- 1. Fargateでもセキュリティ対策がしたい(DeepSecurity)
- 2. あなたのAWS S3は安全ですか?
- 3. NISTとは?SP800とは?FIPSとは?
- 4. Trend Micro Cloud One Workload Security の無償版を有償版にアップグレードする
- 5. 【ハッキングラボ】第1章~第3章 事前準備
- 6. AWSアクセスキー流出と対策について
- 7. 【セキュリティ】情報セキュリティマネジメント 第1章「基本知識」
- 8. ソフトウェア・サプライチェーン・インテグリティ保証ツール in-toto の紹介
- 9. 【2021年8月版】ランサムウェア対策のベストプラクティス(US-CERT)
- 10. Databricks E2バージョンプラットフォームのエンタープライズセキュリティ
- 11. AWS認定セキュリティ – 専門知識を受験した時の話
- 12. Firestore設計の知見集「一つのドキュメントに含まれるフィールドの機密レベルを統一すべし」など
- 13. Trend Micro Cloud One Workload Security を AWS と連携してみる
- 14. 【セキュリティ】監査 学習まとめ
- 15. 【セキュリティ】攻撃 防御 対策に関する学習まとめ
- 16. デジタル資産のセキュリティについて再考してみよう! BinanceのCEO CZ氏のブログから学ぶセキュリティへの考え方
- 17. Android向けにlldb-serverをクロスコンパイルする方法
- 18. 【ハッキング・ラボのつくりかた】をやってみた
- 19. AWS KMS再入門
- 20. あなたもすぐに使うべき!最強のセキュリティをもつチャットアプリSignalを紹介!!
Fargateでもセキュリティ対策がしたい(DeepSecurity)
# はじめに
Fargateを採用!でもセキュリティ対策が分からん!
「Fargate セキュリティ対策」で検索しても、広告と「Fargateはセキュリティ対策不要」という記事しか表示されん!
という、主に企業ではたらくエンジニアさん向けの記事です。# 要約
– Fargateのセキュリティ対策の選択肢は、大きく3つ
– サイドカー
– RASP(アプリに埋め込む)
– 経路上で対策する
– 今回はRASP方式の「Cloud One」を使うアプローチのお話
– Cloud OneはDeepSecurit後継製品
– Cloud One自体の情報は少ないが、(~~ググっても出てこない~~)[ドキュメント](https://cloudone.trendmicro.com/docs/application-security/)は丁寧なので導入は楽なはず
– ちなみにFargate以外のサーバレス製品(Lambdaとか)でも動く!
– 対応言語はPython/Java/PHP/Node.JS/.NET# Fargateのセキュリティ対策
Farg
あなたのAWS S3は安全ですか?
## はじめに
みなさま、超ウキウキするイベントが開催されていることはご存知でしょうか。
TrendMicro社が開催する以下の**イベントで大賞を取ると、超大盤振る舞い、アマゾンギフト券10万円分が手にできます!!**
TrendMicro社が誇るクラウドセキュリティ製品について学びを深めることができて、なおかつ商品ゲットのチャンスもあるということで、参加するしかない…!!と本記事を執筆するに至りました。https://qiita.com/official-events/21bbb48549a4a68172a4
ギフト券を取るぞという気持ち半分、公平な目線でTrendMicroの製品を評価していき、より良い記事にしたいと考えています。
**アプリケーションでAWS S3を利用している方に、ぜひご覧いただけますと幸いです。
まだ利用されたことがない方も、AWS S3をアプリケーションを利用する機会も増えていると思いますので、ぜひ未来のためにご参考ください。**## AWS S3のセキュリティって意識できてますか?
突然ですが、AWS S3のセキュリティについて、しっ
NISTとは?SP800とは?FIPSとは?
#はじめに
お仕事でNIST SP800シリーズを読む機会がありました。
その中で、そもそもNISTって何?SP800って何?と自問自答した時に、アメリカの権威ある人たちが作った由緒正しい文書^^;程度の知識しかなかったので、同じような人たちに対するカンペとして書きました。~~「IPAのサイトに全部載ってるじゃん」なんて言わないで。~~#組織について
##NISTとは?
