AWS WAF Fraud Control アカウント乗っ取り防止が Amazon CloudFront をサポート
AWS WAF Fraud Control アカウント乗っ取り防止機能が、Amazon CloudFront に対応しました。AWS WAF Fraud Control アカウント乗っ取り防止は、アプリケーションのログインページを、クレデンシャルスタッフィング攻撃やブルートフォース試行などの異常なログインアクティビティから保護する機能です。この機能を使用すれば、ネットワークのエッジでアカウントの乗っ取りを未然に防げます。また、不正行為につながる未承認のアクセスを阻止したり、影響が及ぶユーザーに通知を行って予防措置を促したりできます。 アカウント乗っ取り防止は、AWS マネージドルールを通じて提供されています。AWS WAF ウェブ ACL に追加すると、アプリケーションに送信されたユーザー名とパスワードが、ウェブの他の場所で漏洩した認証情報と比較されます。また、長期的に行われたリクエストを
「AWS全体のセキュリティ管理と快適なセキュリティ運用」というタイトルで登壇しました | DevelopersIO
こんにちは、臼田です。 みなさん、AWSできるマンの人材育成してますか?(挨拶 今回は、2022年4月8日に実施したAWSトレーニング・人材育成ウェビナー 今あなたが学ぶべきAWSセキュリティにてお話した内容をブログにまとめます。 資料 解説 私の内容の解説の前に少し追加の情報を。 今回のイベントでは私の前に「怖がらずにセキュリティと向き合うために」というタイトルで、アマゾン ウェブ サービス ジャパン合同会社 セキュリティ アシュアランス本部 本部長の松本照吾さんにご登壇いただきました。怖がらずにセキュリティと向き合うために、どう考えてどう取り組めばいいか、大変良く分かる内容でした。ぜひ松本照吾さんが他の場で登壇されるのを見かけたら、話を聞いてみてください。 では私のセッションの話を。 私のセッションのテーマは「AWSセキュリティを理解して便利に運用しよう」です。よく一般ではITのセキュ
【S3】S3オブジェクトロックを設定してみた - サーバーワークスエンジニアブログ
こんにちは!クラウドインテグレーション部技術1課のイーゴリです。 本件の記事では、S3バケットのオブジェクトロックを設定してみましたので、ご紹介させて頂きます。 S3オブジェクトロックとは S3バケットのオブジェクトロックの設定 新規のS3バケットを作成する場合 既存のS3バケットでオブジェクトロックを有効にする場合 オブジェクトロックの設定 オブジェクトロックの対象 バケットのデフォルトオブジェクトロック オブジェクト単位のオブジェクトロック バケットのデフォルトの保持期間を設定する場合 バケット内のオブジェクト単位の保持期間を設定する場合 保持モード コンプライアンスモード ガバナンスモード 注意事項 S3オブジェクトロックとは 簡単に説明しますと、S3のオブジェクトロックとは、S3内にある対象のオブジェクトが絶対に削除されないようにするための保護機能となります。ロックする期間を設定す
SSRF対策としてAmazonから発表されたIMDSv2の効果と限界
サマリ Capital OneからのSSRF攻撃による大規模な情報漏えい等をうけて、Amazonはインスタンスメタデータに対する保護策としてInstance Metadata Service (IMDSv2) を発表した。本稿では、IMDSv2が生まれた背景、使い方、効果、限界を説明した上で、SSRF対策におけるIMDSv2の位置づけについて説明する。 SSRFとは SSRFは、下図のように「外部から直接アクセスできないエンドポイント」に対して、公開サーバーなどを踏み台としてアクセスする攻撃方法です。SSRF(Server Side Request Forgery)の詳細については過去記事「SSRF(Server Side Request Forgery)徹底入門」を参照ください。 最終的な攻撃目標は多様ですが、近年問題になっているのが、クラウドサービスのインスタンス・メタデータを取得する
[待望のアプデ]EC2インスタンスメタデータサービスv2がリリースされてSSRF脆弱性等への攻撃に対するセキュリティが強化されました! | DevelopersIO
[待望のアプデ]EC2インスタンスメタデータサービスv2がリリースされてSSRF脆弱性等への攻撃に対するセキュリティが強化されました! EC2のメタデータサービスv2がリリースされました。これまでSSRF等の脆弱性と組み合わせることによりクレデンシャルの流出が多発していましたが、v2を利用することにより簡単にセキュリティを向上することができるようになりました。 こんにちは、臼田です。 皆さんセキュリティ対策してますか?(挨拶 今回はEC2インスタンスメタデータサービスv2がリリースされたのでこの機能について解説していきます。 Add defense in depth against open firewalls, reverse proxies, and SSRF vulnerabilities with enhancements to the EC2 Instance Metadata
