2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh
はじめに ◆この記事は何? IPA高度資格「情報処理安全確保支援士」のシラバスに掲載されている用語の備忘録です ◆対象は? 情報処理安全確保支援士の試験勉強をされる方 ◆この記事のねらい 試験範囲の用語の階層を整理します 試験勉強の一助となれば幸いです ◆この記事について シラバスの用語を参考書等を読みながら自分なりに整理した私の暗記用のノートです 試験に向けて高頻度で更新しています ご助言、誤り等あればご指摘いただけると幸いです 試験範囲全体 試験範囲の分解 暗号 認証 ネットワークセキュリティ データベースセキュリティ クライアントセキュリティ httpセキュリティ メールセキュリティ 攻撃と対策 注目技術 ※参考文献の目次をベースに、試験範囲を分解 暗号技術 共通鍵暗号方式 ブロック暗号 ECBモード CBCモード CTRモード(Counterモード) ストリーム暗号 公開鍵暗号方式
Intro 以前から騒がれていた Apple によるサイドローディング周りの緩和について、正式な情報公開があった。 Apple announces changes to iOS, Safari, and the App Store in the European Union - Apple https://www.apple.com/newsroom/2024/01/apple-announces-changes-to-ios-safari-and-the-app-store-in-the-european-union/ ストアやペイメントの緩和もあるが、ここでは WebKit に関する部分だけを抜粋し、どのような条件があるのかをまとめておく。 筆者が公開情報を読んで解釈したものなので、内容は保証しない。 前提 iOS/iPadOS に入れられるブラウザには、 WebKit を用いる必要が
2024年4月25日紙版発売 2024年4月25日電子版発売 市原創,板倉広明 著 A5判/456ページ 定価3,740円(本体3,400円+税10%) ISBN 978-4-297-14178-3 Gihyo Direct Amazon 楽天ブックス ヨドバシ.com 電子版 Gihyo Digital Publishing Amazon Kindle 楽天kobo honto この本の概要 SSL/TLSは,通信の秘密を守るために利用されている通信プロトコルです。HTTPSやHTTP/3にも利用されており,今日のWebでは利用が一般的になっています。本書では,その最新バージョンであるTLS 1.3のしくみと,その使い方を解説します。SSL/TLSは公開されている実装例などを真似すれば基本的な動作はさせられますが,それを応用していくには技術に関する理論の理解が必須になります。しかしSSL
ご来店ありがとうございます。 原書の改題改訂への対応を進めていた『プロフェッショナルSSL/TLS』につきまして、きたる12月4日(月)に新刊『プロフェッショナルTLS&PKI 改題第2版』として当直販サイトから順次発売を開始いたします。長らく当サイトにて「2023年秋予定」とご案内させていただいていましたが、発売開始までもう少しだけお待ちいただければ幸いです。 本書は、Ivan Ristić氏が自著 “Bulletproof SSL/TLS” を2022年に改題改訂して新規発行した “Bulletproof TLS/PKI Second Edition” の日本語全訳版です。旧版である “Bulletproof SSL/TLS” とその翻訳版である『プロフェッショナルSSL/TLS』は、発売以来、大きな構成変更を伴わない追記や修正を施したアップデートを何回か実施しており、電子版については
はじめに 『プロフェッショナルTLS&PKI改題第2版(原題: Bulletproof TLS and PKI Second Edition)』が出版されました。今回は出版前のレビューには参加していませんが、発売直後にラムダノートさんから献本をいただきました。ありがとうございます(そのためタイトルにPRを入れてます)。原著のサイトでは前バージョンとのDiffが公開されており、今回は翻訳の確認を兼ねて更新部分を重点的に読みました。このエントリーでは、改訂版のアップデート部分がどのようなもので、今後どう学んだらよいかということを中心に書いてみたいと思います。 短いまとめ: HTTPSへの安全意識が高まっている今だからこそ『プロフェッショナルTLS&PKI』を読みましょう。 長文注意!: 書いているうちに非常に長文(1万字以上)になってしまったので、長文が苦手な方は、GPT-4要約(400字)を
