[B! *security] [3ページ] sh19910711のブックマーク

CODE BLUE 2023 発表紹介 - FFRIエンジニアブログ

はじめに基礎技術研究部リサーチ・エンジニアの加藤です。 2023 年11月 8, 9 日の2日間に亘って開催された CODE BLUE2023 に参加しました。本記事では、私が聴講した講演の中から特に興味を惹かれた﹁シンボリック実行とテイント解析による WDM ドライバーの脆弱性ハンティングの強化﹂を紹介します。この講演は発表者の Zeze Lin 氏によってスライドが公開されているため、そちらもご参照ください。この発表で扱われたツールは "IOCTLance" と呼ばれ、検証に使われたドライバーのデータセットなどと共にソースコードが GitHub で公開されています。本記事ではこのリポジトリからソースコードを参照し、動作や特徴をコードベースで解説します。なお、ソースコードは本稿執筆時点における最新コミット (73e6e32)を参照しています。今後このリポジトリにおいて変

sh19910711 2024/05/09

"angr: Python 製のシンボリック実行フレームワーク / シンボリック実行: 変数をシンボルとして扱って実行 + 演算や操作を元にしてプログラムを解析 + CPU 上で実際に実行するのではなくエミュレーションを行う"

リンク

[プレビュー] Bedrock コンソールに近い機能を組織のユーザーへ提供する Amazon Bedrock Studio がプレビューで登場したのでセットアップして使ってみた | DevelopersIO

[プレビュー] Bedrock コンソールに近い機能を組織のユーザーへ提供する Amazon Bedrock Studio がプレビューで登場したのでセットアップして使ってみたいわさです。今朝のアップデートで Amazon Bedrock Studio というものがプレビューリリースされました。 Amazon Bedrock Studio は、組織ユーザーに Bedrock のプレイグラウンドや、ナレッジベースやエージェントなどのコンポーネントを使って Bedrock アプリケーションのプロトタイプを作成し、評価したり組織内のユーザーへ共有出来るアプリケーションです。要は、Amazon Bedrock コンソールの一部機能を IAM Identity Center ユーザー向けに、専用の Web アプリケーション（IAM Identity Center アプリケーション）として提供し

sh19910711 2024/05/09

"Bedrock: コンソールの一部機能を IAM Identity Center ユーザー向けに、IAM Identity Center アプリケーションとして提供 / 実態は Amazon DataZone + Bedrock Studio にロールを与えるのですが、DataZoneを信頼する必要"

リンク

Slack経由でRAGにコードレビューを依頼するBotを作成〜 AWS SAM編 - Qiita

はじめに前回の記事では、リーダブルコードの原則に従ったコードレビューを自動化できないものか・・と考えた結果、﹃RAGにリーダブルコードの原則を取り込ませてコードレビューをしてもらおう！！﹄という検証をしてみました。検証環境の構築は AWSマネジメントコンソールを使用していましたが、今回は AWS SAM を使用して、より簡単に環境構築する方法の解説を行います。使用するリポジトリは以下になります。事前準備リージョン切り替え全ての手順は﹁東京リージョン﹂で実施することを前提としているため、AWSのマネジメントコンソールからリージョンを﹁東京﹂に変更してから手順を進めてください。 Cloud9 ローカルマシンの環境を汚さないために、Cloud9 を使用して環境構築を行います。Cloud9 には、今回の作業に必要な以下のツールが事前にインストールされているため、環境構築がスムーズに行

sh19910711 2024/05/09

"リーダブルコードの原則を取り込ませてコードレビューをしてもらおう / Cloud9: AMTCで付与された一時クレデンシャルの権限では IAMロールやIAMポリシーに対するアクセス権限が制限"

