- 1. Webシステムのセキュリティについてのまとめ
- 2. 個人ができるセキュリティまとめ
- 3. 【情報セキュリティマネジメント】第3章「情報セキュリティ対策」
- 4. Djangoを触ってると出てくる {% csrf token %} とは?ざっくり分かりやすく説明します!
- 5. セキュリティなんも分からん~CSRFの巻。
- 6. ファイアウォールについて備忘録
- 7. PPAP とは
- 8. セキュリティの話
- 9. 3分で読める「ウェブ健康診断」のすゝめ
- 10. 【情報セキュリティマネジメント】第2章 「セキュリティ管理」
- 11. AWSのパスワードポリシー設定方法
- 12. XSS(クロスサイトスクリプティング)
- 13. CSRF(クロスサイトリクエストフォージェリー)
- 14. 【Azure】CosmosDBを使っている人は今すぐプライマリキーを更新しよう
- 15. Fargateでもセキュリティ対策がしたい(DeepSecurity)
- 16. あなたのAWS S3は安全ですか?
- 17. NISTとは?SP800とは?FIPSとは?
- 18. Trend Micro Cloud One Workload Security の無償版を有償版にアップグレードする
- 19. 【ハッキングラボ】第1章~第3章 事前準備
- 20. AWSアクセスキー流出と対策について
Webシステムのセキュリティについてのまとめ
#はじめに
セキュリティを理解するために学んだことをアウトプットして理解を深めたいと思います。# 背景
現在の日常においてWebサイトは生活の一部となっている。
一方で、それを逆手にWebシステム上の精密情報を抜き取り、不正な攻撃で狙いを定める攻撃者の犯罪行為は後を絶たない。そのため、Webシステムの運営にあたってセキュリティ対策が必要となっている#情報セキュリティの3要素
情報セキュリティとは情報の「機密性」「完全性」「可用性」を維持することとされている。
これらの要素を情報セキュリティの3要素と呼んでいる。また、情報セキュリティの3要素は、以下3つの用語を英語表記したときの頭文字を取って「CIA」と呼ばれています。
* 機密性(confidentiality)
* 完全性(integrity)
* 可用性(availability)それぞれ深掘りして内容をみてみましょう!
#「機密性」
機密性は、情報を認められた人だけが使用できるような状態であること。
イメージとして、家の鍵は家族だけしか使用できないニュアンスです。
第三者の他の鍵で開いたら困りますね。
!
個人ができるセキュリティまとめ
#はじめに
なぜこの記事を書こうとおもったきっかけはエンジニアの先輩が担当している案件でセキュリティ事故がおこりそうになったという事を聞き改めてエンジニアにとってのセキュリティとは?を考えた。本記事はその備忘録という意味も込めて共有する事とします。#セキュリティとは
>セキュリティ(英: security)は、人、住居、地域社会、国家、組織、資産などを対象とした、害からの保護。
一般には保安のことであり、犯罪や事故などを防止するための警備全般を指す。
[Wikipediaより引用](https://ja.wikipedia.org/wiki/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3)と広義の意味においてはその対象が広くなんのこっちゃ??となります。
ですがセキュリティとは仕事においてのみ考えなくてはならない事ではなく、個人においても自分を守る観点から必要なことであるという事が言えるでしょう。#情報セキュリティとは
と、いう事で本題。まず情報セキュリティとは以下の3点を確保する事を指します。**
【情報セキュリティマネジメント】第3章「情報セキュリティ対策」
#人的なセキュリティ対策
ガイドラインを作成し啓発活動を行う
組織における内部不正を防止するためには内部不正対策の体制を構築することが重要###基本的に五つの原則によって構成される
1.犯罪を難しくする:やりにくくする
2.捕まるリスクを高める:やると見つかる
3.犯罪の見返りを減らす:割に合わない
4.犯罪の誘因を減らす:その気にさせない
5.犯罪の弁明をさせない:言い訳をさせない####具体的な内部不正対策
1.資産管理
それぞれの情報にアクセス権を指定しアクセス管理を行う
機密情報に関しては秘密指定を行い外部漏洩しないように管理する
資産管理を行う際は__IT資産管理ツール__を用いることで円滑化2.持ち込み持ち出し管理
持ち出し可能や PC やスマートフォンなどの情報機器 USB メモリーといった記録媒体について
__持ち出しの証人記録等の管理を行う__
基本的に個人情報機器や記録媒体の業務利用持ち込みは原則禁止3.業務委託時の確認
事前にセキュリティ対策を確認し合意してから契約をする
委託先が対策を実施しているか定期的に確認する必要がある4.証拠確保
アク
Djangoを触ってると出てくる {% csrf token %} とは?ざっくり分かりやすく説明します!
