GitLab IaC Scanning機能を利用する - TECHSTEP
今回はGitLab IaC Scanning機能を検証しました。 docs.gitlab.com 背景 GitLabのIaC ScanningはIaCファイルに対する静的解析機能を提供します。IaC Scanningの内部ではKICSというIac専用の静的解析ツールを実行しており、セキュリティの脆弱性やコンプライアンス的な問題点などを指摘します。 IaC Scanningの対象のIaCツールは複数あり、以下に対応しています。なお一つのリポジトリ上に複数のIaCツールファイルを配置する場合もサポートします。 Ansible AWS CloudFormation Azure Resource Manager Dockerfile Google Deployment Manager Kubernetes OpenAPI Terraform docs.gitlab.com IaC Scanning
サイバーセキュリティ法規を理解した生成AIアプリにセキュリティリスクを案出しさせる(Difyで簡単PoC)
Difyというツールを使うと、生成AIアプリを手軽に構築できると耳にしました。こちらの記事でも触れられていますが、私もちょうど「生成AIアプリのアイディアがあるけどPoCするには時間がかかりそう」と思っていたところだったので、Difyで簡単なRAGアプリを作成し、期待していたことがどこまでできるのか?検証してみました。 1. やりたいこと 生成AIアプリに求める挙動 ユーザーの入力: セキュリティリスクを想定するシステムやデータ アプリの出力: 想定される脅威 アプリが出力のベースに使うナレッジ: サイバーセキュリティ法規(UN-R155)の原文 なぜ、上記のようなアプリを欲しいと思ったのか? 自動車業界には、完成車メーカーが準拠しなければならないサイバーセキュリティ法規(UN-R155)があり、これに準拠していることを示すために様々なドキュメントを作成しなければならないという背景がありま
社外の開発メンバーをAWSアカウントに入れるときのIAM設定を考えている - kmiya_bbmのブログ
サービスを開発する際に、社外の業者さんに開発をお願いしたり、社外パートナーに開発に参加してもらう、ということがよくあります。 開発に使うAWS環境として、うちの会社で作成したAWSアカウントに入ってきてもらうこともあるのですが、このときにAWSアカウントの管理者として社外の開発メンバーにどのような権限を持たせるのが良いか、それをどう実現するのが良いか、いつも悩みます。 このエントリでは現時点での考えと実装方法をまとめておこうと思います。 課題 私が関わる案件で社外の開発メンバーに協力を仰ぐ場合、大抵はPoCから始まるような新規サービスの構築案件となるためAWSのどのサービスを使うか最初からすべて決まっていることは稀です。 最初は ALB + EC2 + RDS で作り始めたシステムにDynamoDBが導入され、AWS IoT coreが導入され、Kinesis Stream が導入され、、
IAM ユーザーのログイン失敗を検知して複数回失敗すると権限を剥奪する仕組みを作ってみた | DevelopersIO
こんにちは、AWS 事業本部の平木です! AWS における PCIDSS v3.2.1を見た時に要件 8 を参照するとアカウントロックに関する要件があります。 現状、執筆時点では IAM ユーザーで連続してログイン失敗してしまったとしてもアカウントをロックできる仕様はありません。 ただ、AWS 公式のコンプライアンスガイドを見ると以下のように記述されていました。 PCI DSS 審査の適用範囲内であると判断された IAM ユーザーには、8.1.6 および 8.1.7 のアカウントロックに関する要件を満たす追加の仕組みが必要です。お客様がこれを達成するには、AWS CloudTrail、Amazon DynamoDB、AWS Lambda、Amazon CloudWatch を組み合わせて連続したログイン失敗を追跡して、ログイン失敗がしきい値である 6 回連続で発生した場合に制限を強めた I
CISSP(Certified Information Systems Security Professional) 合格体験記(受講講座や問題集、学習法) - 俺人〜OREGIN〜俺、バカだから人工知能に代わりに頑張ってもらうまでのお話
約1年の取組を経て、CISSP(Certified Information Systems Security Professional)に挑戦して無事合格できました! 試験の内容や問題についてはNDAがあるので言及できませんが、私が受講した講座や問題集、学習法について紹介させていただきます。 CISSPとは、ISC2(International Information Systems Security Certification Consortium)が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認定資格です。 企業によっては、CISSP認定資格の取得が情報セキュリティ関連業務従事者の必須事項とされており、特に外資系企業のセキュリティ担当者にはおすすめの資格です。 これからの受験を検討されている皆さんの参考になる情報をご提供できればと思います。 【目次】 1.受験
