- 1. AWS EC2でサーバを構築 7 – セキュリティ対策
- 2. PGが学ぶ情報セキュリティ
- 3. 【LinuxSecurity】全ての一般ユーザのログインを禁止する
- 4. サイトのセキュリティ上の脅威
- 5. 個人でAWSのアカウントを作成してみた
- 6. [月次配信] 月次攻撃サービスの統計及び分析 – 2020年3月
- 7. 【図解まるわかり セキュリティのしくみ】本の感想を書く
- 8. 大切なことはすべてUbuntuが教えてくれた 無人アップグレードを知りましょう
- 9. AWS入門する前に知って良かったこと
- 10. AWSセキュリティ・サバイバルガイド2020
- 11. 日本のサービスに追加したいReserved Username
- 12. Ubuntu 19.10 Eoan Ermine でのセキュリティアップデート方法
- 13. Electron + TypeScript でセキュリティを気にしてみる
- 14. Android Studio のAndroid Emulatorの通信をBurpを使ってパケットキャプチャする
- 15. NXP SE050検証(AWS IoT Multi-Account Registration接続テスト)(NXP SE050 AWS IoT connection test by using Multi-Account Registration)
- 16. NXP SE050検証(テストWEBサーバーへの接続)(NXP SE050 WEB server connection test)
- 17. NXP SE050検証(証明書プロビジョニング)(NXP SE050 certificate provisioning)
- 18. NXP SE050検証(I2C経路暗号化)(NXP SE050 encrypting I2C transmission)
- 19. 【SC試験対策】鍵を利用した暗号化とディジタル署名の図解と具体例
- 20. CEHのECEクレジット取得方法
AWS EC2でサーバを構築 7 – セキュリティ対策
## 概要
EC2上に構築したサーバを運用するうえで必要となるセキュリティ対策です。
前回までの記事でサーバ構築が完了していることが前提です。
## セキュリティグループ
AWSのセキュリティグループがファイアウォールの役割を果たします。
外部公開が必要となるポートだけをインバウンドルールに追加します(**不要なポートを開けないように**)。
### インバウンドルール
|タイプ|プロトコル|ポート範囲|ソース|
|—|—|—|—|
|SSH|TCP|22|0.0.0.0/0|
|HTTP|TCP|80|0.0.0.0/0|
|HTTPS|TCP|443|0.0.0.0/0|
|SMTP|TCP|25|0.0.0.0/0|
|SMTPS|TCP|465|0.0.0.0/0|
|IMAPS|TCP|993|0.0.0.0/0|
|POP3S|TCP|995|0.0.0.0/0|> SMTPSが有効でも、25/tcpを許可しないとメール送受信ができないので注意してください。
## Fail2ban
`/var/log`にある様々なログを監視し、アクセ
PGが学ぶ情報セキュリティ
#情報セキュリティとは
ISO/IEC27001に、明確に定義されています。**情報の機密性,完全性及び可用性を維持すること**
# セキュリティの三要素
情報セキュリティの定義に記載されている3単語を指します。
### 機密性
権限をもつ限られた者のみが、情報や資産を見たり触れたりできるように保護・管理されていること
例)権限でアクセスが制限されているため機密性が高い### 完全性
データの内容が正しい状態であること
例)データの内容が改ざんされてないことが証明できたため完全性が高い
### 可用性
システムが継続して稼働できること
例)障害が発生しても、システムが停止していないので可用性が高い# 脆弱性を定量的に評価する方法
IPAが作成しているCVSS(共通脆弱性評価システム)を使って
脆弱性を定量的に評価することによって
開発者やシステム担当者に依存せず脆弱性の深刻度を知ることができます。# 対策
####入口対策
様々な攻撃を受けても侵入を防ぐこと
しかし、**人的要因を踏まえると完全に防ぐことは難しい**– ファイアウォール
– ネットワーク
【LinuxSecurity】全ての一般ユーザのログインを禁止する
# はじめに
一般ユーザがログインする必要のないLinuxサーバの場合、そもそも最初からログインできないようにすれば安全。## /etc/nologin
“`
# touch nologin
“`
再起動等は不要。CUIログイン等を試みるとユーザ名を入力した時点で「Login incorrect」と出力される。
サイトのセキュリティ上の脅威
# 前提
個人おさらい用にまとめたもの# クロスサイトスクリプティング (XSS)
> XSS は、攻撃者が Web サイトを通じて他のユーザのブラウザにクライアントサイドのスクリプトを挿入することを可能にする一連の攻撃を表すために使用される用語# SQL インジェクション
> SQL インジェクションの脆弱性により、悪意のあるユーザはデータベース上で任意の SQL コードを実行することができ、ユーザの許可に関係なくデータへのアクセス、変更、削除ができる。> SQL インジェクションの種類には、エラーベースの SQL インジェクション、ブールエラーに基づく SQL インジェクション、および時間ベースの SQL インジェクションがある。
## 脆弱性が存在するパターンの例
“`vim
statement = “SELECT * FROM users WHERE name = ‘” + userName + “‘;”
“`
> HTML フォームから提供された特定の名前(ユーザー) を持つすべてのユーザを一覧表示することを目的としています。> ユーザが実名を指定
個人でAWSのアカウントを作成してみた
直近の業務で使ったことがあったので、試しにアカウントを作成してみました!
