今さら聞けないセキュリティ　2022年01月09日

【就活用】個人開発アプリケーションのセキュリティについて

個人開発アプリケーション

https://www.autof2f.io

を構成するセキュリティについて簡単に纏めます。

以下のように、主要なセキュリティ対策を行った。

## SQLインジェクション
この攻撃については、「SQLの組み⽴てを全てプレースホルダを⽤いて、実装する。」ことで対策した。具体例として、匿名掲⽰板に書き込まれたメッセージについて、「いいね」する処理を⾒てみる。

“`go
func MessageGoodsHandler(ctx *gin.Context) {
type JSONRequest struct {
MessageUUID string `json:”messageUUID”`
}

req := &JSONRequest{}
ctx.BindJSON(req)
// 「?」の記法は、SQLにおけるプレースホルダである。
if _, err := db.Exec(“UPDATE thread_messages SET goods=goods+1 WHERE message_UUID=? LIMIT 1”, req.M

DoS(DDoS)攻撃とは何か？その対策方法

# DoS(Denial of Service)攻撃とは
サーバーに対して大量のアクセスを行い、サービスを停止させる攻撃

# DDoS(Distributed Denial of Service)攻撃とは
複数のコンピューターがDoS攻撃を行うこと

# DoS(DDoS)攻撃の具体例

### SYN Flood攻撃
TCPのやり取りの際のコネクション確立要求を行うSYNパケットのみを大量に送り続ける攻撃。ACKパケットを送らずにサーバーを待ち状態にすることで、他ユーザーからの接続を確立させなくする。

### F5攻撃
サーバーに大量のリクエストを送り、サーバーを過負荷の状態にして、リクエストに対応できなくさせる攻撃。

# DoS(DDoS)攻撃の対策方法
– 送信元のIPアドレスからのリクエストを遮断(DDoSには効きにくい)
– IDSの設置[^IDS]
– IPSの設置[^IPS]
– WAFの設置[^WAF]

# おわりに
間違い等があればご指摘いただけるとありがたいです。

[^IDS]: Intrusion Detection Systemの略で不正アクセスを管理

米国連邦取引委員会（FTC）からのLog4jの脆弱性に関する警告について

本記事は2022年1月7日に公開した英語ブログ[FTC highlights the importance of securing Log4j and software supply chain](https://snyk.io/blog/ftc-highlights-the-importance-of-securing-log4j-and-software-supply-chain)を日本語化した内容です。

[](https://www.snyk.io/jp)

今週初め、[米国連邦取引委員会（FTC）がLog4jの脆弱性に関して企業に警告を発しました](https://www.ftc.gov/news-events/blogs/techftc/2022/01/ftc-warns-companies-remed

Snyk IaCの2021年の振り返りと2022年への抱負

本記事は2021年12月22日に公開した英語ブログ[Snyk IaC in 2021: Leading infrastructure as code security for developers](https://snyk.io/blog/snyk-iac-review-2021/)の日本語版です。

Snykのセキュリティプラットフォームは、下記の4つの製品を提供しています。

* Snyk Open Source: オープンソースコードの脆弱性を発見し、修正することができます。
* Snyk Code: アプリケーションコードの脆弱性を発見し、修正することができます。
* Snyk Container: コンテナイメージの脆弱性を発見し、修正することができます。
* Snyk Infrastructure as Code: Kubernetes、Helm、Terraformの設定ファイルの脆弱性を発見し、修正します。

そのうち、本日のブログはSnyk Infrastructure as Codeについて、2021年の製品アップデートのまとめと、2022年の方向性についての話にな

Snyk Containerの2021年振り返りと2022年への抱負：コンテナセキュリティのシフトレフト

本記事は2021年12月22日に公開した英語ブログ[Snyk Container in 2021: Shifting container security all the way left](https://snyk.io/blog/snyk-container-review-2021/)の日本語版です。

Snykのセキュリティプラットフォームは、下記の4つの製品を提供しています。

* Snyk Open Source: オープンソースコードの脆弱性を発見し、修正することができます。
* Snyk Code: アプリケーションコードの脆弱性を発見し、修正することができます。
* Snyk Container: コンテナイメージの脆弱性を発見し、修正することができます。
* Snyk Infrastructure as Code: Kubernetes、Helm、Terraformの設定ファイルの脆弱性を発見し、修正します。

