Posted inセキュリティ
SSH鍵管理の混乱から脱却する:Smallstep証明書によるアクセスの一元化
「authorized_keys」の煩雑な管理に別れを告げましょう。このガイドでは、Smallstepを使用してSSH証明書を導入し、SSO連携された安全なインフラを構築する方法を紹介します。
Posted inセキュリティ
手動監査を終わらせる:MobSFとDockerによるAndroidセキュリティの自動化
手動でのデコンパイルはもう不要です。DockerでMobSFをデプロイし、ハードコードされたシークレットやOWASPの脆弱性を数分で検出する、迅速なAndroidセキュリティ監査の手法を学びましょう。
Posted inセキュリティ
ChainsawとSigmaを使用した6ヶ月間のLinuxスレットハンティング:フィールドレポート
受動的なログ管理はもう終わりにしましょう。ChainsawとSigmaルールを6ヶ月間運用し、10GBのログを数秒でスキャンできるプロアクティブなLinuxスレットハンティング・ワークフローを構築した経験を共有します。
Posted inセキュリティ
インフラセキュリティの自動化:Nucleiによる実践ガイド
手動のセキュリティ監査から脱却しましょう。コミュニティで検証されたテンプレートを使用して、Linuxサーバーの脆弱性スキャンを自動化するNucleiの使い方を学びます。
Posted inセキュリティ
静的なシークレットを卒業しよう:GitHub Actions OIDCの実践ガイド
永続的なAWSやGCPのアクセスキーに伴うリスクを回避しましょう。本ガイドでは、GitHub ActionsでOIDCを実装し、短命で自己消滅するトークンを使用してCI/CDを保護する方法を解説します。
Posted inセキュリティ
アイデンティティベースのSSH:ポート22を閉鎖し、鍵管理から解放された理由
SSH鍵の管理に手間取っていませんか?Tailscaleによるアイデンティティベース認証に切り替えましょう。ポート22を閉じ、SSOでアクセスを管理することで、サーバーセキュリティを20分以内に簡素化できます。
Posted inセキュリティ
パスワードはもう不要:パスキー(WebAuthn)実装の実践ガイド
脆弱なパスワードから脱却しましょう。本ガイドでは、フィッシング耐性を持つパスキーをWebアプリケーションに実装するための技術的な手順と、UXのベストプラクティスを詳しく解説します。
Posted inセキュリティ
BOLAを狩る:OWASP ZAPでAPIセキュリティを監査する方法
BOLAは現代のAPIにおける最大のリスクです。OWASP ZAPを使用してセキュリティテストを自動化し、認可のバグを発見してコードを堅牢にする方法を解説します。
Posted inセキュリティ
脆弱性管理の一元化:DefectDojo、Trivy、Semgrep 活用実践ガイド
Trivy、Nmap、Semgrep の結果を一元化して、セキュリティワークフローを効率化しましょう。本ガイドでは、DefectDojo のセットアップから脆弱性管理の自動化までを詳しく解説します。
Posted inセキュリティ
システムログにおけるPIIのマスキング:Fluent Bitによるメール、IP、パスワードの秘匿化ガイド
システムログ内でのPII漏洩は、重大なコンプライアンス上のリスクとなります。本ガイドでは、Fluent BitのmodifyフィルタとLuaフィルタを使用して、メール、IP、パスワードを転送元でマスキングする方法を紹介します。