今さら聞けないセキュリティ　2021年12月10日

世界はすぐそこに。標準化活動を通じて。

#はじめに
この記事はNTTテククロス Advent Calendar 9日目の記事です。

NTTテクノクロス株式会社セキュアシステム事業部、経営企画部広報室兼務、クロステックセンター兼務、TX-CSIRT兼務、アソシエイトエバンジェリスト、テクニカルプロフェッショナルの武井です。
肩書きが異常に長いです。簡単に言えば色々やっている人です。

社内だけではなく、社外でも日本ネットワークセキュリティ協会(JNSA)の関連団体の日本セキュリティオペレーション事業者協議会(ISOG-J)で活動し、副代表とセキュリティ連携ワーキンググループ(WG6)リーダーをやっています。

昨日は堀江さんのAWSの負荷試験のお話でした。今日はガラッと変わって会社の名義で活動しているITU-TにおけるX.1060の策定による国際標準化活動を通じて感じた、「世界は意外と近い」というお話をさせていただきます。
技術バリバリのお話とは少し角度を変えて、その技術やアイデアが世界に届く、それがみんなに使ってもらえるようになるまでには、というお話です。

# 国際標準とは
一口に「国際標準」と言ってみたものの、実際には

株式会社ゆめみ所属メンバの SSH 鍵強度調査

この記事は [YUMEMI Advent Calendar 2021](https://qiita.com/advent-calendar/2021/yumemi) 9 日目の記事です。

_──── SSH鍵強度は意識の高さ_

ということで、[弊社の GitHub Organization](https://github.com/yumemi) に所属しているメンバを対象に SSH 鍵の強度を調べてみました。

## 元ネタ

https://hnw.hatenablog.com/entry/20140705

## 調査結果
### 調査方法

1. [GitHub API](https://docs.github.com/en/rest/reference/orgs#list-organization-members) で Organization に所属するメンバ一覧を取得
– 非 Public な メンバについても取得する場合は、 `read:org` な scope の Personal access token が必要
1. メンバのIDを元に、登録されている公開鍵

Snykでコンテナのセキュリティハードニング 【Snykテクニカルサポートを使ってみた】

# はじめに
こちらの記事はアドベントカレンダー[Snykを使ってセキュリティにまつわる記事を投稿しよう！【PR】Snyk](https://qiita.com/advent-calendar/2021/snyk)の9日目として投稿しています。

Snykは脆弱性スキャンが簡単に自動化でき、修復まで可能なセキュリティプロダクトです。単純なソースコード検査だけでなく、依存しているライブラリの脆弱性やコンテナイメージそのものをスキャンすることができ、非常に強力なツールとなっています。

この記事では、わざと脆弱性を入れ込んだコンテナイメージを作り、Snykで検知できるかどうか試しました。
また、人気のあるOSSライブラリを検査し、見つかった脆弱性にパッチできるPRを自動でSnykから生成してみます。

# Snykの脆弱性スキャンの仕組み

## ルールベース＋機械学習モデルでの精度向上
メインの脆弱性スキャン自体はルールベースの一般的なやり方です。それにフィルタとして、**機械学習ベースのモデルで偽陽性・偽陰性を少なくし、検知精度を上げている**ようです。

また、脆弱性の検知ルールとし

無線LANのセキュリティについて図解でざっくり理解する

こんにちは！
TechCommitアドベントカレンダー8日目を担当するあみぃです。
私は今CCNAの勉強をしているのですが、無線LANのセキュリティで訳分からん略語がたくさん出てきて理解しにくかったので、図解してみました。

CCNA勉強中の人はぜひ参考にしてほしいですし、そうでない人も、普段何気なく使っている無線LANはこうして守られているんだというのを知る機会にしていただけたらと思います！!

