判断ログ:開くだけのソフトが、怖い時代
■ 要約(最小限) 文書閲覧ソフトの脆弱性が既に悪用されており、更新未適用の端末は乗っ取りリスクがある。 ■ 抽象化された論点 ■ 判断軸(10年使える形) 1. 「受動的入力」を処理するソフトは最優先で守る 2. 「悪…
-
-
クラウド移行で“同じことをしているのに不安になる”理由
近年、AWSのようなクラウドサービスを活用する企業はますます増えている。企業単位に限らず、同一企業内でもプロダクトごとにクラウドを使い分けるケースは一般的になってきた。 先日関わったCRM基盤のリプレース案件でも、データ…
-
暗号化しているのに漏れる理由 ― 本当に怖いのは鍵管理
「○○方式で暗号化しています」 設計書にこの一文があると、なんとなく安心した気持ちになります。しかし、レビューをしている立場からすると、実はそこはスタート地点にすぎません。 私が本当に気にしているのは、「何で暗号化してい…
-
AIがコードを書くなら、レビューは不要か?
NECがAIコードレビューサービス「Metabob」を導入し、バグ検出や修正工数の削減を進めているというニュースがありました。 これを見て、こんな疑問を持つ人もいるかもしれません。 そもそもコードをAIに書かせるなら、レ…
-
設計書レビューで見るセキュリティの視点
前回の記事で「キラキラした専門職」という言葉を使いましたが、世間一般がイメージするセキュリティ対策は、WAFやIDSなどの防御系ツールやウィルス対策ソフトだと思います。確かにこれらは重要ですが、「それだけで十分か?」と問…
-
セキュリティレビューという仕事のリアル
セキュリティレビューとは 私はセキュリティレビューの仕事をしています。 セキュリティというと、最新技術を駆使して攻撃を防ぐ、いわゆる“キラキラした専門職”をイメージする人もいるかもしれません。しかし私の仕事は少し違います…