はてぶ・Qiita・Zennのトレンド記事を紹介
セキュリティは、情報やシステムを不正アクセスや攻撃から守るための技術や対策です。パスワード管理やウイルス対策、暗号化などが含まれます。
セキュリティ学習プラットフォーム56選を徹底比較|難易度・料金・言語で選ぶガイド 🔖 2
セキュリティ学習プラットフォーム完全一覧*学習中自分の環境に脆弱性が発生するツールもありますので、そこは自己検証・自己責任にて注意してご利用ください#カテゴリプラットフォーム特徴難易度料金言語URL1国内リソース(理論)IPA「ひとみ...
2025年、国内セキュリティ事件12事例を全検証 なぜあの企業の防御は突破されたのか? 🔖 36
2025年、国内セキュリティ事件12事例を全検証 なぜあの企業の防御は突破されたのか?:2025年のインシデントを振り返る 2025年はアスクルやアサヒへの攻撃をはじめ、幅広い業種で深刻なサイバー被害が相次いだ。主な原因は脆弱性の放置や海外拠点の管理不備、多要素認証の未導入にあり
Goでフルスクラッチ実装したLLMエージェントによって、セキュリティアラート分析を自動化する方法を解説します。LangChainなどのフレームワークを使わず、LLM APIのみを使って実践的なエージェントを構築する手順を基礎から応用まで紹介します。
PuTTY(パティ)を悪用したサイバー攻撃が増加-正規ツールを使った横移動・情報持ち出しに警戒|セキュリティニュースのセキュリティ対策Lab 🔖 135
セキュリティ研究者の指摘によるとサイバー攻撃者が侵害後のネットワーク内で、「PuTTY」を使って横方向に移動したり、ファイルを外部に持ち出したりするケースが増えていると指摘しています。 前提 攻撃者がよく使うのは、PuTTY本体だけではありません。 plink.exe(SSHのコ
このAI時代に、私がもう一度文系・未経験からセキュリティ業界に入るなら 🔖 36
はじめに「文系・未経験からセキュリティは無理」この言葉を理由に、挑戦を諦めてしまう人は多いと思います。ですが、少なくとも私はこの意見には賛成できません。私は文系・未経験からIT業界に入り、現在はセキュリティコンサルタントとして働いています。このAI時代にA...
Goでフルスクラッチ実装したLLMエージェントによって、セキュリティアラート分析を自動化する方法を解説します。LangChainなどのフレームワークを使わず、LLM APIのみを使って実践的なエージェントを構築する手順を基礎から応用まで紹介します。
セキュリティの真髄に迫る―CISSP合格の裏側と挑戦の軌跡 🔖 1
情報セキュリティのプロフェッショナル資格CISSPに合格した筆者が、勉強法と試験の攻略法、実務での応用を解説します。
AIブラウザ「ChatGPT Atlas」では「勝手に辞職メールを送信」など有害な攻撃を次々に編み出す自動ハッキングAIを使ってセキュリティが強化されている 🔖 39
OpenAIが2025年10月にリリースしたウェブブラウザ「ChatGPT Atlas」にはAIエージェントが組み込まれており、情報収集やメール処理などの作業をAIに実行させることができます。そんなChatGPT Atlasのセキュリティを強化するべく、OpenAIのレッドチーム
もはやセキュリティに「社内」と「社外」の境界はない。CSIRTとPSIRTを統合してひとつのチームへ - freee Developers Hub 🔖 149
「飛行機に乗り合わせたたった一人の医者」をGeminiに描かせたら一人でジェット機の操縦席に座る医者になってしまった件 はじめに こんにちは、freeeセキュリティチーム マネージャーのただただし(tdtds)です。この記事はfreee Developers Advent Cal
セキュリティとビジネススキルを競う実践型イベント”Hardening 2025 Invisible Divide”参加体験記 🔖 1
【IIJ 2025 TECHアドベントカレンダー 12/22の記事です】 初めまして、t-matsubara と申します。10月に沖縄で開催されたハードニング競技会に参加して参りました。チームメンバー...
