https://takao.blog/ja/categories/security/Recent content in Security on たかおの解説Hugo -- gohugo.iojaたかおの解説Sat, 13 Jun 2026 23:11:50 +0900https://takao.blog/ja/web/owasp-zap-advanced-2026/Tue, 09 Jun 2026 00:00:00 +0900https://takao.blog/ja/web/owasp-zap-advanced-2026/<img src="https://takao.blog/img/thumnail.webp" alt="Featured image of post OWASP ZAP 2026年版：高度なスキャンとCI/CD統合" /><h2 id="基本スキャンを超えて">基本スキャンを超えて </h2><p>OWASP ZAPは2026年、シンプルなプロキシスキャナーからセキュリティ自動化プラットフォームへと進化を遂げています。強力なAPI、スクリプト可能な自動化フレームワーク、CI/CDへの深い統合を備えています。基本的な使い方については<a class="link" href="https://takao.blog/web/owasp-zap/" >以前のOWASP ZAPインストールガイド</a>を参照してください。この記事では、チームで規模を拡大してセキュリティテストを実行するための高度なワークフローを紹介します。</p>https://takao.blog/ja/web/hugo-latest-csp-best-practices-2026/Fri, 05 Jun 2026 00:00:00 +0900https://takao.blog/ja/web/hugo-latest-csp-best-practices-2026/<img src="https://takao.blog/img/thumnail.webp" alt="Featured image of post Hugoを用いたブログサイトにおける最新のCSP設計方針" /><h2 id="静的サイトにおけるcspの重要性">静的サイトにおけるCSPの重要性 </h2><p>Hugoで構築された静的サイトは動的アプリケーションより本質的に安全ですが、アクセス解析、広告、埋め込みコンテンツのためにサードパーティスクリプトを実行します。**Content Security Policy（CSP）**は、読み込み可能なリソースを制御することで、XSSやデータインジェクション、悪意のあるスクリプト実行から訪問者を保護します。</p>https://takao.blog/ja/web/security-content-security-policy-csp-report-only/Fri, 15 May 2026 00:00:00 +0900https://takao.blog/ja/web/security-content-security-policy-csp-report-only/<img src="https://takao.blog/img/thumnail.webp" alt="Featured image of post 本番サイトを壊さずにCSPをテストする Content-Security-Policy-Report-Only の運用" /><h2 id="ウィジェットが壊れる問題">ウィジェットが壊れる問題 </h2><p>Content Security Policy（CSP）の導入はXSS対策として最も効果的な方法のひとつです。しかし、ディレクティブの設定を一箇所間違えるだけでインラインスクリプトが止まり、CDNリソースがブロックされ、アナリティクスが動かなくなる可能性があります。本番環境にいきなり <code>Content-Security-Policy</code> ヘッダーを適用してクリティカルなスクリプトが遮断されると、サイトは静かに壊れます。</p>https://takao.blog/ja/web/security-jwt-vs-session-auth/Fri, 20 Mar 2026 00:00:00 +0900https://takao.blog/ja/web/security-jwt-vs-session-auth/<img src="https://takao.blog/img/thumnail.webp" alt="Featured image of post JWT（Json Web Token）認証と従来型セッション管理のセキュリティ比較" /><h2 id="はじめに">はじめに </h2><p>認証はすべてのWebアプリケーションの根幹です。<strong>ステートレスなJWT（JSON Web Token）認証</strong>と<strong>ステートフルなセッション型認証</strong>は、どちらも「リクエストのたびに誰であるかを確認する」という目的を果たしますが、ストレージ方式、失効（revocation）、セキュリティ特性において根本的に異なります。本記事では両者を詳細に比較し、アプリケーションに適した方式を選択するための指針を提供します。</p>https://takao.blog/ja/web/web-security-dnssec-spf-dkim-dmarc/Sun, 15 Feb 2026 00:00:00 +0900https://takao.blog/ja/web/web-security-dnssec-spf-dkim-dmarc/<img src="https://takao.blog/img/thumnail.webp" alt="Featured image of post ドメイン認証の基本：SPF、DKIM、DMARCを設定してなりすましメールを防ぐ" /><h2 id="はじめに">はじめに </h2><p>メールの送信ドメイン認証は、<strong>なりすまし防止</strong> と <strong>迷惑メール判定の回避</strong> に不可欠です。<strong>SPF</strong>、<strong>DKIM</strong>、<strong>DMARC</strong> という3つのDNSベースの標準規格を組み合わせることで、自社ドメインからのメールが正当であることを受信サーバーに証明できます。