#無線LANの危険性
無線LANでは、データが有線を伝ってではなく、空気中を飛び交います。
ということは、

・盗み見

RISKENで社内のAWSアカウントのセキュリティを改善した話

# :sweat_drops: 背景
– ウチでもAWSとか使ってるけど、インフラのセキュリティ対策状況ってそもそもどんな状況なの❓
– ちゃんとモニタリングしてなにかあったらアラートされるようにしておかないと危なくない❓ :scream:

# :thinking: OSSにもなったRISKEN使おう
## RISKEN is 何❓
>`システム環境に潜む リスク情報 を継続的に収集・モニタリングするための セキュリティ オペレーション プラットフォーム です`

[引用元] [RISKEN – RISKEN](https://docs.security-hub.jp/)

>1. RISKENを利用することでセキュリティの問題を発見することができます
1. セキュリティインシデントを未然に防いだり、事故発生時にも調査・対応を行うためのツールとして活用できます
1. また、開発チーム、クラウド管理者、セキュリティ担当者の成果を可視化し、プロダクトオーナーとのコミュニケーションにも役立ちます

AWSやGCPなどのパブリッククラウド環境の利用状況をセキュリティの観点でモニタリングを実

BIツール利用で忘れちゃいけない、データ活用に潜むセキュリティリスクと予防策

この記事は[モチベーションクラウドシリーズアドベントカレンダー2021](https://qiita.com/advent-calendar/2021/mcs)の7日目の記事です。

本記事では、社内でBIツールを利用したり、これから導入を考えているエンジニア向けに、BIツールを用いてデータ活用をする際に気を付けたいセキュリティ面でのポイントを紹介します。

## データ活用と情報漏洩リスクは表裏一体
昨今のデータ活用の機運の高まりや、安価で高度な分析や可視化ができるBIツールの普及に伴い、より気軽にデータ分析が行える環境が整ってきました。

ここで、データを活用して事業成果を出そうとするほど、営業秘密や顧客情報など、機密データを取り扱う機会が増えるのではないでしょうか？

つまり、データは企業活動において価値を生み出す資産であると言えます。（唐突に余談ですが、明日の記事を書く東山さんは、整形されていないデータをう○こであると言います）。

資産は往々にして脅威の標的になるものです。企業の情報資産が漏洩してしまった場合、競争力の喪失や社会的信用の失墜など、企業そのものの存続にも関わり

セキュリティ関連のガイドラインや参考資料

セキュリティ関連のガイドラインや参考資料等について個人的にまとめていたものをメモとして共有します。

##Webアプリケーション関連
* [安全なウェブサイトの作り方](https://www.ipa.go.jp/security/vuln/websecurity.html)

* [Web Application Firewall 読本](https://www.ipa.go.jp/security/vuln/waf.html)
* [OWASP Top 10 2021](https://owasp.org/Top10/ja/)

##経営層／幹部向け
* [サイバーセキュリティ経営ガイドライン](https://www.meti.go.jp/policy/netsecurity/mng_guide.html)

* [サイバーセキュリティ経営ガイドライン解説書](https://www.ipa.go.jp/security/economics/csmgl-kaisetsusho.html)

* [CISO ハンドブック](https://www.jnsa.org/result/2

インターネットから機密情報を分離しても単純にセキュリティが向上するわけではない理由

本記事は Sansan Advent Calendar 2021 6日目の記事です

こんにちは、Sansan株式会社でセキュリティエンジニアをしている大井といいます。
CSIRT/RedTeamとして主にWebアプリケーションの脆弱性診断や社内ペネトレーションテストなどを担当しています。

## 病院へのサイバー攻撃
昨今、病院がサイバー攻撃(ランサムウェア)を受け診療できなくなるという事件が発生しました。
事件自体は国外のでも発生しているものと同じで、攻撃手法も一般的なランサムウェアとみられます。
こういった攻撃が発生するたびに「**機密情報を外部ネットワークにつなぐな**」といった言動がTwitterや一部専門家？から上がってきます。
私は一介のセキュリティエンジニアとして、**外部ネットワークからの分離は必ずしもセキュリティの向上を意味しない**と考えています。
その理由を、発生しうる脅威とともに説明したいと思います。

