Dirty Frag(CVE-2026-43284/43500)——LinuxカーネルのIPsec・RxRPC欠陥で非特権ユーザーがrootになれる仕組みと対策
Linuxカーネルに存在するDirty Frag(CVE-2026-43284/43500)はIPsec(ESP)とRxRPCのページキャッシュ書き込みプリミティブを悪用し、非特権ユーザーが1コマンドでrootを取得できるLPE。公開PoCで実証済み、コンテナ脱出も可能。
← カテゴリ一覧
security (92 件)
Microsoft Exchange CVE-2026-42897——Patch Tuesday後に発覚した未パッチXSSゼロデイが悪用中
Exchange Server 2016/2019/SEのOWAにXSS/スプーフィングの未パッチゼロデイCVE-2026-42897(CVSS 8.1)が5月15日に公開。メールを開くだけで任意JSが実行される。EEMSによる緊急緩和策と管理者向け対応手順を解説。
史上初・AIが生成したゼロデイエクスプロイト——Google GTIGが2FA回避攻撃の未遂を報告
Google Threat Intelligence Groupが、ハッカーがAIモデルを使って2FA回避のゼロデイPythonスクリプトを生成・大規模悪用を企てたことを確認。AI生成コードの特徴的マーカーと、Googleがベンダーと連携して被害を未然に防いだ経緯を解説。
Ollama「Bleeding Llama」CVE-2026-7482——30万台のローカルLLMサーバーがヒープメモリ全漏洩のリスクに晒された仕組み
Ollamaのヒープ範囲外読み取り脆弱性CVE-2026-7482(CVSS 9.1)は未認証の攻撃者がプロセスメモリ全体を外部に流出できる。APIキー・システムプロンプト・チャット断片を3回のAPIコールで盗む攻撃経路と修正済みバージョン0.17.1への対応を解説。
Microsoft Patch Tuesday 2026年5月——Netlogon CVSS 9.8・Outlookゼロクリックを含む120件超のCVEを解析
2026年5月13日のPatch Tuesdayは120件超のCVEを修正。CVSS 9.8のNetlogon RCE(ワーマブル)・ゼロクリックOutlook RCE・Dynamics 365 CVSS 9.9など企業環境への影響が大きい重大CVEを優先順位付きで解説。
Cisco Catalyst SD-WAN Controller CVE-2026-20182(CVSS 10.0)——CISA KEV入り・連邦機関パッチ期限は5月17日
Cisco Catalyst SD-WAN ControllerにCVSS 10.0の認証バイパス脆弱性。vdaemonサービスを標的にしたUAT-8616による悪用が確認済み。CISA KEVに追加され連邦機関は5月17日までのパッチが義務付けられた。
GemStuffer——150本超の偽RubyGemがパッケージレジストリを「データ流出チャネル」として悪用した新型手法
GemStufferは150本超の偽Gemを使い、英国地方議会の公開データをRubyGems経由で外部へ持ち出す前例のない手法。開発者への直接攻撃ではないが、パッケージレジストリが攻撃インフラ化する新パターンを示した。
セキュリティイベント参加のススメ:首都圏で初心者が通える定期開催コミュニティ(2026年5月版)
セキュリティ初心者が一歩踏み出すための、首都圏で定期開催されている勉強会・コミュニティを5つに絞って解説。なぜ参加すべきか、何を得られるか、参加時の注意点まで。
OpenAI Daybreak——Codex SecurityとGPT-5.5-CyberでAIが脆弱性を検出・パッチ提案する新時代
OpenAI DaybreakはCodex Securityで脅威モデル生成・攻撃パス検証・パッチ提案を自動化するAIサイバーセキュリティ基盤。GPT-5.5-Cyber搭載、数百企業が参加。2026/5/12発表。
Ivanti EPMM CVE-2026-6973——管理者権限があればRCEが成立するゼロデイがCISA KEV入り、悪用は現在進行中
Ivanti EPMM(旧MobileIron Core)のCVE-2026-6973は認証済み管理者によるRCEを許す入力バリデーション不備。CVSS 7.2・CISA KEV登録・連邦機関の期限は5月10日。12.6.1.1/12.7.0.1/12.8.0.1へのアップグレードとクレデンシャルのローテーションが急務。
