Articles
記事一覧
ASM診断 PROの導入・運用・機能理解に必要な記事を集約しています。
ナレッジ
ASMやセキュリティに関する知識を深めるための解説記事です。
経産省ASM導入ガイダンスの読み解き方
経産省ASM導入ガイダンスの章立て、事前準備、ツール類型、必要スキル、90日導入手順を実務へ翻訳する記事です。
アタックサーフェスとは?
アタックサーフェスの定義、内部/外部の違い、EASM・攻撃対象領域管理の関係、典型リスクと始め方を整理します。
Exposure Management(エクスポージャー管理)とは?
Exposure Management の全体像、脆弱性管理との違い、CTEM・EASM・CAASM・DRPSの関係、日本企業がEASMから始める理由を整理します。
ASM診断とは?
ASM診断(Attack Surface Management)の役割、見えるものと見えないもの、脆弱性診断・ペンテスト・脆弱性管理との違いに加え、おすすめのASM診断サービス3選まで整理します。
ASMツール比較
国産ASMツール5選と海外ASMツール5選を、発見対象、継続監視、日本語運用、導入しやすさ、周辺統合の観点で比較します。
DRPSとは?ブランド保護・なりすまし監視・takedown運用の始め方
DRPS の監視対象、EASM や typosquatting 対策との違い、証拠の整理から削除申請までの運用を一次ソースベースで整理します。
CTEM実装ガイドとは?5ステージとEASMから始める現実的な進め方
CTEM の 5段階をどう運用へ落とすか、なぜ EASM から始めると止まりにくいか、最初の 90 日、役割分担、KPI、検証と改善実行まで一次ソースベースで整理します。
公開ストレージの情報漏えいとは?S3・Blob・GCSの公開設定ミスと共有リンク事故を防ぐ方法
公開ストレージの情報漏えいを調べる方向けに、S3、Google Cloud Storage、Azure Blob Storage の公開設定ミス、匿名アクセス、共有URL、SAS、最初に監査すべきポイントと再発防止フローを一次ソースベースで整理します。
シャドーAPIとは?未管理API・古い接続先URL・Swagger/OpenAPI露出をどう防ぐか
シャドーAPIを調べる方向けに、未管理API、古い接続先URL、Swagger/OpenAPI の露出、API台帳、廃止計画の作り方を一次ソースベースで整理します。
公開リポジトリの情報漏えいとは?GitHub・GitLab の秘密情報露出と対処フロー
公開リポジトリの情報漏えいを調べる方向けに、GitHub と GitLab の秘密情報の自動検知、push時の漏えい防止、履歴・fork・issue・PR・wiki まで含む是正対応を一次ソースベースで整理します。
アサヒグループHDのサイバー攻撃とは?時系列・原因・被害を整理
アサヒグループHDのサイバー攻撃を調べる方向けに、2025年9月29日の初報から2026年2月18日の再発防止策まで、時系列、侵入経路、個人情報影響、再発防止策を公式公表ベースで整理します。
アスクルのランサムウェア被害とは?時系列・原因・影響を整理
アスクルのランサムウェア被害を調べる方向けに、2025年10月19日の検知から12月22日の対策整理まで、停止したサービス、情報流出、原因、復旧と対策を公式公表ベースで整理します。
MFA未適用アカウントはなぜ危険か?アスクル事例で見る例外運用の入口
MFA未適用アカウントを調べる方向けに、アスクル事例と CISA の指針をもとに、委託先アカウント、管理者アカウント、共有ID、リモートアクセスの例外運用がなぜ危険か、何から棚卸しし、どう是正優先度を付けるべきかを整理します。
業務委託先アカウントはなぜ危険なのか?委託先アクセス管理の基本を解説
業務委託先セキュリティを調べる方向けに、アスクル事例と CISA の公式資料をもとに、委託先アカウント、権限、外部接続、共有ID、ログ統制をどう管理すべきかを整理します。
拠点のネットワーク機器はなぜ危険なのか?アサヒ事例で見る侵入口の盲点
拠点のネットワーク機器セキュリティを調べる方向けに、アサヒグループHDの公式公表と CISA の指針をもとに、拠点ルーター、VPN 装置、保守経路、管理ポートがなぜ侵入口になりやすいのか、何を棚卸しし、どう統制すべきかを整理します。
ラテラルムーブメント対策とは?アサヒ事例で見る横移動と権限奪取の止め方
ラテラルムーブメント対策を調べる方向けに、アサヒ事例と MITRE、NIST、CISA の一次資料をもとに、侵入後の横移動、権限昇格、管理経路、セグメント境界、検知をどう封じるかを整理します。
病院の外部接続点は見えているか?保守用VPN・医療機器接点の棚卸し方
保守用VPNの棚卸しを調べる方向けに、厚生労働省、MIST、IPA、徳島県の一次資料をもとに、病院の外部接続点を何から洗い出し、誰の責任で残し、いつ閉じ、どう月次で見直すかを整理します。
医療機関はなぜランサムウェアに狙われるのか?病院セキュリティの弱点を解説
医療機関のランサムウェア対策を調べる方向けに、武蔵小杉病院事例と HHS、CISA、FDA の公式資料をもとに、病院がなぜ被害を受けやすく、なぜ停止が長引きやすいのか、医療機器、外部保守接続、患者情報、復旧制約の構造要因を整理します。
