AWS リソースを使用した一時的な認証情報の使用 - AWS Identity and Access Management
一時的な認証情報を使用して、AWS または AWS CLI API(AWS SDKを使用)を使用して AWS リソースのプログラム要求を行うことができます。一時的な認証情報は、IAM ユーザーの認証情報など、長期的なセキュリティ認証情報を使用するのと同じアクセス許可を提供します。ただし、いくつか違いがあります。 一時的セキュリティ認証情報を使用して呼び出しを行うときは、一時的な認証情報と共に返されるセッショントークンを呼び出しに含める必要があります。AWS はセッショントークンを使用して、一時的セキュリティ認証情報を検証します。 一時的な認証情報は、指定した期間が過ぎると失効します。一時認証情報が有効期限切れになると、その認証情報を使用する呼び出しはすべて失敗するため、新しい一時認証情報を生成する必要があります。一時的な認証情報は、最初に指定された間隔を超えて延長または更新することはできま
[アップデート]GuardDutyが盗まれたEC2のクレデンシャルが別AWSアカウントで利用されたことを検知できるようになったので実際に試してついでにDetectiveで調査してみた | DevelopersIO
[アップデート]GuardDutyが盗まれたEC2のクレデンシャルが別AWSアカウントで利用されたことを検知できるようになったので実際に試してついでにDetectiveで調査してみた GuardDutyがEC2から搾取されたクレデンシャルを別AWSアカウントで利用しても検知してくれるようになりました。実際にインシデントが発生した場合の対処方法も合わせて解説しています。 こんにちは、臼田です。 みなさん、GuardDuty使ってますか?(挨拶 今日は素晴らしいアップデートが来ました。EC2から搾取されたクレデンシャルが別AWSアカウントで利用されたときにAmazon GuardDutyで検知することが出来るようになりました! Amazon GuardDuty now detects EC2 instance credentials used from another AWS account
![[アップデート]GuardDutyが盗まれたEC2のクレデンシャルが別AWSアカウントで利用されたことを検知できるようになったので実際に試してついでにDetectiveで調査してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/667f87d2f54fdeff2f01ae7c6408e45a44404f8e/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-guard-duty.png)
OWASP Juice Shop | OWASP Foundation
This website uses cookies to analyze our traffic and only share that information with our analytics partners. Accept OWASP Juice Shop is probably the most modern and sophisticated insecure web application! It can be used in security trainings, awareness demos, CTFs and as a guinea pig for security tools! Juice Shop encompasses vulnerabilities from the entire OWASP Top Ten along with many other sec
レジストラ管理画面への不正ログイン起因とみられるドメイン名ハイジャックについてまとめてみた - piyolog
2024年6月3日、夢展望は子会社であるトレセンテの公式サイトで使用しているドメイン名の移管処理が何者かによって行われ、ドメイン名が乗っ取られた可能性が高いと公表しました。ここでは関連する情報をまとめます。 レジストラ提供の管理画面に不正アクセスか 被害にあったのはトレセンテが公式サイトで使用をしていたドメイン名trecenti.com。第三者が海外のドメイン管理会社へこのドメイン名の移管処理を行ったことで、同社の公式サイトに接続できない状況が生じた。 同社公式サイトでは、来店予約の際に顧客情報*1の取得をしているが、データは別サーバーで管理しているため、同社の顧客情報の流出は確認されていない。また同社が運営するECサイトも別のドメイン名(trecenti.net)で運営しているため、こちらにも影響はないとしている。 同社が被害に気付いたのは問題の移管処理から2日後の31日9時15分頃で、
Code Quality Tool & Secure Analysis with SonarQube
In your IDEFree IDE extension that provides on-the-fly analysis and coding guidance Self-managedSelf-managed static analysis tool for continuous codebase inspection
静的コード分析ツールSonarQubeってこんなに簡単に使えるようになってたのか、の話 - Qiita
