今さら聞けないセキュリティ　2021年09月16日

Webシステムのセキュリティについてのまとめ③

# はじめに
近年、多様化しているサイバー攻撃を耳に挟みます。こういった脅威に備えるためには、サイバー攻撃がどういったものであるのかを理解する必要性があると思い、記事にまとめて行きたいと思います。

#サイバー攻撃の目的
代表例として、金銭の要求。他にも、不満を持つ企業や組織が運営するシステムにダメージを与えて、損害を発生させることを目的としたサイバー攻撃もある。

#DDoS攻撃
DDoSとは「Distributed Denial of Service attack」の略で短時間にサーバーが処理できないような大量のアクセスを行うことで、サービスを妨害する攻撃。

# SQLインジェクション
悪意のある第三者が、セキュリティの甘いWebサイトのフォームに、DBが解釈できるコマンドを実施。それにより不正な命令文を「インジェクション（注入）」するサイバー攻撃を、SQLインジェクションと呼ぶ。その結果、データベースの情報が漏えいしたり、改ざん・消去されたりする場合があります。

#ウイルス
ウイルスは、コンピュータに侵入する不正プログラムで、利用者がメールの添付ファイルを開くことやWebサイ

【情報セキュリティマネジメント】第5章「マネジメントについて」

####システム監査
監査とは遵守すべき法令や基準に照らし合わせ、それに則っているか
証拠を収集し利害関係者に伝達すること
カーサの業務にはその対象によって、セキュリティの監査コンプライアンスの監査と様々ある
・内部監査
・外部監査
組織内か組織外かからでも監査の方法が異なり
・保証型監査
・助言型監査
適切があることを保証するのか改善提案を行うのかによっても異なる

####目的
総合的に点検、評価、検証することで
安全性、信頼性、戦略性、効率性をさらに高め経営方針や戦略目的の実現に取り組むことができる

####監査人
・独立性
身分上独立している外観上の独立性
公正かつ客観的に監査判断ができるような精神上の独立性も求められる
切実性があると共に、専門能力を持って職務を実施する必要がある

####監査手順
1.監査計画の咲く
2.予備検査：十分な監査証拠を入手するための手順、ヒアリングを行う
3.本調査：重要な監査証拠を入手する、現場調査屋資料チェックが主
4.評価結論

####監査報告
監査報告書を作成し依頼主に提出
・指摘事項
・改善勧告
明確に参考資料として添付すること

【情報セキュリティマネジメント】第4章「情報セキュリティ関連法規」

#関連法規

####サイバーセキュリティ基本法
内閣にサイバーセキュリティ戦略本部を設置することが定められている

####そもそもサイバーセキュリティとは
サイバーセキュリティ基本法の第2項
「サイバー攻撃に対する防御行為全般」をサイバーセキュリティと記されている

####サイバーセキュリティ戦略本部
内閣サイバーセキュリティセンター(NISC)内に
設置されたサイバーセキュリティ戦略本部は
国のサイバーセキュリティ対策の司令塔である

各業界や団体が協力し専門機関等から得られた対策情報を戦略的かつ迅速に共有するための仕組みとしてサイバーセキュリティ協議会が創設されている

####不正アクセス禁止法
被害がなくても不正アクセスをしただけや、それを助けただけの助長行為も処罰の対象になる、同じく不正目的で利用者のIDやパスワードの情報集めただけでも処罰の対象となる

対策としてアクセス制御機能お餅行って利用者のアクセス制限をすることが推奨されている

####不正アクセス行為
具体的に次のようなことが想定されてい
・なりすまして認証を行う
・認証を行わずにコンピュータ資源にアクセス

Webシステムのセキュリティについてのまとめ②

# 振り返り
情報セキュリティとは3要素あり、どういった要素が満たされていれば情報セキュリティがしっかりしているといえるのかが理解できました。今回は「情報セキュリティリスク」について学習したことをまとめて行きたいと思います。
なぜ、リスクを考えるべきかと言うとこれらのセキュリティが甘いと損害やシステムに影響を起こりうる為、「情報セキュリティリスク」を知る必要性があるため今回学びました。

https://qiita.com/kinoshitaken123/items/f36d28ae80b8f9dede5b

情報セキュリティとは3要素って気になった人は、こちらを参照ください。

#情報セキュリティにおける「リスク」とは

情報セキュリティにおける「リスク」とは、損害や影響を発生させる可能性のこと。


情報セキュリティの構成要素は、不正

Webシステムのセキュリティについてのまとめ①

#はじめに
セキュリティを理解するために学んだことをアウトプットして理解を深めたいと思います。

# 背景
現在の日常においてWebサイトは生活の一部となっている。
一方で、それを逆手にWebシステム上の精密情報を抜き取り、不正な攻撃で狙いを定める攻撃者の犯罪行為は後を絶たない。そのため、Webシステムの運営にあたってセキュリティ対策が必要となっている

