「そろそろ『予測』を書き換えなければならないだろう」。米Amazon Web Services(アマゾン・ウェブ・サービス、AWS)のCJ Moses(CJ・モーゼス)CISO(最高情報セキュリティー責任者)は日経クロステックの取材でこう打ち明けた。 予測とは、モーゼスCISO自身が2023年3月に発表した「2023年以降のセキュリティーに関する予測」を指す。「より高度な多要素認証が普及する」など6つのトレンドを予想し、機械学習による自動化も含まれていたが、「生成AI」の文字はどこにもなかった。 「正直なところ、私は個人的にはあまり大規模言語モデル(LLM)にフォーカスしていなかった。今予測を書き換えるならば生成AIを含む(ように修正する)だろう」とモーゼスCISOは語った。 米国時間2023年6月13~14日に開いたセキュリティー関連の年次イベント「re:Inforce」で、AWSは多く
プロダクト基盤本部の藤原です。 本エントリではWAF(Web Application Firewall)を活用していく上で、最初に導入をお勧めするファイアウォールルールを解説します。 WAFとは WAF(Web Application Firewall)とはWebアプリケーションに特化したファイアウォールです。 HTTPリクエストのヘッダやボディの内容から不審なリクエストを判別し、アクセスをブロックすることを目的としています(図1)。 図1 WAFの役割 WAFの活用を通じて実現したいこと WAFの活用を通じて実現したいことはなんでしょうか。 悪意のあるリクエストや不審なリクエストからアプリケーションを保護することでしょう。 不審なリクエストとしては、宛先が合っていないリクエスト(HTTPのホストヘッダを誤っている)1や、スクリプトキディ的なものから攻撃対象を精緻に分析したものまでさまざま
AWSがAmazon S3でデータ暗号化の自動適用を開始、暗号化されていない既存バケットはどうなる?:暗号化設定のし忘れを防止 AWSはオブジェクトストレージの「Amazon S3」で、新規オブジェクトをユーザー側の操作なしにデフォルトで暗号化するようにしたと発表した。2023年1月5日より、世界中の全リージョンで適用が開始された。 Amazon Web Services(AWS)は2023年1月5日(米国時間)、オブジェクトストレージサービス「Amazon S3」で、オブジェクト暗号化の自動適用を開始したと発表した。世界中全てのリージョンが対象。これにより、暗号化設定のし忘れに起因するデータ漏洩(ろうえい)を防止する。 暗号化では、AWSが2011年より提供してきた「Amazon S3 Server Side Encryption(SSE-S3)」をデフォルトで適用する。SSE-S3では
はじめに 2023年、最初のブログはAWSセキュリティについて書きます。 MITRE ATT&CK(マイターアタック)という素晴らしいフレームワークには、非常に多くのナレッジが蓄積・公開されています。 パブリッククラウドサービスについても、各種クラウドごとにも纏められています。 さまざまな活用方法があるとは思いますが、自分なりの使い方の一つを共有しておきたいと思います。 今回、紹介するのは、インシデント発生後の再発防止についてです。 手順の概要 インシデント発生後、再発防止策の検討の際には、攻撃内容をもとにセキュリティホールを埋める対応を行いますが、多くの場合、担当者の知識ベースで考察します。 経験のあるエンジニアの場合、当初漏れてしまっていた対策も、この再発防止策を検討する際に気付けることが多いのですが、ここでMITRE ATT&CKと照らし合わせることで、攻撃者視点でのプロセスごとでの
こんにちは、上野です。 少し前になりますが、Amazon GuardDutyがマルウェア対策機能に対応しましたね。 aws.amazon.com GuardDutyは、CloudTrail、VPCフローログ、DNSクエリログなどAWSが管理するログ情報を元に、AWSアカウント内の脅威を検知するサービスですが、マルウェア対策機能はユーザーが管理するEBS内のデータを対象に検知するので、少し従来とは観点が異なるなーと個人的には驚きでした。 今回は機能の概要とEventBridgeを使用した通知方法を紹介します。 マルウェア検知の仕組み GuardDutyはリアルタイムスキャンや定期タイムスキャンを実行するわけではなく、特定の既存Findingsを検知したタイミングで、マルウェアスキャンを実行します。トリガーとなるFindingsはドキュメントに記載されています。 トリガーとなるFindings
Snyk から ECR に保存されているイメージに対して脆弱性スキャンを実施し、どのような実行結果を取得できるのか確認したかったので試してみました。 Snyk と AWS の連携は IAM ロールを作成するだけで簡単でしたので主に Snyk 設定と、なにを確認できたのかを中心に紹介します。 画像引用: Configure integration for Amazon Elastic Container Registry (ECR) - Snyk User Docs Quick Start Deployment Guide をやってみる Snyk Containerの機能で ECR と統合してイメージの脆弱性スキャンを実施するまでやっていきます。 Snyk Developer-First Security on the AWS Cloudに沿って進めます。 以下の記事で Lambda の例が
Sonatypeは6月23日(米国時間)、「Python packages upload your AWS keys, env vars, secrets to the web」において、PyPI (Python Package Index)リポジトリからAWSのクレデンシャルを窃取する複数のPytonパッケージが発見されたと伝えた。見つかったPythonパッケージはさらに収集した情報をリモートエンドホストにエクスポートし、一般に公開していたという。 Python packages upload your AWS keys, env vars, secrets to the web Sonatypeの分析により、PyPIリポジトリに複数の悪意のあるPythonパッケージがあることが明らかとなった。PyPIはPythonユーザ向けのサードパーティソフトウェアリポジトリ。PyPIリポジトリより
