今さら聞けないセキュリティ　2021年09月06日

Djangoを触ってると出てくる {% csrf token %} とは？ざっくり分かりやすく説明します！

Djangoでアプリケーション開発をしていてフォームを設置するときに、 {% csrf token %} というおまじないみたいなものを使いますが、こいつってそもそも何者なんでしょうか？

今回はエンジニア歴が浅い方や、非エンジニアの方向けに、このcsrf tokenが「何者なのか」というのを、ざっくりと分かりやすく書いていきます！

#そもそもCSRFって何？

csrf token を理解する前にまずは「csrf」がそもそも何かを少し説明します！

csrfを訳してみると
「サイト間を横断する(Cross Site)リクエストの偽造(Request Forgery)」
となり、

__悪意のあるサイトが、被害者となるユーザのフリをして、別のサイトにリクエストを飛ばして、そこで悪さをする__といった内容になります。

これだけだと分かりづらいですね汗

なのでまずはcsrfによるトラブル例をご紹介して、
それぞれのステップで何が起きているかを説明していきます！

注：この記事ではcsrfの概念の理解のために厳密な表現を避けております。あくまでcsrfが全く分からない！という方が少しで

セキュリティなんも分からん～CSRFの巻。

セキュリティなんも分からんけど、勉強の為に今のうちにまとめておこうというもの。
__信ぴょう性ゼロの雰囲気記述。__

書いてあることが間違っていて、もし私に伝えて下さる心のお優しい方がいらっしゃればご指摘ください。

#CSRFについて考える前に

CSRF。しーさーふって言うらしいです。私はしーえすあーるえふって読んでました

これを理解するために

– リクエストはどこのサイトからどこのサイトへも出来るということ
– クッキーは自動的に送信されてしまうこと

を理解しておく必要があります。理解している人は、`CSRFについて考える前に`の章は飛ばして本題から見てください。

では、ぼちぼち書いていきます。

## リクエストはどこのサイトからどこのサイトへも出来る

スクール時代に書いていたサイトを出してきました。このサイトをAとします。

ファイアウォールについて備忘録

＊ファイアウォールとは
・外部ネットワークからのサイバー攻撃や不正アクセスを防ぐセキュリティ機能
・インターネットと自ネットワークの境界に設置し、外部からの攻撃を監視・制御する

＊３つのタイプ

　【パケットフィルタリング型】
（L3：ネットワーク層〜L2：データリンク層）

・通信パケットのヘッダを確認してフィルタリング
　⇨送信元アドレスや宛先アドレスなどをチェック
・仕組みはシンプルだがパケットを見ただけでは判別できない攻撃は防げない（例：バッファオーバーフロー攻撃など）
・その他のセキュリティ製品などと併用が基本

　【サーキットレベルゲートウェイ型】
（L6：プレゼンテーション層〜L4：トランスポート層）

・「トランスポート層」レベルの通信を監視・制御する方式
・コネクション単位の制御も可能
◎パケットフィルタリングよりも管理が楽

　【アプリケーションゲートウェイ型】
（L7：アプリケーション層〜L5：セッション層）

・従来のパケットフィルタリングより、より詳細に許可する通信を特定・制御する
・HTTP、SMTPなどのアプリケーションプロトコル毎に通信を制

PPAP とは

## 勉強前イメージ

ピコ太郎しか出てこないーーー

## 調査

### PPAP とは

パスワード付きZIPファイルを送り、パスワードを別で送るメール送信手法です。
下記の頭文字を取ったものです。
`P` : passwordつきzipファイルを送ります。
`P` : passwordを送ります。
`A` : 暗号化します
`P` : プロトコル

元々は情報漏えい防止などのセキュリティ観点で使用されていましたが、
昨今ではセキュリティ上の課題があることで廃止される動きが進んでいます。

### セキュリティ上の課題とは

– パスワードの盗み見を防げるとは限らない

パスワードとファイルを別で送ったとしても
メールが盗聴されてる場合にはどちらも見られてしまうので
ファイルの中身も見られてしまいます。

– パスワードが解析できる

暗号化されたパスワードはかんたんに解析できてしまう事実はあります。

– ウイルスチェックをすり抜ける

パスワード付きzipファイルはウイルス対策ソフトをすり抜けてしまいます。
それを利用して、マルウェアを送るという手法も存在しますので推奨されて

セキュリティの話

#はじめに#
　プログラミングを学習しているとセキュリティについては必ず考えなければなりません。
今回は
・なぜセキュリティを考えなければならないのか
・主な攻撃手法とその対策
という点についてまとめていきたいと思います。

