Claude Code でホワイトリスト形式で読み取り・書き込み制限
qiita.com
- Claude Codeのサンドボックス設定を避けつつ、リポジトリやルートへの不正な読み書きを制限する方法についてのメモ。 - 具体的な設定方法や、公式ドキュメントを参照する際の注意点についても触れられている。 - セキュリティ意識の高い開発者、またはClaude Codeの利用でアクセス権限を細かく制御したいエンジニア向け。
合同会社DMM.com naka_kyon
Mac の /tmpの片隅で、誰にも知られず生成されるファイル zeb_def_ipc_ への短い考察
qiita.com
- Macの/tmpディレクトリ内に見慣れないファイル群「zeb_def_ipc_」が生成されている事象について考察する記事です。 - これらのファイルは、誰にも知られず、予期せぬ形で生成される可能性があり、その原因や影響について探求します。 - システムの挙動やデバッグに関心のあるエンジニア、特にmacOS環境での開発者やインフラ担当者向けです。
合同会社DMM.com naka_kyon
SOC 2 監査に耐えうる特権管理: 「代理操作」を支えるアイデンティティ分離と実装パターン
zenn.dev
・B2B SaaSや業務システムで頻繁に発生する「顧客の代理操作」という要件について、SOC 2監査にも対応可能な安全な仕組みを構築するための設計思想と実装パターンを解説します。 ・特に、マルチテナント環境におけるアイデンティティ分離と、それを用いた「代理操作」の実現方法に焦点を当てています。 ・SaaS開発者、インフラエンジニア、セキュリティ担当者、プロダクトマネージャーなど、システム運用やセキュリティに関わるエンジニアや担当者向けの記事です。
株式会社ログラス Satoshi Kobayashi
GTIG AI 脅威トラッカー: 敵対的な使用を目的とした AI モデルの抽出(蒸留)、実験、(継続的な)統合
cloud.google.com
- 敵対的なAIモデルの抽出(蒸留)、実験、統合が増加しており、脅威アクターは偵察、ソーシャルエンジニアリング、マルウェア開発を加速させています。 - モデル抽出攻撃(蒸留攻撃)は知的財産窃盗の手法として増加しており、Google はこれを検出し、阻止、軽減する措置を講じています。 - 国家支援を受けた攻撃者はAIを活用してフィッシングメールの生成、標的のプロファイリング、コーディング、ツール開発などを強化しており、HONESTCUEのようなAI統合型マルウェアも登場しています。
グーグル・クラウド・ジャパン合同会社 <name>Google Threat Intelligence Group </name><title></title><department></department><company></company>
最前線からのガイダンス: SaaS を標的とした ShinyHunters を標榜するデータ盗難に対する予防的防御
cloud.google.com
SaaS(Software as a Service)を標的としたサイバー攻撃「ShinyHunters」の脅威拡大について、その予防策と対応策を解説します。 本記事は、ソーシャルエンジニアリングによる認証情報侵害から多要素認証(MFA)の迂回に至る攻撃手法を詳述し、迅速な封じ込め、セキュリティ強化、ロギング、検出の具体的なベストプラクティスを提示します。 IT管理者、セキュリティ担当者、インフラ担当者向けに、組織のSaaS環境を保護するための実践的なガイダンスを提供します。
グーグル・クラウド・ジャパン合同会社 <name>Mandiant </name><title></title><department></department><company></company>
アクセスを目的としたビッシング: ShinyHunters を標榜する SaaS データ窃取の拡大を追跡
cloud.google.com
- ShinyHuntersを名乗る攻撃者が、ビッシング(音声フィッシング)と偽の認証情報収集サイトを用いて、企業からSaaSアプリケーションの認証情報を窃取し、機密データを盗み出している。 - この攻撃はソーシャルエンジニアリングに依存しており、フィッシングに強い多要素認証(MFA)への移行の重要性が強調されている。 - 攻撃者はIDプロバイダやSaaSプラットフォームを標的とし、窃取したデータを用いて恐喝を行っており、手口がエスカレートしている兆候がある。
グーグル・クラウド・ジャパン合同会社 <name>Mandiant </name><title></title><department></department><company></company>