アメリカの米国国立標準技術研究所のこと。(National Institute of Standards and Technology)##ITLとは?
NISTの中で、情報技術に関する研究を行っている人たち。(Information Technology Laboratory)##CSDとは?
ITLの中でコンピューターセキュリティに関する研究や文書の発行をしている人たち。(Computer Security Division)
後述のSP800シリーズやFIPSを作ってる人たちである。#文書について
IPAが日本でニーズが高いと想定される文書を翻訳してくださってます。(ありがたやありがたや
http
Trend Micro Cloud One Workload Security の無償版を有償版にアップグレードする
## はじめに
初めに無償版のCloud One Workload Securityを使い始めて、有償版にするための手順の紹介です。難しい作業ではないですが、一つだけ注意点があります。
## 無償版とは
Cloud Oneは使用開始から30日間、[無償版を提供しています](https://cloudone.trendmicro.com/docs/jp/billing/free-trial/)。
WorkloadSecurityであれば5台までなど制限がありますが、本番環境でも制限事項の範囲内であれば使っていきたいですよね。
## 前提
無償版を使用している状態から、[AWS MarketPlaceの有償版](https://aws.amazon.com/marketplace/pp/prodview-g232pyu6l55l4)を使用することとします。
## 有償版にする
CloudOneにログイン後のTop画面から、「サブスクリプションの管理」をクリックします。
#####- ITセキュリティ概要
1995年頃のセキュリティに関してはガバガバであり、世間的に重要視されるようになったのは
2000年頃から「セキュリティ」というものが謳われるようになったため歴史は浅いという印象#####- Kali Linux
Debianベースのペネトレーションテスト用のLinuxのディストリビューション#####- NAS
Network Attached Strage
ネットワーク接続によるハードディスク#####- APT
Debianに搭載されているパッケージ管理システム#####- ハイパーバイザー型
ホストOSはWindows、MacOSなどの上に仮想化ソフトを入れる
AWSアクセスキー流出と対策について
#きっかけ
AWS上のセキュリティについて調べるきっかけとなったのは、github上へのアクセスキーの流出です。
ポートフォリオ作成途中、Docker環境上でいろいろ試行錯誤するためにアクセスキーをベタ打ちしてしまっていたのを忘れてローカルリポジトリにpushしてしまいました。
即座に、AWSから警告のメールが届きよくよく調べてみるとそのままでは、不正利用されてしまい高額請求がくる恐れがあることがわかりました。
そこで以下に流出した際のとるべき対応と対策をまとめます。#流出してしまったら
以下、AWSから指示された対応手順に沿って記載します。
##①アクセスキー無効化、削除する
まずは、一番にアクセスキーを使用できない状態にしましょう。**(これが一番大事です)**
**たとえ公開リポジトリを削除したとしても、すでにアクセスキーが漏洩してしまっていたら悪用されてしまいます。**すでにアプリケーション等で使用している場合は、交換する必要があるのでまずは削除せずに以下の手順で無効化します。
①二つ目のアクセスキーを作成する
②流出したキーを無効化する
③アプリケーションに新しい鍵を
【セキュリティ】情報セキュリティマネジメント 第1章「基本知識」
情報セキュリティマネジメントを学習してます。
* __普段書籍で読んだ内容__
* __超基本的な知識__
* __なかなか覚えられず、忘れてしまいやすい内容__…などそういった箇所から個人的に学習用として投稿しました。
基本大雑把にまとめているので細かい箇所で相違あれば申し訳ございません。。—
# 単語関連
* ####IPA (Information-technology Promotion Agency)
情報処理推進機構* ####ISO (International Organization for Standardization)
国際標準化機構* ####CISO (Chief Information Security Officer)
最高情報セキュリティ責任者
情報セキュリティマネジメントが組織内リーダーであり
情報処理安全確保支援士は最高情報セキュリティ責任者の右腕* ####CSIRT (Computer Security Incident Response Team)
監視 原因解析.影響範囲の調査部隊
SOC:分析.メンテナンス
ソフトウェア・サプライチェーン・インテグリティ保証ツール in-toto の紹介
# はじめに
## ソフトウェア・サプライチェーン・インテグリティ保証とは
ソフトウェア・サプライチェーン・インテグリティ保証とは、ソフトウェアのコーディング、ビルド、パッケージング、利用の一連のソフトウェア・ライフサイクルの中で、第三者によるコードの改ざんやパッケージのすり替えなどの攻撃がないことの保証のことです。
