Glossary 用語集
クロスサイトスクリプティング(XSS)
クロスサイトスクリプティング
クロスサイトスクリプティング(XSS)とは、悪意のあるスクリプトをウェブページに仕込み、ユーザーの入力情報を盗んだり、不正な操作をさせたりする攻撃手法です。攻撃者が入力欄に悪意のコードを入れても、それを正しく処理しないサイトがあると、ユーザーのブラウザでそのスクリプトが実行されてしまいます。
クロスサイトスクリプティング(XSS)は、ウェブアプリケーションの脆弱性を悪用し、ユーザーのブラウザ上で意図しないスクリプトを実行させる攻撃です。攻撃者は、コメント欄、検索フォーム、問い合わせフォームなど、ユーザーが自由に入力できる場所に悪意あるJavaScriptなどのコードを紛れ込ませます。本来であれば、ウェブサイト側が入力内容を無害化する処理を行うべきですが、この対策が不十分な場合、スクリプトがそのまま保存され、別のユーザーのブラウザで実行されてしまいます。これにより、ログイン情報の盗難、偽フォームの表示、ユーザーの勝手な操作、セッション乗っ取りなど、深刻な被害が発生します。XSSは主に「ストアド型」「リフレクト型」「DOM型」の3種類に分類され、攻撃経路やスクリプトの実行タイミングが異なります。防ぐには、入力値のサニタイズ、エスケープ処理、CSP(Content Security Policy)の設定、HTTPOnlyクッキーの利用などが効果的です。今日のウェブ環境ではXSSは非常に一般的な攻撃であり、対策を怠ると、小規模なサイトでも重大な情報漏洩につながる危険性があります。
IT導入・活用のお悩み
お応えします。
「IT化は何からはじめたらいい?」「どんなITツールが自社にピッタリかわからない…」
など、IT導入に関するお悩みにITコーディネータあるいは中小企業診断士、またはPit-Nagoya事務局がお答えいたします。
必要に応じて、Pit-Nagoya会員のIT企業のご紹介、マッチングもおこないます。
どんなお悩みでもお気軽にお聞かせください。担当者より順次返信いたします。(対応時間:平日9:00〜17:00)
お悩み相談以外の事務局へのお問い合わせは 「お問い合わせ」からお願いします。
その他の用語
Google Workspace
グーグルワークスペース
Google Workspaceは、Googleが提供するビジネス向けのクラウド型オフィスツールです。GmailやGoogleドライブ、スプレッドシート、ドキュメント、Meetなどが含まれ、インターネット環境があればどこからでも仕事ができます。特にチームでの共同作業がスムーズに行える点が大きな特徴です。
DoS攻撃
ドスコウゲキ
DoS攻撃(Denial of Service攻撃)とは、対象のサーバやネットワークリソースに大量のリクエストや不正なトラフィックを送りつけてサービスを利用不能にする攻撃です。単一の送信元から行われることもあれば、複数の感染端末を使うDDoS(分散型)として大規模化する場合もあります。防御は検知、緩和、冗長化の組み合わせが基本です。
SaaS
サース
SaaS(Software as a Service)とは、ソフトウェアをインターネット経由で利用できるサービス形態のことです。ユーザーはソフトを自分のパソコンにインストールする必要がなく、ブラウザからログインするだけで使えます。代表例としてはGoogle Workspace、Salesforce、Slackなどがあります。
