中山（順）です 先日、PCI DSSにおけるパッチ管理をテーマにした勉強会を実施しました。 【資料公開】PCI DSSの認証取得を目指す方へ！AWSの利用を前提としたパッチ管理について考えるクローズドな勉強会をやりました PCI DSS要件のある環境で自己管理の内部診断としてAmazon Inspectorを活用する方法 今回はその続きとして、ネットワークアクセス制御をテーマに勉強会を実施しました。 勉強会はテーマに関連するAWSの機能を解説し、その後ディスカッションする（AWSの機能が要件の充足にどの程度寄与しそうか、など）という流れで実施しました。 参加メンバーは前回と同様に弊社AWS事業本部コンサルティング部のメンバー ＋ とあるQSAの皆様です。 ネットワークアクセス制御自体の解説については、弊社岩城が担当しました。 【資料公開】PCI DSS 勉強会 ネットワークアクセス制御編

こんにちは、岩城です。 PCI DSS 勉強会シリーズです。 先日、社外の方（とある QSA （認定審査機関）の中の方たち）とクローズドな PCI DSS 勉強会が行われました。今回の勉強会の目的は、「PCI DSS の要件1:安全なネットワークの構築と維持」に関連する AWS のネットワークアクセス制御機能を理解することでした。本エントリでは、勉強会で利用した資料とディスカッションの内容を共有したいと思います。 合わせて弊社中山によるネットワークアクセス制御の設定を管理する方法もご確認ください。 【資料公開】PCI DSSのネットワークアクセス制御に関する要件とそのための実装を学ぶ勉強会をやりました（管理編） 目次 資料 勉強会内容 本日のゴール AWS における以下のネットワークアクセス制御機能の理解を目指します。 ネットワークアクセス制御 ルートテーブル セキュリティグループ ネット

国内外を問わず、多くのWebサービスで「HTTPS化」が進んでいます。暗号化通信によってユーザーの情報を盗聴から保護し、データの改ざんやなりすましを防ぐことでセキュリティを強化できる上、HTTPSを前提とした新たな技術が活用できることがメリットです。 HTTPSでない通信をWebブラウザが注意喚起する対応も進んでいます。Google Chromeでは、2018年7月に正式リリースされたバージョン68から、HTTPで配信されるページコンテンツに対して、アドレスバーに「保護されていない通信」と表示されるようになりました。今後は、さらに厳しく警告されることになるようです。 こうした動向を踏まえて、株式会社はてなが提供するブログサービス「はてなブログ」でも、HTTPS化への準備が2017年9月に告知され、2018年6月にかけて移行が順次行われました。その実現には、ブログサービスならではのさまざまな

はじめに こんなツイートを見かけました。 ・脆弱性ってなんだろう ・脆弱性対応ってなにしたらいいの？ ・情報を集めよう ・該当機器を洗いだそう ・対応方法を決めよう … みたいなまとめほしいけど意外とないから作りたい…作るしかなくない…？ — ナツヨさん@インフラ女子の日常 (@infragirl755) 2018年1月15日 たしかにそうだなぁ。生きてるシステムを運用する現場SEの気持ちになって力試しに書いてみよう。 おことわり 最初に記事スコープのおことわりです。 「 対策 」「 対処 」「 対応 」、似たような言葉ですがこれらを並べて考えたことはあるでしょうか？ 記事名には「 脆弱性対応 」という言葉を使っていますが、「対応」ということでこの記事のスコープを少し狭く取っています。 対策 ・ 対処 ・ 対応の違い 対策: 何かが起きる前に講じる処置や手段のこと。 対処: 何かが起こって

事後対応に重きを置いた「サイバーセキュリティ経営ガイドライン」 経済産業省は2017年11月16日に「サイバーセキュリティ経営ガイドライン」の改訂版を発表した。メッセージは当初から一貫している。サイバーセキュリティを経営課題の1つとしてとらえ、「技術者任せ」「現場任せ」ではなく、経営者が責任を持って取り組んでほしい、というものだ。 ガイドラインではかねて、サイバー攻撃に備えた「防御」だけでなく、攻撃を受けた場合に備えた「対応」「復旧」にも目を向けている。事後対応にも重点を置くよう推奨してきた。Ver 2.0ではこの方針が一層鮮明になったことが特徴だ。併せて、ビジネスパートナーや委託先なども含めた「サプライチェーン全体の対策強化」に関する項目を追加した。 経済産業省のガイドラインに対しては、旧版の公開当初からさまざまな反響があった。11月に公開された改訂版ではそうした声を踏まえ、より具体的な

はじめに AWSの運用構築を任されたかたに向けて、OS/ミドルウェア/アプリケーションにおける脆弱性対策の基本的な考え方と対策ソリューションをご紹介します。 脆弱性とは 脆弱性とはアプリケーションやOSなどの不具合などによって発生するセキュリティ上の欠陥です。 悪意のある攻撃者が脆弱性を利用した攻撃を行うと、アプリケーションやOSが意図しない動作をする事で情報が流出したり、悪意のあるマルウェアに感染するといった恐れがあります。 多くの開発者が安全なウェブサイトの作り方やOWASP Top 10などを参考にするなど脆弱性の少ないソフトウェア開発に努めていますが、脆弱性が全くないソフトウェアは現実的ではありません。 セキュリティインシデントの中で、脆弱性をついた攻撃は最も多い原因の1つです。 システムを安全に維持運用していくためには、脆弱性と上手に付き合っていく事が大切です。 脆弱性対策を行わ

中堅・中小企業の現実的なセキュリティ対策を考える：中堅・中小企業向け、標的型攻撃対策の現実解（1）（1/2 ページ） リソースの限られた中堅・中小企業にとって、大企業と同等の頑強なセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特にAPT（Advanced Persistent Threat）対策の観点から考える。 中堅・中小企業にとって簡単ではない「多層防御」 昨今、標的型サイバー攻撃が多発し、各ベンダーがしきりに「入口／内部／出口」における多層防御の必要性を訴えている。だが、巧妙で多岐にわたる攻撃から組織を守ろうとすれば、初期アセスメントからツールの実装、運用費までを含めて、数億円規模の投資が必要になることもある。果たして、それほどの余力を持つ企業がどれだけあるだろうか？　また、個々の企業が独自に対策を進める場合、複数ベン

ITの進歩により便利になる一方、その影に潜むリスクは 企業だけでなくあなたのすぐそばまで迫っています。 でも、ウイルス感染や情報漏えいなんて、自分は大丈夫。 セキュリティは面倒くさいし、どう学べばいいかわからない。 そう思っていませんか？ どんなに高い投資をしてツールをいれても、 会社の大切な資産を守るためには、社員一人ひとりの意識が大切です。 また、あなた個人の身を守るためにも、あなた自身の意識が必要です。 本書は、まず身につけておくべき「セキュリティ 7つの習慣」、 また身近に起こる様々なリスクをQ&A形式の「20の事例」にまとめました。 セキュリティの基礎を学びたい方や社会人としての教養を身に付けたい方、 会社でのセキュリティ研修やマナー研修などにご活用ください。 本書・資料が皆様の“セキュリティリテラシー向上” のお役に立てれば幸いです。 2017年2月 エムオーテックス株式会社