-
中小企業のWebサイトセキュリティ対策|WordPressの改ざん・情報漏洩を防ぐ情シス実践ガイド
「会社のWebサイトが改ざんされて、見知らぬ広告ページにリダイレクトされていた」——こうした被害報告は、大企業だけの話ではありません。むしろ攻撃者は、セキュリティ対策の手薄な中小企業のWordPressサイトを組織的にスキャンし、脆弱なサイトを自動で... -
Linuxのseccomp入門|システムコールフィルタリングでプロセスの攻撃面を最小化する実践ガイド
「seccompって聞いたことはあるけど、実際にどう設定するのか分からない」「Dockerでseccompプロファイルを使っているが、仕組みをちゃんと理解できていない」——そんな疑問を持つエンジニアは多いのではないでしょうか。 seccomp(Secure Computing Mode)... -
HTTPSだけでは足りない|セキュリティヘッダー完全ガイド(CSP・HSTS・X-Frame-Options)設定と確認方法
「うちのサイトはHTTPS対応済みだから大丈夫」——そう思っているエンジニアほど、実は見落としている落とし穴があります。 HTTPSはデータの暗号化と通信経路の保護には有効です。しかし、ブラウザ上でのスクリプト実行制御や、フレーム内での悪用防止といっ... -
CAMPFIRE GitHub不正アクセスに学ぶシークレット管理|認証情報の誤アップロードを防ぐ実務
「うちみたいな小さな会社で、GitHubの設定なんてそこまで気にしなくても」。そう思っていた方ほど、今回の事案は他人事ではないかもしれません。2026年6月2日、クラウドファンディング大手のCAMPFIRE(キャンプファイヤー)が、自社のGitHubアカウントへ... -
量子コンピュータ「Q-Day」が迫る|Google 2029年期限が示す耐量子暗号(PQC)移行ロードマップ
「いま使っている暗号は、いつまで安全なのだろう」。そんな素朴な不安を、技術ニュースの片隅で感じた方もいるかもしれません。2026年6月、量子コンピュータが現在の暗号を破る日「Q-Day(キューデイ)」が近づいているという話題が改めて注目を集めまし... -
ローカルファイルインクルード(LFI)とは?仕組み・攻撃手口・対策を現場目線で解説
サーバー内の重要ファイルを攻撃者に読まれたり、外部から悪意あるコードを実行されたりする「ファイルインクルード脆弱性」を知っていますか。PHPをはじめとするWebアプリケーションに潜むこの脆弱性は、/etc/passwdのような認証情報の漏洩や、条件が重な... -
Linuxのcapabilities(ケーパビリティ)入門|rootを使わずに特権操作を安全に委譲する実践ガイド
Linuxサーバーの管理でよくある判断ミスが「特権が必要だからrootで動かす」という発想です。ネットワークソケットを開きたい、rawパケットを扱いたい、ファイルのタイムスタンプを変更したい——こうした操作のたびにrootを与えていると、万が一プロセスが... -
中小企業のSaaS導入セキュリティ評価|情シス1人でも実践できる承認フローとチェックリスト
「便利だから使いたい」と申請されたクラウドサービス、審査もなく承認していませんか。情シスが1人体制の中小企業では、SaaSの導入可否を判断する仕組みがないまま現場主導でツールが増え続けるケースが後を絶ちません。気づいたときには社外のサーバーに... -
ClamAV入門|Linuxサーバーのマルウェアスキャン設定と自動化実践ガイド
「LinuxはWindowsと違ってウイルスに感染しない」という話を聞いたことがある方もいるかもしれません。確かにLinuxが狙われる頻度はWindowsより低いのは事実ですが、「感染しない」は完全な誤解です。 Webサーバーとして外部に公開しているLinuxマシンには... -
サイバーキルチェーンとは?攻撃者の7段階プロセスと各フェーズへの防御マッピング実践ガイド
「うちは大企業じゃないから狙われない」という思い込みは、残念ながら攻撃者には通用しません。ランサムウェア感染や情報漏洩の事後報告書を読むたびに「どこかのタイミングで止められたはずなのに」という悔恨が漏れてきます。 この記事では、攻撃者が侵...