現場ではすでにIAMユーザまでが用意されている状態でしたので、
今回最初からの設定は初めて触るものでしたのでとても厄介でした。なお、IAMの設定(のちに出る安全のためにやること全部やるとこ)まで実施しています。
被害出ているようなので念のため。説明については省略します。
※公式での説明の通り実施したので…感じたことや、注意する点について述べていこうと思います。
ここでは最初のユーザを作るまでですので、
AWSでお金はかかっておりません。#事前に用意すべきもの
・スマートフォン(電話番号が割り振られているもの)
・クレジットカード
・複雑なパスワード3つ(できれば紙媒体で)#アカウントについて
まず初めにここを読みながら登録していきます。
https://aws.amazon.com/jp/register-flow/
※基本全部入力必須と考えてよいです。##AWS アカウントの作成
「AWS アカウント名」はのちにルートユーザ名で使いますので任意の文字列でよいです。
ここで
[月次配信] 月次攻撃サービスの統計及び分析 – 2020年3月
#はじめに
株式会社サイバーフォートレスでは攻撃サービス(ポート)情報を収集し、分析しています。
分析内容から、月次攻撃サービス(ポート)、月次攻撃サービスパターンのTOP10を確認し、過去データと比較し、攻撃トレンドへの対策を考えます。
セキュリティ担当者または、システム管理者はこのようなデータ分析を活用してサイバー脅威の予測に役立てていただければと思います。#月次攻撃サービス(ポート)TOP 10
2020年3月の一か月間収取されたサービスポートTOP10では、IUA(TCP/9900), Unsigned(TCP/7178)ポートを利用したイベントが新しく確認できた、その他、HTTPS(TCP/443), DNS(TCP/53)を利用したイベントの順位が上昇し、DNS(UDP/53), Microsoft-DS(TCP/445)の順位は下落した。IUA(TCP/9900)ポートは内部のサーバ間の通信使使用されるサービスポートで、ファイアウォールから明確なユーザーオブジェクトを指定して使う必要がある。| 順位 | サービス(ポート) | 比率(%) | 前月比較
【図解まるわかり セキュリティのしくみ】本の感想を書く
# 本当に図解まるわかりだった
[図解まるわかり セキュリティのしくみ](https://www.amazon.co.jp/%E5%9B%B3%E8%A7%A3%E3%81%BE%E3%82%8B%E3%82%8F%E3%81%8B%E3%82%8A-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%81%AE%E3%81%97%E3%81%8F%E3%81%BF-%E5%A2%97%E4%BA%95-%E6%95%8F%E5%85%8B/dp/4798157201/ref=sr_1_1?__mk_ja_JP=%E3%82%AB%E3%82%BF%E3%82%AB%E3%83%8A&crid=VGO8U97HV60Q&dchild=1&keywords=%E5%9B%B3%E8%A7%A3%E3%81%BE%E3%82%8B%E
大切なことはすべてUbuntuが教えてくれた 無人アップグレードを知りましょう
# はじめに
本記事はUbuntuの無人アップグレードについて記載しています。Ubuntuは無人アップグレードという機能がデフォルトで有効になっていて、自動的にOSのパッケージのアップデート及びアップグレードを行ないます。
システム管理者として注意しないといけないのは、無人アップグレードの機能を理解することです。
例えば、本番環境でシングル構成で運用しているサーバがあるとします。
無人アップグレードがデフォルトの状態でサービスの自動起動を設定していない場合は、サービスに支障が出るリスクがあります。過去の事例ですが、サービスがダウンしていていたので原因を調査しました。
`uptime`コマンドを実行すると起動時間が短いことから、サーバ再起動が行われたと判断し、シスログより以下のログを確認しました。“`console
Feb 20 09:14:48 <ホスト名> systemd[1]: Stopped Unattended Upgrades Shutdown.
