engineer.notes

try / verify / log

2026.05.20

engineer.notes
engineer.notes // programming, servers, networks, security, AI — engineer's working notes, indexed for later lookup.
検索
カテゴリ

セキュリティ

基本的な対策から設定時の注意点まで、セキュリティを意識するときに見返せる内容をまとめます。

まず押さえたいこと

セキュリティは製品を入れて終わりではなく、認証、権限、更新、ログ、バックアップ、教育を組み合わせて考えます。

よくある入口

VPN、SSO、MFA、ランサムウェア、脆弱性診断、証明書、フォーム対策の記事から読むと実務に結びつきやすいです。

実務で見るポイント

完璧を狙うより、事故が起きやすい入口を減らし、起きた時に気づける設計にすることが現実的です。

セキュリティ プログラミング ソフトウェア 2026.05.20 18

OAuth 2.0 と OpenID Connect (OIDC) の違い — 認可と認証

OAuth 2.0 と OpenID Connect (OIDC) は混同されがちですが、「OAuth 2.0 = API への認可」 と 「OIDC = ユーザーの認証」 で役割がまったく違います。ID トークンとアクセストークンの違い、ユースケース別の使い分け、認可フローの選び方、混同が引き起こす事故パターンを実務目線で整理します。
# セキュリティ # 認証 # OAuth
セキュリティ サーバー ネットワーク 2026.05.20 16

AWS WAF 入門 — CloudFront / ALB / API Gateway 連携と料金

AWS WAF は CloudFront / ALB / API Gateway / AppSync の前段で動く Web Application Firewall。SQL インジェクションや XSS を含む OWASP Top 10 系の攻撃、レート制限、Bot 対策、地理ブロックをマネージドルールで一括導入できます。仕組み、料金、ハマりやすい設定、「いつ入れるべきか」 を整理。
# AWS # セキュリティ # CloudFront
セキュリティ プログラミング ソフトウェア 2026.05.20 14

OWASP Top 10 を実務目線で読む — 10 カテゴリと現場での対策

OWASP Top 10 は 「Web アプリで実際に多い脆弱性カテゴリ 10 個」 を世界中の事例から集計した、Web セキュリティの共通言語です。「仕様書として読む」 のではなく、自社プロダクトの現状チェックリストとして使うのが正しい使い方。2021 版を起点に、各カテゴリで現場が踏みやすい失敗パターンと対策を整理します。
# セキュリティ # SQLインジェクション # XSS
ソフトウェア プログラミング セキュリティ 2026.05.20 5

Cookie の SameSite / Partitioned / 第三者 Cookie 廃止対応

Cookie の SameSite 属性、Partitioned Cookie (CHIPS)、第三者 Cookie 廃止の流れは、現代の Web 開発で必ず押さえる必要があります。SameSite=Lax がデフォルトになって以降の CSRF 対策、SameSite=None + Secure の必須化、Partitioned Cookie による埋め込みウィジェット対応、第三者 Cookie 廃止の現状を実務目線で整理します。
# Chrome # Cookie # SameSite
ソフトウェア セキュリティ 2026.05.20 17

秘密保持契約(NDA)とは?エンジニアが押さえる条項と AI 時代の罠

NDA(秘密保持契約 / Non-Disclosure Agreement)は受託開発・副業・転職面談まで、エンジニアが必ず関わる契約です。「サインしたら何ができなくなるのか」 を理解せずに署名すると、AI ツール利用や転職後の業務で思わぬ違反になることも。「対象情報の範囲」 『 有効期間』 『 目的外利用禁止』 など押さえるべき条項と、AI 時代に増えた 「LLM 入力での漏洩リスク」 を整理します。
# 契約 # AI # 受託開発
セキュリティ プログラミング ソフトウェア 2026.05.20 18

パスキー (WebAuthn) 2026 年版の状況 — 普及・実装・移行戦略

パスキー(WebAuthn / FIDO2)は パスワードの後継 として急速に普及した認証技術です。2026 年時点で 主要 OS / ブラウザ / 大手サービスの対応がほぼ完了 し、「いつ自社サービスに入れるか」 が問われる段階に。普及状況、実装方法、「パスワードからの移行戦略」 を整理します。
# WebAuthn # FIDO2 # 認証
セキュリティ プログラミング ソフトウェア 2026.05.20 12

エスケープとは?HTML / SQL / シェル / JS — 出力先ごとの作法

エスケープは 「出力先の文法に合わせて、特別な意味を持つ文字を無効化する処理」 です。HTML / SQL / シェル / JS / JSON / URL でルールが違うため、「htmlspecialchars すれば全部安全」 のような誤解が事故を生みます。出力先ごとの正しい作法と、サニタイズとの違い、テンプレートエンジン任せにする境界線を実務目線で整理します。
# セキュリティ # プログラミング # SQLインジェクション
セキュリティ サーバー ソフトウェア 2026.05.20 11

AWS IAM ロール / ポリシー / 権限境界 / SCP の使い分け

AWS IAM の ロール / アイデンティティポリシー / リソースポリシー / 権限境界 / SCP / セッションポリシー は、「似ているのに役割が違う」 ので混乱しやすい仕組みです。「どの階層で何を制御するか」 と 「評価ロジック(AND で絞り込み)」 を理解すれば、「必要なところまでだけ権限を絞る」 設計が組めます。実務目線で使い分けを整理します。
# AWS # セキュリティ # 権限管理
セキュリティ プログラミング ソフトウェア 2026.05.20 13

JWT の正しい使い方と落とし穴 — 署名検証・保管・失効

JWT はステートレスで便利な反面、「alg=none」 「署名検証忘れ」 「localStorage 保管で XSS」 「失効できない」 など落とし穴も多いトークン形式です。「JWT を使うと決めた場合」 のベストプラクティス(必須クレーム検証・短命 + Rotation・HttpOnly Cookie・機密データを入れない)と、よくある事故パターンを実務目線で整理します。
# セキュリティ # 認証 # トークン