Canvas(Instructure)ShinyHunters侵害——2億7500万人データが脅迫対象、身代金期限は5月12日
LMS最大手InstructureのCanvasがShinyHuntersに侵害され、9000校・2億7500万人のデータが人質に。2026年5月12日の身代金期限が迫る。期末試験週と重なった大規模インシデントの経緯と対策を解説。
Palo Alto PAN-OS CVE-2026-0300——未認証RCEが野放しで悪用中、パッチは5月13日まで待て
PAN-OSのUser-ID認証ポータルに未認証バッファオーバーフロー(CVE-2026-0300、CVSS 9.3)が発見、国家関与とみられる攻撃者が積極的に悪用中。パッチは5月13日予定。今すぐ取れる緩和策を解説。
CVE-2026-32202:APT28がWindowsシェルの不完全パッチを悪用——LNKファイルを「見るだけ」でNTLMv2ハッシュが盗まれるゼロクリック攻撃
APT28(Fancy Bear)がWindowsシェルの不完全パッチ(CVE-2026-32202)を悪用。フォルダを開くだけでNTLMv2ハッシュが流出するゼロクリック攻撃。CISA KEV登録・5月12日連邦期限。
CISA+五カ国連合が初の「AIエージェント安全運用ガイドライン」を公開——最小権限・ゼロトラスト・可逆性の原則を本番エージェントに適用する実践
Five Eyes六機関が初のAIエージェント安全ガイドラインを共同発行。権限・設計・行動・構造・サプライチェーンの5リスクを整理し、最小権限・ゼロトラスト・可逆性の原則を本番エージェントへ適用する実践を解説する。
Apache HTTP Server 2.4.67緊急パッチ——HTTP/2でのRCE(CVE-2026-23918)を含む3件のCVEを修正
2026年5月4日公開のApache HTTP Server 2.4.67はHTTP/2二重解放によるRCE・範囲外読み取り・認証タイミング攻撃の3CVEを修正。即時アップグレードが推奨される。
MOVEit AutomationにCVSS 9.8の認証バイパス——CVE-2026-4670で未認証の管理者奪取が可能、即時パッチ必須
2026年5月4日、Progress SoftwareがMOVEit AutomationのCVSS 9.8認証バイパス(CVE-2026-4670)と特権昇格(CVE-2026-5174)を修正。影響バージョンと対処法を解説する。
SentryのSAML SSOに重大な認証欠陥——CVE-2026-42354でマルチ組織環境の任意アカウントを乗っ取り可能
Sentryのマルチ組織自己ホスト環境でSAML SSOの認証欠陥(CVE-2026-42354)が発覚。悪意あるIdPを利用した任意アカウント乗っ取りが可能。修正版は26.2.0以上。
CVE-2026-26268:Cursor AIのGit Hookサンドボックス脱出——リポジトリをクローンするだけで開発者PCがRCE
2026年4月28日開示のCVE-2026-26268(CVSS 8.1)はCursorのAIエージェントがgit checkoutを実行する際に悪意あるベアリポジトリのpre-commit hookを無確認実行してしまう任意コード実行の脆弱性。APIキー・パスワード・社内コードが窃取される。
Palo Alto NetworksがPortkeyを買収——AIエージェントの「関所」がセキュリティ企業の中核製品になる意味
2026年4月30日、PANWがAIゲートウェイのPortkeyを買収。月次数兆トークンを処理するPortkeyをPrisma AIRSに統合し、企業のAIエージェント全通信を一元管理・監査する構想を解説。
HackerOne h1 Validation——AI主導で脆弱性報告が76%急増する中、「発見から修正まで」を高速化する新サービスの実態
2026年4月21日、HackerOneはh1 Validationを発表。AIモデルが脆弱性発見を加速し報告件数が76%急増、高深刻度の割合が32%に上昇する中、発見から修正までのギャップを埋めるAI+人間のハイブリッド検証サービスの仕組みと開発チームへの影響を解説。
PyTorch Lightning 2.6.2/2.6.3のサプライチェーン攻撃——「Mini Shai-Hulud」がML開発者の認証情報を狙う仕組みと対策
2026年4月30日、PyPI上のPyTorch Lightning v2.6.2/2.6.3が悪意あるコードに汚染された。インポート時に自動実行し、SSH鍵・クラウド認証情報・GitHubトークンを窃取。42分で修正されたその仕組みと、ML開発者が取るべき対策を解説する。
