「ISC2 Japan Chapter勉強会 2024/07」の登壇スライドです。 ※ Speaker Deck上だと太文字が滲んでいるため、手元にダウンロードしてPDFを見ると鮮明に閲覧することができます。 - https://sites.google.com/isc2chapter.jp/mee…
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 東京海上日動は5月7日、米Amazon Web Services(AWS)とサイバー保険で協業すると発表した。 この協業では、クラウド環境に特化したサイバーリスクの評価の高度化とサイバーリスク保険の提供を予定する。まずは提供の同意を得たAWSユーザーのデータを東京海上日動が分析し、クラウドに特化したサイバーリスク評価手法の研究と保険引受判断の高度化を行う。 次に、AWSのセキュリティ対策状況管理サービス「AWS Security Hub」のデータを使用したサイバーリスク保険の提供を開始する。一部のAWS Security Hubユーザー向けに提供し、2025年に任意の全ユーザーに提供する。従来の申告ベースのリスク評価だけでなく、AWSク
LayerX Fintech事業部(※)で、ガバナンス・コンプラエンジニアリングをしている 鈴木 (@ken5scal )です。 ※三井物産デジタル・アセットマネジメントに出向しています。 今回は、AWS IAMポリシーの条件における「ForAllValues」の仕様を誤って理解していたことから、安全でないアクセス制御を実装していたという内容です。もし同様の勘違いをされている方がいたら参考になれば幸いです。 ユースケース AWS IAMユーザーを、ロールの trust policy がユーザーのタグで制御するケースで考えます。 具体的には、「Group A あるいは Group B」に所属し、且つ「Admin」権限のあるユーザーのみが行使できる役割「AdminABRole」があるとしましょう。 この場合、Group と Admin のタグが存在し、下記のようなパターン(※)が考えられます。
AWSだけで実装する場合の問題点 AWSにもSecurityHubを使うことで発見的統制や予防的統制を管理することができますが、大量アラートが発生することも多いことが実情です。また、セキュリティイベントという性質上、かんたんに無視できず運用負荷になりがちです。 【問題点】 アラートチューニングに適していない ログ検索のプラットフォームとの連動に作り込みが必要で、日々のセキュリティイベントの件数の分析などが難しく、件数を減らすためのチューニングが困難です。 独自ルールの設定ができない AWSのベストプラクティスに則ったルールが適用されますが、社内のルールなど独自ルールを導入しずらく、統制の観点で要求レベルを満たさない場合があります。 アカウントを横断して管理しにくい このような監査基盤はCCoEなど全社横断の組織が管理することが多く、マルチアカウントの管理が必要となります。 NewRelic
こんにちは、臼田です。 みなさん、GuardDutyと戯れてますか?(挨拶 今回は弊社年1の一大イベントであるDevelopersIO 2023で登壇した内容の共有です。 スライド 解説 大前提 今回のセッションの概要は以下のとおりです。 GuardDutyの深淵を覗いて、君もGuardDutyマスターになろう! クラスメソッドではAmazon GuardDutyを利用したセキュアアカウント インシデント自動調査機能を提供しています。日頃からGuardDutyを嗜んでいる立場から、みなさんに普段知る必要がないくらい深いGuardDutyの情報を提供します。念の為最新のGuardDutyのアップデートも織り交ぜつつ、みなさんがGuardDutyマスターになるために、GuardDutyの検知内容(Findings)のフォーマットがどの様になっているのかディープダイブして解説します。 というわけ
AWS の公式ドキュメント「AWS Lambda Operator Guide」を読んだ❗️AWS Lambda を軸にサーバーレスアプリケーションを構築するときに意識しておくべき "運用面のポイント・ベストプラクティス" がまとまっていて,とても良いドキュメントだった👏 内容的には AWS Well-Architected Framework: Serverless Applications Lens と重複するところもあるけど,サーバーレスアプリケーションを開発・運用しているなら1度は読んでおくと良いのではないでしょうか❗️ \( 'ω')/ 多くの人に読みやすくなるように日本語翻訳もあるとイイなぁ〜 docs.aws.amazon.com 構成 ドキュメントとしては全6章で構成されている.どれも重要で,理解を深めるために読むのはもちろん,開発中もしくは運用中のアプリケーションに対し