ランサム被害が物流停止に直結する理由とは?アスクル事例で見るBCPと復旧設計の盲点
ランサムウェアによる物流停止を調べる方向けに、アスクル事例と ASKUL 公式公表、NIST SP 800-184、NIST SP 800-34、CISA #StopRansomware Guide をもとに、なぜ受注停止と出荷停止が長引くのか、BCP、復旧優先順位、代替運用、バックアップの観点から整理します。
日本医科大学武蔵小杉病院のサイバー攻撃とは?ランサムウェア被害の侵入経路・被害・時系列を整理
日本医科大学武蔵小杉病院のサイバー攻撃を調べる方向けに、2026年2月9日の覚知から2月27日の第5報まで、時系列、侵入経路、被害範囲、再発防止策を公式公表ベースで整理します。
病院の保守用VPNはなぜ危険なのか?武蔵小杉病院事例で見る侵入口の盲点
病院の保守用VPNセキュリティを調べる方向けに、武蔵小杉病院事例、厚労省の医療分野ガイダンス、IPA の VPN 注意喚起をもとに、ベンダー接続、台帳化、接続制御、緊急遮断の盲点を整理します。
スターバックスのBlue Yonder事案とは?SaaS起点の障害・影響・回復を整理
スターバックスの Blue Yonder 事案を調べる方向けに、2024年11月21日の Blue Yonder 側障害から、11月25日ごろのスターバックス影響報道、12月9日の影響継続公表、12月12日の復旧公表までを時系列で整理します。
SaaSベンダーリスクとは?Blue Yonder事案で学ぶ委託先事故・データ委託・監査の基本
SaaSベンダーリスクを調べる方向けに、Blue Yonder 事案を導入例にしながら、NIST SP 1326、NIST SP 800-161 Rev.1、CISA の指針をもとに、委託先事故、データ委託、契約、監査、継続評価の基本を整理します。
サプライチェーン攻撃はなぜ怖いのか?Blue Yonder事案に学ぶSaaS/委託先起点の被害波及
サプライチェーン攻撃をSaaSや委託先起点で理解したい方向けに、Blue Yonder事案、NIST SP 800-161 Rev.1、CISA の指針をもとに、脅威構造、波及経路、見落としやすい接点、初動で把握すべきことを整理します。
SaaS台帳管理とは?利用中SaaS・委託先・データ転送経路を可視化する実務
SaaS 台帳管理を見直したい方向けに、利用中 SaaS、委託先、管理責任者、保持データ、連携先、データ転送経路をどこまで棚卸しすべきかを、NIST と CISA の指針をもとに整理します。
EDR未導入と24時間監視不足は何を招くのか?侵入検知の遅れを解説
EDR 未導入リスクを調べる方向けに、アスクルの公式公表と CISA / NIST の一次資料をもとに、なぜ侵入後の異常に気づけなくなるのか、ログ不足、継続監視不足、初動遅延を整理します。
KADOKAWAのサイバー攻撃とは?ニコニコ停止・情報漏えい・復旧時系列を整理
KADOKAWA のサイバー攻撃を調べる方向けに、2024年6月8日のニコニコ停止、6月14日のランサムウェア公表、7月5日の情報漏えい告知、7月26日から8月5日の復旧までを、ドワンゴとニコニコの公式発表ベースで整理します。
LINEヤフーの情報漏えいとは?不正アクセス・委託先経路・行政対応を整理
LINEヤフーの情報漏えいを調べる方向けに、2023年11月27日の初報、2024年2月14日の影響範囲更新と別件公表、3月5日と4月16日の総務省行政指導、3月28日の個人情報保護委員会対応、7月1日の報告提出までを公式発表ベースで整理します。
IIJの情報漏えいとは?セキュアMX侵害・影響範囲・公表内容を整理
IIJ の情報漏えいを調べる方向けに、2025年4月10日の確認、4月15日の第一報、4月18日の Active! mail 脆弱性公表、4月22日の第二報、7月18日の総務省行政指導までを IIJ と JVN の一次資料で整理します。
JAXAの不正アクセスとは?情報漏えい・侵入期間・再発防止を整理
JAXA の不正アクセスを調べる方向けに、2023年10月の認知、2024年7月5日の公表、VPN 機器脆弱性起点の侵害範囲、Microsoft 365 への不正アクセス、情報漏えい確認、再発防止までを JAXA の公式発表ベースで整理します。
NTT西日本の個人情報流出とは?元派遣社員の持ち出し・影響範囲・再発防止を整理
NTT西日本の個人情報流出を調べる方向けに、2023年10月17日の初報、約120万件と約928万件の違い、元派遣社員による持ち出し、個人情報保護委員会と総務省の対応、2月29日の再発防止策までを公式資料ベースで整理します。
イセトーの情報漏えいとは?ランサム被害・自治体波及・原因・再発防止を整理
イセトーの情報漏えいを調べる方向けに、2024年5月26日の被害確認、6月18日のリークサイト確認、7月3日の個人情報流出公表、豊田市と京都市への波及、10月4日の原因と再発防止までを公式資料ベースで整理します。
富士通 ProjectWEBの不正アクセスとは?129社→142社・正規ID悪用・原因・再発防止を整理
富士通 ProjectWEB の不正アクセスを調べる方向けに、2021年5月6日の認知、5月25日の初報、8月11日の129社公表、12月9日の原因整理、2022年3月7日の142社更新、4月22日の再発防止までを公式発表ベースで整理します。