CVE-2026-40372(CVSS 9.1):ASP.NET Core Data ProtectionのHMACバグが全認証Cookieを偽造可能にした——.NET 10.0.0〜10.0.6が対象、即時10.0.7へ更新+鍵ローテーション必須
Microsoft.AspNetCore.DataProtection 10.0.0〜10.0.6に存在するHMACの計算誤りにより、攻撃者がゼロバイトHMACで認証Cookieを偽造できる。CVSS 9.1、主にLinux/macOS上の.NET 10アプリが対象。10.0.7へのアップグレードに加え、DataProtection鍵リングのローテーションが必須。
AssumeRoleをSCS視点で完全理解する
AssumeRoleの信頼ポリシー、呼び出し側権限、クロスアカウント、External ID、MFA、セッションポリシー、CloudTrail監査を詳しく解説する。
CloudFormationのセキュリティをSCS視点で完全理解する
CloudFormationのサービスロール、iam:PassRole、Change Sets、Stack Policy、Drift Detection、Hooks、Guard、機密値管理をSCS-C03で判断できる粒度まで整理する。
CloudFrontセキュリティをSCS視点で完全理解する
CloudFrontのHTTPS、OAC、WAF、Shield、署名URL、Origin Shield、ログ監査をSCS-C03で判断できる粒度まで整理する。
AWSフェデレーション設定をSCS視点で完全理解する
IAM Identity Center、外部IdP、SAML、OIDC、permission set、AssumeRoleWithSAML、AssumeRoleWithWebIdentity、ABAC、監査設定をSCS-C03向けに整理する。
AWS STSをSCS視点で完全理解する
AWS STSの一時認証情報、AssumeRole系API、GetSessionToken、セッションポリシー、セッションタグ、リージョナルエンドポイントを整理する。
Copy Fail(CVE-2026-31431):2017年から潜伏していたLinuxカーネルのLPE——732バイトのPythonスクリプトで全主要ディストリビューションがroot権限を奪われる
Theoriが4月29日に開示したCVE-2026-31431(CVSS 7.8)はLinuxカーネルのalgif_aeadモジュールの論理バグで、非特権ユーザーがAF_ALG+spliceを組み合わせるだけでpage cacheに4バイト書き込みを行い、setuidバイナリを書き換えてroot取得できる。2017年以降のすべてのカーネル(4.14〜6.18.21)が対象。
GitHub CVE-2026-3854:git push 1回でサーバー完全制圧——セルフホストの88%が影響圏
git pushのオプション値をサービスヘッダーに未サニタイズで渡していたコマンドインジェクション(CVSS 8.7)がGitHub.comとEnterprise Server全バージョンに影響。プッシュアクセスさえあれば全リポジトリ・全シークレットを奪える。Enterprise Server向けパッチが4月29日公開済み。
LiteLLM CVE-2026-42208:開示36時間後に悪用が始まったCVSS 9.3 SQLインジェクション
22,000以上のGitHubスターを持つLLMゲートウェイLiteLLMで、認証前に悪用可能なSQLインジェクション(CVSS 9.3)が発見・悪用された。OpenAI・Anthropic・AWS BedrockのAPIキーが窃取対象。対応バージョン1.83.7-stableへの即時アップグレードが必要。
Lovableの48日間マルチテナント欠陥——BOLAで他ユーザーのソースコード・DBクレデンシャルが誰でも閲覧可能だった
AIアプリビルダーLovableで2026年2月3日〜4月20日の48日間、BOLA(Broken Object Level Authorization)によりすべての公開プロジェクトのソースコード・Supabase認証情報・チャット履歴に誰でもアクセスできる状態が続いた。HackerOneへの複数報告が無視された経緯と、マルチテナントSaaSの設計教訓を解説。
npm CanisterSprawlワーム——自己増殖するサプライチェーン攻撃がpostinstallでAI APIキー・クラウド認証情報を窃取
