AWS環境をセキュアにセットアップする方法と、その運用方法を詳細に紹介します。秘伝のタレである具体的な設定も書いてます。みんな真似していいよ! こんにちは、臼田です。 みなさん、安全にAWS使えていますか?(挨拶 今日は全てのAWSユーザーが安全にAWSを活用し、セキュアに運用できるようにナレッジを大量にダンプしたいと思います。 弊社サービスに関連させて書く部分もありますが、基本的にどのようなAWS環境でも適用できると思います。 ちょっと長い背景 クラスメソッドでは長いこと様々なAWSを利用するお客様を支援しています。私は特にセキュリティ周りについて支援させていただくことが多く、最近はAWSのセキュリティサービスが充実していることから、これらの初期導入や運用設計、あるいはインシデント対応やその後の組織としてのセキュリティ体制づくりなどいろんな関わり方をしてきました。 どのようにセキュリティ
備考 2018/09/21 22:15 追記 2018/09/20 12:10 に公開した「どうして JWT をセッションに使っちゃうわけ?」というタイトルが不適切だとご指摘をいただいています。 その意見はもっともだと思いますので、現在、適切となるようにタイトルを調整しています。 ご迷惑およびお騒がせをして大変申し訳ございません。 本文の表現についても改善の余地は大いにありそうですが、こちらは (すでにご意見を頂戴している関係で、) 主張が変わってしまわないように配慮しつつ慎重に調整させていただくかもしれません。 はあああ〜〜〜〜頼むからこちらも忙しいのでこんなエントリを書かせないでほしい (挨拶)。もしくは僕を暇にしてこういうエントリを書かせるためのプログラマーを募集しています (挨拶)。 JWT (JSON Web Token; RFC 7519) を充分なリスクの見積もりをせずセッシ
最優秀アンチウイルス・ソフトは「AntiVirusKit」,最下位は「Microsoft OneCare」 アンチウイルス・ソフトウエアの比較を行う独立系組織AV-Comparatives.orgが米国時間2月28日,2007年2月版の調査報告書「Anti-Virus Comparative No.13」を発表した。マルウエアのサンプル100万種以上を使ってアンチウイルス・ソフトウエア17製品を調べたところ,すべてのマルウエア検出に成功したという。ただし,全17製品がそろって検出できたマルウエアは全体の約64%にとどまった。 調査は,各アンチウイルス・ソフトウエアの状態を2月2日時点の最新版に更新し,2月1日時点で既知のマルウエア100万種以上を検出できるかどうか確認した。その結果,検出されないマルウエアは1種類もなかったが,調査対象の製品数を16製品に減らすと78種類の検出漏れが生じた。
■ WASF Times版「サニタイズ言うな!」 技術評論社の「Web Site Expert 」誌に、Webアプリケーション・セキュリティ・フォーラム関係者の持ち回り企画「WASF Times」が連載されている。私の番も回ってきたので昨年9月発売号に寄稿させていただいた。近頃はサニタイズ言うなキャンペーンもだいぶ浸透してきたようだし、もういまさら不要という気もするが、以下、その原稿を編集部の承諾のもと掲載しておく。 「サニタイズしろ」だあ? Webアプリを作ったらセキュリティ屋に脆弱性を指摘された――そんなとき、「入力をサニタイズしていない」なんて言われたことはありませんか? 「入力」というのは、ブラウザから送信された情報をCGIパラメータとして受信した値のこと。これを「サニタイズしろ」というのです。なんでそんなことしないといけないの?プログラムの内容からして必要のないことなのに? そう
米Blue Coat Systems,Vice President, Product ManagementのMark Elliott氏 プロキシ・サーバー大手の米Blue Coat Systemsは2006年3月,米NEC USAからスピンオフした米Permeo Technologiesを買収,同社のセキュリティ・ソフトを手中に収めた。個人所有パソコンや携帯端末など,企業が管理してない端末から企業情報が漏えいしてしまう状況を打破するソフトである。このソフトを組み入れたSSL-VPN装置「Blue Coat RA」を2006年6月(国内は8月)に出荷した同社製品管理担当のMark Elliott氏に,クライアントのセキュリティ要件とその実態を聞いた。 Blue Coat RAは,同社としては初となるSSL-VPN装置である。最大の特徴は,遠隔アクセスにおける情報漏えいを防止するため,クライア
前回は個人情報をビジネスに活用するという目的を明確にし、達成する手段の要件として、個人情報保護法対応というコンプライアンスと漏洩防止を含む情報セキュリティ対策を検討すべきであることを、3つの観点から紹介した。 そうすれば個人情報の管理策は、お客様への安心感と満足度の向上といったビジネスに対して前向きな策となり、組織に定着するのである。そこで今回は「どのようにして対策内容を決めていくのか」について紹介していく。 個人情報保護対策と一言で書くと陥りやすい間違いがある。それは「決めるべき対策は一様一律なものではない」ということだ。ここを間違えると、一見すっきりしているが実は意味のない対策となるため注意が必要だ。情報システムの構築では、設計の前提ともなるべき重要なポイントである。 ゴミを適切に処理するためには、ゴミの分別が必要なことについては周知の通りだ。すべてのゴミを元の状態のままで埋め立ててい
