【クラウドセキュリティ対策比較】GCP、AWS、Azureを様々な観点から比べてみた | 株式会社トップゲート
削除する Google Service TGカルチャー アプリケーション開発 コンサルティング セミナー テックブログ デザイン デジタルプロダクト開発 開発実績 ニュース 2025年の崖(1) 5G(1) AI(39) AI Hub(1) AI Platform(1) AlloyDB(12) AlloyDB for PostgreSQL(6) AlphaZero(1) Analytics HUB(1) Android(11) Android アプリ(1) Anthos(6) API(12) API エコノミー(1) APP(2) App Engine(2) App Maker(2) AppServer(1) AppSheet(3) arduino(1) Authentication(1) AutoML(4) AWS(12) AWS (Amazon Web Services)(1) AWS
Cloud Identity とは - Cloud Identity ヘルプ
Cloud Identity は IDaaS(Identity as a Service)ソリューションであり、企業向けモバイル管理(EMM)サービスです。Google Workspace で利用できる ID サービスとエンドポイント管理をスタンドアロン型のサービスとして提供します。Cloud Identity を利用することで、管理者は Google 管理コンソールからユーザー、アプリ、デバイスを一元管理できます。 Cloud Identity のエディション Cloud Identity Free Edition では、中核となる ID サービスとエンドポイント管理サービスをご利用いただけます。また、Gmail や Google カレンダーなど一部の Google Workspace サービスを必要としないユーザーに、管理対象の Google アカウントを提供します。ただし、ユーザーは
Google Cloud のコンソールや API へのアクセスをアクセス元の IP アドレスで簡単に制限する
こんにちは。Google Cloud Japan でカスタマーエンジニア(プリセールスエンジニア)をしている有賀です。 クラウドサービス利用のご相談に乗っていると、ときどき(しばしば?)、ウェブコンソール(クラウドサービスを設定するためのウェブページ。Google Cloud では Cloud Console と呼びます。)や、API へのアクセスをアクセス元の IP アドレスで制限したい、というご要望を受けることがあります。 インターネットでサービスを公開する際のアクセス制限として、ID とパスワードだけでは不安(パスワードが漏れたらアクセスされ放題に!)だから、追加でアクセス元の IP アドレスで制限する、というのはそこそこ一般的におこなわれていたかと思います。(ゼロトラストのアプローチもあると思いますが、それはまたの機会に。:-) こういった機能をオンプレミスで提供する場合は、ファイ
GCP でのアクセス制限や IP 制限の話 - バイセル Tech Blog
こちらは バイセルテクノロジーズ Advent Calendar 2021 の 22日目の記事です。 前日の記事は飯島さんの「SentryでGoのcustom errorをstack trace付きで表示する」でした。 こんにちは。開発 2 部の今井です。 バイセルでは主にサーバサイドの開発に携わっています。 本記事では、現在進めている新規プロジェクトのインフラを構築するうえで検討する機会がありました「GCP でセキュアなサービスを構築するうえで考えたこと」についてご紹介します。 アーキテクチャの全体像 本記事で紹介すること Cloud Storage のアクセス制限について 注意点 Cloud Load Balancer を利用したアクセス制限について まとめ 最後に 参考にさせていただいたサイト アーキテクチャの全体像 私が所属しているプロジェクトでは GCP を利用しており、簡単な全
シークレット情報の管理・運用について
この記事はUnipos advent calendar 23日目の記事です。 この記事では、僕が最近取り組んでいたシークレット情報の管理と運用について得られた知見を書いていこうと思います。 23日の日付が変わるか変わらないか、ギリギリのラインで書いております。 過ぎました。すみません。 そして、zennへの記事の投稿は初めてです。よろしくおねがいしますmm シークレット情報とは シークレット情報といえば、ぱっと思いつくものは外部サービスと通信する際に使用するtoken類がぱっと思いつきますが、それ以外にもsqlサーバーやキャッシュサーバーに接続するためのパスワードなども挙げられると思います。今回はこういった情報をシークレット情報と呼んでいきます。 これらの情報をどのようにで扱うべきか書いていきます。 リポジトリはプライベートだし、扱うも何も安全じゃない?? そんなことはありません。確かにリ
中小企業の情報セキュリティ対策ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構)は、中小企業の情報セキュリティ対策に関する検討を行い、より具体的な対策を示す「中小企業の情報セキュリティ対策ガイドライン」を公開しました。 概要 「中小企業の情報セキュリティ対策ガイドライン」(以下「本ガイドライン」)は、情報セキュリティ対策に取り組む際の、(1)経営者が認識し実施すべき指針、(2)社内において対策を実践する際の手順や手法をまとめたものです。経営者編と実践編から構成されており、個人事業主、小規模事業者を含む中小企業(以下「中小企業等」)の利用を想定しています。 第3.1版は第3版(2019年3月)を公表して以降、新型コロナウイルス感染防止策によるテレワークの普及や、DX 推進の両輪としての情報セキュリティ対策といった社会動向の変化などを踏まえ、具体的な対応策を盛り込むための改訂を行いました。例えば実践編において、テレワークを安全に実施す