2026年4月21〜22日に発見された自己増殖型npmワーム「CanisterSprawl」は、postinstallフックで約40カテゴリの秘密情報を収集し、盗んだnpmトークンで被害者の全パッケージに感染を拡大する。PyPIにも波及するマルチエコシステム攻撃の仕組みと対策を解説。
SGLang CVE-2026-5760(CVSS 9.8)——悪意あるGGUFモデルが推論サーバーをRCEに陥らせるJinja2 SSTI攻撃
SGLang 0.59のリランキングエンドポイント(/v1/rerank)にCVSS 9.8のRCE脆弱性。HuggingFaceからダウンロードした悪意あるGGUFモデルのtokenizer.chat_templateにJinja2 SSTIペイロードを仕込むことで任意コードを実行できる。パッチ未提供、即時緩和策を解説。
MicrosoftがAIエージェント向けオープンソース「Agent Governance Toolkit」を公開——OWASP Agentic Top 10を全カバー、p99 0.1ms以下のランタイムポリシーエンジン
Microsoftが4月2日にAgent Governance Toolkitをオープンソース公開(MIT)。LangChain・CrewAI・Google ADK対応、p99 0.1ms以下のポリシー適用でOWASP Agentic AI Top 10を業界初の完全網羅。Python/TypeScript/Go/Rust/.NET対応。
VercelがAIツール経由でサプライチェーン攻撃を受けた——Context.ai OAuth侵害の全貌と開発者がすべき対策
VercelがContext.aiのOAuth侵害を起点としたサプライチェーン攻撃を受け、顧客の環境変数が漏洩。AIツールへのOAuth過剰付与が招いた事故の構造と実践的な対策を解説。
AnthropicのMythosモデルがゼロデイ脆弱性を自律的に発見・悪用——AIセキュリティの新局面
Anthropic Mythos PreviewがあらゆるメジャーOS・ブラウザのゼロデイを83%超の成功率で再現・悪用。限定公開の背景と実務への影響を解説。
ACM証明書 — DNS検証・Email検証・自動更新・使用制限
AWS Certificate Manager(ACM)の証明書発行、DNS検証とEmail検証の違い、ALB/CloudFrontでの使用方法、自動更新の仕組み、プライベート証明書、インポート証明書の管理を解説。
AWS Audit Manager — コンプライアンス証拠の自動収集と監査対応
AWS Audit Managerのフレームワーク(PCI DSS/SOC 2/HIPAA/GDPR)、証拠の自動収集、カスタムコントロール、評価レポートの生成、Security HubとConfigとの統合による継続的コンプライアンスを解説。
AWS Backup Vault Lock — ランサムウェア対策のWORMバックアップ
AWS BackupのVault Lock機能、Governance/Complianceモードの違い、最小/最大保持期間の強制、クールオフ期間、ランサムウェア対策バックアップ設計、マルチアカウントへのバックアップを解説。
CloudFront署名付きURL vs 署名付きCookie — プライベートコンテンツ配信
CloudFrontの署名付きURL(Signed URL)と署名付きCookie(Signed Cookie)の違い、キーペアの作成、有効期限設定、S3との組み合わせ、OACによるS3直接アクセス禁止設定を解説。
CloudFront + WAF + Shield — エッジでのセキュリティ多層防御
CloudFrontにWAFを適用してSQLインジェクション・XSSをブロックし、AWS ShieldでDDoSを防御する多層エッジセキュリティの設計、WAFルールグループの組み合わせ、Shield Advancedの自動DDoS軽減を解説。
CloudHSM vs KMS — ハードウェアセキュリティモジュールの選択基準
AWS CloudHSMとKMSの根本的な違い、FIPS 140-2 Level 3準拠、シングルテナントHSM、KMSカスタムキーストアとしてのCloudHSM利用、コストと運用負荷の比較を解説。
CloudTrailイベントの種類 — 管理イベント・データイベント・Insightsの違い
AWS CloudTrailの管理イベント(コントロールプレーン)とデータイベント(データプレーン)の違い、S3オブジェクトレベルのログ設定、CloudTrail Insightsによる異常検出を解説。
AWS Config Rules — コンプライアンス評価と自動修復