Djangoでアプリケーション開発をしていてフォームを設置するときに、 {% csrf token %} というおまじないみたいなものを使いますが、こいつってそもそも何者なんでしょうか?
今回はエンジニア歴が浅い方や、非エンジニアの方向けに、このcsrf tokenが「何者なのか」というのを、ざっくりと分かりやすく書いていきます!
#そもそもCSRFって何?
csrf token を理解する前にまずは「csrf」がそもそも何かを少し説明します!
csrfを訳してみると
「サイト間を横断する(Cross Site)リクエストの偽造(Request Forgery)」
となり、__悪意のあるサイトが、被害者となるユーザのフリをして、別のサイトにリクエストを飛ばして、そこで悪さをする__といった内容になります。
これだけだと分かりづらいですね汗
なのでまずはcsrfによるトラブル例をご紹介して、
それぞれのステップで何が起きているかを説明していきます!注:この記事ではcsrfの概念の理解のために厳密な表現を避けております。あくまでcsrfが全く分からない!という方が少しで
セキュリティなんも分からん~CSRFの巻。
セキュリティなんも分からんけど、勉強の為に今のうちにまとめておこうというもの。
__信ぴょう性ゼロの雰囲気記述。__書いてあることが間違っていて、もし私に伝えて下さる心のお優しい方がいらっしゃればご指摘ください。
#CSRFについて考える前に
CSRF。しーさーふって言うらしいです。私はしーえすあーるえふって読んでました
これを理解するために
– リクエストはどこのサイトからどこのサイトへも出来るということ
– クッキーは自動的に送信されてしまうことを理解しておく必要があります。理解している人は、`CSRFについて考える前に`の章は飛ばして本題から見てください。
では、ぼちぼち書いていきます。
## リクエストはどこのサイトからどこのサイトへも出来る
スクール時代に書いていたサイトを出してきました。このサイトをAとします。
ファイアウォールについて備忘録
*ファイアウォールとは
・外部ネットワークからのサイバー攻撃や不正アクセスを防ぐセキュリティ機能
・インターネットと自ネットワークの境界に設置し、外部からの攻撃を監視・制御する*3つのタイプ
【パケットフィルタリング型】
(L3:ネットワーク層〜L2:データリンク層)・通信パケットのヘッダを確認してフィルタリング
⇨送信元アドレスや宛先アドレスなどをチェック
・仕組みはシンプルだがパケットを見ただけでは判別できない攻撃は防げない(例:バッファオーバーフロー攻撃など)
・その他のセキュリティ製品などと併用が基本【サーキットレベルゲートウェイ型】
(L6:プレゼンテーション層〜L4:トランスポート層)・「トランスポート層」レベルの通信を監視・制御する方式
・コネクション単位の制御も可能
◎パケットフィルタリングよりも管理が楽【アプリケーションゲートウェイ型】
(L7:アプリケーション層〜L5:セッション層)・従来のパケットフィルタリングより、より詳細に許可する通信を特定・制御する
・HTTP、SMTPなどのアプリケーションプロトコル毎に通信を制
PPAP とは
## 勉強前イメージ
ピコ太郎しか出てこないーーー
## 調査
### PPAP とは
パスワード付きZIPファイルを送り、パスワードを別で送るメール送信手法です。
下記の頭文字を取ったものです。
`P` : passwordつきzipファイルを送ります。
`P` : passwordを送ります。
`A` : 暗号化します
`P` : プロトコル元々は情報漏えい防止などのセキュリティ観点で使用されていましたが、
昨今ではセキュリティ上の課題があることで廃止される動きが進んでいます。### セキュリティ上の課題とは
– パスワードの盗み見を防げるとは限らない
パスワードとファイルを別で送ったとしても
メールが盗聴されてる場合にはどちらも見られてしまうので
ファイルの中身も見られてしまいます。– パスワードが解析できる