ウィスキー、シガー、パイプをこよなく愛する大栗です。 最近ブラウザから簡単に証明書を発行できる ZeroSSL というサービスで証明書を発行したことがあったのでまとめてみます。 ZeroSSL (8月21日追記) ACME 経由であれば無制限に無料で証明書を発行できる旨を追記しました ZeroSSL 無料で SSL/TLS 証明書を発行できるサービスと言うと Let's Encrypt を利用されている方が多いと思います。2023年8月時点で Let's Encrypt が発行している有効な証明書は2億8000万を超えています1。Let’s Encrypt は素晴らしいサービスですが、単一障害点になっていることに警鐘を鳴らしているセキュリティ研究者もいます2。別の選択肢として ZeroSSL を紹介しています。 Let's Encrypt では certbot の様なコマンドを使用して S
元旦の「しんぶん赤旗」を読んでいたら、志位和夫の東南アジア訪問についてのインタビューが載っていた。 www.jcp.or.jp 日本共産党は安全保障の枠組みとして、「地域協力」を押し出している。同党の綱領では、なかでも東南アジア諸国連合(ASEAN)を「とくに」とわざわざ名指ししている。まあ、毎年の選挙政策や街頭の訴えなどでも必ずと言っていいほど出てくる。 それくらい“激推し”されているASEANではあるが、実はぼくはASEANについてよく知らない。ASEANも知らないし、東南アジア各国についてもほとんど知識がない。 例えば日本共産党は、ASEANの枠組みである東アジアサミット(EAS)を発展させることを呼びかけ、さらにASEANインド太平洋構想(AOIP)への発展を支持しているのだが、EASもAOIPも自民党政府自身が担い、それへの支持をうたっているものだ。これをどのように使うのか、別の
8月に受験した医療情報技師能力検定試験に合格していたので感想を書く。 モチベーション シンプルに「この業界はどんなデータがあるのか知りたい」というのが1つ。筆者は去年からヘルステックスタートアップのデータサイエンスチームにいる。その前はインターネット広告業界だったので医療ドメインに関する知識は無い状態で医療業界に来た。転職してしばらく経ったが業務に直接関わらない領域は理解が曖昧なのと、限られた知識で仕事を回す事の課題感が強まってきたので網羅的な知識をインプットすべく取り組んだ。 医療情報技師はテキストが非常に充実しているので試験を受けなくとも学習は可能。とはいえ学習期間にリミットを設定できるのと理解度チェックのために受験した。業務独占資格では無いので他にメリットがあるかは不明。 購入した公式テキスト。以降はこれらの本をテキストと表記する。 試験の概要 まず医療情報技師は以下の様に定義されて
最近のWebサイトを表示する際は、サーバー証明書とTLSを利用したセキュアな接続が大半になってきました。これはセキュリティ意識の向上もさることながら、Let's Encryptに代表される「サーバー証明書の更新の自動化」もその一助となっていることでしょう。今回はこのLet's Encryptっぽいサービスをローカルネットワーク内部に構築してみましょう。 図1 step-caを使えば、自己署名証明書であってもLet's Encryptと同じ方法で自動更新できる Let's EncryptとACMEプロトコル Let's Encryptは無償でサーバー証明書を発行し、自動的に更新処理を行える認証局です。インターネットに関わる名だたる企業・団体の多くが参加することで、300万サイト以上という非常に多くの利用者を抱えているにも関わらず、10年以上に渡って無償でオープンな組織運営を続けています。 L
Red Hat Enterprise Linuxのマイナーリリースは固定せずに適宜アップデートして欲しい件 | DevelopersIO
RHELだからマイナーバージョンアップしないというのは危うい こんにちは、のんピ(@non____97)です。 皆さんは定期的にRed Hat Enterprise Linux(以降RHEL)のマイナーリリースは固定して運用されていますか? 全てのパッケージのマイナーリリースを固定するのは止めましょう。 RHELにおいて、基本的にパッケージが修正されるのは最新のマイナーリリースのみです。 抜粋 : Red Hat Enterprise Linux ライフサイクル EUS, AUS, ELSの考え方 P.4 そのため、最新でないマイナーリリースを使い続ける場合、パッケージの修正があったとしても適用することができません。 Errataの重要度や優先度が限定的ではありますが、特定マイナーリリースのサポート期間を2年間に延長する仕組みとしてEUS(Extended Update Support)が