「カード番号と有効期限」だけで通った時代から10年~決済セキュリティの進化と今すべき対策 🔖 506
はじめに皆さん、決済していますか?(挨拶)元々対面取引の後払い・信用払いの方法として登場したクレジットカードですが、インターネットの普及にともないウェブサービスや通販などのオンラインでも使われてきています。今回は簡単にクレジットカードのオンラインでのセキュリティの歴...
もはやセキュリティに「社内」と「社外」の境界はない。CSIRTとPSIRTを統合してひとつのチームへ 🔖 149
「飛行機に乗り合わせたたった一人の医者」をGeminiに描かせたら一人でジェット機の操縦席に座る医者になってしまった件 はじめに こんにちは、freeeセキュリティチーム マネージャーのただただし(tdtds)です。この記事はfreee Developers Advent Cal
Google Cloud、サイバーセキュリティ大手のPalo Alto Networkと数十億ドル規模の新契約 🔖 13
米サイバーセキュリティ大手のPalo Alto Networksは12月19日(現地時間)、米Google傘下のGoogle Cloudと、数十億ドル規模の新たな契約を結んだと発表した。この契約は、既存の戦略的提携の拡大であり、エンジニアリング面での協力を深めるものになるとしてい
STORES におけるセキュリティエンジニアの仕事 - 検討、推進および執行 🔖 12
STORESのセキュリティ本部が担う業務範囲と、脆弱性診断の内製化・修正PR提出などの取り組みを紹介。あわせて、セキュリティベンダーから事業会社へ転職した際のギャップをまとめます。
初心者・非エンジニア向けセキュリティ学習プラットフォーム一覧 🔖 1
前記事で紹介したコミュニティモデルを補完する形で、コードを書かなくても始められるプラットフォームとツールをまとめた。🎯 ハンズオン学習プラットフォーム(ガイド付き)プラットフォーム特徴難易度料金TryHackMeブラウザ完結のガイド付きRoo...
セキュリティ学習のコミュニティモデル:なぜ「一人で学ぶ」より効果的なのか 🔖 1
はじめにセキュリティ分野の学習は孤独になりがちだ。CTF、バグバウンティ、OSINT...どれも自分との戦いに見える。しかし、実際にスキルを伸ばしている人たちは「コミュニティ」を活用している。本記事では、セキュリティ学習で機能している4つのコミュニティモデルについて、...
Gemini CLI GitHub Actions で PR の自動コードレビューとセキュリティ分析を導入してみた 🔖 1
はじめにこんにちは、株式会社AI Shift の yoshi です。この記事はAI Shift Advent Calendar 2025の19日目の記事です。今回は Gemini CLI GitHub Actions を使用して、Pull Request に対する自動コード
セキュリティ未経験の新卒が2ヶ月でセキュリティスキルの基礎を身につけた話 🔖 4
セキュリティ初心者がNTTドコモの研修を通じてエンジニアとして成長。研修内容と実務への活用を交えながら、技術習得のプロセスを紹介。
Agent 365、Copilot Studio のエージェントに対するセキュリティガバナンスについて考えてみた 🔖 2
はじめにMicrosoft Ignite 2025 にて、Agent 365 の紹介がありました。以下の Learn を読むと、各 AI エージェント (以降エージェント) に固有の Microsoft Entra エージェント ID を付与し、ID、ライフサイクル、ア...