Change Healthcareのサイバー攻撃とは?医療請求停止・漏えい範囲・復旧状況を整理
Change Healthcare のサイバー攻撃を調べる方向けに、2024年2月21日の公表、医療請求・薬局処理・支払いへの影響、3月の段階復旧、4月22日のデータ影響説明までを UnitedHealth Group の公式発表ベースで整理します。
LastPassの情報漏えいとは?保管庫データの流出範囲・危険性・利用者対応を整理
LastPass の情報漏えいを調べる方向けに、2022年8月の開発環境侵害、11月と12月のバックアップ流出公表、2023年3月1日の詳細説明と推奨対応までを公式発表ベースで整理します。
23andMeの情報漏えいとは?認証情報使い回し攻撃・親族共有機能への波及・利用者対応を整理
23andMe の情報漏えいを調べる方向けに、2023年10月10日の初報、12月5日の 8-K/A、認証情報使い回し攻撃、DNA親族マッチ機能(DNA Relatives)と家系図機能(Family Tree)への波及、利用者対応までを公式発表ベースで整理します。
Ticketmasterの情報漏えいとは?外部クラウド基盤経由の流出・影響範囲・利用者対応を整理
Ticketmaster の情報漏えいを調べる方向けに、2024年5月20日の検知、5月27日の売買主張、5月31日の Live Nation 8-K、利用者向け案内で示された影響範囲、アカウント安全性、12か月の本人確認監視までを公式発表ベースで整理します。
MGM Resortsのサイバー攻撃とは?ホテル停止・顧客影響・公表内容を整理
MGM Resorts のサイバー攻撃を調べる方向けに、2023年9月12日の初報、10月5日の続報と SEC 8-K、ホテル・カジノ運営停止、顧客情報の範囲、約1億ドルの業績影響までを公式発表ベースで整理します。
Oktaサポートシステムの不正アクセスとは?HARファイル・セッショントークン問題を整理
Okta のサポートシステム不正アクセスを調べる方向けに、2023年10月20日の公開注意喚起、11月3日の原因調査、HARファイルとセッショントークン問題、134顧客への影響、2024年4月30日四半期報告での整理までを公式発表ベースでまとめます。
MOVEit Transfer脆弱性とは?ゼロデイ悪用・被害拡大・対応を整理
MOVEit Transfer の脆弱性を調べる方向けに、2023年5月末の未修正脆弱性の悪用、CISA が整理した一斉悪用、Progress の追加脆弱性公表と修正、8月末時点の法務・費用影響までを公式発表ベースで整理します。
Kaseya VSAランサムウェアとは?MSP経由の被害拡大・停止判断・復旧を整理
Kaseya VSA のランサムウェア事案を調べる方向けに、2021年7月2日の初動、SaaS とオンプレミスの停止判断、MSP 経由の波及、7月11日の 9.5.7a パッチ、8月4日時点の公表内容までを Kaseya と CISA / FBI の公式資料ベースで整理します。
尼崎市のUSB紛失事故とは?委託先持ち出し・個人情報漏えい・再発防止を整理
尼崎市の USB 紛失事故を調べる方向けに、2022年6月21日の持ち出し、6月23日の公表、6月24日の発見、11月28日の調査報告、2023年2月22日の個人情報保護委員会対応までを official ベースで整理します。
名古屋港のランサムウェア被害とは?NUTS停止・搬出影響・復旧まで整理
名古屋港のランサムウェア被害を調べる方向けに、2023年7月4日の NUTS 障害発生、7月6日の全ターミナル再開、2024年1月の国土交通省取りまとめ、2025年3月のガイドライン第2版までを official ベースで整理します。
小島プレスのサイバー攻撃とは?トヨタ生産停止に波及した供給網事故を整理
小島プレスのサイバー攻撃を調べる方向けに、2022年2月26日の攻撃痕跡、3月1日のトヨタ国内全14工場28ライン停止、3月2日の再開、3月31日の調査報告までを公式資料ベースで整理します。
CASIOのランサムウェア被害とは?情報漏えい・公表内容・影響範囲を整理
CASIO のランサムウェア被害を調べる方向けに、2024年10月8日の初報、10月11日のランサムウェア公表、2025年1月7日の調査結果、漏えい件数、業務影響、再発防止策までを公式資料ベースで整理します。
DMM Bitcoinの不正流出とは?4,502.9BTC・補償方針・行政処分を整理
DMM Bitcoin の不正流出を調べる方向けに、2024年5月31日の 4,502.9BTC 流出、全額保証方針、9月26日の行政処分、12月24日の警察庁公表、2025年3月8日のサービス終了と資産移管までを公式資料ベースで整理します。
外部接続点は見えているか?アサヒ事例から考えるASMと資産棚卸しの役割
外部接続点の可視化を見直したい方向けに、アサヒグループHDの公表と CISA の指針をもとに、公開 URL、管理画面、拠点接続、委託先導線、SaaS 連携導線をどこまで見える化対象へ入れるべきか、ASM がどこまで役立つかを整理します。
ダングリングDNSとは?