AWS Configのマネージドルール vs カスタムルール、設定変更トリガー vs 定期評価、Systems Manager Automationによる自動修復、コンフォーマンスパック、マルチアカウント集約を解説。
AWS Config vs CloudTrail — 監査・コンプライアンスツールの使い分け
AWS ConfigとCloudTrailの役割の違い、Configが記録するリソース設定変更とCloudTrailが記録するAPI操作ログ、GuardDutyとの組み合わせ、セキュリティ調査フロー、両者を補完的に使う設計を解説。
AWS Control Tower — マルチアカウントのランディングゾーン設計
AWS Control Towerのランディングゾーン、Account Factory、コントロール(ガードレール)の種類、SCP/Config Rulesとの関係、OU構造設計、既存アカウントへの適用を解説。
Amazon Detective — セキュリティ調査グラフと GuardDuty との連携
Amazon DetectiveのVPC フローログ・CloudTrail・GuardDuty Findingsを統合した調査グラフ、エンティティ関係の可視化、GuardDuty Findingsからのドリルダウン調査、Detective の有効化手順を解説。
EC2 IMDSv2 — v1との違い・SSRF攻撃対策・強制設定方法
EC2インスタンスメタデータサービスのIMDSv1とIMDSv2の違い、セッション指向のトークン方式によるSSRF攻撃対策、IMDSv2の強制設定方法、アクセス制限の設定を解説。
保存時・転送時暗号化 — AWSサービス別の暗号化設計パターン
保存時暗号化(Encryption at Rest)と転送時暗号化(Encryption in Transit)の違い、S3/EBS/RDS/DynamoDBの暗号化設定、TLS強制方法、KMSとの統合、エンドツーエンド暗号化設計を解説。
Amazon GuardDuty — 脅威インテリジェンス・検出カテゴリ・自動対応設計
GuardDutyが検出する脅威の種類(UnauthorizedAccess, Backdoor, CryptoCurrency等)、データソース(CloudTrail/VPCフローログ/DNS)、S3 Protection、EKS Protection、EventBridgeとの自動対応を解説。
IAM Access Analyzer — 外部公開リソースの検出と未使用権限の分析
IAM Access Analyzerの2つの機能(外部アクセス分析・未使用アクセス分析)、Zone of Trust設定、CloudTrailベースの権限絞り込み、SCS試験頻出ポイントを解説。
クロスアカウントIAMロール — 設計パターンと落とし穴
AWS複数アカウント構成でのIAMロール連携を解説。スイッチロール設定、External ID、ロールチェーン上限、OrganizationsとRAMを使った効率的な権限管理まで。
IAMアイデンティティポリシー vs リソースベースポリシー — 評価と連携
IAMのアイデンティティベースポリシーとリソースベースポリシーの違い、同一アカウント/クロスアカウントでの評価ロジック、リソースポリシーが使えるAWSサービス一覧を解説。
IAMパーミッションバウンダリー — 権限委任を安全に実現する仕組み
IAMパーミッションバウンダリーの仕組み、有効な権限の計算方法、開発者への権限委任パターン、SCPとの違いを試験対策の観点から解説します。
IAMポリシー条件キー完全ガイド — MFA・IP・タグ・リージョン制御
IAMポリシーのConditionブロックで使える条件キーを網羅解説。MFA必須化、IP制限、リソースタグによる動的制御、aws:CalledVia等の試験頻出キーを実例付きで紹介。
IAMポリシー評価ロジック完全解説 — 明示的Deny・SCP・バウンダリーの優先順位
AWSのIAMポリシー評価順序を完全解説。明示的Deny、SCP、パーミッションバウンダリー、クロスアカウントの双方向Allow要件まで試験頻出ポイントを深掘りします。
IAMロール vs IAMユーザー — 使い分けと設計原則
IAMユーザーとIAMロールの違い、AssumeRoleの仕組み、EC2/Lambda/クロスアカウントでのロール設計、長期クレデンシャルを避けるべき理由を解説します。
IAMサービスリンクロール — AWSサービスが自動作成するロールの仕組み
