クラウドセキュリティ入門〜オフェンシブ視点でAWS環境に着目した際の脅威と対策〜「ISC2 Japan Chapter勉強会 2024/07」の登壇スライドです。 ※ Speaker Deck上だと太文字が滲んでいるため、手元にダウンロードしてPDFを見ると鮮明に閲覧することができます。 - https://sites.google.com/isc2chapter.jp/mee…
その魅力は「お金」——だけじゃない。バグハンター界のホープが語る、バグバウンティに取り組む理由とその醍醐味
TOPインタビューその魅力は「お金」——だけじゃない。バグハンター界のホープが語る、バグバウンティに取り組む理由とその醍醐味 バグハンター 森岡 優太 GMOサイバーセキュリティ byイエラエ株式会社の2024年新卒セキュリティエンジニア。 学生時代から数社で脆弱性診断等の業務を経験し、現在は所属企業でWebペネトレーションテストやソースコード診断等の業務に従事する。 外部活動では、サイバーセキュリティに関する登壇や講師、執筆などに取り組み、プライベートでもバグバウンティで脆弱性探しに取り組んでいる。 また、趣味でポッドキャスト「Bug Bounty JP Podcast」の運営とスピーカーをしている。 X (旧Twitter): @scgajge12 個人サイト: https://scgajge12.github.io/ Webサービスやスマホアプリなどを提供する企業が、外部のホワイトハ
「脆弱性」「脅威」「リスク」の再整理 | ドクセル
「リスク」「脅威」「脆弱性」とは? - 定義 JIS Q27000:2019 リスク 目的に対する不確かさの影響。 注記4 リスクは、ある”事象”(その周辺状況の変化を含む。)の結果とその発生の”起 こりやすさ”との組合せとして表現されることが多い。 脅威 システムまたは組織に損害を与える可能性がある、望ましくないインシデントの潜在的 な原因。 脆弱性 一つ以上の脅威によって付け込まれる可能性のある、資産または管理策の弱点。 ※ JIS Q27000:2019 3.61項、3.74項および3.77項より 脅威モデリングナイト #1 in Tokyo #脅威モデリング 「リスク」「脅威」「脆弱性」とは? - もうちょいわかりやすく それが生じた時 それが生じなかった時 あるいは どう生じたか で、結果が異なる 「情報・サイバーセキュリティの基本と動向」PwC丸山さん資料より https:
国際女性CTF「Kunoichi Cyber Game」開催および予選会について | SECCON13
11月14日、15日 にCODE BLUE会場(東京都新宿区 ベルサール高田馬場)にて 若手向け国際女性CTF「Kunoichi Cyber Game」を開催します。 また本大会の予選を6月15日より開催される SECCON Beginners CTF にて行います。 予選会に参加を希望される方は、以下のご案内をご確認の上、 予選会 formsへの応募および、SECCON Beginners CTF 2024への参加をお願いします。 Kunoichi Cyber Gameとは 若手向け国際女性CTF「Kunoichi Cyber Game」はセキュリティに関するスキルを身につけることはもちろん、 国を超えてサイバーに興味を持つ同世代の女性の仲間とネットワークを築くことがでできる国際イベントです。 CTF競技だけではなく、オフラインイベントならではの交流を促進するイベントも実施予定であり、
セキュリティにおける倫理って何だ? | ドクセル
長谷川陽介(はせがわようすけ) (株)セキュアスカイ・テクノロジー 取締役CTO セキュリティ・キャンプ協議会代表理事 千葉大学 非常勤講師 OWASP Kansai ボードメンバー OWASP Japan ボードメンバー CODE BLUEカンファレンス 実行委員 Internet Explorer、Mozilla FirefoxをはじめWebアプリケーション に関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、OWASP AppSec APAC 2014他講演や記事執筆も多数。 https://utf-8.jp/ ※本内容は個人のものであり所属する組織の見解ではありません 2024-05-18 #secmomiji https://utf-8.jp/
【重要】EV証明書における再発行、ならびに入れ替え手順のご案内
本件に関して対応が必要なお客様へのお知らせはすべて<updates@digicert.com>から送信しております。 日本時間2024/05/09 (木) 23:00頃 配信されたメール(件名:「REISSUANCE OF CERTIFICATES PRIOR TO MAY 11 2024」) は誤送信であることが確認されましたので、お手元に届いている場合には、大変お手数ではございますが破棄をお願い致します。 拝啓 貴社益々ご清栄のこととお慶び申し上げます。 平素は弊社サービスの拡販にご尽力頂きありがとうございます。 首記の件につき、弊社が発行いたしましたEV TLS証明書の一部にBusiness Categoryの記載フォーマットに誤りがあるものを確認し、CA Browser Forum SSL/TLS証明書のBaseline Reuqirementの取り決めにより、2024年 5月 1
