2026年06月04日

公開鍵基盤とは

質問

公開鍵基盤とは、つまりなに？

【POD】完全準同型暗号の黎明八元数環上の公開鍵暗号 [ 八木澤　正博 ]

価格:1320円
(2026/5/20 20:07時点)
感想(0件)

解答

一言でいうと

公開鍵基盤（PKI: Public Key Infrastructure）は、

「この公開鍵は本当にその相手のものです」

を社会的に証明する仕組みです。

まず公開鍵暗号の問題

公開鍵暗号では：

公開鍵 → みんなに公開
秘密鍵 → 本人だけ保持

ですが、ここで重大問題があります。

問題

例えばあなたが：

「これは銀行の公開鍵です」

と言われても、

本当に銀行のものか分からない。

攻撃者が：

「はい、これ銀行の鍵です」

と偽物を渡せてしまう。

PKIの役割

そこで登場するのが：

信頼できる第三者

です。

これがCA（認証局）。

流れ

① サイトが鍵を作る

例：

example.com
公開鍵生成

② CAが本人確認

CAが：

ドメイン所有
組織情報

など確認。

③ CAが証明書に署名

CAが：

「この公開鍵はexample.comのものです」

と電子署名。

これが：

サーバ証明書

④ ブラウザが検証

ブラウザには最初から：

有名CAの公開鍵

が入っています。

だから：

CA署名を検証
本物判定

できる。

つまりPKIとは

単なる暗号技術ではなく：

認証局
証明書
失効管理
信頼関係

を含めた「社会システム」です。

HTTPSで毎日使ってる

URLの：

鍵マーク

はPKIの成果です。

ブラウザは裏で：

証明書確認
CA確認
署名検証

をしています。

「基盤」って何？

ここ重要です。

単に鍵があるだけではなく：

誰が信頼されるか
どう証明するか
失効した鍵どうするか

などの運用全体が必要。

だから「Infrastructure（基盤）」。

イメージ

PKIは現実世界でいう：

公開鍵 → 印鑑
CA → 市役所の印鑑証明

みたいなもの。

まとめ

PKIとは：

「公開鍵が本物だと証明・運用する仕組み全体」

です。

構成要素：

公開鍵暗号
電子証明書
CA（認証局）
電子署名
失効管理

などを含みます。

ダークウェブ検索できない恐怖の闇動画 [ (趣味/教養) ]

価格:1665円
(2026/1/4 18:04時点)
感想(0件)

にほんブログ村

人気ブログランキング

【下記、広告です。クリックいただけると励みになります。】

posted by モニー at 18:00| Comment(0) | セキュリティ |

|

2026年05月24日

暗号化技術における段数とは？

質問

暗号化技術における段数とはなに？

砂ばくにひそむ悪魔（暗号サバイバル学園　4） [ 山本省三 ]

価格:968円
(2026/5/8 20:26時点)
感想(0件)

鉄壁ハニームーン【電子限定おまけ付き】 3【電子書籍】[ 田中メカ ]

価格:550円
(2026/5/8 20:26時点)
感想(0件)

解答

「段数」は一言でいうと、同じ（または似た）暗号処理を何回重ねているかです。

英語だと “round（ラウンド）” と呼ばれることが多いです。

■ どういう意味か

多くの暗号（特にブロック暗号）は、
1回の処理で一気にランダムっぽくするのではなく、

「少し混ぜる処理」を何回も繰り返す
という構造を取っています。

この「繰り返し回数」が段数です。

■ 具体例イメージ

平文 → 処理1 → 処理2 → 処理3 → … → 暗号文

このとき
・処理1 = 1段
・処理2 = 2段
・…

となります。

■ なぜ段数が必要か

1回の処理だけだと、
パターンや規則性が残ってしまうことが多いです。

段数を増やすことで
・拡散（データ全体に影響を広げる）
・混同（元の関係を分かりにくくする）
が進み、解析しにくくなるというわけです。

■ 例（有名どころ）

・AES → 10〜14ラウンド（鍵長による）
・DES → 16ラウンド

どちらも「1回では足りないから複数回やる」という設計です。

■ 段数を増やせば無限に強いのか？

ここが重要です。

単純に増やせばいいわけではなく、
・処理の設計が弱いと何段やっても弱い
・増やしすぎると遅くなる

つまり、
“適切な段数 × 良い構造”が必要です。

■ まとめ

段数とは
暗号の内部処理を何回繰り返すか（＝ラウンド数）

役割は
少しずつデータをぐちゃぐちゃにして安全性を高めること

ルータ＆パケットフィルタリング

価格:1756円
(2025/7/8 16:57時点)
感想(0件)

