セキュリティ関連

→技術分野別index

サブトピック†

• セキュリティ一般
• 認証技術
• 脆弱性関連
• マルウェア
  • ランサムウェア

• 個人情報の保護・漏洩
• 暗号化
• セキュリティ関連ツール
• リバースエンジニアリング

• AWSのセキュリティについてはAmazon Web Serviceへ

DevSecOps†

→CI/CD

→SRE/DevOps

• From DevOops! to DevSecOps | SANS Institute 2023.2

• DevSecOps for AI Engineering 2022.7
• DevSecOps: A Complete Guide - DEV Community 2022.7
• ASCII.jp：マイクロソフトとGitHubが実現し、進化させるDevSecOpsの姿 2022.6

ゼロトラストネットワーク†

• EDRやゼロトラストを頼る前に行うべき5つのこと──実は昔も今も変わらないセキュリティの原則 (1/4)|EnterpriseZine（エンタープライズジン） 2023.10
  • VPNや基盤のOS等のアップデートをはじめとした脆弱性対策管理
  • セキュリティルールの制定とその浸透のための教育
  • パスワード管理
  • 権限管理
  • バックアップ

• 日本のセキュリティをかつて救った「境界防御」多大な貢献の歴史も、近年通用しなくなった背景 (1/4)|EnterpriseZine（エンタープライズジン） 2023.5

• ゼロトラスト採用企業の「半分が失敗する」と考える2つの理由　“小リソース”の中小企業がセキュリティを強固にする方法 - ログミーBiz 2022.11

• なぜ「ゼロトラスト」は注目されるようになったのか？ 導入のメリットと懸念点は？ | TECH+（テックプラス） 2022.8

• ゼロトラスト移行のすゝめ：IPA 独立行政法人 情報処理推進機構 2022.7

• 攻撃者に狙われるVPN。FBI/CISA、VPNからSSE/SASEへの移行を推奨するガイダンス公開（大元隆志） - エキスパート - Yahoo!ニュース 2024.6
• SSE（Security Service Edge）入門：SASEとの違いをひも解く(2) SSE(Security Service Edge)を構成するサービスと提供される機能 | TECH+ 2022.5
  • SSEでは下記の主要なセキュリティサービスがすべて単一のプラットフォームで提供される。
  • セキュアWebゲートウェイ（SWG）、
  • クラウドアクセスセキュリティブローカー（CASB）、
  • ゼロトラストネットワークアクセス（ZTNA）、
  • クラウドファイアウォール（FWaaS）、
  • クラウドサンドボックス、
  • クラウドデータ漏えい防止（DLP）、
  • セキュリティポスチャ管理（CSPM）、
  • およびクラウドブラウザ隔離（CBI）

• ゼロトラスト・セキュリティとは？従来モデルとの違…｜Udemy メディア 2022.4

• ゼロトラストが重要な理由｜VPNの問題点やZTNA導入のメリットについて解説｜サイバーセキュリティ.com 2022.4

• ゼロトラスト実現の肝となる「特権アクセス管理」。適用に必要な5ステップとは | TECH+ 2022.3

• ゼロトラストをベースにセキュリティを考えてみた - Gaudiy Tech Blog 2022.3

• SDP（Software Defined Perimeter）とは？ | 情シスのミカタ 2021.1

• ゼロトラストの正しいつくり方　NISTの7原則をやさしく解説 | ビジネスネットワーク.jp 2021.11
• ゼロトラストネットワークとは？テレワーク普及で求められるセキュリティ対策 2021.4
• さらばVPN、ゼロトラストネットワーク入門 2020.6

公的資料／調査レポートなど†

• 刊行物『中小企業向けサイバーセキュリティ対策の極意』|東京都産業労働局 2025.1

• Cyber Security Report - NTT | Security Holdings 2024.9

• IPA、「情報セキュリティ白書2024」発行　PDF版はアンケート回答で無料ダウンロード可 - ITmedia NEWS 2024.7
  • 情報セキュリティ白書2023 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構 2024.7

• JNSA|インシデント被害調査WGサイバー攻撃の被害額 2024.7

• 情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 2024.3

• セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン・サービスのまとめ - FFRIエンジニアブログ 2023.7
• セキュリティエンジニアを目指す人に知っておいてほしい組織 - FFRIエンジニアブログ 2023.6

