オペレーション部 江口です。 以前から気になっていた「ゼロトラストネットワーク」の翻訳版がオライリーから発売されました。 https://www.oreilly.co.jp/books/9784873118888/ 早速読んでみたのでレビューしてみたいと思います。 書籍の概要 最近新しいセキュリティの考え方として注目されている「ゼロトラストネットワーク」について取りあげた書籍です。 ゼロトラストネットワークの概念、どのように構成するか、認証をどうするべきかなどを解説し、またGoogleやPagerDutyでの実際のシステムの事例などを紹介しています。 目次 1章 ゼロトラストの基礎 2章 信頼と信用の管理 3章 ネットワークエージェント 4章 認可の判断 5章 デバイスの信頼と信用 6章 ユーザーの信頼と信用 7章 アプリケーションの信頼と信用 8章 トラフィックの信頼と信用 9章 ゼロト
切り替える理由 自社の主力製品で利用している技術(WebRTC / WebTransport)がブラウザベースのため TypeScript を利用する Go を採用したのは sqlc が使いたかったという理由 sqlc-gen-typescript が出てきたのでもう Go を使う理由がなくなった 自社サービスチーム全員が Go にまったく興味が無い sqlc 自体は便利 そもそも自社に Go への興味がある人がいない 自社サービスの規模ではボトルネックになるのはデータベースであって言語ではない もしアプリでスケールが必要なときは Rust や Erlang/OTP に切り替えれば良い コネクションプールは PgBouncer を利用すればいい TypeScript からは 1 コネクション 1 接続で問題無い どうせフロントエンドでは TypeScript を書く 自社では React
はじめに 弊社では、最近BEC(ビジネスメール詐欺)のインシデント対応を行いました。この事案に対応する中で、マイクロソフト社(*1)やZscaler社(*2)が22年7月に相次いで報告したBECに繋がる大規模なフィッシングキャンペーンに該当していた可能性に気づきました。マイクロソフトによると標的は10,000 以上の組織であるということから、皆様の組織でもキャンペーンの標的となっている可能性や、タイトルの通りMFA(多要素認証)を実施していたとしても、不正にログインされる可能性もあり、注意喚起の意味を込めてキャンペーンに関する情報、および実際に弊社での調査について公開可能な部分を記載しています。 *1: https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm
※本記事は、技術評論社「Software Design」(2024年1月号)に寄稿した連載記事「Google Cloudを軸に実践するSREプラクティス」からの転載1です。発行元からの許可を得て掲載しております。 はじめに 前回はDatadogによるクラウド横断のモニタリング基盤について解説しました。 今回はCloudflareとは何か、なぜ使っているのか、各サービスとポイント、キャディでの活用例を紹介します。 ▼図1 CADDiスタックにおける今回の位置付け Cloudflare とは 本記事では、Cloudflare社が提供しているプラットフォーム全体を「Cloudflare」とします。 Cloudflareは、ひと昔前までは数あるシンプルなCDN(Contents Delivery Network)サービスの1つでした。CDNとは、コンテンツの配信を最適化するためのネットワークです。
【Team & Project】LINEのInfrastructure Securityに関わる業務を担当しているチームを紹介します
LINE株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。 LINEヤフー Tech Blog LINEの開発組織のそれぞれの部門やプロジェクトについて、その役割や体制、技術スタック、今後の課題やロードマップなどを具体的に紹介していく「Team & Project」シリーズ。今回は、LINEのInfrastructure Securityに関わる業務を担当しているInfra Protectionチームを紹介します。 Infra ProtectionチームのLee Jihoon、Jun Seungnam、Choi Wontae、Vestin Simonに話を聞きました。 Infra Protectionチームのzoom会議の様子 ――まず、自己紹介をお願いします。 Jihoon:LINEのSecurity CenterでI
ゼロトラストを社内インフラに実装する手順