リンク

JWTのalg=noneによる署名検証回避はどうして起こるのか

おはようございます。ritouです。なんの話？これの話です。 RFC 8725 JSON Web Token Best Current Practices をざっくり解説する - Qiita攻撃者が none に書き換え、検証側がそれを信用して署名検証をスキップ : ライブラリが JWT Header の alg の値を信用して署名検証をスキップしてしまうお話です攻撃者が RS256 を HS256 に書き換え、検証側は RSA 公開鍵をHMAC の共有鍵として署名検証 : こちらも JWT Header の alg の値を信用し、署名検証用の関数の引数として指定したRSA公開鍵を共有鍵として扱ってしまうお話ですどっちも﹁おいおい冗談だろ﹂みたいなお話に見えますが、そういう実装もあるのが事実なんですね。どうしてこうなった？署名検証ロジックが JWT文字列と鍵情報をパラメータ

sh19910711 2024/05/06

"ライブラリレベルでalg=noneで署名検証をスキップできる可能性がある / ”Headerで指定されているアルゴリズムと鍵で”署名検証を行うもの / 使っているライブラリがしっかりとこの辺りに対応できているかを見直し" 2021

リンク

第2回：画像でないデータを画像として処理する

AI 技術チームの石川です。今回は、我々が発表した論文で使ったアイディアの一つである、﹁画像でないデータを画像として扱う﹂ことで画像分析用の手法を活用するという考え方について紹介したいと思います。画像認識や画像処理のために開発された手法やツールを活用することで、画像でないデータの分析を簡単に、高精度に行うことができる場合があります。ビジネスにおいては、以下のような場面で活用できる可能性があります。製造業、商業、公共交通機関等での音声による異常検知時系列の金融データ分析画像データとCNN 画像認識はAI・機械学習の代表的なタスクのひとつであり、幅広く研究されています。ディープラーニングが注目されるきっかけの一つとなった画像認識コンペティションILSVRCはImageNetという大規模な写真データセットの分類精度を競うものでした。ディープラーニングによる画像認識において、優れた性能を達成

sh19910711 2024/05/05

"「画像でないデータを画像として扱う」ことで画像分析用の手法を活用する / 音声データ以外にも、コンピュータ上のファイルのバイナリ配列を2次元配列に変換し、CNNでマルウェアを検出するという研究" 2021

リンク

SnowflakeでFunctional Role+Access Roleのロール設計を実現するTerraformのModule構成を考えてみた | DevelopersIO

SnowflakeでFunctional Role+Access Roleのロール設計を実現するTerraformのModule構成を考えてみたさがらです。 2024年1月にSnowflakeのTerraform Providerに関する2024年のロードマップが公開されています。このロードマップについてわかりやすくまとめて頂いているのが下記の記事です。内容としては、GRANTの再設計、GAしている全機能のサポート、既存Issueの解決、などに取り組んでいくとのことで、破壊的な変更を含む一方で良い方向に進んでいることが感じ取れます。そしてこのロードマップのうちの﹁GRANTの再設計﹂ですが、﹁v0.88.0でGRANTの再設計は完了﹂﹁以前の形式のGRANT関係のリソースは2024年6月26日に削除﹂というDiscussionが投稿されていました。着実に開発が進んでいますね。そこで

sh19910711 2024/05/02

"SnowflakeのTerraform Provider: 破壊的な変更を含む一方で良い方向に進んでいる / ロール設計: Functional Roleは実際にビジネスを進める上での部門や役割に応じたロール + Access Roleは各Snowflakeオブジェクトへのアクセス権だけを付与"

リンク

AWS IAM PolicyのForAllValuesを勘違いしてた件 - LayerX エンジニアブログ

LayerX Fintech事業部︵※︶で、ガバナンス・コンプラエンジニアリングをしている鈴木 (@ken5scal )です。 ※三井物産デジタル・アセットマネジメントに出向しています。今回は、AWS IAMポリシーの条件における﹁ForAllValues﹂の仕様を誤って理解していたことから、安全でないアクセス制御を実装していたという内容です。もし同様の勘違いをされている方がいたら参考になれば幸いです。ユースケース AWS IAMユーザーを、ロールのtrust policy がユーザーのタグで制御するケースで考えます。具体的には、﹁Group A　あるいは Group B﹂に所属し、且つ﹁Admin﹂権限のあるユーザーのみが行使できる役割﹁AdminABRole﹂があるとしましょう。この場合、Group と Admin のタグが存在し、下記のようなパターン︵※︶が考えられます。

sh19910711 2024/05/02

"aws:PrincipalTag/{tag-key} （が含まれるContext Keys）が存在しない場合、あるいは、その値がnullデータセットと判定される場合、trueを返します / コンソール上であればIAM Access Analyzerが警告"