### 分離したネットワークが善意の人物により外部と接続される可能性
分離したネットワークが、社員などのユーザーが外部ネットと接続してしまう可能性があります。

Ubuntu20.04 に git-secrets をインストールする

# はじめに

git-secretsは、Amazon Web Services Labs が提供する、パスワードやその他の機密情報をgitリポジトリにコミットできないようにするツールです。

git と連携して git commit 実行前に自動的にsecretsの有無をチェックします。

Ubuntu 20.04 に git-secretsをインストールします。

# 環境

動作環境は以下の通り。

“`bash:Ubuntu
$ cat /etc/os-release
NAME=”Ubuntu”
VERSION=”20.04.2 LTS (Focal Fossa)”
ID=ubuntu
ID_LIKE=debian
PRETTY_NAME=”Ubuntu 20.04.2 LTS”
VERSION_ID=”20.04″
HOME_URL=”https://www.ubuntu.com/”
SUPPORT_URL=”https://help.ubuntu.com/”
BUG_REPORT_URL=”https://bugs.launchpad.net/ubuntu/”
PRIV

盾と矛。セキュリティの矛盾

電子計算機の開発者の一人であるTuringは、暗号を解読する道具を設計していたという。

ナチスの暗号機「エニグマ」誕生から100年–解読までの道のり

https://japan.cnet.com/article/35115908/

電子計算機であっても、たとえば暗号を作るものを盾、
暗号を破るものを矛としたら、どちらを作るのが容易だろうか。

現在ある矛を防ぐ盾を作ることも、
現在ある盾を破る矛を作ることもできるとしたら、互角だと思うかもしれない。

矛は、一瞬でも破れば成功で、盾は守り続けなければいけないという条件があると仮定したらどうだろう。

盾が、一瞬でも守れば成功で、矛は破り続けなければいけないという条件があると仮定することはあまり考えにくい。

矛は一つの穴を見つければよいが、盾はすべての穴を塞がなければいけないと考えたらどうだろう。

盾に必要な条件と、矛に必要な条件が違うので、同じ能力の計算機を同じ能力のプログラマが使うとしたら、圧倒的に矛の方が有利じゃないだろうか。

<この項は書きかけです。順次追記します。>
＜この記事は個人の過去の経験に基づく個人の感

Snyk無償版を使ってみた

# はじめに

[Snyk](https://snyk.io/) の無償アカウントでどこまでできるかやってみました。

# Snykとは

Snykとはセキュリティプラットフォームです。

> Snyk（スニーク）はデベロッパーファーストのセキュリティプラットフォームです。Snykは、コードやオープンソースとその依存関係、コンテナやIaC(Infrastructure as a Code) における脆弱性を見つけるだけでなく、優先順位をつけて修正するためのツールです。Gitや統合開発環境（IDE）、CI/CDパイプラインに直接組み込むことができるので、デベロッパーが簡単に使うことができます。
>
> 出典: https://qiita.com/advent-calendar/2021/snyk

docker, IaC, プログラム等の様々なソースコードの脆弱性をチェックすることができるSaaSです。

# Snykの画面構成

Snykの画面をひと通り見てみます。

## Dashboard画面

脆弱性スキャン対象のプロジェクトを管理する画面です。

![image.png](h

snyk を使ってプロジェクトのセキュリティ管理を(できるだけ)楽にする．

# はじめに
この記事は[Snykを使ってセキュリティにまつわる記事を投稿しよう！【PR】Snyk](https://qiita.com/advent-calendar/2021/snyk)の3日目の記事です．

普段の開発で「**セキュリティや脆弱性には気を付けないといけない**」と思っていても実際に行うのは簡単ではないですよね．

– 書いているコードにセキュリティリスクがないか
– 書いている人が確認する？レビュワーが確認する？両方？
– XSSやCSRF・SQLインジェクションなど様々な場合について考えられる？
– 使用しているライブラリなどに重大な脆弱性がないか
– 使っているもの全て確認する？
– どれくらいの頻度で確認する？
– どうやって修正すれば良い？どのバージョンに上げれば良い？

