- 1. 【情報セキュリティマネジメント】第6章「テクノロジ ストラテジ」
- 2. Security Operation Center とは
- 3. 新・明解C言語入門編のプログラムをスタックオーバーフローを用いて変数を不正に上書きする
- 4. ACDLを提唱します。
- 5. Apple Silicon Mac(M1 Mac)で徳丸本の実習用仮想マシンを動かす
- 6. 【悪用ダメ】簡単★パスワードクラッキング
- 7. 【悪用ダメ】簡単★ポートスキャンまとめ
- 8. Webシステムのセキュリティについてのまとめ -サイバー攻撃編-
- 9. 【情報セキュリティマネジメント】第5章「マネジメントについて」
- 10. 【情報セキュリティマネジメント】第4章「情報セキュリティ関連法規」
- 11. Webシステムのセキュリティについてのまとめ②
- 12. Webシステムのセキュリティについてのまとめ①
- 13. 個人ができるセキュリティまとめ
- 14. 【情報セキュリティマネジメント】第3章「情報セキュリティ対策」
- 15. Djangoを触ってると出てくる {% csrf token %} とは?ざっくり分かりやすく説明します!
- 16. セキュリティなんも分からん~CSRFの巻。
- 17. ファイアウォールについて備忘録
- 18. PPAP とは
- 19. セキュリティの話
- 20. 3分で読める「ウェブ健康診断」のすゝめ
【情報セキュリティマネジメント】第6章「テクノロジ ストラテジ」
###RAID
複数台のハードディスクを接続して全体でひとつの記憶装置として扱う仕組み#####RAID0
複数台のハードディスクにデータを分析することで高速化したもの
ストライピングという#####RAID1
複数台のハードディスクに同時に同じデータ書き込み
ミラーリングという#####RAID3 RAID4
複数台のディスクのうち1台を誤り訂正用の
パリティディスクにし誤りが発生した場合に復元する
冗長様のディスクのようなもの#####RAID5
パリティをブロックごとに分散して通常時にもすべてのディスクを
使えるようにした方式#####RAID6
RAID5では1代のディスクが故障しても他のディスクの排他的論理和を
計算することで復元できる
しかし同時に二台壊れる場合もある、2台のディスクが故障しても支障がないようにした方式ををRAID6という###ストレージ
#####DAS(Direct Attached Storage)
サーバーにストレージを直接接続する従来の方法#####SAN(Storage Area Network)
サーバーとストレー
Security Operation Center とは
## 勉強前イメージ
365日24時間セキュリティ見守る人?
## 調査
### Security Operation Center とは
Security Operation Center 略して SOC、
サイバー攻撃の検出、分析を行いアドバイスを行う専門組織です。
通常時はネットワーク・デバイスの監視を行います。
背景としては、システムの環境もクラウドとの連携も行われることが多い昨今、
サイバー攻撃も多種多様になり、あらゆる手段で狙われるようになりました。
そういった中で各企業から需要が高まっています。
社内で行う場合もあれば、外部に委託する場合もあります。### SOCの主な業務
– アラート監視
アラートの検知を行います。
firewallやIDS/IPS、WAF、ADの認証サーバやwebフィルタリングなど
多岐にわたるデバイスのログをSIEMというシステムに集約し、検知を行います。– 分析
検知したアラートの分析、攻撃内容にして特定します。
– 調査
外部機関からのセキュリティ情報についての調査などを行います。
– 定期報告
発生したインシデン
新・明解C言語入門編のプログラムをスタックオーバーフローを用いて変数を不正に上書きする
諸兄は”はじめて学ぶバイナリ解析”という本をご存じだろうか。その名の通りバイナリについて書かれている本なのだが、その中にスタックオーバーフローを起こして変数の値を上書きするという項目があった。その項目を読んだとき、筆者はふと閃いた。「C言語を勉強していたときのプログラムってスタックオーバーフローで攻撃できるんじゃね?」そう思ったとき、筆者はいてもたってもいられずさっそくはるか昔に使っていた”新・明解C言語入門編”を取り出し、攻撃できそうなプログラムを探した。するとあったではないか!スタックオーバーフローにぴったりなプログラムが!ということで今回は”新・明解C言語入門編”に載っていたプログラムをスタックオーバーフローさせて不正な動作をさせようと思う。
#スタックオーバーフロー