2025 年における Google Play と Android アプリのエコシステムを安全に保つための取り組み
blog.google
Google PlayとAndroidアプリのエコシステムを2025年にかけて安全に保つための取り組みについて解説しています。 この情報は、Androidアプリ開発者、Google Playの運営関係者、セキュリティ担当者、およびプラットフォームの健全性に関心のあるIT担当者向けです。
グーグル合同会社 <name>Vijaya Kaza</name><title>VP and GM, App & Ecosystem Trust</title><department/><company/>
世界屈指の「ランサムウェアに金を払わない国」なはずの日本にサイバー攻撃が増えている理由【上原哲太郎&増田幸美】
levtech.jp
- 世界的にランサムウェアへの支払いをしない国とされる日本で、サイバー攻撃が増加している背景を解説しています。 - 企業や組織のセキュリティ担当者、経営層、サイバーセキュリティに関心のあるすべての人。 - 日本におけるランサムウェア攻撃の現状と、それに立ち向かうための対策について理解を深めることができます。
レバレジーズ株式会社 レバテックLAB
NIST(米国国立標準技術研究所)がAIエージェントの技術標準を作る取り組み「AI Agent Standards Initiative」発表。相互運用可能かつ安全なイノベーションのために
www.publickey1.jp
・米国国立標準技術研究所(NIST)が、相互運用可能で安全なAIエージェントの開発を促進するための「AI Agent Standards Initiative」を発表しました。 ・この取り組みはNIST内の「CAISI」が主導し、AIシステムの標準化とイノベーションを目指しています。 ・AI開発者、研究者、セキュリティ専門家、規制当局、およびAI技術に関心のあるすべての人々向けの記事です。
Publickey jniino
Anthropic、ルールベースではなく、コード分析により複雑な脆弱性も発見できる新機能「Claude Code Security」を提供開始
www.publickey1.jp
Anthropicは、コードの脆弱性を検出する新機能「Claude Code Security」をリサーチプレビューで提供開始しました。 この機能は、従来のルールベースではなく、人間のセキュリティ専門家のようにコードを分析することで、複雑な脆弱性も発見できる点が特徴です。 セキュリティエンジニア、プラットフォームエンジニア、コーポレートエンジニアなど、コードの安全性を重視する技術者向けの記事です。
Publickey jniino
Go パッケージのサプライチェーン攻撃を防ぐ CI を作ってみた #sendaigo
speakerdeck.com
Go言語のパッケージにおけるサプライチェーン攻撃を防ぐためのCI(継続的インテグレーション)構築について解説した記事です。 * Go言語のパッケージ開発者、CI/CDに携わるエンジニア * セキュリティに関心のある開発者 * サプライチェーン攻撃のリスクを低減したい組織
Google Distributed Cloud、エアギャップ環境でパブリック クラウドのようなネットワーキングを実現
cloud.google.com
Google Distributed Cloud (GDC) エアギャップ 1.15 では、エアギャップ環境におけるセキュリティを維持しながら、パブリック クラウドのようなネットワーキング機能を提供する新機能がプレビュー版で登場しました。Cloud NAT によるアウトバウンド トラフィック管理、標準クラスタの接続性向上、ロードバランサでの高度な HTTP/HTTPS ヘルスチェック、そしてサブネット管理の簡素化が主な改善点です。 この記事は、エアギャップ環境でのクラウド活用とセキュリティの両立に課題を抱える、インフラエンジニア、ネットワークエンジニア、セキュリティエンジニア、およびプロダクトマネージャーを対象としています。
グーグル・クラウド・ジャパン合同会社 <name>Philip Bai</name><title>Product Manager</title><department></department><company></company>
安全でオープンな主権のあるデジタル世界の実現
cloud.google.com
