🛡️ 第17章:守る力:セキュリティ対策の基礎
こんにちは、守山しずくです🌸
これまでの章では「攻撃者がどんなことをするのか」をたっぷり見てきましたね。
今回はその逆、 「どうすれば守れるのか?」という“防御”の視点 から、セキュリティ対策の基本を一緒に見ていきましょう!
✅ セキュリティ対策の3本柱(C・I・A)
まずは、セキュリティの基本となる考え方「CIA(シー・アイ・エー)」です。
-
C(機密性 / Confidentiality)
→ 誰にでも見られてはいけない情報を守る -
I(完全性 / Integrity)
→ データが改ざん・破損されていないことを守る -
A(可用性 / Availability)
→ 必要なときにちゃんと利用できる状態を保つ
セキュリティ対策はこの3つを軸に考えると整理しやすいです。
🔐 対策①:アクセス制御(誰が・どこまで見れるか)
- パスワードは強く&定期変更
- アカウントごとに権限を分ける(管理者・一般など)
- 退職者のアカウントはすぐに削除
- VPNやIP制限で社外からのアクセスをブロック
📦 対策②:入力チェックとサニタイズ
- フォームからの入力には必ずバリデーション
- 特殊文字(< > ' ")はHTMLエスケープ
- ファイルアップロードは拡張子チェックとウイルススキャン
→ XSSやSQLiの対策はここから!
🔐 対策③:通信の暗号化(HTTPS化)
- WebサービスはTLS(SSL)を導入し「https://」に
- メールやファイル送信にも暗号化を
→ 通信内容が盗まれても解読されにくくなります
🧱 対策④:サーバーとネットワークの強化
- 不要なポートは閉じる(例:telnetやFTP)
- ファイアウォールで通信制限
- OSやミドルウェアは常にアップデート
- SSHログインはパスワード→公開鍵方式へ切り替える
🧼 対策⑤:ログと監視
- ログをしっかり残す(アクセスログ、エラーログ)
- 異常があったらすぐ通知される仕組み(SIEMや監視ツール)
- 誰がいつ何をしたのかを“見える化”する
✅ 身近なセキュリティ意識も大事!
- 不審なリンクは絶対クリックしない
- USBやファイルは出所を確認する
- 社内外での会話・スクリーンにも注意!
- パスワードをメモ帳に書かない!
✅ まとめ
- 攻撃を知ったからこそ、防御の大切さがわかる
- CIAの観点で守るべきポイントを整理しよう
- 入力チェック、暗号化、アクセス制御、ログ監視が基本
- 技術と意識、両方が“守る力”になる!
次回は、 「第18章:脆弱性報告とバグバウンティ」 です📢
攻撃を見つけたらどうすればいいの?“責任ある報告”と“報奨金制度”について学びましょう!
💬 フォローしてくれたら、「守れる人」になるための知識を毎日お届けします♪