AWS Configのカスタムルールによる自動検出と自動修復の仕組みを使って、「全IAMユーザーに自動でMFAを強制する」仕組みを試してみました。 目次 目次 目次 やりたいこと AWS Configとは AWS Config カスタムルールとは 自動修復とは 前提 使用技術 方法 やりたいこと（再掲） 作るもの ディレクトリ構成 実装 SAM(CloudFormation)用template.yml ソースコード(Python) ホワイトリストユーザ用テキストファイル デプロイシェル 解説 SAM(CloudFormation)用template.yml 上記MFA強制ポリシーの補足 ①「デタッチ」か「ポリシー編集・削除」を許可しないと、いざというときのデタッチ方法がなくなる ②間違えてこのポリシーの削除をしようとしてしまったとき、削除自体は禁止されるが、その際にこのポリシーが付いている

AWSを学び始めた皆さん。 学習は順調に進んでいますか？ AWSはたくさんサービスがあって、1つ1つのサービスを学ぶのに苦労しますよね。 そこで本記事では「CloudFormationの組み込み関数」について、初心者にわかりやすいよう図解付きで解説していきます。 結論として、組み込み関数にはこのような種類があります。 今はまだ分からなくても全然大丈夫です！ 本記事では前半No.1〜7の組み込み関数について、１つずつ丁寧に解説していきます。 後半No.8〜13の組み込み関数についてはこちらの記事で解説しています。

徳島県つるぎ町立半田病院のランサムウェア調査報告書が2022/6/16に公開されました。担当者が1人などIT界隈（私も）をざわざわさせてる内容をまとめてみました。

AWS System Managerセッションマネージャーはポートフォワードに対応しており、セキュリティグループで特定のポートをあけることなく、プライベートサブネットのWindowsサーバーにRDPするといったことが可能です。 従来は、セッション接続先のEC2インスタンス内で LISTEN しているポートしかフォワードできませんでしたが、今回のアップデートにより、リモートホストのポートも転送できるようになりました。 より具体的には、EC2インスタンスを踏み台に、VPC内のリソース、例えばRDSのホスト・ポートを転送するといったことが可能になりました。 やってみた SSM エージェントバージョンを確認 AWS Systems Managerは操作対象のインスタンスにエージェントをインストールします。 Session Managerを利用したリモートホスト・ポートフォワードの場合、バージョン

We create beautiful expressions through programming and deliver the best possible experiences.

Security-JAWS#25の登壇スライドです。 https://s-jaws.doorkeeper.jp/events/137234 →登壇動画：https://youtu.be/QFIadED_R_o?t=4248

一部の正規表現は、一見すると単純に見えますが、実行時間が非常に長く JavaScript エンジンを “ハング” させることがあります。 遅かれ早かれ、多くの開発者はこのような振る舞いに直面することがあります。典型的な症状は、正規表現は概ねうまく機能しますが、特定の文字の場合 “ハング” し、CPUを 100% 消費します。 このような場合、Webブラウザはスクリプトを停止し、ページをリロードするよう提案します。これは確かに良いことではありません。 サーバサイド JavaScript では、このような正規表現はサーバプロセスをハングさせる可能性があり、より深刻です。そのため、絶対に見ておくべきことです。 例文字列があり、それぞれの文字の後に任意のスペース \s? を持つ文字 \w+ から構成されるかを確認したいとしましょう。 正規表現を組み立てる明白な方法は、文字の後に任意のスペース \w

私も大変有り難く利用させてもらっている、みんな大好きLet's Encryptはいろんな方の寄付のおかげで無料で利用できるSSLサーバー証明書の発行サービスですが、何やらルート認証局の移行が話題になっているので、ちょっと調べてみました。 問題の概要は、こちらのブログでとても詳しく解説されており、とても参考になりました。ありがとうございます。 公式から出ている説明だと、出てくる証明書の関係がわかりにくく、図もちょっと間違っていたので、別の図を起こしました。簡単には、DST Root X3ルート証明書が期限切れを迎えそうなので、新しいISRG Root X1ルート認証局に移行したいわけです。 certbotを使っていると /etc/letsencrypt/archive/ドメイン/ に発行された証明書、チェーン、秘密鍵の履歴が残りますが、その時期を頼りにどうなっていたのか見てみます。 2020

この記事は，ネットワークの学習の序盤につまずくポイントである 「MACアドレスとIPアドレスってどっちか片方だけじゃだめなの？」「レイヤ2と3って結局何が違うの？」 という疑問について，私なりの回答をまとめた記事です。世に不正確な記事が出回っているように見受けられるので，正確な回答をまとめたく、長文になってしまいました。とはいえ，初学者向けにかなり初歩的なところから書いたつもりですので是非読んでみてください。 この記事について この記事を読むと何が分かるか MACアドレスとIPアドレスの役割の差が分かる レイヤ2（＝同一サブネットの通信）とレイヤ3（＝サブネット間の通信）の仕組みが分かる ネットワーク設計時にレイヤ2・レイヤ3のいずれで設計すべきか判断できる なお，教科書的な説明ではなく，概念や捉え方の説明となっていますので，試験勉強には役立ちません。実務としてネットワーク設計を行う方の役