最新版はこちら「ゼロトラスト実装手順2023」 https://youtu.be/7Kjp7RffdbQ ゼロトラストへの道のりは、これまでやってきたことと変わらない ブログでもいろいろと書いておりますのでご覧ください。 https://blog.animereview.jp/zerotrust_may_be_a_fiction/ twitch配信: https://www.twitch.tv/cloudnativeinc ↑ コメントで質問ができます、要チェック! _____________________________________________________________________ [代表シンジ] ・ロードバランスすだちくん ブログ:https://blog.animereview.jp/ ・Twitter:https://twitter.com/sudachik
シンジです。ゼロトラストがマーケ用語に成り上がって久しいですが、とは言えなぜこの状況下であっちこっちでゼロトラストだとうるさいのか、かくいう俺もゼロトラスト警察とか言われるくらい叫んでおるわけで、それほどまでゼロトラストというのは現代的な考え方で、理想的で、非現実的な側面を持っています。 にわかゼロトラストの見分け方 マーケ用語と言われる所以は、ITベンダーが自社製品販売の為にゼロトラストという単語を使っていることが増えたからです。事例記事でゼロトラストを語っているものは、よく見ればベンダーの公告記事だということも分かります。ゼロトラストが盛り上がるのは大変良いことだと思いますが、まるで結論が出て運用していてうまくやってる風に見せている点が、実態と差があってよくないなぁと思うところです。 逆に何がまともなゼロトラスト記事だなと思うかと言えば、ゼロトラストへの結論はさておき、組織的に現代的な
この記事以外にもいくつかCloudflareのゼロトラストについての記事を書いています。今回はその第一弾として、Cloudflareのゼロトラストネットワークの概要について書きます。 「Cloudflare Zero Trust」 で組織のゼロトラストネットワークを構成する Cloudflare Zero Trust の基本的なセットアップ手順 Cloudflare Zero Trust クライアント側のセットアップ手順 Cloudflare Zero Trust 経由でAWS上のEC2(グローバルIPアドレス無し)にSSHでログインする 2023年11月27日 追記 PayPayやInstagramなど、一部サービスのスマートフォンアプリが使えない問題の解決策を追記しました。 背景 2020年、新型コロナウイルスが蔓延しだしてから、「ゼロトラスト」という言葉をよく聞くようになりました。
こんにちは。富士通クラウドテクノロジーズの鮫島です。 今回は、ニフクラ エンジニアミートアップの話ではなく、2020年代注目のキーワードといえるセキュリティの概念「ゼロトラストネットワーク(ZTN)」について説明します。 ※2021年1月若干加筆済 昨今のIT環境は、巧妙化するサイバー攻撃や内部不正など、内外からさまざまな脅威にさらされているのはご存知と思います。そういった脅威に対して、ファイアウォールやVPNといった境界防御型のセキュリティだけではIT環境を必ずしも守れなくなった現状を踏まえ、外部・内部問わずすべてのトラフィックを信頼しない「性悪説」を前提として、都度認証することで脅威を防ぐというセキュリティの概念が「ゼロトラストネットワーク(ZTN)」です。 ゼロトラストネットワークをざっくり解説 性悪説だけど許すセキュリティ 境界型防御の弱点とは ゼロトラストネットワークのメリットと
Date Published: September 2019 Comments Due: November 22, 2019 (public comment period is CLOSED) Email Questions to: zerotrust-arch@nist.gov Author(s) Scott Rose (NIST), Oliver Borchert (NIST), Stu Mitchell (Stu2Labs), Sean Connelly (DHS) Announcement This draft publication discusses the core logical components that make up a zero trust architecture (ZTA) network strategy. Zero trust refers to an