暗号化されたパスワードはかんたんに解析できてしまう事実はあります。
– ウイルスチェックをすり抜ける
パスワード付きzipファイルはウイルス対策ソフトをすり抜けてしまいます。
それを利用して、マルウェアを送るという手法も存在しますので推奨されて
セキュリティの話
#はじめに#
プログラミングを学習しているとセキュリティについては必ず考えなければなりません。
今回は
・なぜセキュリティを考えなければならないのか
・主な攻撃手法とその対策
という点についてまとめていきたいと思います。#なぜセキュリティを考えなければならないのか#
プログラミングを勉強しているとセキュリティ対策はしっかりしましょう!という話をよく聞くと思います。結構考えるのも面倒ですし実装するのも面倒なので、えー・・・と思う方もおられるかもしれません。
しかし、世の中には悪いことを考える人がたくさんいます。SNSでなりすまして詐欺を働いたり、データベースから情報を抜き取って悪用したり、といった感じです。自分しか使わないようなアプリならそれほど気にする必要はないかもしれませんが、多くの人が使うアプリであれば、そしてそれが個人情報やクレジットカード情報などを扱うようなものであれば十分注意する必要があります。#主な攻撃手法とその対策#
それでは主な攻撃手法とその対策について見ていきましょう。##XSS(クロスサイトスクリプティング)##
XSS(クロスサイトスクリ
3分で読める「ウェブ健康診断」のすゝめ
#はじめに
本記事はIPAが公開している『[ウェブ健康診断](https://www.ipa.go.jp/files/000017319.pdf)』の要約記事です。
引用元pdfも短いので興味ある方はそちらを読むことを推奨しますが、「pdfってなんか読む気なくす…」っていうめんどくさがりさん向け記事です。#目次
1.[ウェブ健康診断って?](#1ウェブ健康診断って?)
2.[対象の脆弱性](#2対象の脆弱性)
3.[総合判定所見](#3総合判定所見)#1.ウェブ健康診断って?
IPAが公開しているwebアプリケーションの**簡易検査マニュアル**です。危険度の高い13個のwebアプリケーションの脆弱性の有無を、BurpSuiteのようなツールを使うことでとても簡単に検査できます。一方で、以下に引用したようにあくまで**簡易的な検査**であることを忘れてはいけません。
脆弱性が発見されたら**より詳細な検査を行う必要があり**、健康診断で見つからなくても**脆弱性がある可能性があります**。>ウェブ健康診断は「基本的な対策が出来ているかどうかを診断するもの」とご理解く
【情報セキュリティマネジメント】第2章 「セキュリティ管理」
# ・単語
###27000シリーズ
情報セキュリティーの管理リスク制限におけるベストプラクティスが示されているもの
日本ではJISQ27000シリーズとして規格化されている###ISO/IEC 15408
セキュリティ技術を評価する規格###ISO/IEC 27000
ISO(国際標準化機構)とIEC(国際電気標準会議)が共同で策定する情報セキュリティー規格群* ISO/IEC27000:企画の概要や使用される用語について
* ISO/IEC27001:確立、導入、運用、監視、改善するための要求事項を規定している
* ISO/IEC27002:様々な管理策が記載されているもの
* ISO/IEC27003:維持及び改善するためのガイダンス企画
* ISO/IEC27004:有効性を評価するための測定方法の開発及び使用に関するガイダンス
* ISO/IEC27005:リスクマネジメントガイダンス
* ISO/IEC27017:クラウドサービスの情報セキュリティー管理策の実施に関する規格###SOC (Security Operation Center)
顧客のセキュリ
AWSのパスワードポリシー設定方法
[zenn](https://zenn.dev/mo_ri_regen/articles/aws-password-policy)にも同様の記事を書いています。更新頻度はzennのほうが多めです?