Applies to: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Attacks against computing infrastructure have increased over the last decade in all parts of the world. We live in an age of cyber-warfare, cybercrime, and hacktivism. As a result, organizations of all sizes all over the world have had to deal with information leaks, theft of inte
複数プロダクト横断したプロジェクトをどうやって成功させたのかメンバーに聞いてみました | MEDLEY Developer Portal
2024-02-29複数プロダクト横断したプロジェクトをどうやって成功させたのかメンバーに聞いてみましたはじめにみなさん、こんにちは。エンジニアの古川です。 今回は CLINICS / Pharms 同時予約プロジェクト(以下、同時予約 Pj)というプロダクト横断で様々な部署が関わった開発プロジェクトについて、尽力された皆さんに座談会形式でお話を伺いました。 メドレーの医療プラットフォーム(以下、医療 PF)でどのようにこうした横断プロジェクトを完遂したのかの様子を皆さんに知ってもらえればと思います。 対談メンバー紹介── はじめに、皆さんの自己紹介をお願いします。 江藤: 所属は医療 PF のプロダクト開発室の Pharms 開発チームです。 役割としては調剤薬局向けのシステムの Pharms のプロダクトオーナーを担っています。 経歴としては、2021 年の 1 月から Pharms
【Gaussian】Avogadroを使ってHOMO-LUMO・静電ポテンシャルを描写しよう①計算結果から簡単解析! - LabCode
この記事は、Avogadroを使用してHOMO-LUMO軌道や静電ポテンシャルを描写する方法についてのわかりやすく解説します。記事では、 チェックポイントファイルをfchkファイルに変換する方法から、Avogadroのダウンロードから解析結果を描写する手順まで解説しています。 この記事を学ぶことで、Gaussviewで行うよりも簡単にHOMO-LUMOや静電ポテンシャルマップを描写できるようになり、また、発表資料の作成に役立つスキルを習得できるので是非最後まで読んでみてください! 今回使用するGaussianおよびAvogadroは以下の目的で利用しています。 Avogadro : HOMO-LUMOの描写・静電ポテンシャルマップの描写 Gaussian : 量子化学計算の実行、fchkファイルの出力 Avogadroとは? Avogadroは、分子の3D構造をモデリングし、分子座標を作成
Techouse社内勉強会の内容を紹介します(1) データベース<ACID編> - Techouse Developers Blog
Techouseの「エンジニア基礎勉強会」とは Techouse では「基礎勉強会」と称して2週間に1回、わたしが OS・ネットワーク・データベース・ハードウェア・セキュリティ・システムアーキテクチャなどをお話する勉強会を開催しています。 講師は私ひとり、資料を準備するのも私ひとり、動画を収録して YouTube Live で社内向けに配信する作業も私ひとりでやってます。 参加は任意ですが、社内のメンバー (社員・インターン生・業務委託でご参画いただいている方) の多くの方が参加してくれています。先日の RubyKaigi 2024 に参加してくれたメンバーもほとんどがこの勉強会に参加し、基礎的な知識をもった上でセッションへ臨んでくれました。 開催履歴 これまでの開催履歴はこんな具合です。 見ていただくとわかる通り、ほんとうに基礎的な内容を1個ずつやっているということがわかるかと思います。
東南アジア関連の本を読んでいて、“インドネシアは一番民主的な国”という評価をみた。 ぼくの記憶の中に「インドネシアでは共産党員が200万人くらい虐殺されていたと思うけど…」という断片が浮かび上がる。 むろん、それは「昔」の話のはずだから、そのままではあるまい。 いったい、あの事件はどういうもので、今どんな評価がされているのか。そして政体や政治的空気はどうなっているのか知りたいと思っていた。 そこで本書を手に取った。 2020年というごく最近に出た本であったが、ぼくは知らなかった。 インドネシア大虐殺-二つのクーデターと史上最大級の惨劇 (中公新書) 作者:倉沢 愛子 中央公論新社 Amazon この事実を聞いたこともないという人も多かろう。事件の概要は次のとおり。 https://www.jcp.or.jp/akahata/aik12/2012-07-29/2012072907_01_1.