リンク

拒否ポリシーでBigQueryのテーブル削除を無効にする

はじめにこんにちは、クラウドエースデータMLディビジョン所属の疋田︵ひきた︶です。珍しい苗字でなかなか覚えづらいと思いますので、是非﹁ヒッキー﹂と呼んでいただければ嬉しいです。　クラウドエースの IT エンジニアリングを担うシステム開発部の中で、特にデータ基盤構築・分析基盤構築からデータ分析までを含む一貫したデータ課題の解決を専門とするのがデータMLディビジョンです。データMLディビジョンでは活動の一環として、毎週 Google Cloud (旧 Google Cloud Platform、以下﹁GCP﹂) の新規リリースを調査・発表し、データ領域のプロダクトのキャッチアップをしています。その中でも重要と考えるリリースを本ページ含め記事として公開しています。今回ご紹介するリリースは、2023年8月7日にサポートするようになった、拒否ポリシーを介してのアクセス拒否機能です

sh19910711 2024/05/01

"誤って権限が付与されたアカウントが BigQuery に対して行う操作の一部を阻止できる / テーブルの削除について拒否ポリシーが適用されているプリンシパルは、そのテーブルを含むデータセットも削除できない"

リンク

[AWS CDK] ALBとCognitoを使ってOktaをIdPとするSAML認証をしてみた | DevelopersIO

サクッとSAML認証を実装したいこんにちは、のんピ(@non____97)です。皆さんサクッとSAML認証を実装したいなと思ったことはありますか?私はあります。自分でSAML認証のService Provider(SP)側の処理を実装するのは大変です。そのような場合はALBとCognitoを使うと簡単に行えます。ということで実際にやってみました。今回はIdPとしてOktaを使用します。﹁SAML認証ってなんやねん﹂や﹁OktaのSAMLアプリってどうやって作成すればいいんだ﹂、﹁CognitoでSAML認証ってどうやって行えばいいんだ﹂という方は以下ドキュメントをご覧ください。初心者向けSAMLガイド SAMLアプリ統合を作成する | Okta ユーザープールへの SAML ID プロバイダーの追加 - Amazon Cognitoまた、せっかくなので以下アップデートで可能

sh19910711 2024/04/29

"サクッとSAML認証を実装したい / 自分でSAML認証のSP側の処理を実装するのは大変 + ALBとCognitoを使うと簡単 / Name ID formatをPersistentに設定 + Attribute Statements : Oktaのuser.emailをemailとして渡す"

リンク

情報処理安全確保支援士試験に合格したので色々まとめてみた - Qiita

過去の関連記事情報処理安全確保支援士試験勉強の備忘録情報処理安全確保支援士試験のセキュアプログラミングの暗記事項情報処理安全確保支援士試験頻出のCVSSの評価基準は紛らわしいので備忘録メモ情報処理安全確保支援士試験とは？情報処理技術者試験の試験区分のうちレベル4に分類されている高度試験のうちの1つです。2016年までは情報セキュリティスペシャリスト試験という名称でした。2017年から試験合格後、情報処理安全確保支援士としての登録を行わなければ、情報処理安全確保支援士と名乗ってはならないという法律が施行されました。名称が変更されたことで、資格の名称から資格の内容がいまいちピンと来なくなりました。「ダサい」という意見も有る様です。よって「登録セキスペ」なる通称も使って良いということになりました。それなら最初から名称を変更しない方が良かったのではないかと思うのは筆者だけでしょうか。。

sh19910711 2024/04/29

"午前試験は過去問からの使い回し問題が多いことで知られています / 1回目の受験で、午後Ⅱが数点足りずに不合格になりました / 午後Ⅱは120分という長丁場 + ペース配分を誤り、時間が足らなくなってしまい" 2021