#情報セキュリティの３要素

情報セキュリティとは情報の「機密性」「完全性」「可用性」を維持することとされている。
これらの要素を情報セキュリティの３要素と呼んでいる。

また、情報セキュリティの3要素は、以下3つの用語を英語表記したときの頭文字を取って「CIA」と呼ばれています。

* 機密性（confidentiality）
* 完全性（integrity）
* 可用性（availability）

それぞれ深掘りして内容をみてみましょう！

#「機密性」
機密性は、情報を認められた人だけが使用できるような状態であること。
イメージとして、家の鍵は家族だけしか使用できないニュアンスです。
第三者の他の鍵で開いたら困りますね。
!

個人ができるセキュリティまとめ

#はじめに
なぜこの記事を書こうとおもったきっかけはエンジニアの先輩が担当している案件でセキュリティ事故がおこりそうになったという事を聞き改めてエンジニアにとってのセキュリティとは？を考えた。本記事はその備忘録という意味も込めて共有する事とします。

#セキュリティとは
>セキュリティ（英: security）は、人、住居、地域社会、国家、組織、資産などを対象とした、害からの保護。
一般には保安のことであり、犯罪や事故などを防止するための警備全般を指す。
[Wikipediaより引用](https://ja.wikipedia.org/wiki/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3)

と広義の意味においてはその対象が広くなんのこっちゃ？？となります。
ですがセキュリティとは仕事においてのみ考えなくてはならない事ではなく、個人においても自分を守る観点から必要なことであるという事が言えるでしょう。

#情報セキュリティとは
と、いう事で本題。まず情報セキュリティとは以下の3点を確保する事を指します。

**

【情報セキュリティマネジメント】第3章「情報セキュリティ対策」

#人的なセキュリティ対策
ガイドラインを作成し啓発活動を行う
組織における内部不正を防止するためには内部不正対策の体制を構築することが重要

###基本的に五つの原則によって構成される
1.犯罪を難しくする：やりにくくする
2.捕まるリスクを高める：やると見つかる
3.犯罪の見返りを減らす：割に合わない
4.犯罪の誘因を減らす：その気にさせない
5.犯罪の弁明をさせない：言い訳をさせない

####具体的な内部不正対策
1.資産管理
それぞれの情報にアクセス権を指定しアクセス管理を行う
機密情報に関しては秘密指定を行い外部漏洩しないように管理する
資産管理を行う際は__IT資産管理ツール__を用いることで円滑化

2.持ち込み持ち出し管理
持ち出し可能や PC やスマートフォンなどの情報機器 USB メモリーといった記録媒体について
__持ち出しの証人記録等の管理を行う__
基本的に個人情報機器や記録媒体の業務利用持ち込みは原則禁止

3.業務委託時の確認
事前にセキュリティ対策を確認し合意してから契約をする
委託先が対策を実施しているか定期的に確認する必要がある

4.証拠確保
アク

Djangoを触ってると出てくる {% csrf token %} とは？ざっくり分かりやすく説明します！

Djangoでアプリケーション開発をしていてフォームを設置するときに、 {% csrf token %} というおまじないみたいなものを使いますが、こいつってそもそも何者なんでしょうか？