例えば、Google は、ソフトウェア・サプライチェーン・インテグリティ保証を次のような図でモデル化して説明しています。
> 
>
> 出典: https://security.googleblog.com/2021/06/introducing-slsa-end-to-end-framework.htmlソフトウェアが開発者(Developer)から利用者(Use)に届くまでのプロセスの中で、A ~ Hまでの攻撃が考え
【2021年8月版】ランサムウェア対策のベストプラクティス(US-CERT)
#はじめに
SMB445です。
現在は主にセキュリティ関連の案件を担当しており、CSIRT[^1]とSOC[^2]の橋渡し的な立ち位置で仕事をしています。
セキュリティ関連に携わるエンジニアとして、皆さんに共感して頂けるような記事を届けたいと思います。セキュリティ関連で取り上げて欲しいネタがあれば、ぜひコメントください。
#今日のネタ
話題になることが増えているランサムウェア[^3]についてです。
2021年3月にIPAが発表した『情報セキュリティ10大脅威』の最新のレポート(2021)にて、「ランサムウェアによる被害」が組織部門で1位(2020では5位)になっています。[IPA 『情報セキュリティ10大脅威』](https://www.ipa.go.jp/security/vuln/10threats2021.html)
2021年上半期でニュースになったランサムウェア被害です。
・食肉加工業者・JBS
・コロニアル・パイプライン
・ホンダ
・富士フイルム
・ニップン#傾向
2021年7月30日にIPAが発刊した『情報セキュリティ白書2021』によると、下記傾
Databricks E2バージョンプラットフォームのエンタープライズセキュリティ
[Enterprise security for the E2 version of the Databricks platform \| Databricks on AWS](https://docs.databricks.com/security/security-overview-e2.html#data-source-credential-passthrough) [2021/6/11時点]の翻訳です。
> [Databricksクイックスタートガイド](https://qiita.com/taka_yayoi/items/125231c126a602693610)のコンテンツです。
本書では、[E2バージョンのDatabricksレイクハウスプラットフォーム](https://docs.databricks.com/getting-started/overview.html#e2-architecture)における、最も重要なセキュリティに関連する制御と設定の概要について説明します。
本書では、架空の企業を例に取り、中小企業、大企業においてどのように異なるデプロイメント
AWS認定セキュリティ – 専門知識を受験した時の話
## この記事の概要
2021/08/15に
**AWS認定セキュリティ – 専門知識**
(AWS Certified Security – Specialty (SCS-C01))
を受験したので、その時の記録## 試験の概要
AWSを利用する上でのセキュリティに的を絞った試験です。
「セキュリティロールを遂行する人を対象としており、AWS プラットフォームのセキュリティ保護についての理解度を評価するものです。」
AWS公式より引用:[引用元](https://d1.awsstatic.com/ja_JP/training-and-certification/docs-security-spec/AWS-Certified-Security-Specialty_Exam-Guide.pdf)**◼︎ 試験要項**
問題数
Firestore設計の知見集「一つのドキュメントに含まれるフィールドの機密レベルを統一すべし」など
「実践Firestore」を読んでの要約・メモ書きです。
良い本だと感じたので、この要約を読んで有益であると感じた場合は購入することをお勧めします。Amazon購入リンク↓
[](https://amzn.to/3AJ3DAa)
※注意:発刊が2020年2月なので、情報が古い可能性があります
# 第1章 Firestoreの正体
– **FirestoreをサーバーサイドAPIから読み書きするような構成にしてしまうと、Firestoreのもつメリットが大きく損なわれる**
– RDBの世界で忌避される非正規化されたデータ設計も採用されることが多い
– Firestoreでは、複雑なクエリ→「設計の工夫と単純なクエリ」に置き換えることが求められる。アプリケーシ
Trend Micro Cloud One Workload Security を AWS と連携してみる
らら子です。
都内のスタートアップでWEBサービスの開発をやってます。今回は、「Qiitaエンジニアフェスタ Trend Micro Cloud One を使ってAWS環境をよりセキュアにする方法について投稿しよう!」の企画に参加するために、CloudOneについて触ってみることにしました。
私の開発しているサービスは、AWSのEC2インスタンスにデプロイされていて、ALBとAutoScaringを使っています。
