tomohiro– Author –
-
経産省SCS評価制度2026年度末開始|中小取引先の★3取得6か月ロードマップ
経済産業省と内閣官房国家サイバー統括室が2026年3月27日に「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の制度構築方針を公表しました。2026年度末頃から★3(Basic)と★4(Standard)の運用が始まる予定で、これは「取引先の... -
パロアルト調査2026|国内ランサム被害6.4億円・停滞54日の現実と中小企業の防御設計
パロアルトネットワークスが2026年5月23日に公開した「State of Cybersecurity Japan 2026」は、国内のランサムウェア被害が「平均6.4億円・事業停滞54日」という、もはや一度の被害で経営継続が危ぶまれる水準に達していることを実測値で示しました。同社... -
NACとは?ネットワークアクセス制御の仕組み・認証方式・中小企業向け導入ガイド
社内ネットワークに「誰が・どの端末で・いつ」つないでいるか、正確に把握できていますか? テレワークの普及やBYOD(従業員の私物端末持ち込み)が当たり前になった今、ネットワークへの不正接続リスクは以前より格段に高まっています。「管理外の端末が... -
サーバーサイドテンプレートインジェクション(SSTI)とは?仕組み・被害例・対策をわかりやすく解説
「テンプレートエンジンを使っているから開発が速い──でも、入力値の扱いを一つ間違えると、サーバーを丸ごと乗っ取られる可能性がある」と聞いたことはあるでしょうか。 サーバーサイドテンプレートインジェクション(SSTI: Server-Side Template Injecti... -
パスキー(Passkey)とは?FIDO2の仕組みとパスワードレス認証を現場目線で解説
「パスワードが多すぎて覚えられない。かといって使い回しは危険だとわかっている…」 情シス担当者やエンジニアからそういった声をよく聞きます。パスワード管理の問題はもはやユーザーの心がけだけで解決できる話ではなく、認証の仕組みそのものを変えな... -
systemdサービスのサンドボックス化|PrivateTmp・NoNewPrivilegesでLinuxの攻撃面を最小化する実践ガイド
Linuxサーバーを運用していると、「サービスが正常に動いているか」に意識が向きがちです。しかし「サービスが攻撃された後、被害をどこまで封じ込められるか」を考えている現場は、まだ少ないのが実情です。 systemdには、サービスごとの動作環境を隔離す... -
JWTの脆弱性と安全な実装方法|alg:none攻撃・署名偽造の仕組みと対策を解説
WebアプリケーションでJWT(JSON Web Token:ジェイダブリューティー)を導入している現場のエンジニアの方、「JWTを使えば認証は安全」と思い込んでいませんか?実は、JWTには仕様上の落とし穴が複数あり、ライブラリの設定ひとつのミスがシステム全体の... -
安全でないデシリアライゼーションとは?仕組み・被害例・対策をわかりやすく解説
サーバーに届いたデータを「そのままプログラムに渡している」だけで、リモートからサーバーを完全制御される——そんな攻撃が実際に起きています。 それが「安全でないデシリアライゼーション(Insecure Deserialization)」です。SQLインジェクションやXSS... -
Log4Shell(CVE-2021-44228)とは?仕組み・影響範囲・対策をわかりやすく解説
2021年12月、セキュリティ業界に衝撃が走りました。Javaアプリケーションが広く使うログ出力ライブラリに、認証なしでリモートからコード実行(RCE)が可能な致命的な脆弱性が発見されたのです。 この脆弱性は「Log4Shell」と呼ばれ、脆弱性の深刻度を示す... -
Storm-2949が単一ID窃取からM365/Azure全体侵害に至った全手口|MITRE ATT&CKマッピングと検知ルール
「マルウェアを置かない、正規API経由で完結する、検知の網に最も引っかからない」──2026年5月18日にMicrosoft Threat Intelligence (MSTIC) が公表した攻撃クラスタ Storm-2949 は、防御側の前提を根本から揺さぶる事例でした。攻撃者は誰一人ファイルを...
