セキュリティトピック一覧
カテゴリ別にセキュリティの重要トピックを解説
一般・共通
| パスワードポリシー | パスワードの強度・管理・運用に関するルール。NIST SP 800-63B に基づく最新のガイドラインでは、定期変更よりも長く推測困難なパスワードが推奨される。 |
|---|---|
| ソーシャルエンジニアリング | 人間の心理的な隙を突いて情報を詐取する攻撃手法。技術的な脆弱性ではなく、人的な脆弱性を標的にする。 |
| プリテキスティング | 信頼できる人物になりすまし、もっともらしい口実で情報を聞き出すソーシャルエンジニアリング手法。 |
| ベイティング | マルウェア入りUSBメモリや偽のソフトウェアなど、魅力的な餌で標的を誘導する攻撃手法。 |
| テールゲーティング | 正規の入館者に紛れてセキュリティ区域に物理的に侵入する攻撃手法。 |
| フィッシング | 正規のサービスを装った偽サイトやメールでユーザーの認証情報・個人情報を詐取する攻撃。全サイバー攻撃の起点として最も多い手法。 |
| スピアフィッシング | 特定の個人・組織を標的にカスタマイズされたフィッシング攻撃。標的調査に基づく高い成功率が特徴。 |
| スミッシング(SMS フィッシング) | SMSを使ったフィッシング。配送通知や口座通知を装い、偽サイトへ誘導する。 |
| ビッシング(音声フィッシング) | 電話を使ったフィッシング。音声で緊急性を演出し、判断力を鈍らせて情報を詐取する。 |
| ランサムウェア | データやシステムを暗号化して身代金を要求するマルウェア。バックアップ戦略と初動対応が被害を左右する。 |
| アクセス先 URL の確認 | リンクをクリックする前にアクセス先の URL を確認する習慣が、フィッシングやクリックジャッキングなどの攻撃から身を守る基本的な対策になる。 |
| マルウェア | ウイルス、ワーム、トロイの木馬、スパイウェアなど悪意あるソフトウェアの総称。感染経路と対策を解説。 |
| 内部脅威 | 従業員や委託先など内部の人間による情報漏洩・不正アクセス。退職者のアカウント削除忘れや委託先の権限管理不備が重大インシデントにつながる。 |
| メール誤送信・誤BCC | 宛先間違い・TO/CC/BCC の取り違え・添付ファイル誤りなど、メール送信時の人的ミスによる情報漏洩。日本の漏洩事故で毎年上位を占める。 |
| クラウド設定ミス | クラウドストレージやサービスのアクセス権限・公開設定の誤りによる情報漏洩。S3 バケットの公開放置や Google Drive の共有設定ミスなど、設定一つで大規模漏洩に直結する。 |
| PPAP(パスワード付きZIP送付) | パスワード付き ZIP をメールで送り、別メールでパスワードを送る「PPAP」が危険な理由と、クラウドストレージへの移行方法を解説。 |
| 端末の紛失・盗難 | ノート PC・スマートフォン・USB メモリ・書類などの物理的な紛失や盗難による情報漏洩。暗号化やリモートワイプの未設定が被害を拡大させる。 |
| USB メモリの安全な利用 | USB メモリはマルウェア感染・データ持ち出し・紛失による情報漏洩の三重リスクを持つ。原則利用禁止とし、例外は暗号化+承認制で管理する。 |
| 印刷物の安全な廃棄 | 印刷した書類をゴミ箱にそのまま捨てるとダンプスターダイビングで情報が漏洩する。シュレッダー・溶解処理・クリーンデスクポリシーで紙媒体の情報漏洩を防ぐ。 |
| ブラウザのセキュリティ設定 | ブラウザはインターネットへの入口であり、設定や使い方次第で安全性が大きく変わる。自動更新の有効化、拡張機能の管理、日常操作の注意点を押さえることで、フィッシングやマルウェアなどの脅威からパソコンやスマートフォンを守ることができる。 |
AI とセキュリティ
| AI を安全に使うための基本 | ChatGPT などの生成 AI を業務や日常で安全に使うために知っておくべきリスクと注意点。 |
|---|---|
| AI への機密情報入力リスク | 生成 AI に業務データや個人情報を入力することで生じる情報漏洩リスクと、安全な利用方法。 |
| ディープフェイクと AI 生成コンテンツ | AI で生成された偽の音声・画像・動画を悪用した詐欺やなりすましのリスクと見分け方。 |
| AI エージェントと機密ファイルの取り扱い | Claude Code・Cursor・GitHub Copilot 等の AI コーディングエージェントが .env や秘密鍵などの機密ファイルを読み取るリスクと、安全に使うための設定・運用方法を解説する。 |