#なぜセキュリティを考えなければならないのか#
　プログラミングを勉強しているとセキュリティ対策はしっかりしましょう！という話をよく聞くと思います。結構考えるのも面倒ですし実装するのも面倒なので、えー・・・と思う方もおられるかもしれません。
　しかし、世の中には悪いことを考える人がたくさんいます。SNSでなりすまして詐欺を働いたり、データベースから情報を抜き取って悪用したり、といった感じです。自分しか使わないようなアプリならそれほど気にする必要はないかもしれませんが、多くの人が使うアプリであれば、そしてそれが個人情報やクレジットカード情報などを扱うようなものであれば十分注意する必要があります。

#主な攻撃手法とその対策#
　それでは主な攻撃手法とその対策について見ていきましょう。

##XSS(クロスサイトスクリプティング)##
　XSS(クロスサイトスクリ

3分で読める「ウェブ健康診断」のすゝめ

#はじめに
本記事はIPAが公開している『[ウェブ健康診断](https://www.ipa.go.jp/files/000017319.pdf)』の要約記事です。
引用元pdfも短いので興味ある方はそちらを読むことを推奨しますが、「pdfってなんか読む気なくす…」っていうめんどくさがりさん向け記事です。

#目次
1.[ウェブ健康診断って？](#1ウェブ健康診断って？)
2.[対象の脆弱性](#2対象の脆弱性)
3.[総合判定所見](#3総合判定所見)

#1.ウェブ健康診断って？
IPAが公開しているwebアプリケーションの**簡易検査マニュアル**です。危険度の高い13個のwebアプリケーションの脆弱性の有無を、BurpSuiteのようなツールを使うことでとても簡単に検査できます。

一方で、以下に引用したようにあくまで**簡易的な検査**であることを忘れてはいけません。
脆弱性が発見されたら**より詳細な検査を行う必要があり**、健康診断で見つからなくても**脆弱性がある可能性があります**。

>ウェブ健康診断は「基本的な対策が出来ているかどうかを診断するもの」とご理解く

【情報セキュリティマネジメント】第2章 「セキュリティ管理」

# ・単語
###27000シリーズ
情報セキュリティーの管理リスク制限におけるベストプラクティスが示されているもの
日本ではJISQ27000シリーズとして規格化されている

###ISO/IEC 15408
セキュリティ技術を評価する規格

###ISO/IEC 27000
ISO(国際標準化機構)とIEC(国際電気標準会議)が共同で策定する情報セキュリティー規格群

* ISO/IEC27000：企画の概要や使用される用語について
* ISO/IEC27001：確立、導入、運用、監視、改善するための要求事項を規定している
* ISO/IEC27002：様々な管理策が記載されているもの
* ISO/IEC27003：維持及び改善するためのガイダンス企画
* ISO/IEC27004：有効性を評価するための測定方法の開発及び使用に関するガイダンス
* ISO/IEC27005：リスクマネジメントガイダンス
* ISO/IEC27017：クラウドサービスの情報セキュリティー管理策の実施に関する規格

###SOC (Security Operation Center)
顧客のセキュリ

AWSのパスワードポリシー設定方法

[zenn](https://zenn.dev/mo_ri_regen/articles/aws-password-policy)にも同様の記事を書いています。更新頻度はzennのほうが多めです?