“`上記ログの約3〜4分後にOS再起動が行われましたが、その後サービスの自動起動が設定されていなかったため
AWS入門する前に知って良かったこと
# はじめに
新型肺炎コロナウィルスが猛威を振るっております。
今後の事を考えると、クラウド技術に触れておくことも必要かと思いAWSに入門しました。不要不急の外出を控え、ただただ新型肺炎コロナウィルスの収束を願うばかりです。
# AWSをはじめる前に読むと良い記事
過去にAWSでやらかしてしまった人の記事を読んで「AWS怖っ!」って、なっていたのですが、
以下の記事を読んで、勇気を貰い一歩踏み出せました。– [AWSアカウントを作成したら最初にやるべきこと -セキュリティ編-](https://qiita.com/yanyansk/items/3a989b70d2d3d49eff16)
– [AWS初学者が「うっかり課金」されがちなポイントとその対策まとめ](https://qiita.com/Yuji-Ishibashi/items/bb1c0042fd16a9350c5a)AWS初心者にとって、大変ありがたい記事を共有して頂き、感謝しかありません。
# AWS無料枠
無料枠で何が出来るのかと、各サービスの制約事項は確認しましょう。
– [AWS無料枠](
AWSセキュリティ・サバイバルガイド2020
## はじめに
こんにちは。@dcm_chidaです。
在宅勤務もついに2ヶ月目に突入しました。朝はコーヒー、夜はビールの毎日です。そんなある日の業務後、社内チャットにて突然こんな報告が…
>後輩社員?♂️ > 在宅勤務でアレ[^are]だったので、先程Qiitaに記事を投稿しました。
ムムッ!なかなかやりおる… これは負けてられん!
[^are]: ”アレ”とは… おそらく在宅勤務が生産性が限界突破してアウトプットが溢れ出してしまったのだろう。わかる。
というわけで「在宅勤務でアレだったのでカレンダー」2日目でございます。
### やったこと
– NISTのセキュリティフレームワークに沿ってAWSセキュリティTODOリストを考えてみた
– AWSマネージドサービスを駆使して`防御` → `検知` → `対応` の処理フローを設計する### 対象とする人
– AWSチョットワカル人(基本的な用語がわかればヨシ!)