開発者共通
| セキュアコーディングの基本 | 安全なコードを書くための基本原則。入力検証・最小権限・エラーハンドリングの3原則で大半の脆弱性を防止できる。 |
|---|---|
| HTTPS の導入 | HTTP に TLS を組み合わせた暗号化通信プロトコル。盗聴・改ざん・なりすましを防ぐ Web セキュリティの基盤。 |
| サプライチェーン攻撃 | パッケージマネージャーやビルドパイプラインを経由した攻撃。依存関係の汚染、タイポスクワッティング、依存関係かく乱を解説。 |
| 共通鍵暗号(AES 等) | 送信者と受信者が同じ鍵を共有して暗号化・復号を行う方式。AES が現在の標準。高速だが鍵配送に課題がある。 |
| 公開鍵暗号(RSA 等) | 公開鍵と秘密鍵のペアを使う暗号方式。鍵配送の問題を解決し、デジタル署名にも応用される。 |
| ハッシュ関数(SHA-256 等) | 任意長のデータから固定長のハッシュ値を生成する一方向関数。パスワード保存やデータ整合性の検証に使われる。 |
| インシデント対応計画 | セキュリティインシデント発生時の対応手順を体系化した計画。検知・封じ込め・根絶・復旧・教訓の 5 フェーズで構成される。 |
| DDoS 攻撃 | 大量のトラフィックでサービスを停止させる分散型サービス拒否攻撃。レイヤー別の攻撃手法と防御策を解説。 |
| ペネトレーションテスト | 攻撃者の視点でシステムの脆弱性を実際に悪用して検証するセキュリティテスト。脆弱性スキャンとは異なり、実際に侵入を試みる。 |
| GDPR(一般データ保護規則) | EU における個人データの保護を規定する法規則。違反時には最大で全世界年間売上の 4% または 2,000 万ユーロの制裁金が科される。 |
| ゼロデイ脆弱性 | ベンダーが認知していない、またはパッチが存在しない脆弱性。発見から修正までの期間が「ゼロ日」であることが名前の由来。 |
フロントエンド
| XSS(クロスサイトスクリプティング) | 悪意あるスクリプトを Web ページに注入する攻撃手法。反射型・格納型・DOM Based の 3 種類がある。 |
|---|---|
| 反射型 XSS(Reflected XSS) | URL パラメータに含まれたスクリプトがサーバーのレスポンスに反映されて実行される攻撃。フィッシングメール経由で悪用されることが多い。 |
| 格納型 XSS(Stored XSS) | データベースに保存された悪意あるスクリプトが、他のユーザーがページを閲覧した際に実行される攻撃。影響範囲が広く、最も危険な XSS。 |
| DOM Based XSS | サーバーを経由せず、クライアントサイドの JavaScript が DOM を不適切に操作することで発生する XSS。innerHTML や document.write が原因。 |
| クリックジャッキング | 透明な iframe を重ねて、ユーザーに意図しないクリックをさせる攻撃。 |
| Content Security Policy (CSP) | ブラウザが読み込めるリソースの種類やオリジンを制限する HTTP ヘッダ。XSS の被害を大幅に軽減できる。 |
| セキュリティヘッダ | HTTP レスポンスヘッダでブラウザのセキュリティ機能を有効化する。CSP, HSTS, X-Frame-Options など複数のヘッダを組み合わせて防御層を構築する。 |
| Cookie セキュリティ | Cookie の属性(HttpOnly, Secure, SameSite)を正しく設定し、セッションハイジャックや CSRF を防ぐ。 |
| オープンリダイレクト | URL パラメータで指定されたリダイレクト先を検証せずに遷移させる脆弱性。フィッシング攻撃に悪用される。 |
| サブリソース完全性(SRI) | CDN から読み込む JavaScript や CSS のハッシュ値を検証し、改ざんされたリソースの実行を防止する。 |
| サードパーティスクリプトのリスク | アクセス解析・広告・チャットなどの外部スクリプトが持つセキュリティリスク。Magecart 型攻撃によるフォーム情報窃取が代表例。 |
| クライアントサイドストレージの安全性 | localStorage / sessionStorage / IndexedDB に機密情報を保存するリスクと安全な代替手段。 |