Amazon Web Services ブログ Amazon Inspector が AWS Lambda 関数をスキャンして脆弱性を検出するようになりました Amazon Inspector は脆弱性管理サービスで、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスや Amazon Elastic Container Registry (Amazon ECR) 内のコンテナイメージにまたがるワークロードを継続的にスキャンしますが、本日より AWS Lambda 関数と Lambda レイヤーのワークロードも対象になりました。 今日まで、混在ワークロード (EC2 インスタンス、コンテナイメージ、Lambda 関数など) を一般的な脆弱性に対して分析したいと考えていたお客様は、AWS やサードパーティーのツールを使用する必要がありました。これに
AWS は、カスタムアプリケーション向けのスケーラブルできめ細かなアクセス権限管理および認証サービスである、Amazon Verified Permissions のプレビューを発表しました。 Amazon Verified Permissions を使用すると、アプリケーションデベロッパーは、エンドユーザーがアクセス権限を管理し、データへのアクセスを共有できるように設定できます。 例えば、どの Amazon Cognito ユーザーがどのアプリケーションリソースにアクセス可能かを決定するために、きめ細かなアクセス権限を定義して管理できます。 このきめ細かなアクセス権限集中管理システムでは、アクセス権限のルールの変更および更新を、コード変更不要で、一元的かつシンプルに行えます。 チームはこのアクセス権限システムを使用して、開発スケジュールを短縮し、より動的なアクセス権限をアプリケーションリ
EventBridge経由で収集したGuardDutyのイベントログをGlue CrawlerでクロールしてAthenaで見れるようにしてみた Glue Crawlerを利用することで実データから簡単にスキーマを作成できるので、これを応用して少し裏技的に都合のいいGuardDutyイベントログをクエリするテーブルを作成します。 こんにちは、臼田です。 みなさん、ログ分析してますか?(挨拶 今回はEventBridge経由で収集したGuardDutyのイベントログをAthenaでクエリできるようにしてみます。以下前回のブログの続きです。 まえがき 前回書いていますが、GuardDutyのイベントログを直接S3に保存せず、EventBridge経由で保存する場合の、Athena活用までの道のりです。同じ利用の仕方の方だけ参考になるかも。 AWS GlueのCrawlerを利用すると保存されてい
ちゃだいん(@chazuke4649)です。 前回に続き、今度は AWS SSO で、Session Manager で特定の EC2 のみアクセスできるよう制限してみます。 前回はこちらをご覧ください。 Session Manager で特定の EC2 のみアクセスできるよう制限する [ AWS IAM 編 ] | DevelopersIO 前提 AdministratorAccess の権限を持つAWS SSOユーザーが対象のEC2インスタンスに対して、Session Managerをすでに使用できる状態(=Session Managerが利用可能な設定が完了している状態)とします。 制限対象はすでに作成済みのAWS SSOユーザー デフォルトのIAMポリシーとして、アクセス権限セットに ReadOnlyAccessを付与し、参照はできる状態とする 設定は管理者ユーザーが全て行う Or
はじめに こんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。 本稿では、AWS Lambda で起こりうる脆弱性攻撃やリスク、セキュリティ対策を解説し、サーバーレスにおけるセキュリティリスクについて紹介します。 はじめに AWS Lambda について サーバーレスにおけるセキュリティリスク AWS Lambda で起こりうる脆弱性攻撃 Lambda での脆弱性攻撃によるリスク 脆弱性攻撃による更なるリスク OS Command Injection XML External Entity (XXE) Insecure Deserialization Server Side Request Forgery (SSRF) Remote Code Execution (RCE) AWS Lambda におけるセキュリティ対策 セキュリティ
