はてぶ・Qiita・Zennのトレンド記事を紹介
セキュリティは、情報やシステムを不正アクセスや攻撃から守るための技術や対策です。パスワード管理やウイルス対策、暗号化などが含まれます。
STORES におけるセキュリティエンジニアの仕事 - 検討、推進および執行 🔖 12
STORESのセキュリティ本部が担う業務範囲と、脆弱性診断の内製化・修正PR提出などの取り組みを紹介。あわせて、セキュリティベンダーから事業会社へ転職した際のギャップをまとめます。
初心者・非エンジニア向けセキュリティ学習プラットフォーム一覧 🔖 1
前記事で紹介したコミュニティモデルを補完する形で、コードを書かなくても始められるプラットフォームとツールをまとめた。🎯 ハンズオン学習プラットフォーム(ガイド付き)プラットフォーム特徴難易度料金TryHackMeブラウザ完結のガイド付きRoo...
セキュリティ学習のコミュニティモデル:なぜ「一人で学ぶ」より効果的なのか 🔖 1
はじめにセキュリティ分野の学習は孤独になりがちだ。CTF、バグバウンティ、OSINT...どれも自分との戦いに見える。しかし、実際にスキルを伸ばしている人たちは「コミュニティ」を活用している。本記事では、セキュリティ学習で機能している4つのコミュニティモデルについて、...
Gemini CLI GitHub Actions で PR の自動コードレビューとセキュリティ分析を導入してみた 🔖 1
はじめにこんにちは、株式会社AI Shift の yoshi です。この記事はAI Shift Advent Calendar 2025の19日目の記事です。今回は Gemini CLI GitHub Actions を使用して、Pull Request に対する自動コード
セキュリティ未経験の新卒が2ヶ月でセキュリティスキルの基礎を身につけた話 🔖 4
セキュリティ初心者がNTTドコモの研修を通じてエンジニアとして成長。研修内容と実務への活用を交えながら、技術習得のプロセスを紹介。
Agent 365、Copilot Studio のエージェントに対するセキュリティガバナンスについて考えてみた 🔖 2
はじめにMicrosoft Ignite 2025 にて、Agent 365 の紹介がありました。以下の Learn を読むと、各 AI エージェント (以降エージェント) に固有の Microsoft Entra エージェント ID を付与し、ID、ライフサイクル、ア...
セキュリティAIエージェントによる脆弱性診断を試してみました - ANDPAD Tech Blog 🔖 41
こんにちは、アンドパッドセキュリティチームの小野寺です。この記事は ANDPAD Advent Calendar 2025 17 日目の記事です。 現在、セキュリティチームでは脆弱性診断の内製化に取り組んでいます。今回はセキュリティAIエージェントを活用して、Webアプリケーショ
SoundCloudのユーザー情報がハッキングされた可能性大、過去のサービス停止とVPN接続の問題はセキュリティ侵害が原因であると運営が認める 🔖 10
音楽ストリーミングサービスのSoundCloudが、データベースに侵害を受けたことを認めました。機密データには影響がないものの、ユーザーのメールアドレス等が盗まれてしまったそうです。 SoundCloud confirms breach after member data sto
セキュリティAIエージェントによる脆弱性診断を試してみました 🔖 41
こんにちは、アンドパッドセキュリティチームの小野寺です。この記事は ANDPAD Advent Calendar 2025 17 日目の記事です。 現在、セキュリティチームでは脆弱性診断の内製化に取り組んでいます。今回はセキュリティAIエージェントを活用して、Webアプリケーショ
セキュリティチェック対応を支えるSREの役割 統一プラットフォームと部門横断協業の実践 🔖 1