にほんブログ村

人気ブログランキング

【下記、広告です。クリックいただけると励みになります。】

posted by モニー at 18:00| Comment(0) | セキュリティ |

|

2026年05月23日

HSTSの設定ってどれくらい重要？

質問

HSTSの設定ってどれくらい重要なんですか？

AI羅針盤業界別活用状況からセキュリティ・ガバナンスまで [ 野村総合研究所 ]

価格:3300円
(2026/5/8 19:55時点)
感想(0件)

実践理解！Webアプリケーションセキュリティ【電子書籍】[ Malcolm McDonald ]

価格:3828円
(2026/5/8 19:55時点)
感想(0件)

解答

結論からいうと、**かなり重要です。ただし「HTTPSをちゃんと運用できていること」が前提で、その上で“最後の抜け穴を塞ぐ安全装置”**という位置づけです。

■ 何を防ぐのか（ここが核心）

HSTSは、ブラウザに
「このサイトは絶対にHTTPで接続するな。常にHTTPSにしろ」
と記憶させる仕組みです。

これで何が防げるかというと、典型はSSLストリッピングです。

ユーザーが http://example.com にアクセス
攻撃者がHTTPSへのリダイレクトを潰す
ユーザーは気づかず平文通信のまま操作

→ HSTSがあれば、最初からHTTPSに強制されるのでこの攻撃が成立しない

■ どれくらい重要か（優先度の位置づけ）

ざっくり優先度でいうと：

HTTPSを正しく導入（証明書・リダイレクト） ← 最優先
CookieのSecure/HttpOnly、CSRF対策
HSTS（ここ）
CSPなど追加の防御

つまり、**“必須級だけど単体では意味がない”**という位置です。

■ 入れないとどうなるか

初回アクセスがHTTPだと攻撃余地が残る
公衆Wi-Fiなどで中間者攻撃に弱くなる

特にログインや個人情報を扱うなら、入れない理由はほぼないです。

■ ただし注意点（ここが落とし穴）

HSTSは強力な分、ミスると復旧が面倒です。

① 一度有効にすると戻しにくい

ブラウザにキャッシュされるので、
設定ミス（証明書期限切れなど）をすると
ユーザーがアクセス不能になることがあります。

② サブドメイン巻き込み

includeSubDomains

を付けると、
全サブドメインがHTTPS必須になります。
未対応のサブドメインがあると事故ります。

③ プリロード

preload

を使うとブラウザにハードコードされます。
→ さらに後戻りしにくい

■ 実務的な安全な入れ方

いきなりフル設定は避けます。

まずHTTPS完全対応を確認
短いmax-ageで開始（例：1日〜1週間）
問題なければ徐々に延ばす
最後に includeSubDomains / preload を検討

■ まとめ

HSTSは中間者攻撃の“最後の穴”を塞ぐ重要機能
ただしHTTPS運用が前提
強力だが設定ミスのリスクも大きいので段階的に導入

一言でいうと、
**「ちゃんと鍵をかけた上で、二重ロックする装置」**です。

IDとパスワードヒント欄のスタンプアカウントノート手帳浸透印シャチハタ式 [7553001]

価格:2980円
(2025/2/7 20:11時点)
感想(0件)

認証と認可　Keycloak入門【電子書籍】[ 中村雄一 ]

価格:4400円
(2026/4/21 21:26時点)
感想(0件)

にほんブログ村

人気ブログランキング

【下記、広告です。クリックいただけると励みになります。】

posted by モニー at 18:00| Comment(0) | セキュリティ |

|

2026年05月20日

SAST、DAST、SCAの違いと使い分け

質問

SAST、DAST、SCAの違いと使い分けを教えて

インターネットは自由を奪う　〈無料〉という落とし穴【電子書籍】[ アンドリューキーン ]