Google Cloud は、安全でオープンなデジタル世界の実現を目指し、各国の規制や顧客のニーズに対応する「Google Sovereign Cloud」ポートフォリオを拡張しました。 この取り組みは、インフラ投資、デジタルレジリエンス、データ管理、オープンソース支援、サイバーセキュリティの5つの柱に基づいています。 この記事は、政府機関、企業、市民など、デジタル主権とクラウドインフラに関心のあるすべての人々を対象としています。
グーグル・クラウド・ジャパン合同会社 <name>Jai Haridas</name><title>VP/GM, Regulated and Sovereign Cloud, Google Cloud</title><department></department><company></company>
オープンソースの公式サポート終了後も、最小限のコストで安全に脆弱性対応を可能にする「TuxCare ELS」提供開始[PR]
www.publickey1.jp
オープンソースソフトウェアの公式サポート終了後も、最小限のコストで安全に脆弱性対応を可能にする「TuxCare ELS」が提供開始されました。 OSやランタイムのアップデートサイクルの問題と、アプリケーションのライフサイクルとの乖離により発生するサポート終了のリスクに対処します。 システム運用者や、長期間ソフトウェアを保守する必要がある担当者向けの記事です。
Publickey jniino
「公共部門における AI の ROI」に関する初の調査から見えた主要なポイント
cloud.google.com
* **AIの公共部門におけるROI調査:** 公共部門におけるAI、特にAIエージェントの導入が進んでおり、生産性向上やセキュリティ強化で具体的な成果が出ていることが、Google Cloudが委託した調査で明らかになりました。 * **AIエージェントの重要性と将来性:** 多くの公共部門リーダーがAIエージェントを活用しており、将来のAI予算の大部分をAIエージェントに配分する予定であることから、その重要性が示唆されています。 * **導入の促進要因:** 生産性向上(70%)やセキュリティ強化(79%)といった具体的なROIが示される一方で、導入にはエグゼクティブスポンサーシップが不可欠であることが指摘されています。
グーグル・クラウド・ジャパン合同会社 <name>Katharyn White</name><title>Director of Marketing, Public Sector</title><department></department><company>Google Cloud</company>
プロダクション レディな AI を導入してマルチモーダルの新境地を生き抜く
cloud.google.com
Google Cloudは、プロダクションレベルのAI導入とマルチモーダルAIの最先端技術に焦点を当てた、2日間の専門ワークショップとロードショーを北米各地で開催します。1日目は、AIアプリケーションの安定性、セキュリティ、スケーラビリティに重点を置き、マルチエージェントオーケストレーション、データドリブン評価、セキュリティ強化について学びます。2日目は、リアルタイムインタラクション、ビジョン、音声処理といったマルチモーダルAIの技術を探求し、同時認識、RAGを超えたインテリジェンス、ストリーミングAPIの活用に焦点を当てます。 この記事は、エンタープライズ規模のAI課題解決や、次世代のマルチモーダルAIイノベーションを目指すアーキテクト、エンジニア、AI開発者を対象としています。 参加者は、AIの未来を構築するための実践的な知識、コード、Google Cloudクレジット、そしてネットワーキングの機会を得ることができます。
グーグル・クラウド・ジャパン合同会社 <name>Christina Lin</name><title>Developer Relations Engineering Manager</title><department></department><company></company>
Future Mode パート 1: 企業向けのインテリジェントで安全なブラウザ
cloud.google.com
・Chrome Enterpriseは、AI機能を統合したインテリジェントで安全なブラウザの将来像について解説しています。 ・このブラウザは、従業員の生産性向上、タスク自動化、機密データ保護を目的としており、企業向けの機能として提供予定です。 ・IT担当者は、AIのメリットを享受しつつ、セキュリティを確保するための管理ツールや、Googleの先進的なAIモデルを活用できるようになります。
