tomohiro– Author –
-
WAFとは?Webアプリケーションファイアウォールの仕組み・選び方・導入手順をわかりやすく解説
Webサービスへの攻撃は年々巧妙になっています。IPAの調査によると、2023年に報告されたWebアプリケーションへの攻撃のうち、SQLインジェクションやXSSといったアプリケーション層の攻撃が全体の約60%を占めているとされています。通常のファイアウォール... -
暗号化とは?共通鍵・公開鍵・ハッシュの違いをわかりやすく解説
「暗号化って結局どれを使えばいいの?」「共通鍵と公開鍵の違いが曖昧なまま、なんとなくHTTPSを設定している」――セキュリティの現場では、暗号化の基礎をあいまいに理解したまま運用しているケースが少なくありません。 暗号化はセキュリティ対策の土台... -
DDoS攻撃とは?仕組み・種類・対策をわかりやすく解説
「突然サイトが落ちた」「サービスにアクセスできない」というトラブルに直面したとき、DDoS攻撃が原因だったというケースは決して珍しくありません。大企業だけの話と思いがちですが、中小企業や個人が運営するサービスも標的になる時代です。 この記事で... -
ディレクトリトラバーサルとは?仕組み・攻撃例・対策をわかりやすく解説
「ファイルをダウンロードする機能を作っただけなのに、サーバーの設定ファイルが丸見えになっていた」――Webアプリケーションの脆弱性診断で、こんな報告を受けたことはないでしょうか。 ディレクトリトラバーサル(パストラバーサル)は、Webアプリケーシ... -
sudoの安全な設定方法|visudo・sudoersで権限昇格を防ぐ実践ガイド
「このユーザーにsudo権限を渡しておいて」――そんな軽い気持ちで設定したsudoersが、サーバー全体の管理者権限を奪われる入り口になっていた。現場では珍しくない話です。 sudo(superuser do)はLinuxにおいて一般ユーザーが管理者権限でコマンドを実行す... -
firewalldの設定入門|ゾーン・ルール・ポート制御でLinuxを守る方法
「firewalldの設定を変えたいけれど、ゾーンやルールの関係がよくわからない」――そんな声をLinuxサーバーの運用現場でよく耳にします。 RHEL系ディストリビューション(Red Hat Enterprise Linux、CentOS、Rocky Linux、AlmaLinux等)では、firewalldがデ... -
セッションハイジャックとは?仕組み・被害例・対策をわかりやすく解説
「ログインしたはずの自分のアカウントが、知らないうちに誰かに操作されていた」「購入した覚えのない商品の注文確認メールが届いた」――こうした被害の裏側に潜んでいることが多いのが、セッションハイジャックと呼ばれる攻撃です。 セッションハイジャッ... -
OSコマンドインジェクションとは?仕組み・被害例・対策をわかりやすく解説
「Webアプリケーションの脆弱性診断で"OSコマンドインジェクション"が検出された」「入力フォームからサーバーを乗っ取られると聞いたが、具体的に何が起きるのか分からない」――こうした不安を感じたことはないでしょうか。 OSコマンドインジェクションは... -
SELinuxとは?仕組み・モード・設定方法をわかりやすく解説
「SELinuxが有効だとアプリが動かないから、とりあえず無効にしている」――そんな運用をしていないでしょうか。 SELinux(Security-Enhanced Linux)は、Linuxカーネルに組み込まれた強制アクセス制御(MAC: Mandatory Access Control)の仕組みです。正し... -
CISSPとは?試験内容・勉強法・キャリアへの活かし方を徹底解説
「セキュリティの上位資格を目指したい」「マネジメント寄りのキャリアに進みたい」と考えたとき、候補に挙がる資格の一つがCISSPです。世界的な知名度と実務への直結度の高さから、セキュリティ専門職のキャリアアップに有力な選択肢として知られています...