価格:2530円
(2026/5/4 11:19時点)
感想(0件)

解答

この3つは全部「セキュリティテスト」ですが、見ている対象とタイミングがまったく違うのが本質です。

そこを押さえると使い分けはシンプルになります。

まず一言で違い

SAST：ソースコードを読む（内側から）
DAST：動いているアプリを攻撃する（外側から）
SCA：使っているライブラリを調べる（依存関係）

1. SAST（Static Application Security Testing）

何をするか

ソースコードを解析
実行せずに脆弱性を検出

見ているもの

自分で書いたコード

例

SQLインジェクションの可能性
XSSの未エスケープ
危険な関数の使い方

特徴

開発初期から使える
早期検知できる
ただし誤検知が多め

2. DAST（Dynamic Application Security Testing）

何をするか

実際にアプリにリクエストを投げて検査
ブラックボックス的

見ているもの

実行中のアプリの挙動

例

実際にSQLインジェクションが通るか
認証バイパス
セッション管理の不備

特徴

本当に exploitable か分かる
本番に近い状態で検査
カバレッジは限定的（コード全部は見れない）

3. SCA（Software Composition Analysis）

何をするか

依存ライブラリの脆弱性チェック

見ているもの

OSS / 外部パッケージ

例

古いライブラリに既知の脆弱性
ライセンス違反

特徴

最も見落としがちだが重要
脆弱性の多くは依存関係由来
自分のコードは見ない

違いを一枚で

項目	SAST	DAST	SCA
対象	自作コード	実行中アプリ	外部ライブラリ
方法	静的解析	動的テスト	依存解析
タイミング	開発中	テスト/運用前	常時
強み	早期発見	実害確認	既知脆弱性網羅
弱点	誤検知多い	網羅性低い	ゼロデイ見えない

使い分け（ここが本質）

結論から言うと：

どれか1つでは不十分。全部使うのが前提

その上で役割分担します。

開発初期〜実装中

→ SAST + SCA

コード書いた瞬間にチェック
ライブラリの危険も同時に検知

テスト段階

→ DAST追加

実際に攻撃して確認
誤検知を減らす

運用中

→ SCA継続 + DAST定期実行

新しい脆弱性（CVE）に追従
本番環境での挙動チェック

よくある誤解

「DASTだけやればいい」

→ ダメです

理由：

コード内部の問題は見えない
到達できない経路は検査されない

「SASTだけで十分」

→ これも危険

理由：

実際に exploit できるか分からない
環境依存の問題は見えない

「SCAはおまけ」

→ これは完全に間違い

現実は：

脆弱性の大半は「依存ライブラリ」

です。

現実的な最適構成

バランスのいい構成は：

PR時：SAST + SCA
CI：SAST（軽量）
ステージング：DAST
定期：SCA再スキャン

一言でまとめ

SAST → 「書いた瞬間に防ぐ」
DAST → 「本当に壊れるか試す」
SCA → 「他人のコードを疑う」

Gitが、おもしろいほどわかる基本の使い方33改訂新版 [ 大串肇 ]

価格:2200円
(2025/4/7 11:42時点)
感想(0件)

にほんブログ村

人気ブログランキング

【下記、広告です。クリックいただけると励みになります。】

posted by モニー at 10:00| Comment(0) | セキュリティ |

|

2026年05月15日

量子暗号とは

質問

量子暗号とは何？

暗号技術のすべて【電子書籍】[ IPUSIRON ]

価格:3850円
(2026/5/2 11:27時点)
感想(0件)

橋元流解法の大原則　力学・熱力学試験で点がとれる物理（大学受験Vブックス） [ 橋元淳一郎 ]

価格:1650円
(2026/5/2 11:26時点)
感想(0件)