グーグル・クラウド・ジャパン合同会社 <name>Mark Berschadski</name><title>Director, Product Management</title><department>Chrome Enterprise</department><company>Google</company>
コミュニティと共に成長する実践的なセキュリティ知識、LINE CTF
techblog.lycorp.co.jp
LINEヤフー株式会社が主催するグローバルセキュリティ技術大会「LINE CTF」について紹介する記事です。 この大会は、実践的なセキュリティ知識をコミュニティと共に深めることを目的としています。 セキュリティエンジニアやCTFに関心のある技術者向けの内容です。
より高度なデータ暗号化の制御を実現する Single-tenant Cloud HSM の一般提供を開始
cloud.google.com
Google Cloudは、高度な規制が求められる分野で機密性の高いデータを扱う組織向けに、Single-tenant Cloud HSMの提供を開始しました。このサービスは、物理的なHSMパーティションを顧客専用に提供し、暗号鍵への完全な管理権限を顧客に与えることで、第三者によるアクセスを排除し、厳格なコンプライアンス要件を満たします。 - 金融、医療、防衛などの業界で、クラウド環境でのデータ保護とコンプライアンス遵守に課題を抱える組織。 - 物理的なハードウェア管理の負担なく、高い可用性とスケーラビリティを備えた暗号鍵管理ソリューションを求める組織。 - セキュリティを犠牲にすることなく、運用負荷を軽減し、データに対する管理権限を維持したい組織。
グーグル・クラウド・ジャパン合同会社 <name>Jai Rad</name><title>Engineering Manager, Google Cloud Security</title><department></department><company></company>
RSA 暗号をざっくり理解して暗号化と復号をやってみる
zenn.dev
RSA暗号の仕組みを、巨大な数の素因数分解の困難性に基づいて解説。 暗号化と復号で異なる鍵が使われる理由や、公開鍵暗号と電子署名における公開鍵の役割の違いについて、高校数学レベルの知識で理解できるよう図解。 - RSA暗号の基本原理(素因数分解の困難性) - 公開鍵暗号と電子署名における鍵の使い分け - 高校数学レベルで理解できる解説 対象読者: - RSA暗号の仕組みを理解したいエンジニア - 公開鍵暗号や電子署名の概念を学びたい方 - 数学的な背景から暗号技術を理解したい学生や開発者
株式会社アルダグラム tsunacan
さくらのクラウド、ガバメントクラウドの条件クリアまであと3つまで到達。残りは統制やセキュリティ認証、オブジェクトストレージなどの一部に
www.publickey1.jp
さくらのクラウドがガバメントクラウドの条件クリアに近づいています。 残りは統制、セキュリティ認証、オブジェクトストレージの一部です。 政府機関やクラウドインフラに携わるエンジニア、セキュリティ担当者向けのニュースです。
Publickey jniino
ホーム ネットワークに潜む脅威: 世界最大級の住宅用プロキシ ネットワークの活動を阻止
cloud.google.com
Googleは、世界最大級の住宅用プロキシネットワーク「IPIDEA」の活動を停止させる措置を講じました。このネットワークは、不正行為者が悪意のある活動を隠蔽するために悪用されており、サイバー犯罪や情報操作などに利用されていました。 本記事は、住宅用プロキシの仕組み、IPIDEAネットワークの解体、そして一般ユーザーや業界関係者への推奨事項について解説しています。 この記事は、セキュリティ担当者、ネットワーク管理者、およびインターネットの安全性に関心のあるすべての人々向けです。
グーグル・クラウド・ジャパン合同会社 <name>Google Threat Intelligence Group </name><title></title><department></department><company></company>
Claude CodeやGemini CLIなどのコーディングエージェントを安全に使えるMicroiVMベースの分離環境「Docker Sandbox」。WindowsとMacに対応
www.publickey1.jp
Docker Desktopに、Claude CodeやGemini CLIのようなコーディングエージェントを安全に実行するためのMicroVMベースの分離環境「Docker Sandbox」機能が追加されました。 この機能は、開発者が自身のマシン環境を壊すリスクなしに、これらのエージェントを利用できるように設計されています。 対象読者は、コーディングエージェントの安全な利用方法に関心のある開発者です。
