ネットワークの基礎
透過型ファイアウォール、SNI、DoH/QUIC、C2通信など、ネットワークセキュリティの基礎を学べる解説記事。
DNSフィルタリングとドメインフィルタリングの違い — 名前を「どの層で」見るか
DNSフィルタリングとドメインフィルタリング(SNI/Host検査)の違いを整理します。どちらも「ドメイン名」で通信を制御しますが、見る場所と効く範囲が異なります。それぞれの仕組み・長所・限界と、補完関係としての使い分けまで。
読むIoT・複合機・監視カメラ — 「忘れられたデバイス」の外向き通信を見落とさない
複合機・監視カメラ・入退室管理などのIoTデバイスは、対策ソフトを入れられず更新もされにくい「忘れられた通信主体」です。なぜ盲点になるのか、接続先が固定的なデバイスと許可リストの相性、観測から始める棚卸しの進め方を解説します。
読む初見ドメインはなぜ危険シグナルになるのか — newly observed domain という指標
「このネットワークで初めて見る宛先」=初見ドメイン(newly observed domain)がなぜ不審な通信の検知に効くのかを解説します。攻撃インフラの使い捨て性と業務通信の反復性、効きやすい環境、誤検知への向き合い方と運用への組み込みまで。
読むランサムウェアの外部通信 — 暗号化の前に起きていること
ランサムウェア被害は暗号化の瞬間に始まるのではありません。C2確立・内部偵察・データ持ち出し(二重恐喝の材料)という外部通信の段階を経て進行します。出口で見える・絞れる機会と、ネットワーク対策単独では防げない限界を解説します。
読むサプライチェーン攻撃と依存パッケージ — npm・PyPI などの取得先を管理する
npm・PyPIなどの依存パッケージ経由のサプライチェーン攻撃が現実の脅威になっています。ビルド・開発環境の「取得先」を管理するという考え方、インストール時スクリプトの外向き通信の監視、取得先制御では防げない領域まで整理します。
読むC2通信とは?外向き通信と beacon 検知の基本
マルウェアが攻撃者の指示を受け取るC2(Command & Control)通信の基本を解説します。なぜC2は内から外への通信として現れるのか、beacon(定期通信)検知の観点、宛先制御による防御の考え方と、正規サービス悪用という限界まで。
読む情報持ち出し(exfiltration)の典型経路 — トンネル・paste・webhook と出口対策
情報持ち出し(データ漏えい)の典型経路を整理します。トンネルサービス・paste系サイト・webhookがなぜ通常のファイアウォールを通り抜けるのか、宛先制御・初見検知・監査証跡という出口対策の考え方と限界まで。
読むDoHとQUICで何が見えにくくなる?社内ネットワーク可視性の基礎
DoH(DNS over HTTPS)とQUICが社内ネットワークの可視性に与える影響を解説します。DNSログやフィルタが効かなくなる仕組み、DoHリゾルバの制御やQUIC遮断という企業での現実解、プライバシーとの両立まで。
読むfail-closed と fail-open — セキュリティ機器の障害時、通信を止めるか通すか
回線に直列に入るセキュリティ機器が故障したとき、通信を止める(fail-closed)か通す(fail-open)か。それぞれの意味とリスク、回線の性格による使い分け、HWバイパスという折衷案、導入前に合意しておくべき事項を整理します。
読むTLSを復号しないフィルタリングとは?MITM型との違いと使いどころ
HTTPSが主流になり「中身が見えない」時代のフィルタリングには、TLSを復号するMITM型(SSLインスペクション)と、復号せず接続先ドメイン単位で制御する方式があります。それぞれの仕組み・代償・選び方を整理します。
読むSNIによるドメイン制御の仕組みと限界 — ECH時代に向けて
TLSのSNIを使ったドメイン単位のフィルタリングの仕組みを解説します。なぜSNIは平文で見えるのか、ホスト名単位・共有CDNという限界、ECH(Encrypted ClientHello)でSNIが見えなくなる流れと現実的な備えまで。
読む透過型ファイアウォールとは?ブリッジモードとルータ型の違い
透過型ファイアウォール(ブリッジモード)とルータ型の違いを解説します。なぜルータ型はIP設計の変更が必要なのか、L2で挟む透過型は何が省けるのか、bump-in-the-wireの意味、向くケース・向かないケースまで。
読む