AI時代の備え
このタグの記事 12 件
AI時代のセキュリティ対策|個人開発者がいま固めるべき基本(優先順チェックリスト)
AIは“新しい弱点”より“既存の弱点を自動で・大量に突く”側を強くする。だから特別な新対策より、基本を正しい順で固めるのが最善の備え。CVE即パッチ+依存監視、使い回し撲滅+MFA、露出した秘密の除去、最小権限、公開面の縮小、ログ/IOCの備え、バックアップ——優先順チェックリストで。
AI時代に効くセキュリティ対策と“効かない”もの|小規模でも狙われる理由
AI時代の4つの神話を正す。①小さいから狙われない→自動化が『人間が選ぶ』を消す②特別な新対策が要る→基本が最強③製品を入れれば安心→検知より起こさない設計が先④AI生成コードは速くて安全→脆弱性ごと出荷・公開前レビュー必須。効くのは地味な基本を正しい順で。
自分のドメインからの“なりすましメール”が届いた——乗っ取りとの違いと止め方
自分のドメインを名乗る不審メールが届いても、多くは“サーバー侵害”ではなく“差出人(From)の詐称”。SMTPはFromを自由に書けるため。ヘッダのAuthentication-Results・Received・Reply-Toを読めば侵害か詐称か見分けられる。受信箱まで届く主因はDMARC未設定。SPF→DKIM→DMARC(p=none→reject)の段階導入で止める。
二要素認証(MFA)の正しい選び方:SMSより強い「フィッシング耐性」とは
MFAは『パスワードが漏れても入られない』ための二重ロックだが、何を付けたかで強さが3段違う。SMS/メールはフィッシング中継・SIMスワップで破られる弱い方式、認証アプリ(TOTP)は中、パスキー/物理キー(FIDO2)は偽サイトに出せない『フィッシング耐性』で別格。最優先は王国の鍵(メール・ドメイン・決済)にフィッシング耐性MFAをかけること。リカバリーコードの保管とバックアップ手段の用意までが正しい運用。
バックアップの基本:3-2-1ルールとランサムウェアに耐える復元計画
バックアップは『取ってある』では不十分で、『復元できると確認済み』だけが本物。基本=3-2-1ルール(3コピー・2種類のメディア・1つはオフサイト)。さらにランサム対策には、常時接続でない『オフライン/不変(immutable)』のコピーが少なくとも1つ要る——常時繋がったバックアップは本体ごと暗号化される。クラウド同期はバックアップではない(誤削除や暗号化も同期する)。世代管理と定期的な復元テストまでが運用。
パスワードマネージャーは安全?仕組みとクラウド・ローカルの違い、選び方
パスワードマネージャーは、使い回し・平文保存より確実に安全。鍵はゼロ知識暗号=マスターパスワードで端末側だけが復号でき、提供元は暗号文しか持たないので、提供元が破られても中身は出ない。本当の単一障害点はマスターパスワードと金庫のMFA。クラウド型(Bitwarden/1Password)とローカル型(KeePass)を用途で選ぶ。
個人開発・小規模運営のセキュリティ最低限:業界標準の対策を全部セットで
最低限の対策は『全部同じ重さ』ではない。当サイトの優先順位=①王国の鍵(多要素認証・ドメイン・メール)②秘密とコード③アプリ本体④パッチ・検知・復元。リソースが有限な個人は、この順で上から埋めるのが正解。多くの事故は新種の攻撃ではなく、この土台の抜けから起きる。
osv-scannerの導入と使い方:依存パッケージのCVEを機械で見つける
osv-scannerはロックファイルやコンテナを走査して依存のCVEを洗い出す無料ツール。導入・実行・CI組込みを手順化し、npm/pnpm audit・Dependabotとの使い分けまで整理する。当サイトの視点=ツール選びの正解は『あなたの構成』で決まる。複数言語混在やGitHub非依存ならosv-scanner、単一npmなら同梱のpnpm auditで十分。
公開ディレクトリに秘密ファイルを置き忘れていないか:webrootの棚卸し
webroot(公開ディレクトリ)に置いたファイルは、URLを叩けば誰でも取得できる。トークンや認証情報のJSON・.env・バックアップを置き忘れると即・実害。さらに共通テンプレート由来なら全サイトに同じ穴が横展開する。対策=公開ディレクトリには公開してよい物だけ、秘密はwebroot外+権限600、そして自分のサーバーを棚卸しして1か所見つけたら全台点検。
侵害され得る環境にroot鍵を渡さない:SSH鍵の最小権限
一時的で侵害され得る環境(GPU pod・CIランナー・使い捨てVM)から本番へroot鍵を登録すると、その環境が侵害された瞬間に本番がroot権限で抜かれる。対策=一時環境にroot鍵を置かない/使わなくなったら消す/再度必要なら非rootユーザー+command制限鍵(command="..." restrict)で操作を1つに限定。使い回し鍵は最重要資産で、1つ漏れたら全部、という構成を作らない。
脆弱性(CVE)対応の実務:直しきって、再発を監視し続ける手順
脆弱性対応は『直した』で終わらない。完了=①スキャン②修正③隔離/引き継ぎ④監視の4点が揃って初めて。特に監視(日次の変化検知)を載せるまでは未完——依存は明日また脆弱になるから。修正の中身が100点でも、次のデプロイで消える運用なら0点。小さな現場こそ、自動の変化検知と『local→push→deploy』の規律で驚くほど守れる。
AIで書いたコードからAPIキーが漏れ、不正課金された——本当の原因は放置したCVSS 10.0だった
請求の暴騰は氷山の一角。真因は放置した公開済みCVSS 10.0のRCEだった。固有名詞を伏せた事例から、防御の教訓を抽出します。