東京海上日動とAWS、サイバー保険で協業--「Security Hub」のデータを利用
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 東京海上日動は5月7日、米Amazon Web Services(AWS)とサイバー保険で協業すると発表した。 この協業では、クラウド環境に特化したサイバーリスクの評価の高度化とサイバーリスク保険の提供を予定する。まずは提供の同意を得たAWSユーザーのデータを東京海上日動が分析し、クラウドに特化したサイバーリスク評価手法の研究と保険引受判断の高度化を行う。 次に、AWSのセキュリティ対策状況管理サービス「AWS Security Hub」のデータを使用したサイバーリスク保険の提供を開始する。一部のAWS Security Hubユーザー向けに提供し、2025年に任意の全ユーザーに提供する。従来の申告ベースのリスク評価だけでなく、AWSク
Azure Policyによるユーザー操作の制限管理方法<第2弾>
事前にAzure Policyによるユーザー操作の制限管理方法 <第1弾>を参照してください 1. Azure Policyでカスタムポリシーを作成して割り当てを行う手順 Azureポータルでカスタムポリシーを作成して割り当てを行う手順は、以下になります。 No 操作 画面
Azure Policyによるユーザー操作の制限管理方法<第1弾>
1. Azure Policyによるユーザー操作の制限管理方法 1.1. はじめに Microsoft Azureは頻繁にアップデートされ、新サービスや機能追加、あるいはサービスや機能の終了といったサイクルが行われているため、この設定手順は作成した時点で提供されているサービスや機能を使用した、最適と考えられるAzure ガバナンスサービスを検討した内容となっております。 1.2. Azure Policy操作手順概要 Azure Policy は、Azure 内のリソースのプロパティをビジネス ルールと比較して、それらのリソースを評価します。JSON 形式で記述されるこれらのビジネス ルールは、ポリシー定義と呼ばれます。 管理を容易にするために、複数のビジネス ルールをグループ化して、ポリシーイニシアチブ (policySet とも呼ばれます) を作成できます。 ビジネス ルールを作成する
AWS IAM PolicyのForAllValuesを勘違いしてた件 - LayerX エンジニアブログ
LayerX Fintech事業部(※)で、ガバナンス・コンプラエンジニアリングをしている 鈴木 (@ken5scal )です。 ※三井物産デジタル・アセットマネジメントに出向しています。 今回は、AWS IAMポリシーの条件における「ForAllValues」の仕様を誤って理解していたことから、安全でないアクセス制御を実装していたという内容です。もし同様の勘違いをされている方がいたら参考になれば幸いです。 ユースケース AWS IAMユーザーを、ロールの trust policy がユーザーのタグで制御するケースで考えます。 具体的には、「Group A あるいは Group B」に所属し、且つ「Admin」権限のあるユーザーのみが行使できる役割「AdminABRole」があるとしましょう。 この場合、Group と Admin のタグが存在し、下記のようなパターン(※)が考えられます。
最小権限の原則に一歩近づく - Entra ID の "Just-in-time application access with PIM for Groups" 機能の紹介 - LayerX エンジニアブログ
LayerX Fintech事業部(※)の piroshi です。 ※三井物産デジタル・アセットマネジメント (MDM)に出向しています。 沖縄からリモートワークで働いており、蒸し暑い日が続いています。クーラーをつけないと寝苦しくなってきました。 ところでみなさん、特権 (ちから) が欲しいですか?ここでの権限はシステム上の各種権限です。私は小心者で、大きすぎる力は持ちたくない派です。特権をもっていると「オレは今、セキュリティリスクの塊だ...」と気になってしまい、輪をかけて夜も眠れません。 さて、Microsoft の IdP サービスである Entra ID には Privileged Identity Management (PIM) という特権管理機能があります。PIM により「必要最低限の権限」を「必要な期間」に限定して付与することが可能です。ユーザは特権へのエスカレーションを自
AWS Security Hubの導入からうまく運用を回すまでのTips / 開発者向けブログ・イベント | GMO Developers
こんにちは、GMOインターネットグループ株式会社 システム統括本部 ホスティング・クラウド開発部 アプリケーション共通チーム(技術推進チーム/AWS運用チーム)の井本です。 弊社では、AWS環境におけるセキュリティ強化の取り組みを随時実施しております。今回は、直近で実施したセキュリティ統制の取り組みである「AWS Security Hubの導入」について、ご紹介させていただきます。 はじめに みなさんは、Security HubやGuardDuty, Trusted Advisorなどを導入したものの、「各チームにご対応いただけない」、「通知が来すぎてしまう」など、うまく運用を回すことができないという状況に直面したことはないでしょうか? 今回は、Security Hubの横断導入に際して、得られた知見をご共有させていただき、ぜひみなさんが導入・運用改善される際の参考にしていただければと思い
滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
Ultimate guide to secrets in Lambda
Securing your API Keys, database passwords, or SSH keys for Lambda Functions is tricky. This post compares Systems Manager, Secrets Manager, Key Management Service, and environment variables for handling your secrets in Lambda. We'll cover costs, features, performance, and more. Then we'll lay out a framework for considering the risk of your particular secret, so that you know what's best for your
XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog
2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh
ログ一元管理の本質とSIEMの限界 - データ基盤への道 - LayerX エンジニアブログ
三井物産デジタル・アセットマネジメントで、ガバナンス・コンプラエンジニアリングをしている 鈴木 (@ken5scal )です。 いきなりですが、ログ管理はどの職種どの場面でも重要です。セキュリティにおいても、古生代よりサーバー、ネットワーク機器、アプリケーションなどから出力されるログを一元的に収集し、監視や分析を行うことで、セキュリティインシデントの早期発見や対応、コンプライアンス要件の達成が可能になります。 このようなログ一元管理を実現する代表的なソリューションは、そう、皆様よくご存知のSIEM。我らが「Security Information and Event Management」であります。 私はSIEMを、新卒で入社した大手企業でSOC(Security Operation Center)として触れ、その後ユーザー企業でもOSSやAWS GuardDuty(?)などの形で利用す
NISTのセキュリティーフレームワークが大幅改訂、「統治」の重要性を強調
米国立標準技術研究所(NIST)は、企業や団体のサイバーセキュリティー対策に関するフレームワーク「サイバーセキュリティーフレームワーク 2.0(CSF 2.0)」を公開した。初版のCSF 1.0は、2013年2月に米国のオバマ大統領(当時)が発出した大統領令を受け、NISTが2014年に公開した。CSF 2.0は初めてのメジャーバージョンアップになる。 CSFをはじめとしたNISTが公開するサイバーセキュリティー対策に関する文書は、米国企業だけではなく日本では防衛省が調達要件策定の参考にしている。CSF 2.0になってどこが変わったのかを解説しよう。 全ての業界が対象に 2024年2月末に公開されたCSF 2.0の変更点は大きく3つある。まず、対象とする業界が変わったことだ。CSF 1.1までは、米国にとって必要不可欠なシステムや資産である「重要インフラ」に関わる業界を対象としていた。これ
充電式バイブレータからマルウェア検出、USB充電デバイスに注意
Malwarebytesは2月21日(米国時間)、「Vibrator virus steals your personal information|Malwarebytes」において、充電式バイブレータからマルウェアを検出したと伝えた。このバイブレータはUSB接続で充電するデバイスだが、コンピュータから充電しようとするとマルウェアの感染を試みるという。 Vibrator virus steals your personal information|Malwarebytes 情報窃取マルウェア「Lumma Stealer」の正体 Malwarebytesによると、この問題は、Malwarebytes Premiunの顧客が購入したデバイスを充電するためにコンピュータのUSBポートにデバイスを接続した際、感染をブロックしたとするセキュリティ通知が表示されたことで発覚したという。被害を免れたユー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
New Relic Launches Secure Developer Alliance to Scale Security Observability
Trusted Signing(元Azure Code Signing)がPublic Preview