実際に行う前にスタックオーバーフローについて軽く説明しよう。まず、メモリ上にはスタックと呼ばれる変数などのデータを保存しておく場所がある。その変数にあまりに大きすぎるデータが入ってしまうとデータがあふれてしまい(オーバーフロー)、他の変数の値を上書きしてしまうことがある。これがスタックオーバーフローだ。簡単に言
ACDLを提唱します。
#概要
クラウドは、嫌いなので、ACDLを提唱します。
#ACDLとは
アプリは、クラウド、大切なデータは、ローカル。
クラウドに、データは渡さない。
「その船を漕いでゆけ
おまえの手で漕いでゆけ
おまえが消えて喜ぶ者に
おまえのオールをまかせるな」#クラウドの危険性
基本サービスは無料、一部特別な機能や保存領域を増やすために課金が必要など、利便性が高く、無料で業務に役立つアプリはたくさんあります。
もちろん、そのどれもが通信とデータの暗号化、セキュリティ性の確保などが前提となっており、なおかつ信頼のおける企業や組織としての地位を確立していることから、
安心・安全だと信じてしまっても仕方ないと言えます。
しかし、何らかのデータを外部に預けるということは、リスクが発生するということでもあります。
外部アプリやクラウドサービスに依存するということは、リスクを増やすことと同義と留意しておく必要があります。
無料で利便性の高いアプリの中には、最初から利用規約でデータの取扱いについて明記しているものがほとんどです。
もちろん、有名かつ大手のアプリであれば、ユーザー側が一方的に不
Apple Silicon Mac(M1 Mac)で徳丸本の実習用仮想マシンを動かす
# はじめに
徳丸本(体系的に学ぶ安全なWEBアプリケーションの作り方 第2版)の実習用仮想マシンは、Apple Silicon Mac(M1 Mac)上では本書の手順通りでは動かすことができません。今回、Mac向けの仮想化環境である[UTM](https://mac.getutm.app)を使って何とか動かすことができましたので、備忘として公開します。# 想定する読者
– 徳丸本を買って実習しようとワクテカしてたけど、Apple Silicon Macしか持ってなくてつまづいてしまった方# なぜ動かない?
徳丸本の実習環境はx86系アーキテクチャCPU向けの仮想マシンとして構成されていますが、Apple SiliconのCPUはARMアーキテクチャであり**互換性がない**ためです。
VirtualBoxをはじめ、一般的なハイパーバイザーは異なるアーキテクチャ間の翻訳はしてくれません。# 使うもの
- Apple Silicon Mac
- 言わずもがなですね。本記事の執筆にあたってはMacBook Air(M1, 2020)で確認
【悪用ダメ】簡単★パスワードクラッキング
#初めに
どうも、クソ雑魚のなんちゃてエンジニアです。
皆さんこんな経験ありませんか?
「あああ!このZipファイルのパスワード忘れた!!わっかんね!どうやって開こう!!」そんな皆さんにこの記事を読んでいただき
「諦め….ないぞ!パスワードクラッキングだ!!(いや違うか??)」
といったマインドを持っていただけるように記載します。今回はお手持ちのWindows環境で簡単にパスワードクラッキングできるツールをご紹介いたします。
Kali Linuxという難しい環境は使いません。皆さんのビジネス環境は大体Windowsだと思いますので。___※悪用するのはやめてください。あくまで社会への貢献のためにこれらの技術を使用してください。法に触れるので。___
#目次
+ パスワードクラッキングの攻撃手法
+ ブルートフォース攻撃
+ リスト型攻撃
+ 使用するツール紹介
+ John the Ripper
+ Hashcat
+ 環境構築
+ John the Ripperダウンロード
+ Hashcatダウンロード
【悪用ダメ】簡単★ポートスキャンまとめ
#初めに
こんにちは、初投稿です。
未経験エンジニアのクソ雑魚です。何を思い立ってか、内気で引きこもってた僕が記事を書こうかなと思い始めました。
記念すべき初投稿内容は、公開サーバへのポートスキャン方法を書いてみようかなと。
___※悪用するのはやめてください。あくまでペネトレーションテストなどの社会への貢献のためにこれらの技術を使用してください。法に触れるので。___#目次
+ Openポート調査に役立つサイト
+ Nmapでのポートスキャン
+ 基礎編
+ 応用編
+ まとめ
#Openポート調査に役立つサイト
調査サイトは以下の二つです。
IoT機器のセキュリティ強化のために作られたサイトですね。+ [Shodan](https://www.shodan.io/)
+ [Censys](https://censys.io/ipv4)### Shodan