「小規模企業に遅れ目立つ」,アビームがJ-SOXの対応状況を調査 アビームコンサルティングは2008年9月2日,「内部統制の現在・過去・未来―J-SOX対応状況調査」を発表した。08年3〜5月に実施した上場企業の日本版SOX法(J-SOX)への対応状況をまとめた。調査結果についてアビームコンサルティングは「本番年度に突入しても内部統制の整備を進めている企業が多数ある。規模の小さい企業のほうが総じて対応が遅れがち」と分析している。 【After J-SOX 〜 真の「企業価値向上」を考える】 最終回 企業価値経営を目指す日本企業へのエール 「After J-SOX」をテーマに掲げた本連載もいよいよ最終回である。1980年代後半以降に改革と復活を成し遂げた,わが国の製造業の歴史を振り返りながら,日本企業が目指すべき企業価値経営の方向性について,改めて考えてみたい。 網屋がシステム監査ツール
日本のコーポレート・ガバナンス開示や代表者確認書は、会社が不適正な財務報告や不正行為を行なった場合の「結果責任」だけではなく、このような事態を引き起こした経営トップの「管理責任」(内部統制の構築・維持責任)に関わるものであると言える。 日本においても企業不祥事が発生した際に、多くの経営者が「私は知らなかった。」といった弁明を繰り返したことは、記憶に新しい事実である。これに対し、司法当局が「経営者自らの関与の有無とは無関係に、経営者の善管注意義務違反による法的責任」の判断を下した。これが契機となり、日本においても経営者の管理責任を追及する各種法規制強化の動きにつながってきたものと考えることができる。 「代表者による確認書」に求められる体制 代表者による確認書において記載が求められるのは、「有価証券報告書の記載内容が適正であることを確認した旨」と「財務諸表等が適正に作成されるシステム
なりすまし犯罪の防止を目的とする米国の新しいデータ・セキュリティ法案「Data Accountability and Trust Act(DATA)」が,米下院のエネルギーおよび商業対策委員会(House Energy and Commerce Committee:HECC)において41対0で可決された。同委員会が米国時間3月29日に明らかにした。 同法案は,個人情報が盗まれる危険性がある場合にはそれを本人に通知することを義務付けるなど,消費者の個人情報を収集するデータ・ブローカに対して新しい義務規定を盛り込んでいる。米連邦取引委員会(FTC)では,個人情報の窃盗による被害額は1年間で企業が480億ドル,消費者で50万ドルになると推定している。 DATAにより,FTCはデータ・ブローカが個人情報を保護するための国家基準を策定する。データ・ブローカは,セキュリティ・システムに侵入の形跡がない
Generative AI will drive a foundational shift for companies — IDC
CIO(最高情報責任者)の優先課題は、日本では顧客の獲得・維持が1位だが、全世界ではビジネスプロセスの改善が1位であり、意識に差があることが、ガートナーの調査で浮かび上がった(有効回答数は全世界で約1400人、うち日本は29社)。 ビジネス面での優先課題を尋ねたところ、日本の1位は「顧客の獲得・維持および顧客との関係強化」だが、全世界では3位だった。全世界では1位の「ビジネスプロセスの改善」は日本では7位だが、2005年の調査における13位と比べて大きく上昇している。 日本の2位である「セキュリティ侵害および業務の中断」は、全世界では2005年の2位から2006年は7位へと順位を下げた。同じくセキュリティ関連の「データ保護とプライバシー」を見ると、日本では2005年は個人情報保護法の施行を受けて1位だったが、2006年は6位に下がった。全世界でも2005年の5位から2006年は10位と順位
Warning Much of the content of the Security handbook has not been modified since 2010 and may be a bit behind the times. Until further notice treat the content with caution. The Security Handbook supplements the Gentoo Handbook and aims to provide valuable guidance on Gentoo Linux security and cybersecurity in general. As with the Gentoo Handbook, this document is broken up into multiple sections.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く