ダングリングDNSが危険になる条件、確認ポイント、サブドメインテイクオーバーの実害と対策を一次ソースベースで整理します。
サブドメイン棚卸しのやり方
サブドメインの見つけ方、棚卸し項目、監視の回し方、M&Aや委託先を含む運用を整理します。
サブドメイン監視とは?増減・放置・再公開を継続検知する方法
サブドメイン監視で何を見続けるべきか、Hazy Hawk 事例、日次・週次・月次運用、複数ドメイン設計まで一次ソースベースで整理します。
DNSセキュリティチェックリストとは?設定ミス・放置レコード・優先修正順の見方
DNS セキュリティチェックで最初に見るべき misconfiguration、dangling CNAME、NS 委任、TXT verification、wildcard DNS、CAA、DNSSEC の監査観点を整理します。
DNS棚卸しの手順
DNSレコード、TTL、CNAME、NSの確認観点と、運用で崩れやすいポイントを解説します。
外部公開資産台帳テンプレート
外部公開資産を一覧化するための管理項目、更新ルール、棚卸しフローのテンプレートを提供します。
未管理資産のリスク
未管理資産、放置サブドメイン、シャドーIT がなぜ見逃され、どう事故につながるのかを解説します。
証明書の期限切れリスク
証明書の期限切れ、SAN、一覧取得、監視自動化、Let's Encryptの通知廃止を踏まえた運用を解説します。
SSL証明書の期限監視とは?一覧取得・SAN・複数ドメイン管理の進め方
SSL証明書の期限監視で見るべき項目、SAN / ワイルドカード / 複数ドメイン管理、30/14/7/3日の運用フロー、CTログ と 外部観点 の使い方を整理します。
HTTPS強制設定とTLS見直し
HTTPS強制、HSTS、証明書設計、TLS設定不備の直し方を要点ベースで整理します。
管理画面・開発環境の露出リスク
管理画面、開発環境、ステージング環境を公開したままにするリスクと対策を解説します。
typosquatting対策とブランド保護
typosquatting、look-alike domain、ブランド保護の観点から、監視と初動を整理します。
ISMSで外部公開資産をどう管理するか
ISMS 運用の中で ASM のKPI、定例レビュー、改善サイクルをどう設計するかを解説します。
ASM運用フローとは?KPI・定例レビュー・チケット運用の設計方法
ASM の日次 / 週次 / 月次 / 四半期の運用頻度、KPI、優先度仕分け、対応票、レビュー、要約配布の設計を実務目線で整理します。
Colonial Pipelineのランサムウェアとは?燃料供給停止・身代金支払い・政府対応を整理
Colonial Pipeline のランサムウェア被害を調べる方向けに、2021年5月7日の停止判断、燃料供給混乱、DarkSide への身代金支払い、6月7日の一部回収、CISA と TSA の政府対応までを公式資料ベースで整理します。
フィッシング対策とは?最新手口・見分け方・企業の対策方法を徹底解説
フィッシング対策を見直したい方向けに、CISA、Microsoft、最新研究をもとに、最近の手口、見分け方、企業が優先して整えるべき認証・外部導線・初動対策を整理します。
スピアフィッシングとは?標的型メールの危険性と対策方法を徹底解説
スピアフィッシングを調べる方向けに、一般的なフィッシングとの違い、取引先や幹部なりすましが成立する理由、企業が優先して整えるべき確認フローと認証・外部導線対策を整理します。
スミッシングとは?SMS詐欺の危険性と対策方法を徹底解説
スミッシングを調べる方向けに、SMS 詐欺の仕組み、メール型フィッシングとの違い、企業で被害が広がる理由、優先して整えるべき確認フローと対策を整理します。
クイッシングとは?QRコードフィッシングの危険性と対策方法を徹底解説
クイッシングを調べる方向けに、QRコードフィッシングの仕組み、なぜ成立するのか、企業で被害が広がる理由、優先して整えるべき確認フローと対策を整理します。
中間者フィッシングとは?MFAをすり抜けるAiTMの危険性と対策方法を徹底解説
中間者フィッシングを調べる方向けに、AiTM の仕組み、なぜ MFA 導入済みでも成立するのか、どこが盲点になるのか、企業が優先して整えるべき検知・防御・運用対策を整理します。
ビジネスメール詐欺とは?BECの危険性と対策方法を徹底解説
ビジネスメール詐欺を調べる方向けに、BEC の仕組み、なぜ送金先変更や請求書差し替えが成立するのか、どこが盲点になるのか、企業が優先して整えるべき確認フローと対策を整理します。
クレデンシャルスタッフィングとは?認証情報使い回し攻撃の危険性と対策方法を徹底解説
クレデンシャルスタッフィングを調べる方向けに、OWASP、CISA、23andMe事例、最新研究をもとに、流出済み認証情報の使い回し攻撃の仕組み、なぜ成立するのか、どこが盲点になるのか、企業が優先して整えるべき対策を整理します。
パスワードスプレー攻撃とは?総当たりと違う危険性と対策方法を徹底解説
パスワードスプレー攻撃を調べる方向けに、CISA と Microsoft の公式情報をもとに、ゆっくり分散して試す総当たりがなぜ見逃されやすいのか、どこが危険で、企業が優先して整えるべき対策を整理します。
MFAプッシュ爆撃とは?認証疲れを狙う危険性と対策方法を徹底解説
MFAプッシュ爆撃を調べる方向けに、Microsoft と CISA の一次情報をもとに、なぜ MFA 導入済みでも承認疲れが突破口になるのか、どこが危険で、企業が優先して整えるべき対策を整理します。
OAuth同意フィッシングとは?権限付与悪用の危険性と対策方法を徹底解説
OAuth同意フィッシングを調べる方向けに、なぜパスワードを盗まれなくても被害が出るのか、危険アプリの見分け方と管理者側の統制を整理します。
デバイスコードフィッシングとは?正規認証フロー悪用の危険性と対策方法を徹底解説
デバイスコードフィッシングを調べる方向けに、なぜ正規認証フローが悪用されるのか、会議参加やサポートを装う誘導と防ぎ方を整理します。
セッショントークン窃取とは?Cookie・リフレッシュトークン盗難の危険性と対策方法を徹底解説
