モブセキュリティで話した内容です。 https://mob-security.connpass.com/event/209884/ 情報の倫理的な取り扱いをお願いします。

はじめに 前回のブログでは、マルチアカウントにおけるIAMユーザーの設計戦略についてご紹介しました。 今回は少しテーマを変え、以前筆者がJAWS DAYS 2020で登壇させていただいたCI/CDの内容を基に、データ保護の観点からの設計~実装を取り上げたいと思います。 ※少々お硬い内容を含みますが、AWS CI/CDセキュリティを考える上で一つのポイントになるはずなので、ご興味をお持ちの方は是非お付き合いください。m(_ _)m 前回ご紹介したCI/CD内容のおさらい JAWSDAYS2020にて「金融サービス向けに理想のCI/CDを追い求めたお話」というタイトルで、筆者が担当するサービスのCI/CD設計をご紹介いたしました。 ここで、「理想」という点についてもう一度振り返ると、それは「CI/CD導入により期待すること」と、「業務特性として守らなければならないこと」の両立でした。 高アジリ

AWS で環境を構築する際はマルチアカウントになることが多い、これは理解していたつもりでした。 stg 環境と prod 環境は AWS アカウントごと分ける。dev 環境も分ける。 しかし、世の中のベストプラクティスはもっと先を行っていました。 なぜアカウントを分けるのか isolation authz & authn auditing and reporting 世の中のマルチアカウント構成 各企業の事例 AWS が提供するベストプラクティス Gruntwork から見た AWS ベストプラクティス 各社のプラクティスから読み取れること なぜアカウントを分けるのか AWS アカウントを分ける理由は 3 つあります。 isolation authz & anthn auditing and reporting isolation そもそもとして、環境は分離しないと、というものです。 st

Amazon Web Services ブログ AWS アカウントのセキュリティを改善するための 10 個の項目 クラウド・セキュリティを向上させたいと考えているなら、AWS のチーフ・インフォメーション・セキュリティ・オフィサー (CISO) であるステファン・シュミットが AWS re:Invent 2019で発表したクラウド・セキュリティのための上位 10 個の項目 を参照してみてはいかがでしょうか？ 下記が項目のサマリーです。皆様の理解のために、順番に説明していきます。 1) アカウント情報を正しく保つ AWS が AWS アカウントについて連絡が必要な場合、AWS マネジメントコンソールで設定された連絡先の情報を利用します。これは、アカウントを作成する時に指定した E メールアドレス、代替の連絡先の中で指定されている E メールアドレスになります。全ての E メールアドレスは個人

Amazon Web Services ブログ クラウドにおける安全なデータの廃棄 クラウドにおける統制をお客様が考慮する場合、基本的な考え方は大きく異なるものではありません。ただし、クラウドならではの統制を考慮すべきケースがあることも事実です。その際には、従来のオンプレミスのやり方を無理にクラウドに当てはめようとしてもうまくは行きません。大事なことはその統制が何を目的としていたのかに立ち返り、その上で、New normal(新しい常識)にあった考え方や実装をすすめる必要性を理解し、実践することです。この投稿では、メディアやデータの廃棄を例として、セキュリティのNew normalを考えていきます。 メディア廃棄における環境の変化 データのライフサイクルに応じた情報資産の管理は多くのお客様の関心事項です。 オンプレミスの統制との変更という観点では、メディア廃棄時の統制は従来のオンプレミス環

2019年8月に発生した Capital Oneのデータ漏洩事件に関する各種報道等の情報からそのデータ漏洩経路を考察する。FBIの起訴状、CapitalOneの公式発表のほか、インターネット上で報道されている各種情報から考察をしており、内容には推測も含まれる。 なお本考察は個人的な調査に基づくものであり、いかなる公式発表でもなく、技術的な観点から事象や対策について検討したものである。 漏洩したデータS3バケットに保存されていたデータが漏洩した。また非公式な情報では、Twitterで犯行を告知しているメッセージから読み取るに、EBS Volume Snapshotも漏洩した可能性がある。 取得したというデータのリスト (KrebsOnSecurityより)主な漏洩の流れ構成ミスがあったWAF (Reverse Proxyとも)を利用され、その後にS3バケット内にあったデータなどが漏洩した。

Automate Your AWS WAF operations Save time and cost on maintaining your AWS WAF Do what you do best, let WafCharm do the rest With WafCharm, AWS WAF operations are automated as it automatically configures, curates, and updates AWS WAF rules that best fit your environment. Additionally, with a full team of security experts, WafCharm always stays ahead of new vulnerabilities by creating and applying

先日twitterを見ていたら、こんなつぶやきを拝見して、個人的に侵入テスト申請には色々思い入れのある身であるため、ビックリした「とある診断員」です。 あれ？AWSの侵入テスト申請いらなくなりました？ pic.twitter.com/Z6ULU10SMy— 三ツ矢 ◎=3 (@328__) March 1, 2019 このブログでもとりあげましたが、今までAWSはペネトレーションテストや脆弱性診断などを実施する際に、AWS側への事前の申請が必要だったのですが、今回ポリシーの変更があったらしくどうやら不要になったようです。 ということで、私も自分で確認をしてみました。 Penetration Testing - Amazon Web Services (AWS) 現在日本語版サイトは、翻訳が間に合ってないようでまだ更新されてないようですが（2019/3/5確認）、英語版の方は記載内容がガラリ