今回はエンジニア歴が浅い方や、非エンジニアの方向けに、このcsrf tokenが「何者なのか」というのを、ざっくりと分かりやすく書いていきます！

#そもそもCSRFって何？

csrf token を理解する前にまずは「csrf」がそもそも何かを少し説明します！

csrfを訳してみると
「サイト間を横断する(Cross Site)リクエストの偽造(Request Forgery)」
となり、

__悪意のあるサイトが、被害者となるユーザのフリをして、別のサイトにリクエストを飛ばして、そこで悪さをする__といった内容になります。

これだけだと分かりづらいですね汗

なのでまずはcsrfによるトラブル例をご紹介して、
それぞれのステップで何が起きているかを説明していきます！

注：この記事ではcsrfの概念の理解のために厳密な表現を避けております。あくまでcsrfが全く分からない！という方が少しで

セキュリティなんも分からん～CSRFの巻。

セキュリティなんも分からんけど、勉強の為に今のうちにまとめておこうというもの。
__信ぴょう性ゼロの雰囲気記述。__

書いてあることが間違っていて、もし私に伝えて下さる心のお優しい方がいらっしゃればご指摘ください。

#CSRFについて考える前に

CSRF。しーさーふって言うらしいです。私はしーえすあーるえふって読んでました

これを理解するために

– リクエストはどこのサイトからどこのサイトへも出来るということ
– クッキーは自動的に送信されてしまうこと

を理解しておく必要があります。理解している人は、`CSRFについて考える前に`の章は飛ばして本題から見てください。

では、ぼちぼち書いていきます。

## リクエストはどこのサイトからどこのサイトへも出来る

スクール時代に書いていたサイトを出してきました。このサイトをAとします。

ファイアウォールについて備忘録

＊ファイアウォールとは
・外部ネットワークからのサイバー攻撃や不正アクセスを防ぐセキュリティ機能
・インターネットと自ネットワークの境界に設置し、外部からの攻撃を監視・制御する

＊３つのタイプ

　【パケットフィルタリング型】
（L3：ネットワーク層〜L2：データリンク層）

・通信パケットのヘッダを確認してフィルタリング
　⇨送信元アドレスや宛先アドレスなどをチェック
・仕組みはシンプルだがパケットを見ただけでは判別できない攻撃は防げない（例：バッファオーバーフロー攻撃など）
・その他のセキュリティ製品などと併用が基本

　【サーキットレベルゲートウェイ型】
（L6：プレゼンテーション層〜L4：トランスポート層）

・「トランスポート層」レベルの通信を監視・制御する方式
・コネクション単位の制御も可能
◎パケットフィルタリングよりも管理が楽

　【アプリケーションゲートウェイ型】
（L7：アプリケーション層〜L5：セッション層）

・従来のパケットフィルタリングより、より詳細に許可する通信を特定・制御する
・HTTP、SMTPなどのアプリケーションプロトコル毎に通信を制

PPAP とは

## 勉強前イメージ

ピコ太郎しか出てこないーーー

## 調査

### PPAP とは

パスワード付きZIPファイルを送り、パスワードを別で送るメール送信手法です。
下記の頭文字を取ったものです。
`P` : passwordつきzipファイルを送ります。
`P` : passwordを送ります。
`A` : 暗号化します
`P` : プロトコル

元々は情報漏えい防止などのセキュリティ観点で使用されていましたが、
昨今ではセキュリティ上の課題があることで廃止される動きが進んでいます。

### セキュリティ上の課題とは

– パスワードの盗み見を防げるとは限らない

パスワードとファイルを別で送ったとしても
メールが盗聴されてる場合にはどちらも見られてしまうので
ファイルの中身も見られてしまいます。

– パスワードが解析できる

暗号化されたパスワードはかんたんに解析できてしまう事実はあります。

– ウイルスチェックをすり抜ける

パスワード付きzipファイルはウイルス対策ソフトをすり抜けてしまいます。
それを利用して、マルウェアを送るという手法も存在しますので推奨されて

セキュリティの話

#はじめに#
　プログラミングを学習しているとセキュリティについては必ず考えなければなりません。
今回は
・なぜセキュリティを考えなければならないのか
・主な攻撃手法とその対策
という点についてまとめていきたいと思います。

#なぜセキュリティを考えなければならないのか#
　プログラミングを勉強しているとセキュリティ対策はしっかりしましょう！という話をよく聞くと思います。結構考えるのも面倒ですし実装するのも面倒なので、えー・・・と思う方もおられるかもしれません。
　しかし、世の中には悪いことを考える人がたくさんいます。SNSでなりすまして詐欺を働いたり、データベースから情報を抜き取って悪用したり、といった感じです。自分しか使わないようなアプリならそれほど気にする必要はないかもしれませんが、多くの人が使うアプリであれば、そしてそれが個人情報やクレジットカード情報などを扱うようなものであれば十分注意する必要があります。