OSCP合格体験記(2024/03) - NFLabs. エンジニアブログ
はじめに こんにちは、教育ソリューション担当の吉浦です。 2024年3月にOffSec社のOSCPを取得したので、合格までの記録を書きたいと思います。 目次 はじめに 目次 OSCPとは? OSCP試験 試験スケジュール 合格基準とボーナスポイント 学習について 取得のきっかけ 学習開始時点のスキルレベル 学習コンテンツ① TRAINING MATERIAL 学習コンテンツ② CHALLENGE LABS その他 試験について 試験準備 実技試験 レポート 試験結果 感想 おわりに OSCPとは? OSCP (OffSec Certified Professional) とは、OffSec社が提供する実技重視のペネトレーションテスト資格です。 OSCP試験 OSCP資格を取得するには、試験に合格する必要があります。 試験は約48時間連続(長い!)で実施され、「試験環境内の標的端末へ侵入し、
【Microsoft Build 2024速報】Azure Container Apps Dynamic Sessions で安全にコードを実行する - APC 技術ブログ
はじめに こんばんは、ACS事業部の吉川です。 Microsoftの年次イベント Microsoft Build でのアップデートについて引き続きお届けしていきます。 build.microsoft.com news.microsoft.com タイトルどおり、本記事では Azure Container Apps Dynamic Sessions をピックアップしてお届けします。 概要 Azure Container Apps Dynamic Sessions は、サンドボックス環境を作成し安全にコードを実行できるサービスです。 https://techcommunity.microsoft.com/t5/apps-on-azure-blog/new-secure-sandboxes-at-scale-with-azure-container-apps-dynamic/ba-p/41421
IAM Identity Centerでもaws-vaultでセキュアにAWS CLIを使う - Nealle Developer's Blog
こんにちはSREチームの宮後(@miya10kei)です。最近、トリュフナッツにハマりビール🍺の消費量が増えています。 AWS CLIを使用する時にaws-vaultは使っていますか? AWSのユーザ管理をAWS IAM Identity Centerに移行した際にaws-vaultの設定でつまずいたので解決方法を紹介したいと思います。 AWS IAM Identity Centerとは? 複数の AWSアカウントやアプリケーションへのワークフォースのアクセスを一元管理するためのサービスです。外部IDプロバイダーと接続しSSO(シングルサインオン)連携をすることができます。ニーリーではGoogle Workspaceと連携させGoogleアカウントでログインできるようにしています。 aws-vaultとは? aws-vaultはAWS CLIを使用する際の認証情報を安全に保存し、アクセス
Hayabusaの検知結果をElastic Stackで可視化してみた - Qiita
$ ./target/release/hayabusa -h hayabusa 1.0.0 Yamato-Security(https://github.com/Yamato-Security/hayabusa) Hayabusa: Aiming to be the world's greatest Windows event log analysis tool! USAGE: -d --directory=[DIRECTORY] 'Directory of multiple .evtx files' -f --filepath=[FILEPATH] 'File path to one .evtx file' -r --rules=[RULEDIRECTORY] 'Rule file directory (default: ./rules)' -o --output=[CSV_TIMELI
SharedArrayBuffer とクロスオリジン分離の問題への対処の記録
Legalscape (リーガルスケープ) アドベントカレンダー 2021 の 12/20 (月) のエントリです。本日のエントリは、Legalscape が遭遇した SharedArrayBuffer とクロスオリジン分離の問題についてお送りします。 「何もしていないのに Legalscape が壊れました」 それはある夏の暑い日のことでした。 あるお客様からのお問い合わせで「Legalscape が突然使えなくなったんですが…」というご連絡をいただいた我々は「あれ? 今日って何かプロダクション環境にデプロイしましたっけ? フロントエンドかな? それともバックエンドの API サーバかな?」などと Slack で会話しながら、どういう問題が発生しているのかを具体的に知るために調査に取り掛かりました。 このときの我々は何も知りませんでした。何もしていないのに Legalscape が壊れた