本記事では各技術の役割と、Cloudflare や主要DNSプロバイダーでの設定手順を解説します。</p>https://takao.blog/ja/web/web-security-http-headers-cors/Mon, 15 Dec 2025 00:00:00 +0900https://takao.blog/ja/web/web-security-http-headers-cors/<img src="https://takao.blog/img/thumnail.webp" alt="Featured image of post CORS（オリジン間リソース共有）エラーのメカニズムと適切なサーバー応答" /><h2 id="はじめに">はじめに </h2><p><strong>CORS（Cross-Origin Resource Sharing）</strong> は、ブラウザが異なるオリジン間のリソースアクセスを制御するセキュリティ機構です。<code>https://app.example.com</code> から <code>https://api.example.org</code> へのリクエストは、デフォルトで <strong>同一オリジンポリシー</strong> によりブロックされます。CORS は HTTP ヘッダーを通じてこの制限を安全に緩和します。本記事では CORS の全体像、プリフライトリクエストの仕組み、そしてエラーの解決策を解説します。</p>https://takao.blog/ja/web/security-dependency-vulnerabilities-npm-audit/Sat, 15 Nov 2025 00:00:00 +0900https://takao.blog/ja/web/security-dependency-vulnerabilities-npm-audit/<img src="https://takao.blog/img/thumnail.webp" alt="Featured image of post 依存ライブラリのセキュリティ監査：npm auditとSnykによる自動対策" /><h2 id="サプライチェーンのリスク">サプライチェーンのリスク </h2><p>現代の JavaScript アプリケーションは数万に及ぶ推移的依存関係（transitive dependencies）を抱えています。そのひとつひとつが攻撃ベクトルになり得ます。2018年の <strong>event-stream</strong> インシデントでは、悪意あるパッケージが人気ライブラリの依存関係に忍び込み、多くのプロジェクトに影響を与えました。この規模を手動でレビューすることは現実的ではありません。</p>https://takao.blog/ja/web/security-csrf-tokens-samesite-cookies/Mon, 25 Aug 2025 00:00:00 +0900https://takao.blog/ja/web/security-csrf-tokens-samesite-cookies/<img src="https://takao.blog/img/thumnail.webp" alt="Featured image of post CSRF攻撃を防ぐためのSameSite属性と認証トークンの正しい設計" /><h2 id="はじめに">はじめに </h2><p>Webアプリケーションの認証管理において、Cookie（クッキー）は非常に便利な仕組みです。セッションIDをCookieに保存しておくことで、ブラウザはリクエストのたびに自動的に認証情報をサーバーへ送信してくれます。</p>https://takao.blog/ja/web/security-csp-strict-dynamic-implementation/Sun, 15 Jun 2025 00:00:00 +0900https://takao.blog/ja/web/security-csp-strict-dynamic-implementation/<img src="https://takao.blog/img/thumnail.webp" alt="Featured image of post Content Security Policy (CSP) で 'strict-dynamic' を採用するメリット" /><h2 id="はじめに">はじめに </h2><p>クロスサイトスクリプティング（XSS）の有効な対策として導入される <strong>Content Security Policy (CSP)</strong> ですが、実際に運用しようとすると、外部スクリプトのロード設定が非常に複雑になるという課題に直面します。</p>https://takao.blog/ja/web/security-basics-xss-prevention/Tue, 25 Feb 2025 00:00:00 +0900https://takao.blog/ja/web/security-basics-xss-prevention/<img src="https://takao.blog/img/thumnail.webp" alt="Featured image of post Web開発におけるXSS（クロスサイトスクリプティング）の防御原則" /><h2 id="はじめに">はじめに </h2><p>Webセキュリティにおいて、<strong>XSS（クロスサイトスクリプティング：Cross-Site Scripting）</strong> は、最も古くから存在し、かつ現在でも被害件数の絶えない深刻な脆弱性の一つです。</p>https://takao.blog/ja/web/subresource-integrity/Fri, 20 Dec 2024 00:00:00 +0900https://takao.blog/ja/web/subresource-integrity/<img src="https://takao.blog/img/thumnail.webp" alt="Featured image of post Subresource Integrity：CDN依存関係を保護する" /><p>Subresource Integrity（SRI）は、ブラウザがCDNやサードパーティオリジンから取得したリソースの改ざんを検証するセキュリティ機能です。