DX推進 最初の一歩は、 VPN不要のゼロトラストセキュリティ with Mamoru PUSH テレワークやリモートワークの急速な普及により、環境の変化が起こっている。 テレワークやリモートワークの急速な普及により、今までのVPNやFWなどを使って企業ネットワーク内だけを守るという前提から、あらゆる場所からアクセスを可能としてあらゆる場所に分散された資産を 守るゼロトラストセキュリティを前提とした環境づくりが必要となってきた。 また、昨今では多くの企業でSSL VPNを利用しながらも情報漏洩が起きる事件が表面化している。 その解決策としてゼロトラストを前提とした対策が必要といわれているが、多くのゼロトラストセキュリティソリューションはSaaSを利用することを前提としており、企業内ネットワーク内のアプリへリモートアクセスするためのソリューションとしては不向きである。 その対策ができるのがゼ
Cloudflare Zero Trust導入でよくあるネットワーク課題はどのように改善するのかまとめてみました。 | DevelopersIO
Cloudflare Zero Trust導入でよくあるネットワーク課題はどのように改善するのかまとめてみました。 どうもさいちゃんです。本ブログはクラスメソッド DevOps・セキュリティ Advent Calendar 2023の5日目の記事です。今回はよくあるネットワーク課題がCloudflare Zero Trustを使うことでどのように改善するのかについてご紹介します! Cloudflare Zero Trustに関しての記事では、各機能にフォーカスを当てたものが多くありました。しかし、実際に導入を考える際には「その機能を使えば本当に現状のネットワーク課題が解決するの?」という疑問を持つ方も多いのではないでしょうか? そこで今回は、Cloudflare Zero Trustの様々な機能を使うと現状のネットワーク課題がどのように改善されるのかについてをご紹介していきます。 インター
ネットワークセキュリティの新しいアプローチとして「ゼロトラスト」が昨今よく語られています。「これまでの境界セキュリティモデルからの新しい考え方らしい」、「何やら特定の技術を指しているものではないらしい」、「実装には個別に開発されたソフトウェアが必要らしい」、「製品ベンダーの話を聞いても説明の内容が統一されていないような?」、など ゼロトラストは難しく、的を得ないと感じている方も多いのではないでしょうか? ゼロトラストの定義としてNIST (National Institute of Standards and Technology, NIST, アメリカ国立標準技術研究所) より「SP 800-207: Zero Trust Architecture (ZTA)」がリリースされています。2019/9/23に Draft1 (Withdrawn Draft) がリリース、2020/2/13に
●イベント概要 「ゼロトラスト超入門」の著者、岡村慎太郎さんによるゼロトラスト勉強会を開催します! ゼロトラストとは? ゼロトラストとは、組織境界の内外の存在を常に「信頼してはならない」という前提に立って、情報セキュリティの方針と実装を規定する考え方です。 「ゼロトラスト超入門」とは 近年、企業のビジネス上の様々なアプリケーションは、それ自体も、それを利用する側もロケーションが多様化しています。かつてのように「社外」「社内」といったゾーンを設けて、境界によってセキュリティを形成することは、もはや意味がありません。ゼロトラストはロケーションに依らず、常にアクセスをチェックし、動的なポリシーによってアクセスコントロールを行います。本書はそんなクラウド時代のセキュリティ戦略の基礎と、GoogleのBeyondCorp®におけるゼロトラストの実践を解説した一冊です。 ●自己紹介 ・スタディスト ・
NIST Special Publication 800-207 䝊䝻䝖䝷䝇䝖䞉䜰䞊䜻䝔䜽䝏䝱 Scott Rose Oliver Borchert Stu Mitchell Sean Connelly ᮏ᭩䛿䚸௨ୗ䜘䜚↓ᩱ䛷⏝ྍ⬟䛷䛒䜛䠖 https://doi.org/10.6028/NIST.SP.800-207 C O M P U T E R S E C U R I T Y 㑥ヂ䠖PwC䝁䞁䝃䝹䝔䜱䞁䜾ྜྠ♫ ᮏᩥ᭩䛿䚸ཎ䛻ἢ䛳䛶䛷䛝䜛䛰䛡ᛅᐇ䛻⩻ヂ䛩䜛䜘䛖ດ䜑䛶䛔䜎䛩䛜䚸ᛶ䚸 ṇ☜ᛶ䜢ಖド䛩䜛䜒䛾䛷䛿 䛒䜚䜎䛫䜣䚹 ⩻ヂ┘ಟయ䛿䚸ᮏᩥ᭩䛻グ㍕䛥䜜䛶䛔䜛ሗ䜘䜚⏕䛨䜛ᦆኻ䜎䛯䛿ᦆᐖ䛻ᑐ䛧䛶䚸䛔䛛䛺䜛ே ≀䛒䜛䛔䛿ᅋయ䛻䛴䛔䛶䜒㈐௵䜢㈇䛖䜒䛾䛷䛿䛒䜚䜎䛫䜣䚹 NIST Special Publication 800-207 䝊䝻䝖䝷䝇䝖䞉䜰䞊䜻䝔䜽䝏䝱 Scott Ros