セッショントークン窃取を調べる方向けに、Cookie やリフレッシュトークンが盗まれると何が起きるのか、なぜパスワード変更や MFA だけでは止まりにくいのか、企業が優先して整えるべき検知・失効・運用対策を整理します。
インフォスティーラーとは?Cookie・保存済み資格情報を盗む危険性と対策方法を徹底解説
インフォスティーラーを調べる方向けに、Cookie や保存済み資格情報がなぜ危険なのか、感染後30分で止めるべき対処を整理します。
初期アクセスブローカーとは?侵入口売買の危険性と対策方法を徹底解説
初期アクセスブローカーを調べる方向けに、公開VPN、RDP、保守導線など何が売られやすいのかと、前段で潰すべき入口を整理します。
RMM悪用とは?正規リモート保守ツール悪用の危険性と対策方法を徹底解説
RMM悪用を調べる方向けに、正規の遠隔保守ツールがなぜ侵害の入口になるのか、既存RMM乗っ取りと新規持ち込みの違い、見分け方を整理します。
公開RDPとは?危険性や対策方法を徹底解説
公開RDPを調べる方向けに、インターネットへ露出したリモートデスクトップがなぜ危険か、何を優先して閉じるべきかを整理します。
ソフトウェアサプライチェーン攻撃とは?開発依存関係の危険性と対策方法を徹底解説
ソフトウェアサプライチェーン攻撃を調べる方向けに、OSS、依存関係、CI/CD、署名、配布までを含む開発供給網のどこが危険かを整理します。
依存関係混乱とは?dependency confusionの危険性と対策方法を徹底解説
依存関係混乱を調べる方向けに、社内レジストリと公開レジストリの優先順位差がなぜ危険か、命名統制と検証の要点を整理します。
悪意あるnpm/PyPIパッケージとは?OSSレジストリ悪用の危険性と対策方法を徹底解説
悪意ある npm / PyPI パッケージを調べる方向けに、タイポスクワッティング、maintainer 乗っ取り、install script 悪用への備えを整理します。
CI/CDパイプライン攻撃とは?build環境侵害の危険性と対策方法を徹底解説
CI/CD パイプライン攻撃を調べる方向けに、実行基盤、秘密情報、成果物、公開権限がなぜ危険なのか、何を優先して見直すべきかを整理します。
Webシェルとは?危険性や対策方法を徹底解説
Webシェルを調べる方向けに、公開 Web サーバ侵害後の持続化として何が起きるのか、設置経路、発見サイン、封じ込めの考え方を整理します。
Living off the Land攻撃とは?危険性や対策方法を徹底解説
Living off the Land攻撃を調べる方向けに、正規ツールや OS 機能の悪用がなぜ見えにくいのか、何を監視し、どこから止めるべきかを整理します。
ランサムウェアとは?仕組み・危険性・対策方法を徹底解説
ランサムウェアを調べる方向けに、暗号化だけではない最近の被害構造、侵入・恐喝・復旧妨害の3層、優先して守るべきポイントを整理します。
RaaS(Ransomware as a Service)とは?危険性や対策方法を徹底解説
RaaS を調べる方向けに、ランサムウェアがなぜ量産されるのか、開発者と実行役の分業構造、企業が見るべき実務ポイントを整理します。
二重恐喝とは?データ流出を伴うランサム被害の危険性と対策方法を徹底解説
二重恐喝を調べる方向けに、暗号化だけでなく情報流出脅迫まで入る被害構造、どこが盲点になり、企業は何を優先して備えるべきかを整理します。
三重恐喝とは?追加圧力型ランサム被害の危険性と対策方法を徹底解説
三重恐喝を調べる方向けに、二重恐喝へ DDoS や顧客通知脅迫などの追加圧力が重なる構造と、企業が何を優先して備えるべきかを整理します。
データ窃取型恐喝とは?暗号化なし恐喝の危険性と対策方法を徹底解説
データ窃取型恐喝を調べる方向けに、暗号化がなくても被害が成立する理由、どこが盲点になり、企業は何を優先して備えるべきかを整理します。
ランサムウェア初動対応とは?感染疑い直後の危険性と対策方法を徹底解説
ランサムウェア初動対応を調べる方向けに、感染疑い直後に何を止め、何を残し、誰へ連絡すべきかを整理します。
ランサムウェア復旧計画とは?危険性や対策方法を徹底解説
ランサムウェア復旧計画を調べる方向けに、どの業務から戻すか、RTO / RPO をどう業務再開へ翻訳するか、何を先に決めるべきかを整理します。
バックアップ破壊対策とは?危険性や対策方法を徹底解説
バックアップ破壊対策を調べる方向けに、なぜランサム前段でバックアップが狙われるのか、不変保管や分離設計をどう考えるべきかを整理します。
経産省セキュリティ対策評価制度(SCS)とは?★3・★4要件とASMの役割を徹底解説
経産省のセキュリティ対策評価制度(SCS)を調べる方向けに、★3・★4で何が求められ、企業は何を先に整えるべきかを外部公開資産管理の観点も交えて整理します。
IPA情報セキュリティ10大脅威2026とは?順位変動と企業が優先すべき対策を徹底解説
IPA情報セキュリティ10大脅威2026の順位変動を調べる方向けに、企業が自社の公開面、認証、ランサム、供給網へどう優先順位を落とし込むかを整理します。
クラウドランサム攻撃とは?S3削除・IAM悪用の危険性と対策方法を徹底解説
クラウドランサム攻撃を調べる方向けに、S3 や IAM がなぜ狙われるのか、マルウェアなしでも成立する理由とバックアップ保護の考え方を整理します。
DDoS攻撃対策とは?仕組み・最近の脅威・企業防御を徹底解説
DDoS攻撃対策を調べる方向けに、攻撃の仕組み、ボリューム型・プロトコル型・アプリケーション型の違い、国内状況、企業が取るべき防御設計を整理します。
サイバーセキュリティ経営ガイドラインとは?3原則・重要10項目・実務への落とし方を徹底解説
サイバーセキュリティ経営ガイドライン Ver 3.0 を調べる方向けに、3原則、重要10項目、経営層と CISO の分担、外部公開資産管理への落とし方を整理します。
保険見直し本舗のランサムウェア被害とは?時系列・約510万件のおそれ・再発防止を整理
保険見直し本舗のランサムウェア被害を調べる方向けに、発生時期、約510万件のおそれの読み方、外部流出未確認の位置づけ、最終報告の再発防止策を整理します。
