複数LSMを重ねて守る!LSMスタッキングで実現する“多層防御”とは?|TOM
LSMとは?(基本編)LSM(Linux Security Modules) は、Linuxカーネルにセキュリティ機能を追加・切り替えできるフレームワークです。 ざっくり言えば… 「Linuxに“好きなセキュリティの仕組み”を差し込める土台」 なぜLSMが必要?Linuxにはもともと rwx や sudo などのアクセス権がありますが、それだけでは足りないことがあります。 主なLSMの一覧LSMの動作イメージユーザーが何か操作(例:ファイルを開く)しようとする カーネルがその操作を実行する前に「LSMフック」が呼び出される 対応するLSMがアクセスを許可するか拒否するかを判定 判定結果に応じて、カーネルが実行 or 拒否する graph TD A[ユーザー操作] --> B[カーネル呼び出し] B --> C[LSMフック] C --> D[SELinux / AppArmor / SMA
AppArmorでコンテナをもっと安全に!その仕組みと使い方|toshi
コンテナのセキュリティ、気になりませんか?コンテナ技術は効率的で便利ですが、「セキュリティ対策は十分?」と気になることもありますよね。そんなときに役立つのがAppArmorです。AppArmorはコンテナを安全に保つためのツールで、アプリケーションに細かい制限をかけられる仕組みです。この記事では、AppArmorの仕組みや具体的な使い方、実装の手順、そしてプロファイル適用後にシステムで何が変化するのかもまとめていきます! 目次AppArmorとは? AppArmorとコンテナの関係 実際に使ってみる:AppArmorプロファイルの作成と適用手順 実用例:NginxでAppArmorを使ったセキュリティ制御 まとめ 1. AppArmorとは?AppArmorはLinuxカーネルに組み込まれたセキュリティモジュールのひとつです。アプリケーションの「動ける範囲」を指定することで、予期しない動作
インフラストラクチャ (ホスト) の保護 - Amazon EKS
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 インフラストラクチャ (ホスト) の保護 コンテナイメージを保護することは重要ですが、コンテナイメージを実行するインフラストラクチャを保護することも同様に重要です。このセクションでは、ホストに対して直接起動される攻撃によるリスクを軽減するさまざまな方法について説明します。これらのガイドラインは、「ランタイムセキュリティ」セクションで説明されているガイドラインと組み合わせて使用する必要があります。 レコメンデーション コンテナの実行に最適化された OS を使用する Linux コンテナの実行用に設計された AWS の専用 OS である Flatcar Linux、Project Atomic、RancherOS、Bottlerocket の使用を検討してください。これ
AWS Fargate環境におけるNIST SP800-190対応についての検討 | ナレッジ/事例 TISプラットフォームサービス | 特集・レポート | ITソリューションのTIS株式会社
ビジネスにおいて柔軟性や速度が重要になってきた昨今において、アジャイル開発やDevOpsといった開発・運用方式に多くの企業が本格的に取り組んでおります。それらを実現する技術の一つとして、WEBシステムを中心に様々な場面で活用されているのが“コンテナ技術”です。しかし一方で、新しいテクノロジーである“コンテナ技術に関するセキュリティ対策”は周知がされておらず、セキュリティ面をあまり考慮せずにコンテナ環境を利用しているケースが多く見受けられます。 アメリカ国立標準技術研究所(NIST)が発行しているSP800-190(Application Container Security Guide)はコンテナ環境に対するセキュリティガイドラインとなっています。本記事では、代表的なクラウドサービスであるアマゾン ウェブ サービス(AWS)のコンテナ環境用のサービスであるAWS Fargate上で、NIS
Microsoft Word - SP800-92-J_090306.doc
この文書は下記団体によって翻訳監修されています コンピュータセキュリティログ管理ガイド 米国国立標準技術研究所による勧告 Karen Kent Murugiah Souppaya Special Publication 800-92 NIST Special Publication 800-92 コンピュータセキュリティログ管理ガイド 米国国立標準技術研究所による勧告 Karen Kent Murugiah Souppaya コ ン ピ ュ ー タ セ キ ュ リ テ ィ 米国国立標準技術研究所 情報技術ラボラトリ コンピュータセキュリティ部門 Gaithersburg, MD 20899-8930 2006 年 9 月 米国商務省 長官 Carlos M. Gutierrez 技術管理局 技術担当商務次官 Robert C. Cresanti 米国国立標準技術研究所 所長 William
DockerがHardened Imagesを導入、コンテナセキュリティを強化
あなたにとって重要なトピックや同僚の最新情報を入手しましょう最新の洞察とトレンドに関する最新情報を即座に受け取りましょう。 継続的な学習のために、無料のリソースに手軽にアクセスしましょうミニブック、トランスクリプト付き動画、およびトレーニング教材。 記事を保存して、いつでも読むことができます記事をブックマークして、準備ができたらいつでも読めます。
CVE_PrioritizerとSploitScanで考える、KEV Catalog/EPSS/CVSS/SSVC | FutureVuls Blog