クラウドでもsuが出来る! GCPにPAM(特権管理)がついに登場
はじめに Linuxの良い所の一つにsuやsudoと言った特権管理の仕組みがあります。普段は通常アカウントで入って、例えばインストールなどの特権作業が必要な時だけsu/sudoで一時的な権限昇格が可能ですし、/etc/pam.dで誰がどのユーザにスイッチ出来るかなどは細かく制御できます。 一方で、クラウドの権限管理は悩みの種で、誤操作が怖いので普段はRead Onlyの権限にしておきたいのですが、手軽に権限を昇格する方法がありません。なので、別の管理者ユーザを作って、そちらでログインしなおしたり、それを半自動化するCyberArkやBeyondTrustといったPAM系ソリューション、あるいは最近流行りのCIEM(PAM機能を持つもの)を導入する必要がありました。 Azureでは結構以前からPIM(Privileged Identity Management)がネイティブで組込まれており非
AWS Config Rulesを使用し、組織全体で一定期間利用の無いIAMユーザーにDenyポリシーをアタッチしてみた - サーバーワークスエンジニアブログ
エンタープライズクラウド部の山下(祐)です。 今回は、AWS Config Rules(以下、Configルール)で一定期間利用の無いIAMユーザーを検知し、修復アクションでAWSDenyAllポリシーをアタッチ&管理者へのメール通知を行ってみたいと思います。 また、CloudFormation StackSets(以下、StackSets)とAWS Config Conformance Packs(以下、適合パック)を使用し、AWS Organizations(以下、Organizations)の組織全体で利用の無いIAMユーザーを管理できるようにしたいと思います。 適合パックとStackSetsの配布イメージ 修復の流れ StackSetsの委任 修復アクション用IAMロール SNSトピック Configルール 修復アクション ビジュアルツール ランブック属性 ① GetUsernam
匿名化技術についてまとめてみた【k匿名性, l多様性,t近接性,差分プライバシ】 - Qiita
概要 昨今ビックデータやそれを活用するAI技術などが特に技術的な注目を浴びていますが、これに伴って個人情報が侵害される危険性も増しました。しかし、個人情報を保護するような技術はAIなどの技術に比べて軽視される傾向にあると思います。 僕はそんな個人情報を保護する技術、匿名化技術を研究しています。匿名化技術をより皆さんに理解して頂きたくて、この記事を書くことに決めました。 注意 この記事を書くにあたり、できるだけ正しい記述を心がけますが、内容のわかりやすさを優先して僕の解釈を混ぜています。よって、不正確な部分が生じていることがあると思います。お気づきの際は適宜コメント等で指摘してくださると大変助かります。 そもそも匿名化とは? 匿名化という言葉が指す行為とは「データから名前や社会福祉番号などのすぐに個人が特定されるような情報を削除すること」と判断される方が多いと思います。しかし、例えば位置情報
【AWS】Amazon Security Lakeの概要とアクセス管理の検証 - Qiita
はじめに 2023年5月に一般提供を開始したAmazon Security Lake(以後Security Lakeと記載)についてサービスの概要と特徴であるアクセス管理(データアクセス,クエリアクセス)に焦点をあてて記載します。 今回解説を行わない内容 Security Lake 環境構築の諸設定解説 Security Lake に蓄積したデータの可視化 目次 ・Security Lakeとは ・メリット ・システム構成図とアクセス管理の検証箇所 ・導入ステップ ・アクセス管理動作検証 ・どのような活用が期待されるか ・注意点 Security Lakeとは Security Lakeは、フルマネージド型のセキュリティデータレイクサービスです。 AWS環境・SaaSプロバイダー・オンプレミス・クラウドソースからのセキュリティデータ(ログ・イベントデータ)を、アカウントに保存されている専用
CODE BLUE 2023 発表紹介 - FFRIエンジニアブログ
はじめに 基礎技術研究部リサーチ・エンジニアの加藤です。 2023 年 11 月 8, 9 日の 2 日間に亘って開催された CODE BLUE 2023 に参加しました。 本記事では、私が聴講した講演の中から特に興味を惹かれた「シンボリック実行とテイント解析による WDM ドライバーの脆弱性ハンティングの強化」を紹介します。この講演は発表者の Zeze Lin 氏によってスライドが公開されているため、そちらもご参照ください。 この発表で扱われたツールは "IOCTLance" と呼ばれ、検証に使われたドライバーのデータセットなどと共にソースコードが GitHub で公開されています。本記事ではこのリポジトリからソースコードを参照し、動作や特徴をコードベースで解説します。 なお、ソースコードは本稿執筆時点における最新コミット (73e6e32)を参照しています。今後このリポジトリにおいて変