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ウェブマーケティングサービスを手掛けるベーシックは、2018年12月に不正アクセスを受け、多くの顧客情報が第三者に侵害された可能性のあるセキュリティインシデントを経験した。結果的に情報流出は確認されなかったが、実際にインシデント対応を経験したことで多くの教訓を得たという。当時の状況などを開発部 最高技術責任者（CTO）の桜庭洋之氏に聞いた。 クラウドの課金で気付いた異変 同社が経験したセキュリティインシデントは、サービス提供基盤として利用しているAmazon Web Services（AWS）での不正アクセスが発端となった。同社のAWS EC2環境において何者かが不正にインスタンスを構築、稼働させ、仮想通貨の発掘を行っていた。その影響で

2. Shun Suzaki(洲崎 俊) Twitter:@tigerszk ITイベントの参加・開催や日々の脆弱性検証をライフワークと する「とあるセキュリティエンジニア」 Daiki Ichinose(一ノ瀬 太樹) Twitter:@mahoyaya Perlが好きなウィークデーバグハンター。 土日は家族サービスとコミュニティ活動に勤しんでいる。 Ken Kitahara(北原 憲) 博士（理学）。物理学で博士号を取得してから、2014年4 月から縁も所縁もない情報セキュリティ業界で働き始める。 ネットワーク系のサイバー攻撃技術が専門。

はじめに 自分が使っているAWS環境のセキュリティに問題がないかと心配になることはないでしょうか？私はよくあります。そこでCIS Amazon Web Service Foundations Benchmark というAWSのセキュリティのガイドラインに沿って使っているAWSアカウントのセキュリティの状況をチェックしてみました。チェック項目は全部で52あります。内容を一通り確認したところ知らなかったAWSのセキュリティの機能やノウハウを知ることができ、見ただけでもとても勉強になりました。簡単にチェックする方法も併せて紹介しますのでぜひ使っているAWS環境でチェックしてみてください。 1 IAM 1.1 rootアカウントを利用しない rootアカウントは強力な権限を持つため、rootアカウントを利用せずIAMユーザーを利用してください。通常運用でrootアカウントが利用されていないか確認し

2018/08/03 Security JAWS 【第10回】勉強会での、安東・徳田の講演資料になります

こんにちは、坂巻です。 Tenable.ioを利用した脆弱性診断に関するエントリです。 AWSの適正利用規約では、許可のない脆弱性診断等は禁止されており、事前に申請が必要となります。AWSへ申請を行ってから、許可まで時間がかかりますので余裕をもった対応が必要となります。 時間をかけずに脆弱性診断を行いたいと思った事はありませんか？ AWS Marketplaceに公開されているNessusScannerを利用すれば、AWS事前承認済みのため、すぐに脆弱性診断を行うことができます！ 本エントリは15分位で試せると思いますのでTenable.ioに触ったことがない方はぜひやってみてください。 スキャン結果はTenable.ioにアップロードされ、そちらから確認することになりますので、Tenable.ioのアカウントが必要になります。アカウントがない場合はこちらよりトライアルアカウントを作成して

You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

Cookpad techconf 2018のLTで講演した資料です

I was preparing some AWS Security related training. Soon, I realized that this topic is too huge to fit into my brain. So I structured my thoughts in a mind map1. Within a couple of minutes2 I came up with this: What is your first reaction? Mine was pretty much surprised: Let me summarize how AWS Security works to make sure you are not surprised one day. This post received over 200 points on Hacke

2017年9月23日更新 許可されているリソースについてアップデートがあることを確認したので「対象リソースについて」を更新しました 2018年11月07日更新 ブログを更新しました。 【2018年版】AWSの脆弱性テスト、侵入テストについて はじめに 以前AWSの侵入テストについて(Amazon EC2への侵入テスト申請について)を投稿しましたが、 新たに「Total Bandwidth (Please provide expected Gbps)*」の項目が追加されたので、 侵入テストに関する確認事項や内容についてアップデートしました。 侵入テスト AWSではAWS環境への、またはAWS環境からの侵入テストと脆弱性スキャンを実施する場合、 AWSで禁止されている行為と区別するために事前に侵入テストの承認を得る必要があります。 侵入テスト 私たちの適正利用規約では、禁止されているセキュリテ

Amazon Inspectorを触る機会があったため、脆弱性診断におけるAmazon Inspectorの位置づけを軽く整理した上で、自分なりにその使い方をまとめました。 Amazon Inspectorとは？ Amazon InspectorとはAWSが提供する脆弱性診断を行うサービスで、エージェントを利用したプラットホーム診断のためのサービスです。EC2に対して実施するもので有料です。またEC2のみのため、他社クラウドのインスタンスやデータセンターにあるサーバには実行できません。 こうしたサービスが求められる背景（私見） あくまで私見ですが、セキュリティへの取り組みにはまずは「リスクの可視化」が必要と言われてますが、これまではインフラ担当者という「人」に依存する形で、自分たちのサービスで利用しているサーバのOSやミドルウェアに脆弱性有無の可視化や対応が行われていることが多いように思い