![[待望のアプデ]EC2インスタンスメタデータサービスv2がリリースされてSSRF脆弱性等への攻撃に対するセキュリティが強化されました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/e03678dab7b09cb34c564b7250c4c7eac8677103/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-ec2.png)
InstanceMetaDataV2を分かりやすく解説してみる - サーバーワークスエンジニアブログ
技術三課の杉村です。2019年11月、Amazon EC2のInstance Metadata Service v2(IMDSv2)が発表されました。 セキュリティ強化のためのアプデですが、どうして、どのようにしてセキュリティ強化になるのか、ピンとこない方もいたかもしれません。 当投稿では下記の公式ブログを抄訳して、IMDSv2がどのようにセキュリティ強化につながるのか簡単に解説したいと思います。 Add defense in depth against open firewalls, reverse proxies, and SSRF vulnerabilities with enhancements to the EC2 Instance Metadata Service 基本的に上記ブログの抄訳(抜粋して訳したもの)ですが、一部補足をしています。 1. ポイント デフォルトではIMD
cdk-nagを使用したAWS CDKのセキュリティチェック ~基本編~ - NRIネットコムBlog
こんにちは、上野です。 Infrastructure as Code (IaC) 、みなさん楽しんでおりますでしょうか。前から気になっていたcdk-nagを試してみたので、その紹介となります。 cdk-nagとは AWS Cloud Development Kit (AWS CDK) で作成する各Constructが、与えられたセキュリティ・コンプライアンスルール群に準拠しているかどうか検証してくれるツールです。CloudFormationテンプレートのセキュリティチェックツールである、cfn-nagに影響を受け作成されています。現時点では以下のルール群が提供されています。 AWS Solutions HIPAA Security NIST 800-53 rev 4 NIST 800-53 rev 5 PCI DSS 3.2.1 GitHubリポジトリで公開されており、AWS公式ブログでも
BeyondCorp Enterpriseを徹底解説。 Googleで実現するゼロトラスト・セキュリティ - G-gen Tech Blog
G-gen の杉村です。情報セキュリティの世界でゼロトラストというキーワードが半ばバズワードのように取り上げられるようになってから久しくなりました。Google のゼロトラスト・ソリューションとして BeyondCorp Enterprise があります。 当記事の前半では、BeyondCorp の基本的な概念や構成を説明します。後半 (第4項以降) は、BeyondCorp の各構成要素を詳細に説明しますので、技術者の方向けです。 BeyondCorp Enterprise の概要 BeyondCorp Enterprise とは ゼロトラストセキュリティとは 構成要素 運用 ID(ユーザーアカウント) 外部 ID 連携 監査ログ 料金 BeyondCorp Enterprise の料金 その他の課金 無料範囲 技術的な詳細解説 01. Identity-Aware Proxy (IAP
AWS アカウントでの不正なアクティビティに関する問題の解決
作成した覚えがないリソースが AWS マネジメントコンソールに表示されます。自分の AWS リソースまたはアカウントが不正利用された可能性があるという通知を受け取りました。 簡単な説明 AWS アカウントで不正なアクティビティが疑われる場合に、そのアクティビティが不正であったかどうかを確認するには、次の手順を実行します。 アカウントで AWS Identity and Access Management ID によって実行された不正なアクションを特定します。 アカウントに対する不正なアクセスや変更を特定します。 不正なリソースの作成を特定します。 不正な IAM リソース (ロール、管理ポリシーなど) の作成や管理上の変更 (AWS Organization で作成された詐欺的な連結アカウントなど) を特定します。 その後、不正なアクティビティを確認できた場合は、この記事の「AWS アカウ
AWS WAF 解説 【第1回 基本構造編】|WafCharm|WAF自動運用サービス