AWS CLIやAWS SDKではなく直接AWSのAPIを叩きたい こんにちは、のんピ(@non____97)です。 皆さんはAWS CLIやAWS SDKではなく、直接AWSのAPIを叩きたいなと思ったことはありますか? 私はあります。 AWSのAPIに対してアップデートがかかると、AWS CLI v1やboto3などでもアップデートの内容がすぐに反映される認識です。ただし、万が一AWS CLI v1やboto3などがアップデートになかなか追従できない場合は「早くアップデートブログを書きたいのに書けない」というもどかしい気持ちになること間違いなしです。 そんな時に備えて、直接AWS APIを叩けられるように整理しておきたいと思います。 いきなりまとめ curlで簡単にAWS APIを叩くことが可能 AWS Signature V4にもサポートしているよ AWS APIを直接叩く際はAWS
第0章 はじめに この記事は「NTTドコモ R&D Advent Calendar 2023」24日目の記事です。 いよいよ今年も残すところあと1週間と年の瀬が迫ってきましたが、みなさんは今年の技術トレンドと言えば何が思い浮かぶでしょうか? Web3?ゼロトラスト?はたまた量子コンピューティング? 私はやはりGPT-4, DALL·E3, GitHub Copilot Xなどに代表される生成AIの普及が強く印象に残っています。 実際、「新語・流行語大賞2023」には「生成AI」「チャットGPT」がノミネートされているということで、世間でも大きなインパクトを残しているようです。 www3.nhk.or.jp ただ、今年の生成AI関連のニュースを振り返ると、必ずしも良いニュースばかりではなかったように思います。 春ごろには画像生成AI Midjourneyの登場で多くの人がこぞって様々な画像を
こんにちは!eyeon運用チームです。 AWSさんから、RDSのSSL/TLS証明書の期限が切れるよーってメール通知が届いていたので確認してみました。証明書の更新作業が必要っぽいのでその手順もご案内しておきます。 1.いきなり結論 結論としては以下の通りですね。 放置しておくと、RDSのメンテナンスウィンドウにて勝手に証明書が更新されちゃいます。 それだけ聞くと、SSL/TLS接続を利用していない場合は気にしなくてよさそうです。 ですが!!!RDSのエンジン、エンジンバージョンによってはそのタイミングでDBインスタンスが再起動してしまいます。 従い、都合が良いときに、早めに手動で更新しておきましょう! 逆に、SSL/TLS接続を利用していない、かつ再起動対象外のエンジン、エンジンバージョンを利用していない場合は何もしなくても大丈夫です。詳細は後述いたします。 (ただ、いつのまにか自動更新さ
Amazon Linux 2023からRDS MySQLに接続するときにMariaDBを使う方法 | DevelopersIO
こんにちは。CX事業本部Delivery部のakkyです。 以前、Amazon Linux 2023でMySQL Clientを使う記事を掲載しました。 多くの方にご覧いただいていますが、この方法で注意していただきたい点として、MySQLはAmazon Linux 2023のリポジトリ外のパッケージとなるため、AWSからのサポートが得られないということがあります。 AWSでは、RDS MySQLへの接続にはMariaDBを使用することをドキュメントで案内しています。 MariaDBは、クライアントプロトコルに関してはMySQLと互換性があることがドキュメントに記載されています。 また、認証プラグインに関しても、クライアント側でSHA-256がサポートされていますので、MySQL8.0への接続も問題ありません。 インストール方法 次のコマンドでインストールできます。 sudo dnf -y
週刊Railsウォッチ: Ruby 3.3.0-preview3リリース、IRBのオートコンプリート強化ほか(20231127後編)|TechRacho by BPS株式会社
週刊Railsウォッチについて 各記事冒頭には🔗でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたときの会話の再構成です👄 お気づきの点がありましたら@hachi8833までメンションをいただければ確認・対応いたします🙏 TechRachoではRubyやRailsなどの最新情報記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:週刊Railsウォッチタグ) 🔗Rails 🔗 動画『Ruby on Rails: The Documentary』(Ruby Weeklyより) つっつきボイス:「YouTubeで見
製品 製品グループ Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel セキュリティ AI Microsoft Security Copilot ID (アイデンティティ) とアクセス Microsoft Entra ID (Azure Active Directory) Microsoft Entra 外部 ID Microsoft Entra ID ガバナンス Microsoft Entra ID 保護 Microsoft Entra Internet Access Microsoft Entra Private Access Microsoft Entra 権限管理 Microsoft Entra 確認済み ID Microso