[プレビュー] Bedrock コンソールに近い機能を組織のユーザーへ提供する Amazon Bedrock Studio がプレビューで登場したのでセットアップして使ってみた | DevelopersIO
[プレビュー] Bedrock コンソールに近い機能を組織のユーザーへ提供する Amazon Bedrock Studio がプレビューで登場したのでセットアップして使ってみた いわさです。 今朝のアップデートで Amazon Bedrock Studio というものがプレビューリリースされました。 Amazon Bedrock Studio は、組織ユーザーに Bedrock のプレイグラウンドや、ナレッジベースやエージェントなどのコンポーネントを使って Bedrock アプリケーションのプロトタイプを作成し、評価したり組織内のユーザーへ共有出来るアプリケーションです。 要は、Amazon Bedrock コンソールの一部機能を IAM Identity Center ユーザー向けに、専用の Web アプリケーション(IAM Identity Center アプリケーション)として提供し
![[プレビュー] Bedrock コンソールに近い機能を組織のユーザーへ提供する Amazon Bedrock Studio がプレビューで登場したのでセットアップして使ってみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/5fc5d99a3e7a01fd348d908da8951bc0b3ca082b/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F11%2Famazon-bedrock.png)
Slack経由でRAGにコードレビューを依頼するBotを作成 〜 AWS SAM編 - Qiita
はじめに 前回の記事では、リーダブルコードの原則に従ったコードレビューを自動化できないものか・・と考えた結果、『RAGにリーダブルコードの原則を取り込ませてコードレビューをしてもらおう!!』という検証をしてみました。 検証環境の構築は AWSマネジメントコンソール を使用していましたが、今回は AWS SAM を使用して、より簡単に環境構築する方法の解説を行います。 使用するリポジトリは以下になります。 事前準備 リージョン切り替え 全ての手順は「東京リージョン」で実施することを前提としているため、AWSのマネジメントコンソールからリージョンを「東京」に変更してから手順を進めてください。 Cloud9 ローカルマシンの環境を汚さないために、Cloud9 を使用して環境構築を行います。Cloud9 には、今回の作業に必要な以下のツールが事前にインストールされているため、環境構築がスムーズに行
JWTのalg=noneによる署名検証回避はどうして起こるのか
おはようございます。ritouです。 なんの話? これの話です。 RFC 8725 JSON Web Token Best Current Practices をざっくり解説する - Qiita 攻撃者が none に書き換え、検証側がそれを信用して署名検証をスキップ : ライブラリが JWT Header の alg の値を信用して署名検証をスキップしてしまうお話です 攻撃者が RS256 を HS256 に書き換え、検証側は RSA 公開鍵を HMAC の共有鍵として署名検証 : こちらも JWT Header の alg の値を信用し、署名検証用の関数の引数として指定したRSA公開鍵を共有鍵として扱ってしまうお話です どっちも「おいおい冗談だろ」みたいなお話に見えますが、そういう実装もあるのが事実なんですね。 どうしてこうなった? 署名検証ロジックが JWT文字列と鍵情報をパラメータ
第2回:画像でないデータを画像として処理する
AI技術チームの石川です。今回は、我々が発表した論文で使ったアイディアの一つである、「画像でないデータを画像として扱う」ことで画像分析用の手法を活用するという考え方について紹介したいと思います。画像認識や画像処理のために開発された手法やツールを活用することで、画像でないデータの分析を簡単に、高精度に行うことができる場合があります。ビジネスにおいては、以下のような場面で活用できる可能性があります。 製造業、商業、公共交通機関等での音声による異常検知 時系列の金融データ分析 画像データとCNN 画像認識はAI・機械学習の代表的なタスクのひとつであり、幅広く研究されています。ディープラーニングが注目されるきっかけの一つとなった画像認識コンペティションILSVRCはImageNetという大規模な写真データセットの分類精度を競うものでした。 ディープラーニングによる画像認識において、優れた性能を達成
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
クローズしたはずのサービスが知らぬ間に蘇っていたのでクローズしきった話