Amazon Web Services (以下AWS)の利用開始時にやるべき設定作業を解説します。AWSの利用開始とは、AWSアカウントの開設を意味しますが、より安全に利用するため、AWSアカウント開設直後にやるべき設定がいくつかあります。この連載ではその設定内容を説明します。 AWS Organizationsを使用することで、複数のアカウントに自動的にこういった初期設定を行うことも可能ですが、この連載では新規で1アカウントを作成した場合を前提とします。複数アカウントの場合も、基本的な考え方は同じになります。 設定作業は全19個あり、作業内容の難しさや必要性に応じて以下3つに分類しています。 少なくともMUSTの作業については実施するようにしましょう。 MUST :アカウント開設後に必ず実施すべき作業 SHOULD :設定内容の検討または利用方法を決定のうえ、可能な限り実施すべき作業 B
[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで] というタイトルでDevelopersIO 2021 Decadeに登壇しました #devio2021 DevelopersIO 2021 Decadeで登壇した動画や資料を掲載、解説をしています。AWSのセキュリティについて網羅的に扱っています。ちょー長いのでご注意を。 こんにちは、臼田です。 みなさん、AWSのセキュリティ対策してますか?(挨拶 ついにやってまいりました、DevelopersIO 2021 Decade!私は「[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで]」というテーマで登壇しました。 動画と資料と解説をこのブログでやっていきます。 動画 資料 解説 動画はちょっぱやで喋っているので、解説は丁寧めにやっていきます。 タイトル付けの背景 今回何喋ろうかなーって思ってたら、2年前のDeve
Amazon.com、同社内で使われていた従業員向けのセキュリティオンライントレーニングを無償で一般公開、日本語版も提供 Amazon.comは、これまで同社内で従業員向けに提供してきたセキュリティのオンライントレーニングコースを無償で一般公開しました。 Starting today, we're making the same cybersecurity training used by Amazon employees available to businesses and individuals around the world at no cost. #CybersecurityAwarenessMonth https://t.co/h1EXJf6lrn — Amazon News (@amazonnews) October 26, 2021 セキュリティトレーニングは「Cyber
Amazon Web Services ブログ 最小権限実現への4ステップアプローチ 後編 AWS のセキュリティベストプラクティスを実現するに当たり、「最小権限の原則」に戸惑ったことはありませんか? AWS の利用では AWS Identity and Access Management (IAM) サービスを避けて通ることは出来ません。そのベストプラクティスとして掲げられているのが、最小権限の原則です。特に強固なセキュリティを求めるユースケースではこの原則の実現が課題になることが多いかと思います。本ブログでは、この最小権限の原則をシステマチックに検討するアプローチの一例をご紹介します。 前編では、システムが必要とする権限と、そこに内在する「受容できないビジネス影響をもたらしうる権限」を可視化する方法を3つのステップでご紹介しました。後編である今回は、前編で可視化した権限について統制のメ
Amazon Web Services ブログ 最小権限実現への4ステップアプローチ 前編 AWS のセキュリティベストプラクティスを実現するに当たり、「最小権限の原則」に戸惑ったことはありませんか? AWS の利用では AWS Identity and Access Management (IAM)サービスを避けて通ることは出来ません。そのベストプラクティスとして掲げられているのが、最小権限の原則です。特に強固なセキュリティを求めるユースケースではこの原則の実現が課題になることが多いかと思います。本ブログでは、この最小権限の原則をシステマチックに検討するアプローチの一例をご紹介します。 はじめに 「最小権限を適切に運用する」ことを計画する際、まず思いつくのはシステムの運用や開発の視点で「必要」となる操作の権限のみを人やアプリケーションに付与するというアプローチです。シンプルですが、権限が
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く