Apache Log4j 2 vulnerability CVE-2021-44228
A critical security vulnerability has been identified in the popular "Apache Log4j 2" library. This vulnerability is identified as CVE-2021-44228. The Jenkins security team has confirmed that Log4j is not used in Jenkins core. Jenkins plugins may be using Log4j. You can identify whether Log4j is included with any plugin by running the following Groovy script in the Script Console:
Cloud Armor の WAF ルールで Apache Log4j の脆弱性対策をする
(2021 年 12 月 14 日 21:00 JST 追記:WAF ルールのチューニングについて続編を書きました) Google Cloud Japan Advent Calendar 2021 の 12 日目…ではありません。(12 日目の記事はこちらです。お、たまたま脆弱性関連ですね。) 年の瀬も差し迫った 2021 年 12 月 10 日(金)、Apache Log4j 2 の脆弱性に対するゼロデイ攻撃が可能であることが明らかになりました。 Google Cloud の WAF サービスである Cloud Armor でも、本脆弱性への対策の一つとして使える WAF ルールがリリースされたのでご紹介します。 Cloud Armor WAF rule to help address Apache Log4j vulnerability | Google Cloud Blog
理解してるつもりの SSL/TLS でも、もっと理解したら面白かった話 · けんごのお屋敷
apache や nginx の設定をしたことがあれば以下の様な行を見たことがある人も多いのではないでしょうか。(※ 下記は nginx の設定。apache の場合は SSLCipherSuite です。) ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; これが暗号スイートを指定している箇所です。そしてこの部分、わけのわからない文字列の羅列なのですごく取っつきにくくて何を指定したらいいかわからないので、コピペしてしまう人も多いんじゃないでしょうか。かくいう私も数年前に趣味で TLS 対応の Web サービスを作った時はコピペで済ませていました。この暗号スイートは、以下のような OpenSSL のコマンドを使って対応している一覧を見ることができます。 $ openssl ciphers -v AES128-SH
Duo Securityを利用してAmazon WorkSpacesにMFA(多要素認証)を導入する | DevelopersIO
Amazon WorkSpacesの利用にあたり、お客様からセキュリティ対策としてMFA(多要素認証)導入のご要望をいただくケースが多々あります。 Amazon WorkSpacesでMFAを利用するためには、ワンタイムパスワードを認証できるRADIUSサーバーを別途用意するがあります。OSSや商用のパッケージ製品を利用してRADIUSサーバーを構築する方法もありますが、運用の手間を省くという観点ではSaaSを利用するのも有力な選択肢かと思います。 今回は、様々なアプリケーションに対して2段階認証を導入できるサービスDuo Security(以降Duo)を利用して、Amazon WorkSpacesにMFAを導入する方法をご紹介します。 目次 システム構成 Duoアカウント登録&初期設定 保護対象のアプリケーション(RADIUS)の登録 Duo Authentication Proxyのイ
【PKI 応用】暗号スイート (cipher suite) とは | ねこまるの AD フリーク
SSL/TLS にてデータを暗号化して通信を行うには、自分自身と通信相手の両方が利用可能なアルゴリズムを使う必要があります。 不特定の相手と両者が利用可能なアルゴリズムを確認しあうために使われるのが 暗号スイート(cipher suite) となります。 今回は SSL/TLS の仕組みを理解するにあたり、重要な要素を担う暗号スイートについて説明します。 暗号スイート(cipher suite) 暗号スイートとは、鍵交換や暗号化方式、ハッシュ関数など暗号化通信に使われる各種アルゴリズムの組み合わせのことです。 SSL/TLS では、通信データの暗号化を行う共通鍵暗号、共通鍵暗号に使用する鍵の交換を行うアルゴリズムなど複数の技術を組み合わせて暗号化通信を実現しています。 共通鍵暗号、鍵交換、ハッシュ関数の技術にも複数のアルゴリズムがありますので、暗号化通信を成立させるためには自分自身と通信相
【図解】TLSの暗号化スイートの見方とセキュリティ設定/脆弱性の確認方法
例えば鍵交換を ECDHE、認証 (デジタル署名) を RSA, 共通鍵暗号を AES128, ハッシュを SHA256 とした場合、「TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256」となります。 ところが、TLS v1.3 では以下の構成となりました。AEAD とは簡単に言うと「共通鍵暗号による暗号化とメッセージ改竄検知を同時に行う」方式です。 鍵交換 (Kx) 方式と認証 (Au) 方式は削除されました。 なぜかって言うと、以下のように TLS extension (拡張属性) でネゴシエーションされることになったからです。(別に暗号化方式とセットでネゴする必要が無いことに気付いたのですね。) 鍵交換 = supported_groups extension, key_share extension認証 (デジタル署名) = signature_algori