はじめに 数年ぶりにSonarQubeを触ってみたくなり、試したところかなり簡単だったので、その感覚を残したく記事化してみました。 SonarQubeとは SonarSourceのプロダクトの一つであり、コード品質、コードセキュリティのチェックを実施するツールです。 さまざまな使い方ができるのだと思いますが、簡単に使うためにはJenkinsなどのツールと同じようにSonarQube用のサーバーとして1プロセス立ち上げ、その中でチェックと、チェック結果を確認・参照することができます。 今回やりたいこと MavenでビルドしているJavaプロジェクトに対して、ソースコードの品質が不安なので第三者チェックしてほしいと思うことがあると思います。その際に頼めるレビューアーがいないので最低限確認するためにツールにレビューをお任せしたい、ということがやりたいことです。 JenkinsのようなCI環境も手
初めてAWSを使うときのセキュリティ覚書〜利用者編〜 | コラム | クラウドソリューション|サービス|法人のお客さま|NTT東日本
しばらくDevelopersIOから出張してクラソルにも投稿します。 今回はこれからAWSを使う方や使い始めた方向けに、AWSセキュリティで絶対に覚えておく必要があることを解説します。 この記事を読んでいただければ、自信を持って安全にAWSを利用し始められます! 1.前置き〜AWSは安全?〜 みなさんはAWSやクラウドを利用する際のセキュリティに対してどんな印象をもっていますか? 「なんだかよくわからないけど不安だ」と感じている方、いい感覚です。初めて扱う技術を怖く感じることは正常な感覚です。しかし、過剰に怖がりすぎるのは違いますね。 逆に「AWSやクラウドは安全だからセキュリティを気にせず使って大丈夫だ」と感じた方は少し危険かもしれません。自らの正確な知識と正しい根拠がないまま勝手に安全だと信じることは正常な感覚ではありません。 いずれの場合も、AWSやクラウドについてこれから学習してい
「[目指せ上級者] 最強にセキュアなAWSアカウントの作り方」というタイトルでDevelopersIO 2022に登壇しました #devio2022 | DevelopersIO
ざっくりとコントロールの分類としては上記になりますが、他にも検討した内容のメモを以下に貼ります。 運用上煩わしいものは対応しない VPCフローログとか WAF適用は本番で通知のみ WAFが不要な対象もあるため OS以上のレイヤーの脆弱性管理は管轄外 SSMパッチコンプライアンスなど、別で管理する場合も多いため このような分類手法は他の環境でも応用できそうだと思ったので、是非活用してみてください。 実装アーキテクチャ2: 是正までの追跡方法 Security Hubのセキュリティチェックにより出てくる検知をFindingsといいますが、このFindingsが適切に是正されたか、というステータスをトラッキングすることはけっこう大変です。 例えば、このFindingsのIDを検知時にDynamoDBに保存しておき、一定時間経過後にこれを取り出して是正済みか確認する手法を検討します。ソートキーに検
![「[目指せ上級者] 最強にセキュアなAWSアカウントの作り方」というタイトルでDevelopersIO 2022に登壇しました #devio2022 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/74c50161bbf20319bfd9bf303090f3c13a4fedae/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F07%2F002_devio2022_usuda.jpg)
クライアントサイド暗号化について - Google Workspace 管理者 ヘルプ
サポート対象エディション: Enterprise Plus、Education Standard、Education Plus。 エディションの比較 Google Workspace のクライアントサイド暗号化(CSE)を使用して、組織のデータ(ファイルやメールなど)に Google Workspace が提供するデフォルトの暗号化のほか、暗号化のレイヤを追加できます。CSE では、Google のサーバーやサードパーティでは復号できないエンドツーエンドの暗号化によって組織のデータのプライバシーが保たれ、組織はデータへのアクセスをより細かく管理できます。CSE は、知的財産、医療記録、財務データなどの機密データや規制対象データを保存する組織にとって特にメリットがあります。
FortiGate|次世代ファイアウォール(NGFW)-フォーティネットジャパン
私たちの調査では、ゼロトラストを積極的に導入している組織は、オンプレミスとクラウドに展開されたゼロトラスト ソリューション間の統合に関する課題に、依然として直面していることがわかりました。 レポートをダウンロード
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Virtual Patching Best Practices | OWASP Foundation
クラウドセキュリティの技術選択と、セキュリティ対応していく中で出て来た課題
安全なクラウドネイティブ実現へ:内製開発におけるプロダクトセキュリティ強化の軌跡と開発チームとの協調 - CNDT2023 | ドクセル
Startup security: Techniques to stay secure while building quickly
Account pre-hijacking - Wikipedia
Cloud Exit Strategies: Why and How to Avoid Vendor Lock-in
A Comprehensive Overview of Large Language Models (LLMs) for Cyber Defences: Opportunities and Directions
Amazon.co.jp: 改訂新版 セキュリティエンジニアの教科書: 一般社団法人日本シーサート協議会シーサート人材ワーキンググループ: 本
2024/05/23_SecurityJAWS登壇
Customer
