linkの墓場

未整理リンク置き場

• パスキーだけでは不十分？　証券各社が目指す「パスワードレス」への長い道のり

• 行政サービスにおける利用者視点導入ガイドブック

• セキュリティ対応組織の教科書 第3.2.1版 (2025年10月)

• それ、本当に安全？ ファイルアップロードで見落としがちなセキュリティリスクと対策

• Kali Linux Blog: Kali LLM (Claude Desktop)

• PR TIMES: 000000006.000146070

• GitHub: koala73/worldmonitor

• SHA-256 Algorithm

• NICT CYNEX: WP_MAinSO (PDF)

• JPCERT/CC Blog: windows-1

• Cybozu Labs News: 000095

• Dokploy

• Ethernet-TSN Archives

• RouteCrush Lab - ネットワーク学習プラットフォーム

• 「金融機関のサードパーティ・サイバーセキュリティリスク管理強化に関する調査」報告書等の公表について

• サイバーセキュリティ人材フレームワークに関する検討会

• axios ソフトウェアサプライチェーン攻撃の概要と対応指針

• CRYPTREC暗号リスト(電子政府推奨暗号リスト)

• 「サイバーインフラ事業者に求められる役割等に関するガイドライン」の日本語版・英語版を策定しました

• デジタル社会推進標準ガイドライン

• GhostWolfLab/APT-Individual-Combat-Guide

• ガバメントクラウドのシステム間認証に用いるシークレットの利用可否判断基準

• スクリーニング | EDINET DB

• Shadowbroker

• If you can’t explain something in simple terms, you don’t understand it

• Mutual Declaration Mechanism of Multi-provider Relationship for Trusted Web Services

• SecHole

• X: @ysk_motoyama / status 2031860887087431900

No.01

• クラウドストライク、AI時代を生き抜く新機能群を続々発表

要約
CrowdStrike Falcon Platformにおける新機能発表を起点に、Falcon ShieldやFalcon Cloud Security、クラウドリスクエンジンなどを確認した。SSPM単体ではなく、EDR、CASB、クラウドリスク管理、攻撃者インテリジェンスを統合する方向性として評価。統合により検知・優先順位付け・対応の価値は高まるが、ライセンス費用も上がりやすいため、FAIRモデル等で低減リスクと費用対効果を比較すべきという整理にした。

No.02

• AIに全部やらせたら月$0.5で回せるようになった話

要約
X投稿を起点に、AIを用いたセキュリティ診断自動化の主張について評価した。低コストで診断らしき処理を回せる点は実験価値がある一方、実務上はスコープ制御、誤検知・見逃し、攻撃許可、ログ保全、再現性、説明責任、成果物品質、顧客同意などが論点になる。単なる自動実行ではなく、APTS的な統制、証跡、レビュー、境界管理を備えて初めて業務利用を検討できるという評価。

No.03

• 試験内容・試験日程 | 個人情報保護士認定試験

要約
個人情報保護士認定試験について、試験範囲、出題内容、制度上の位置付け、実務価値を確認した。個人情報保護法、マイナンバー法、安全管理措置、委託先監督、第三者提供、漏えい報告などを体系的に学ぶ資格として、法務・総務・情シス・セキュリティ部門の基礎知識整理には有用。一方で、専門職としての市場価値や高度なセキュリティ実装能力を直接証明する資格ではなく、実務経験や他資格との組み合わせが重要と整理。

No.04

• Claude Code Skills × 投資分析シリーズ - 記事一覧

要約
Claude Code Skillsを用いた投資分析シリーズを起点に、AIと投資判断の活用について調査した。銘柄探索、分析、ポートフォリオ管理、リスク評価、GraphRAG、マルチエージェント、DeepThink型の反証プロセスなどが中心。実務利用では、AIに投資判断を丸投げするのではなく、データ取得元、前提、反証、シナリオ分析、判断ログを管理することが重要。投資助言・金融規制・誤情報リスクを踏まえ、意思決定支援として使うべきと評価。

