tomohiro– Author –
-
中小企業のセキュリティポリシー策定ガイド|情シス1人でも整備できるルールとひな形テンプレート
「うちはまだ小さいからセキュリティポリシーなんて必要ないでしょ」。そう思って先送りにしていた矢先、退職した社員のアカウントが残ったまま外部から不正ログインされた——こうした事例が、中小企業でも後を絶ちません。 情報セキュリティポリシーは、大... -
auditdログから侵入痕跡を見抜く実践ガイド|不審操作の検知ルールと解析手順
「サーバーに不審なアクセスがあった気がする」「ログは取っているけれど、どれを見ればいいかわからない」――情シス担当者やインフラエンジニアの方であれば、一度は感じたことがあるのではないでしょうか。 侵入の痕跡は、必ずどこかに残ります。問題は「... -
HTTPリクエストスマグリングとは?仕組み・被害例・対策をわかりやすく解説
Webアプリケーションの裏側に潜む「見えない通信の隙間」を攻撃者が突いてくる——そんな脅威が、HTTPリクエストスマグリングです。 近年、大手クラウドサービスやCDNのバグバウンティプログラムで高額報酬案件として注目を集めており、クラウドネイティブな... -
ARPスプーフィングとは?仕組み・被害例・中小企業でもできる対策を現場目線で解説
社内ネットワークは「安全な場所」だと思っていませんか。実は同じLANに接続されている端末が一台あれば、通信を丸ごと傍受できてしまう手法が存在します。それが「ARPスプーフィング」です。 ファイアウォールを導入していても、この脅威は内側から発生す... -
バッファオーバーフローとは?仕組み・被害例・対策をわかりやすく解説
「バッファオーバーフロー」という言葉は聞いたことがあるけど、実際にどんな仕組みで攻撃されるのか、よくわからない。 そんなふうに感じているエンジニアは多いと思います。バッファオーバーフローは1988年のMorrisワーム以来、繰り返し悪用されてきた脆... -
最小権限の原則とは?実装手順とチェックリストで理解する情報セキュリティの基礎
「管理者権限でログインしたまま作業している」「部署異動後も古い権限がそのまま残っている」——こうした状況が積み重なると、サイバー攻撃者に侵入された際に被害が一気に広がります。 セキュリティの世界では、こうしたリスクを根本から抑える考え方とし... -
Linuxのsysctlセキュリティ設定|カーネルパラメータで攻撃を防ぐ実践ガイド
ファイアウォールを設定し、SSHを鍵認証に切り替えた。それでも「カーネルレベルの設定まで手が回っていない」という現場エンジニアは意外と多いものです。 Linuxのデフォルト設定は、互換性を優先して作られています。セキュリティを高めるには、カーネル... -
企業Wi-Fiのセキュリティ対策|WPA3・802.1X・SSID分離で不正アクセスを防ぐ実践ガイド
「社員が自由にWi-Fiに繋いでいるけど、セキュリティ的に大丈夫なのかな……」 「来客にWi-Fiパスワードを教えるたびに、変更するのも面倒で放置している」 こういった状況、情シスを担当していると一度は経験があるのではないでしょうか。 Wi-Fiは「見えな... -
AWS認定セキュリティスペシャリストとは?試験内容・難易度・勉強法をわかりやすく解説
クラウドが当たり前になった今、「セキュリティもクラウドで完結させたい」という需要は急速に高まっています。そのなかでAWSを使う現場のエンジニアが次のステップとして目指す資格が、AWS認定セキュリティスペシャリスト(AWS Certified Security – Spec... -
中小企業のID管理入門|退職者アカウント放置・過剰権限を情シス1人で防ぐ実践ガイド
退職した社員のIDが半年後も有効なまま放置されていた――そんな話を「他社事例」として笑えない中小企業は多いはずです。情報セキュリティインシデントの原因として「元従業員による不正アクセス」「内部関係者の権限悪用」が繰り返し報告されており、特に...