コンソールにログインするためのカスタムパスワードポリシーの設定を行おうと思います。
IAMからカスタムパスワードポリシーの設定ができます。

ちなみにデフォルトでは下記のようなパスワードポリシーになっています。

> パスワードの文字数制限: 8～128 文字
> 大文字、小文字、数字、! @ # $ % ^ & * ( ) _ + – = [ ] { } | ‘ 記号のうち、最低 3 つの文字タイプの組み合わせ
> AWS アカウント名または E メールアドレスと同じでないこと

## コンソールで設定

1. [コンソール](https://console.aws.amazon.com/iam/)にサインインして、左ペインのダッシュボードにアカウント設定があるのでそれをクリックします。

XSS(クロスサイトスクリプティング)

# はじめに
個人開発をする中でセキュリティに関する知識が不足していたので、この際に学習しようということで記事にまとめていこうと思います。今回はXSSについてまとめていきたいと思います。

# XSSとは
XSSとは、`スクリプトを埋め込むことが可能な脆弱性のあるWebサイトに悪意ある攻撃者がサイト内に不正スクリプトを埋め込み、ブラウザ上で不正スクリプトを実行させる`攻撃です。
不正なスクリプト実行による被害は以下のようなものがあります。

– Cookieを奪われる。Cookieを奪われるということは認証情報を奪われることと同義でアカウントの乗っ取りなどに繋がる。
– Cookieに個人情報が格納されている場合、個人情報の漏洩にも繋がる。(そもそもCookie内のセッション情報を暗号化していない時点で脆弱性がある)

# XSSの発生フロー
発生フローは以下画像を参照してください。
※引用:[安全なウェブサイトの作り方 – 1.5 クロスサイト・スクリプティング]
![](https://storage.googleapis.com/zenn-user-upload/43547c

CSRF(クロスサイトリクエストフォージェリー)

# はじめに
個人開発をする中でセキュリティに関する知識が不足していたので、この際に学習しようということで記事にまとめていこうと思います。今回はCSRFについてまとめていきたいと思います。

# CSRFとは
CSRFとは、`悪意ある攻撃者がサイト内にスクリプトを埋め込み、ログイン中ユーザーがそれを実行することにより、ユーザーが意図しないリクエストを実行させられる`攻撃です。
意図しないリクエストによる被害例として以下があります。
– ユーザー情報(パスワードなど)を書き換えられる
– 利用中のwebサービスを退会させられてしまう

上記はあくまで一例であって、ログイン中の機能の全てを意図せず実行させられる危険性があります。もし仮にクレジット決済機能があれば不正利用される可能性があります。

# CSRFの発生フロー
発生フローは以下画像を参照してください。
※引用:[安全なウェブサイトの作り方 – 1.6 CSRF（クロスサイト・リクエスト・フォージェリ）](https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_6.html))

【Azure】CosmosDBを使っている人は今すぐプライマリキーを更新しよう

[ChaosDB: How we hacked thousands of Azure customers’ databases](https://www.wiz.io/blog/chaosdb-how-we-hacked-thousands-of-azure-customers-databases)ってのを見つけたんだけど、なんか日本語記事が[ロイターのよくわからんの](https://jp.reuters.com/article/microsoft-security-idJPKBN2FS035)しか見当たらないので注意喚起のため軽く紹介します。

# FAQ

## 誰が対象？

・Jupyter Notebookを有効化したCosmosDBは全て。
・2021年2月以降に作成したCosmosDBは全て。

## 何をすればいい？

[MSの記事](https://docs.microsoft.com/azure/cosmos-db/secure-access-to-data#primary-keys)を参考に、CosmosDBのプライマリキーを新しく発行して更新する。

# Ch

Fargateでもセキュリティ対策がしたい（DeepSecurity）

# はじめに

Fargateを採用！でもセキュリティ対策が分からん！
「Fargate セキュリティ対策」で検索しても、広告と「Fargateはセキュリティ対策不要」という記事しか表示されん！
という、主に企業ではたらくエンジニアさん向けの記事です。

# 要約

– Fargateのセキュリティ対策の選択肢は、大きく3つ
– サイドカー
– RASP（アプリに埋め込む）
– 経路上で対策する
– 今回はRASP方式の「Cloud One」を使うアプローチのお話
– Cloud OneはDeepSecurit後継製品
– Cloud One自体の情報は少ないが、（~~ググっても出てこない~~）[ドキュメント](https://cloudone.trendmicro.com/docs/application-security/)は丁寧なので導入は楽なはず
– ちなみにFargate以外のサーバレス製品（Lambdaとか）でも動く！
– 対応言語はPython/Java/PHP/Node.JS/.NET

# Fargateのセキュリティ対策

Farg

あなたのAWS S3は安全ですか?

