tomohiro– Author –
-
Palo Alto Networks複数脆弱性|CAS認証バイパスとUser-ID RCE、ファイアウォール本体が狙われる時代のSOC対応
2026年5月13日、JPCERT/CCの週次レポートで「複数のPalo Alto Networks製品に脆弱性」が報告されました。PAN-OS、Panorama、GlobalProtect App、Prisma SD-WAN ION など、国内大企業・準大企業の境界防御に広く採用されている製品群が対象です。 特に注目... -
IDORとは?安全でない直接オブジェクト参照の仕組み・被害事例・対策をわかりやすく解説
社内システムやWebアプリのAPIを見ていると、こんなURLに気づくことがあります。/api/users/123/profile というエンドポイントで、自分のユーザーIDが「123」なら、「124」に変えたら別のユーザーの情報が取れてしまうのでは?という疑問です。 この疑問が... -
SIEMとは?ログ収集・脅威検知・インシデント対応を一元管理するセキュリティの要
「うちにSIEMって必要なのか?高そうだし、運用も大変そうで二の足を踏んでいる…」 情シスの担当者からこういった相談をよく受けます。セキュリティ関連の提案書やベンダーの資料には必ずと言っていいほど「SIEM」という単語が登場しますが、「何ができて... -
OWASP Top 10とは?2021年版の全脆弱性リスト・各項目の意味と対策をわかりやすく解説
「Webアプリに脆弱性があると言われたが、何から手をつければいいかわからない」 「OWASP Top 10という言葉を聞いたことはあるが、全項目をきちんと理解できていない」 Webアプリケーションのセキュリティ対策を体系的に学ぼうとすると、必ずといっていい... -
CVSSとは?脆弱性スコアの読み方・優先度判断を現場目線で解説
「このCVSS 9.8って本当に危ないの?」「スコア7以上は全部すぐ対応しないとまずい?」——脆弱性情報に触れるたびにこんな疑問が浮かぶ方は多いはずです。 CVSSは「脆弱性の深刻さ」を数値化した世界共通の指標ですが、読み方を知らないと「高スコア=即対... -
Microsoft 2026年5月Patch Tuesday|CVSS9.8級RCEが3件、ゼロデイなしでも今月優先すべき適用ポイント
2026年5月13日(日本時間)、Microsoftが月例のPatch Tuesdayをリリースしました。今月のセキュリティ更新プログラムは公式集計で120件、Azure系を含む業界集計では130件を超える脆弱性を修正しています。 注目すべきは、約2年ぶりに「悪用が確認されてい... -
Anthropic「Mythos」がApple M5のMIEを5日で突破|AI×攻撃の新潮流と企業が今取るべき防御策
2026年5月14日、米カリフォルニア州パロアルト拠点のセキュリティ研究企業Califが衝撃的な研究結果を公表しました。Anthropic社のプレリリースAIモデル「Mythos(ミュトス)」を活用し、Apple M5チップ上のmacOSが備える最新の防御機構「Memory Integrity ... -
ハッシュ関数とは?仕組み・SHA-256など代表アルゴリズム・パスワード保存への活用をわかりやすく解説
「パスワードはハッシュ化して保存しなさい、と言われたけれど、そもそもハッシュって何が起きているのか分からない」「SHA-256とMD5はどう違うのか、結局どれを使えばいいのか判断できない」――現場で運用ツールやWebアプリの開発・保守をしていると、こう... -
中小企業の従業員セキュリティ教育|情シス1人でも始められる社内研修プログラムの作り方
セキュリティ事故の大半は、システムの脆弱性よりも「人のミス」から始まります。フィッシングメールの添付ファイルを開いてしまった、不審なリンクをクリックしてしまった、パスワードを使い回していた——こうしたヒューマンエラーが、ランサムウェア感染... -
シングルサインオン(SSO)とは?仕組み・種類・セキュリティリスクと対策をわかりやすく解説
ひとつのIDとパスワードで複数のサービスに入れる「シングルサインオン(SSO)」。Microsoft 365やGoogle Workspaceを使っている企業なら、すでに日常的に活用しているはずです。 便利な反面、IdP(認証を担う仕組み)が突破されると連携している全サービ...