| Reverse Tabnabbing | target="_blank" で開いた外部ページが window.opener を通じて元のページを書き換える攻撃。 |
| Prototype Pollution | JavaScript のプロトタイプチェーンを悪用し、オブジェクトのプロパティを改ざんする攻撃。npm パッケージ経由で発生しやすい。 |
| Mixed Content | HTTPS ページ内で HTTP リソースを読み込むことで発生するセキュリティリスク。中間者攻撃によるリソース改ざんの危険がある。 |
アプリケーション
| CSRF(クロスサイトリクエストフォージェリ) | ログイン済みのユーザーに意図しないリクエストを送信させる攻撃。 |
|---|---|
| セッション管理 | ユーザーの認証状態を維持する仕組み。セッション固定攻撃やセッションハイジャックへの対策が重要。 |
| OAuth 2.0 | サードパーティにパスワードを渡さずにリソースへのアクセスを委譲する認可フレームワーク。 |
| 認可コードフロー | サーバーサイドアプリ向けの最も安全な OAuth 2.0 フロー。認可コードをバックチャネルでトークンに交換する。 |
| PKCE(認可コード横取り対策) | SPA・モバイルアプリ向けの拡張フロー。code_verifier / code_challenge で認可コード横取りを防止する。 |
| クライアントクレデンシャルフロー | サーバー間通信(M2M)向けのフロー。ユーザーの関与なしにクライアント自身の認証情報でトークンを取得する。 |
| OpenID Connect (OIDC) | OAuth 2.0 の上に認証レイヤーを追加したプロトコル。ID トークンによりユーザーの本人確認ができる。 |
| CORS(オリジン間リソース共有) | 異なるオリジン間での HTTP リクエストを制御する仕組み。同一オリジンポリシーを緩和しつつ、不正なアクセスを防ぐ。 |
| JWT(JSON Web Token) | JSON ベースのトークン形式。署名により改ざんを検知できるが、適切に運用しないとセキュリティリスクになる。 |
バックエンド
| SQL インジェクション | ユーザー入力を通じて不正な SQL 文を実行させる攻撃。データの漏洩・改ざん・削除が可能になる。 |
|---|---|
| UNION ベース SQL インジェクション | UNION句を使って別テーブルのデータを結合し、本来アクセスできないデータを取得する手法。 |
| ブラインド SQL インジェクション | エラーメッセージやデータが直接表示されない場合に、真偽値や応答時間の差を利用してデータを推測する手法。 |
| エラーベース SQL インジェクション | データベースのエラーメッセージを意図的に発生させ、エラー内容からデータベース構造やデータを取得する手法。 |
| コマンドインジェクション | ユーザー入力を通じてサーバー上で不正な OS コマンドを実行させる攻撃。サーバーの完全な制御を奪われる可能性がある。 |
| 安全でないデシリアライゼーション | 信頼できないデータのデシリアライズにより、任意のコード実行やアプリケーションロジックの改ざんが可能になる脆弱性。 |
| GraphQL セキュリティ | GraphQL API 固有のセキュリティリスクと対策。イントロスペクション漏洩・過剰取得・バッチ攻撃・認可バイパスなどを解説。 |
データベース
| DB アクセス制御 | データベースへのアクセスを適切に制限する仕組み。最小権限の原則に基づき、ユーザー・ロール・権限を管理する。 |
|---|---|
| DB 暗号化 | データベースに保存されたデータを暗号化し、不正アクセスやメディアの物理的な盗難からデータを保護する技術。 |
| DBMS 別セキュリティ | MySQL / PostgreSQL / SQL Server / Oracle それぞれのデフォルト設定の危険性、認証方式の違い、監査ログの設定方法、よくある設定ミスをまとめたガイド。 |
| KVS セキュリティ | DynamoDB / Firestore / Cosmos DB 等の KVS(Key-Value Store)特有のセキュリティ。IAM ベースのアクセス制御、データ暗号化、パーティションキー設計によるデータ漏洩リスクを解説。 |
