CyberFix Note
攻撃手法・脅威動向
フィッシングの手口と対策の基本。個人と組織でできることを徹底解説
依然として被害が絶えないフィッシング詐欺について、典型的な手口とその進化、見破り方、個人と組織それぞれでできる対策、そして万一被害に遭ったときの対応までを、専門知識がなくても分かるように網羅的に解説します。
記事一覧(2ページ目)
ガバナンス・コンプライアンス
社内セキュリティポリシーの作り方。基本方針・対策基準・実施手順の三層で実効性をつくる
形だけで終わらない社内セキュリティポリシーを、基本方針・対策基準・実施手順の三層構造で設計する方法を解説。三層の役割分担、策定の進め方、現場で守られる仕組みづくりと運用・見直しまでを経営と実務の両視点で整理します。
ペンテスト・CTF
CTF入門。Webセキュリティを安全に学ぶ最初の一歩を徹底ガイド
セキュリティの学習に役立つCTF(Capture The Flag)について、何を学べるのか、競技形式の種類、安全な練習環境の整え方、Webジャンルの問題への具体的な取り組み方、学習リソース、そして必ず守るべき法的・倫理的な前提までを入門者向けに丁寧に解説します。
ガバナンス・コンプライアンス
NIST CSFで自組織のリスクを棚卸しする。6つの機能で現在地を測る進め方
NIST CSF 2.0の6つの機能(統治・識別・防御・検知・対応・復旧)を物差しに、自組織のセキュリティリスクを棚卸しする進め方を、経営と現場の双方の視点から具体的に解説します。
攻撃手法・脅威動向
ソーシャルエンジニアリングの手口と対策。なりすまし・プリテキスティング・テールゲーティングを原理から理解する
技術の脆弱性ではなく人の心理を突くソーシャルエンジニアリング。なりすまし、プリテキスティング、テールゲーティングといった代表的な手口の原理と成立条件、個人と組織でできる対策を、専門知識がなくても分かるように実務目線で解説します。
防御・ハードニング
VPNの選び方と使うときの注意点。用途別の考え方と誇大広告に惑わされないコツ
VPNは「とりあえず安全」になる魔法ではありません。リモートアクセスとプライバシー保護という二つの用途を切り分け、仕組みと限界、誇大広告の見分け方、実在サービス・機器の選び方までを入門者向けに整理します。
防御・ハードニング
家庭用ルーターのセキュリティと買い替えの目安。ファーム更新・初期パスワード・サポート期間で守る
家庭用Wi-Fiルーターは攻撃者に狙われ続けています。ファームウェア更新・初期パスワードの変更・サポート期間という三つの軸で、いま何をすべきか、いつ買い替えるべきかを入門者向けに噛み砕いて解説します。
ガバナンス・コンプライアンス
ISMS(ISO/IEC 27001)認証取得の流れと勘所。PDCA・適用宣言書・リスクアセスメント・審査まで
ISMS(ISO/IEC 27001)認証取得を検討する経営・管理層向けに、規格の考え方、PDCAの回し方、適用宣言書とリスクアセスメントの作り方、審査の流れと費用感、そして認証を形骸化させないための勘所を実務目線で整理します。
防御・ハードニング
多要素認証(MFA)の選び方と導入の勘所。方式比較から運用まで徹底解説
パスワード漏えい対策の決め手となる多要素認証(MFA)について、認証要素の考え方、方式ごとの強度と使い勝手の違い、フィッシング耐性、組織導入の進め方、運用とリカバリーの設計までを実務目線で網羅的に整理します。
攻撃手法・脅威動向
サプライチェーン攻撃の構造と防御の考え方。ソフト・ハード・サービス経由の侵入をどう減らすか
自社が直接狙われなくても、取引先やライブラリ、サービス経由で侵入されるのがサプライチェーン攻撃です。実例をもとに攻撃の構造を分解し、信頼の前提を見直すための実務的な防御の考え方を解説します。
防御・ハードニング
中小企業のセキュリティソフトの選び方。EPPとEDRの違いと運用負荷で考える
中小企業がセキュリティソフトを選ぶときに迷いがちなEPPとEDRの違い、運用にかかる手間、公的支援の活用までを整理。実在する製品を確認したうえで選定の判断基準を解説します。
ガバナンス・コンプライアンス
個人情報保護法の要点。エンジニアが知っておくべきこと
個人情報の定義、安全管理措置、漏えい時の報告義務を、開発・運用の現場目線で整理します。何が個人データに当たり、何を実装で担保し、漏えい時に誰へ何日以内に報告するかを一次情報で確認します。