【目次】 はじめに AWS WAF の基本構造 AWS WAF で Web Application を防御するには AWS WAF で許可または拒否可能なリクエスト AWS WAF でのブロック実現方法 おわりに ■ はじめに これまでのブログでは主に具体的な利用方法の説明をしてきましたが、高度な利用をするためには仕組みの理解が大切です。 AWS WAF の基本構造から、攻撃を遮断する為の Condition や Filter の使い方まで、3回に分けてご紹介していきます。 第1回:AWS WAF 「基本構造編」(本記事) 第2回:AWS WAF 「Condition と Filter の関係性」 第3回:AWS WAF 「String and regex matching の仕組みと活用例」 ■ AWS WAF の基本構造 まずは AWS WAF の全体像を見てみましょう。 AWS WA
SASEとは? 導入メリットやゼロトラストとの違いをわかりやすく紹介|ICT Digital Column 【公式】NTTPCコミュニケーションズ
ネットワーク機能とセキュリティ機能とを組み合わせ、まとめて提供する「SASE(サシー)」。ゼロトラストの考え方にもとづいたハイブリッドワーク時代の新たなソリューションとして注目されています。今回はSASEとは何か、注目される背景を解説します。 目次 SASE(サシー)とは? SASEとゼロトラストの違い SASEとCASBとの違い SASEを構成しているソリューション SASEが普及している背景 SASE導入のメリット SASE導入の注意点 SASEを導入するプロセス ネットワークセキュリティ強化なら、NTTPCのSecure Access Gateway まとめ SASE(サシー)とは? SASE(Secure Access Service Edge)は米国のIT専門調査会社ガートナーが2019年に提唱した新たなセキュリティとネットワークのフレームワークです(日本語での読み方は「サシー,
さしあたってSASEについて整理してみた(前編) | ネットワンシステムズ
ライター:大澤 能丈 1999年ネットワンシステムズ入社。 応用技術部門にてCATVインターネット製品の技術担当として長年従事し、現在はクラウドベースのセキュリティ・可視化製品の技術担当業務を担当している。 ・CATV総合監理技術者 ・ネットワークスペシャリスト ・情報セキュリティスペシャリスト ・CCNP ・PCNSE SASE(さっしー)。。。最近よく耳にするので何となく知っているけど、実はあまりよく分かっていない。。。といった声をよく聞かれます。 SASEはSecure Access Service Edgeの略になります。これはガートナー社が2019年8月に提唱したコンセプトであり、これからのクラウドセキュリティの中心となるものとして注目を浴びていますが、実態がよく分からずモヤモヤしている方が多いのではないかと思います。 本ブログでは2回に分けてSASEをひもといてみようと思います
AWS WAF を急に導入することになったときに参考にした資料まとめ | DevelopersIO
急ぎのご依頼で AWS WAF の導入を支援をする機会がありました。本当に急な話だったので準備する時間もなく必要な設定の資料を都度見繕っていたので、また急に依頼されたときに備えて今回の対応で必要だった資料をまとめます。 AWS WAF を急に設定することになったあなたへ向けの記事です。 応急処置として以下の構成に AWS WAF を急遽導入することになったときのお話です。 2023/3/8追記 非常に良い記事でしたので紹介します。こちらもご覧ください。 状況と対応内容 Webサイトに不正なアクセスを受けていることがわかり、AWS WAF を導入して急場を凌ぎたい。 WordPress が起動している(Webサイトを提供しているサービス) 不正なアクセスはCloudFront経由と、Classic Load Blancerから直接の2パターン確認されている Classic Load Blan
情報流出の防止に重要な心理的安全性|SKYSEA Client View
2021年1月、大手銀行などのソースコードがGitHubに公開されていたことが明らかになりましたが、流出した背景には単なる情報漏洩とは違うさまざまな問題が潜んでいました。あらゆる職種・業種で起こる可能性のある今回の問題について、政府CIO補佐官でもありITアーキテクトとしてさまざまな知見をお持ちの楠正憲様にお話を伺いました。 また、情報システム部門の方々のDX(デジタルトランスフォーメーション)の取り組みについても語っていただきました。 Japan Digital Design 株式会社 CTO 楠 正憲 氏 マイクロソフト、ヤフーなどを経て2017年からJapanDigital Design 株式会社 CTO。2011年から内閣官房 番号制度推進管理補佐官、2012年から政府CIO補佐官として、マイナンバー制度を支える情報システム基盤の構築に携わる。2015年、福岡市 政策アドバイザー(
【脆弱性対応】Amazon Linux 2 の EC2インスタンスへ特定パッチを当てる方法を3つ | DevelopersIO