Red Hat Enterprise Linux の PAYGインスタンスから EUS リポジトリをサブスクライブしてみた | DevelopersIO
Red Hat Enterprise Linux の PAYGインスタンスから EUS リポジトリをサブスクライブしてみた EUSを使いたい こんにちは、のんピ(@non____97)です。 皆さんはRed Hat Enterprise Linux (以降RHEL)の pay-as-you-go (以降PAYG)のEC2インスタンスでEUSを使いたいなと思ったことはありますか? 私はあります。 EUSとはExtended Update Supportのことで、事前に定義された特定のマイナーリリースに影響度が高いセキュリティ更新と優先度が緊急と判断されたバグフィックスのバックポートを提供するオプションです。 通常、各マイナーリリースのプログラム修正は次のマイナーリリースの提供開始までですが、EUSを使用することで最大2年間同じマイナーリリースで先述したパッケージを適用することが可能です。 R
署名と証明書の有効期限 - Qiita
はじめに 問:署名証明書の有効期限切れ=署名の有効期限切れ…なのか? PKI(公開鍵基盤)ベースのX.509電子証明書(以後、証明書)を使ったデジタル署名の電子署名方式には有効期限があるのでしょうか?署名に使った証明書の有効期限が切れてしまった場合に、その署名は無効になるのでしょうか? 答:署名証明書の有効期限切れ=署名の有効期限切れ…とは限らない。 デジタル署名の検証結果は「有効/VALID」と「無効/INVALID」の2種類と思われがちですが、実はその間に「不明/INDETERMINATE」と言う状態があります。不明状態とは検証に必要となる検証情報が不足している状態です。過去に「電⼦署名検証を10分で説明してみる」でも説明していますのでお時間があればご覧ください。 さて検証に必要な情報には大きく分けると「認証パスの証明書群 以後、認証パス」「各証明書の検証情報(CRL/OCSP等) 以
S/MIME に対する誤った認識 | おるとのページ
S/MIME に対する誤った認識2023/08/09 — Security, trust, email — 15 min read Facebook で「S/MIME 推進協議会」なるものが発足し,キックオフセミナーが開催されるとの投稿を目にしました.「S/MIME 推進協議会」の Web サイトを覗いてみたところ,S/MIME やそもそも暗号技術に対する誤った認識を元に作成したと思われる文章があったので,少し検証してみたいと思います. 本投稿の目的は,多すぎる問題点について明確化しキックオフセミナーでの質問ないしパネルディスカッションとして取り上げていただき協議会の皆さんの認識を確認すること,及びこのような誤った認識が一般に広まることを抑止することです.協議会や S/MIME に対する否定の目的はありません. Web サイト全体にわたって不自然に思う表現や認識は多々ありますが,本投稿では
Application Load Balancer でmTLSを使ってTLSクライアント認証をやってみた トラストストア検証編 #AWSreInvent | DevelopersIO
Application Load Balancer でmTLSを使ってTLSクライアント認証をやってみた トラストストア検証編 #AWSreInvent ロードバランサー側でクライアント証明書の検証をしたい こんにちは、のんピ(@non____97)です。 皆さんはロードバランサー側でクライアント証明書の検証をしたいなと思ったことはありますか? 私はあります。 re:Invent 2023期間中のアップデートでALBがmTLSをサポートしました。これによりクライアント認証が簡単に行えるようになります。 早速DevelopersIOでも記事が挙がっていますね。 上述の記事ではパススルー構成を試しています。パススルー構成はALBのバックエンド側でクライアント証明書を検証するパターンです。 個人的にはできれば、面倒なクライアント証明書の検証はALBにオフロードしたいところです。 そんな願いを叶え
先般、情報システム学会から『「マイナンバー制度の問題点 と解決策」に関する提言』(以下、提言とよびます)が公表された。ちょっと違うんじゃないかなと思うところがいくつかあったのでまとめてみた。 同意する点も多々あるが、短くまとめるために(それでも十分長いが)指摘点だけ書いている。結果、なんだか文句だけつけてるみたいなエントリーになってしまったが、学会 vs 個人ということで、悪しからずご了承願いたい。 マイナンバーカード保険証問題は名寄せ問題ではない詳しいことは先のエントリー(これとか、これ)で書いたので省略するけれど、話題になったマイナンバーカードの保険証利用で他人に紐づいてしまっていた件は、マイナンバー収集方法の問題であり、名寄せ問題ではない。 実際、「マイナンバー情報総点検本部」でも本件を「マイナンバーの誤紐付け事案」と整理している。 しかし、「提言」では「2.1.1. 誤った名寄せの
