tomohiro– Author –
-
脅威モデリングとは?STRIDE手法でシステムの弱点を洗い出す実践ガイド
「うちのシステム、本当に大丈夫なのかどうか、どうやって確認すればいいんだろう」「セキュリティ対策はしているつもりだけど、見落としている穴があるんじゃないか」 情シス担当として日々の運用をこなしながら、そんな不安を抱えている方は少なくないは... -
デジタル署名とは?電子署名との違い・仕組み・活用場面をわかりやすく解説
「デジタル署名と電子署名、何が違うの?」 「コード署名やS/MIMEを設定しろと言われても、仕組みがよくわからない」 こうした疑問を持つエンジニアは少なくありません。デジタル署名は現代のセキュリティ基盤を支える技術でありながら、「なんとなく知っ... -
中小企業のサイバー被害に「外部の24時間初動支援」を|ALSOKのインシデント窓口・ITレスキュー活用術
「もし夜間や休日にサイバー被害が起きたら、誰に連絡すればいいのか」――この問いに即答できる中小企業は、実はそれほど多くありません。攻撃は営業時間を選んでくれませんが、社内に24時間対応できる体制を持つのは、人員的にもコスト的にも簡単ではない... -
Armの脆弱性診断AI「Metis」がApache 2.0でOSS公開|真陽性率10倍の中身を攻撃者視点で読み解く
「AIにコードの脆弱性を見つけさせる」という話は、これまでどこか半信半疑で聞いていた方も多いのではないでしょうか。検出はするけれど誤検知ばかりで、結局アラートを精査する人間の手間が増える――そんな経験をした現場は少なくありません。 そんな中、... -
Chrome 148で脆弱性151件・うち22件がCritical|今すぐやるべき更新確認の手順を攻撃者視点で解説
「またChromeの更新通知が出ているけれど、あとで再起動すればいいか」――そう思って先延ばしにしていませんか。今回のChrome 148の更新は、その「あとで」が思いのほか危ない種類のものです。 GoogleはChrome 148で、合計151件の脆弱性を修正しました。そ... -
GPT-5.5-Cyberを攻撃者視点で読み解く|サイバー特化AIの二面性とSOCが今すべき防御転用
「サイバー防御に特化したAIが政府に提供される」というニュースを見て、自社のセキュリティ運用に何か関係があるのか、と気になった方は多いはずです。守りを助けるはずのAIが、もし攻撃側の手に渡ったらどうなるのか――この不安は、決して的外れではあり... -
DNSセキュリティ強化ガイド|DoH・DoT・DNSSECで名前解決を保護する実践設定
社内のPCが突然、見覚えのないサイトに誘導される。ユーザーは正しいURLを入力しているのに、通信が知らない第三者に盗み見られている。そんな攻撃の多くが、DNSという「インターネットの電話帳」を狙ったものです。 DNSはドメイン名をIPアドレスに変換す... -
インサイダー脅威(内部不正)とは?手口・被害例・対策をわかりやすく解説
セキュリティというと、外部からのハッカーやマルウェアばかりを意識しがちです。しかし現実には、組織内の人間が引き起こすセキュリティ事故——いわゆるインサイダー脅威——が企業に与えるダメージは非常に大きく、しかも外部攻撃より発覚が遅れやすいとい... -
Linuxマウントオプション(noexec・nosuid・nodev)でサーバーを堅牢化する実践ガイド
Linuxサーバーを立てたとき、ファイアウォールの設定やSSH鍵認証の有効化は真っ先に行うものですが、マウントオプションまで意識して設定できているエンジニアは意外と少ないものです。「デフォルトのままで困ったことがない」という感覚は理解できますが... -
CORS設定ミスとは?クロスオリジンリソース共有の脆弱性・悪用手口・対策を現場目線で解説
「APIサーバーには認証も付けているし、HTTPSにもしている。それで十分では?」 そう考えている現場は少なくありません。しかし、CORS(Cross-Origin Resource Sharing)の設定を一つ間違えるだけで、ブラウザの同一オリジンポリシーという強力な防壁をま...