地方拠点の一つ、九州支社に所属しています。サーバ・ストレージを中心としたSI業務に携わってましたが、現在は技術探索・深堀業務を中心に対応しています。 2018年に難病を患ったことにより、定期的に入退院を繰り返しつつ、2023年には男性更年期障害の発症をきっかけに、トランスジェンダーとしての道を歩み始めてます。 かなり久しぶりの技術ネタ投稿かもしれません こんばんわ。九州支社で働く二等兵こととみーです。 技術探索に注力し始めてはや1年を越え、実案件の技術支援もしつつ今日も「言葉しか知らないこと」の中身を知るべく取り組んでいる日々を過ごしています。技術に近いネタをこのブログに書くのは実に2年ぶりぐらいですかね？珍しくそれっぽいことを書いてみることにしました。 私はちょうど10年前、家庭の事情により関東のIT企業を離れて九州のこの地にUターンしました。それからずーっとそこでの仕事を続けてきたので

TechFeed Conference 2022「最近の C++ (2022 年)」 発表者: https://twitter.com/Reputeless

I am glad that you are here! I was working on bioinformatics a few years ago and was amazed by those single-word bash commands which are much faster than my dull scripts, time saved through learning command-line shortcuts and scripting. Recent years I am working on cloud computing and I keep recording those useful commands here. Not all of them is oneliner, but i put effort on making them brief an

2022年4月8日に行われたAWSトレーニング・人材育成ウェビナーの資料です。 詳細な解説は以下ブログを参照してください。 https://dev.classmethod.jp/articles/220408-training-webinar-aws-security-management

前回の記事はこちらです。この記事は前回の記事のリマスターみたいなものとなっております。 読む必要はありませんが、この記事よりも詳しく用語の説明をしている部分もあるため、読んだ方が問題が解消できるかもしれません。 Oracle Cloudの無料枠だけでKubernetes(k3s)クラスタを構築する この記事にて、Kubernetesクラスタを作成してから1年と半年ほど・・・ 1年くらいはノーメンテで動作していることを確認していました。 しかし・・・1年を超えたくらいで動作しなくなってしまいまして、やはりスペック に関しては非常に厳しいものがあったようです。 kubectl打ってタイムアウトになってしまうこともしばしばあり、当然ながら実用的にアプリケーションを動作させるのは無理だな、ということでそのまま放置しちゃっていました。 そして時が過ぎて、いきなりすごいニュースが自分のTLに流れてきま

Myself and Eli cover the tools and techniques that Mercari uses in every day development in order to secure our SDLC.

はじめに 前回自作でTCPIP+HTTPを実装して動作を確認することができました。 しかしご覧頂いた方はおわかりのように、通信はHTTP=平文でやり取りされておりパスワードなど機密情報が用意に見れてしまう状態です。 普段我々がブラウザに安心してパスワードを入力しているのは通信がTLSで暗号化されているからです。ではそのTLSの仕組みはどうなっているのでしょう？ 恥ずかしい限りですが僕はわかりません。😇😇😇 ということで以下を読みながらTLSプロトコルを自作してみてその仕組みを学ぶことにします。 マスタリングTCP/IP情報セキュリティ編 RFC5246 プロフェッショナルSSL/TLS 今回の実装方針です。 TLS1.2プロトコルを自作する 暗号化などの処理はcryptパッケージの関数を適時利用する tcp接続にはconnectを使う 鍵交換はまずRSAで作成する TLS_RSA_W

こんにちは、 Azure ID チームの小出です。 今日は、混乱しやすい Azure AD のパスワード ポリシーについて、どのユーザーにどの項目が該当するか、同期ユーザーとクラウド ユーザーの観点からそれぞれご案内します。 はじめに多くの企業では、Azure AD Connect を使用し、オンプレミス側からユーザー アカウントを同期して Azure AD や Microsoft 365 を利用していることと思います。Azure AD には、クラウド上に直接作成したクラウド ユーザーや、ほかのテナントから招待したゲスト ユーザーなど、多くの種類のアカウントも登録されている場合もあります。 最近では、MFA などパスワード以外の方法も併用してサインインする方法も増えてきましたが、パスワードを使用して Azure AD やオンプレミス環境にサインインしている方がほとんどと思います。こうしたパ

はじめに • 今回のWebinarは、 『ユーザ企業の情報システム担当・情報セキュリティ担当向け』 に利用者が不審ファイルを開いてしまったという報告のような 「あやふや」な状況から、感染しているかどうかはどこを見たらよ いのか、感染していたらどうしたらよいのかを説明します • 検索するとEmotet相談とか無料調査とか出てきますが。。。そう いった火事場泥棒商売には騙されないよう正確な智識を習得し て貰うことを目的にしています