左上のSearch欄(灰色)に調べたいサイトのURLやIPを叩き込めばそのサイトの情報が見えます。」するサイバー攻撃を、SQLインジェクションと呼ぶ。その結果、データベースの情報が漏えいしたり、改ざん・消去されたりする場合があります。#ウイルス
ウイルスは、コンピュータに侵入する不正プログラムで、利用者がメールの添付ファイルを開くことやWebサイ
【情報セキュリティマネジメント】第5章「マネジメントについて」
####システム監査
監査とは遵守すべき法令や基準に照らし合わせ、それに則っているか
証拠を収集し利害関係者に伝達すること
監査の業務にはその対象によって、セキュリティの監査コンプライアンスの監査と様々ある
・内部監査
・外部監査
組織内か組織外かからでも監査の方法が異なり
・保証型監査
・助言型監査
適切があることを保証するのか改善提案を行うのかによっても異なる####目的
総合的に点検、評価、検証することで
安全性、信頼性、戦略性、効率性をさらに高め経営方針や戦略目的の実現に取り組むことができる####監査人
・独立性
身分上独立している外観上の独立性
公正かつ客観的に監査判断ができるような精神上の独立性も求められる
切実性があると共に、専門能力を持って職務を実施する必要がある####監査手順
1.監査計画
2.予備検査:十分な監査証拠を入手するための手順、ヒアリングを行う
3.本調査:重要な監査証拠を入手する、現場調査屋資料チェックが主
4.評価結論####監査報告
監査報告書を作成し依頼主に提出
・指摘事項
・改善勧告
明確に参考資料として添付すること###
【情報セキュリティマネジメント】第4章「情報セキュリティ関連法規」
#関連法規
####サイバーセキュリティ基本法
内閣にサイバーセキュリティ戦略本部を設置することが定められている####そもそもサイバーセキュリティとは
サイバーセキュリティ基本法の第2項
「サイバー攻撃に対する防御行為全般」をサイバーセキュリティと記されている####サイバーセキュリティ戦略本部
内閣サイバーセキュリティセンター(NISC)内に
設置されたサイバーセキュリティ戦略本部は
国のサイバーセキュリティ対策の司令塔である各業界や団体が協力し専門機関等から得られた対策情報を戦略的かつ迅速に共有するための仕組みとしてサイバーセキュリティ協議会が創設されている
####不正アクセス禁止法
被害がなくても不正アクセスをしただけや、それを助けただけの助長行為も処罰の対象になる、同じく不正目的で利用者のIDやパスワードの情報集めただけでも処罰の対象となる対策としてアクセス制御機能お餅行って利用者のアクセス制限をすることが推奨されている
####不正アクセス行為
具体的に次のようなことが想定されてい
・なりすまして認証を行う
・認証を行わずにコンピュータ資源にアクセス
Webシステムのセキュリティについてのまとめ②
# 振り返り
情報セキュリティとは3要素あり、どういった要素が満たされていれば情報セキュリティがしっかりしているといえるのかが理解できました。今回は「情報セキュリティリスク」について学習したことをまとめて行きたいと思います。
なぜ、リスクを考えるべきかと言うとこれらのセキュリティが甘いと損害やシステムに影響を起こりうる為、「情報セキュリティリスク」を知る必要性があるため今回学びました。https://qiita.com/kinoshitaken123/items/f36d28ae80b8f9dede5b
情報セキュリティとは3要素って気になった人は、こちらを参照ください。
#情報セキュリティにおける「リスク」とは
情報セキュリティにおける「リスク」とは、損害や影響を発生させる可能性のこと。
情報セキュリティの構成要素は、不正
Webシステムのセキュリティについてのまとめ①
#はじめに
セキュリティを理解するために学んだことをアウトプットして理解を深めたいと思います。# 背景
現在の日常においてWebサイトは生活の一部となっている。
一方で、それを逆手にWebシステム上の精密情報を抜き取り、不正な攻撃で狙いを定める攻撃者の犯罪行為は後を絶たない。そのため、Webシステムの運営にあたってセキュリティ対策が必要となっている#情報セキュリティの3要素
情報セキュリティとは情報の「機密性」「完全性」「可用性」を維持することとされている。
これらの要素を情報セキュリティの3要素と呼んでいる。また、情報セキュリティの3要素は、以下3つの用語を英語表記したときの頭文字を取って「CIA」と呼ばれています。
* 機密性(confidentiality)
* 完全性(integrity)
* 可用性(availability)それぞれ深掘りして内容をみてみましょう!