#主な攻撃手法とその対策#
　それでは主な攻撃手法とその対策について見ていきましょう。

##XSS(クロスサイトスクリプティング)##
　XSS(クロスサイトスクリ

3分で読める「ウェブ健康診断」のすゝめ

#はじめに
本記事はIPAが公開している『[ウェブ健康診断](https://www.ipa.go.jp/files/000017319.pdf)』の要約記事です。
引用元pdfも短いので興味ある方はそちらを読むことを推奨しますが、「pdfってなんか読む気なくす…」っていうめんどくさがりさん向け記事です。

#目次
1.[ウェブ健康診断って？](#1ウェブ健康診断って？)
2.[対象の脆弱性](#2対象の脆弱性)
3.[総合判定所見](#3総合判定所見)

#1.ウェブ健康診断って？
IPAが公開しているwebアプリケーションの**簡易検査マニュアル**です。危険度の高い13個のwebアプリケーションの脆弱性の有無を、BurpSuiteのようなツールを使うことでとても簡単に検査できます。

一方で、以下に引用したようにあくまで**簡易的な検査**であることを忘れてはいけません。
脆弱性が発見されたら**より詳細な検査を行う必要があり**、健康診断で見つからなくても**脆弱性がある可能性があります**。

>ウェブ健康診断は「基本的な対策が出来ているかどうかを診断するもの」とご理解く

【情報セキュリティマネジメント】第2章 「セキュリティ管理」

# ・単語
###27000シリーズ
情報セキュリティーの管理リスク制限におけるベストプラクティスが示されているもの
日本ではJISQ27000シリーズとして規格化されている

###ISO/IEC 15408
セキュリティ技術を評価する規格

###ISO/IEC 27000
ISO(国際標準化機構)とIEC(国際電気標準会議)が共同で策定する情報セキュリティー規格群

* ISO/IEC27000：企画の概要や使用される用語について
* ISO/IEC27001：確立、導入、運用、監視、改善するための要求事項を規定している
* ISO/IEC27002：様々な管理策が記載されているもの
* ISO/IEC27003：維持及び改善するためのガイダンス企画
* ISO/IEC27004：有効性を評価するための測定方法の開発及び使用に関するガイダンス
* ISO/IEC27005：リスクマネジメントガイダンス
* ISO/IEC27017：クラウドサービスの情報セキュリティー管理策の実施に関する規格

###SOC (Security Operation Center)
顧客のセキュリ

AWSのパスワードポリシー設定方法

[zenn](https://zenn.dev/mo_ri_regen/articles/aws-password-policy)にも同様の記事を書いています。更新頻度はzennのほうが多めです?

コンソールにログインするためのカスタムパスワードポリシーの設定を行おうと思います。
IAMからカスタムパスワードポリシーの設定ができます。

ちなみにデフォルトでは下記のようなパスワードポリシーになっています。

> パスワードの文字数制限: 8～128 文字
> 大文字、小文字、数字、! @ # $ % ^ & * ( ) _ + – = [ ] { } | ‘ 記号のうち、最低 3 つの文字タイプの組み合わせ
> AWS アカウント名または E メールアドレスと同じでないこと

## コンソールで設定

1. [コンソール](https://console.aws.amazon.com/iam/)にサインインして、左ペインのダッシュボードにアカウント設定があるのでそれをクリックします。

XSS(クロスサイトスクリプティング)

# はじめに
個人開発をする中でセキュリティに関する知識が不足していたので、この際に学習しようということで記事にまとめていこうと思います。今回はXSSについてまとめていきたいと思います。

# XSSとは
XSSとは、`スクリプトを埋め込むことが可能な脆弱性のあるWebサイトに悪意ある攻撃者がサイト内に不正スクリプトを埋め込み、ブラウザ上で不正スクリプトを実行させる`攻撃です。
不正なスクリプト実行による被害は以下のようなものがあります。

– Cookieを奪われる。Cookieを奪われるということは認証情報を奪われることと同義でアカウントの乗っ取りなどに繋がる。
– Cookieに個人情報が格納されている場合、個人情報の漏洩にも繋がる。(そもそもCookie内のセッション情報を暗号化していない時点で脆弱性がある)

