記事一覧

経産省ASM導入ガイダンスの読み解き方

経産省ASM導入ガイダンスの章立て、事前準備、ツール類型、必要スキル、90日導入手順を実務へ翻訳する記事です。

→ ガイダンスを実務に落とす

2026年4月3日

アタックサーフェスとは？

アタックサーフェスの定義、内部/外部の違い、EASM・攻撃対象領域管理の関係、典型リスクと始め方を整理します。

→ EASM・攻撃対象領域管理との違い

→ CTEM・EASM・CAASM・DRPSの違いと始め方

Exposure Management（エクスポージャー管理）とは？

Exposure Management の全体像、脆弱性管理との違い、CTEM・EASM・CAASM・DRPSの関係、日本企業がEASMから始める理由を整理します。

ASM診断とは？

ASM診断（Attack Surface Management）の役割、見えるものと見えないもの、脆弱性診断・ペンテスト・脆弱性管理との違いに加え、おすすめのASM診断サービス3選まで整理します。

→ 脆弱性診断・ペンテストとの違い

比較

ASMツール比較

国産ASMツール5選と海外ASMツール5選を、発見対象、継続監視、日本語運用、導入しやすさ、周辺統合の観点で比較します。

→ 国産5選・海外5選をランキング比較

DRPSとは？ブランド保護・なりすまし監視・takedown運用の始め方

DRPS の監視対象、EASM や typosquatting 対策との違い、証拠の整理から削除申請までの運用を一次ソースベースで整理します。

→ ブランド悪用監視と削除申請運用の実務

CTEM実装ガイドとは？5ステージとEASMから始める現実的な進め方

CTEM の 5段階をどう運用へ落とすか、なぜ EASM から始めると止まりにくいか、最初の 90 日、役割分担、KPI、検証と改善実行まで一次ソースベースで整理します。

→ 5ステージを運用へ落とす実装ガイド

→ S3・Blob・GCS の公開設定ミスと共有リンク事故を防ぐ

公開ストレージの情報漏えいとは？S3・Blob・GCSの公開設定ミスと共有リンク事故を防ぐ方法

公開ストレージの情報漏えいを調べる方向けに、S3、Google Cloud Storage、Azure Blob Storage の公開設定ミス、匿名アクセス、共有URL、SAS、最初に監査すべきポイントと再発防止フローを一次ソースベースで整理します。

2026年4月4日

ダングリングDNSとは？

ダングリングDNSが危険になる条件、確認ポイント、サブドメインテイクオーバーの実害と対策を一次ソースベースで整理します。

→ 原因・確認方法・対策

サブドメイン棚卸しのやり方

サブドメインの見つけ方、棚卸し項目、監視の回し方、M&Aや委託先を含む運用を整理します。

→ 発見・監視・複数ドメイン運用

サブドメイン監視とは？増減・放置・再公開を継続検知する方法

サブドメイン監視で何を見続けるべきか、Hazy Hawk 事例、日次・週次・月次運用、複数ドメイン設計まで一次ソースベースで整理します。

→ 棚卸し後に必要な継続監視の設計

2026年4月6日

DNSセキュリティチェックリストとは？設定ミス・放置レコード・優先修正順の見方

DNS セキュリティチェックで最初に見るべき misconfiguration、dangling CNAME、NS 委任、TXT verification、wildcard DNS、CAA、DNSSEC の監査観点を整理します。

→ 危険な DNS 設定ミスを優先順で監査する

DNS棚卸しの手順

DNSレコード、TTL、CNAME、NSの確認観点と、運用で崩れやすいポイントを解説します。

→ レコード確認・TTL見直し・設定ミス防止

テンプレート

外部公開資産台帳テンプレート

外部公開資産を一覧化するための管理項目、更新ルール、棚卸しフローのテンプレートを提供します。

→ 管理項目と運用ルールのひな形

→ 放置サブドメインとシャドーITが事故につながる理由

未管理資産のリスク

未管理資産、放置サブドメイン、シャドーIT がなぜ見逃され、どう事故につながるのかを解説します。

証明書の期限切れリスク

証明書の期限切れ、SAN、一覧取得、監視自動化、Let's Encryptの通知廃止を踏まえた運用を解説します。

→ 一覧取得・棚卸し・監視の進め方

SSL証明書の期限監視とは？一覧取得・SAN・複数ドメイン管理の進め方

SSL証明書の期限監視で見るべき項目、SAN / ワイルドカード / 複数ドメイン管理、30/14/7/3日の運用フロー、CTログと外部観点の使い方を整理します。