そのうち、本日のブログはSnyk Containerについて、2021年の製品アップデートのまとめと、2022年の方向性についての話になります。

![lo

Snyk Codeの2021年振り返りと2022年への抱負：SASTの再定義

本記事は2021年12月21日に公開した英語ブログ[Snyk Code in 2021: Redefining SAST](https://snyk.io/blog/snyk-code-review-2021/)の日本語版です。

Snykのセキュリティプラットフォームは、下記の4つの製品を提供しています。

* Snyk Open Source: オープンソースコードの脆弱性を発見し、修正することができます。
* Snyk Code: アプリケーションコードの脆弱性を発見し、修正することができます。
* Snyk Container: コンテナイメージの脆弱性を発見し、修正することができます。
* Snyk Infrastructure as Code: Kubernetes、Helm、Terraformの設定ファイルの脆弱性を発見し、修正します。

そのうち、本日のブログはSnyk Codeについて、2021年の製品アップデートのまとめと、2022年の方向性についての話になります。

![logo-solid-background.png](https://qiita-image-

第5回「AWS lambda＋Amazon EventBridgeを使ったAeyeScanによる診断の自動化」


SaaS型Webアプリ診断ツール「AeyeScan」を運営している株式会社エーアイセキュリティラボが、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事です。
AeyeScanの情報はこちら https://www.aeyescan.jp
エーアイセキュリティラボの情報はこちら、https://www.aeyesec.jp

こんにちは。株式会社エーアイセキュリティラボ　インターンの大桶です。
こちらの記事では脆弱性診断ツール「AeyeScan」の機能や、脆弱性診断内製化のコツ、CIツールを使ったDevSecOps等を紹介していきます。

[前回](https://qiita.com/AeyeScan/items/964f502cd780911599ac)はCircle CIを使ってAeyeS

第4回「CircleCIを使ったAeyeScanによる診断の定期実行」


SaaS型Webアプリ診断ツール「AeyeScan」を運営している株式会社エーアイセキュリティラボが、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事です。
AeyeScanの情報はこちら https://www.aeyescan.jp
エーアイセキュリティラボの情報はこちら、https://www.aeyesec.jp

こんにちは。株式会社エーアイセキュリティラボ　インターンの大桶です。
こちらの記事では脆弱性診断ツール「AeyeScan」の機能や、脆弱性診断内製化のコツ、CIツールを使ったDevSecOps等を紹介していきます。

[前回](https://qiita.com/AeyeScan/items/b30d341da28130bc8f7a)はGithub Actionsを使って

第3回「日々の診断スケジュール（開始・停止）をGASとAeyeScanで自動化」


SaaS型Webアプリ診断ツール「AeyeScan」を運営している株式会社エーアイセキュリティラボが、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事です。
AeyeScanの情報はこちら https://www.aeyescan.jp
エーアイセキュリティラボの情報はこちら、https://www.aeyesec.jp

こんにちは。株式会社エーアイセキュリティラボ　インターンの大桶です。
こちらの記事では脆弱性診断ツール「AeyeScan」の機能や、脆弱性診断内製化のコツ、CIツールを使ったDevSecOps等を紹介していきます。

[前回](https://qiita.com/AeyeScan/items/4c94f64a31f0f8717911 )はGithub Actionsを使っ

第2回「Github Actionsを使ったAeyeScanによる診断の自動化」


SaaS型Webアプリ診断ツール「AeyeScan」を運営している株式会社エーアイセキュリティラボが、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事です。
AeyeScanの情報はこちら https://www.aeyescan.jp
エーアイセキュリティラボの情報はこちら、https://www.aeyesec.jp

こんにちは。株式会社エーアイセキュリティラボ　インターンの大桶です。
こちらの記事では脆弱性診断ツール「AeyeScan」の機能や、脆弱性診断内製化のコツ、CIツールを使ったDevSecOps等を紹介していきます。

[前回](https://qiita.com/AeyeScan/items/f7c647db9365ff8b2ffb )はAeyeScanによる脆弱性診断を

第1回「AeyeScanの使い方」


SaaS型Webアプリ診断ツール「AeyeScan」を運営している株式会社エーアイセキュリティラボが、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事です。
AeyeScanの情報はこちら https://www.aeyescan.jp
エーアイセキュリティラボの情報はこちら、https://www.aeyesec.jp

