igeight TechBlog

AWS認定勉強中に遭遇したカタカナIT用語まとめ

Cover Image for AWS認定勉強中に遭遇したカタカナIT用語まとめ
igeight
igeight

AWS認定勉強中に遭遇するカタカナIT用語。 AWSサービスを理解していてもカタカナIT用語の意味を理解できず正しく問題文や解答文を読み解けないことがあるかと思います。 今回は自身の備忘録も兼ねて当初理解に不安があったものを中心にまとめました。皆さんの参考になると幸いです。

※本記事は随時更新していきます。 最終更新日:2025.3.21

カバレッジ: coverage

対象範囲に対して網羅している割合や範囲を示す指標です。網羅率。

オンボーディング:onboarding

新しい仲間が組織に順応して活躍できるようにするための取り組みやプロセス。

レジリエンス:resilience

困難をしなやかに乗り越え回復する力 AWSでは障害から迅速に復旧する能⼒(回復力)という使われ方をしていることが多い。

参考:Resilience lifecycle framework: A continuous approach to resilience improvement - AWS Prescriptive Guidance

ワークロード:workload

特定のビジネス目的を持ったアプリケーションやシステムのことを指します。これは、単一のアプリケーションだけでなく、複数のAWSサービスを組み合わせたシステム全体を指すこともあります。

ワークロードとは、ビジネス価値をもたらすリソースとコード (顧客向けアプリケーションやバックエンドプロセスなど) の集合のことです。

参考: ワークロード - AWS Well-Architected Tool

ボットネット:botnet

ボットネットとは、ウイルス感染した複数の端末(ボット)がC&Cサーバーの指示で遠隔操作されるネットワークのこと。攻撃者はC&C通信を使い、DDoS攻撃や情報窃取などを実行させる。

ボットネットは、協調し、連携して動作する悪意のあるボットのグループです。

このグループは、多くのコンピューティング能力とメモリを必要とするタスクを実行します。コストを節約するために、ボットの作成者は、ネットワークに接続された、他者に属するデバイスにボットをインストールしようとする場合があります。

これを行うことで、ボットをリモートで制御し、料金を支払うことなくコンピューティング性能を利用することを計画できます。

参考:ボットとは何ですか? - ボットの種類の説明 - AWS

C&C通信

Command and Control communication CandC通信(コマンド&コントロール通信)とは、ボットネットの感染端末がC andsサーバー(ボットネットの管理・制御を行うサーバー)とやり取りする通信のこと。攻撃者はこれを使ってボットを遠隔操作し、指示を送ったり、盗んだデータを受け取ったりする。

よく使われるプロトコル

  • HTTP/HTTPS: Webトラフィックに紛れて通信を隠す
  • DNS: 通信をフィルタリングされにくくする
  • IRC: 古典的なボットネットで使用
  • P2P: C2サーバーなしで分散制御

最近は、SNSやクラウドストレージを利用するケースも増えている。

TLS接続:Transport Layer Security

TLS接続(Transport Layer Security接続)は、インターネット上でデータを安全にやり取りするための仕組みです。主にウェブサイトとブラウザ間の通信を暗号化して、第三者にデータを盗まれたり改ざんされたりしないように保護します。

TLSは、以前のSSL(Secure Sockets Layer)の後継技術で、インターネットでのセキュリティを高める役割を果たしています。

参考:SSL と TLS の比較 - 通信プロトコルの違い - AWS

TCP

TCP(Transmission Control Protocol)は、インターネット通信においてデータを確実に送受信するためのプロトコルです。

TCPの主な特徴

  • 信頼性:データの欠落や順序の乱れを検出・修正する
  • コネクション型:通信の開始(3ウェイハンドシェイク)と終了を明確に管理
  • 誤り制御:パケットが正しく届いたか確認し、必要なら再送

HTTPやSSHなど、多くのネットワークサービスで使用されます。

UDP

UDP(User Datagram Protocol)は、TCPと異なり信頼性よりも高速性を重視した通信プロトコルです。

UDPの主な特徴

  • 非コネクション型:通信の確立なしにデータを送信
  • 信頼性なし:パケットの順序保証や再送制御がない
  • 低遅延・高速:処理が軽いためリアルタイム通信に向いている