セキュリティAIエージェントによる脆弱性診断を試してみました - ANDPAD Tech Blog 🔖 41
こんにちは、アンドパッドセキュリティチームの小野寺です。この記事は ANDPAD Advent Calendar 2025 17 日目の記事です。 現在、セキュリティチームでは脆弱性診断の内製化に取り組んでいます。今回はセキュリティAIエージェントを活用して、Webアプリケーショ
SoundCloudのユーザー情報がハッキングされた可能性大、過去のサービス停止とVPN接続の問題はセキュリティ侵害が原因であると運営が認める 🔖 10
音楽ストリーミングサービスのSoundCloudが、データベースに侵害を受けたことを認めました。機密データには影響がないものの、ユーザーのメールアドレス等が盗まれてしまったそうです。 SoundCloud confirms breach after member data sto
セキュリティAIエージェントによる脆弱性診断を試してみました 🔖 41
こんにちは、アンドパッドセキュリティチームの小野寺です。この記事は ANDPAD Advent Calendar 2025 17 日目の記事です。 現在、セキュリティチームでは脆弱性診断の内製化に取り組んでいます。今回はセキュリティAIエージェントを活用して、Webアプリケーショ
セキュリティチェック対応を支えるSREの役割 統一プラットフォームと部門横断協業の実践 🔖 1
はじめに最近、セキュリティチェックシート(SCS)への対応依頼が増えています。SCSというのは、企業が外部システムやサービスを導入する際に、セキュリティ対策や運用体制を事前に確認・評価するためのチェックシートです。近年のサイバー攻撃の増加やコンプライアンス要件の厳格化に伴い、
こちらは ANDPAD Advent Calendar 2025 の15日目の記事です。 こんにちは! アンドパッド セキュリティチームの 宜野座(ぎのざ) です。 早いもので前回のテックブログを書いてから3年が経過しました。 現在は SREチームからセキュリティチームに異動して
セッキュリティエンジニアの知識地図 TL;DR 以下に 3 行でまとめます。 本書の対象者はセキュリティエンジニアを目指すけど何をしていいかわからないという人むけです。 何を学べるか?セキュリティエンジニアの種類やどう言ったキャリアパスがあるのか、どういう学習方法があるのか?とい
アスクルがランサムウェア攻撃の調査レポートを公開、内容が様々なところに教訓を活かせそうだと話題に「セキュリティと利便性の天秤は難しい」 🔖 91
三輪信雄 @NobMiwa アスクルさんのレポート、生々しい ここまで詳細なレポートは珍しいし、同じ社会的な影響の大きかったア⚪︎⚪︎さんとは違う印象 「攻撃者は当社ネットワーク内に侵入するために、認証情報を窃取し不正に使用した」 「その後、攻撃者は、EDR等の脆弱性対策ソフトを
2025年の国内セキュリティインシデントを振り返る 🔖 17
XDR、Agentic SIEM、Agentic SOARで収集した情報から攻撃の端緒を可視化、防止。攻撃者に隠れる余地を与えません。 詳しくはこちら
React2Shellによって実行されるマルウェアZnDoorについて | セキュリティナレッジ | NTTセキュリティ・ジャパン株式会社 🔖 31
本稿では、実際に日本国内の企業で観測されたReact2Shell悪用事例と、マルウェアZnDoorの解析結果を共有します。 本記事はSOCアナリスト 野村和也が執筆したものです はじめにSOCでは2025年12月から、日本国内においてReact2Shell(CVE-2025-55
セッキュリティエンジニアの知識地図TL;DR以下に 3 行でまとめます。本書の対象者はセキュリティエンジニアを目指すけど何をしていいかわからないという人むけです。何を学べるか?セキュリティエンジニアの種類やどう言ったキャリアパスがあるのか、どういう学習方法があ...
T2セキュリティチップ搭載のMacBook Pro (2019)にLinux Mintを入れてみた話 🔖 1
はじめに大学の時に使っていた MacBook Pro がずっと家にあったのですが、購入からもう6年くらい経ち、ビンテージモデルの仲間入りしてすっかり型落ち品になってしまいました。しかし、シールをたくさん貼っていたり、長く使っていて少し愛着があるので Linux を入れ...
React Server Componentsにおける脆弱性について(CVE-2025-55182) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 🔖 50
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 React Server Componentsは、JavaScriptライブラリ「React」のサーバ機能に関するコンポーネントです。 このReact Server Componentsにおいて、信
AI 対話型アプリケーションにおけるセキュリティ実践ガイド 🔖 2
はじめにAI を用いたアプリケーション開発は、以前と比べてずいぶん簡単になってきました。特に最近では MCP を用いることで、自然言語でデータベースに問い合わせることができ、Web アプリケーションを通してデータベースを照会する機能が比較的簡単に実装できるようになって...
