CyberFix Note
セキュアコーディング
シークレット管理の実務。APIキー・認証情報をハードコードせず、Vaultやマネージドサービスで守りローテーションする
APIキーやDB認証情報などのシークレットを、ハードコード回避・集中管理・ローテーション・最小権限という4つの軸で守る方法を、Vaultやクラウドのマネージドサービス、動的シークレットまで実務目線で解説します。
記事一覧(4ページ目)
防御・ハードニング
サーバーのハードニング基礎。最小化・最小権限・更新・設定堅牢化をCISベンチマークから学ぶ
サーバーを攻撃から守る土台となるハードニング(要塞化)の考え方を、最小化・最小権限・継続的な更新・設定の堅牢化という4本柱で整理し、CISベンチマークを使った具体的な進め方と運用までを実務目線で解説します。
脆弱性・CVE解説
ゼロデイ脆弱性とは。検知が難しい攻撃にどう備えるか
修正プログラムが存在しない状態で悪用されるゼロデイ脆弱性について、なぜ防ぎにくいのかを原理から解説し、多層防御・仮想パッチ・迅速なパッチ運用という実務的な備え方を具体的な判断基準まで掘り下げます。
脆弱性・CVE解説
CVSSスコアの読み方と脆弱性対応の優先度付け。基本値だけで判断しないために
CVSS v3.1とv4.0の構成を整理し、基本値(Base)だけで優先順位を決める落とし穴と、KEVやEPSSなど実際の悪用情報を組み合わせた実務的な脆弱性対応の判断軸を、運用担当者目線で解説します。
セキュアコーディング
DevSecOps入門。CI/CDにセキュリティを組み込むSAST・DAST・SCA・シークレットスキャン
セキュリティを開発の最後の検査にせず、CI/CDに自動チェックとして組み込む考え方を解説します。SAST・DAST・SCA・シークレットスキャンの役割の違いと、シフトレフトを現場で回す導入順序・判断基準を具体的にまとめます。
インシデント対応・フォレンジック
ランサムウェア被害からの復旧とバックアップ設計。3-2-1とイミュータブルで「戻せる」備えをつくる
暗号化されたデータは攻撃者の鍵なしには戻せません。本記事は3-2-1ルール、隔離・イミュータブルなバックアップ、そして復旧訓練までを、運用担当が自分の環境で判断できる粒度に噛み砕いて解説します。
防御・ハードニング
ゼロトラストを最小コストで取り入れる。考え方とID中心の段階導入
「決して信頼せず、常に検証する」というゼロトラストの考え方を、製品の一括導入ではなく、既存環境を活かした最小コストで取り入れる進め方を解説します。ID中心の発想と、無理のない段階導入の優先順位を整理します。
脆弱性・CVE解説
CSRFとは何か。仕組みからトークン・SameSite Cookieによる対策まで実務目線で解説
Webアプリの代表的脆弱性CSRFを、なぜ成立するのかという原理から、CSRFトークン(同期トークン・ダブルサブミット)とSameSite Cookieによる多層防御、よくある誤解までを実務目線で体系的に整理します。
セキュアコーディング
依存ライブラリ管理とSCA。SBOMで攻撃面を把握する
自作コードより外部ライブラリのほうが多い時代に、何を使っているかを台帳化するSBOMと、既知の脆弱性を突き合わせるSCAの基本を解説。SPDX/CycloneDXの違い、Dependabot/Renovateによる更新自動化、CI組み込みの判断基準まで実務目線でまとめます。
インシデント対応・フォレンジック
ログからの侵害調査(フォレンジック)の基本。証拠保全とタイムライン再構成
インシデント発生後の侵害調査を、証拠保全・揮発性の順序・タイムライン再構成・痕跡の読み方という観点から原理ごと整理します。後で証拠にならない調査を避けるための実務の判断基準を具体的に示します。
セキュアコーディング
入力バリデーションと出力エスケープの原則。入口で検証し、出口で文脈別にエスケープする
セキュアコーディングの土台である入力バリデーションと出力エスケープを、それぞれの役割の違いから整理します。入口の検証は防御の一段目、出口の文脈別エスケープがXSSやインジェクションの根本対策である理由を、原理と実務の判断基準まで掘り下げます。
防御・ハードニング
ログ管理の基本。何を・どこまで・どれだけ残すか
セキュリティ運用の土台になるログ管理を、取得対象の選び方・保管期間の決め方・改ざん対策・相関分析の原理から実務目線で整理します。インシデント対応で後悔しないための判断基準を具体的に示します。