コンソールにログインするためのカスタムパスワードポリシーの設定を行おうと思います。
IAMからカスタムパスワードポリシーの設定ができます。ちなみにデフォルトでは下記のようなパスワードポリシーになっています。
> パスワードの文字数制限: 8~128 文字
> 大文字、小文字、数字、! @ # $ % ^ & * ( ) _ + – = [ ] { } | ‘ 記号のうち、最低 3 つの文字タイプの組み合わせ
> AWS アカウント名または E メールアドレスと同じでないこと## コンソールで設定
1. [コンソール](https://console.aws.amazon.com/iam/)にサインインして、左ペインのダッシュボードにアカウント設定があるのでそれをクリックします。
# はじめに
個人開発をする中でセキュリティに関する知識が不足していたので、この際に学習しようということで記事にまとめていこうと思います。今回はXSSについてまとめていきたいと思います。# XSSとは
XSSとは、`スクリプトを埋め込むことが可能な脆弱性のあるWebサイトに悪意ある攻撃者がサイト内に不正スクリプトを埋め込み、ブラウザ上で不正スクリプトを実行させる`攻撃です。
不正なスクリプト実行による被害は以下のようなものがあります。– Cookieを奪われる。Cookieを奪われるということは認証情報を奪われることと同義でアカウントの乗っ取りなどに繋がる。
– Cookieに個人情報が格納されている場合、個人情報の漏洩にも繋がる。(そもそもCookie内のセッション情報を暗号化していない時点で脆弱性がある)# XSSの発生フロー
発生フローは以下画像を参照してください。
※引用:[安全なウェブサイトの作り方 – 1.5 クロスサイト・スクリプティング]
![](https://storage.googleapis.com/zenn-user-upload/43547c
CSRF(クロスサイトリクエストフォージェリー)
# はじめに
個人開発をする中でセキュリティに関する知識が不足していたので、この際に学習しようということで記事にまとめていこうと思います。今回はCSRFについてまとめていきたいと思います。# CSRFとは
CSRFとは、`悪意ある攻撃者がサイト内にスクリプトを埋め込み、ログイン中ユーザーがそれを実行することにより、ユーザーが意図しないリクエストを実行させられる`攻撃です。
意図しないリクエストによる被害例として以下があります。
– ユーザー情報(パスワードなど)を書き換えられる
– 利用中のwebサービスを退会させられてしまう上記はあくまで一例であって、ログイン中の機能の全てを意図せず実行させられる危険性があります。もし仮にクレジット決済機能があれば不正利用される可能性があります。
# CSRFの発生フロー
発生フローは以下画像を参照してください。
※引用:[安全なウェブサイトの作り方 – 1.6 CSRF(クロスサイト・リクエスト・フォージェリ)](https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_6.html))
【Azure】CosmosDBを使っている人は今すぐプライマリキーを更新しよう
[ChaosDB: How we hacked thousands of Azure customers’ databases](https://www.wiz.io/blog/chaosdb-how-we-hacked-thousands-of-azure-customers-databases)ってのを見つけたんだけど、なんか日本語記事が[ロイターのよくわからんの](https://jp.reuters.com/article/microsoft-security-idJPKBN2FS035)しか見当たらないので注意喚起のため軽く紹介します。
# FAQ
## 誰が対象?
・Jupyter Notebookを有効化したCosmosDBは全て。
・2021年2月以降に作成したCosmosDBは全て。## 何をすればいい?
[MSの記事](https://docs.microsoft.com/azure/cosmos-db/secure-access-to-data#primary-keys)を参考に、CosmosDBのプライマリキーを新しく発行して更新する。
# Ch
Fargateでもセキュリティ対策がしたい(DeepSecurity)
# はじめに
Fargateを採用!でもセキュリティ対策が分からん!
「Fargate セキュリティ対策」で検索しても、広告と「Fargateはセキュリティ対策不要」という記事しか表示されん!
という、主に企業ではたらくエンジニアさん向けの記事です。# 要約
– Fargateのセキュリティ対策の選択肢は、大きく3つ
– サイドカー
– RASP(アプリに埋め込む)
– 経路上で対策する
– 今回はRASP方式の「Cloud One」を使うアプローチのお話
– Cloud OneはDeepSecurit後継製品
– Cloud One自体の情報は少ないが、(~~ググっても出てこない~~)[ドキュメント](https://cloudone.trendmicro.com/docs/application-security/)は丁寧なので導入は楽なはず
– ちなみにFargate以外のサーバレス製品(Lambdaとか)でも動く!
– 対応言語はPython/Java/PHP/Node.JS/.NET# Fargateのセキュリティ対策
Farg
あなたのAWS S3は安全ですか?
## はじめに
みなさま、超ウキウキするイベントが開催されていることはご存知でしょうか。
TrendMicro社が開催する以下の**イベントで大賞を取ると、超大盤振る舞い、アマゾンギフト券10万円分が手にできます!!**
TrendMicro社が誇るクラウドセキュリティ製品について学びを深めることができて、なおかつ商品ゲットのチャンスもあるということで、参加するしかない…!!と本記事を執筆するに至りました。https://qiita.com/official-events/21bbb48549a4a68172a4
ギフト券を取るぞという気持ち半分、公平な目線でTrendMicroの製品を評価していき、より良い記事にしたいと考えています。
**アプリケーションでAWS S3を利用している方に、ぜひご覧いただけますと幸いです。
まだ利用されたことがない方も、AWS S3をアプリケーションを利用する機会も増えていると思いますので、ぜひ未来のためにご参考ください。**## AWS S3のセキュリティって意識できてますか?