( EC2インスタンスはAmazonLinuxで、現在のところトレンドマイクロのセキュリティソフトは入れてません(´;ω;`) )サービスで採用しているわけではないのですが、セキュリティについて興味があるので実際にインストールしてみて使ってみた感想などを記事にしてみようと思います。
## CloudOneのアカウントを登録する
さっそくCloudOneのアカウントを登録しようと思ったのですが、地味に難所でした。
「cloudone 登録」でGoogle検索をかけたところ、一番上にはなぜかソフトバンクのページが表示されたのでスキップしました。
次の「[Tren
【セキュリティ】監査 学習まとめ
情報においての
* __攻撃方法__
* __防御方法__
* __監査手段__
* __具体的にどのように対策をすることで安全性が高められるか__Wikipediaや記事などから細かい部分を抜粋した内容です。
(書籍にて情報セキュリティを学んだ部分に関しては別の投稿にて記載します。)# 監査に関する用語
調べている際によく出てきた単語だったのでなんとなくググりました。
####ファジング
ソフトウェアに様々な入力を与える事で、脆弱性を発見する手法####IDPS (intrusion detection and prevention system)
不正侵入の兆候を検知し管理者に通知するシステム
ネットワーク内にあったりホスト内にあったり様々####SCADA (Supervisory Control and Data Acquisition)
産業制御システムの一種
コンピュータによるシステム監視とプロセス制御を行う####WAF
ウェブアプリ保護セキュリティシステム
ウェブサイト攻撃検知に特化
* 主なケース5
>
* レンタルサーバ提供ベン
【セキュリティ】攻撃 防御 対策に関する学習まとめ
情報においての
* __攻撃方法__
* __防御方法__
* __監査手段__
* __具体的にどのように対策をすることで安全性が高められるか__Wikipediaや記事などから細かい部分を抜粋した内容です。
(書籍にて情報セキュリティを学んだ部分に関しては別の投稿にて記載します。)# APT( Advanced Persistent Threat )攻撃
####APT攻撃
ターゲットを分析して攻撃する緻密なハッキング手法
不特定多数を標的としたサイバー攻撃よりも被害を受ける可能性が高いのが特徴##主にAPT攻撃者は6段階の工程に分けられる
1.偵察:配送可能なペイロードを作成
2.配送:マルウェア配送
3.攻撃:実行する
4.インストール:ターゲットにマルウェアをインストール クライアントにバックドア仕込んだり
5.遠隔操作:C&C.サーバへのチャネルを確立
6.目的実行:重要情報を持ち出すなど例として
>
* 偵察をする 攻撃可能なpdf.docファイル等を収集
* リンクをユーザにクリックさせる ように仕向ける
* ユーザが利用しているソフ
デジタル資産のセキュリティについて再考してみよう! BinanceのCEO CZ氏のブログから学ぶセキュリティへの考え方
**kenmaro**です。
**秘密計算、準同型暗号などの記事について投稿しています**。`最近格子暗号を理解するためのロードマップを公開しました。
格子暗号に興味のある方、勉強してみようかな、という方はぜひご覧ください。`> [最先端の秘密計算技術、格子暗号スタディロードマップを公開!!(エンジニア、リサーチャー必読)](https://qiita.com/kenmaro/items/f2d4fb84833c308a4d29)
## 概要
2020年と2021年の今にかけて仮想通貨が大いに盛り上がり、
ブロックチェーンで管理される仮想通貨及びNFTなどのデジタル資産に興味を持った人も多いのではないでしょうか。仮想通貨はブロックチェーンを基盤とした分散型で管理された通貨として、
セキュリティや暗号とは切っても切り離すことのできない関係にあります。ブロックチェーンと絡めた暗号学についてまとめて行けたらいいなあと思って調べていた矢先に、
このブログに行き当たりました。https://www.binance.com/en/amp/blog/42149982468490
Android向けにlldb-serverをクロスコンパイルする方法
Android向けにlldb-serverをクロスコンパイルする方法の自分用メモ。
# ビルド環境
Ubuntu 20.04 LTS
# インストール
“`
sudo apt update
sudo apt install build-essential swig python3-dev libedit-dev libncurses5-dev
sudo apt install cmake
sudo apt install ninja-build
sudo apt install binutils-aarch64-linux-gnu
sudo apt install unzip
“`
# ソースのダウンロード
“`
git clone https://github.com/llvm/llvm-project.git
“`
# NDKダウンロード
ここで重要なことは、r20b以降だと以下エラーが発生するのでバージョンはr20bにすること。
https://github.com/android/ndk/issues/1328“`
wget https://dl.google.