| Redis / キャッシュセキュリティ | Redis / Memcached 等のインメモリキャッシュのセキュリティ。デフォルトで認証なし・全公開になりがちな危険性、AUTH 設定、TLS 対応、Sentinel / Cluster 構成での考慮点を解説。 |
インフラ
| サーバーハードニング | サーバーの攻撃対象領域を最小化するセキュリティ強化プロセス。不要なサービスの無効化、パッチ管理、アクセス制御の適切な設定を含む。 |
|---|---|
| コンテナセキュリティ | Docker や Kubernetes 環境におけるセキュリティ対策。イメージの脆弱性スキャン、ランタイム保護、ネットワークポリシーの設定を含む。 |
| シークレット管理 | API キー、パスワード、証明書などの機密情報を安全に保管・配布・ローテーションする仕組み。ハードコーディングの防止が基本。 |
| ログ監視とモニタリング | セキュリティイベントのログを収集・分析し、異常を検知する仕組み。インシデント対応と事後分析の基盤となる。 |
| SIEM(セキュリティ情報イベント管理) | 複数のシステムからログを一元収集・相関分析し、セキュリティ脅威の検知とアラートを自動化するプラットフォーム。Splunk、Microsoft Sentinel、Elastic SIEM 等が代表的。 |
| 電子証明書と PKI | 公開鍵の所有者を証明するデジタル文書。認証局(CA)が発行し、TLS/SSL や電子署名の信頼基盤となる。 |
| クラウドへのセキュアなアクセス | AWS SSO / SSM Session Manager / IAM Identity Center など、ゼロトラストを意識したクラウドインフラへの接続方式。SSH 鍵の直接管理や踏み台サーバーに頼らない運用を実現する。 |
| OS パッチ管理 | OS やミドルウェアの既知の脆弱性を修正するセキュリティパッチを計画的に適用・管理するプロセス。パッチ適用の遅延は攻撃者に悪用される時間を与えるため、自動化と運用プロセスの整備が不可欠。 |
ネットワーク
| ファイアウォール | ネットワークトラフィックを監視・制御し、不正なアクセスを遮断するセキュリティ装置。パケットフィルタリングやステートフルインスペクションなどの方式がある。 |
|---|---|
| パケットフィルタリング | IP アドレス・ポート番号・プロトコルに基づいてパケットを許可・拒否する最も基本的なファイアウォール方式。 |
| WAF(Web アプリケーションファイアウォール) | HTTP/HTTPS トラフィックを検査し、SQLインジェクションやXSSなどの Web アプリケーション攻撃を検知・遮断する。 |
| 次世代ファイアウォール(NGFW) | アプリケーション識別・IPS・SSL復号などを統合した高機能ファイアウォール。従来のポートベースの制御を超えた制御が可能。 |
| TLS/SSL(通信暗号化) | インターネット通信を暗号化するプロトコル。HTTPS の基盤技術であり、盗聴・改ざん・なりすましを防ぐ。 |
| VPN(仮想プライベートネットワーク) | パブリックネットワーク上に暗号化されたトンネルを構築し、安全な通信を実現する技術。リモートアクセスや拠点間接続に使われる。 |
| DNS セキュリティ | DNS(ドメインネームシステム)に対する攻撃を防ぐための技術と対策。DNS ポイズニング、DNS リフレクション攻撃への防御を含む。 |
| IDS/IPS(侵入検知/防止システム) | ネットワークやホストへの不正アクセスをリアルタイムに検知(IDS)または検知して遮断(IPS)するシステム。 |
| ゼロトラストアーキテクチャ | 「信頼しない、常に検証する」を原則とするセキュリティモデル。ネットワークの内外を問わず、すべてのアクセスを検証する。 |
| ネットワーク通信制限(エグレス制御) | サーバーやネットワークから外部への送信(アウトバウンド)通信を制限・監視するセキュリティ対策。侵入後の C2 通信やデータ持ち出しを防ぐラストラインとして機能する。 |
クラウド
| クラウドセキュリティの考え方 | クラウド(AWS/Azure/GCP)のセキュリティを設計するうえで必須となる責任共有モデル・ゼロトラスト・ガードレール・最小権限・多層防御の基本原則。 |
|---|---|
| AWS でよくある設定ミス・ヌケモレ | S3 の公開、Security Group の 0.0.0.0/0、IMDSv1、認証情報のハードコード、ログ未取得など、AWS で繰り返し発生する典型的な設定ミスと検知・修正のチェックリスト。 |
