HOME
DevOps Institute DevSecOps Foundation

「DevOps Institute DevSecOps Foundation」の記事一覧

「クレデンシャルスタッフィング（Credential Stuffing）」攻撃とは何か。

ユーザーがパスワードを使い回す傾向を悪用し、ある場所で漏れた情報を別の場所で試す攻撃。

2026年3月8日

「サプライチェーン攻撃」において、Typosquatting（タイポスクワッティング）とはどのような手口か。

開発者の入力ミス（Typo）を待ち構え、悪意のあるライブラリを取り込ませようとする攻撃手法。

2026年3月8日

「SOAR（Security Orchestration, Automation and Response）」ツールの目的はどれか。

SIEM等からのアラートを受け、チケット起票や一次対応（IPブロック等）を自動化し、分析官の負荷を下げる。

2026年3月8日

「12-Factor App」の原則における「設定（Config）」の扱い方はどれか。

環境ごとに異なる設定（DB接続先、APIキー等）はコードから追い出し、環境変数として注入することでポータ…

2026年3月8日

「データ損失防止（DLP）」ツールの主な役割はどれか。

DLPはデータの移動を監視し、ポリシー違反となる情報の持ち出しや流出を水際で阻止する。

2026年3月8日

クラウドにおける「IAMロール」と「IAMユーザー」の違いにおけるベストプラクティスはどれか。

永続的なクレデンシャル（アクセスキー）は漏洩リスクが高いため、リソースにはIAMロール（一時的権限）を…

2026年3月8日

GraphQL APIのセキュリティリスクとして特有のものはどれか。

GraphQLはクライアントが必要なデータを自由に指定できるため、ネストの深いクエリ等でサーバーのリソース…

2026年3月8日

「ゴールデンパイプライン」の定義として適切なものはどれか。

組織のセキュリティ基準を満たすことが保証された、標準化されたデリバリー経路のこと。これを通ることで…

2026年3月8日

「Distroless（ディストロレス）」コンテナイメージを使用するセキュリティ上のメリットはどれか。

必要最小限のランタイムしか含まないため、アタックサーフェスが極小化されるが、シェルがないためデバッ…

2026年3月8日

「IaC（Infrastructure as Code）」スキャンツール（tfsec, Checkov等）で検出できるものはどれか。

IaCスキャンは、インフラをデプロイする前のコード段階で、危険な設定（Misconfiguration）が含まれていな…

2026年3月8日