【ハッキング・ラボのつくりかた】をやってみた
「ハッキング・ラボのつくりかた」という本を知っていますか?
IPUSIRONさんという方が書いた本で、この本では**いつでもどこでも利用できるハッキング・ラボを構築する**、**ハッキング・ラボを活用してハッキングのスキルを習得する**ことを目標としています。
セキュリティやハッキング技法を習得してもそれを試す場所はあまりありませんが、仮想環境でハッキング・ラボを構築すれば、合法的かつ自由にハッキングの練習ができます。
本自体かなり詳しく説明されているのですが、バージョンが上がったりして本の通りにやっても動かないこともあります。
そこで、本の全部ではないですが僕がやってうまくいったことをまとめてみました。2020年5月から2021年1月くらいの時期にやりました。サポートサイトもあるので、困ったらこちらも見てみるといいと思います。
[https://s-akademeia.sakura.ne.jp/main/books/lab/faq.html](https://s-akademeia.
AWS KMS再入門
# 概要
AWS認定セキュリティ – 専門知識の勉強の中でKMSは覚えることが多かったので、理解を深めるとともに後から見て思い出せるよう自分なりにまとめる。↓参考にした資料
# AWS KMS(Key Management Service)とは
データ暗号化に利用する暗号化キー(暗号鍵)の作成・管理を行うためのAWSのマネージドサービス– AZをまたいだ冗長化により高可用性を担保
– CMK(マスターキー)の耐久性は99.999999999%(イレブンナイン)
– ~~共通鍵(対称鍵)暗号にのみ対応~~
→ Black Beltの資料は2018/11時点のもののため、非対称鍵には非対応と言っているが2019/11に非対称鍵にも対応している# KMSの仕組み
## エンベロープ暗号化
データを暗号化する鍵(データキー)とデータキーを暗号化する鍵(マスターキー)を利用する方式
データの暗号化用キーを更に暗号化するので、よりセキュリティが強化される
KMSではそれぞれのキーをCMK、C
あなたもすぐに使うべき!最強のセキュリティをもつチャットアプリSignalを紹介!!
**kenmaro**です。
**秘密計算、準同型暗号などの記事について投稿しています**。`最近格子暗号を理解するためのロードマップを公開しました。
格子暗号に興味のある方、勉強してみようかな、という方はぜひご覧ください。`> [最先端の秘密計算技術、格子暗号スタディロードマップを公開!!(エンジニア、リサーチャー必読)](https://qiita.com/kenmaro/items/f2d4fb84833c308a4d29)
## 概要
今回はいつもの秘密計算とは少し離れて、
筆者が使っている**チャットアプリSignal**について紹介したいと思います。**なんと、あのエドワード・スノーデンも使っているチャットアプリです。**
https://signal.org/ja/
また、**この記事は主に
以下の素晴らしいブログ記事を大いに参考にしています。**
興味のある方はぜひご覧ください。https://excesssecurity.com/signal/
## 背景:LINEのセキュリティ大丈夫?
日本人が何気なく使っている**LINE**。
説明する