| AWS IAM ベストプラクティス | ルートユーザー保護・IAM Identity Center による SSO 集約・ロール中心設計・最小権限・MFA 強制など、AWS IAM の設計と運用における推奨設定を整理。 |
| Microsoft Entra ID SSO の推奨設定 | Microsoft Entra ID(旧 Azure AD)で SaaS / AWS / 社内アプリへの SSO を構成する際の推奨設定。Conditional Access・MFA・Privileged Identity Management・Named Locations・監査ログの実装指針。 |
| AWS セキュリティサービス 設定優先度ランキング | AWS アカウントを作ったら設定すべきセキュリティサービスを優先度順に解説。CloudTrail・Config・Security Hub・GuardDuty・Inspector・WAF・Network Firewall の役割と運用負荷。 |
| Azure セキュリティサービス 設定優先度ランキング | Azure サブスクリプションで設定すべきセキュリティサービスを優先度順に解説。Defender for Cloud・Activity Log・Sentinel・DDoS Protection・Application Gateway WAF の役割と運用負荷。 |
| Google Cloud セキュリティサービス 設定優先度ランキング | Google Cloud プロジェクトで設定すべきセキュリティサービスを優先度順に解説。Cloud Audit Logs・Organization Policy・Security Command Center・Cloud Armor・VPC Service Controls の役割と運用負荷。 |
| クラウドでのシークレット値露出対策 | AWS Secrets Manager / Azure Key Vault / GCP Secret Manager の使い分け、環境変数・.env ファイル・ハードコードの危険性、CI/CD パイプラインでの漏洩パターン、GitGuardian 等のシークレットスキャン、Parameter Store vs Secrets Manager の選択基準。 |
| SSO + 踏み台経由の安全な DB アクセス | SSO から踏み台(Bastion)経由で DB に安全にアクセスするパターン。直接クレデンシャルでの DB 接続の危険性、AWS SSM Session Manager / Azure Bastion / GCP IAP を使ったアクセス経路、IAM 認証による DB 接続、監査ログの取得。 |
AI セキュリティ
| プロンプトインジェクション | LLM に対して悪意ある指示を注入し、システムプロンプトの無視や意図しない動作を引き起こす攻撃。直接型と間接型がある。 |
|---|---|
| データポイズニング | 学習データに悪意あるデータを混入させ、モデルの出力を操作する攻撃。バックドアの埋め込みやバイアスの誘発が可能。 |
| モデル窃取 | API への大量クエリやサイドチャネル攻撃により、機械学習モデルの重みやアーキテクチャを復元・盗用する攻撃。 |
| AI サプライチェーンリスク | 事前学習モデル・データセット・ライブラリなど AI サプライチェーンの各段階に潜むセキュリティリスク。 |
| ハルシネーション悪用 | LLM のハルシネーション(幻覚)を利用し、存在しないパッケージ名やURLを生成させてマルウェア配布に悪用する攻撃。 |
| AI と著作権侵害 | AI が学習データの著作物を記憶・再現することによる著作権侵害リスク。学習データの出典管理やフィルタリングが重要。 |
| MCP のセキュリティリスク | Model Context Protocol(MCP)サーバー経由で LLM に外部ツールやデータを提供する仕組みにおけるセキュリティリスク。悪意あるツールの実行や過剰な権限付与による情報漏洩が問題となる。 |
| RAG パイプラインのセキュリティ | RAG(Retrieval-Augmented Generation)パイプラインにおけるセキュリティリスク。ベクトル DB への不正アクセス、ドキュメント経由のプロンプトインジェクション、権限を超えた情報漏洩など、検索拡張生成に固有の脅威と対策を解説する。 |