#「機密性」
機密性は、情報を認められた人だけが使用できるような状態であること。
イメージとして、家の鍵は家族だけしか使用できないニュアンスです。
第三者の他の鍵で開いたら困りますね。
!
個人ができるセキュリティまとめ
#はじめに
なぜこの記事を書こうとおもったきっかけはエンジニアの先輩が担当している案件でセキュリティ事故がおこりそうになったという事を聞き改めてエンジニアにとってのセキュリティとは?を考えた。本記事はその備忘録という意味も込めて共有する事とします。#セキュリティとは
>セキュリティ(英: security)は、人、住居、地域社会、国家、組織、資産などを対象とした、害からの保護。
一般には保安のことであり、犯罪や事故などを防止するための警備全般を指す。
[Wikipediaより引用](https://ja.wikipedia.org/wiki/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3)と広義の意味においてはその対象が広くなんのこっちゃ??となります。
ですがセキュリティとは仕事においてのみ考えなくてはならない事ではなく、個人においても自分を守る観点から必要なことであるという事が言えるでしょう。#情報セキュリティとは
と、いう事で本題。まず情報セキュリティとは以下の3点を確保する事を指します。**
【情報セキュリティマネジメント】第3章「情報セキュリティ対策」
#人的なセキュリティ対策
ガイドラインを作成し啓発活動を行う
組織における内部不正を防止するためには内部不正対策の体制を構築することが重要###基本的に五つの原則によって構成される
1.犯罪を難しくする:やりにくくする
2.捕まるリスクを高める:やると見つかる
3.犯罪の見返りを減らす:割に合わない
4.犯罪の誘因を減らす:その気にさせない
5.犯罪の弁明をさせない:言い訳をさせない####具体的な内部不正対策
1.資産管理
それぞれの情報にアクセス権を指定しアクセス管理を行う
機密情報に関しては秘密指定を行い外部漏洩しないように管理する
資産管理を行う際は__IT資産管理ツール__を用いることで円滑化2.持ち込み持ち出し管理
持ち出し可能や PC やスマートフォンなどの情報機器 USB メモリーといった記録媒体について
__持ち出しの証人記録等の管理を行う__
基本的に個人情報機器や記録媒体の業務利用持ち込みは原則禁止3.業務委託時の確認
事前にセキュリティ対策を確認し合意してから契約をする
委託先が対策を実施しているか定期的に確認する必要がある4.証拠確保
アク
Djangoを触ってると出てくる {% csrf token %} とは?ざっくり分かりやすく説明します!
Djangoでアプリケーション開発をしていてフォームを設置するときに、 {% csrf token %} というおまじないみたいなものを使いますが、こいつってそもそも何者なんでしょうか?
今回はエンジニア歴が浅い方や、非エンジニアの方向けに、このcsrf tokenが「何者なのか」というのを、ざっくりと分かりやすく書いていきます!
#そもそもCSRFって何?
csrf token を理解する前にまずは「csrf」がそもそも何かを少し説明します!
csrfを訳してみると
「サイト間を横断する(Cross Site)リクエストの偽造(Request Forgery)」
となり、__悪意のあるサイトが、被害者となるユーザのフリをして、別のサイトにリクエストを飛ばして、そこで悪さをする__といった内容になります。
これだけだと分かりづらいですね汗
なのでまずはcsrfによるトラブル例をご紹介して、
それぞれのステップで何が起きているかを説明していきます!注:この記事ではcsrfの概念の理解のために厳密な表現を避けております。あくまでcsrfが全く分からない!という方が少しで
セキュリティなんも分からん~CSRFの巻。
セキュリティなんも分からんけど、勉強の為に今のうちにまとめておこうというもの。
__信ぴょう性ゼロの雰囲気記述。__書いてあることが間違っていて、もし私に伝えて下さる心のお優しい方がいらっしゃればご指摘ください。
#CSRFについて考える前に
CSRF。しーさーふって言うらしいです。私はしーえすあーるえふって読んでました
これを理解するために
– リクエストはどこのサイトからどこのサイトへも出来るということ
– クッキーは自動的に送信されてしまうことを理解しておく必要があります。理解している人は、`CSRFについて考える前に`の章は飛ばして本題から見てください。
では、ぼちぼち書いていきます。
## リクエストはどこのサイトからどこのサイトへも出来る
スクール時代に書いていたサイトを出してきました。このサイトをAとします。
ファイアウォールについて備忘録
*ファイアウォールとは
・外部ネットワークからのサイバー攻撃や不正アクセスを防ぐセキュリティ機能
・インターネットと自ネットワークの境界に設置し、外部からの攻撃を監視・制御する*3つのタイプ
【パケットフィルタリング型】
(L3:ネットワーク層〜L2:データリンク層)・通信パケットのヘッダを確認してフィルタリング
⇨送信元アドレスや宛先アドレスなどをチェック
・仕組みはシンプルだがパケットを見ただけでは判別できない攻撃は防げない(例:バッファオーバーフロー攻撃など)
・その他のセキュリティ製品などと併用が基本【サーキットレベルゲートウェイ型】
(L6:プレゼンテーション層〜L4:トランスポート層)・「トランスポート層」レベルの通信を監視・制御する方式
・コネクション単位の制御も可能
◎パケットフィルタリングよりも管理が楽【アプリケーションゲートウェイ型】
(L7:アプリケーション層〜L5:セッション層)・従来のパケットフィルタリングより、より詳細に許可する通信を特定・制御する
・HTTP、SMTPなどのアプリケーションプロトコル毎に通信を制
PPAP とは
## 勉強前イメージ
ピコ太郎しか出てこないーーー
## 調査
### PPAP とは
パスワード付きZIPファイルを送り、パスワードを別で送るメール送信手法です。
下記の頭文字を取ったものです。
`P` : passwordつきzipファイルを送ります。
`P` : passwordを送ります。
`A` : 暗号化します
`P` : プロトコル元々は情報漏えい防止などのセキュリティ観点で使用されていましたが、
昨今ではセキュリティ上の課題があることで廃止される動きが進んでいます。### セキュリティ上の課題とは
– パスワードの盗み見を防げるとは限らない
パスワードとファイルを別で送ったとしても
メールが盗聴されてる場合にはどちらも見られてしまうので
ファイルの中身も見られてしまいます。– パスワードが解析できる
暗号化されたパスワードはかんたんに解析できてしまう事実はあります。
– ウイルスチェックをすり抜ける
パスワード付きzipファイルはウイルス対策ソフトをすり抜けてしまいます。
それを利用して、マルウェアを送るという手法も存在しますので推奨されて
セキュリティの話
#はじめに#
プログラミングを学習しているとセキュリティについては必ず考えなければなりません。
今回は
・なぜセキュリティを考えなければならないのか
・主な攻撃手法とその対策
という点についてまとめていきたいと思います。#なぜセキュリティを考えなければならないのか#
プログラミングを勉強しているとセキュリティ対策はしっかりしましょう!という話をよく聞くと思います。結構考えるのも面倒ですし実装するのも面倒なので、えー・・・と思う方もおられるかもしれません。
しかし、世の中には悪いことを考える人がたくさんいます。SNSでなりすまして詐欺を働いたり、データベースから情報を抜き取って悪用したり、といった感じです。自分しか使わないようなアプリならそれほど気にする必要はないかもしれませんが、多くの人が使うアプリであれば、そしてそれが個人情報やクレジットカード情報などを扱うようなものであれば十分注意する必要があります。#主な攻撃手法とその対策#
それでは主な攻撃手法とその対策について見ていきましょう。##XSS(クロスサイトスクリプティング)##
XSS(クロスサイトスクリ
3分で読める「ウェブ健康診断」のすゝめ
#はじめに
本記事はIPAが公開している『[ウェブ健康診断](https://www.ipa.go.jp/files/000017319.pdf)』の要約記事です。
引用元pdfも短いので興味ある方はそちらを読むことを推奨しますが、「pdfってなんか読む気なくす…」っていうめんどくさがりさん向け記事です。#目次
1.[ウェブ健康診断って?](#1ウェブ健康診断って?)
2.[対象の脆弱性](#2対象の脆弱性)
3.[総合判定所見](#3総合判定所見)#1.ウェブ健康診断って?
IPAが公開しているwebアプリケーションの**簡易検査マニュアル**です。危険度の高い13個のwebアプリケーションの脆弱性の有無を、BurpSuiteのようなツールを使うことでとても簡単に検査できます。一方で、以下に引用したようにあくまで**簡易的な検査**であることを忘れてはいけません。
脆弱性が発見されたら**より詳細な検査を行う必要があり**、健康診断で見つからなくても**脆弱性がある可能性があります**。>ウェブ健康診断は「基本的な対策が出来ているかどうかを診断するもの」とご理解く