IAMサービスリンクロールの概念、AWSサービスが自動作成する専用ロール、通常のIAMロールとの違い、削除条件、Organizations SCPとの関係、トラブルシューティングを解説。
Amazon Inspector v2 — EC2・Lambda・コンテナの脆弱性スキャン設計
Amazon Inspector v2の継続的脆弱性スキャン、EC2/ECR/Lambda対応、CVSSスコアによる優先度付け、リスクスコア計算、Security Hubとの統合、自動修復パターンを解説。
KMSエンベロープ暗号化 — データキー・GenerateDataKey・パフォーマンスの仕組み
AWSサービスが内部で使うエンベロープ暗号化の仕組み、GenerateDataKeyとGenerateDataKeyWithoutPlaintext、データキーキャッシュによるKMSコスト削減、SDKでの実装方法を解説。
KMSグラントと一時的アクセス委任 — キーポリシーとの違い
KMSグラントの仕組み、CreateGrant/RetireGrant/RevokeGrant操作、グラントトークンの使用、AWSサービスによるグラント自動作成(EBS/S3)、キーポリシーとの適切な使い分けを解説。
KMSキーポリシーの設計 — IAMポリシーとの関係・ロックアウト防止・クロスアカウント
KMSキーポリシーとIAMポリシーの評価の違い、アカウントルートAllow必須の理由、キーポリシーのみでの制御パターン、クロスアカウントでのKMS使用設定を解説。
KMSキーの種類と管理モデル — AWS管理・カスタマー管理・CloudHSM
AWS KMSの3種類のキー(AWS管理キー、カスタマー管理キー、カスタムキーストア)の違い、ローテーション設定、対称/非対称キー、MACキー、削除待機期間を解説。
KMSマルチリージョンキー — レプリカキー・クロスリージョン暗号化の設計
KMSマルチリージョンキーの仕組み、プライマリキーとレプリカキーの関係、クロスリージョンでのデータ復号、DynamoDB GlobalTables/S3レプリケーションとの組み合わせを解説。
Amazon Macie — S3の機密データ検出・分類・コンプライアンス対応
Amazon MacieによるS3バケット内の機密データ(PII、クレジットカード、認証情報)の自動検出、カスタムデータ識別子、検出ジョブ、マルチアカウント管理、GDPRやPCI DSS対応を解説。
AWS Organizations詳細設定 — 委任管理者・タグポリシー・バックアップポリシー
AWS Organizationsのマスターアカウントとメンバーアカウントの役割、委任管理者(Delegated Administrator)設定、タグポリシーによるタグの標準化、バックアップポリシー、AI サービスオプトアウトポリシーを解説。
AWS Organizations SCPの仕組みと設計 — OU階層・デフォルト動作・落とし穴
Service Control Policiesの評価ロジック、OU階層での継承、管理アカウントへの非適用、よく使うSCP設計パターン(リージョン制限・ルートアクション禁止・S3保護)を解説。
S3バケットポリシー vs IAMポリシー — 優先順位・使い分け・組み合わせパターン
S3アクセス制御のバケットポリシーとIAMポリシーの評価ロジック、同一アカウントとクロスアカウントの違い、ACLとの関係、バケットポリシーが必要なケースを具体例で解説。
S3暗号化の全種類比較 — SSE-S3/SSE-KMS/SSE-C/クライアントサイド
S3の4種類の暗号化方式(SSE-S3, SSE-KMS, DSSE-KMS, SSE-C, クライアントサイド)を比較。鍵管理の違い、KMS API呼び出しコスト、バケットキー設定、試験頻出ポイントを解説。
S3 Object Lock — WORM準拠・ガバナンスモードとコンプライアンスモードの違い
S3 Object LockのWORM(Write Once Read Many)実装、ガバナンスモードとコンプライアンスモードの違い、Legal Hold、バケット設定の注意点を規制対応の観点から解説。
Secrets Manager vs SSM Parameter Store — コスト・機能・ローテーションの使い分け
AWS Secrets ManagerとSSM Parameter Storeの機能比較、コスト差、シークレットの自動ローテーション、パラメータ階層、KMS統合、Lambda/ECS/EC2での参照パターンを解説。
AWS Security Hub — セキュリティスコア・コンプライアンス基準・統合管理