ゼロトラストを分類する3つの観点 前回は、従来の境界防御モデルがセキュリティ対策として難しいことと、ゼロトラストが注目される理由について説明しました。そこで、今回はゼロトラストの概要とその特徴について解説します。 本連載では、これまでにロトラストが提唱されている背景や、ゼロトラストの概要について紹介してきました。今回は、ゼロトラストにおけるソリューションについて説明したいと思います。 SDPをもとにした箱入り娘システムの接続シークエンス まず、ここでは大まかな分類として、リソース(情報資産やシステム)、ネットワーク、そして、エンドポイント(PCやスマートフォン等の端末を指します)の3つの観点で分け、ポイントを絞って考えていきたいと思います。 大まかな対策の分類 分類1:リソース(情報資産やシステム) ゼロトラストの原則では、誰かが組織のリソースにアクセスするたびに、認証・認可が求められるこ
前回より、ゼロトラストにおけるリソース(資産や情報システム)および、リソースに対するネットワークセキュリティに関するソリューションについて説明しました。今回は、ネットワークセキュリティの続きとなり、分類2と3について説明します。 セキュリティログの監視 分類2:ネットワーク ここでは、ネットワークに関するセキュリティ対策である、SWG(Secure Web Gateway)や、CASB(キャスビー、Cloud Access Security Broker)について、解説した後、エンドポイントで利用されるソリューション、そして、ログ分析について解説します。 どこからでも安全につなげるように:SWG まず、SWGです。SWGは、クラウド上でWeb通信の検査を行うもの(Webプロキシ)で、多くの機能が含まれていますが、代表的機能としては特定の Webサイトへのアクセスを制御するURLフィルタリン
NIST Special Publication 800-207 Zero Trust Architecture Scott Rose Oliver Borchert Stu Mitchell Sean Connelly This publication is available free of charge from: https://doi.org/10.6028/NIST.SP.800-207 C O M P U T E R S E C U R I T Y NIST Special Publication 800-207 Zero Trust Architecture Scott Rose Oliver Borchert Advanced Network Technologies Division Information Technology Laboratory Stu Mitch
背景 この記事以外にもいくつかCloudflareのゼロトラストについての記事を書いています。今回はそのうちのクライアントセットアップについて書きます。 「Cloudflare Zero Trust」 で組織のゼロトラストネットワークを構成する Cloudflare Zero Trust の基本的なセットアップ手順 Cloudflare Zero Trust クライアント側のセットアップ手順 Cloudflare Zero Trust 経由でAWS上のEC2(グローバルIPアドレス無し)にSSHでログインする 社内外を問わず、どこからインターネットにアクセスしてもトラフィックやDNSクエリに基づいて、ウイルススキャンやアクセスブロックをしてくれて、社内や自宅からクラウド上の自社サーバーに安全にアクセスできるサービスを50人まで無料で提供してくれるのは凄くありがたいです。 ただ、Cloudf
従来の境界型セキュリティに代わる対策として注目されるゼロトラストセキュリティ。 DX推進が進む中、グローバル化、M&A、組織の統廃合においても必要となるアカウントの統合管理やセキュリティレベルの均一化を迅速に実現し、ビジネスの強化に必須と言える安心・安全なセキュリティ基盤を構築します。 また、デジタルトランスフォーメーション(DX)をはじめとするプラットフォームやビジネスモデルの変革にも迅速かつ柔軟に対応し、ビジネスの強化に必須と言える安心・安全なセキュリティ基盤を構築します。 こんな課題に セキュリティ対策もデジタルトランスフォーメーション(DX)を始めとする、プラットフォームやビジネスモデルの変革に対応したい いつでも、どこでも、どんなデバイスからでもセキュアに業務ができるようにしたいが、境界型セキュリティに限界がある グローバル化やM&A、組織の統廃合が発生した場合にも迅速に柔軟にセ
Cloudflare ZeroTrust AceessでWEBサイトにメールOTP認証を実装した時のメモ - Qiita