こんにちは。株式会社エーアイセキュリティラボのインターン兼東京大学大学院生の大桶です。
こちらの記事では脆弱性診断ツール「AeyeScan」の機能や、脆弱性診断内製化のコツ、CIツールを使ったDevSecOpsなどを紹介していきます。

第1回目「AeyeScanの使い方」は以下のような内容でお送りします！

#目次
[■脆弱性診断とは](#脆弱性診断とは)
[■Aey

Snyk Open Sourceの2021年振り返りと2022年への抱負

本記事は、2021年12月21日に公開した英語ブログ[Snyk Open Source in 2021: A year of innovation](https://snyk.io/blog/snyk-open-source-review-2021/)の日本語版です。

Snykのセキュリティプラットフォームは、下記の4つの製品を提供しています。

* Snyk Open Source: オープンソースコードの脆弱性を発見し、修正することができます。
* Snyk Code: アプリケーションコードの脆弱性を発見し、修正することができます。
* Snyk Container: コンテナイメージの脆弱性を発見し、修正することができます。
* Snyk Infrastructure as Code: Kubernetes、Helm、Terraformの設定ファイルの脆弱性を発見し、修正します。

そのうち、本日のブログはSnyk Open Sourceについて、2021年の製品アップデートのまとめと、2022年の方向性についての話になります。

![logo-solid-backgroun

ハニーポット とは

## 勉強前イメージ

聞いたことないかも・・・
なんのこと？

## 調査

### ハニーポット とは

蜂蜜の入った壺という意味で、
セキュリティの分野で攻撃者が何を狙ってるのかなどを確認するために
設計されたシステムのことを指します。
ハニーポットは通常主要な本番環境から切り離されており、
データやシステムに対して危険がないように罠を仕掛けておびき寄せます。

### ハニーポットの種類

ハニーポットにはいくつか種類があって、以下3点とされています。

– 低対話型ハニーポット

実際のアプリケーションは使用せずに、エミュレートしたシステムを用意し
そのシステムで監視を行います。
そのシステムの行動範囲が制限されるためリスクが減らせますが、
リアルな攻撃ではないため、得られる情報は少ない可能性があります。

– 高対話型ハニーポット

OSやアプリケーションは実際のものを使用して脆弱性はそのままにし、
攻撃を待つタイプのものです。
実際のアプリケーションを使用するのでリアルな攻撃対象であることがメリットですが
攻撃された際に他の箇所に影響を及ぼさないようにしないといけないので

【2021秋期】情報処理安全確保支援士　受験者視点の新規問題【午前Ⅱ】

# はじめに
– 筆者は受験時点で新卒１年目で主にWeb業界のエンジニアをやっており、特にセキュリティの実務経験などは全くありません。
– 2021秋期の情報処理安全確保支援士試験にギリギリ合格しました。
– 本記事では午前Ⅱの新規問題に焦点をあてて所感を述べます。
– 過去問は[こちら](https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2021r03.html)
からアクセスできます。本記事の問題画像は上のページの問題からの引用です。
– 情報処理安全確保支援士ドットコムの[このページ](https://www.sc-siken.com/kakomon/03_aki/)で新規かどうかを確認しています。正確に新規かどうかの裏付けを確認をしておりませんので、本記事を引用するときなどは自己責任でお願いいたします。

# 問題一覧
– 1,2,3,4,9,11,17,18,20,21,22,23,25 (13/25)
– 半分くらいが新規/他分野からの問題って感じでしょうか。6割を安定して解くためには、過去問に出た

量子コンピュータでRSAを解くのに必要な物は？

# はじめに
量子コンピュータで、Shorのアルゴリズムを用いると、RSAの離散対数問題を位数推定という方法で求解できるのでは？というテーマはこちらで扱いました。

https://qiita.com/tarutaru000/items/bc299d14609d4470b04e

一方で、Shorのアルゴリズムは、
「理想的な量子コンピュータなら～～」のLong-termと呼ばれる部類のアルゴリズムですので、、
**量子コンピュータでRSAを解くというのは、まだ人類未踏の領域**でございます。

で、難しい。以上！と言ってもいいのですが、、
人類が何を手に入れたら量子コンピュータでRSAを解くことができるのか、
をまとめてみようというのが本稿のモチベーションです。

