セキュリティ基礎
このタグの記事 6 件
Windows 10をまだ使っている人へ:サポート終了後のセキュリティリスク
Windows 10は2025年10月14日でサポート終了済み。使い続ける最大のリスクは『見つかっても二度と直らない穴(forever-day)』が積み上がり、攻撃者に狙われやすくなること。個人向けESU延長は2026年10月13日までの1年だけ・セキュリティ修正のみの時間稼ぎ(無料の登録ルートあり、ただしEEA初年度無料は日本対象外)。本筋はWindows 11への移行か機器更新で、ESUはその移行を終わらせるまでの橋として使う。
バックアップの基本:3-2-1ルールとランサムウェアに耐える復元計画
バックアップは『取ってある』では不十分で、『復元できると確認済み』だけが本物。基本=3-2-1ルール(3コピー・2種類のメディア・1つはオフサイト)。さらにランサム対策には、常時接続でない『オフライン/不変(immutable)』のコピーが少なくとも1つ要る——常時繋がったバックアップは本体ごと暗号化される。クラウド同期はバックアップではない(誤削除や暗号化も同期する)。世代管理と定期的な復元テストまでが運用。
二要素認証(MFA)の正しい選び方:SMSより強い「フィッシング耐性」とは
MFAは『パスワードが漏れても入られない』ための二重ロックだが、何を付けたかで強さが3段違う。SMS/メールはフィッシング中継・SIMスワップで破られる弱い方式、認証アプリ(TOTP)は中、パスキー/物理キー(FIDO2)は偽サイトに出せない『フィッシング耐性』で別格。最優先は王国の鍵(メール・ドメイン・決済)にフィッシング耐性MFAをかけること。リカバリーコードの保管とバックアップ手段の用意までが正しい運用。
中規模〜大規模組織のセキュリティ最低限:チームで守る標準の土台
規模が上がると最低限は『チェックリスト』から『オーナーのいるプログラム』に変わる。優先順位は個人版と同じ=①アイデンティティ②秘密とサプライチェーン③アプリと基盤④検知と対応+横断の人とガバナンス。最大の変化は、事故の主因が『うっかり』から『人・プロセス・退職者の権限・第三者』へ移ること。
パスワードをGoogleドライブに保存するのは安全?正しい保管方法
平文のGoogleドキュメント/スプレッドシートにパスワードを一覧保存するのは危険。理由=Googleアカウント1つが全パスワードの単一障害点になり、乗っ取り・不正連携アプリ・フィッシングで一気に全部漏れる。正解は専用パスワードマネージャ(端末間でも中身は暗号化)。どうしてもDriveを使うなら暗号化済みの管理ファイルだけ+アカウントにフィッシング耐性MFA。
個人開発・小規模運営のセキュリティ最低限:業界標準の対策を全部セットで
最低限の対策は『全部同じ重さ』ではない。当サイトの優先順位=①王国の鍵(多要素認証・ドメイン・メール)②秘密とコード③アプリ本体④パッチ・検知・復元。リソースが有限な個人は、この順で上から埋めるのが正解。多くの事故は新種の攻撃ではなく、この土台の抜けから起きる。