• SPAセキュリティ超入門 | ドクセル 2022.9

• 第7回「産業サイバーセキュリティ研究会」を開催し、「産業界へのメッセージ」を発出しました （METI/経済産業省） 2022.4

• Web開発者はもっと「安全なウェブサイトの作り方」を読むべき - Flatt Security Blog 2022.4
  • 安全なウェブサイトの作り方：IPA 独立行政法人 情報処理推進機構 2021

• 情報セキュリティ白書2023 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構 2023.7
• 情報セキュリティ白書2022　7月15日発売：IPA 独立行政法人 情報処理推進機構 2022.7
• 情報セキュリティ白書2019 2019.8

• サイバー空間をめぐる脅威の情勢等｜警察庁Webサイト 2024.6

• IPAセキュア・プログラミング講座 | アーカイブ | IPA 独立行政法人 情報処理推進機構 2023

• 政府機関等の対策基準策定のためのガイドライン（令和５年度版） 2023

• サイバーレスキュー隊 J-CRAT（ジェイ・クラート）について | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 2023.12

• サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 2023.11

• 総務省｜報道資料｜「ICTサイバーセキュリティ総合対策2023」（案）に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2023」の公表 2023.8
  • ICT サイバーセキュリティ総合対策 2023 2023.8

• 中小企業の情報セキュリティ対策ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 2023.4

• 情報セキュリティ10大脅威 2023：IPA 独立行政法人 情報処理推進機構 2023.3

• マイクロソフトが脅威インテリジェンスを外販してるってよ - Qiita 2022.12

• IPAのセキュリティ関連NIST文書
  • NIST-SP800など

• The AKE Protocol Zoo
  • The AKE Protocol Zoo は、安全な通信インフラに不可欠な認証および鍵交換（AKE, Authentication and/or Key Exchange）の主要な暗号プロトコルの現時点の安全性が一目で分かる画期的なポータルサイトです。

• セキュリティホールmemo

• 情報セキュリティスペシャリスト試験に楽々合格

• あなたのPCをセキュリティ診断
• 安全なWebサイト利用の鉄則
• サイバークリーンセンター
• Mcfeeの刊行物"Sage"(無料)
• Security Engineering the book
• .NET Framework エンタープライズ セキュリティ ポリシーの管理と導入@MSDN
• Windows Live Safety Centerを活用する
• http://wizardbible.org/
• 開発者向けオンラインセミナー@MS
  • セキュリティの脅威を知る@MS

• Security Akademeia IPUSIRON氏のサイト

• 日本のセキュリティチームのブログ@MS
  • 情報漏えい対策ガイド@MS

• 情報セキュリティblog@日立システム

海外†

• Infrastructure Resilience Planning Framework (IRPF) | CISA 2024.7
• PentesterLab: Learn Web Penetration Testing: The Right Way 2022.3
• All labs | Web Security Academy 2022.3
• GitHub - swisskyrepo/PayloadsAllTheThings: A list of useful payloads and bypass for Web Application Security and Pentest/CTF 2022.3
• HackTricks - HackTricks 2022.3
• ttp://www.zone-h.org/ （念のため直リンせず）

セキュリティ関連資格†

→資格関連　←情報処理安全確保支援士についてはこちらへ

• 2年間で21個のセキュリティ資格を取ってわかったこと 2025.3

• Linuxセキュリティ標準教科書（Ver1.0.0） 2013.10.1
  • 本教材を学校教育や企業研修において活用していただき、OSS/Linuxにおけるセキュリティ教育の質向上の一助としていただければ幸いです。
  • また、本教材は、セキュアなシステム設計・サーバ構築のスキルを認定する「LPICレベル3 303試験（LPI-303 Security Exam）」の教育および学習にも役立ちます。

