はてぶ・Qiita・Zennのトレンド記事を紹介
セキュリティは、情報やシステムを不正アクセスや攻撃から守るための技術や対策です。パスワード管理やウイルス対策、暗号化などが含まれます。
アスクルがランサムウェア攻撃の調査レポートを公開、内容が様々なところに教訓を活かせそうだと話題に「セキュリティと利便性の天秤は難しい」 🔖 23
三輪信雄 @NobMiwa アスクルさんのレポート、生々しい ここまで詳細なレポートは珍しいし、同じ社会的な影響の大きかったア⚪︎⚪︎さんとは違う印象 「攻撃者は当社ネットワーク内に侵入するために、認証情報を窃取し不正に使用した」 「その後、攻撃者は、EDR等の脆弱性対策ソフトを
セッキュリティエンジニアの知識地図 TL;DR 以下に 3 行でまとめます。 本書の対象者はセキュリティエンジニアを目指すけど何をしていいかわからないという人むけです。 何を学べるか?セキュリティエンジニアの種類やどう言ったキャリアパスがあるのか、どういう学習方法があるのか?とい
2025年の国内セキュリティインシデントを振り返る 🔖 17
XDR、Agentic SIEM、Agentic SOARで収集した情報から攻撃の端緒を可視化、防止。攻撃者に隠れる余地を与えません。 詳しくはこちら
React2Shellによって実行されるマルウェアZnDoorについて | セキュリティナレッジ | NTTセキュリティ・ジャパン株式会社 🔖 29
本稿では、実際に日本国内の企業で観測されたReact2Shell悪用事例と、マルウェアZnDoorの解析結果を共有します。 本記事はSOCアナリスト 野村和也が執筆したものです はじめにSOCでは2025年12月から、日本国内においてReact2Shell(CVE-2025-55
セッキュリティエンジニアの知識地図TL;DR以下に 3 行でまとめます。本書の対象者はセキュリティエンジニアを目指すけど何をしていいかわからないという人むけです。何を学べるか?セキュリティエンジニアの種類やどう言ったキャリアパスがあるのか、どういう学習方法があ...
React Server Componentsにおける脆弱性について(CVE-2025-55182) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 🔖 45
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 React Server Componentsは、JavaScriptライブラリ「React」のサーバ機能に関するコンポーネントです。 このReact Server Componentsにおいて、信
AI 対話型アプリケーションにおけるセキュリティ実践ガイド 🔖 2
はじめにAI を用いたアプリケーション開発は、以前と比べてずいぶん簡単になってきました。特に最近では MCP を用いることで、自然言語でデータベースに問い合わせることができ、Web アプリケーションを通してデータベースを照会する機能が比較的簡単に実装できるようになって...
pnpmのセキュリティ機能でnpmを安全に使う #GameWith #TechWith 🔖 14
はじめに こんにちは。サービス開発部の木村です。 この記事は GameWith アドベントカレンダー2025 9日目の記事です。 2025年は「Shai-Hulud」と呼ばれる大規模なサプライチェーン攻撃が発生し、人気OSSでも採用されている有名なnpmパッケージが乗っ取られる事
1. 依存パッケージの脆弱性診断(SCA) 対象ツール:Snyk、OSV-Scanner、npm audit SCA(Software Composition Analysis) は、package.json や package-lock.json を解析し、依存パッケージに既知
セキュリティチェックシート回答生成の自動化に取り組んでいる話 〜RAGと運用改善で実現する効率化〜 🔖 29
はじめに こんにちは!グロービスでセキュリティ推進、SIRT運営など全社セキュリティを担当していますnagamineです 。この記事は、GLOBIS Advent Calendar 2025の6日目の記事です。 今回は、事業部門横断で取り組むセキュリティチェックシート(SCS)対
セキュリティチェックシート回答生成の自動化に取り組んでいる話 〜RAGと運用改善で実現する効率化〜 🔖 29
