tag
CVE
このタグの記事 5 件
2026-06-07
Next.js を安全に運用する:公開済みCVEに後れを取らないしくみ
フレームワークの最大リスクは公開済みCVEの放置。実稼働版で判定し、Dependabot/osv-scannerで機械監視、迅速更新、最小権限の4本柱で守る。ITDの視点=個人開発者が負けるのは知識でなく『運用の継続性』。速さより見落とさない仕組みで勝つ。
CVSS10.02026-06-07
Equifax 情報漏えい事件(2017)— 未パッチのApache Strutsで1.47億人が漏れた原因と防御
原因は『修正パッチが出ていた既知CVE(CVSS 10.0)を公開システムに当てなかった』こと。監視装置の証明書失効で76日間も持ち出しに気づけず被害が拡大。あなたの環境では資産の棚卸し・パッチSLA・機械監視・検知の健全性で再発防止する。
2026-06-07
CVE とは — 脆弱性に付く“共通の背番号”のしくみ
CVEは脆弱性に付く世界共通の識別番号(例 CVE-2025-12345)。同じ穴を皆が同じ名前で参照でき、対策・監視の起点になる。CVE=名前、CVSS=深刻度、KEV=悪用中かで役割が違う。個人は機械監視で追うのが現実的。
2026-06-07
Log4Shell(CVE-2021-44228)— 世界中が一晩で“使っているか分からない”脆弱性に震えた日
Log4jの脆弱性(CVSS 10.0)。本質は『間接的な依存(推移的依存)で、知らないうちに使っている』怖さ。ログ出力という受け身の処理が攻撃経路になった。SBOMと依存の機械監視、迅速なパッチ、追随CVEの追跡が教訓。
2026-06-07
RCE(リモートコード実行)とは — なぜ最悪クラスの脆弱性なのか
RCEは攻撃者がサーバー上で任意のコードを実行できてしまう脆弱性。情報漏洩にとどまらず乗っ取りに直結する最悪クラス。被害範囲は『そのプロセスの権限』で決まる。防御の要は迅速な更新・CVE監視・最小権限。