→ 一覧取得・SAN・更新フローを実務で回す

2026年4月6日

HTTPS強制設定とTLS見直し

HTTPS強制、HSTS、証明書設計、TLS設定不備の直し方を要点ベースで整理します。

→ HSTSとTLS設定不備の基本

管理画面・開発環境の露出リスク

管理画面、開発環境、ステージング環境を公開したままにするリスクと対策を解説します。

→ 管理画面、テスト環境、ログイン画面の公開対策

typosquatting対策とブランド保護

typosquatting、look-alike domain、ブランド保護の観点から、監視と初動を整理します。

→ なりすましドメイン監視の始め方

ISMSで外部公開資産をどう管理するか

ISMS 運用の中で ASM のKPI、定例レビュー、改善サイクルをどう設計するかを解説します。

→ KPI・定例レビュー・改善サイクル設計

ASM運用フローとは？KPI・定例レビュー・チケット運用の設計方法

ASM の日次 / 週次 / 月次 / 四半期の運用頻度、KPI、優先度仕分け、対応票、レビュー、要約配布の設計を実務目線で整理します。

→ KPI・対応票・定例レビューを実務で回す

S3 External Access Summaryで何がわかる？外部共有の見方と運用ポイント

S3 External Access Summary を確認したい方向けに、IAM Access Analyzer for S3 の前提、表示される検出結果の意味、更新タイミングの制約、公開バケットと他アカウント共有の見分け方を整理します。

→ 公開と他アカウント共有の見方を整理

2026年4月8日

S3 Block Public Accessを組織で揃えるべき理由とは？例外運用の考え方

S3 Block Public Access を組織で標準化したい方向けに、組織レベルの仕組み、4つの設定の意味、バケット単位例外が効きにくい理由、AWS Organizations での適用範囲設計を整理します。

→ 組織標準と例外設計の考え方を整理

2026年4月8日

GitHub Secret Protectionは導入すべきか？検討ポイントと向くチーム

GitHub Secret Protection の導入を検討する方向けに、無料の秘密情報リスク評価との違い、プッシュ時ブロックや例外承認管理を含む機能範囲、向いているチーム、価格試算の考え方を整理します。

→ 導入判断と継続運用の前提を整理

2026年4月8日

終了したキャンペーンLPが危ない理由とは？放置サイト・旧フォーム・計測タグを減らす運用

終了したキャンペーンLPの残置が気になる方向けに、旧フォーム、計測タグ、特設サブドメインがなぜ外部公開リスクになるのか、停止手順、例外管理、再発防止の運用設計を整理します。

→ 終了後の公開面をどう片付けるかを整理

検証環境の公開残存とは？一時公開が本番リスクになる理由と止め方

検証環境の公開残存を見直したい方向けに、ステージング、開発、プレビュー環境がなぜ本番リスクになるのか、停止手順、到達性確認、例外公開の管理方法を整理します。

→ ステージングや開発環境の止め方を整理

BFFが外部公開面になりやすい理由とは？確認ポイントと対策

BFF 公開セキュリティを見直したい方向けに、BFF がなぜ外部公開面になるのか、ブラウザ境界、認可、CSRF、直アクセス、下流トークンの確認ポイントを整理します。

→ BFF の公開経路と認可を整理

Postmanコレクション公開で何が漏れるのか？情報露出を防ぐ運用

Postman collection 公開を見直したい方向けに、コレクション、ワークスペース、環境、サンプルリクエスト、共有 URL から何が見えるのか、どの順で閉じるべきか、再発防止の運用設計を整理します。

→ 共有物から見える API 情報の整理ポイント

Entra app consentをどう統制するか？SaaS接続ガバナンスの基本

Entra app consent ガバナンスを見直したい方向けに、ユーザー同意、管理者同意、管理者同意ワークフローの切り分け、許可基準、棚卸し、例外運用を整理します。