No.05

• note記事。会話上の主題は Microsoft Teams / Safe Links / URL露出問題

要約
note記事の真偽確認として、Microsoft Teamsのメッセージリンク、Safe Links、URLエンコードされた本文断片の露出可能性を検討した。論点は、Teamsでコピーしたリンクにメッセージ本文の一部が含まれ、組織外へ共有された場合に、アクセス権限がなくてもURL文字列から情報の一部を観測できるかどうか。問題の本質は「外部から無差別収集できるか」よりも、共有・転送・ログ記録・プロキシ・メール経由でURLが漏れた際の情報露出リスクにあると整理。

No.06

• Cloudflare、AIエージェントがメールの送受信を行える「Cloudflare Email Service」パブリックベータで公開

要約
Cloudflare Email Serviceのパブリックベータ公開について内容を確認した。従来のEmail Routingが転送中心だったのに対し、Email ServiceはアプリケーションやAIエージェントからメール送受信を扱える点が特徴。MCPサーバやエージェント連携を前提にした設計も確認した。業務利用では、メール送信権限、なりすまし防止、承認フロー、監査ログ、誤送信防止、機密情報処理などが重要で、AIエージェントに自由送信させる設計は慎重に扱うべきと評価。

No.07

• 仮題: 証跡DB設計 / Control Standards 93 Evidence DB Design

要約
証跡DB設計を、SharePoint、Microsoft Lists、M365アプリ群、Jira等で代替・実現できるか検討した。主題は、セキュリティ統制基準と実装基準に対応する証跡を、個別チェックリストではなく、検索・追跡・承認・更新履歴管理できるデータ構造として持てるかどうか。Listsは簡易DB的に使えるが、件数制限、リレーション、権限設計、監査証跡、添付ファイル管理に注意が必要。Jiraはワークフロー管理に強いが証跡台帳としては設計が要る。

No.08

• 仮題: Checklist Fatigue and Accountability

要約
チェックリスト疲弊と説明責任をテーマにした記事として読み込み、現代のサイバーセキュリティ確認のあり方を検討した。論点は、個別システムごとの膨大なチェックリスト回答を証跡代わりにする運用の限界。AI時代・複雑化したシステム環境では、開発部門や事業責任者が「なぜセキュアと言えるのか」を証跡付きで説明できる構造が重要。チェックリストは主役ではなく、統制基準・実装基準・証跡体系に従属する確認観点として扱うべきと整理。

No.09

• 仮題: Enterprise Evidence Architecture

要約
Enterprise Evidence Architectureの考え方を読み込み、組織横断でセキュリティ説明責任を果たすための証跡設計として検討した。個別チェックリストや一時的なExcel回答ではなく、統制基準、実装基準、証跡、責任者、承認、更新履歴、例外管理を構造化して管理する発想が中心。これにより、2線の確認負荷を下げつつ、1線が自ら説明可能な状態を作れる。ServiceNow、SharePoint、Jira等との役割分担も論点になった。

No.10

• OWASP/APTS: OWASP Autonomous Penetration Testing Standard

要約
OWASP APTSを読み込み、自律型ペネトレーションテスト基盤のためのガバナンス標準として評価した。これは攻撃手法の標準ではなく、自律実行される診断・テストを安全、透明、境界内、説明可能に運用するための統制フレームワーク。スコープ強制、安全な自律性、操作耐性、監査可能性、説明責任が中心であり、AI診断や自動脆弱性検査を業務導入する際の前提統制として有用。単なるAI自動化の危うさを補う基準として位置付けた。

No.11

• サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）

要約
IPAのSCS評価制度を詳細確認した。制度はサプライチェーン全体のセキュリティ対策状況を可視化する枠組みで、発注側が取引先リスクを判断し、受注側が必要な対策水準を把握する目的を持つ。会話では、事業会社やシステム子会社が自ら星を取る必要があるのか、委託先に求めるものなのか、星4要求事項をどう整理するかを検討した。結論として、発注者側にとっても自社基準や委託先評価基準へのマッピング価値が高いと整理。