はじめにこんにちは!グロービスでセキュリティ推進、SIRT運営など全社セキュリティを担当していますnagamineです 。この記事は、GLOBIS Advent Calendar 2025の6日目の記事です。今回は、事業部門横断で取り組むセキュリティチェックシート(SCS)対
セキュリティアセスメントシートに高度精密な回答をもたらす生成AI 🔖 1
お疲れ様です。エムスリーの山本です。 各種の業務を担当させていただいておりますが、今回はセキュリティについて書かせていただきたいと思います。このブログはエムスリー Advent Calendar 2025 5日目の記事になります。 今回のお題は「生成AI x セキュリティアセスメ
React2Shell (CVE-2025-55182) で気付いた React Server Components のセキュリティの盲点 🔖 5
はじめに先日、Vercel から「Important Security Update for Next.js 15 & 16」という件名のメールが Gmail に届きました。リンク先の CVE ページを確認したところ、CVSS スコアが 10.0(Critical)
React2Shell (CVE-2025-55182) で気付いた React Server Components のセキュリティの盲点 🔖 5
はじめに先日、Vercel から「Important Security Update for Next.js 15 & 16」という件名のメールが Gmail に届きました。リンク先の CVE ページを確認したところ、CVSS スコアが 10.0(Critical)
アサヒビール「形だけのセキュリティ対策」が招いた大混乱、“基本のキ”でつまずき大規模な障害に…サイバー攻撃から2カ月何が間違っていたのか(東洋経済オンライン) - Yahoo!ニュース 🔖 18
2025年9月29日、アサヒグループホールディングス(以下、アサヒGHD)を襲ったサイバー攻撃は、「ビールが店頭から消える」というかたちで一般消費者にも実感される異例の事件となりました。数日間、出荷はほぼ停止し、その後も供給を工夫しながら何とか市場への製品供給を維持してきたものの
アサヒビール「形だけのセキュリティ対策」が招いた大混乱、"基本のキ"でつまずき大規模な障害に…サイバー攻撃から2カ月何が間違っていたのか 🔖 13
コンテンツブロックが有効であることを検知しました。 このサイトを利用するには、コンテンツブロック機能(広告ブロック機能を持つ拡張機能等)を無効にしてページを再読み込みしてください。 なお、Microsoft Edgeをご利用のお客様はプライバシー設定が影響している可能性があるため
セキュリティAIエージェントの現在と未来 / PSS #2 Takumi Session 🔖 30
Product Security Square #2(https://flatt.connpass.com/event/367469/)における、ソフトウェアエンジニア梅内の登壇資料です。
サイバーセキュリティ、“侵入前提”はもう時代遅れ? 今再び「防御」に注目が集まるワケ 🔖 80
サイバーセキュリティの分野で、パラダイムシフトが進んでいる。近年の常識となっていた「攻撃者の侵入を前提とした事後検知・対応」というトレンドが、「侵入の予防」へと回帰しつつあるのだ。その理由と、どのような取り組みに注目が集まっているのかを見てみよう。 サイバーセキュリティの取り組み
現役の情報セキュリティ責任者やセキュリティ専門家などで構成されるグループが、国民・企業・ジャーナリスト・政策立案者に向けて、インターネット上や公共のコラムなどで依然として広く流布されている誤ったセキュリティアドバイスである「ハックロア」を止めるよう求めています。 The Lett
Amazon Bedrock × Slackでセキュリティエンジニアを創ってみた 🔖 1
はじめに 社内のセキュリティ規定やマニュアルは膨大で、エンジニアが必要な情報を探すのに多くの時間がかかっていました。「このシステムにはどのセキュリティ対策が必要?」「この作業環境でこのツールを使っても大丈夫?」といった日々の疑問をすぐに質問でき、すぐに解答をもらえる仕組みがあれば