はじめに最近、セキュリティチェックシート(SCS)への対応依頼が増えています。SCSというのは、企業が外部システムやサービスを導入する際に、セキュリティ対策や運用体制を事前に確認・評価するためのチェックシートです。近年のサイバー攻撃の増加やコンプライアンス要件の厳格化に伴い、
こちらは ANDPAD Advent Calendar 2025 の15日目の記事です。 こんにちは! アンドパッド セキュリティチームの 宜野座(ぎのざ) です。 早いもので前回のテックブログを書いてから3年が経過しました。 現在は SREチームからセキュリティチームに異動して
セッキュリティエンジニアの知識地図 TL;DR 以下に 3 行でまとめます。 本書の対象者はセキュリティエンジニアを目指すけど何をしていいかわからないという人むけです。 何を学べるか?セキュリティエンジニアの種類やどう言ったキャリアパスがあるのか、どういう学習方法があるのか?とい
アスクルがランサムウェア攻撃の調査レポートを公開、内容が様々なところに教訓を活かせそうだと話題に「セキュリティと利便性の天秤は難しい」 🔖 91
三輪信雄 @NobMiwa アスクルさんのレポート、生々しい ここまで詳細なレポートは珍しいし、同じ社会的な影響の大きかったア⚪︎⚪︎さんとは違う印象 「攻撃者は当社ネットワーク内に侵入するために、認証情報を窃取し不正に使用した」 「その後、攻撃者は、EDR等の脆弱性対策ソフトを
2025年の国内セキュリティインシデントを振り返る 🔖 17
XDR、Agentic SIEM、Agentic SOARで収集した情報から攻撃の端緒を可視化、防止。攻撃者に隠れる余地を与えません。 詳しくはこちら
React2Shellによって実行されるマルウェアZnDoorについて | セキュリティナレッジ | NTTセキュリティ・ジャパン株式会社 🔖 31
本稿では、実際に日本国内の企業で観測されたReact2Shell悪用事例と、マルウェアZnDoorの解析結果を共有します。 本記事はSOCアナリスト 野村和也が執筆したものです はじめにSOCでは2025年12月から、日本国内においてReact2Shell(CVE-2025-55
セッキュリティエンジニアの知識地図TL;DR以下に 3 行でまとめます。本書の対象者はセキュリティエンジニアを目指すけど何をしていいかわからないという人むけです。何を学べるか?セキュリティエンジニアの種類やどう言ったキャリアパスがあるのか、どういう学習方法があ...
T2セキュリティチップ搭載のMacBook Pro (2019)にLinux Mintを入れてみた話 🔖 1
はじめに大学の時に使っていた MacBook Pro がずっと家にあったのですが、購入からもう6年くらい経ち、ビンテージモデルの仲間入りしてすっかり型落ち品になってしまいました。しかし、シールをたくさん貼っていたり、長く使っていて少し愛着があるので Linux を入れ...
React Server Componentsにおける脆弱性について(CVE-2025-55182) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 🔖 50
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 React Server Componentsは、JavaScriptライブラリ「React」のサーバ機能に関するコンポーネントです。 このReact Server Componentsにおいて、信
AI 対話型アプリケーションにおけるセキュリティ実践ガイド 🔖 2
はじめにAI を用いたアプリケーション開発は、以前と比べてずいぶん簡単になってきました。特に最近では MCP を用いることで、自然言語でデータベースに問い合わせることができ、Web アプリケーションを通してデータベースを照会する機能が比較的簡単に実装できるようになって...