暗号スイートの暗号強度と、公開鍵のビット数の設定、及びRSAとECDHEでサーバ負荷の比較 - Apache 2.4系でHTTP/2対応サーバを構築してみるテスト。
見ず知らずの他人同士が、リーズナブルな計算量で、秘密の通信を行うためには、公開鍵暗号と秘密鍵暗号を組み合わせる必要があります。 この暗号の組み合わせのことを「暗号スイート」と呼びます。 OpenSSLには、多くの暗号スイートが用意されています。どの暗号スイートを選べばいいのか、迷ってしまうと思います。 そして、暗号スイート全体としての暗号強度は、公開鍵の強度も関係してきます。 ここでは、総当たり攻撃の耐性を基準に、暗号スイートと公開鍵の決め方を説明していきます。 以下、私の独断と偏見ですが、なぜGoogleやFacebookが、ECDHE(256bit)-ECDSA(256bit)-AES(128bit)の暗号スイートを使用するのか、ご理解いただけると思います。 併せて、Apache Webサーバ(httpd)のECDHEのビット数の変更方法(P-256, P-386)も、説明しています。
TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定(「遵守項目」と「推奨項目」)を決めております。 本ガイドラインは安全なウェブサイトの作り方とともに適切な暗号設定をする資料の一つとしてお使いいただけます。 なお、本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。 「TLS暗号設定ガイドライン」の内容 1章と2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識を
事前質問求む!経産省DX室ゼロトラスト報告書の解説。その前にゼロトラストおさらいするよ (2021/07/16 19:00〜)
お知らせ connpassではさらなる価値のあるデータを提供するため、2024年5月23日(木)を以ちましてイベントサーチAPIの無料での提供の廃止を決定いたしました。 2024年5月23日(木)以降より開始予定の「connpass 有料API」の料金プランにつきましてはこちらをご覧ください。 なお有料の対象となるのはAPIのみであり、connpassのサービスにつきましては今後も無料でご利用いただけます。 7月 16 事前質問求む!経産省DX室ゼロトラスト報告書の解説。その前にゼロトラストおさらいするよ 経済産業省DX室の長すぎる事業報告書をシンジがざっくり解説します。チャット質問全部その場で答えます
サーバーのSSL/TLS設定のツボ - Internet Week 2014 セッションS14
Internet Week 2014 セッションS14 サーバーのSSL/TLS設定のツボ (配布資料) 2014年11月20日(木) 13:45-14:15 於:富士ソフトアキバプラザ 漆嶌 賢二 本文中の登録商標および商標はそれぞれの所有者に帰属します。 富士ゼロックス株式会社 SkyDeskサービスセンター 漆嶌賢二 © 2014 Fuji Xerox Co., Ltd. All rights reserved. © 2014 Fuji Xerox Co., Ltd. All rights reserved. 1 時期 問題・事件 対策 2005.11 OpenSSL SSLv2バージョンロールバック アップデート 2009.01 RapidSSL MD5衝突偽造中間CA アップデートやPinning 2009.07 NULL終端による証明書ホスト名一致不備 アップデートやPinni
2017年版 SSH公開鍵認証で使用する秘密鍵ペアの作り方 - Qiita
何番煎じかわからないが、 ssh-keygen 最近他の種類も生成すること多くなってきたので。 まあ、 Advent Calendar ネタということで。 よーし埋めるぞ。 RSA 1024bit 以下 絶対に使ってはいけません。 古い puttygen.exe とかだと 1024 ビット以下の鍵が生成されることがあるので注意が必要です。 無難に RSA 2048bit よく使われますが、最近は計算機性能も向上したためか、このビット長の暗号は推奨されないようです。 とはいえNISTによると、2031年以降、RSA 2,048bitをはじめ強度の低いアルゴリズムはほとんどが使用禁止扱いになる。 ECDSAがスタンダードになるのは時間の問題。 ECDSA鍵をGitHubで使う - Qiita
Apacheで3DES,RC4 の暗号を無効化 | Oji-Cloud
概要 今回は、Apacheの脆弱性対策です。Apacheを使用したWebサーバーにおいて、特定の暗号アルゴリズムを無効化する方法を説明します。 3DES, RC4 の暗号アルゴリズムを無効化 3DES, RC4 の2つを例に暗号アルゴリズムの無効化を説明します。なお、3DES, RC4 の暗号アルゴリズムは、下記理由で無効化すべきかと判断しました。 RC4: 暗号化に利用する疑似乱数が偏向することがあり、解読が容易と言われています。 3DES: 脆弱性が見つかり、米国立標準技術研究所(NIST)が2023年以降の使用禁止を提案しています。 今回のポイント 3DES, RC4 の暗号アルゴリズムを無効化する前と、無効化した後に、Webサーバーに対するSSLアクセスのテストを行います。 SSLアクセスのテストは、2種類実施しています。テスト対象のWebサーバーに外部からアクセス可の場合は、SS
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
監査証跡の適切な保存期間はどれくらいか – ウイーズ・システムズ株式会社コーポレートサイト
GitHub - meti-dx-team/METI-Digital-Tools