AWS Security Hubのセキュリティコントロール、FSBP/CIS/PCI DSS/SOC2準拠チェック、複数AWSアカウントの集中管理、Finding集約、EventBridgeとの自動修復設計を解説。
AWS Shield Standard vs Advanced — DDoS保護の差異とコスト正当化
AWS Shield StandardとAdvancedのL3/L4/L7保護の範囲、SRTサポート、コスト保護、WAFとの連携、CloudFront/Route53/ALBへの適用、Shield Advancedが必要なケースを解説。
SSM Parameter Store Standard vs Advanced — 設定値管理の詳細比較
AWS Systems Manager Parameter StoreのスタンダードとAdvancedティアの違い、パラメータポリシー、パラメータバージョン管理、KMS暗号化、シークレットマネージャーとの比較、ラベル付けを解説。
VPC多層防御設計 — ネットワークセキュリティの実践パターン
VPCの多層防御設計、セキュリティグループとNACLの組み合わせ、AWS Network Firewall、WAFとShieldの配置、プライベートサブネット設計、踏み台サーバーの廃止(SSM Session Manager)を解説。
VPCフローログ — キャプチャされる情報・されない情報・分析方法
VPCフローログが記録するフィールド、キャプチャされないトラフィックの種類、CloudWatch Logs/S3への出力設定、Athenaによるクエリ分析、セキュリティ調査での活用法を解説。
AWS WAF ルール設計 — マネージドルール・カスタムルール・レート制限・ログ分析
AWS WAFのルールグループ、AWSマネージドルールセット、レートベースルール、地理的制限、ボット制御、IPセット管理、CloudFront/ALBとの連携パターンを解説。
OAuth 2.0とOpenID Connectを正しく理解する
「ログインしてください」の裏で何が起きているか。OAuth 2.0の認可フロー・スコープ・トークンの種類と、認証のためのOpenID Connectの仕組みをシーケンス図と実装例で解説します。
OWASP Top 10 2025:Webアプリの脆弱性を正しく理解する
OWASP Top 10 2025版の各カテゴリをコード例付きで解説。Broken Access Control・Injection・Cryptographic Failures など、現代のWebアプリが直面するセキュリティリスクと対策を紹介します。
パスワードハッシュの正しい実装:bcrypt・Argon2・scrypt
パスワードの保存に SHA-256 を使っていませんか?bcrypt・Argon2・scryptの違いと正しい使い方、コスト係数の選び方、レインボーテーブル対策、データ漏洩時の影響を解説します。
SQLインジェクション完全解説と防御実装
SQLインジェクションの攻撃手法(古典的・Blind・Time-based)と、プリペアドステートメント・ORM・WAFによる防御を実例コードで解説。初心者から中級者まで理解できる内容です。
サプライチェーン攻撃と依存関係の脆弱性管理
npmパッケージへの悪意ある改ざん・依存関係の脆弱性など、サプライチェーン攻撃の手口と対策を解説。Dependabot・Socket・署名検証・lockfileの重要性を説明します。
ゼロデイ対応: 資産台帳がないと何が起きるか
未管理資産があるとパッチ適用漏れが連鎖して被害が拡大する。
ゼロデイ対応: 社内外コミュニケーション計画
技術情報と経営判断を分離し、更新時刻を固定して混乱を防ぐ。
ゼロデイ対応: パッチ前に効く代替コントロール
WAFルール・機能停止・権限縮小で露出面を即時に減らす。
ゼロデイ対応: テーブルトップ演習の設計
本番前演習で意思決定の遅延ポイントを可視化する。
ゼロデイ対応: 悪用可能性で優先度を付ける方法
CVSSだけでなく公開PoC有無と到達性で優先順位を決める。
ゼロデイ対応: ID基盤の即時ハードニング手順
特権アカウント保護と条件付きアクセスを緊急モードで強化する。
ゼロデイ対応: 証跡保全を壊さないログ収集
調査前にローテーションで消えないよう保全優先で収集する。
ゼロデイ対応: 事後改善バックログの作り方
再発防止は恒久対策を小さな実装単位に分解して追跡する。
ゼロデイ対応: セグメンテーションが被害半径を止める
東西トラフィック制御が横展開を抑え、復旧を容易にする。
ゼロデイ初動: 最初の24時間でやるべき切り分け
影響範囲の特定と暫定緩和策の適用を同時並行で進める。