東京海上日動とAWS、サイバー保険で協業--「Security Hub」のデータを利用
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 東京海上日動は5月7日、米Amazon Web Services(AWS)とサイバー保険で協業すると発表した。 この協業では、クラウド環境に特化したサイバーリスクの評価の高度化とサイバーリスク保険の提供を予定する。まずは提供の同意を得たAWSユーザーのデータを東京海上日動が分析し、クラウドに特化したサイバーリスク評価手法の研究と保険引受判断の高度化を行う。 次に、AWSのセキュリティ対策状況管理サービス「AWS Security Hub」のデータを使用したサイバーリスク保険の提供を開始する。一部のAWS Security Hubユーザー向けに提供し、2025年に任意の全ユーザーに提供する。従来の申告ベースのリスク評価だけでなく、AWSク
Azure Policyによるユーザー操作の制限管理方法<第2弾>
事前にAzure Policyによるユーザー操作の制限管理方法 <第1弾>を参照してください 1. Azure Policyでカスタムポリシーを作成して割り当てを行う手順 Azureポータルでカスタムポリシーを作成して割り当てを行う手順は、以下になります。 No 操作 画面
Azure Policyによるユーザー操作の制限管理方法<第1弾>
1. Azure Policyによるユーザー操作の制限管理方法 1.1. はじめに Microsoft Azureは頻繁にアップデートされ、新サービスや機能追加、あるいはサービスや機能の終了といったサイクルが行われているため、この設定手順は作成した時点で提供されているサービスや機能を使用した、最適と考えられるAzure ガバナンスサービスを検討した内容となっております。 1.2. Azure Policy操作手順概要 Azure Policy は、Azure 内のリソースのプロパティをビジネス ルールと比較して、それらのリソースを評価します。JSON 形式で記述されるこれらのビジネス ルールは、ポリシー定義と呼ばれます。 管理を容易にするために、複数のビジネス ルールをグループ化して、ポリシーイニシアチブ (policySet とも呼ばれます) を作成できます。 ビジネス ルールを作成する
AWS IAM PolicyのForAllValuesを勘違いしてた件 - LayerX エンジニアブログ
LayerX Fintech事業部(※)で、ガバナンス・コンプラエンジニアリングをしている 鈴木 (@ken5scal )です。 ※三井物産デジタル・アセットマネジメントに出向しています。 今回は、AWS IAMポリシーの条件における「ForAllValues」の仕様を誤って理解していたことから、安全でないアクセス制御を実装していたという内容です。もし同様の勘違いをされている方がいたら参考になれば幸いです。 ユースケース AWS IAMユーザーを、ロールの trust policy がユーザーのタグで制御するケースで考えます。 具体的には、「Group A あるいは Group B」に所属し、且つ「Admin」権限のあるユーザーのみが行使できる役割「AdminABRole」があるとしましょう。 この場合、Group と Admin のタグが存在し、下記のようなパターン(※)が考えられます。
最小権限の原則に一歩近づく - Entra ID の "Just-in-time application access with PIM for Groups" 機能の紹介 - LayerX エンジニアブログ
LayerX Fintech事業部(※)の piroshi です。 ※三井物産デジタル・アセットマネジメント (MDM)に出向しています。 沖縄からリモートワークで働いており、蒸し暑い日が続いています。クーラーをつけないと寝苦しくなってきました。 ところでみなさん、特権 (ちから) が欲しいですか?ここでの権限はシステム上の各種権限です。私は小心者で、大きすぎる力は持ちたくない派です。特権をもっていると「オレは今、セキュリティリスクの塊だ...」と気になってしまい、輪をかけて夜も眠れません。 さて、Microsoft の IdP サービスである Entra ID には Privileged Identity Management (PIM) という特権管理機能があります。PIM により「必要最低限の権限」を「必要な期間」に限定して付与することが可能です。ユーザは特権へのエスカレーションを自
AWS Security Hubの導入からうまく運用を回すまでのTips / 開発者向けブログ・イベント | GMO Developers
こんにちは、GMOインターネットグループ株式会社 システム統括本部 ホスティング・クラウド開発部 アプリケーション共通チーム(技術推進チーム/AWS運用チーム)の井本です。 弊社では、AWS環境におけるセキュリティ強化の取り組みを随時実施しております。今回は、直近で実施したセキュリティ統制の取り組みである「AWS Security Hubの導入」について、ご紹介させていただきます。 はじめに みなさんは、Security HubやGuardDuty, Trusted Advisorなどを導入したものの、「各チームにご対応いただけない」、「通知が来すぎてしまう」など、うまく運用を回すことができないという状況に直面したことはないでしょうか? 今回は、Security Hubの横断導入に際して、得られた知見をご共有させていただき、ぜひみなさんが導入・運用改善される際の参考にしていただければと思い
滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。 考えていると結局のところ、サービス提供側が意図していることとは全然違うことが起きている気がするので、この辺はしっかり考えて実装したいところですね。(実装ミスは問題外として) カテゴリ滅びてほしいもの実装側がやりたいこと利用者が感じること実際に起きていること代替手法認証CAPTCHAbot避けぐにゃぐにゃ文字が読めない バイクと自転車の違いとは?ユーザの離脱、カゴ落ちパスキーの利用 新しいタイプのCAPTCHA(通常は画面に出ない) リスクベース認証との組み合わせによる抑制認証パスワード誰でも使える認証手段の用意忘れる。複雑なパスワードをそれぞれのサービス毎に管理するのは無理パスワードの使い回し。パスワード
Ultimate guide to secrets in Lambda
Securing your API Keys, database passwords, or SSH keys for Lambda Functions is tricky. This post compares Systems Manager, Secrets Manager, Key Management Service, and environment variables for handling your secrets in Lambda. We'll cover costs, features, performance, and more. Then we'll lay out a framework for considering the risk of your particular secret, so that you know what's best for your
XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog
2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh
ログ一元管理の本質とSIEMの限界 - データ基盤への道 - LayerX エンジニアブログ
三井物産デジタル・アセットマネジメントで、ガバナンス・コンプラエンジニアリングをしている 鈴木 (@ken5scal )です。 いきなりですが、ログ管理はどの職種どの場面でも重要です。セキュリティにおいても、古生代よりサーバー、ネットワーク機器、アプリケーションなどから出力されるログを一元的に収集し、監視や分析を行うことで、セキュリティインシデントの早期発見や対応、コンプライアンス要件の達成が可能になります。 このようなログ一元管理を実現する代表的なソリューションは、そう、皆様よくご存知のSIEM。我らが「Security Information and Event Management」であります。 私はSIEMを、新卒で入社した大手企業でSOC(Security Operation Center)として触れ、その後ユーザー企業でもOSSやAWS GuardDuty(?)などの形で利用す
NISTのセキュリティーフレームワークが大幅改訂、「統治」の重要性を強調
米国立標準技術研究所(NIST)は、企業や団体のサイバーセキュリティー対策に関するフレームワーク「サイバーセキュリティーフレームワーク 2.0(CSF 2.0)」を公開した。初版のCSF 1.0は、2013年2月に米国のオバマ大統領(当時)が発出した大統領令を受け、NISTが2014年に公開した。CSF 2.0は初めてのメジャーバージョンアップになる。 CSFをはじめとしたNISTが公開するサイバーセキュリティー対策に関する文書は、米国企業だけではなく日本では防衛省が調達要件策定の参考にしている。CSF 2.0になってどこが変わったのかを解説しよう。 全ての業界が対象に 2024年2月末に公開されたCSF 2.0の変更点は大きく3つある。まず、対象とする業界が変わったことだ。CSF 1.1までは、米国にとって必要不可欠なシステムや資産である「重要インフラ」に関わる業界を対象としていた。これ
充電式バイブレータからマルウェア検出、USB充電デバイスに注意
Malwarebytesは2月21日(米国時間)、「Vibrator virus steals your personal information|Malwarebytes」において、充電式バイブレータからマルウェアを検出したと伝えた。このバイブレータはUSB接続で充電するデバイスだが、コンピュータから充電しようとするとマルウェアの感染を試みるという。 Vibrator virus steals your personal information|Malwarebytes 情報窃取マルウェア「Lumma Stealer」の正体 Malwarebytesによると、この問題は、Malwarebytes Premiunの顧客が購入したデバイスを充電するためにコンピュータのUSBポートにデバイスを接続した際、感染をブロックしたとするセキュリティ通知が表示されたことで発覚したという。被害を免れたユー
パスキーの概要とKeycloakでの動作確認 - Qiita
なお、上記は2023年12月時点でのFIDOアラインスの定義に基づきます。これらの用語はこれまで定義が変化してきたり、FIDOアライアンスの定義が業界のコンセンサスを得ていないケースで意味の揺れがあったりすることもありました。 同期するもののみを指すケース パスキーはFIDOアライアンスの発表では、「マルチデバイスFIDOクレデンシャル」の通称という扱いでした34。つまり、当初はクラウド同期して複数デバイスで使えるもののみがパスキーでした。しかし、パスキーの勢いを見てか分かりませんが、セキュリティキーベンダーが自分たちもパスキーだと主張し始めました5。その後FIDOアライアンスもSingle-device passkey(現: デバイスバウンドパスキー)を定義し、同期しない従来のFIDOクレデンシャルもパスキーとなりました6。 認証方式を指すケース パスキーは「FIDOクレデンシャル」です