概要 webサイトにメールでのOTP認証を手軽に実装できるというCloudflare Zero TrustのAccessが面白そうだったのでお試しした時のメモ。 実現したかった事 公開領域にあるWEBサイトにアクセス制限を設けたい。 テストサイトを特定の人にだけ見せたいとかそういう需要でよくあるやつ。 でもアクセス元IPアドレスの管理やBASIC認証のIDとパスワードを作って渡してとか個別の管理...とかはやりたく無い。 アクセス許可したいユーザのメールアドレスだけでサクッとなんとかしたい。 アクセスのたびに変わるOTP使って認証したい。 でも複雑な仕組みは管理したく無い。幸せになりたい。楽して生きていたい。 とりあえず無料でできる範囲でやりたい 事前に用意が必要なもの Cloudflareアカウント(無料プランで検証は可能) 自分で管理操作可能な独自ドメイン(サブドメイン不可) 独自ドメ
背景 この記事以外にもいくつかCloudflareのゼロトラストについての記事を書いています。今回はその第2弾として、Cloudflareのゼロトラストネットワークを構築する手順について書きます。 「Cloudflare Zero Trust」 で組織のゼロトラストネットワークを構成する Cloudflare Zero Trust の基本的なセットアップ手順 Cloudflare Zero Trust クライアント側のセットアップ手順 Cloudflare Zero Trust 経由でAWS上のEC2(グローバルIPアドレス無し)にSSHでログインする 社内外を問わず、どこからインターネットにアクセスしてもトラフィックやDNSクエリに基づいて、ウイルススキャンやアクセスブロックをしてくれて、社内や自宅からクラウド上の自社サーバーに安全にアクセスできるサービスを50人まで無料で提供してくれる
ゼロトラストとは、エンドポイントとサーバ間の通信を暗号化するとともに、すべてのユーザーやデバイス、接続元のロケーションを“信頼できない”ものとして捉え、重要な情報資産やシステムへのアクセス時にはその正当性や安全性を検証することで、マルウェアの感染や情報資産への脅威を防ぐ新しいセキュリティの考え方です。 従来の境界型防御は「Trust But Verify(信ぜよ、されど確認せよ)」というのが前提でしたが、ゼロトラストは「Verify and Never Trust(決して信頼せず必ず確認せよ)」を前提としています。つまり、ネットワークの内部と外部を区別することなく、守るべき情報資産やシステムにアクセスするものは全て信用せずに検証することで、脅威を防ぐという考え方です。 近年、内部からの情報漏洩が多発し、クラウドサービスの利用拡大に伴うセキュリティリスクの増大を危惧する声も高まっています。そ
MF KESSAIがWork From Homeでも生産性と安全性を向上させる為に考えてきたゼロトラストについて一部紹介 | Money Forward Kessai TECH BLOG
MF KESSAIでは「マネーフォワードグループ、新型コロナウイルスの感染拡大防止に向け在宅勤務を実施」のタイミングから全従業員がWork From Homeを実施しています。 しかし弊社では創業時からWFHでも安全に安心して行える環境、そして組織体制を構築してきました。 そのおかげか今回の新型コロナウイルス(COVID-19)への対応として原則在宅勤務となった際にも、大きく生産性を下げる事なく実施する事に繋がりました。 全従業員がWFHの状態でも生産性を高め続けるためには、コミュニケーション、ハンコ、作業環境など様々な課題が存在すると思います。今回は仕事で一番利用するエンドポイント(端末)とアカウント管理基盤、そして情報管理として利用しているG Suiteに関してご紹介したいと思います。 考え MF KESSAIでは、創業初期からZero Trustという概念に関して考えてきました。 ま
はじめに パスワード認証に依存したセキュリティ対策の弱点が浮き彫りになる中、FIDO2(ファイドツー)が注目を集めています。 このブログでは、FIDO2がなぜ注目されているのか、どういったものであるか、そして企業で使うにはどの様なアプローチがあるのかについて解説していきます。 目次 パスワード認証における問題点について FIDO(FIDO2)って何? 企業で実現するパスワードレス(FIDO)認証 まとめ パスワード認証における問題点について パスワード認証は、ネットバンクやショッピングサイト、クラウドサービスなど、本人特定が必要なシーンにおいて古くから採用され、現在も使われています。 しかし、パスワード認証には不正サイトでだますこと(フィッシング詐欺)による漏洩、ブルートフォース(パスワードの総当たり)攻撃による不正突破など、常に不正ログインの危険性を孕んでいます。 また、サービス側で流出