→ ユーザー同意と管理者同意の分け方を整理

社内サインインにパスキーを導入するには？移行設計と進め方

パスキー社内導入を検討する方向けに、導入対象、前提条件、例外設計、段階展開、サポート、代替手段の考え方を整理します。

→ 対象範囲、例外設計、段階展開を整理

Microsoft Entraのトークン保護とは？どこまで有効かと導入時の注意点

Entra トークン保護を検討する方向けに、何に効くのか、何には効かないのか、前提条件、対象範囲、例外管理、導入時の確認ポイントを整理します。

→ 有効範囲、前提条件、例外管理を整理

MCPのセキュリティとは？企業利用で押さえたい権限・承認・接続境界

MCP セキュリティを調べる方向けに、接続境界、権限、承認、監査、第三者サーバー利用時の確認ポイントを公式仕様と一次情報ベースで整理します。

→ 接続境界、承認レーン、停止条件を整理

CDNやWAFの裏で実オリジンが露出する理由とは？確認方法と対策

オリジン露出 CDN を調べる方向けに、なぜ実オリジンが見えてしまうのか、どこから漏れやすいのか、確認手順、遮断策、例外運用を一次ソースベースで整理します。

→ 名前の露出と到達性の露出を整理

→ testingからenforceへの進め方を整理

MTA-STSとは？メール経路保護の観点で導入を考える

MTA-STS 導入を検討する方向けに、何を守るのか、MX・ポリシー・TLS-RPT の整え方、testing から enforce へ進める判断軸、止まりやすい運用論点を整理します。

SlackアプリのOAuth権限はどう評価する？連携アプリ統制の基本

Slack OAuth app リスクを見直したい方向けに、スコープの見方、app approval、app request、棚卸し、例外管理を公式 docs ベースで整理します。

→ スコープ審査と承認フローを整理

Azure Storageの公開コンテナーをどう確認する？匿名アクセス監査の進め方

Azure Storage 公開コンテナー確認をしたい方向けに、匿名アクセスがどこで決まるか、account 設定と container 公開レベルの関係、監査手順、例外管理、再確認ポイントを整理します。

→ 匿名アクセス監査と止め方を整理

→ 限定プレビューの提供条件とセキュリティ文脈を整理

Claude Mythos Previewとは？Anthropicが限定公開した新モデルの特徴・料金・使える場所を解説

Claude Mythos Preview を調べる方向けに、Project Glasswing との関係、限定プレビューの提供経路、価格、Bedrock の事前許可条件、脆弱性発見と『実際に悪用できるか』の検証で注目される理由を整理します。

→ SOHOルーター悪用から認証情報窃取までの流れを整理

TP-Linkルーターが危ないと言われる理由とは？DNSハイジャックで情報が盗まれる流れを解説

TP-Link ルーター DNSハイジャックを調べる方向けに、2026年4月に公表された事案で何が起きたのか、DNS 設定改ざんから Outlook や Microsoft 365 に見えるログイン先へ誘導される流れ、会社拠点と在宅勤務の両方に関係する理由、今確認したい設定と運用を整理します。

→ ChatGPT 個人向け 20ドル・100ドル・200ドルの見方を整理

ChatGPT Pro 100ドルプランとは？100ドル版と200ドル版の違い・向く人を解説

ChatGPT Pro 100ドルを調べる方向けに、2026年4月10日時点の公式説明をもとに、個人向け 20ドル・100ドル・200ドルの違い、100ドルを検討する人、会社向け契約と混同しない見方、Codex 利用量との関係を整理します。

中国の国家級スーパーコンピューターで10ペタ流出疑惑とは？軍事・航空データが売りに出されたとされる事件を整理

中国スーパーコンピューター 10ペタ流出を調べる方向けに、2026年4月9日に報じられた 10ペタ超の流出主張で何が起きたとされているのか、どこまで公的に確認できるのか、国家級の計算基盤に多様な組織データが集まる怖さと日本企業が見直すべき点を整理します。

→ 10ペタ流出疑惑と確認済み事実の線引きを整理

2026年4月11日

テンプレート

セキュリティレポートテンプレート

ASM報告を会議資料・経営報告・チケット起票へつなげるためのテンプレートと構成例を示します。

→ ASM報告で押さえるべき項目