## はじめに

みなさま、超ウキウキするイベントが開催されていることはご存知でしょうか。
TrendMicro社が開催する以下の**イベントで大賞を取ると、超大盤振る舞い、アマゾンギフト券10万円分が手にできます!!**
TrendMicro社が誇るクラウドセキュリティ製品について学びを深めることができて、なおかつ商品ゲットのチャンスもあるということで、参加するしかない…!!と本記事を執筆するに至りました。

https://qiita.com/official-events/21bbb48549a4a68172a4

ギフト券を取るぞという気持ち半分、公平な目線でTrendMicroの製品を評価していき、より良い記事にしたいと考えています。

**アプリケーションでAWS S3を利用している方に、ぜひご覧いただけますと幸いです。
まだ利用されたことがない方も、AWS S3をアプリケーションを利用する機会も増えていると思いますので、ぜひ未来のためにご参考ください。**

## AWS S3のセキュリティって意識できてますか?

突然ですが、AWS S3のセキュリティについて、しっ

NISTとは？SP800とは？FIPSとは？

#はじめに
お仕事でNIST SP800シリーズを読む機会がありました。
その中で、そもそもNISTって何？SP800って何？と自問自答した時に、アメリカの権威ある人たちが作った由緒正しい文書＾＾；程度の知識しかなかったので、同じような人たちに対するカンペとして書きました。~~「IPAのサイトに全部載ってるじゃん」なんて言わないで。~~

#組織について
##NISTとは？
アメリカの米国国立標準技術研究所のこと。（National Institute of Standards and Technology）

##ITLとは？
NISTの中で、情報技術に関する研究を行っている人たち。（Information Technology Laboratory）

##CSDとは？
ITLの中でコンピューターセキュリティに関する研究や文書の発行をしている人たち。（Computer Security Division)
後述のSP８００シリーズやFIPSを作ってる人たちである。

#文書について
IPAが日本でニーズが高いと想定される文書を翻訳してくださってます。（ありがたやありがたや
http

Trend Micro Cloud One Workload Security の無償版を有償版にアップグレードする

## はじめに

初めに無償版のCloud One Workload Securityを使い始めて、有償版にするための手順の紹介です。難しい作業ではないですが、一つだけ注意点があります。

## 無償版とは

Cloud Oneは使用開始から30日間、[無償版を提供しています](https://cloudone.trendmicro.com/docs/jp/billing/free-trial/)。

WorkloadSecurityであれば5台までなど制限がありますが、本番環境でも制限事項の範囲内であれば使っていきたいですよね。

## 前提

無償版を使用している状態から、[AWS MarketPlaceの有償版](https://aws.amazon.com/marketplace/pp/prodview-g232pyu6l55l4)を使用することとします。

## 有償版にする

CloudOneにログイン後のTop画面から、「サブスクリプションの管理」をクリックします。
![C1WS ACT08.png](https://qiita-image-store.s3

【ハッキングラボ】第1章~第3章 事前準備

最近__「ハッキングラボのつくりかた」__という書籍を購入したので
自己用のメモがてら投稿しました。

* 仮想環境OS：kali Linux

– ※定期的にapt-updateとパッケージのアップデートをしておくこと※

– ローカルログインはKali側のターミナル、リモートSSHはwindows側のTeraTermから

#一般知識メモ (注意点など.. )

#####- ITセキュリティ概要
1995年頃のセキュリティに関してはガバガバであり、世間的に重要視されるようになったのは
2000年頃から「セキュリティ」というものが謳われるようになったため歴史は浅いという印象