プロフェッショナルTLS&PKI 改題第2版
紙書籍とPDFをお読みいただけます。PDFのみ必要な方はこちらからPDF単体が購入できます PDFは購入後すぐにダウンロード可能です 紙書籍は通常は注文から2~3営業日で発送(年末年始や大型連休などは1週間から10日程度の配送のお休みをいただく場合があります。詳しくはお知らせをご覧ください) TLSとPKIの実像を理解し、サーバとアプリを安全にする Ivan Ristić 著、齋藤孝道 監訳 488ページ B5判 ISBN:978-4-908686-19-1 電子書籍の形式:PDF 2023年12月4日 第2版第1刷 発行 現代生活を支えるインターネットでは暗号化が不可欠です。しかし実際にサーバやアプリで通信の暗号化を適切に利用するには、暗号化アルゴリズムの知識だけでなく、セキュリティプロトコルであるTLSとそのWebでの応用、さらには基盤となる信頼モデルであるPKIについての幅広い知識と
共産党を「相談相手」にしている民青(日本民主青年同盟)が出している新聞(機関紙)に「民青新聞」がある。その2024年2月12日号を興味深く読んだ。 というのは、「ASEAN(東南アジア諸国連合)は『反共の砦』として出発したのではなかった」という歴史観が明確にそこ(民青新聞同号)に見出されるからである。 同紙は「東アジアを戦争の心配のない地域へ ASEANの努力に学ぶ」という「論文」めいた特集を「上」「下」に分けて掲載している。しかも同じ号に「上」も「下」も掲載する破天荒なやり方をしている。 あとで述べるけども、彼らが「相談相手」にしている共産党の「しんぶん赤旗」でもASEANについてのこんな詳細な記事(特集・論文)は見たことがない。そして、ASEANについて何の知識もない、ぼくのようなシロートにもわかりやすい記事であった(もちろん限界はある)。「しんぶん赤旗」読者であっても、民青新聞読者で
医療情報システムの安全管理に関するガイドライン6.0版遵守項目 - ITをめぐる法律問題について考える
3省2ガイドラインのうち「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」について、 https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html 参考用に、見出しと遵守項目のみ、ブログに貼り付けます。 本当は重要記載もこのブログに貼り付けたいのですが、全部貼り付けるのは時間がかかると思うので、企画管理編までとりあえず貼り付けました。追ってシステム運用編とあと総務・経産のもやります。ブログに書くよりExcelに表形式でまとめた方がわかりやすいかなあ。 6版になって、構成も読みやすさも良くなっていて良いと思います。ただ、内容はやはりかなり厳しめですね。 〇概説編 1.はじめに 2.本ガイドラインの対象 2.1 医療機関等の範囲 2.2 医療情報・文書の範囲 2.3 医療情報システムの範囲 3.本ガイドラインの構成、
ご来店ありがとうございます。『OpenSSLクックブック』改訂と、それを記念した『プロフェッショナルTLS&PKI』電子版の期間限定大特価セール(記事の末尾を参照)のお知らせです。 『OpenSSLクックブック』は、OpenSSLのコマンドラインツールについて扱った無償の小冊子で、Ivan Ristić著 ‟ OpenSSL Cookbook ” の翻訳に相当します。‟ OpenSSL Cookbook ” 自体は、TLSとそのエコシステムの全容を解説した ‟ Bulletproof TLS and PKI ” のサンプルチャプターとして公開されている電子書籍であり、OpenSSLの公式サイトにて「OpenSSLでよく使われる機能とコマンドを網羅した内容」と推薦されているものです。‟ Bulletproof TLS and PKI ” の翻訳である『プロフェッショナルTLS&PKI』(旧『
MIXI でモンストサーバーチームとセキュリティ室を兼務している、atponsです。 昨今 RSA に代わる暗号として楕円曲線暗号が多く用いられるようになってきました。そこで、身近にある暗号を応用した技術である、TLS 証明書における楕円曲線 (EC) 暗号について、調べてみました。 TLS では、鍵交換は TLS セッション上でやりとりするための鍵ですが、すでに ECDHE (楕円暗号DH鍵交換) や ChaCha20-Poly1305 (高速、かつ安全) が多く利用されているので、省略します。 今回はその先で利用される TLS における証明書について解説します。 RSA 証明書についてRSA を用いた証明書が、TLS では広く一般的に利用されています。RSA は DSA に代わる安全な暗号として、TLS 1.2 以前から利用されてきました。 ECDSA 証明書って、使えるんですか?TL