ニデックインスツルメンツのランサムウェア被害とは?時系列・影響・公表内容を整理
ニデックインスツルメンツのランサムウェア被害を調べる方向けに、2024年5月26日の発生、6月10日の初報、6月27日の第二報を軸に、影響範囲、流出可能性、原因、公表内容を整理します。
ニチイホールディングスのランサムウェア被害とは?時系列・影響範囲・公表内容を整理
ニチイホールディングスのランサムウェア被害を調べる方向けに、2024年8月8日の感染確認、8月16日の初報、9月2日の第2報、11月22日の最終報を軸に、被害範囲と個人情報影響を整理します。
大阪急性期・総合医療センターのランサムウェア被害とは?時系列・原因・診療影響を整理
大阪急性期・総合医療センターのランサムウェア被害を調べる方向けに、2022年10月31日の発生、11月2日の第3報、2023年3月の調査報告書概要を軸に、診療影響、原因、再発防止を整理します。
ASM PoCの評価項目とは?失敗しない比較ポイントと確認方法を徹底解説
ASM PoC を比較検討する方向けに、発見件数だけで終わらない評価軸として、検知品質、誤検知、owner 付与、是正導線、レポート品質の見方を整理します。
外部公開資産のオーナー管理とは?責任者不明を防ぐ運用方法を徹底解説
外部公開資産の管理責任者整理を整えたい方向けに、管理責任者・承認者・点検担当の役割分担、委託先や子会社を含めた戻し方、責任者不明を減らす運用を整理します。
公開資産の是正SLAとは?外部公開リスクの対応期限を決める方法を徹底解説
公開資産の是正 SLA を設計したい方向けに、severity ごとの期限、KEV 優先、例外承認、期限超過時の扱いを外部公開資産運用に絞って整理します。
境界機器の脆弱性管理とは?KEV・公開管理面・優先修正を徹底解説
境界機器の脆弱性管理を見直したい方向けに、公開 VPN やファイアウォールを generic patch management と切り分け、KEV、外部露出、例外管理、月次レビューの見方を整理します。
サービスアカウントのセキュリティとは?機械ID・鍵管理・権限最小化を徹底解説
サービスアカウントのセキュリティを見直したい方向けに、長寿命の鍵を減らす考え方、機械IDの棚卸し、権限最小化、漏えい時の影響範囲と初動を整理します。
GitHub ActionsをOIDCへ移行する理由とは?秘密情報を減らす進め方
GitHub Actions の OIDC 移行を検討する方向けに、長期シークレットを減らす理由、信頼ポリシーの絞り方、AWS・Azure・Google Cloud の違い、移行後の監査ポイントを整理します。
S3 External Access Summaryで何がわかる?外部共有の見方と運用ポイント
S3 External Access Summary を確認したい方向けに、IAM Access Analyzer for S3 の前提、表示される検出結果の意味、更新タイミングの制約、公開バケットと他アカウント共有の見分け方を整理します。
S3 Block Public Accessを組織で揃えるべき理由とは?例外運用の考え方
S3 Block Public Access を組織で標準化したい方向けに、組織レベルの仕組み、4つの設定の意味、バケット単位例外が効きにくい理由、AWS Organizations での適用範囲設計を整理します。
GitHub Secret Protectionは導入すべきか?検討ポイントと向くチーム
GitHub Secret Protection の導入を検討する方向けに、無料の秘密情報リスク評価との違い、プッシュ時ブロックや例外承認管理を含む機能範囲、向いているチーム、価格試算の考え方を整理します。
終了したキャンペーンLPが危ない理由とは?放置サイト・旧フォーム・計測タグを減らす運用
終了したキャンペーンLPの残置が気になる方向けに、旧フォーム、計測タグ、特設サブドメインがなぜ外部公開リスクになるのか、停止手順、例外管理、再発防止の運用設計を整理します。
検証環境の公開残存とは?一時公開が本番リスクになる理由と止め方
検証環境の公開残存を見直したい方向けに、ステージング、開発、プレビュー環境がなぜ本番リスクになるのか、停止手順、到達性確認、例外公開の管理方法を整理します。
BFFが外部公開面になりやすい理由とは?確認ポイントと対策
BFF 公開 セキュリティを見直したい方向けに、BFF がなぜ外部公開面になるのか、ブラウザ境界、認可、CSRF、直アクセス、下流トークンの確認ポイントを整理します。
Postmanコレクション公開で何が漏れるのか?情報露出を防ぐ運用
Postman collection 公開を見直したい方向けに、コレクション、ワークスペース、環境、サンプルリクエスト、共有 URL から何が見えるのか、どの順で閉じるべきか、再発防止の運用設計を整理します。
Entra app consentをどう統制するか?SaaS接続ガバナンスの基本
Entra app consent ガバナンスを見直したい方向けに、ユーザー同意、管理者同意、管理者同意ワークフローの切り分け、許可基準、棚卸し、例外運用を整理します。
社内サインインにパスキーを導入するには?移行設計と進め方
パスキー 社内導入を検討する方向けに、導入対象、前提条件、例外設計、段階展開、サポート、代替手段の考え方を整理します。
Microsoft Entraのトークン保護とは?どこまで有効かと導入時の注意点
Entra トークン保護を検討する方向けに、何に効くのか、何には効かないのか、前提条件、対象範囲、例外管理、導入時の確認ポイントを整理します。
MCPのセキュリティとは?企業利用で押さえたい権限・承認・接続境界
MCP セキュリティを調べる方向けに、接続境界、権限、承認、監査、第三者サーバー利用時の確認ポイントを公式仕様と一次情報ベースで整理します。
CDNやWAFの裏で実オリジンが露出する理由とは?確認方法と対策
オリジン露出 CDN を調べる方向けに、なぜ実オリジンが見えてしまうのか、どこから漏れやすいのか、確認手順、遮断策、例外運用を一次ソースベースで整理します。
MTA-STSとは?メール経路保護の観点で導入を考える