– セキュリティの雰囲気を何となく理解したい人
– 在宅勤務でアレな人## AWSセキュリティの第一歩
よし、じゃあ早速セキュリティ対策し
日本のサービスに追加したいReserved Username
## TL;DR
**regist**と**mypage**を追加したい。
## Reserved Username(予約済みユーザー名)とは
大抵のウェブサービスでは自分のアカウントURLを作るためのUsername(Screen Name)の設定があります。
例えばTwitterで言うと https://twitter.com/studio15 というURLのうちstudio15の部分がそれですね。
このUsernameというのはURLがスマートで覚えやすいものになるというメリットがあるのですが、**admin**や**help**といったアカウント名をユーザーに取得されてしまった場合に公式アカウントと見間違えられてしまったり将来的に展開するページ名と競合してしまうというデメリットがあります。そのため、現在のTwitterでは[TwitterやAdminという文字を含むアカウント名が利用できなくなっており](https://help.twitter.com/ja/managing-your-account/twitter-username-rules)、Twitter以外
Ubuntu 19.10 Eoan Ermine でのセキュリティアップデート方法
## 概要
– Ubuntu Linux サーバの日々の定常作業として実施するべき apt upgrade 作業手順をまとめる
– 通常のパッケージ更新と Linux カーネルのパッケージ更新の2パターン## セキュリティ更新の情報源
セキュリティ通知サイト (購読用 RSS と Atom もある):
[Ubuntu security notices](https://usn.ubuntu.com/)セキュリティ通知のメーリングリスト
[ubuntu\-security\-announce Info Page](https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce)## 通常のセキュリティアップデート
### 実施コマンド概要
“`
$ sudo apt update
$ sudo apt upgrade -s
$ sudo apt upgrade
$ sudo checkrestart
“`### apt update
[Ubuntu Manpage: apt \- コマン
Electron + TypeScript でセキュリティを気にしてみる
## 環境構築
### 下準備
#### VSCode のインストール
– [Microsoft Visual Studio Code](https://azure.microsoft.com/ja-jp/products/visual-studio-code/)#### Node.js + git のインストール
– Windows
– [Node.js](https://nodejs.org/en/)
– [git-scm (git bash)](https//git-scm.com/)– macOS
– [Homebrew](https://brew.sh/)#### ビルドツールのインストール
– Windows は [Microsoft Build Tools 2015](https://www.microsoft.com/en-us/download/details.aspx?id=48159) または [Build Tools for Visual Studio 2019](https://visualstudio.m
Android Studio のAndroid Emulatorの通信をBurpを使ってパケットキャプチャする
– 久しぶりにセットアップしたけどちょっとハマったので忘れないように個人的なメモ
– この先にBurpからSOCKSにつなげる必要があるのでBurp必須# やりかた
## Android Emulator
– Android Studioをインストール
– ツール-> AVDマネージャを開く
– 仮想デバイスの作成をクリックしてインストール Pixel 2 Android 7.1.1 にした
– インストール終了
– エミュレーターを起動して メールアカウントを設定## Burpのインストール
– Burpはすでに使ってるので省略
– 証明書を書き出してエミュレーターのメールアカウントに送る
– ワンチャンあるかと思ったけどやっぱり der 形式は認識されないので死亡
– 127.0.0.1:8888 で待ち受け## OWASP ZAPのインストール
– ZAPをダウンロードしてインストール
– 127.0.0.1:8080 で待ち受け
– アップストリームの設定を行ってBurpに通す
– ツール -> オプション -> ネットワーク 外部プロキシサーバ使用にチェック アド
NXP SE050検証(AWS IoT Multi-Account Registration接続テスト)(NXP SE050 AWS IoT connection test by using Multi-Account Registration)
#はじめに#
2019/12/14に開かれた IoTSecJPにてお時間をいただき
[セキュアエレメントとIoTデバイスセキュリティ](https://www.slideshare.net/KentaroMitsuyasu1/secure-element-for-iot-device)
と題してお話させていただきました。
その内容をベースにまとめていきたいと思います。#AWS IoTのMulti-Account Registrationとは#
2019年9月にベータリリースの機能となる。
