![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2025-12-04T21:53:31+09:00","default:irrp","irrp") #author("2025-12-04T22:39:10+09:00","default:irrp","irrp") →技術分野別index #contents *サブトピック [#g9cd0a0a] -セキュリティ一般 -認証技術 -脆弱性関連 -マルウェア --ランサムウェア -セキュリティ関連公的資料 -個人情報の保護・漏洩 -[[暗号化]] -セキュリティ関連ツール -リバースエンジニアリング -AWSのセキュリティについてはAmazon Web Serviceへ *UEFI/セキュアブート [#w6c53cf5] -[[2026年6月以降、「セキュアブート」証明書の失効に注意 〜Windowsを安全に起動できなくなる - 窓の杜>https://forest.watch.impress.co.jp/docs/news/2048696.html]] 2025.9 -[[マウス、Windows Updateで起動しなくなるノートの対策BIOS公開 - PC Watch>https://pc.watch.impress.co.jp/docs/news/2023512.html]] 2025.6 -[[2025年6月配信の Windows Update で起動不能になる不具合はSecureBoot DBXが原因。BIOSの書き換えが必須に>https://gazlog.jp/entry/windows-update-need-bios-rewrite/]] 2025.6 -[[6月のWindows Updateで起動不能になる問題、Microsoftが各社と調査解決へ - PC Watch>https://pc.watch.impress.co.jp/docs/news/2023516.html]] 2025.6 -[[2025年6月の Windows 11 と Windows 10 アップデートでBIOSが壊れ文鎮化する不具合が発生中>https://gazlog.jp/entry/windows-june-update-brick-bios/]] 2025.6 -[[6月の月例パッチ適用でPCが起動不能になる問題の影響範囲が富士通以外にも拡大中 - 窓の杜>https://forest.watch.impress.co.jp/docs/news/2023383.html]] 2025.6 -[[2025年6月のWindows UpdateでPCが起動しなくなるメーカー一覧。原因はBIOS破損でほぼ確定。復旧方法は [Update 2] | ニッチなPCゲーマーの環境構築Z>https://www.nichepcgamer.com/archives/list-of-manufacturers-whose-windowsupdate-in-june-2025-will-cause-windows-to-not-booting.html]] 2025.6 -[[第444回 Ubuntuにおけるセキュアブートの仕組み | gihyo.jp>https://gihyo.jp/admin/serial/01/ubuntu-recipe/0444]] 2025.6 *DevSecOps [#kbd5eab4] →[[CI/CD]] →SRE/DevOps -[[From DevOops! to DevSecOps | SANS Institute>https://www.sans.org/blog/from-devoops-to-devsecops/]] 2023.2 -[[DevSecOps for AI Engineering>https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=885713]] 2022.7 -[[DevSecOps: A Complete Guide - DEV Community>https://dev.to/vishnube/devsecops-a-complete-guide-5736]] 2022.7 -[[ASCII.jp:マイクロソフトとGitHubが実現し、進化させるDevSecOpsの姿>https://ascii.jp/elem/000/004/095/4095058/?rss]] 2022.6 * ゼロトラストネットワーク [#o22ed333] -[[日本企業がアサヒグループ並みの米国本家ゼロトラストを導入するには今の3〜5倍のIT予算が必要:経営者が読むNVIDIAのフィジカルAI / ADAS業界日報 by 今泉大輔:オルタナティブ・ブログ>https://blogs.itmedia.co.jp/serial/2025/12/35it.html]] 2025.12 -[[EDRやゼロトラストを頼る前に行うべき5つのこと──実は昔も今も変わらないセキュリティの原則 (1/4)|EnterpriseZine(エンタープライズジン)>https://enterprisezine.jp/article/detail/18482]] 