AWS環境をセキュアにセットアップする方法と、その運用方法を詳細に紹介します。秘伝のタレである具体的な設定も書いてます。みんな真似していいよ! こんにちは、臼田です。 みなさん、安全にAWS使えていますか?(挨拶 今日は全てのAWSユーザーが安全にAWSを活用し、セキュアに運用できるようにナレッジを大量にダンプしたいと思います。 弊社サービスに関連させて書く部分もありますが、基本的にどのようなAWS環境でも適用できると思います。 ちょっと長い背景 クラスメソッドでは長いこと様々なAWSを利用するお客様を支援しています。私は特にセキュリティ周りについて支援させていただくことが多く、最近はAWSのセキュリティサービスが充実していることから、これらの初期導入や運用設計、あるいはインシデント対応やその後の組織としてのセキュリティ体制づくりなどいろんな関わり方をしてきました。 どのようにセキュリティ
Amazon Web Services ブログ [AWS Black Belt Online Seminar] コンテナセキュリティ入門 AWS Black Belt オンラインセミナー「コンテナセキュリティ入門 」を公開します。 コンテナアプリケーションを運用する上でのセキュリティについて、特定のAWSサービスには依存しない一般的な考え方を紹介するセミナーとなっています。コンテナのライフサイクルに沿って、セキュリティのポイントを複数回に分けて解説します。 視聴および資料閲覧は以下から可能です。 Part 1, コンテナイメージ作成: YouTube / SlideShare Part 2, サプライチェーン、オーケストレーター: YouTube / SlideShare Part 3, ホスト、ランタイムセキュリティ: YouTube / SlideShare このセッションでは、コンテ
[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで] というタイトルでDevelopersIO 2021 Decadeに登壇しました #devio2021 DevelopersIO 2021 Decadeで登壇した動画や資料を掲載、解説をしています。AWSのセキュリティについて網羅的に扱っています。ちょー長いのでご注意を。 こんにちは、臼田です。 みなさん、AWSのセキュリティ対策してますか?(挨拶 ついにやってまいりました、DevelopersIO 2021 Decade!私は「[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで]」というテーマで登壇しました。 動画と資料と解説をこのブログでやっていきます。 動画 資料 解説 動画はちょっぱやで喋っているので、解説は丁寧めにやっていきます。 タイトル付けの背景 今回何喋ろうかなーって思ってたら、2年前のDeve
「AWS環境のセキュリティが不安だ…」そんな方にはセキュリティチェック!AWSでは定量的にチェックすることができる機能があります。いくつかあるので長短などを説明しつつ私が思う最強のセキュリティチェックを伝授します! こんにちは、臼田です。 みなさん、AWS環境のセキュリティチェックしてますか?(挨拶 全国のAWSのセキュリティについて悩んでいるみなさまのために、今回は僕の考える最強のAWS環境セキュリティチェックについて情報をまとめ・伝授します。 初心者向けに、比較的AWSの経験が浅くても始めやすいように、かつ上級者が応用するために活用できる情報もぜんぶまとめていきます。 この記事は2020年の決定版となるでしょう!(それ いいすぎ。 ながーくなってしまったので最初は適宜飛ばして読むといいかもしれません。 AWS環境のセキュリティチェックの意義 AWS環境でセキュリティチェックをすることは
2019年11月17日、都内のアマゾン ウェブ サービス ジャパンのオフィスを会場に「とある診断員とSecurity-JAWS #01」が開催された。Security-JAWS初となる本ワークショップは、CTF形式でAWSのセキュリティを学ぶサイト「flaws.cloud」をベースに、演習と解説で1問ずつ解きながら進める内容。当日は100名以上が参加し、手を動かしながら問題に取り組んだ。 みんなでflaws.cloudに挑戦 flaws.cloudは、AWSセキュリティコンサルタントのスコット・パイパー(Scott Piper)氏が有志で作成した常設の問題集。内容は、AWSサービスで陥りがちな権限設定ミスやAWS固有の脆弱性など、6つの設問が用意されている。設問は「Level」と表現され、後半にいくほど難易度が上がる。基本的にはAWSセキュリティについて知ってもらうための学習用CTFなので
Amazon Web Services ブログ AWS セキュリティが IoT セキュリティのホワイトペーパー(日本語版)を公開しました IoT デバイスや IoT デバイスが生成するデータセキュリティについて、理解を深めて適切に対処していただけるように、AWS による IoT ( モノのインターネット) のセキュリティ保護ホワイトペーパーを発行しました。このホワイトペーパーの対象読者は、サービス固有レベルの AWS の IoT セキュリティ機能に関心があるすべてのお客様、およびコンプライアンス、セキュリティ、公共政策の専門家です。 IoT テクノロジーはデバイスと人を様々な方法でつなぎ、業種を超えて使用されるようになりました。たとえば、IoT を使用すれば、ある都市の建物群のサーモスタットをリモート管理したり、何百基もの風力タービンを効率的に制御したり、自動運転の車をさらに安全に利用でき
2019年7月29日、米金融大手 Capital Oneは不正アクセスにより1億人を超える個人情報が流出したと発表しました。WAFの設定ミスに起因して、Server Side Request Forgery(SSRF)攻撃を許したことにより情報を盗まれたと見られています。ここでは関連する情報をまとめます。 Capital Oneによる公式発表 Information on the Capital One Cyber Incident(米国向け) Information on the Capital One Cyber Incident(カナダ向け) Frequently Asked Questions (1)影響範囲 影響が及んだ人数の内訳は以下の通り。 米国 約1億人 カナダ 約600万人 発表時点でCapital Oneは流出した情報が外部へ出回ることや、詐欺への使用は確認していない。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く