古いアクセス権限への対応や生成AIでのクエリ生成など、re:Inforceで発表されたセキュリティアップデート re:Inforce 2024では、AWSサービスのセキュリティアップデートも数多く発表された。今回はその中から、7つの新機能が紹介された。 1. AWS Private CA Connector for SCEP for mobile devices プライベート証明書を発行するマネージドサービス「Private CA」において、MDMソリューションとのコネクターが追加された。BYODに対応するアップデートで、プライベート証明書の運用コストを削減して、PKI(公開鍵基盤)を最適化する。 2. IAM Access Analyzerが未使用のアクセス権限に修正案 2つ目は、アクセス管理を担うIAMの分析サービス「Access Analyzer」の機能強化だ。 大規模な運用において
暗号学の現在―現代暗号入門
受講登録する(無料) この講座はビジネスdアカウント連携ユーザのみ受講登録できます。 詳細は、こちら(受講条件)をご確認ください。 講座内容 数千年の歴史をもつ暗号は1970年代以降に根本的で急峻な変革を遂げ、今日、暗号の科学と技術は様々な形で日常生活に深く浸透するに至りました。これを現代暗号と呼びます。この講座では現代暗号の原理と特徴、基本的な機能、社会基盤とのかかわり、そして近い将来に求められる暗号の機能について、要点を平易に紹介します。これにより暗号を切り口として、情報社会の現在と未来を垣間見ることにもなります。なお、現代暗号は数学的な理論に基づくものですが、できるだけ直観的な説明に努め、記法や概念を定義するときは高等学校「数学I」や「数学A」の言葉を使うよう配慮します。 Week1:現代暗号の基本的な道具 現代暗号の安全性の基礎となる数学的仕組みについて解説します。それが一方向性関
NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations | CISA
A plea for network defenders and software manufacturers to fix common problems. EXECUTIVE SUMMARY The National Security Agency (NSA) and Cybersecurity and Infrastructure Security Agency (CISA) are releasing this joint cybersecurity advisory (CSA) to highlight the most common cybersecurity misconfigurations in large organizations, and detail the tactics, techniques, and procedures (TTPs) actors use
TPMとの戯れ long version - ₍₍ (ง ˘ω˘ )ว ⁾⁾ < 暗号楽しいです
はじめに この記事はセキュリティ・キャンプ全国大会 2023のLT大会で発表した以下のスライドを解説するものです. このときは5分程度しかなかったのでまともに解説できなかった. なんか色々書いていたら9000文字を越えてしまったので, 暇なときにつまみ読んでもらえればと思います. https://elliptic-shiho.github.io/slide/Playing_with_TPM.pdf この記事は少し砕けた形で書いてみようかと思いますが, 普段硬い文章ばかり書いているので読みづらいかもしれません. その点ご容赦ください. あとやたら長い. 前提としては「認証と認可の違い」「応用情報処理程度のPKIの知識」あたりがあるとわかりやすいと思います. TPMとは 皆さんTPM使ってますか? Windows 11へのアップグレード時にお世話になるあれです1. TPMという単語はTrust
SSL証明書の購買を自動化した話
こんにちは。LINEヤフーの久慈泰範です。Advent Calendarは入社すぐに書いて以来、5年ぶりです。久々だー。 今日は、LINE(現 LINEヤフー) で SSL/TLS 証明書の購買を自動化した話を書きます。(以下、証明書と呼びます) 自動化のためにはタスクの形や人の動きを変えなければいけないことが多く、ほとんどの時間は混乱なく変化を続けていく方法を模索し続けていた時間だったように思います。2023年10月をもってやりたかったことは一通り終わったので、節目の記録としてこの記事を書くことにします。 この記事に書いてあること 自動化のためにやったプロジェクトの概要助けてくれたたくさんの方への感謝 この記事に書いていないこと プログラムコードなど、技術的な話 Summary LINEには多数のサービスがあり、500を超えるドメインが運用されています。サブドメインを含めると約十万件あり
Amazon Linux 2上でcurl実行時に「SSL certificate problem: unable to get local issuer certificate」というエラーが出る場合の対応 | iret.media