ISMS†

• ISMSとPマークの管理にSecureNaviを使い始めた話 - hacomono TECH BLOG 2024.4

• ISMS
  • ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することである。
  • 組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが情報セキュリティマネジメントシステム(ISMS)の基本コンセプトである。(ISO/IEC 13335-1:2004より引用）
  • ●機密性：認可されていない個人、エンティティ（団体等）又はプロセスに対して、情報を使用不可又は非公開にする特性。
  • ●完全性：資産の正確さ及び完全さを保護する特性。
  • ●可用性：認可されたエンティティ（団体等）が要求したときに、アクセス及び使用が可能である特性。　
  • ISMS形骸化問題と向き合う – SecureNavi追検証ブログ – CloudNative Inc. BLOGs 2023.2
  • ISMS改訂で追加された「情報削除」の要点とは　削除タイミングを失って情報漏えいする大手企業も (1/2)|EnterpriseZine（エンタープライズジン） 2023.8

用語説明†

• CSP(コンテンツセキュリティポリシー)について調べてみた - SSTエンジニアブログ 2020
  • CSP(Content Security Policy)は、対応しているユーザーエージェント（通常はブラウザ）の挙動をWebサイト運営者が制御できるようにする宣言的なセキュリティの仕組みです。どの機能が有効になるか、どこからコンテンツをダウンロードすべきか、などを制御することで、Webサイトの攻撃対象領域を小さくできます。1
  • CSP Evaluator

• 共通脆弱性評価システムCVSS v3概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 2022.4
• CVSSとは？ 脆弱性の深刻度の評価基準とスコアの算出方法 - ベアケア 2023.4

• サイドチャネル攻撃
  • サイドチャネル攻撃（サイドチャネルこうげき、side-channel attack）とは、暗号装置の動作状況を様々な物理的手段で観察することにより、装置内部のセンシティブな情報を取得しようとする攻撃方法である。
  • 白熱電球の例えがわかりやすい。電球の明滅の情報だけでなく、消した後に残る熱からどの電球が点いていたかの情報を得るのがサイドチャネル攻撃に相当する。

• シフトレフト｜セキュリティ用語解説｜NRIセキュア 2022
  • シフトレフトとは、開発ライフサイクルが短期間化し、迅速かつ頻繁にアプリケーションをリリースする傾向が広がっていくなか、リリースのスケジュールを妨げないように、セキュリティに関わる工程を前倒しして実施するという概念です。
  • 具体的には、開発前の段階からセキュリティを考慮した設計を行ったり、開発したシステムにおけるセキュリティ診断工程を内製化・自動化したりする取り組みが行われています。システム開発のスケジュールは、左から右に進行する流れで描かれるため、工程を前倒しすることは、左側へ移行することを意味することから、このように呼ばれるようになりました。

• What is Shift Left Security? | CrowdStrike 2022.1

• クロスサイト・リクエスト・フォージェリ
  • 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
  • CSRFで強制ログインさせるというアイデア 2012.5.22

• セッション固定攻撃について
• セッション・フィクセーション 2008.3.5
  • 対策は，ログイン成功時に古いセッションIDを無効化し，セッションIDを再発行することである。

• Mark of the Webとは｜サイバーセキュリティ.com 2024

• ルートキット@Wikipedia
• Buffer Overflow@Wikipedia
• Data Execution Prevention@Wikipedia
  • いわゆるDEP。データ領域においたコードを実行できないようにすること
  • 参考になるページ：ハードウェアDEPの調査
  • 参考になるページ２@ひまじゃのう
    • XP SP2のソフトウェアDEPで防げるのは例外処理を利用したDEであり、リターンアドレス書き換えによるDEは防げないという話
• 検疫ネットワーク
  • 外から持参したノートなどをLANにつなぐ前にいったんそこにつないで検査するための隔離されたネットワークのこと
  • 参考：なぜ検疫ネットワークが普及しないのか
• SQLインジェクション …文字列を単純に接続してSQLを作成しているような場合、入力値をうまくいじって想定外の動きをさせることでクラックする。くわしくは上記ページを参照。
• ゼロデイアタック…問題が発見されてから１日とたたずに（対応パッチが出たりする前に）攻撃すること
• マジックバイト問題 2005.11.2

Security.txt†

• RFC 9116 から読み解く正しい security.txt の書き方 2024.7
• "security.txt" についてまとめみた 2022
• 日経電子版がRFC 9116(security.txt)に対応した話 — HACK The Nikkei 2022.12

最新の50件