NewRelicでCSPM (Cloud Security Posture Management) - Qiita
AWSだけで実装する場合の問題点 AWSにもSecurityHubを使うことで発見的統制や予防的統制を管理することができますが、大量アラートが発生することも多いことが実情です。また、セキュリティイベントという性質上、かんたんに無視できず運用負荷になりがちです。 【問題点】 アラートチューニングに適していない ログ検索のプラットフォームとの連動に作り込みが必要で、日々のセキュリティイベントの件数の分析などが難しく、件数を減らすためのチューニングが困難です。 独自ルールの設定ができない AWSのベストプラクティスに則ったルールが適用されますが、社内のルールなど独自ルールを導入しずらく、統制の観点で要求レベルを満たさない場合があります。 アカウントを横断して管理しにくい このような監査基盤はCCoEなど全社横断の組織が管理することが多く、マルチアカウントの管理が必要となります。 NewRelic
TerraformにおけるOPAのユースケース - Qiita
はじめに この記事はCyberAgent Group SRE Advent Calendar 2023の18日目の記事です。 Open Policy Agent(OPA)は、JSONやYAMLベースのInfrastructure as Code(IaC)管理において、近年広く用いられるようになっています。特に、Kubernetesのマニフェストに対するOPAとGateKeeperの導入が標準化されつつあります。一方で、Terraformのような、複雑なクラウドインフラの記述に長けたツールとの統合は、まだ挑戦的であり、実際の連携例は少ない状況です。Terraform CloudやStyraとの組み合わせでの利用事例は存在しますが、純粋なTerraform環境(例えば、バックエンドがS3の場合)でのOPAの活用は、まだそれほど多くはありません。この記事では、Terraform環境でのOPAのユ
Defender for Storage を用いたクラウドストレージ保護 - Qiita
この度、Advent Calender 2023 19日目に参加させていただくことになりました! 今回は、Azure を利用してくださっている方々にぴったりな ”Defender for Storage” を用いたクラウドストレージ保護について取り扱います。 セキュリティ初学者 & Qiita 初心者ですが、読んでいただけると嬉しいです! はじめに 昨今、様々なリソースがオンプレミス環境からクラウド環境に移行されている中で、クラウドデータリソースが攻撃の標的となるケースが増加しています。 そして、データ漏洩の主な原因は、リソースに対しての人的な構成ミスです。 また、データ漏洩によるコストは年々増加しているため、クラウドストレージにおけるセキュリティは非常に重要です。 Defener for Storage の最大の利点 これだけは伝えたいので冒頭に・・・ Defender for Stor
Microsoft、Windows 11に「sudo」コマンドの追加を準備中か
Windows Latestの2024年2月1日の記事「First look: Windows 11 is getting native macOS or Linux-like Sudo command」によると、MicrosoftがWindows 11にネイティブの「sudo」コマンドの追加を準備しているようだ。誤って一時的にWindows Updateサーバーに公開されたWindows Serverのプレビュービルドから明らかになったという。 sudoコマンドとは sudoコマンドは、指定したコマンドを管理者権限で実行するためのもの。sudoコマンドを使用すれば、システムの更新やシステムファイルの編集、システム設定の変更など、管理者権限が必要となる操作を、管理者ユーザーに切り替えることなく実行できる。LinuxやmacOSなどのUNIXベースのOSを使っているユーザーにはなじみのあるコ
「GuardDutyの深淵を覗いて、君もGuardDutyマスターになろう!」というタイトルでDevelopersIO 2023に登壇しました #DevIO2023 | DevelopersIO
こんにちは、臼田です。 みなさん、GuardDutyと戯れてますか?(挨拶 今回は弊社年1の一大イベントであるDevelopersIO 2023で登壇した内容の共有です。 スライド 解説 大前提 今回のセッションの概要は以下のとおりです。 GuardDutyの深淵を覗いて、君もGuardDutyマスターになろう! クラスメソッドではAmazon GuardDutyを利用したセキュアアカウント インシデント自動調査機能を提供しています。日頃からGuardDutyを嗜んでいる立場から、みなさんに普段知る必要がないくらい深いGuardDutyの情報を提供します。念の為最新のGuardDutyのアップデートも織り交ぜつつ、みなさんがGuardDutyマスターになるために、GuardDutyの検知内容(Findings)のフォーマットがどの様になっているのかディープダイブして解説します。 というわけ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
New Relic Launches Secure Developer Alliance to Scale Security Observability
Trusted Signing(元Azure Code Signing)がPublic Preview