概要は[リンク先](https://pages.awscloud.com/iot-core-early-registration.html)にあるが、以下のように証明書を使った安全なデバイス接続を簡単に行える機能らしい。「コンポーネント/デバイスメーカーは、固有の顧客固有のCAを維持する必要なく、デジタルID(証明書)が事前にプロビジョニングされたコンポーネントを提供できます。
お客様は同じデバイス証明書を使用して、同じリージョン内の複数のAWSアカウントにデバイスを登録できるようになりました
NXP SE050検証(テストWEBサーバーへの接続)(NXP SE050 WEB server connection test)
#はじめに#
2019/12/14に開かれた IoTSecJPにてお時間をいただき
[セキュアエレメントとIoTデバイスセキュリティ](https://www.slideshare.net/KentaroMitsuyasu1/secure-element-for-iot-device)
と題してお話させていただきました。
その内容をベースにまとめていきたいと思います。#テストWEBサーバーの準備#
SE050に書き込んだ証明書を使って、テスト接続するWEBサーバーを構築する。[自分用ngrokをauthtoken対応にする(self hosted ngrok)](https://qiita.com/kmitsu76/items/36a4ba952ccb88e2a2ad)で作った自分用ngrokを使い、独自ドメインで証明書を作成、適当なポート番号で手元のラズパイゼロにTCP通信をあける。今回は50020とした。
ラズパイゼロにnginxでテストサーバーを構築していく。
以下を参考にさせていただいた。
https://emc-craft.xyz/raspberrypi/nginx
NXP SE050検証(証明書プロビジョニング)(NXP SE050 certificate provisioning)
#はじめに#
2019/12/14に開かれた IoTSecJPにてお時間をいただき
[セキュアエレメントとIoTデバイスセキュリティ](https://www.slideshare.net/KentaroMitsuyasu1/secure-element-for-iot-device)
と題してお話させていただきました。
その内容をベースにまとめていきたいと思います。#証明書の書き込み#
SE050を使ってWEBサーバーへつなぐテストを行いたいが、SE050で生成したパブリックキーへ署名して、証明書を作成し、書き戻してTLSセッションで利用できるようにしなくてはならない。前回、[NXP SE050検証(証明書読み出し)(NXP SE050 cerificate extraction by using ESP32)]( https://qiita.com/kmitsu76/items/91829a15025ee2afa925)でプリセットされていた証明書を読み込んだが、今回は同様に証明書を作成し書き戻してみる。
ユーザーが使えるObjectIDはex_sss_objid.hに定
NXP SE050検証(I2C経路暗号化)(NXP SE050 encrypting I2C transmission)
#はじめに#
2019/12/14に開かれた IoTSecJPにてお時間をいただき
[セキュアエレメントとIoTデバイスセキュリティ](https://www.slideshare.net/KentaroMitsuyasu1/secure-element-for-iot-device)
と題してお話させていただきました。
その内容をベースにまとめていきたいと思います。#I2C通信の暗号化#
ホストマイコンからI2Cで鍵情報を送る際、ロジアナで読み取られないようにI2C経路を暗号化したい。
ATECC608Aでは、IOProtectionKeyというもので暗号化、復号を行いI2C経路を守る仕組みを備えていた。同じようなことがSE050 でできないか。
現状のNXP SE050を動作させるテストコード[NXP SE050検証(ESP32への
【SC試験対策】鍵を利用した暗号化とディジタル署名の図解と具体例
# 目的
SC試験でも頻出の鍵を利用した技術に関して整理したので記録を残しておきます。
技術的に深いところを理解するというより技術の概要理解を目的としています。
お気付きの点(技術的な点や本記事の構成などなんでも)ありましたら、コメントいただけると幸いです。# 鍵を利用した暗号化とディジタル署名の目的
まず、それぞれの技術について目的を確認しましょう。
鍵を利用した暗号化の目的の目的は、【盗聴対策】です。
送信側で、平文を***暗号化***し、受信側で***復号***することで盗聴の心配なく、ネットワーク上にデータを流すことができます。
一方、ディジタル署名の目的は【改ざん対策】と【なりすまし対策】です。
インターネットという荒波を超える途中で攻撃者による改ざんが行われていないことを保
CEHのECEクレジット取得方法
# 1. この記事の要約(3行まとめ)
– **ECEクレジットはCEHの維持に必要なポイント。**
– **資格の維持には3年間でECEクレジットが120ポイントと、年会費が80ドル必要。**
– **ポイントの取得が比較的容易なのは「CNDに合格」、情報セキュリティ関連の「資格試験に合格、書籍等のレビュー、トレーニングの受講、イベント等への出席、イベント等でのプレゼン」の6種類。**# 2. この記事の対象読者
– CEHの合格を目指している人。
– CEHに合格した人。
– CEHの維持・更新にECEクレジットが必要なことは知っているが、何をすれば取得できるのか分からない人。# 3. ECEクレジットとは
– 正式名称:EC-Council Continuing Education Credits
– 略称(日本語表記):ECEクレジット
– 説明:ホワイトハッカーの認定資格であるCEH(Certified Ethical Hacker)の維持・更新に必要なポイント。情報セキュリティに関する活動や学習を継続的に行っていることを証明するためのポイントであり、合格から3年毎に