MTA-STS 導入を検討する方向けに、何を守るのか、MX・ポリシー・TLS-RPT の整え方、testing から enforce へ進める判断軸、止まりやすい運用論点を整理します。
SlackアプリのOAuth権限はどう評価する?連携アプリ統制の基本
Slack OAuth app リスクを見直したい方向けに、スコープの見方、app approval、app request、棚卸し、例外管理を公式 docs ベースで整理します。
Azure Storageの公開コンテナーをどう確認する?匿名アクセス監査の進め方
Azure Storage 公開コンテナー 確認をしたい方向けに、匿名アクセスがどこで決まるか、account 設定と container 公開レベルの関係、監査手順、例外管理、再確認ポイントを整理します。
悪意あるブラウザ拡張機能とは?Chrome拡張の危険性と企業対策を徹底解説
悪意あるブラウザ拡張機能を見直したい方向けに、Chrome 拡張の権限、更新経路、開発者アカウント乗っ取り、企業での許可リスト管理とセッショントークン窃取とのつながりを整理します。
プロンプトインジェクションとは?間接攻撃・MCP悪用・対策を徹底解説
プロンプトインジェクションを見直したい方向けに、直接型と間接型の違い、MCP やツール説明文経由の危険性、入力境界と最小権限の設計を整理します。
コールバックフィッシングとは?ヘルプデスクなりすましの危険性と対策方法を徹底解説
コールバックフィッシングを見直したい方向けに、偽サポート窓口への折り返し誘導、Quick Assist や Teams の悪用、確認フローと遠隔支援ポリシーの整え方を整理します。
フロントエンドのAPIキー露出とは?危険性や対策方法を徹底解説
フロントエンドへ API key を置く実装を見直したい方向けに、公開してよい値の境界、LLM 開発で直叩きが増える理由、BFF、制限設定、漏えい後の初動を整理します。
シャドーAIとは?未承認AI利用の危険性と企業対策を徹底解説
シャドーAIを見直したい方向けに、未承認の生成 AI や agent 利用で起きやすい情報持ち出し、可視化、入力境界、承認済み代替手段の整え方を整理します。
Slopsquattingとは?なぜ危険なのかと対策方法を徹底解説
Slopsquatting を調べる方向けに、package hallucination から supply chain risk が成立する仕組み、dependency confusion との違い、AI コーディング時の確認策まで整理します。
AI IDEの脆弱性とは?なぜ危険なのかと対策方法を徹底解説
AI IDE の脆弱性を見直したい方向けに、data theft や RCE の入口になりやすい理由、trust boundary の崩れ方、企業利用条件まで整理します。
AI生成コードの脆弱性とは?なぜ危険なのかと対策方法を徹底解説
AI生成コードの脆弱性を見直したい方向けに、insecure な実装が混ざりやすい理由、危険パターン、人手レビューの観点、公開前後のガードレールを整理します。
Vibe Coding(バイブコーディング)のセキュリティとは?危険性と対策方法を徹底解説
Vibe Coding のセキュリティを見直したい方向けに、AI 任せ開発で脆弱な公開面が残りやすい理由、生成コードの危険性、企業が置くべきガードレールを整理します。
クライアントシークレット漏えいとは?SPA実装ミスの危険性と対策方法を徹底解説
client secret を browser や SPA に置いてよいのか迷う方向けに、public client と confidential client の違い、PKCE や BFF の使い分け、漏えい後の見直し方まで整理します。
ClickFixとは?偽CAPTCHAでコマンド実行させる危険性と対策方法を徹底解説
ClickFix が何かを知りたい方向けに、偽 CAPTCHA や偽エラー画面で自己実行が起きる構造、callback phishing との違い、企業の初期防御線まで整理します。
AIエージェントの過剰権限とは?MCPの権限肥大化リスクと対策方法を徹底解説
AI agent にどこまで権限を持たせてよいか迷う方向けに、scope creep の起き方、MCP や tool 連携で危険になる場面、最小権限と承認設計まで整理します。
OpenClawのセキュリティとは?危険性と安全に使う方法を徹底解説
OpenClaw を安全に使いたい方向けに、利用主体の分離、サンドボックス、ツール許可ポリシー、公開経路、設定ずれを日本語の実務目線で整理します。
OpenClawのプロンプトインジェクションとは?危険性と対策方法を徹底解説
OpenClaw のプロンプトインジェクションを見直したい方向けに、外部コンテンツ、ブラウザ / ウェブ取得ツール、セッション境界、ツール許可ポリシーのどこが危険になるのかを整理します。
会社のログイン画面洗い出しとは?見落としやすい管理画面の見つけ方を徹底解説
会社の login page や管理画面を棚卸ししたい方向けに、一覧化対象、見落としやすい接点、月次の再公開検知と owner 管理を整理します。
子会社ドメイン管理とは?グループ会社の外部公開資産を統制する方法を徹底解説
子会社やグループ会社の公開資産を統制したい方向けに、M&A 後の引き継ぎ、管理責任者整理、廃止判断、月次レビューの回し方を整理します。
パスキーのセキュリティとは?フィッシングに強い理由と導入時の注意点を徹底解説
パスキーの安全性を確認したい方向けに、フィッシングに強い理由、旧認証との違い、企業導入で詰まりやすい運用論点を整理します。
Fast Fluxとは?危険性と対策方法をDNS運用の観点から徹底解説
Fast Flux を日本語で理解したい方向けに、single flux と double flux の違い、攻撃基盤としての危険性、企業の監視ポイントを整理します。
AIコーディングエージェント比較とは?Claude Code・Codex・Gemini CLIの違いを徹底解説
AIコーディングエージェントを比較したい方向けに、Claude Code・Codex・Gemini CLI の違いを、開発タスク、権限、企業統制、公開後確認の観点で整理します。