本稿は、下記の1.1 Our contributions and a summary of our resultsを参考に議論を進めます。

https://arxiv.org/abs/1905.09749

:::note warn
なお、著者は産業界の１エンジニアであり、研究者でも専門家でも無いので、
間違っていたらご

AUTOSAR 21-11 (8) Specification of Secure Hardware Extensions

AUTOSAR R21-11(3) Requirements on Diagnostics

AUTOSAR Advent Calendar 2021

https://qiita.com/advent-calendar/2021/autosar

12/16日の投稿です。

AUTOSARが、12/7 今年の版、R21-11を公開しました。

https://www.autosar.org/news-events/details/release-event-2021-2021-dec-07/

文書は検索してダウンロードできます。

https://www.autosar.org/nc/document-search/

AUTOSAR R21-11(0)公開　Specificationをダウンロード

https://qiita.com/kaizen_nagoya/items/9b3a1b9b8d1e8d7e288e
Diagnostics関連のAUTOSARの資料を順に確認。

技術的な内容に入る前に、用語、参照文献でわけわかめ。

# Specification of Se

AUTOSAR R21-11(7) Specification of Secure Onboard Communication Protocol(SecOC)

AUTOSAR R21-11(3) Requirements on Diagnostics

AUTOSAR Advent Calendar 2021

https://qiita.com/advent-calendar/2021/autosar

12/12日の投稿です。

AUTOSARが、12/7 今年の版、R21-11を公開しました。

https://www.autosar.org/news-events/details/release-event-2021-2021-dec-07/

文書は検索してダウンロードできます。

https://www.autosar.org/nc/document-search/

AUTOSAR R21-11(0)公開　Specificationをダウンロード

https://qiita.com/kaizen_nagoya/items/9b3a1b9b8d1e8d7e288e

DiagnosticsとFoundationを中心に見ています。

# Specification of Secure Onboard Communication

<初心日記>セキュリティコンテストについて勉強したこと、、、

セキュリティコンテスト参加の為に勉強したこと

こんにちは。Uriです。
今回は、セキュリティコンテストに参加するために、
僕が勉強したことをまとめてみます。。。

やったこと一覧

1. セキュリティコンテストってなに？
2. セキュリティの知識を付けよう
3. 基本的なIT知識をつけなきゃいけない
4. 過去問題を解いてみよう

1．セキュリティコンテストってなに？

まず、セキュリティコンテストってどんなことするの？という疑問についてです。
以下の本を購入して読んでみました。

最新版Log4j 2.17.1ではCVE-2021-44832のリモートコード実行が修正されています

本記事は2021年12月28日（米国時間）に公開した英語ブログ[New Log4j 2.17.1 fixes CVE-2021-44832 remote code execution but it’s not as bad as it sounds](https://snyk.io/blog/new-log4j-2-17-1-fixes-cve-2021-44832-remote-code-execution-but-its-not-as-bad-as-it-sounds/)の日本語版です。


[事前の予測通り](https://snyk.io/blog/log4j-2-16-vulnerability-cve-2021-45105-discovered/)、2021年12月28日19時35分頃（GTM/グリニ

Webシステムのセキュリティについて

Webシステムがどんどん発達していくのに伴ってセキュリティ対策の重要性も高まっています。
情報セキュリティの基礎となる用語をまとめました。

#情報セキュリティ

`機密性`・・・第三者がアクセスできないような状態を確保すること
`完全性`・・・情報が改ざんされていない状態を確保すること
`可用性`・・・情報のアクセスを認められたものがいつでも情報にアクセスできる状態を確保すること

上記三つの要素を維持すること

#悪意を持った第三者による攻撃例
###パスワードクラッキング　
####1. 辞書攻撃
よくパスワードとして使われる単語をまとめたリストを用いて順にログインしてパスワードを当てる手法
####2. ブルートフォース攻撃
パスワードに組み合わせられる文字列を全てのパターンを試してパスワードを当てる手法

—

###Dos（Denial of service）攻撃
####1. SYN Flood攻撃
大量のSYNパケットをWebサーバーに送り付け、Webサーバーが新しいユーザーの接続に対応できなくする攻撃

####2. F5攻撃
大量のWebページの再読み込みリク