pnpmのセキュリティ機能でnpmを安全に使う #GameWith #TechWith 🔖 14
はじめに こんにちは。サービス開発部の木村です。 この記事は GameWith アドベントカレンダー2025 9日目の記事です。 2025年は「Shai-Hulud」と呼ばれる大規模なサプライチェーン攻撃が発生し、人気OSSでも採用されている有名なnpmパッケージが乗っ取られる事
1. 依存パッケージの脆弱性診断(SCA) 対象ツール:Snyk、OSV-Scanner、npm audit SCA(Software Composition Analysis) は、package.json や package-lock.json を解析し、依存パッケージに既知
セキュリティチェックシート回答生成の自動化に取り組んでいる話 〜RAGと運用改善で実現する効率化〜 🔖 31
はじめに こんにちは!グロービスでセキュリティ推進、SIRT運営など全社セキュリティを担当していますnagamineです 。この記事は、GLOBIS Advent Calendar 2025の6日目の記事です。 今回は、事業部門横断で取り組むセキュリティチェックシート(SCS)対
セキュリティチェックシート回答生成の自動化に取り組んでいる話 〜RAGと運用改善で実現する効率化〜 🔖 31
はじめにこんにちは!グロービスでセキュリティ推進、SIRT運営など全社セキュリティを担当していますnagamineです 。この記事は、GLOBIS Advent Calendar 2025の6日目の記事です。今回は、事業部門横断で取り組むセキュリティチェックシート(SCS)対
セキュリティアセスメントシートに高度精密な回答をもたらす生成AI 🔖 1
お疲れ様です。エムスリーの山本です。 各種の業務を担当させていただいておりますが、今回はセキュリティについて書かせていただきたいと思います。このブログはエムスリー Advent Calendar 2025 5日目の記事になります。 今回のお題は「生成AI x セキュリティアセスメ
React2Shell (CVE-2025-55182) で気付いた React Server Components のセキュリティの盲点 🔖 7
はじめに先日、Vercel から「Important Security Update for Next.js 15 & 16」という件名のメールが Gmail に届きました。リンク先の CVE ページを確認したところ、CVSS スコアが 10.0(Critical)
React2Shell (CVE-2025-55182) で気付いた React Server Components のセキュリティの盲点 🔖 7
はじめに先日、Vercel から「Important Security Update for Next.js 15 & 16」という件名のメールが Gmail に届きました。リンク先の CVE ページを確認したところ、CVSS スコアが 10.0(Critical)
アサヒビール「形だけのセキュリティ対策」が招いた大混乱、"基本のキ"でつまずき大規模な障害に…サイバー攻撃から2カ月何が間違っていたのか 🔖 13
コンテンツブロックが有効であることを検知しました。 このサイトを利用するには、コンテンツブロック機能(広告ブロック機能を持つ拡張機能等)を無効にしてページを再読み込みしてください。 なお、Microsoft Edgeをご利用のお客様はプライバシー設定が影響している可能性があるため
アサヒビール「形だけのセキュリティ対策」が招いた大混乱、“基本のキ”でつまずき大規模な障害に…サイバー攻撃から2カ月何が間違っていたのか(東洋経済オンライン) - Yahoo!ニュース 🔖 18
2025年9月29日、アサヒグループホールディングス(以下、アサヒGHD)を襲ったサイバー攻撃は、「ビールが店頭から消える」というかたちで一般消費者にも実感される異例の事件となりました。数日間、出荷はほぼ停止し、その後も供給を工夫しながら何とか市場への製品供給を維持してきたものの
セキュリティAIエージェントの現在と未来 / PSS #2 Takumi Session 🔖 31
Product Security Square #2(https://flatt.connpass.com/event/367469/)における、ソフトウェアエンジニア梅内の登壇資料です。
サイバーセキュリティ、“侵入前提”はもう時代遅れ? 今再び「防御」に注目が集まるワケ 🔖 83
サイバーセキュリティの分野で、パラダイムシフトが進んでいる。近年の常識となっていた「攻撃者の侵入を前提とした事後検知・対応」というトレンドが、「侵入の予防」へと回帰しつつあるのだ。その理由と、どのような取り組みに注目が集まっているのかを見てみよう。 サイバーセキュリティの取り組み
現役の情報セキュリティ責任者やセキュリティ専門家などで構成されるグループが、国民・企業・ジャーナリスト・政策立案者に向けて、インターネット上や公共のコラムなどで依然として広く流布されている誤ったセキュリティアドバイスである「ハックロア」を止めるよう求めています。 The Lett