AIコーディングツールの企業導入とは?ルール整備・PoC・公開面管理を徹底解説
AIコーディングツールの企業導入を検討する方向けに、PoC、権限、ログ、データ境界、公開後の外部確認まで含めた導入設計を整理します。
AIコーディングのソースコード漏えいとは?危険な渡し方と企業対策を徹底解説
AIコーディングでのソースコード漏えいを見直したい方向けに、コード、設定、ログ、運用手順の持ち出しリスクと、企業が決めるべき送信境界を整理します。
Claude Codeのソースコード流出とは?原因・影響・危険性を徹底解説
Claude Code のソースコード流出を調べる方向けに、2026年3月31日前後に何が起きたのか、なぜ流出したのか、公開ミラーと Python 再実装は何だったのか、利用企業は何を確認すべきかを整理します。
Claude Mythos Previewとは?Anthropicが限定公開した新モデルの特徴・料金・使える場所を解説
Claude Mythos Preview を調べる方向けに、Project Glasswing との関係、限定プレビューの提供経路、価格、Bedrock の事前許可条件、脆弱性発見と『実際に悪用できるか』の検証で注目される理由を整理します。
TP-Linkルーターが危ないと言われる理由とは?DNSハイジャックで情報が盗まれる流れを解説
TP-Link ルーター DNSハイジャックを調べる方向けに、2026年4月に公表された事案で何が起きたのか、DNS 設定改ざんから Outlook や Microsoft 365 に見えるログイン先へ誘導される流れ、会社拠点と在宅勤務の両方に関係する理由、今確認したい設定と運用を整理します。
ChatGPT Pro 100ドルプランとは?100ドル版と200ドル版の違い・向く人を解説
ChatGPT Pro 100ドルを調べる方向けに、2026年4月10日時点の公式説明をもとに、個人向け 20ドル・100ドル・200ドルの違い、100ドルを検討する人、会社向け契約と混同しない見方、Codex 利用量との関係を整理します。
中国の国家級スーパーコンピューターで10ペタ流出疑惑とは?軍事・航空データが売りに出されたとされる事件を整理
中国 スーパーコンピューター 10ペタ 流出を調べる方向けに、2026年4月9日に報じられた 10ペタ超の流出主張で何が起きたとされているのか、どこまで公的に確認できるのか、国家級の計算基盤に多様な組織データが集まる怖さと日本企業が見直すべき点を整理します。
Claude CodeとCodexを比較|開発に向いているAIコーディングエージェントはどちらか徹底解説
Claude Code と Codex の比較を調べる方向けに、作業スタイル、非同期 delegation、権限承認、企業運用、公開後確認の観点で違いを整理します。
Claude CodeとGemini CLIを比較|開発に向いているAIコーディングエージェントはどちらか徹底解説
Claude Code と Gemini CLI の比較を調べる方向けに、terminal、IDE、Google Cloud 親和性、権限管理、企業運用の違いを整理します。
AIコーディングPoCの評価項目とは?比較ポイントと本導入判断の方法を徹底解説
AIコーディング PoC の評価項目を調べる方向けに、速度、レビュー品質、権限、ログ、公開面確認をどう比較して本導入判断へつなげるか整理します。
AIコーディングツールの選び方とは?比較ポイントと導入判断を徹底解説
AIコーディングツールの選び方を調べる方向けに、ユースケース、権限、ログ、PoC、公開後確認まで含めた選定フレームを整理します。
Claude Codeの企業利用とは?導入時の注意点と運用設計を徹底解説
Claude Code の企業利用を検討する方向けに、権限、承認、ログ、法務・コンプライアンス、公開後確認まで含めた導入条件を整理します。
Codexの企業利用とは?導入時の注意点と運用設計を徹底解説
Codex の企業利用を検討する方向けに、workspace 境界、delegation、レビュー運用、データ条件、公開後確認まで含めた導入条件を整理します。
AIコーディングツールの費用比較とは?Claude Code・Codex・Gemini CLIの料金と見落としやすいコストを徹底解説
AIコーディングツールの費用比較を調べる方向けに、Claude Code・Codex・Gemini CLI の料金体系、無料枠、隠れたコスト、企業利用での見方を日本語で整理します。
Claude Codeの料金とは?課金の考え方と見落としやすいコストを徹底解説
Claude Code の料金を調べる方向けに、API課金、「/cost」と「/stats」の見方、モデル選択、チーム利用で膨らみやすいコストを日本語で整理します。
AIコーディングツールのコードレビューとは?向く使い方と見落としやすい危険性を徹底解説
AIコーディングツールのコードレビューを調べる方向けに、AI review が向く観点、見落としやすい危険性、公開後確認との分担を整理します。
AIコーディングツールのバグ修正とは?向く使い方と見落としやすい危険性を徹底解説
AIコーディングツールのバグ修正を調べる方向けに、向く不具合、危ない任せ方、Claude Code・Codex・Gemini CLI の違い、公開後確認まで整理します。
AIコーディングツールのリファクタリングとは?向く使い方と危険な任せ方を徹底解説
AIコーディングツールのリファクタリングを調べる方向けに、向く変更、危ない任せ方、Claude Code・Codex・Gemini CLI の違い、公開後確認まで整理します。
AIコーディングツールのテスト自動化とは?向く使い方と見落としやすい危険性を徹底解説
AIコーディングツールのテスト自動化を調べる方向けに、向くテスト、危ない任せ方、Claude Code・Codex・Gemini CLI の違い、公開後確認まで整理します。
セキュリティレポートテンプレート
ASM報告を会議資料・経営報告・チケット起票へつなげるためのテンプレートと構成例を示します。