)と、デジタル技術を用いてビジネスプロセスを自動化・合理化するデジタライゼーション(digitalization)がある。音楽ビジネスでいえば、アナログ記録のレコードを CD(コンパクトディスク)にすることがデジタイゼーション、音楽をダウンロード販売することがデジタライゼーションである。
0、1、2 のような離散的に(数値として)変化する量。
実行ファイルをサーバー上に配置することで、ユーザーが利用できるようにすること。
AIシステムの設計・開発・運用における判断や処理の過程を追跡・記録し、後から確認・説明できるようにする仕組み。アカウンタビリティ(説明責任)を支える要素の一つであり、AIの意思決定プロセスやデータの流れを可視化・文書化することで、責任の所在を明確にし、信頼性や法的対応力を高める役割を果たす。
AIモデルを学習させるために使用されるデータのこと。AIの性能や公平性に大きな影響を与えるため、正確性、完全性、代表性、偏りの有無などを確認し、品質を適切に管理することが求められる。
データセンターのラック(サーバーを収容する鍵のついた棚)とサーバーに接続する回線や電源を貸し出すサービスのこと。自社が所有しているサーバーを、物理的にセキュリティが強固なデータセンターに設置し、運用できるため、セキュリティを強化できるメリットがある。
災害など不測の事態によって業務やシステムが停止した場合に、会社の事業に与える影響度を評価すること。BCP(事業継続計画)を立てる上で実行する必要がある。
攻撃者がビジネス用のメールを装い、企業の担当者を騙して、不正送金や機密情報の流出などの原因となる攻撃。BEC(ベック)Business Email Compromise とも略される。
利用権限を持たない悪意のあるユーザーが、企業や組織で管理されている情報システムやサービスに不正にアクセスすること。不正アクセスにより、正規の個人情報の窃取やデータの改ざんや破壊などの危険がある。日本では、平成12年2 月に施行された不正アクセス行為の禁止などに関する法律(不正アクセス禁止法)により、法律で固く禁じられている。
フレームワーク(サイバー セキュリティフレームワーク)とは、マルウェアやサイバー攻撃などさまざまなセキュリティ上の脅威から、情報システムやデータを守るために、システム上の仕組みや人的な体制の整備を整える方法を「ひな型」としてまとめたもの。
プロファイリングとは、個人の行動履歴や属性データなどをもとに、傾向や特徴を自動的に分析・分類する手法。AIによるプロファイリングは、利便性の向上やサービスの最適化に活用される一方、本人の知らないうちに判断が下されることで、人間の尊厳や個人の自立を損なうリスクがある。そのため「人間中心のAI社会原則」では、プロファイリングに対する配慮の重要性が示されている。
ソフトウェアの機能改修やバージョンアップ、ハードウェアのメンテナンスなど、情報システムを使い続けるために必要な作業を、それを導入した事業者以外が実施することができないために、特定の事業者(ベンダー)を利用し続けなくてはならない状態のこと。
年齢、性別、障がいの有無、文化的・社会的背景などにかかわらず、すべての人が平等に参加し、恩恵を受けられるようにする考え方。AIの設計や運用においては、特定の集団が排除されたり不利益を被ったりしないよう、意図的に配慮された仕組みづくりが求められる。
組織に存在するリスクを認識し、リスクの大きさの評価を行い、そのリスクが許容できるかどうかを決定するプロセスを指す。リスク対応を行うときの優先度の根拠となるリスクレベルを決定する活動である。
情報や技術を正しく理解し、適切に活用するための知識や能力。AI分野では、仕組みやリスクを理解した上で、倫理的・法的な観点も踏まえて活用する力を指す。