リンク

OktaとAWSサービスのシングルサインオン連携をするため、Okta Starter Developer Editionを登録してみた | DevelopersIO

OktaとAWSサービスのシングルサインオン連携をするため、Okta Starter Developer Editionを登録してみたはじめに AWSサービスのうち、以下のサービスでは、ユーザー認証のシングルサインオン (SAML 2.0 ベースのフェデレーション認証)に対応しています。 AWS IAM Identity Center Amazon WorkSpaces Amazon AppStream 2.0 AWS Client VPN OktaとAWSのシングルサインオンを試したいと思った時、Okta Starter Developer Editionが無料で利用できることを知りました。 Okta Starter Developer Editionとは、Oktaの認証、認可、ユーザー管理の機能をアプリに組み込む開発者向けに無料で提供されています。一部制限がありますが、Oktaの機

sh19910711 2024/04/26

"OktaとAWSのシングルサインオンを試したい / Okta Starter Developer Edition: Oktaの認証、認可、ユーザー管理の機能をアプリに組み込む開発者向けに無料で提供 / GoogleやGitHubアカウントを使用して登録できます" 2023

リンク

KubernetesのSecretを1Passwordで管理する

1Password ConnectKubernetes Operator GitHub: https://github.com/1Password/onepassword-operator 1Password上に保存されているアイテムをKubernetes上のSecretリソースに同期してくれるオペレーターです。Secretリソースはその特性上GitHubに直接あげることが難しく、IaCを実現するために様々なアプローチが取られていますが1Password ConnectKubernetes Operatorもその1つです。感覚としてはexternal-secretsなどに近く、外部のCredential Storeの情報を取得しKubernetes上にSecretリソースを作成してくれるものです。 1Password公式のOrganization下で開発されています。比較的最近開発が始

sh19910711 2024/04/26

"onepassword-operator: 1Password上に保存されているアイテムをKubernetes上のSecretリソースに同期してくれる / TeamsやBusinessではない個人向けプランですが利用することができました" 2021

リンク

IAMのWeb Identity Federationの理解にPlaygroundを試したら捗った | DevelopersIO

IAMのWeb Identity Federationが便利そうだけどどういう仕組みかがよくわからないってなりませんか。用語がたくさんあったり若干入り組んでいるので私は苦しみました。苦しみながらドキュメントを読んでいたらWeb Identity Federation Playgroundが理解に役立つと書いてありました。なので実際に試してみました。 Web Identity Federationとは AWSリソースにアクセスするにはアクセスキーが必要になりますよね。 AWS CLIとかでアクセスキーを使用するのであればIAM ユーザーを作成して設定すれば問題ないですが、モバイルアプリやWebアプリに対して直接アクセスキーを埋め込むことは推奨できる行為ではありません。また独自のIDをAWS側で管理したりカスタムサインインコードを書くのも非常に手間です。これらの問題をさけつつAWS

sh19910711 2024/04/24

"苦しみながらドキュメントを読んでいたらWeb Identity Federation Playgroundが理解に役立つと書いてあり / S3 Transfer Acceleration Speed Comparison のような実際に試して確認できる非常にわかりやすいツール" 2019

リンク

セキュリティ・キャンプ協議会の個人会員になってみた - 3DESU

今年度のセキュリティ・キャンプ協議会の個人会員募集が開始されました。昨年、個人会員だったので、概要や感想などを書きたいと思います。 www.security-camp.or.jp 個人会員概要10万円でセキュリティ・キャンプ協議会の個人スポンサーになれる。セキュリティ・キャンプ全国大会や地方大会の見学(聴講)ができる。詳しくは以下会員プログラムの﹁個人メンバー﹂欄を参考 https://www.security-camp.or.jp/member/data/member_program.pdf メリット23歳以上でも社会人でもセキュリティ・キャンプの講義が聞ける。最先端の技術や研究、現場で活躍するトップクラスのエンジニアの話が聞ける。去年は仮想通貨やIoT分野など、最新分野の講義がある。学生向けのため、内容が分かりやすい。魅力的かつ多種多様な分野の講義がある全国大会:

sh19910711 2024/04/21

"10万円でセキュリティ・キャンプ協議会の個人スポンサーになれる / 23歳以上でも社会人でもセキュリティ・キャンプの講義が聞ける / 社会人向けに有料の講義や勉強会を依頼したらXX万しそうな講師陣" 2019