CVE_PrioritizerとSploitScanで考える、KEV Catalog/EPSS/CVSS/SSVC 概要EPSSやKEV Catalogを有用に使うプロジェクトが最近出てきました。 これらについて内容を確認し、どのように使えるか、同様なSSVCとどう違うかを見ていきます。 CVE_Prioritizer https://github.com/TURROKS/CVE_Prioritizer SploitScan https://github.com/xaitax/SploitScan Exective Summary EPSS, KEVのデータ特性を考える必要がある EPSSは機会のみ、KEVは機会と脆弱性を示す 当該プロジェクトは使いやすく、CVSSのみで判断している組織は、CVE_Prioritizerをまずは使ってみるのが良いかもしれない 当該プロジェクトは システム固
非エンジニアでもセキュリティの仕事を続けられる - Qiita
セキュリティの仕事って、高度な技術力が必要なんでしょ ・・・と思われている人は多いと思う。実はそうでもない。 現に、元々は営業推進をしていた私でも、とある事業会社のセキュリティ部門で働き続けている。 「非エンジニアの人が、どうやってセキュリティの仕事を続けられてるの」と興味を持ってくれたニッチな人向けに自身のキャリアの変遷などをまとめてみた。 ※必ずしも技術力いらん!続けられるぞ!と主張するものではなく、一例として捉えてください セキュリティって、技術職だけじゃない ここらへんの文書を見ると、「セキュリティ」って色々な業務があるんだなとなると思う。 日本シーサート協議会(NCA)「CSIRT 人材の定義と確保 Ver.2.1」 IPA「ITSS+(プラス)セキュリティ領域」 セキュリティの仕事=上の図の「実務者・技術者層」の業務イメージを持つ人が多いように思うが、ご覧のとおりそれ以外にもあ
📄 セキュリティ分野のトップ国際会議 ACM CCS 2025 に論文採択! | 品川研究室(東京大学)
品川研究室の博士課程3年の竹腰 開さんらの論文が、国際会議 The 32nd ACM Conference on Computer and Communications Security (ACM CCS 2025) に採択されました。 本論文は、近年注目を集めている機密仮想マシン(Confidential VM)に対し、ハイパーバイザからの任意コード実行を可能にする攻撃「BadAML」の提案と、その防御手法に関する研究です。 この研究では、レガシーでありながら多くのOSで標準的に利用されているファームウェアインターフェイス ACPI を悪用することで、CPUやOSの種類に依存せず、かつ機密仮想マシンによる Attestation に検知されることなく、悪意のあるハイパーバイザがゲストOS内に任意のバイナリコードを送り込み、カーネル権限で実行させることが可能であることを示しました。 基本的
情報セキュリティサービス審査登録制度(METI/経済産業省)
昨今、サイバー攻撃は増加傾向にあり、その手口はますます巧妙化してきています。セキュリティ対策は、セキュリティ製品を購入しただけでは十分ではなく、事業者が行う情報セキュリティサービスの利用も含めて検討する必要があります。 一方で、現在、多くの情報セキュリティサービスが提供されていますが、専門知識をもたないサービス利用者が、サービス事業者の選定時にそのサービスの品質を判断することは容易ではありません。 そのため、情報セキュリティサービスについて一定の品質の維持向上が図られていることを第三者が客観的に判断し、その結果を台帳等でとりまとめて公開することで、利用者が調達時に参照できるような仕組みの提供が求められます。 本基準は、情報セキュリティサービスに関する一定の技術要件及び品質管理要件を示し、品質の維持・向上に努めている情報セキュリティサービスを明らかにするための基準を設けることで、情報セキュリ
TOPページ - 医療機関向けセキュリティ教育支援ポータルサイト
2025/08/05 申込開始 令和7年度 初学者等向け研修「メールとパスワード管理コース」 9月18日(木)開催 初学者等向け研修「メールとパスワード管理コース」の申込を開始しました。 お申込はこちらまで。 2025/08/05 申込開始 令和7年度 システム・セキュリティ管理者向け研修「医療機器の安全確保コース」 9月11日(木)開催 システム・セキュリティ管理者向け研修「医療機器の安全確保コース」の申込を開始しました。 お申込はこちらまで。 2025/08/05 申込開始 令和7年度 経営者向け研修「経営とレジリエンスコース」「ITガバナンスコース」 経営者向け研修 9月3日(水)開催 「経営とレジリエンスコース」、9月25日(木)開催「ITガバナンスコース」の申込を開始しました。 お申込はこちらまで。 2025/07/14 個人申込開始 令和7年度 e-learnning 令和7年
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IR 8176, Security Assurance Requirements for Linux Application Container Deployments | CSRC
政府情報システムにおけるサイバーセキュリティに係るサプライチェーン・リスクの課題整理及びその対策のグッドプラクティス集
Containers should have an enabled AppArmor profile
Technologies for container isolation: A comparison of AppArmor and SELinux
NIST SP800-190 アプリケーションコンテナセキュリティガイド
Open Source Security Foundation – Linux Foundation Projects
OSS Cybersecurity Tools 20選:このエコシステムを活用するために知っておくべきことは?
Home
社員がセキュリティを自分事化しづらいのは「当たり前」心理学的観点から探る、情シスが取るべきアプローチ