情シス・セキュリティ担当者向けWebプログラミングハンズオン「Hono + JSX + SQLiteで作る掲示板」 🔖 1
この記事は MICIN Advent Calendar 2025 の 1 日目の記事です。https://adventar.org/calendars/11601 はじめにMICIN 情報セキュリティチームの manimoto です。情報セキュリティチームでは、セキュリ
Active Directory 勉強会 第 6 回目 Active Directory セキュリティについて学ぶ回 🔖 55
2025 年 11 月 27 日開催 Japan Microsoft Endpoint Configuration Manager UG の Active Directory 勉強会 第 6 回目 「Active Directory セキュリティについて学ぶ回」 の講演資料です。
セキュリティ特化型OS「GrapheneOS」が「国家による脅迫を受けた」としてフランスから撤退 🔖 23
GrapheneOSは、オープンソースで開発されているセキュリティとプライバシー保護に特化したAndroid系OSで、Google Pixelなどを安全に使うために利用されています。GrapheneOSはそのセキュリティの高さから麻薬密売人などに使用されることがあり、フランス政府
なぜ、物理よりデジタルの方がセキュリティレベルが上がるのに、そう感じない人が多いのか? 🔖 19
はじめに デジタル化が進む社会において、私たちは頻繁に「従来よりセキュリティが強化されます」という言葉を耳にします。特に行政や金融サービスのデジタル移行に関しては、暗号技術を活用したデジタル鍵によって、物理鍵に比べて圧倒的な安全性が確保できています。それにもかかわらず、多くの人々
インシデント対応のためのLinuxログ入門 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ 🔖 77
インシデント対応のためのLinuxログ入門 はじめに こんにちは、ディフェンシブセキュリティ部の岩崎です。 本記事はログ全般に関すること、ログ管理がより必要なサーバに多く利用されているOSであるLinuxログに関するTipsを主にセキュリティ観点で紹介します。 これからログ分析を
AIが「問い合わせ対応」や「セキュリティチェック」を代行 「天才くんfor情シス」をSHIFTが提供開始 🔖 27
「天才くん」は、AIツールを利用する企業や部門、ユーザーごとの業務の目的やプロセスとの親和性、効果性向上を目指し、ユーザー自身が必要なテンプレートや機能を作成、カスタマイズできる生成AIツールだ。SHIFTによると、同社内の業務生産性の向上、効率化を目的に開発されたものだという。
セキュリティ文化醸成のための社内セキュリティ競技会2025 - カミナシ エンジニアブログ 🔖 68
どうもセキュリティエンジニアの西川です。私は最近ポケモンカードの奥深さと難しさを痛感する日々を過ごしていますが、みなさんいかがお過ごしでしょうか。 カミナシでは社内セキュリティ競技会を実施しました。1年に1度開催しておりまして、気付けば今年で3回目です。初回は私一人で運営していま
セキュリティ文化醸成のための社内セキュリティ競技会2025 🔖 68
どうもセキュリティエンジニアの西川です。私は最近ポケモンカードの奥深さと難しさを痛感する日々を過ごしていますが、みなさんいかがお過ごしでしょうか。 カミナシでは社内セキュリティ競技会を実施しました。1年に1度開催しておりまして、気付けば今年で3回目です。初回は私一人で運営していま
セキュリティ文化醸成のための社内セキュリティ競技会2025 🔖 68
どうもセキュリティエンジニアの西川です。私は最近ポケモンカードの奥深さと難しさを痛感する日々を過ごしていますが、みなさんいかがお過ごしでしょうか。 カミナシでは社内セキュリティ競技会を実施しました。1年に1度開催しておりまして、気付けば今年で3回目です。初回は私一人で運営していま
【セキュリティ】初めてアプリをつくる人がまず抑えておくべき基本的事項 🔖 6
はじめにWebアプリケーションを開発する際、セキュリティ対策は避けて通れない重要なテーマです。攻撃者は常に脆弱性を探しており、一度セキュリティホールが悪用されると、個人情報の漏洩やシステムの改ざんなど、深刻な被害につながる可能性があります。本記事では、Web開発者が最...