解答

「量子暗号」はざっくり言うと、量子力学の性質を使って“盗聴が必ずバレる通信”を実現する技術です。

今の暗号の多くは数学の難しさに依存していますが、量子暗号は物理法則そのものに依存します。

コアの考え方（なぜ盗聴がバレるのか）

量子の世界には重要な性質があります：

観測すると状態が変わる（測定問題）
未知の量子状態はコピーできない（ノー・クローニング定理）

これを通信に使うと、

誰かが途中で覗こうとすると、その行為自体が通信内容を乱す

ので、受信側は「おかしい」と気づけます。

代表例：BB84プロトコル（イメージ）

送信者が、偏光（例：縦/横 or 斜め）の違う光子でビット列を送る
受信者はランダムな基底で測定する
後で「どの基底を使ったか」だけを公開チャネルで照合
一致した部分だけを取り出して共有鍵にする
一部を検査してエラー率を確認
- エラーが高い → 盗聴の可能性 → 鍵を破棄

ここで重要なのは：

データそのものではなく、安全な鍵を作る仕組みであること

何をしている技術なのか

量子暗号の実体はほぼこれです：

QKD（Quantum Key Distribution：量子鍵配送）

安全に鍵を共有する
その鍵で通常の暗号（AESなど）を使う

つまり、

量子暗号 = 通信全体を量子でやるわけではない
鍵交換だけを量子で強化する

従来暗号との違い

観点	従来暗号	量子暗号
安全性の根拠	数学的困難性	物理法則
盗聴検知	基本できない	できる
破られる可能性	将来の計算力に依存	原理的に困難
実装コスト	低い	高い（専用機器）

よく混同されるもの

1. 量子暗号 vs ポスト量子暗号

量子暗号
→ 量子力学を使う（物理レイヤー）
ポスト量子暗号
→ 量子コンピュータでも破れない数学暗号

これは全く別です。

メリット

盗聴が検知できる
将来の量子コンピュータでも安全性が揺らぎにくい
理論的には「情報理論的安全性」に近い

現実の制約

ここは冷静に見た方がいい部分です。

1. 距離制限

光ファイバで数十〜数百km程度
長距離は中継が必要（量子リピータはまだ発展途上）

2. 専用ハードが必要

単一光子源
検出器
高精度機器

3. 速度

鍵生成速度が低い

4. 実装の弱点

理論は強いですが、

検出器の癖
サイドチャネル攻撃

などで破られた実例もあります。

どこで使われているか

政府・軍事通信
金融機関間の専用回線
一部の実験的商用ネットワーク

ただしインターネット全体で使われているわけではありません。

まとめ

量子暗号は
「盗聴するとバレる」鍵交換技術（QKD）
安全性は数学ではなく物理法則に依存
通信そのものではなく鍵配送に使う
実用にはまだ制約が多い

デジタルテクノロジーと国際政治の力学【電子書籍】[ 塩野誠 ]

価格:2420円
(2026/3/13 20:23時点)
感想(0件)

サイトリライアビリティワークブック SREの実践方法 [ Betsy Beyer ]

価格:5060円
(2025/5/8 10:50時点)
感想(0件)

にほんブログ村

人気ブログランキング

【下記、広告です。クリックいただけると励みになります。】

posted by モニー at 16:00| Comment(0) | セキュリティ |

|

2026年05月14日

ISAKMPとは

質問

ISAKMPとはなに？
そもそも何の略？

コスプレ仮装キングダムハーツソラキーブレード 81cm Disguise 仮装用武器防具剣ナイフ子供ハロウィン

価格:11944円
(2026/4/29 11:08時点)
感想(0件)

解答

ISAKMPは少しややこしいですが、整理するとこうです。

ISAKMP（Internet Security Association and Key Management Protocol）は、
「セキュリティパラメータ（SA）と鍵管理のための“枠組み（フレームワーク）」です。

まず略称

ISAKMP = Internet Security Association and Key Management Protocol

Internet → インターネットで使う
Security Association（SA） → セキュリティ設定のまとまり
Key Management → 鍵管理
Protocol → 通信手順