リンク

OktaログをMicrosoft Sentinelに取り込んでみた - APC 技術ブログ

はじめにこんにちは、エーピーコミュニケーションズ iTOC事業部 BzD部 0-WANの坂口です。今回は、OktaのログをMicrosoft Sentinelに格納する方法をご紹介します。想定アーキテクチャ想定するアーキテクチャは、下図のとおりです。 Azure Functions 定期的にOktaに接続してログを収集します。 Log Analytics workspace 収集したOktaログを格納します。 Microsoft Sentinel Log Analytics workspaceに格納されたログを参照・分析します。ログ格納の手順 Oktaの監査ログとイベントログを収集する手順です。下記データコネクタを利用します。 learn.microsoft.com 手順1. Okta API Tokenの作成手順2. Okta Single Sing-Onコンテンツのインスト

sh19910711 2024/04/20

"Azure Functions + Log Analytics workspace + Microsoft Sentinel / Microsoft Sentinel: 様々なコネクタが準備されており、Microsoft製品でなくても容易にログを収集することができ + 従量課金のため、パイロット導入もしやすい"

リンク

Amazon CodeGuru Securityを用いて、TerraformのDevSecOpsを実現する | NHN テコラス Tech Blog | AWS、機械学習、IoTなどの技術ブログ

Amazon CodeGuru Securityを用いて、TerraformのDevSecOpsを実現するはじめにこんにちは、Shunです。皆さん、Terraformのデプロイ時にセキュリティチェックは行っていますか？多くの人は﹁terraform fmt﹂や﹁terraform validate﹂で基本的な構文チェックを行った後、セキュリティの設定値の確認は目視で行っているのではないでしょうか。今回は、CodeGuru Securityを使用してTerraformのコードに静的解析を施し、DevSecOpsを実現する方法を紹介します。想定読者 AWSのセキュリティに興味がある方 DevSecOpsに興味がある方 CodeGuru Securityに興味がある方本記事で取り扱う内容 CodeGuru Securityの導入方法 CodeGuru Securityの検出結果の確

sh19910711 2024/04/20

"CodeGuru Security: 統合開発環境やCI/CDプラットフォームに容易に統合可能で、リアルタイムでの脆弱性検出と自動修正が可能 / CodeGuru Reviewer: リポジトリをスキャンする + CodeGuru SecurityはAPIベースでスキャン"

リンク

「情報セキュリティの敗北史」を読んで - シナプス技術者ブログ

皆さんこんにちは。開発課の丸野です。最近、アンドリー・スチュワート氏の﹁情報セキュリティの敗北史脆弱性はどこから来たのか﹂を読み、色々と考えることがあったので、読書感想文を書きます。 www.hakuyo-sha.co.jp 最初期の情報セキュリティについて情報セキュリティはいつ、どのようにして必要になったのか最初期のセキュリティに対する研究 CIAの三要素の提唱三つの試み、三つの失敗タイガーチームと、終わらないペネトレイト・アンド・パッチ形式的検証と、複雑な現実オレンジブックの制定と、ムーアの呪縛最初期のセキュリティから学べることこれから考えていくべきこと複雑さのコントロール自分自身のFUDと向き合う最初期の情報セキュリティについて最初に本書を通して学んだ、最初期の情報セキュリティについて、その挑戦と失敗について簡潔にまとめます。情報セキュリティはいつ、ど

sh19910711 2024/04/19

"いつもどこかで情報流出事件は発生 / 最新の「道具」の使い方だけでなく、目的や考え方を理解する努力を続けていく / 1967年「マルチユーザーのタイムシェアリング式コンピュータシステムにおけるセキュリティ」の研究"