pnpmのセキュリティ機能でnpmを安全に使う #GameWith #TechWith 🔖 14
はじめに こんにちは。サービス開発部の木村です。 この記事は GameWith アドベントカレンダー2025 9日目の記事です。 2025年は「Shai-Hulud」と呼ばれる大規模なサプライチェーン攻撃が発生し、人気OSSでも採用されている有名なnpmパッケージが乗っ取られる事
1. 依存パッケージの脆弱性診断(SCA) 対象ツール:Snyk、OSV-Scanner、npm audit SCA(Software Composition Analysis) は、package.json や package-lock.json を解析し、依存パッケージに既知
セキュリティチェックシート回答生成の自動化に取り組んでいる話 〜RAGと運用改善で実現する効率化〜 🔖 31
はじめに こんにちは!グロービスでセキュリティ推進、SIRT運営など全社セキュリティを担当していますnagamineです 。この記事は、GLOBIS Advent Calendar 2025の6日目の記事です。 今回は、事業部門横断で取り組むセキュリティチェックシート(SCS)対
セキュリティチェックシート回答生成の自動化に取り組んでいる話 〜RAGと運用改善で実現する効率化〜 🔖 31
はじめにこんにちは!グロービスでセキュリティ推進、SIRT運営など全社セキュリティを担当していますnagamineです 。この記事は、GLOBIS Advent Calendar 2025の6日目の記事です。今回は、事業部門横断で取り組むセキュリティチェックシート(SCS)対
セキュリティアセスメントシートに高度精密な回答をもたらす生成AI 🔖 1
お疲れ様です。エムスリーの山本です。 各種の業務を担当させていただいておりますが、今回はセキュリティについて書かせていただきたいと思います。このブログはエムスリー Advent Calendar 2025 5日目の記事になります。 今回のお題は「生成AI x セキュリティアセスメ
React2Shell (CVE-2025-55182) で気付いた React Server Components のセキュリティの盲点 🔖 7
はじめに先日、Vercel から「Important Security Update for Next.js 15 & 16」という件名のメールが Gmail に届きました。リンク先の CVE ページを確認したところ、CVSS スコアが 10.0(Critical)
React2Shell (CVE-2025-55182) で気付いた React Server Components のセキュリティの盲点 🔖 7
はじめに先日、Vercel から「Important Security Update for Next.js 15 & 16」という件名のメールが Gmail に届きました。リンク先の CVE ページを確認したところ、CVSS スコアが 10.0(Critical)
アサヒビール「形だけのセキュリティ対策」が招いた大混乱、“基本のキ”でつまずき大規模な障害に…サイバー攻撃から2カ月何が間違っていたのか(東洋経済オンライン) - Yahoo!ニュース 🔖 18
2025年9月29日、アサヒグループホールディングス(以下、アサヒGHD)を襲ったサイバー攻撃は、「ビールが店頭から消える」というかたちで一般消費者にも実感される異例の事件となりました。数日間、出荷はほぼ停止し、その後も供給を工夫しながら何とか市場への製品供給を維持してきたものの
アサヒビール「形だけのセキュリティ対策」が招いた大混乱、"基本のキ"でつまずき大規模な障害に…サイバー攻撃から2カ月何が間違っていたのか 🔖 13
コンテンツブロックが有効であることを検知しました。 このサイトを利用するには、コンテンツブロック機能(広告ブロック機能を持つ拡張機能等)を無効にしてページを再読み込みしてください。 なお、Microsoft Edgeをご利用のお客様はプライバシー設定が影響している可能性があるため
セキュリティAIエージェントの現在と未来 / PSS #2 Takumi Session 🔖 31
Product Security Square #2(https://flatt.connpass.com/event/367469/)における、ソフトウェアエンジニア梅内の登壇資料です。
サイバーセキュリティ、“侵入前提”はもう時代遅れ? 今再び「防御」に注目が集まるワケ 🔖 83
サイバーセキュリティの分野で、パラダイムシフトが進んでいる。近年の常識となっていた「攻撃者の侵入を前提とした事後検知・対応」というトレンドが、「侵入の予防」へと回帰しつつあるのだ。その理由と、どのような取り組みに注目が集まっているのかを見てみよう。 サイバーセキュリティの取り組み