Amazon Linux 2上でcurl実行時に「SSL certificate problem: unable to get local issuer certificate」というエラーが出る場合の対応 Amazon Linux 2上でcurlで任意のWebサイトにアクセスしようとすると以下のようなエラーが出ることがある。 $ curl https://foo.bar.com/ : curl: (60) SSL certificate problem: unable to get local issuer certificate More details here: https://curl.haxx.se/docs/sslcerts.html curl failed to verify the legitimacy of the server and therefore could
どうしてもZabbixで監視をしたい こんにちは、のんピ(@non____97)です。 皆さんはどうしてもZabbixで監視をしたいなと思ったことはありますか? 私はありません。 ZabbixではAWS by HTTPというZabbix公式が提供しているテンプレートがあります。 こちらを使用することでAWS側での追加設定なしでEC2、EBS、RDS、ECS、S3の監視が可能となります。 しかし、こちらのテンプレートを利用して監視できるリソースは上述のリソースと限られます。ELBやElastiCacheなど他サービスを監視する場合は、Zabbixからカスタムスクリプトで定期的にメトリクスをポーリングしてデータを取得してあげるなどの作り込みが必要になります。 個人的には全てを一つの基盤で監視するのは難しいと考えます。餅は餅屋です。 とは言っても、のっぴきならない理由で、どうしてもZabbixを
Introducing Sunlight, a CT implementation built for scalability, ease of operation, and reduced cost - Let's Encrypt
Let’s Encrypt is proud to introduce Sunlight, a new implementation of a Certificate Transparency log that we built from the ground up with modern Web PKI opportunities and constraints in mind. In partnership with Filippo Valsorda, who led the design and implementation, we incorporated feedback from the broader transparency logging community, including the Chrome and TrustFabric teams at Google, th
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog
IPA高度資格「情報処理安全確保支援士」暗記すべき用語を体系整理 - Qiita
Apple によるブラウザエンジン規制の緩和 | blog.jxck.io
SSL/TLS実践入門 ──Webの安全性を支える暗号化技術の設計思想
12月4日に新刊『プロフェッショナルTLS&PKI 改題第2版』発売予定
書評 プロフェッショナルTLS&PKI 改題第2版 (PR) - ぼちぼち日記
ブラウザから無料で簡単に証明書を発行できる ZeroSSL | DevelopersIO
『サクッとわかるビジネス教養 東南アジア』 - 紙屋研究所
ヘルステックスタートアップのエンジニアが医療情報技師の試験を受けた感想
第775回 step-caで自前のLet's Encrypt/ACMEサーバーをUbuntu上に構築する | gihyo.jp
Best Practices for Securing Active Directory
倉沢愛子『インドネシア大虐殺』 - 紙屋研究所
curl で AWS API を叩いてみた | DevelopersIO
生成AI時代に重要になりそうなCAI/C2PA(コンテンツの来歴証明技術)を読み解いてみた
【手順】RDSのSSL/TLS証明書の更新(2024年8月22日まで) - eyeon -アイオン-
Microsoft Copilot for Security | Microsoft Security
情報システム学会の『「マイナンバー制度の問題点と解決策」に関する提言 』で気になるところ|ヨシモトアキヒラ
ASEANは「反共の砦」だったか? 民青新聞を読んで - 紙屋研究所
『OpenSSLクックブック』改訂と『プロフェッショナルTLS&PKI』電子版セールのお知らせ
10 年続くサービスを作るための、TLS 証明書の EC 化
1年間で悪質なトラフィックを“240億回”拒絶、AWSが最優先する内部でのセキュリティ対策 (2/2)
CloudWatchアラームのイベントをZabbixに連携させてみた | DevelopersIO