.avif)
Dania Durnas
Dania Durnasによるブログ投稿
GitHub Actions セキュリティチェックリスト(完全版)
2025年および2026年に発生した大規模なサプライチェーン攻撃の背景には、GitHub Actionsの設定ミスが存在していました。ここでは、何が問題だったのか、そして自組織で同様の事態を防ぐ方法について解説します。
Mythosへの移行に向けた実用的なCTO向けセキュリティチェックリスト
「Mythos」や自律型AIによる脅威が横行する世界において、SaaS企業のCTOが実践すべきチェックリスト。防御側の強み――つまり、攻撃者が入手するのに手間がかかる「文脈」を自チームがすでに把握しているという利点――を軸に構成されています。他者に先駆けて問題を特定し、修正できるかどうかを左右する、セキュリティ対策、実践手法、および運用上の習慣について解説します。
ブラウザ拡張機能をサプライチェーン攻撃の経路として扱うべき時が来た
Vercelでのセキュリティ侵害は、セキュリティ業界ではよく知られたパターンに沿ったものでした。つまり、サードパーティのコードが暗黙のうちに信頼され、その後、上流で侵害されるというものです。私たちには、こうした事態に対処するためのフレームワークがあります。ただ、まだブラウザ拡張機能には適用していないだけです。(ネタバレ:私たちはソフトウェア依存関係これを行っています)
セキュリティチームはいかにAIを活用したハッカーに反撃するか
AIはハッカーの参入障壁を劇的に下げました。これは防御側にとって何を意味するのか、そして継続的なAIペンテストがどのように状況を変えるのかを説明します。
AIペンテストはコンプライアンスとどのように連携しますか?
AIペネトレーションテストは、SOC 2、ISO 27001、HIPAAにおいて認められつつあり(今後さらに増える可能性が高い)、監査人が実際に何に注目しているのか、また実際の限界はどこにあるのかについて解説します。
なぜ決定論はセキュリティにおいて依然として必要なのか
AIスキャンはルールが見落とすものを見つけます。決定論的スキャンは毎回それを見つけます。最高のセキュリティパイプラインが、なぜどちらか一方を選ぶのではなく、両方を活用するのか、その理由を説明します。
スロップスクワッティングとは何か? 既に発生しているAIパッケージ幻覚攻撃
AIモデルがnpmパッケージ名を幻視する。攻撃者が先に登録する。これがスロープスクワッティングの実態だ。エージェントスキルを通じて拡散する仕組みと、防御策を解説する。
なぜOpenClawのセキュリティ強化を試みるのに無理があるのか
OpenClawのセキュリティ問題解説:ClawHub内のマルウェア、露出したインスタンス、そしてなぜハードニングガイドが見落とすのか。AIエージェントを安全に使用できますか?
今すぐ、安全な環境へ。
コード、クラウド、ランタイムを1つの中央システムでセキュアに。
脆弱性を迅速に発見し、自動的に修正。