何をするものか

重要なのはここです。

「どうやって交渉するか」を定義するプロトコル

具体的には：

相手とどんな暗号を使うか
鍵をどう扱うか
セッション（SA）をどう管理するか

の**ルール（フォーマットや手順）**を決めています。

IKEとの関係（ここが混乱ポイント）

よくある誤解：

ISAKMP = IKE → ❌違う

正しくは：

ISAKMP → 枠組み（プロトコルの骨組み）
IKE → 実装（実際に鍵交換する仕組み）

イメージ

ISAKMP = ルールブック（どう話すか）IKE    = 実際の会話内容（何を話すか）

IKEはISAKMPの上で動いています。

もう少し具体的に

ISAKMPが定義しているのは：

メッセージ構造
ペイロード形式
交換手順の枠組み

一方IKEは：

Diffie-Hellmanを使う
認証方法
鍵生成方法

などを具体的に決めています。

SA（Security Association）とは

ISAKMPでよく出る概念：

通信のセキュリティ設定のセット

例：

暗号方式（AES）
ハッシュ（SHA-256）
鍵
有効期限

これを「SA」として管理します。

現代での位置づけ

正直に言うと：

IKEv1では「ISAKMP」という言葉がよく出る
IKEv2ではほぼ意識されない

つまり：

歴史的には重要だが、実務では「IKEの一部」として扱われることが多い

まとめ

ISAKMPは
鍵交換やSA管理のための“枠組みプロトコル”
IKEは
その枠組みを使った具体的な鍵交換プロトコル
両者は
役割が違う（骨組み vs 中身）

一言で言うと：

ISAKMPは「交渉のルール」、IKEは「そのルールに沿った実際の交渉」

中小企業のIT担当者必携本気のセキュリティ対策ガイド【電子書籍】[ 佐々木伸彦 ]

価格:2178円
(2023/12/11 23:56時点)
感想(0件)

ゼロトラストアーキテクチャ入門 [ 東根作成英 ]

価格:2662円
(2025/5/26 11:02時点)
感想(1件)

にほんブログ村

人気ブログランキング

【下記、広告です。クリックいただけると励みになります。】

posted by モニー at 18:00| Comment(0) | セキュリティ |

|

2026年05月06日

ワンタイムパッドとは

質問

ワンタイムパッドとは何？

単純な脳、複雑な「私」（ブルーバックス） [ 池谷裕二 ]

価格:1430円
(2026/5/2 12:12時点)
感想(3件)

解答

ワンタイムパッド（One-Time Pad, OTP）は、理論上“完全に解読不可能”な暗号方式です。条件を厳密に満たせば、どんな計算力でも破れません。

① 仕組み（超シンプル）

送信者と受信者が**同じ長さのランダムな鍵（パッド）**を事前に共有
平文と鍵をビットごとにXORするだけ

例（イメージ）：

平文:  101100鍵:    011011暗号文:110111（XOR）

復号：

暗号文 ⊕ 鍵 = 平文

② なぜ“絶対安全”なのか

鍵が完全ランダムで、かつ一度しか使われない場合：

暗号文からは元の平文の情報が一切漏れない
どんな平文も同じ確率であり得る

→ これを情報理論的安全性といいます

③ 成立条件（ここが超重要）

この3つがすべて満たされないと安全ではありません：

鍵が完全ランダム
鍵の長さ＝メッセージの長さ
鍵は一度しか使わない（再利用禁止）

④ なぜ実用でほぼ使われないのか

理由はシンプルに運用が地獄だからです。

鍵を事前に安全に配るのが大変
メッセージと同じ長さの鍵が必要
再利用すると一気に破られる

→ 鍵管理が現実的じゃない

⑤ 使われる場面

完全に消えたわけではなく：

スパイ・外交
極秘通信（限定的）

→ 「絶対に破られたくない」場面

⑥ 他の暗号との違い

AESやRSA
→ 計算的に安全（時間がかかるだけ）
ワンタイムパッド
→ 理論的に完全安全

まとめ

ワンタイムパッド＝完全ランダム鍵＋XOR
条件を満たせば絶対に解読不可能
ただし鍵配布と管理が現実的でない

Djangoのツボとコツがゼッタイにわかる本［第3版］ [ 大橋亮太 ]

価格:2860円
(2026/4/5 14:14時点)
感想(0件)

Djangoのツボとコツがゼッタイにわかる本［第3版］ [ 大橋亮太 ]

価格:2860円
(2026/4/5 14:14時点)
感想(0件)

にほんブログ村

人気ブログランキング

【下記、広告です。クリックいただけると励みになります。】

posted by モニー at 17:00| Comment(0) | セキュリティ |

|