想定シナリオ 想定シナリオは以下の通り(某試験文章風) ----- ある企業がAWS上で Amazon Linux 2 の EC2インスタンスからなるアプリケーションを稼働させています。 新しい社内クラウドセキュリティポリシーに準拠するために、すべてのEC2インスタンスに対して 脆弱性診断ツールが導入されました。 そして、脆弱性診断で指摘された重要度CRITICAL の指摘事項は 必ず対応しないといけないと定められています。 ある日 特定のEC2インスタンスに対して 重要度CRITICAL の脆弱性 (CVE-XXXX-XXXX ※)が検出されました。 セキュリティエンジニアであるあなたは、脆弱性が検知された EC2インスタンスに対して セキュリティパッチを当てる責任があります。 まずは検証環境のEC2インスタンスを使って、 効率よくセキュリティパッチを当てる方法を探しはじめました。 ※C
Azure Sentinel のセキュリティ プレイブックを作成し、リスク検知時に Teams にメッセージを投稿する - Qiita
Azure Sentinel のセキュリティ プレイブックを作成し、リスク検知時に Teams にメッセージを投稿するAzureSecuritylogicappsidentityprotectionAzureSentinel はじめに Azure Sentinel はクラウドネイティブの SIEM (Security Information and Event Management ) です。 Azure 上の サービスだけでなく、AWS CloudTrail や F5 のアプライアンスなど、Syslog エージェントを介して、ログを集約し、多次元的に分析が可能なツールです。 Azure Sentinel の基本的なセットアップ手順は以下にまとめていますので参考にしていただけると幸いです。 -参考情報 Azure Sentinel に Azure AD と Identity Protect
Microsoft 365 の監査ログを長期保存しよう!Microsoft Sentinel
トピックスAzure Microsoft 365 の監査ログを長期保存しよう!Microsoft Sentinel 2022年1月13日 2022年1月14日 Microsoft 365 の監査ログの保存期間は90日間というのはご存じでしょうか? 監査ログでは、ユーザーの操作やアクセス履歴、管理者の操作履歴といった様々なアクティビティを確認することができます。いざという時に必要になる大事なログですので、最低でも1年間は保存しておくのが理想と考えています。 監査ログの長期保存方法 監査ログを90日以上保存するには、例として以下の5つの方法があげられます。 ① 定期的にエクスポートして保存しておく (無期限で保存が可能) ② Microsoft 365 E5 または eDiscovery and Audit を利用 (1年間の保存が可能) ③ Advanced Audit Log アドオンを利
Azure のための Microsoft Sentinel - Azure 上のどのログを収集していくか? - Qiita
2022年11月に製品名など古くなっていたものを更新しました。 2023年1月に Microsoft Cloud Security Benchmark (MCSB) に関する記述を追加しました。 2024年1月に製品名など古くなっていたものを更新しました。 本記事について Microsoft Sentinel は、マイクロソフト社が2019年にリリースした、SIEM as a Service です。SIEM ということもあり、オンプレミスのファイアウォールや他社のセキュリティ製品からのログ・アラート収集が重要な機能な一方、純粋に Azure 上のリソースのセキュリティログ・アラートの管理・分析ツールとしても十分に活用できます。本記事では、特に Azure 上のリソースからどのようなログを取得し、どのようなことが行えるかを、個人的な見解からご紹介していきます。 姉妹編である、Microsof
Azure Log Analytics (Microsoft Sentinel) のログの長期保管の選択肢 - Qiita
Azure Log Analytics や Microsoft Sentinel の利用が進むにつれて、より長期にログを保管したいというニーズを伺うことが増えてきました。本記事では、Log Analytics に格納したデータを長期間保持したい時に利用できるオプションを整理します。 Log Analytics ワークスペースに2年間まで (新登場のアーカイブ機能で最大12年間) 保持 もしログの保持期間が2年以内なのであれば、そのまま Log Analytics ワークスペースに置いておくのが一番楽なオプションになります。 ワークスペース単位で30-730日で保持期間を設定でき、期間を過ぎたログは自動的に削除されます。また、テーブル単位で細かく制御することも可能です。 また、新しいアーカイブ機能で12年間までの保持 ができるようになってきています。アーカイブされたログの検索機能(searc
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
フィッシング被害に遭ってしまったら。Exchange 365 での注意事項 - AvePoint Blog
