電通総研 テックブログ

電通総研が運営する技術ブログ

セキュリティ

インターネットからの野良リクエストがどれぐらい AWS WAF のマネージドルールに一致するのか確かめてみた

こんにちは。コーポレート本部 サイバーセキュリティ推進部の耿です。 Web サービスへの攻撃を防ぐために WAF を使いましょうというのはよく聞きます。 ではインターネットに公開した Web サービスに送信される悪意のあるリクエストがどれぐらい WAF によっ…

AWS環境ですぐできるマルウェア対策!Amazon GuardDuty Malware Protectionについて整理してみる

こんにちは、コーポレート本部 サイバーセキュリティ推進部 セキュアシステムデザイングループの福山です。 今回は、AWSの脅威検知サービスAmazon GuardDutyで利用できるマルウェア検出機能「Malware Protection」について整理してみました。 サーバーにおけ…

認可以外にも使えるぞ Amazon Verified Permissions

こんにちは。コーポレート本部 サイバーセキュリティ推進部の耿です。 以前 Amazon Verified Permissions についての 記事を書きましたが、アプリケーションの認可以外にもこのサービスを利用できるのではないかと思い、汎用のポリシー判定エンジンとして使…

DynamoDB から取得できるアイテムの属性を IAM ポリシーで制限する方法

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 Amazon DynamoDB を利用する時、取得できる属性を特定の属性のみに制限したいことがあったため、IAM ポリシーを利用して実現する方法をまとめてお…

はじめてのAWS re:Invent 2023 〜セキュリティ関連セッションレポート〜

どーもー!Xイノベーション本部 ソフトウェアデザインセンター セキュリティグループの福山です。 本記事は電通国際情報サービス Advent Calendar 2023 6日目の記事となります。 念願だったAWS re:Invent現地参戦、ついに実現しました! 本レポートでは、セ…

AWS WAF マネージドルールグループの個別ルールに条件を追加する方法

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 AWS WAF には AWS マネージドルールが複数提供されており、利用することで AWS が定めた条件に一致するリクエストをブロックしてくれます。各マネ…

AWS WAF について最初から知りたかったこと8選

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 AWS WAF は簡単に Web アプリに WAF を追加でき、かつ値段も他の WAF 製品より安いため、好きな AWS サービスの一つです。そんな AWS WAF ですがし…

【CSIRT向け】FutureVulsを活用した脆弱性対応模擬訓練をやってみた!

こんにちは、Xイノベーション本部 ソフトウェアデザインセンター セキュリティグループの福山です。 今回は、弊社CSIRTチームの一機能として活動している「脆弱性管理チーム」の活動に関する内容となります。 昨今では、Log4shellやSpring4shellなど、影響範…

Amazon Verified Permissions のポリシーは CDK で管理するのが便利

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 2023年6月に Amazon Verified Permissions というサービスがGAしましたが、まだ利用している方は少ないのではないでしょうか。 アプリケーションと…

Terraform で AWS に DB を構築するとき manage_master_user_password を使っていますか?

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 Terraform で Amazon RDS インスタンス/クラスターを作る時に、password または master_password 属性に指定したマスターユーザーのパスワードが t…

[CDK] BucketDeployment のついでにスクリプトの SRI ハッシュもパラメータに保存する

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 CDK にはローカルファイルを S3 バケットにデプロイできる BucketDeployment という便利なコンストラクトがあり、静的ファイルの配信などの用途に…

Azure Lighthouseで他テナントのセキュリティ情報を集約する方法

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの平岡です。 私は社内のSOCサービスの研究開発メンバーとして、AzureのMicrosoft Defender for Cloud周りの調査を専門に行っています。 最近は、主に推奨事項…

AWSへのアクセスキーアクセスにMFAを強制するセットアップ

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 AWSのマネジメントコンソールへのユーザー認証ではMFAの利用が一般的になってきましたが、アクセスキー利用時にMFAを必須とするには少しコツがいる…

Security Hub の社内展開を支えるツールたち

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 1年ほど前に書いたブログでは、組織横断的に Security Hub の利用をサポートするための準備について書きました。あれから1年が経ち、今は社内の数…