Amazon Bedrock × Slackでセキュリティエンジニアを創ってみた 🔖 1
はじめに 社内のセキュリティ規定やマニュアルは膨大で、エンジニアが必要な情報を探すのに多くの時間がかかっていました。「このシステムにはどのセキュリティ対策が必要?」「この作業環境でこのツールを使っても大丈夫?」といった日々の疑問をすぐに質問でき、すぐに解答をもらえる仕組みがあれば
情シス・セキュリティ担当者向けWebプログラミングハンズオン「Hono + JSX + SQLiteで作る掲示板」 🔖 1
この記事は MICIN Advent Calendar 2025 の 1 日目の記事です。https://adventar.org/calendars/11601 はじめにMICIN 情報セキュリティチームの manimoto です。情報セキュリティチームでは、セキュリ
Active Directory 勉強会 第 6 回目 Active Directory セキュリティについて学ぶ回 🔖 54
2025 年 11 月 27 日開催 Japan Microsoft Endpoint Configuration Manager UG の Active Directory 勉強会 第 6 回目 「Active Directory セキュリティについて学ぶ回」 の講演資料です。
セキュリティ特化型OS「GrapheneOS」が「国家による脅迫を受けた」としてフランスから撤退 🔖 23
GrapheneOSは、オープンソースで開発されているセキュリティとプライバシー保護に特化したAndroid系OSで、Google Pixelなどを安全に使うために利用されています。GrapheneOSはそのセキュリティの高さから麻薬密売人などに使用されることがあり、フランス政府
なぜ、物理よりデジタルの方がセキュリティレベルが上がるのに、そう感じない人が多いのか? 🔖 20
はじめに デジタル化が進む社会において、私たちは頻繁に「従来よりセキュリティが強化されます」という言葉を耳にします。特に行政や金融サービスのデジタル移行に関しては、暗号技術を活用したデジタル鍵によって、物理鍵に比べて圧倒的な安全性が確保できています。それにもかかわらず、多くの人々
インシデント対応のためのLinuxログ入門 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ 🔖 77
インシデント対応のためのLinuxログ入門 はじめに こんにちは、ディフェンシブセキュリティ部の岩崎です。 本記事はログ全般に関すること、ログ管理がより必要なサーバに多く利用されているOSであるLinuxログに関するTipsを主にセキュリティ観点で紹介します。 これからログ分析を
AIが「問い合わせ対応」や「セキュリティチェック」を代行 「天才くんfor情シス」をSHIFTが提供開始 🔖 27
「天才くん」は、AIツールを利用する企業や部門、ユーザーごとの業務の目的やプロセスとの親和性、効果性向上を目指し、ユーザー自身が必要なテンプレートや機能を作成、カスタマイズできる生成AIツールだ。SHIFTによると、同社内の業務生産性の向上、効率化を目的に開発されたものだという。
セキュリティ文化醸成のための社内セキュリティ競技会2025 - カミナシ エンジニアブログ 🔖 68
どうもセキュリティエンジニアの西川です。私は最近ポケモンカードの奥深さと難しさを痛感する日々を過ごしていますが、みなさんいかがお過ごしでしょうか。 カミナシでは社内セキュリティ競技会を実施しました。1年に1度開催しておりまして、気付けば今年で3回目です。初回は私一人で運営していま
セキュリティ文化醸成のための社内セキュリティ競技会2025 🔖 68
どうもセキュリティエンジニアの西川です。私は最近ポケモンカードの奥深さと難しさを痛感する日々を過ごしていますが、みなさんいかがお過ごしでしょうか。 カミナシでは社内セキュリティ競技会を実施しました。1年に1度開催しておりまして、気付けば今年で3回目です。初回は私一人で運営していま
セキュリティ文化醸成のための社内セキュリティ競技会2025 🔖 68
どうもセキュリティエンジニアの西川です。私は最近ポケモンカードの奥深さと難しさを痛感する日々を過ごしていますが、みなさんいかがお過ごしでしょうか。 カミナシでは社内セキュリティ競技会を実施しました。1年に1度開催しておりまして、気付けば今年で3回目です。初回は私一人で運営していま
【セキュリティ】初めてアプリをつくる人がまず抑えておくべき基本的事項 🔖 6
はじめにWebアプリケーションを開発する際、セキュリティ対策は避けて通れない重要なテーマです。攻撃者は常に脆弱性を探しており、一度セキュリティホールが悪用されると、個人情報の漏洩やシステムの改ざんなど、深刻な被害につながる可能性があります。本記事では、Web開発者が最...