engineer.notes

try / verify / log

2026.05.20

engineer.notes
engineer.notes // programming, servers, networks, security, AI — engineer's working notes, indexed for later lookup.
検索
カテゴリ

セキュリティ

基本的な対策から設定時の注意点まで、セキュリティを意識するときに見返せる内容をまとめます。

まず押さえたいこと

セキュリティは製品を入れて終わりではなく、認証、権限、更新、ログ、バックアップ、教育を組み合わせて考えます。

よくある入口

VPN、SSO、MFA、ランサムウェア、脆弱性診断、証明書、フォーム対策の記事から読むと実務に結びつきやすいです。

実務で見るポイント

完璧を狙うより、事故が起きやすい入口を減らし、起きた時に気づける設計にすることが現実的です。

セキュリティ サーバー ソフトウェア 2026.05.20 15

AWS Cognito とは?User Pool と Identity Pool の違いと使いどころ

AWS Cognito は AWS が提供するマネージドな認証/認可サービス。User Pool(ユーザー管理 + 認証)と Identity Pool(AWS リソースへの一時クレデンシャル発行)の 2 つで構成され、混同しやすいのが最初の壁です。仕組み、OIDC 対応、料金、「Cognito を選ぶべき場面」 を整理します。
# AWS # IdP # 認証
セキュリティ サーバー ソフトウェア 2026.05.20 12

S3 公開設定の落とし穴と OAC への移行 — 誤公開事故を防ぐ構成

Amazon S3 の 「公開バケット」 は、機密データ漏洩事故の代表的な原因です。「Public Access Block」 を解除しないまま CloudFront + OAC(Origin Access Control)経由で配信するのが現代の標準。旧 OAI からの移行手順、よくある事故パターン、安全な構成の組み立て方を実例ベースで整理します。
# AWS # セキュリティ # CloudFront
セキュリティ プログラミング ソフトウェア 2026.05.20 16

サニタイズとは?エスケープ・バリデーションとの違いと実務での使い分け

サニタイズは 「入力や出力から危険な要素を取り除いて無害化する処理」 ですが、エスケープやバリデーションと混同されがちです。XSS / SQL インジェクション / コマンドインジェクション / Prompt Injection といった代表的な攻撃に対し、「どこで何をやるか」 を間違えると簡単に事故ります。3者の違いと、実務でどう向き合うかを整理します。
# セキュリティ # SQLインジェクション # XSS
フレームワーク ソフトウェア セキュリティ 2026.05.15 16

Next.js 2026年5月セキュリティリリースまとめ|13件の脆弱性とアップグレード手順

2026年5月に Vercel が公開した Next.js セキュリティリリースは、認可バイパス・SSRF・XSS・DoS・キャッシュポイズニングを含む 13件の脆弱性を一括修正しました。「WAF では完全対策にならない、パッチングが唯一の方法」 と公式が明言しており、緊急アップグレードが推奨されます。修正内容、推奨バージョン、移行手順を整理します。
# Next.js # セキュリティ # CVE
セキュリティ プログラミング ソフトウェア 2026.05.15 24

Mini Shai-Hulud Worm とは?2026年5月に判明した npm / PyPI 大規模サプライチェーン攻撃を解説

2026年5月12日に The Hacker News が報じた 「Mini Shai-Hulud」 ワームは、TanStack / Mistral AI / Guardrails AI などを含む npm / PyPI 170以上のパッケージを侵害したサプライチェーン攻撃です。CVE-2026-45321(CVSS 9.6)に紐づくこの事件の手口、被害規模、開発チームが今すぐやるべき対策を整理します。
# セキュリティ # npm # サプライチェーン攻撃