すべてのペネトレーションテストが同じというわけではありません。ペネトレーションテストの種類は二つの軸で異なります。テスターが事前にシステムをどれだけ把握しているか(black box、white box、grey box)と、環境のどの部分がスコープに入るか(Webアプリ、API、ネットワーク境界など)です。これらを正しく選ぶことが、単なる形式的な作業ではなく、費用対効果が高く本当に役立つテストにつながります。本ガイドは選択肢を解説し、適切な判断を助けます。 要点(TL;DR) black box、white box、grey boxは、テスターが最初にどれだけの情報を持って始めるかを表します。grey boxは多くの案件で最も一般...
ウェブセキュリティ
ウェブセキュリティに関する記事、ガイド、チュートリアル。開発者や企業向けの実践的な情報をまとめています。
サーバーセキュリティ監査とは、攻撃者がどこから侵入できるのか、そして侵入後に何ができるのかを見つけるために、サーバーの露出と構成を体系的にレビューすることです。監査を依頼するよう求められた場合や、社内レビューを実施したい場合に向けて、本ガイドでは徹底した監査が具体的に何を調べ、なぜ各領域が重要なのかを説明します。 監査は診断的なものです。つまり、現状の立ち位置を教えてくれます。監査が見つけた問題を修正する作業であるハードニング と自然に組み合わさります。 要点(TL;DR) サーバー監査は、攻撃対象領域、OSとサービスの構成、パッチ状況、アクセス制御、ネットワークとファイアウォールの設定、監視をレビューします 通常、CIS...
OWASP Top 10 は、Webアプリケーションのセキュリティリスクとして最も広く参照されているリストであり、信頼される非営利団体であるOpen Worldwide Application Security Project (OWASP) によって公開されています。セキュリティの専門家向けに書かれていますが、そこで説明されるリスクには、情報漏えい、システム停止、罰金、信頼の失墜といった直接的なビジネス上の影響があります。本ガイドは各カテゴリーを平易な言葉で解説し、自社のアプリケーションについて適切な質問ができるようにします。 OWASP は攻撃パターンの変化に合わせて数年ごとにリストを改訂しています。以下のカテゴリーは、多くの...
デフォルトのLinuxインストールは便利ですが、安全ではありません。Linuxサーバーハードニングとは、サーバーの攻撃対象領域を減らし、設定を厳格にして、インターネットからの避けられない探索が容易に悪用できるものを何も見つけられないようにするプロセスです。このガイドでは、2026年に最も重要となるハードニング手順を、合理的な優先順位で解説します。 TL;DR SSHは最大の露出面です。鍵ベースの認証を使用し、rootログインとパスワードを無効化し、接続をレート制限しましょう デフォルト拒否のファイアウォールを運用し、不要なサービスとポートをすべて停止しましょう システムを自動的にパッチ適用し、カーネルとアカウントのハードニングを適用...
WordPress はウェブの膨大な割合を支えており、それゆえ常に攻撃の標的になります。良い知らせは、WordPressの侵害の圧倒的多数が、小さく予測可能な一連の弱点を悪用しており、そのほぼすべてが防止可能だということです。この WordPressセキュリティ強化 チェックリストは、2026年に本当に効果を発揮する手順を、おおむね優先順位順に解説します。 要点 脆弱で古いプラグインとテーマは、WordPressにとって最大の攻撃経路です。規律ある更新と未使用コードの削除は、何よりも重要です 強力な認証(一意の管理者ユーザー名、強固なパスワード、二要素認証、ログインのレート制限)は、2...
ウェブ開発のベストプラクティスは、単に動くだけのウェブサイトと、パフォーマンスが高く、検索順位で上位に立ち、長く使われるウェブサイトの違いを生み出します。2026年、基準はかつてないほど高くなっています。ユーザーは即座な読み込み時間を期待し、検索エンジンはスピードとアクセシビリティを評価し、セキュリティの脅威は絶え間なく続いています。良いニュースは、優れたウェブサイトを生み出す実践方法がよく知られているということです。このガイドでは、パフォーマンス、アクセシビリティ、セキュリティ、SEO、コード品質、テストの分野において、今日本当に重要なウェブ開発のベストプラクティスを、抽象的な原則ではなく実際に適用できる実践的なガイダンスとともに...
英国の組織に対するICOの執行措置は2024年と2025年に急増し、技術的なセキュリティ対策の不備に対して2年間で総額1,200万ポンドを超える罰金が科されました。ICOの執行通知に見られるパターンは一貫しています。侵害を受け、適切な技術的管理を実施していたことを証明できなかった組織が最も厳しい結果に直面しました。開発者にとって、これは直接的な職業上の懸念事項です。暗号化、ログ記録、アクセス制御、データ保持に関して下す判断は、組織がICOの前で自らを守ることができるかどうかを決定する技術的管理です。 このガイドは、法務部門やコンプライアンス部門ではなく、開発者やエンジニアリングチーム向けに書かれています。UK GDPRの要件を具体的...
英国でのペネトレーションテストサービスへの検索は2023年から2025年にかけて35%以上増加しました。これはランサムウェアインシデント、規制義務の厳格化、そしてサイバー保険ポリシーを発行する前に積極的なセキュリティテストの証拠を要求する保険業者の波が重なった結果です。この需要にもかかわらず、ペネトレーションテストとは実際に何なのか、脆弱性スキャンとどう違うのか、良いテストにいくらかかるのかについて、広く混乱が続いています。 このガイドでは全体像を網羅します:ペネトレーションテストとは何か、そして何でないのか、主要な種類、プロセスの進め方、アウトプットに何が含まれるべきか、英国で重要な資格認定、そして2026年のリアルなコスト範囲を...
ウェブサイトセキュリティ監査とは、攻撃者が発見・悪用する前にウェブ上の脆弱性を特定するための体系的な評価です。2026年の英国企業にとって、これは理論上の懸念ではありません。DSIT/NCSCのサイバーセキュリティ侵害調査によると、中規模の英国企業の50%以上が過去1年間にサイバー攻撃または侵害を経験しています。 このガイドでは、ウェブサイトセキュリティ監査の対象範囲、プロセスの流れ、費用、そして結果に対してどのような対応が必要かを説明します。 要点まとめ ウェブサイトセキュリティ監査は自動スキャンと手動テストを組み合わせる。ツールだけではビジネスロジックの欠陥、連鎖攻撃、多くの設定上の脆弱性を見逃す UK GDPR第32...