リンク

資格を取る理由とか勉強方法など - fiscsecの日記

どうやって勉強していますか、とかモチベーションはどこから湧くの？と聞かれたことがあるので、資格取得も一段落なので振り返ってみます。 IPAの2016年4月の情報セキュリティマネジメントが初の資格取得で、それまでは取ろうとも思っていませんでした。︵というか試験勉強をしたくなかった︶何故資格を取るの・会社が資格を取れとうるさくなったから。また少しは評価につながるから・勉強をしたらなんだか時間を有意義に過ごした気分になる・試験ごとに体系的にまとまっており、身に付けるにあたって効率がよい・資格取得は目標や成果として設定しやすい・技術的な経験、強みが浅いので自信が欲しい・名刺やlinkedinを彩ってドヤりたい・少しでも転職に有利になればいいな実際どう？・情報処理安全確保支援士に合格してから、会社がCISSP、GIACの高額なトレーニング費用を出してくれた・社内でスペシャリスト

sh19910711 2024/04/17

"CISA: 内部/外部監査に見られてもよいように、コントロールを有効にするためには、という視点 / GIAC(GCIH): 手を動かすことの重要性が分かります + ペネトレーションテストで使うツールやインシデント対応について" 2020

リンク

CTF作問感想 - 2022 | XS-Spin Blog

CTF challenges I created 🚩. Contribute to arkark/my-ctf-challenges development by creating an account on GitHub. "> また、作問する上で参考にした問題や影響元になっている問題も謝辞の意味合いを込めて載せました。どれも好きな問題なので興味があればそちらもぜひ。 [web] skipinx ﹁simplewaf - corCTF 2022﹂の問題に出会い、自分も同じような問題をつくりたいと思ってました。そこで以下を満たす問題をwarmupに配置することを目指しました: とにかく短いソースコード初心者でも解くことが可能だが、上級者にとっても自明でない[3] 解法が非常にシンプル今のところ自明と言っている人は観測しておらず、また、序盤はwarmupなのにあまり解かれず徐々にsol

sh19910711 2024/04/12

"denobox: Rust+Deno+SWC の今どきな人が好きそうな欲張り3点セット + Deno特有の機能をつかってなにかできないかな〜とドキュメントを眺めながら考えてたらできました / 「denoblog - DiceCTF 2022」がとてもおもしろくておすすめ" 2023

リンク

trivyとGithub Actionsを使用しTerraform設定ファイルのセキュリティスキャンを実行する仕組みを作りました - コネヒト開発者ブログ

この記事はコネヒトアドベントカレンダー21日目の記事です。コネヒト Advent Calendar 2023って？コネヒトのエンジニアやデザイナーやPdMがお送りするアドベントカレンダーです。コネヒトは「家族像」というテーマを取りまく様々な課題の解決を目指す会社で、ママの一歩を支えるアプリ「ママリ」などを運営しています。 adventar.org はじめにコネヒトのプラットフォームグループでインフラ関連を担当している@yosshiです。今年の7月に入社してから早いもので半年が経ちました。時が経つのは本当に早いですね。今回のブログでは、セキュリティスキャンツールであるtrivyを使って、自動的にIaC (Infrastructure as Code)スキャンを実行する仕組みを構築した話をしたいと思います。弊社ではインフラ構成をTerraform利用して管理するようにして

sh19910711 2024/04/10

"aquasecurity/trivy-action: trivy公式で用意しているGithub Actions用のツール / .trivyignoreというファイルをトップディレクトリに置くことで勝手に参照して検出対象から除外" 2023

リンク

はてなブックマーク

タグ

関連タグで絞り込む (166)

*securityに関するsh19910711のブックマーク (538)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第1週）

月間はてなブックマーク数ランキング（2024年6月）

今週のはてなブックマーク数ランキング（2024年6月第5週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス