開発者共通
11 コマンド
セキュアコーディング セキュアコーディングの基本
安全なコードを書くための基本原則。入力検証・最小権限・エラーハンドリングの3原則で大半の脆弱性を防止できる。
HTTPS HTTPS の導入
HTTP に TLS を組み合わせた暗号化通信プロトコル。盗聴・改ざん・なりすましを防ぐ Web セキュリティの基盤。
サプライチェーン攻撃 サプライチェーン攻撃
パッケージマネージャーやビルドパイプラインを経由した攻撃。依存関係の汚染、タイポスクワッティング、依存関係かく乱を解説。
共通鍵暗号 共通鍵暗号(AES 等)
送信者と受信者が同じ鍵を共有して暗号化・復号を行う方式。AES が現在の標準。高速だが鍵配送に課題がある。
公開鍵暗号 公開鍵暗号(RSA 等)
公開鍵と秘密鍵のペアを使う暗号方式。鍵配送の問題を解決し、デジタル署名にも応用される。
ハッシュ関数 ハッシュ関数(SHA-256 等)
任意長のデータから固定長のハッシュ値を生成する一方向関数。パスワード保存やデータ整合性の検証に使われる。
インシデント対応計画 インシデント対応計画
セキュリティインシデント発生時の対応手順を体系化した計画。検知・封じ込め・根絶・復旧・教訓の 5 フェーズで構成される。
DDoS 攻撃 DDoS 攻撃
大量のトラフィックでサービスを停止させる分散型サービス拒否攻撃。レイヤー別の攻撃手法と防御策を解説。
ペネトレーションテスト ペネトレーションテスト
攻撃者の視点でシステムの脆弱性を実際に悪用して検証するセキュリティテスト。脆弱性スキャンとは異なり、実際に侵入を試みる。
GDPR GDPR(一般データ保護規則)
EU における個人データの保護を規定する法規則。違反時には最大で全世界年間売上の 4% または 2,000 万ユーロの制裁金が科される。
ゼロデイ脆弱性 ゼロデイ脆弱性
ベンダーが認知していない、またはパッチが存在しない脆弱性。発見から修正までの期間が「ゼロ日」であることが名前の由来。