自作キーボードキットと派生品のセキュリティについて 🔖 66
前回の記事では、自作キーボードキットを選ぶ際の注意点や、信頼できる販売者を見極める視点を整理しました。続編にあたる今回は、Geminiなどを通じて、過去の事例など脅威分析のリサーチをした結果なども踏まえつつまとめました。 自作・派生キーボードと大手メーカー製キーボード、その両者で
RAGを活用してセキュリティチェックシートの回答作業を自動化した話 🔖 207
はじめに 今回は、RAG(Retrieval-Augmented Generation)を使ってセキュリティチェックシートへの回答を自動化した事例を紹介します。生成AI技術をどう業務に活かせるのか、実際のところどうだったのか、できるだけ具体的にお伝えできればと思います。 そもそも
母から送られてくる封筒の裏に毎回「〆」と書かれているが、何の意味と効力があるのか?「お手紙の作法ですね」「簡易セキュリティ」など諸説集まる 🔖 20
ギタリストMIYU🎸(MIYU先生) @MIYU_726 母から封筒が届きました。 裏を見て毎回笑ってしまうのですが、 昔の人がやるこの〆に一旦何の意味と効力があるのか誰か教えて欲しいです。 pic.x.com/kSz9beGmyY 2025-11-06 15:04:05 ギタリ
攻撃者の視点で学ぶPHPセキュリティ|Kali Linuxで実践する脆弱性テスト 🔖 2
攻撃者の視点で学ぶPHPセキュリティ|Kali Linuxで実践する脆弱性テスト 1. はじめにこれまでの記事で、セキュリティを守りながら生成AIでPHPを学ぶ方法を実践してきました。生成AIでプログラミング学習、その前に|社内SEが知っておくべきセキュリティの基本:
RAGを活用してセキュリティチェックシートの回答作業を自動化した話 🔖 207
はじめに今回は、RAG(Retrieval-Augmented Generation)を使ってセキュリティチェックシートへの回答を自動化した事例を紹介します。生成AI技術をどう業務に活かせるのか、実際のところどうだったのか、できるだけ具体的にお伝えできればと思います。 そも
Suicaの脆弱性を指摘したセキュリティ企業トップが「暗号領域の情報が読み取れるSuicaビューア」公開で物議 目的を聞いた 🔖 158
アンノウン・テクノロジーズ(東京都千代田区)のCEOを務める切敷裕大さんが10月30日、個人のXアカウントで「世界初!暗号領域の情報が読み取れるSuicaビューアを公開」と投稿し、一部で注目を集めている。アンノウン・テクノロジーズは、8月に話題になったSuicaの脆弱性を指摘した
この記事は、CYBOZU SUMMER BLOG FES '25の記事です。 こんにちは、PSIRTの大塚です。 サイボウズでは、セキュリティチャンピオンという施策を始めました。本ブログでは、セキュリティチャンピオンが目指す世界と現時点での体制、効果を紹介します。 PSIRTとは
宇宙の視点から考えるセキュリティ ― NASAのゼロトラストの思想 🔖 3
🌌はじめにGMOコネクトの大谷です。「宇宙開発」と聞くと、ロケットや火星探査のような“夢”や“挑戦”を思い浮かべる人が多いと思います。でも、その裏では 一つの誤りが命に関わるほどの「ミスが許されない環境」 で日々の業務が行われています。そんな極限の現場で、NASA...
「あなたのコードは大丈夫?」バイブコーディングに潜む罠と開発者が学ぶべきセキュリティの新常識 🔖 17
「AIで月収100万円」の裏で、あなたのコードは狙われている 「AIにプロンプトを投げたら、数時間でアプリが完成した」 「月収100万円を達成!これからは生成AI x ソロプレナーの時代だ!」 SNSを賑わす、きらびやかな成功体験。生成AIの登場は、ソフトウェア開発の世界に革命を
「守る」は完璧じゃなくてもいい 警察学校で語られた、セキュリティの新しい形|LINEヤフー株式会社 🔖 27
知識がなくても、仕組みでサイバー犯罪は防げるーー。 そんな考え方のもと、LINEヤフーと三菱UFJ銀行は、警視庁の警察学校で約1,200名の初任科生を対象に出前授業を行いました。 講堂に集まったのは、これから地域の交番などで働く警察官たち。 この授業を企画・設計した三菱UFJ銀行
IT業界、特にセキュリティ業界は「個人のスキル」よりも、どこに所属しているかで大きく変わる話 🔖 48
はじめに 1年前、私はこちらの記事をQiitaに書きました。 あの頃はちょうど転職が決まり、 ようやくスタートラインに立てたという安堵と期待の中で記事を書いていました。 それから1年。 環境が変わり、立場が変わり、見える景色も大きく変わりました。 IT業界、特にセキュリティ業界は