# XSSの発生フロー
発生フローは以下画像を参照してください。
※引用:[安全なウェブサイトの作り方 – 1.5 クロスサイト・スクリプティング]
![](https://storage.googleapis.com/zenn-user-upload/43547c

CSRF(クロスサイトリクエストフォージェリー)

# はじめに
個人開発をする中でセキュリティに関する知識が不足していたので、この際に学習しようということで記事にまとめていこうと思います。今回はCSRFについてまとめていきたいと思います。

# CSRFとは
CSRFとは、`悪意ある攻撃者がサイト内にスクリプトを埋め込み、ログイン中ユーザーがそれを実行することにより、ユーザーが意図しないリクエストを実行させられる`攻撃です。
意図しないリクエストによる被害例として以下があります。
– ユーザー情報(パスワードなど)を書き換えられる
– 利用中のwebサービスを退会させられてしまう

上記はあくまで一例であって、ログイン中の機能の全てを意図せず実行させられる危険性があります。もし仮にクレジット決済機能があれば不正利用される可能性があります。

# CSRFの発生フロー
発生フローは以下画像を参照してください。
※引用:[安全なウェブサイトの作り方 – 1.6 CSRF（クロスサイト・リクエスト・フォージェリ）](https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_6.html))

【Azure】CosmosDBを使っている人は今すぐプライマリキーを更新しよう

[ChaosDB: How we hacked thousands of Azure customers’ databases](https://www.wiz.io/blog/chaosdb-how-we-hacked-thousands-of-azure-customers-databases)ってのを見つけたんだけど、なんか日本語記事が[ロイターのよくわからんの](https://jp.reuters.com/article/microsoft-security-idJPKBN2FS035)しか見当たらないので注意喚起のため軽く紹介します。

# FAQ

## 誰が対象？

・Jupyter Notebookを有効化したCosmosDBは全て。
・2021年2月以降に作成したCosmosDBは全て。

## 何をすればいい？

[MSの記事](https://docs.microsoft.com/azure/cosmos-db/secure-access-to-data#primary-keys)を参考に、CosmosDBのプライマリキーを新しく発行して更新する。

# Ch

Fargateでもセキュリティ対策がしたい（DeepSecurity）

# はじめに

Fargateを採用！でもセキュリティ対策が分からん！
「Fargate セキュリティ対策」で検索しても、広告と「Fargateはセキュリティ対策不要」という記事しか表示されん！
という、主に企業ではたらくエンジニアさん向けの記事です。

# 要約

– Fargateのセキュリティ対策の選択肢は、大きく3つ
– サイドカー
– RASP（アプリに埋め込む）
– 経路上で対策する
– 今回はRASP方式の「Cloud One」を使うアプローチのお話
– Cloud OneはDeepSecurit後継製品
– Cloud One自体の情報は少ないが、（~~ググっても出てこない~~）[ドキュメント](https://cloudone.trendmicro.com/docs/application-security/)は丁寧なので導入は楽なはず
– ちなみにFargate以外のサーバレス製品（Lambdaとか）でも動く！
– 対応言語はPython/Java/PHP/Node.JS/.NET

# Fargateのセキュリティ対策

Farg

あなたのAWS S3は安全ですか?

## はじめに

みなさま、超ウキウキするイベントが開催されていることはご存知でしょうか。
TrendMicro社が開催する以下の**イベントで大賞を取ると、超大盤振る舞い、アマゾンギフト券10万円分が手にできます!!**
TrendMicro社が誇るクラウドセキュリティ製品について学びを深めることができて、なおかつ商品ゲットのチャンスもあるということで、参加するしかない…!!と本記事を執筆するに至りました。

https://qiita.com/official-events/21bbb48549a4a68172a4

ギフト券を取るぞという気持ち半分、公平な目線でTrendMicroの製品を評価していき、より良い記事にしたいと考えています。

**アプリケーションでAWS S3を利用している方に、ぜひご覧いただけますと幸いです。
まだ利用されたことがない方も、AWS S3をアプリケーションを利用する機会も増えていると思いますので、ぜひ未来のためにご参考ください。**

## AWS S3のセキュリティって意識できてますか?

突然ですが、AWS S3のセキュリティについて、しっ