2023.10 --VPNや基盤のOS等のアップデートをはじめとした脆弱性対策管理 --セキュリティルールの制定とその浸透のための教育 --パスワード管理 --権限管理 --バックアップ -[[日本のセキュリティをかつて救った「境界防御」多大な貢献の歴史も、近年通用しなくなった背景 (1/4)|EnterpriseZine(エンタープライズジン)>https://enterprisezine.jp/article/detail/17762]] 2023.5 -[[ゼロトラスト採用企業の「半分が失敗する」と考える2つの理由 “小リソース”の中小企業がセキュリティを強固にする方法 - ログミーBiz>https://logmi.jp/business/articles/327634]] 2022.11 -[[なぜ「ゼロトラスト」は注目されるようになったのか? 導入のメリットと懸念点は? | TECH+(テックプラス)>https://news.mynavi.jp/techplus/kikaku/20220826-security_frontline_v173/]] 2022.8 -[[ゼロトラスト移行のすゝめ:IPA 独立行政法人 情報処理推進機構>https://www.ipa.go.jp/icscoe/program/core_human_resource/final_project/zero-trust-mgn.html]] 2022.7 -[[攻撃者に狙われるVPN。FBI/CISA、VPNからSSE/SASEへの移行を推奨するガイダンス公開(大元隆志) - エキスパート - Yahoo!ニュース>https://news.yahoo.co.jp/expert/articles/25ad0d9ba0bebe68cf3707e9b94d6b6e29cf54d5]] 2024.6 -[[SSE(Security Service Edge)入門:SASEとの違いをひも解く(2) SSE(Security Service Edge)を構成するサービスと提供される機能 | TECH+>https://news.mynavi.jp/techplus/article/sse-2/]] 2022.5 --SSEでは下記の主要なセキュリティサービスがすべて単一のプラットフォームで提供される。 --セキュアWebゲートウェイ(SWG)、 --クラウドアクセスセキュリティブローカー(CASB)、 --ゼロトラストネットワークアクセス(ZTNA)、 --クラウドファイアウォール(FWaaS)、 --クラウドサンドボックス、 --クラウドデータ漏えい防止(DLP)、 --セキュリティポスチャ管理(CSPM)、 --およびクラウドブラウザ隔離(CBI) -[[ゼロトラスト・セキュリティとは?従来モデルとの違…|Udemy メディア>https://udemy.benesse.co.jp/development/security/zerotrust-security.html]] 2022.4 -[[ゼロトラストが重要な理由|VPNの問題点やZTNA導入のメリットについて解説|サイバーセキュリティ.com>https://cybersecurity-jp.com/column/65782]] 2022.4 -[[ゼロトラスト実現の肝となる「特権アクセス管理」。適用に必要な5ステップとは | TECH+>https://news.mynavi.jp/techplus/kikaku/20220322-2282024/]] 2022.3 -[[ゼロトラストをベースにセキュリティを考えてみた - Gaudiy Tech Blog>https://techblog.gaudiy.com/entry/2022/03/11/101309]] 2022.3 -[[SDP(Software Defined Perimeter)とは? | 情シスのミカタ>https://locked.jp/blog/what-is-software-defined-perimeter/]] 2021.1 -[[ゼロトラストの正しいつくり方 NISTの7原則をやさしく解説 | ビジネスネットワーク.jp>https://businessnetwork.jp/tabid/65/artid/8736/page/1/Default.aspx]] 2021.11 -[[ゼロトラストネットワークとは?テレワーク普及で求められるセキュリティ対策>https://www.splashtop.co.jp/knowhow/07/]] 2021.4 -[[さらばVPN、ゼロトラストネットワーク入門>https://xtech.nikkei.com/atcl/nxt/column/18/01311/]] 2020.6 *セキュリティ 関連資格 [#kc414cc4] →資格関連 ←情報処理安全確保支援士についてはこちらへ -[[2年間で21個のセキュリティ資格を取ってわかったこと>https://zenn.dev/the_art_of_nerd/articles/31c6958121404f]] 2025.3 -[[Linuxセキュリティ標準教科書(Ver1.0.0)>http://www.lpi.or.jp/linuxtext/security.shtml]] 2013.10.1 --本教材を学校教育や企業研修において活用していただき、OSS/Linuxにおけるセキュリティ教育の質向上の一助としていただければ幸いです。 --また、本教材は、セキュアなシステム設計・サーバ構築のスキルを認定する「LPICレベル3 303試験(LPI-303 Security Exam)」の教育および学習にも役立ちます。 *ISMS [#f0a3fe86] -[[ISMSとPマークの管理にSecureNaviを使い始めた話 - hacomono TECH BLOG>https://techblog.hacomono.jp/entry/2024/04/11/1100]] 2024.4 -[[ISMS>http://www.isms.jipdec.jp/isms/]] --ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することである。 --組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが情報セキュリティマネジメントシステム(ISMS)の基本コンセプトである。(ISO/IEC 13335-1:2004より引用) --●機密性:認可されていない個人、エンティティ(団体等)又はプロセスに対して、情報を使用不可又は非公開にする特性。 --●完全性:資産の正確さ及び完全さを保護する特性。 --●可用性:認可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性。 --[[ISMS形骸化問題と向き合う – SecureNavi追検証ブログ – CloudNative Inc. BLOGs>https://blog.cloudnative.co.jp/14222/]] 2023.2 --[[ISMS改訂で追加された「情報削除」の要点とは 削除タイミングを失って情報漏えいする大手企業も (1/2)|EnterpriseZine(エンタープライズジン)>https://enterprisezine.jp/article/detail/18277]] 2023.8 *用語説明 [#j842afd3] -[[CSP(コンテンツセキュリティポリシー)について調べてみた - SSTエンジニアブログ>https://techblog.securesky-tech.com/entry/2020/05/21/]] 2020 --CSP(Content Security Policy)は、対応しているユーザーエージェント(通常はブラウザ)の挙動をWebサイト運営者が制御できるようにする宣言的なセキュリティの仕組みです。どの機能が有効になるか、どこからコンテンツをダウンロードすべきか、などを制御することで、Webサイトの攻撃対象領域を小さくできます。1 --[[CSP Evaluator>https://csp-evaluator.withgoogle.com/]] -[[共通脆弱性評価システムCVSS v3概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構>https://www.ipa.go.jp/security/vuln/scap/cvssv3.html]] 2022.4 -[[CVSSとは? 脆弱性の深刻度の評価基準とスコアの算出方法 - ベアケア>https://barecare.jp/blog/2023/04/10/246/]] 2023.4 -[[サイドチャネル攻撃>http://ja.wikipedia.org/wiki/%E3%82%B5%E3%82%A4%E3%83%89%E3%83%81%E3%83%A3%E3%83%8D%E3%83%AB%E6%94%BB%E6%92%83]] --サイドチャネル攻撃(サイドチャネルこうげき、side-channel attack)とは、暗号装置の動作状況を様々な物理的手段で観察することにより、装置内部のセンシティブな情報を取得しようとする攻撃方法である。 --白熱電球の例えがわかりやすい。電球の明滅の情報だけでなく、消した後に残る熱からどの電球が点いていたかの情報を得るのがサイドチャネル攻撃に相当する。 -[[シフトレフト|セキュリティ用語解説|NRIセキュア>https://www.nri-secure.co.jp/glossary/shift-left]] 2022 --シフトレフトとは、開発ライフサイクルが短期間化し、迅速かつ頻繁にアプリケーションをリリースする傾向が広がっていくなか、リリースのスケジュールを妨げないように、セキュリティに関わる工程を前倒しして実施するという概念です。 --具体的には、開発前の段階からセキュリティを考慮した設計を行ったり、開発したシステムにおけるセキュリティ診断工程を内製化・自動化したりする取り組みが行われています。システム開発のスケジュールは、左から右に進行する流れで描かれるため、工程を前倒しすることは、左側へ移行することを意味することから、このように呼ばれるようになりました。 -[[What is Shift Left Security? | CrowdStrike>https://www.crowdstrike.com/cybersecurity-101/shift-left-security/]] 2022.1 -[[クロスサイト・リクエスト・フォージェリ>http://itpro.nikkeibp.co.jp/article/lecture/20070831/280887/]] --[[ブラウザの仕様とともに考えるCSRF対策 - コドモン Product Team Blog>https://tech.codmon.com/entry/2025/12/04/120000]] 2025.12 --[[「ぼくはまちちゃん」 ――知られざるCSRF攻撃>http://www.atmarkit.co.jp/fsecurity/column/ueno/33.html]] --[[CSRFで強制ログインさせるというアイデア>http://d.hatena.ne.jp/Hamachiya2/20120522/csrf]] 2012.5.22 -[[セッション固定攻撃について>http://www.atmarkit.co.jp/fsecurity/rensai/struts04/struts01.html]] -[[セッション・フィクセーション>http://itpro.nikkeibp.co.jp/article/COLUMN/20080221/294389/]] 2008.3.5 --対策は,ログイン成功時に古いセッションIDを無効化し,セッションIDを再発行することである。 -[[Mark of the Webとは|サイバーセキュリティ.com>https://cybersecurity-jp.com/security-words/100158]] 2024 -[[ルートキット@Wikipedia:http://ja.wikipedia.org/wiki/%E3%83%AB%E3%83%BC%E3%83%88%E3%82%AD%E3%83%83%E3%83%88]] -[[Buffer Overflow@Wikipedia:http://en.wikipedia.org/wiki/Buffer_overflow]] -[[Data Execution Prevention@Wikipedia:http://en.wikipedia.org/wiki/Data_Execution_Prevention]] --いわゆるDEP。データ領域においたコードを実行できないようにすること --[[参考になるページ:ハードウェアDEPの調査:http://mcn.oops.jp/wiki/index.php?CodeZine%2F%A5%CF%A1%BC%A5%C9%A5%A6%A5%A7%A5%A2%20DEP%20%B5%A1%C7%BD%A4%CE%C4%B4%BA%BA]] --[[参考になるページ2@ひまじゃのう:http://www.doblog.com/weblog/myblog/39230/1779717#1779717]] ---XP SP2のソフトウェアDEPで防げるのは例外処理を利用したDEであり、リターンアドレス書き換えによるDEは防げないという話 -[[検疫ネットワーク:http://www.atmarkit.co.jp/fnetwork/tokusyuu/27keneki/01.html]] --外から持参したノートなどをLANにつなぐ前にいったんそこにつないで検査するための隔離されたネットワークのこと --参考:[[なぜ検疫ネットワークが普及しないのか:http://www.atmarkit.co.jp/fsecurity/special/69quarantine/quarantine01.html]] -[[SQLインジェクション:http://www.atmarkit.co.jp/fsecurity/rensai/webhole02/webhole01.html]] …文字列を単純に接続してSQLを作成しているような場合、入力値をうまくいじって想定外の動きをさせることでクラックする。くわしくは上記ページを参照。 -ゼロデイアタック…問題が発見されてから1日とたたずに(対応パッチが出たりする前に)攻撃すること -[[マジックバイト問題:http://japan.cnet.com/news/sec/story/0,2000050480,20090015,00.htm]] 2005.11.2 *Security.txt [#t09a7a57] -[[RFC 9116 から読み解く正しい security.txt の書き方>https://zenn.dev/yuuhu04/articles/reading-rfc9116]] 2024.7 -[["security.txt" についてまとめみた>https://zenn.dev/tk88e/articles/1b319f90700ed8]] 2022 -[[日経電子版がRFC 9116(security.txt)に対応した話 — HACK The Nikkei>https://hack.nikkei.com/blog/advent20221214/]] 2022.12