British AirwaysのMagecart侵害、Polyfill.ioのサプライチェーン侵害など、サプライチェーン攻撃が増加する現代において、SRIは読み込んだリソースが開発者の意図したものであることを暗号学的に保証します。</p>https://takao.blog/ja/web/secure-cookies/Mon, 09 Dec 2024 00:00:00 +0900https://takao.blog/ja/web/secure-cookies/<img src="https://takao.blog/img/thumnail.webp" alt="Featured image of post セキュアクッキー設定：Web開発者完全ガイド" /><p>クッキーは、Webにおいて最も頻繁に誤設定されるセキュリティコントロールの1つです。たった1つの属性が欠けているだけで、セッションハイジャック、CSRF、クロスサイト情報漏洩のリスクが生じます。モダンブラウザはデフォルト設定を厳格化していますが、各属性を理解し適切に組み合わせて多層防御を実現することが不可欠です。</p>https://takao.blog/ja/web/sql-injection-prevention/Tue, 01 Oct 2024 00:00:00 +0900https://takao.blog/ja/web/sql-injection-prevention/<img src="https://takao.blog/img/thumnail.webp" alt="Featured image of post SQLインジェクション対策：最新のデータベースセキュリティガイド" /><p>SQLインジェクションは数十年の認識がありながら、今なおOWASP Top 10にランクインしています。2023〜2024年には医療、eコマース、政府機関でSQLiを悪用した重大な情報漏洩が発生しました。古典的な<code>' OR 1=1 --</code>攻撃はよく知られていますが、二次注入、ブラインドSQLi（時間ベース・真偽値ベース）、帯域外抽出などの最新亜種も増加しています。予防策は周知されているにもかかわらず、レガシーコード、ORMの誤用、テスト自動化の不足により実行が不十分なのが現状です。</p>https://takao.blog/ja/web/vaultwarden-ssh-key/Thu, 20 Jun 2024 00:00:00 +0000https://takao.blog/ja/web/vaultwarden-ssh-key/<img src="https://takao.blog/img/thumnail.webp" alt="Featured image of post Vaultwarden/BitwardenでSSHキーを管理する方法" /><h2 id="なぜパスワードマネージャーでsshキーを管理するのか">なぜパスワードマネージャーでSSHキーを管理するのか </h2><p>SSHキーはリモートサーバーやGitプロバイダー、内部インフラへの認証の標準手段です。しかし、多くの開発者は<code>~/.ssh/</code>に平文ファイルとして保存し、保護も同期も監査もされていない状態で運用しています。SSHキーをVaultwarden（またはBitwarden）に移すことで、以下の3つの問題が解決します。</p>https://takao.blog/ja/web/webauthn-passkeys/Tue, 02 Apr 2024 00:00:00 +0900https://takao.blog/ja/web/webauthn-passkeys/<img src="https://takao.blog/img/thumnail.webp" alt="Featured image of post WebAuthnとパスキー：2024年のパスワードレス認証" /><p>パスワードは数十年にわたってWeb認証の主要な仕組みでしたが、セキュリティとユーザビリティに多くの問題を抱えています。WebAuthn（Web Authentication）とパスキーエコシステムは、暗号学的に安全でフィッシング耐性のある認証を実現します。2024年現在、主要プラットフォームすべてがパスキーをサポートしており、パスワードレス認証を導入する絶好のタイミングです。</p>https://takao.blog/ja/web/vaultwarden-install/Fri, 15 Mar 2024 00:00:00 +0000https://takao.blog/ja/web/vaultwarden-install/<img src="https://takao.blog/img/thumnail.webp" alt="Featured image of post Vaultwarden：セルフホスト型パスワードマネージャー導入ガイド" /><h2 id="vaultwardenとは">Vaultwardenとは </h2><p>Vaultwardenは、BitwardenサーバーAPIをRustで再実装したオープンソースのセルフホスト型パスワードマネージャーです。公式のBitwardenサーバーがMicrosoft SQL Serverと大量のリソースを必要とするのに対し、Vaultwardenは非常に軽量で、低スペックなVPSやRaspberry Piでも快適に動作します。すべての公式Bitwardenクライアント（デスクトップアプリ、ブラウザ拡張、モバイルアプリ、CLI）と互換性があります。</p>https://takao.blog/ja/web/oauth-oidc/Mon, 29 Jan 2024 00:00:00 +0900https://takao.blog/ja/web/oauth-oidc/<img src="https://takao.blog/img/thumnail.webp" alt="Featured image of post OAuth 2.0とOpenID Connect：モダンな認証ガイド" /><p>OAuth 2.0とOpenID Connectは、モダンなWeb認証・認可の基盤を形成しています。広く使われているにもかかわらず、これらのプロトコルは誤解され、誤設定されることが多く、予防可能なセキュリティ脆弱性を生み出しています。本ガイドでは、アプリケーションに安全な認証を統合するための基本概念、実装パターン、セキュリティベストプラクティスを解説します。</p>