Security Hubの定期的なチェックを今すぐに実行する方法

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 AWS Security Hubのコントロールには、「変更によってトリガーされるチェック」と「定期的なチェック」があります。 それぞれのチェックスケジュー…

IAM Permissions Boundary の本質

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 IAM の Permissions Boundary(アクセス許可境界)についてやもやしていました。効果はわかるものの、どうして IAM ポリシーだけではダメで Permis…

CDK で ElastiCache for Redis の RBAC を実装する方法

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 ElastiCache for Redis クラスターの認証・認可方式のうち、ロールベースのアクセスコントロール(RBAC)を AWS CDK で実装する方法に関する日本語…

【アップデート】Amazon GuardDutyでEC2からのDNSトラフィックの異常検知が強化されました!

こんにちは、Xイノベーション本部 ソフトウェアデザインセンター セキュリティグループの福山です。 好きなAWSサービスはSecurity HubとGuardDutyです。 はじめに 2023年4月10日にGuardDutyの新しい検出タイプが公表されましたので紹介します。 https://aws.…

AWS WAFがリクエストをブロックした時に、自動的にIPアドレスレベルで一定期間ブロックし続ける方法

スマートなタイトルが思いつきませんでした。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 インターネットにWebアプリケーションを公開すると、さまざまなHTTPリクエストを受けることになります。中にはアプ…

GitHub Actions で distroless イメージのコンテナ署名を検証する

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 CI/CD環境として GitHub Actions を使っているときに、コンテナをビルド、プッシュする前に distroless ベースイメージの署名を検証する方法につい…

CDK Security And Safety Dev Guide を読んでみた

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 2022年12月始めに AWS CDK の GitHub リポジトリの wiki に公開された Security And Safety Dev Guide を読んでみました。CDKアプリをデプロイする…

AWS環境でDDoS攻撃を受けた時の対処をCloudFormationで自動化する(EC2編)

Xイノベーション本部 ソフトウェアデザインセンター セキュリティグループの福山です。 先日、米政府(米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)や米連邦捜査局(FBI)、 MS-ISAC(Multi-State ISAC)の共同)から、DDoS攻撃に対す…

新卒2年目、セキュリティの仕事について書いてみた

こんにちは、X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループ 新卒入社2年目の大西です。これは、電通国際情報サービス Advent Calendar 2022 12/21の記事です。今日は、私が所属するセキュリティグループについて記事を…

AWS Security Hub のアラートを減らすためのCDK実装例

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。これは電通国際情報サービス Advent Calendar 2022 12/14の記事です。 プログラミング言語でクラウドインフラをIaC化できるライブラリとして、AWS C…

Route 53 Resolver DNS Firewall の現実的な設定を考える

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 Route 53 Resolver DNS Firewall を使ってみた話です。VPCのセキュリティグループや AWS WAF と比較すると話題になることが少ないサービスですが、…

Ansibleで機密情報を安全に扱うにはAnsible Vaultを利用しよう

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター の山下です。 今回は、Ansible Vaultを利用して、Ansibleを使う場合に機密情報を安全に扱う方法について紹介します。 ansibleと機密情報の管理についての課題 Ansibleを使ってデプ…

作成されたIAMユーザーを片っ端から自動削除する仕組みを作ってみた

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 AWSアカウントのセキュリティを向上させるために、IAMユーザー作成のイベントに即時反応して自動削除する仕組みを作りました。それに際し、マネジ…

AWS Security Hub のアラートを GitHub Issues に素早くフィードバックする DevSecOps

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 インフラをIaC化している環境において、AWS Security Hub のアラート管理方法についてのお話です。 AWS Security Hubのセキュリティ基準を有効にす…

IDP(adfs)の認証情報でアクセスキー、シークレットキーなしでaws session managerを使う方法

初めに ISID X(クロス)イノベーション本部 の三浦です。 筆者の関わってる案件では、セキュリティーの強化の一環として、AWS session manager利用を推進しております。 session managerを利用するとEC2アクセス時に下記のようなメリットがあります(※1)。…

AWSインフラをCDKでIaC化したらcdk-nagでセキュリティスキャンしたくない?(特にサプレスの方法)

こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 クラウドインフラをIaC化すると、静的セキュリティスキャンができるようになります。インフラをデプロイする前にセキュリティ上の問題や、ベストプ…