UDPの主な用途

  • 動画・音声ストリーミング(YouTube、Zoom など)
  • オンラインゲーム
  • DNSクエリ

信頼性が不要な用途ではUDPが適しています。

コンプライアンス:compliance

クラウド環境で運用するシステムやデータが、業界標準や法規制、セキュリティ基準に適合していることを指します。

一般的には企業などが、法令や規則をよく守ること。法令遵守。

ガバナンス:Governance

組織の方針やルールを定め、それに基づいて適切に管理・運営することを指します。 クラウド環境でのリソース管理やセキュリティ、コンプライアンスを適切に維持するための仕組みを指します。

マルウェア:Malware

「悪意のあるソフトウェア(Malicious Software)」の略で、コンピュータやネットワークに被害を与える不正なプログラムの総称です。

マルウェアの主な種類

  • ウイルス:他のファイルに寄生し、自己増殖する
  • ワーム:単独で増殖し、ネットワーク経由で拡散
  • トロイの木馬:正規のソフトに見せかけて侵入し、不正な動作を行う
  • ランサムウェア:データを暗号化し、身代金を要求
  • スパイウェア:個人情報や機密情報を盗む
  • ボットネット:感染PCを乗っ取り、DDoS攻撃やスパム送信に利用

マルウェア対策

  • ウイルス対策ソフトを導入(Windows Defender、ESET、Norton など)
  • OSやソフトウェアを最新に保つ(セキュリティパッチ適用)
  • 不審なメール・リンクを開かない(フィッシング対策)
  • 重要データは定期的にバックアップ(ランサムウェア対策)
  • AWS環境では Amazon GuardDuty でマルウェア検出が可能です。

DDoS攻撃:Distributed Denial of Service attack

散型サービス妨害攻撃のことで、多数のコンピュータから同時に大量のリクエストを送りつけ、ターゲットのサーバーやネットワークを過負荷にしてサービスを利用できなくする攻撃です。

DDoS攻撃の特徴

  • 分散型:攻撃者が複数のマシン(ボットネット)を利用して攻撃
  • 大量のトラフィック:サーバーや回線を圧迫し、正規のユーザーがアクセスできなくなる
  • 継続的な攻撃:短時間~数日間にわたって影響が続くこともある

DDoS攻撃の主な攻撃手法

  • ボリューム攻撃:大量のパケットを送信し、帯域を占有(例:UDPフラッド)
  • プロトコル攻撃:ネットワーク機器の処理能力を消費(例:SYNフラッド)
  • アプリケーション層攻撃:Webサーバーなどのアプリに負荷をかける(例:HTTPフラッド)

AWSでのDDoS攻撃対策

  • AWS Shield(Standardは無料、Advancedは有料)でDDoS軽減
  • AWS WAF で不審なリクエストをブロック
  • Amazon CloudFront(CDN)でトラフィックを分散
  • Auto Scaling でサーバーのキャパシティを自動拡張
  • DDoS攻撃を受けるとサービス停止や経済的損害につながるため、適切な対策が重要です。

参考:re:Invent 2024: AWSのDDoS対策 - Shield、CloudFront、WAFの活用法

FIPS140-2 レベル3

FIPS 140-2(Federal Information Processing Standard 140-2)は、コンピューターや通信システムの暗号化モジュールを検証するセキュリティ標準です。 米国国立標準技術研究所(NIST) が開発しました。

FIPS 140-2 には レベル1~レベル4 までの4段階のセキュリティ基準があり、レベル3は高度なセキュリティ対策が求められるレベルです。

FIPS 140-2 レベル3 の主な要件

  • 物理的セキュリティの強化
  • 暗号モジュールは改ざん防止機能(タンパーエビデント、タンパーレスポンシブ)を備える
  • 侵入を試みると鍵が消去される仕組みが必要(例:HSM)
  • 強力なアクセス制御
  • 認証機構が強化され、ロールベースのアクセス制御が必要
  • 暗号鍵の安全な管理
  • 暗号鍵はクリアテキスト(平文)で外部に出力不可
  • 秘密鍵の分割管理(M of N 方式など)が求められる

AWS での FIPS 140-2 レベル3 準拠サービス

AWSでは、AWS CloudHSMAWS KMS(Key Management Service )が FIPS 140-2 レベル3に準拠しています

参考:AWS KMS HSM が FIPS 140-2 セキュリティレベル 3 にアップグレード

フォレンジック:Forensics

デジタル証拠を収集・分析し、不正行為やサイバー攻撃の原因を調査する技術や手法のことです。 主にセキュリティインシデント対応や法的証拠保全のために用いられます。

フォレンジックの種類

1. デジタル・フォレンジック(一般的なIT環境での調査)

  • ディスク・フォレンジック:ハードディスクやSSDのデータ復元・解析
  • メモリ・フォレンジック:RAMのデータを取得し、不正プロセスやマルウェアを調査
  • ネットワーク・フォレンジック:通信ログの解析(パケットキャプチャ、ファイアウォールログなど)
  • ログ・フォレンジック:OSやアプリケーションのログ分析

2. クラウド・フォレンジック(AWS などのクラウド環境での調査)

  • AWS CloudTrail(APIアクティビティの記録)
  • AWS GuardDuty(脅威検知)
  • Amazon Detective(セキュリティインシデントの分析)
  • AWS Security Hub(セキュリティイベントの統合管理)

フォレンジックの目的

  • サイバー攻撃の原因調査(マルウェア感染、DDoS攻撃など)
  • データ漏洩の証拠収集
  • 内部不正の発見(情報持ち出し、権限乱用)
  • 法的証拠の保全(企業間トラブル、裁判対応)
  • フォレンジックは、インシデント対応だけでなく、セキュリティ強化のための事前対策としても重要です。

参考:AWS 上でフォレンジック調査環境を構築する際の方策 | Amazon Web Services ブログ

インシデント:Incident

システムやネットワークの正常な運用を妨げるセキュリティ上の問題や障害のことを指します。特に、サイバーセキュリティの分野では不正アクセス、データ漏洩、マルウェア感染などのセキュリティ事故を指すことが多いです。

インシデントの主な種類

セキュリティインシデント(サイバー攻撃関連)

  • 情報漏洩(機密データの流出)
  • 不正アクセス(ハッキング、内部不正)
  • マルウェア感染(ウイルス、ランサムウェアなど)
  • DDoS攻撃(サービス妨害攻撃)

運用インシデント(システム障害関連)

  • サーバーダウン(EC2、RDS などの障害)
  • ネットワーク障害(VPC、ルーターの問題)
  • データ破損・消失(S3バケット削除、誤操作など)

AWSでのインシデント対応のポイント

  • CloudTrail(APIアクティビティを記録して不正アクセスを追跡)
  • GuardDuty(脅威検知で異常なアクティビティを検出)
  • Security Hub(複数のセキュリティサービスを統合管理)
  • AWS Incident Response Playbook(AWS推奨のインシデント対応手順)

インシデント対応の流れ

  • 検知(ログ監視、アラート)
  • 分析(影響範囲の特定、フォレンジック調査)
  • 封じ込め・対応(攻撃者の遮断、システム復旧)
  • 復旧(正常な運用への回復)
  • 再発防止(セキュリティ強化、ポリシー改善)

インシデント対応は、迅速かつ的確に行うことが重要で、AWSでは様々なツールを活用して自動化や可視化を進めることが推奨されます。

脅威インテリジェンスリスト:Threat Intelligence List

既知の悪意あるIPアドレス、ドメイン、URL、ハッシュ値などの情報をまとめたリストのことです。サイバーセキュリティ対策として、不正アクセスの防止や異常なトラフィックの検出に活用されます。

脅威インテリジェンスリストの主な用途

  • ファイアウォールやWAFでのアクセス制御
  • SIEM(Security Information and Event Management)でのログ分析
  • 脅威検知システム(IDS/IPS)での不審な通信のブロック
  • マルウェア対策(ハッシュリストを利用したスキャン)

AWSでの活用

AWSでは、以下のサービスが脅威インテリジェンスリストを活用してセキュリティ対策を強化できます。

  • AWS GuardDuty AWS独自の脅威インテリジェンスリストを利用し、不審なIPアドレスやドメインを検出 ユーザー独自の「カスタム脅威インテリジェンスリスト」を追加可能

  • AWS WAF(Web Application Firewall) IPレピュテーションリスト(悪意のあるIPアドレスをブロック) Bot Control(悪質なボットのアクセスを制限)

  • Amazon Detective GuardDuty の検出結果をもとに、攻撃のパターンや影響範囲を分析

  • AWS Security Hub 脅威インテリジェンスを統合し、セキュリティリスクを一元管理

bastionホスト:Bastion Host

セ_キュアなプライベートネットワークにアクセスするための中継サーバーで、外部から内部ネットワークへの安全なアクセスを提供します。主にSSHやRDPを使用して、プライベートサブネット内のサーバーにアクセスする際に利用されます。

Bastionホストは通常、インターネットに公開され、プライベートネットワークに直接アクセスできないようにします。

※Bastionの直訳は要塞です。日本では踏み台と呼ばれることが多いですかね。

Bastionホスト主な特徴

  • アクセスの制御:Bastionホストを介してのみ内部ネットワークにアクセスできるため、直接のアクセスを防止。
  • セキュリティ強化:SSHキーや特定のIPアドレスを使用してアクセスを制限でき、セキュリティが強化される。
  • 監査とログ管理:Bastionホストを通じたすべてのアクセスがログとして記録されるため、監査や不正アクセスの検出が可能。

AWSにおける使用例

AWSでは、EC2インスタンスをBastionホストとして使用し、パブリックサブネットに配置してインターネットからアクセスできるように設定します。プライベートサブネット内のリソース(例えば、データベースやアプリケーションサーバー)にアクセスするためにBastionホストを経由します。

オフロード機能:Offload Function

特定の処理やタスクを、主にCPU以外の専用ハードウェアやシステムに移すことを指します。この機能を使用することで、システムの効率を向上させ、メインプロセッサの負荷を軽減します。

AWS環境でも、以下のようなオフロード機能を活用できます:

  • Elastic Network Adapter (ENA)やElastic Fabric Adapter (EFA)などによるネットワーク処理のオフロード
  • GPUインスタンス(例:P4、G4インスタンス)を使用して、グラフィックや機械学習の処理をオフロード
  • AWS KMS(Key Management Service)を使用して、暗号化処理をオフロード

オフロード機能を利用することで、特に高負荷な作業を効率的に処理することができます。

ingress通信

外部ネットワークから内部ネットワークへのデータの流れを指します。具体的には、インターネットや他の外部システムから、組織の内部ネットワークやシステム、サーバーに向かって送信される通信を意味します。

Ingress通信の使用例

  • ウェブサーバーへのリクエスト:ユーザーがウェブブラウザを使ってウェブサイトにアクセスする通信。
  • APIアクセス:外部システムが内部のAPIサーバーにリクエストを送る場合。
  • メールサーバー:外部からのメールを内部のメールサーバーに送る通信。

Egress通信

内部ネットワークから外部ネットワークへのデータの流れを指します。具体的には、内部システム、サーバー、アプリケーションからインターネットや他の外部ネットワークに向かって送信される通信です

Egress通信の使用例

  • 外部APIへのアクセス:アプリケーションがインターネット上のサービスにデータを送る(例:外部の決済サービスや地図APIへのリクエスト)。
  • メール送信:内部メールサーバーから外部のメールサーバーへ電子メールを送信する通信。
  • ソフトウェアのアップデート:サーバーがインターネットから最新のアップデートパッチをダウンロードする。

ABAC:Attribute-Based Access Control

アクセス制御の方法の一つで、属性に基づいてアクセスを制御する方式です。ABACでは、ユーザーやリソース、環境の属性を基にして、アクセス権限を決定します。

ABACの仕組み

  • 属性(Attribute):ABACは、アクセスを許可または拒否するための条件として、ユーザーの属性(例:ユーザーの役職、部門、所在地など)や、リソースの属性(例:リソースの分類、機密性レベルなど)、環境の属性(例:アクセス元の時間や場所)を使用します。
  • ポリシー:アクセスルールは、属性に基づいたポリシーとして定義されます。このポリシーは、ユーザーがアクセスするリソースに対して、どの属性が一致すればアクセスを許可するかを決定します。

ABAC(Attribute-Based Access Control)の例

ABACは、属性に基づいてアクセス権限を決定します。ユーザー、リソース、環境などの属性を使ってアクセス制御します。

例1: 部門に基づくアクセス制御

  • 状況: 会社の文書管理システムで、営業部門の社員は営業に関連するドキュメントのみアクセスできるようにしたい。
  • 設定: ユーザー属性に「部門」があり、「営業部」として登録されているユーザーだけが営業部門のドキュメントにアクセスできます。部門が異なるユーザーにはアクセスが許可されません。

例2: 業務時間外のアクセス制限

  • 状況: 会社のシステムは、業務時間外にはアクセスを許可しないようにしたい。
  • 設定: ユーザーがログインする際に「時間」の属性が確認され、業務時間外(例えば18:00以降)のアクセスは拒否されます。

例3: 役職に基づく承認フロー

  • 状況: 特定の重要なファイルは、上司の承認を得た役職の社員だけがアクセスできるようにしたい。
  • 設定: ユーザー属性に「役職」があり、「部長」や「役員」の役職を持つ社員だけが、その重要ファイルにアクセスできるよう設定されます。

RBAC:Role-Based Access Control

役割に基づいてアクセス制御を行う方式です。このモデルでは、ユーザーは特定の役割(Role)を持ち、その役割に基づいてリソースへのアクセス権限が付与されます。RBACは、組織のセキュリティ管理を簡素化し、効率的にアクセスを制御するために使用されます。

RBACの仕組み

  • 役割(Role):ユーザーは、システム内で担当する職務や機能に応じた役割を持ちます。例えば、「管理者」「一般ユーザー」「監査者」など。
  • 権限(Permission):役割に基づいて、アクセスするリソースや操作に対する権限が定義されます。例えば、ファイルの読み取り、書き込み、削除などの権限。
  • ユーザー(User):ユーザーは1つまたは複数の役割に割り当てられ、それに基づいてシステム内のリソースへのアクセスが許可されます。

RBAC(Role-Based Access Control)の例

RBACは、役割に基づいてアクセス権限を決定します。ユーザーが担当する役割に応じて、アクセスできるリソースや操作が決まります。

例1: 管理者と一般ユーザーの権限

  • 状況: 社内システムにおいて、管理者はシステム設定の変更ができるが、一般ユーザーは変更できないようにしたい。
  • 設定: 「管理者」という役割には、システム設定を変更する権限(例:ユーザーの追加、設定変更など)が与えられ、「一般ユーザー」役割には閲覧のみの権限が与えられます。

例2: 監査者による閲覧権限

  • 状況: 監査チームはログイン履歴やアクセス履歴を閲覧できるが、変更はできないようにしたい。
  • 設定: 監査者役割に「閲覧のみ」の権限が付与され、システムの設定やデータ変更はできないように制限します。

例3: 部門別のファイルアクセス

  • 状況: 各部門の社員が、自分の部門に関連するファイルにのみアクセスできるようにしたい。
  • 設定: 「営業部門」役割には営業関連のファイルアクセス権限が与えられ、「技術部門」役割には技術関連のファイルアクセス権限が与えられます。それぞれの部門のファイルは他部門の社員がアクセスできないように設定されます。

ABACとRBAC

ABACは、アクセス権限をユーザーの属性や環境に基づいて柔軟に決定するのが特徴です。 RBACは、役割に基づいてアクセスを制御するので、管理や運用が比較的簡単ですが、柔軟性はABACに比べて少ないことがあります。

参考:ABAC 認可で属性に基づいてアクセス許可を定義する - AWS Identity and Access Management