Publickey jniino
エージェント型AIの使用で仕事の満足度が向上、一方でAIツールの増加で複雑性が増しているなど。GitLabが日本国内の開発、セキュリティ、運用担当者を対象にした調査結果
www.publickey1.jp
・GitLabの調査によると、エージェント型AIの利用はDevSecOps専門家の仕事満足度向上に寄与している。 ・一方で、AIツールの増加は業務の複雑性を増大させる可能性も指摘されている。 ・本記事は、AIとITエンジニアの働き方に関心のある開発者、セキュリティ担当者、運用担当者、およびリサーチャー向けの内容です。
Publickey jniino
小規模チームのためのパスワード管理術:Bitwarden で「脱・エクセル」を目指す
qiita.com
- 小規模チームや個人事業主が複数人でアカウントを共有する際の課題について解説しています。 - Excelでのパスワード管理から脱却し、Bitwardenのようなパスワードマネージャーの導入を推奨しています。 - チームでのアカウント共有における混乱やセキュリティリスクを回避したい個人事業主や小規模チーム向けの記事です。
Qiita株式会社 acronhub
WinRAR の重大な脆弱性 CVE-2025-8088 を悪用する多様な脅威アクター
cloud.google.com
・WinRARの重大な脆弱性CVE-2025-8088が悪用され、多様な攻撃者に利用されています。 ・この脆弱性は、ファイル圧縮時のパス トラバーサルを利用し、システム上の任意の場所にファイルを書き込むことが可能です。 ・国家支援型(ロシア、中国関連)および金銭目的の攻撃者により、スパイ活動やマルウェア配布に悪用されています。
グーグル・クラウド・ジャパン合同会社 <name>Google Threat Intelligence Group </name><title></title><department></department><company></company>
Net-NTLMv1 に終止符を: プロトコル廃止を加速させるレインボー テーブルの公開
cloud.google.com
Net-NTLMv1プロトコルは20年以上前から非推奨とされていますが、依然として稼働中の環境で発見されることがあります。Mandiantは、この脆弱なプロトコルからの移行を加速させるため、Net-NTLMv1レインボーテーブルを公開しました。これにより、攻撃者は低コストのハードウェアでも容易に認証情報を窃取できるようになり、組織は迅速な対策が求められます。 この記事は、セキュリティ担当者、インフラエンジニア、およびネットワーク管理者向けです。 * Net-NTLMv1の脆弱性と、レインボーテーブル公開によるリスク増大について解説します。 * 攻撃者がどのようにNet-NTLMv1ハッシュを取得し、パスワードを復元するかの技術的な詳細が示されています。 * Net-NTLMv1を無効化し、認証強制攻撃を防ぐための具体的な対策手順が解説されています。
グーグル・クラウド・ジャパン合同会社 <name>Mandiant </name><title></title><department></department><company></company>
AuraInspector: Salesforce Aura の監査によるデータ漏洩の検出
cloud.google.com
Salesforce Auraフレームワークにおけるアクセス制御の不備によるデータ漏洩リスクを特定・監査するためのオープンソースツール「AuraInspector」が公開されました。 このツールは、構成ミスやGraphQLを用いたレコード取得制限の回避などを自動検出し、セキュリティ管理者が潜在的な脆弱性を迅速に把握し、対策を講じることを支援します。 セキュリティエンジニア、バックエンドエンジニア、インフラエンジニア向けの記事です。
グーグル・クラウド・ジャパン合同会社 <name>Mandiant </name><title></title><department></department><company></company>
サイバーセキュリティ月間2026にあわせた過去記事のご案内
note.com
「サイバーセキュリティ月間2026」に合わせて、過去に医療情報機関向けに発信したサイバーセキュリティに関する記事をまとめた案内です。 - サイバーセキュリティ月間の取り組みについて - 医療情報機関向けのサイバーセキュリティ情報発信 - 過去記事の参照案内