#####- Kali Linux
Debianベースのペネトレーションテスト用のLinuxのディストリビューション

#####- NAS
Network Attached Strage
ネットワーク接続によるハードディスク

#####- APT
Debianに搭載されているパッケージ管理システム

#####- ハイパーバイザー型
ホストOSはWindows、MacOSなどの上に仮想化ソフトを入れる

AWSアクセスキー流出と対策について

#きっかけ
AWS上のセキュリティについて調べるきっかけとなったのは、github上へのアクセスキーの流出です。
ポートフォリオ作成途中、Docker環境上でいろいろ試行錯誤するためにアクセスキーをベタ打ちしてしまっていたのを忘れてローカルリポジトリにpushしてしまいました。
即座に、AWSから警告のメールが届きよくよく調べてみるとそのままでは、不正利用されてしまい高額請求がくる恐れがあることがわかりました。
そこで以下に流出した際のとるべき対応と対策をまとめます。

#流出してしまったら
以下、AWSから指示された対応手順に沿って記載します。
##①アクセスキー無効化、削除する
まずは、一番にアクセスキーを使用できない状態にしましょう。**(これが一番大事です)**
**たとえ公開リポジトリを削除したとしても、すでにアクセスキーが漏洩してしまっていたら悪用されてしまいます。**

すでにアプリケーション等で使用している場合は、交換する必要があるのでまずは削除せずに以下の手順で無効化します。
①二つ目のアクセスキーを作成する
②流出したキーを無効化する
③アプリケーションに新しい鍵を

【情報セキュリティマネジメント】第1章「基本知識」

情報セキュリティマネジメントを学習してます。

* __普段書籍で読んだ内容__
* __超基本的な知識__
* __なかなか覚えられず、忘れてしまいやすい内容__…など

そういった箇所から個人的に学習用として投稿しました。
基本大雑把にまとめているので細かい箇所で相違あれば申し訳ございません。。

# ・単語関連

* ####IPA (Information-technology Promotion Agency)
情報処理推進機構

* ####ISO (International Organization for Standardization)
国際標準化機構

* ####CISO (Chief Information Security Officer)
最高情報セキュリティ責任者
情報セキュリティマネジメントが組織内リーダーであり
情報処理安全確保支援士は最高情報セキュリティ責任者の右腕

* ####CSIRT
 (Computer Security Incident Response Team)
監視 原因解析.影響範囲の調査部隊
SOC:分析.メンテナンス部隊

ソフトウェア・サプライチェーン・インテグリティ保証ツール in-toto の紹介

# はじめに

## ソフトウェア・サプライチェーン・インテグリティ保証とは

ソフトウェア・サプライチェーン・インテグリティ保証とは、ソフトウェアのコーディング、ビルド、パッケージング、利用の一連のソフトウェア・ライフサイクルの中で、第三者によるコードの改ざんやパッケージのすり替えなどの攻撃がないことの保証のことです。

例えば、Google は、ソフトウェア・サプライチェーン・インテグリティ保証を次のような図でモデル化して説明しています。

> 
>
> 出典： https://security.googleblog.com/2021/06/introducing-slsa-end-to-end-framework.html

ソフトウェアが開発者(Developer)から利用者(Use)に届くまでのプロセスの中で、A ~ Hまでの攻撃が考え

【2021年8月版】ランサムウェア対策のベストプラクティス（US-CERT）

#はじめに
SMB445です。
現在は主にセキュリティ関連の案件を担当しており、CSIRT[^1]とSOC[^2]の橋渡し的な立ち位置で仕事をしています。
セキュリティ関連に携わるエンジニアとして、皆さんに共感して頂けるような記事を届けたいと思います。

セキュリティ関連で取り上げて欲しいネタがあれば、ぜひコメントください。

#今日のネタ

話題になることが増えているランサムウェア[^3]についてです。
2021年3月にIPAが発表した『情報セキュリティ10大脅威』の最新のレポート（2021）にて、「ランサムウェアによる被害」が組織部門で1位（2020では5位）になっています。

[IPA 『情報セキュリティ10大脅威』](https://www.ipa.go.jp/security/vuln/10threats2021.html)

2021年上半期でニュースになったランサムウェア被害です。
・食肉加工業者・JBS
・コロニアル・パイプライン
・ホンダ
・富士フイルム
・ニップン

#傾向
2021年7月30日にIPAが発刊した『情報セキュリティ白書2021』によると、下記傾