Kryptonのスマホアプリの配布が終了してしまいました・・・事実上この仕組みの利用はできなくなっていくでしょう。残念です。 SSH/U2F認証をスマホで代行する「Krypton」というツールが便利でとても気に入っています。その使い方と良さをご紹介します! 以前は「Kryptonite」という名前でSSH認証の代行の仕組みだけをサポートしていましたが、現在は「Krypton」という名称でU2F認証の代行をメインにおいているようです。 オープンソースでZeroTrustインフラにおいてセキュアを保つ仕掛けがウリで、一昨年Akamaiに吸収されました。 機能 一般ユーザー向け U2F認証代行 開発者向け SSH公開鍵認証代行 Gitのコミット署名代行 いずれも、「秘密鍵で署名をする機能」の応用です。 概念的にはU2Fドングル内にあるセキュアチップと呼ばれる「耐タンパー性の秘密鍵保持・署名ハード
2019年辺りから、「ゼロトラスト」というキーワードをITセキュリティの分野でよく耳にするようになりました。 ゼロトラストとは、Forrester Research社が2010年に提唱した考え方で、“社内(ネットワーク内)は安全である”という前提に、境界を守るやり方では守れなくなった現状を踏まえ、「すべてのトラフィックを信頼しないことを前提とし、検査、ログ取得を行う」という【性悪説】のアプローチです。 ゼロトラストが注目される背景 今まではファイアウォールやIPS/IDSなどでネットワークの境界を監視するというセキュリティが主流でした。しかし、昨今は境界を監視するセキュリティ対策では不十分であるとされ、「ゼロトラスト」という考え方が注目されるようになったのです。その背景としては以下が挙げられます。 (1)企業のクラウドサービス利用が増加 総務省の調査(*1)によると、企業におけるクラウドサ
EXECUTIVE OFFICE OF THE PRESIDENT OFFICE OF MANAGEMENT AND BUDGET WASHINGTON, D.C. 20503 January 26, 2022 M-22-09 MEMORANDUM FOR THE HEADS OF EXECUTIVE DEPARTMENTS AND AGENCIES FROM: Shalanda D. Young Acting Director SUBJECT: Moving the U.S. Government Toward Zero Trust Cybersecurity Principles This memorandum sets forth a Federal zero trust architecture (ZTA) strategy, requiring agencies to meet
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【書評】ゼロトラストネットワーク | DevelopersIO
自社サービスのバックエンドを Go から TypeScript へ切り替えるための整理
MFA(多要素認証)を突破するフィッシング攻撃の調査 | セキュリティ研究センターブログ
第10回:Cloudflareの紹介と運用のポイント - CADDi Tech Blog
ゼロトラストを実装する | ロードバランスすだちくん
「Cloudflare Zero Trust」 で組織のゼロトラストネットワークを構成する
2020年に流行るらしいゼロトラストネットワークって何? - ニフクラ ブログ
SP 800-207, Zero Trust Architecture | CSRC
DX推進 最初の一歩は、VPN不要のゼロトラストセキュリティ with Mamoru PUSH
ゼロトラスト考察 – NIST SP 800-207 (Draft2)
2020-05-19 ゼロトラストをゼロから学ぶ #DevLOVE|諏訪真一
NIST Special Publication 800-207 ゼロトラスト・アーキテクチャ
ゼロトラストで求められるソリューション - 前編 - なぜ、いまゼロトラストなのか(3)
ゼロトラストで求められるソリューション - 後編 - なぜ、いまゼロトラストなのか(4)
NIST Special Publication 800-207 Zero Trust Architecture
Cloudflare Zero Trust クライアント側のセットアップ手順
https://www.fsa.go.jp/common/about/research/20210630/zerotrust.pdf
DX時代のビジネスを支える|ゼロトラストセキュリティソリューション
Cloudflare Zero Trust の基本的なセットアップ手順
ゼロトラスト・セキュリティとは?|情報セキュリティのNRIセキュア
『FIDO2』を企業で採用する際の最適解とは? | MNB(マクニカネットワークスブログ)
Go製になってWindowsでも使えるようになったKryptonの紹介
ゼロトラストとは?~ゼロトラストネットワークを実現するために~ | クラウドセキュリティ情報局
M-22-09 Federal Zero Trust Strategy