突然ですが、AWS S3のセキュリティについて、しっ
NISTとは?SP800とは?FIPSとは?
#はじめに
お仕事でNIST SP800シリーズを読む機会がありました。
その中で、そもそもNISTって何?SP800って何?と自問自答した時に、アメリカの権威ある人たちが作った由緒正しい文書^^;程度の知識しかなかったので、同じような人たちに対するカンペとして書きました。~~「IPAのサイトに全部載ってるじゃん」なんて言わないで。~~#組織について
##NISTとは?
アメリカの米国国立標準技術研究所のこと。(National Institute of Standards and Technology)##ITLとは?
NISTの中で、情報技術に関する研究を行っている人たち。(Information Technology Laboratory)##CSDとは?
ITLの中でコンピューターセキュリティに関する研究や文書の発行をしている人たち。(Computer Security Division)
後述のSP800シリーズやFIPSを作ってる人たちである。#文書について
IPAが日本でニーズが高いと想定される文書を翻訳してくださってます。(ありがたやありがたや
http
Trend Micro Cloud One Workload Security の無償版を有償版にアップグレードする
## はじめに
初めに無償版のCloud One Workload Securityを使い始めて、有償版にするための手順の紹介です。難しい作業ではないですが、一つだけ注意点があります。
## 無償版とは
Cloud Oneは使用開始から30日間、[無償版を提供しています](https://cloudone.trendmicro.com/docs/jp/billing/free-trial/)。
WorkloadSecurityであれば5台までなど制限がありますが、本番環境でも制限事項の範囲内であれば使っていきたいですよね。
## 前提
無償版を使用している状態から、[AWS MarketPlaceの有償版](https://aws.amazon.com/marketplace/pp/prodview-g232pyu6l55l4)を使用することとします。
## 有償版にする
CloudOneにログイン後のTop画面から、「サブスクリプションの管理」をクリックします。
![C1WS ACT08.png](https://qiita-image-store.s3
【ハッキングラボ】第1章~第3章 事前準備
最近__「ハッキングラボのつくりかた」__という書籍を購入したので
自己用のメモがてら投稿しました。* 仮想環境OS:kali Linux
– ※定期的にapt-updateとパッケージのアップデートをしておくこと※
– ローカルログインはKali側のターミナル、リモートSSHはwindows側のTeraTermから
#一般知識メモ (注意点など.. )
#####- ITセキュリティ概要
1995年頃のセキュリティに関してはガバガバであり、世間的に重要視されるようになったのは
2000年頃から「セキュリティ」というものが謳われるようになったため歴史は浅いという印象#####- Kali Linux
Debianベースのペネトレーションテスト用のLinuxのディストリビューション#####- NAS
Network Attached Strage
ネットワーク接続によるハードディスク#####- APT
Debianに搭載されているパッケージ管理システム#####- ハイパーバイザー型
ホストOSはWindows、MacOSなどの上に仮想化ソフトを入れる
AWSアクセスキー流出と対策について
#きっかけ
AWS上のセキュリティについて調べるきっかけとなったのは、github上へのアクセスキーの流出です。
ポートフォリオ作成途中、Docker環境上でいろいろ試行錯誤するためにアクセスキーをベタ打ちしてしまっていたのを忘れてローカルリポジトリにpushしてしまいました。
即座に、AWSから警告のメールが届きよくよく調べてみるとそのままでは、不正利用されてしまい高額請求がくる恐れがあることがわかりました。
そこで以下に流出した際のとるべき対応と対策をまとめます。#流出してしまったら
以下、AWSから指示された対応手順に沿って記載します。
##①アクセスキー無効化、削除する
まずは、一番にアクセスキーを使用できない状態にしましょう。**(これが一番大事です)**
**たとえ公開リポジトリを削除したとしても、すでにアクセスキーが漏洩してしまっていたら悪用されてしまいます。**すでにアプリケーション等で使用している場合は、交換する必要があるのでまずは削除せずに以下の手順で無効化します。
①二つ目のアクセスキーを作成する
②流出したキーを無効化する
③アプリケーションに新しい鍵を