パッと思いつくだけでも，考慮すべきことがたくさんあります．特に，個人開発やOSSではセキュリティレベルを担保することはかなり難しいと思います．

そこで今回は， [snyk(スニーク)](https://snyk.io/)を使って上記を自動化したい

Databricksは自己が所有している静的パブリックIPアドレスからアウトバウンドできる数少ないPaaSのデータ分析サービス

## 概要
Databricksでは、自己が所有している静的なパブリックIPアドレス（PIP）からアウトバウンド可能な数少ないPaaSのデータ分析サービスであるため、他のクラウドサービスと連携を行う際にセキュリティを担保しやすくなります。

たとえば、Snowflakeと連携する際に効果を発揮します。

Snowflalek社のドキュメントである[Microsoft Azureからの一括ロード — Snowflake Documentation](https://docs.snowflake.com/ja/user-guide/data-load-azure.html)の手順でAzure StorageとSowflakeを接続した場合には、下記のリスクがあります。


Snowflakeのネットワークポリシー機能（アカウントレベル、あるいは、ユーザ

会員情報DBを安全に利用するためにマスキングする

この記事は[ナイル Advent Calendar 2021](https://qiita.com/advent-calendar/2021/nyle) 2日目の記事です。

# はじめに
サービスを運営していると本番で発生したバグの調査や機能開発時の動作確認などの際に本番データを使って行えるとなにかと作業がはかどります。
ですが、ユーザーの個人情報やセンシティブなデータをそのまま持ってきて、社内のメンバーが比較的カジュアルにアクセス出来る環境に反映することはセキュリティ的に非常にリスキーであり避けなければなりません。
そこで、本番データのセンシティブな部分をマスキングすることで、実際の本番に近いデータで調査・動作確認が出来るようにします。

# マスキングにあたっての要件

– 個人が特定できない程度に非特定化加工する
– （個人ではなく）ユーザーを特定できるようにしたい
– プロダクトの動作画面上で表示される情報からユーザーの当たりが付けられるくらいにはしたい

# 具体的方法

**メールアドレス**
原型は残さず、ユーザー特定がしやすいようにユーザーIDを含める形に加工する

CORSエラー回避法ではなくCORSそのものについて理解したいの（初学者向け）

この記事は [Ateam Lifestyle Inc. Advent Calendar 2021](https://qiita.com/advent-calendar/2021/ateam-lifestyle) 1日目の記事です。

## 概要

API開発しているとCORSエラーに遭遇した経験はありませんか？

CORSとはそもそもなんなのか？今回はエラー回避法ではなく、その成り立ちなども含めて、「**CORSとはそもそもなんなのか？**」を書いていきます。

### なぜ成り立ちを知る必要があるのか？

仕事だと現象のエラー回避だけして、それが生まれた背景や成り立ちまで知る余裕がありません。そのままにしていては、自分の中でも応用が効かないと思ったのでこのテーマにしました。

また「CORS」についてググると、エラーの回避策についての記事が多い印象でした。

https://qiita.com/hgaiji/items/fabe6a23d564b20ad558

https://qiita.com/att55/items/2154a8aad8bf1409db2b

仕事としてはその方

AWS環境のセキュリティチェックをするためのツールを作った話

# この記事について

NTTドコモテクニカルジャーナル Vol.29 No.1 “[パブリッククラウドの利用に特化したセキュリティチェックツールの開発](https://www.nttdocomo.co.jp/corporate/technology/rd/technical_journal/bn/vol29_1/006.html)” の筆者による解説記事です。

# AWS上で起こるセキュリティ事故

AWSの東京リージョンのリリースが2011年3月2日ですので、2021年で丸10年が経過したことになります。（ちなみに、この10年の節目である2021年3月2日に日本で二番目のリージョンである大阪リージョンが正式にGAとなったのは有名な話ですね。）

昨今、AWSをはじめとするパブリッククラウド上で企業がシステムを構築することはもはや当たり前になってきました。それにあわせて、AWS上で企業が顧客情報など特に機密性の高い情報を扱うようになってきていますが、当然ながらその際にはセキュリティが非常に重要となります。

セキュリティ対策がうまくできていないと、大規模な情報流出やサービスの停止

そうだセキュリティ、しよう

#はじめに
こんにちは！
DMM WEBCAMP Advent Calendar 2021の5日目を担当することになりました。
メンターの@ta-igaです。

近年サイバー攻撃とかセキュリティ関連のニュースが多いな〜〜（俺もサイバー攻撃してみたいな〜）ということで、この事について調べてみたことをちょっとまとめていきたいと思います。実際、地方の病院がサイバー攻撃受けて患者の情報が全てなくなり医療を提供することができなくなった事例があるとか、、、。これからIT技術がどんどん普及していく時代だと思うので皆さんもこの記事を読んで一緒にITリテラシーを身につけていきましょう！（あとLGTMしてね！）

#実際の事例
2021年10月末徳島県つるぎ町の町立半田病院がサイバー攻撃に襲われました。病院のシステムに侵入して情報を暗号化し、復旧と引き換えに金銭を要求するコンピューターウイルス「ランサムウエア」に感染させられ増田。約8万5千人分の電子カルテが閲覧できなくなり新規患者の受け入れを停止状態。命を守る地域の重要インフラは大打撃を受ける大惨事となりました。。。この他にもサイバー攻撃はたくさん起きて

SHODANを使った自社サイトの簡易セキュリティチェック

SHODANを利用した自社サイトの簡易セキュリティチェックの手順を記載します。
※あくまで簡易チェックですので、細かいチェックをする場合は別途ツールなり診断業者を利用しましょう。

##SHODANとは
SHODANとはインターネット上に公開されている機器を自動でクロールし、IPアドレス、ポート番号などの収集し、公開しているWebサービスです。公開されている情報に意図しない設定や情報などが含まれていると攻撃者に悪用される可能性があります。
https://www.shodan.io/

##SHODANの利用方法
SHODANを利用するためにはユーザ登録が必要です。

[SIGN UP NOW]をクリック

![WS000002.JPG](https://qiita-image-store.s3.ap-northeast-1.amazo

【迷惑メール】親のスマホに送られたURLを解析していくゥ

#ある日突然….
親のスマホに迷惑SMSが送られてきた。
文言は忘れたが、セキュリティが危ないらしい。

#とりあえずURLを開く
送られたURLをPCで開くことにした。
非常に凝っているようで、PCのユーザーエージェント（UA）ではページが正しく表示されない

？ってなんだよって思いながら、スクリプトを拝見すると、以下のようになっていた

簡単なJavaScriptでiPhoneかAndroid端末のUAだと表示されるようだ！

“`
もし「iPhone」でサイトにアクセスして来たらサイトの内容

【SAP-C01試験対策】DDoS攻撃に対する対策

# はじめに
AWS上のDDoS攻撃に対するセキュリティ技術を勉強するために以下の公式ドキュメントおよび研修を参考にしたので内容をまとめます。

https://aws.amazon.com/jp/shield/ddos-attack-protection/

https://www.school.ctc-g.co.jp/course/AW08.html

# 背景
本記事はAWSソリューションアーキテクトプロフェッショナルに合格するために、[Udemyの模擬試験](https://www.udemy.com/course/aws-53225)を解いて分からなかった部分を勉強してまとめるものです。

試験対策用のため、分からない知識を補足したり試験で問われなさそうなところを省略したりしながらまとめています。
なるべくわかりやすい記載を心がけますが、最終目的は自己学習用であるということをご容赦ください。

# DDoS攻撃とは

複数のソースを使用してウェブサイトやアプリケーションに負荷をかけ、正当なエンドユーザーのアクセスを妨害する攻撃。
Distributed Denial of S