おれさまラボ

実際に手を動かして理解を深めるブログ。

セキュリティ

ウェブサービスのサインアップフローに関するメモ

情報入手元 Twitter(@sasasin_net) ウェブサービスのサインアップ時の順序は以下のようにすると良い。 メアドだけ入力させる メールでパスワード設定画面へのURLが送られてくる パスワード設定すると利用できるようになる ⇒ メアドの真正性や到達性が確か…

Attack Surfaceとは

はじめに サイバーセキュリティ関連の記事や製品情報を見ていると、"Attack Surface" という言葉によく出くわします。ことばで説明するのは難しいので、図解してみました。

サイバーセキュリティとヒューマンエラー

久々の投稿。 Zennにも投稿した内容と同一です。

なぜメールアドレスをハッシュ化したものを公開してはいけないのか

はじめに 先日、以下の記事が話題となっているのを見かけました。 simatech.hatenablog.com 非常におもしろい実験であり、わかりやすかったのですが、こういう技術系記事にありがちな「じゃあなんでメアド公開したらまずいのか」「ハッシュ解析するコストを…

読書メモ:Building Secure & Reliable Systems - Chapter 5

はじめに GoogleのSRE本第3弾『Building Secure & Reliable Systems』に関する読書メモです。今回は Chapter 5 を読んでみました。自分の理解を噛み砕いて書いているので、しっかり本意を理解したい方は原書を読むことをおすすめします。

読書メモ:Building Secure & Reliable Systems - Chapter 4

はじめに GoogleのSRE本第3弾『Building Secure & Reliable Systems』に関する読書メモです。今回は Chapter 4 を読んでみました。自分の理解を噛み砕いて書いているので、しっかり本意を理解したい方は原書を読むことをおすすめします。

読書メモ:Building Secure & Reliable Systems - Chapter 3

はじめに GoogleのSRE本第3弾『Building Secure & Reliable Systems』に関する読書メモです。今回は Chapter 3 を読んでみました。ここから第2部に入り、Googleで行われている具体的な仕組みの紹介となっていきます。

読書メモ:Building Secure & Reliable Systems - Chapter 2

はじめに GoogleのSRE本第3弾『Building Secure and Reliable Systems』に関する読書メモです。今回は Chapter 2 を読んでみました。

読書メモ:Building Secure & Reliable Systems - Introduction ~ Chapter1

はじめに Google の SRE 本 第3弾「Building Secure & Reliable Systems」を読み始めました。英語ですが、電子版は無料で公開されているので、興味がある方はぜひ読んでみてください。 ※ネタバレ含みますので、自分で読みたいって方はそっ閉じしてください。

Interop Tokyo 2020 テレワークに求められるセキュリティ対策

テレワークに求められるセキュリティ対策 Paloalto Networks による Interop Tokyo 2020 への寄稿資料『テレワークに求められるセキュリティ対策』に関するメモ。 Interop Tokyo 2020 (インターロップ東京 2020)

AWS CISO からの セキュリティに関する 10 個のアドバイス

はじめに AWS のセキュリティブログにクラウドのアカウントを守るためのヒントが紹介されていたのでメモとしてまとめておきます。 aws.amazon.com はじめに 10 個のセキュリティアドバイス Accurate account info Use MFA No hard-coding secrets Limit secu…

メモ:二段階認証を突破する攻撃手法

はじめに 以下記事で「二段階認証を突破する攻撃手法」が載っていました。知らなかったのでメモしておきます。 enterprisezine.jp

Why Cloud Security Seems So Hard, and How to Overcome These Challenges

はじめに "Why Cloud Security Seems So Hard, and How to Overcome These Challenges" という Paloalto Networks のブログ記事を読みましたのでそのメモです。 blog.paloaltonetworks.com

Zero Trust Networks (4/10)

Chapter 4 Making Authorization Decisions Chapter 4 Making Authorization Decisions 認可の判断 エンフォーサ ポリシーエンジン ポリシーエンジンの構成 ポリシーの扱い トラストエンジン 信用スコア スコアの計算 データストア まとめ みなさんこんにち…

Zero Trust Networks (3/10)

Chapter 3 Network Agent Chapter 3 Network Agent ネットワークエージェントとは 認証と認可 認証とは 認可とは ネットワークエージェントを理解するポイント まとめ みなさんこんにちは、こんばんは、おはようございます。 前回に引き続き、教科書はこちら…

Zero Trust Networks (2/10)

Chapter 2 Managing Trust 忙しい人のための3行サマリ さまざまな情報を組み合わせることで、信頼度が高くなる。 ゼロトラストモデルでは、ありとあらゆる攻撃を防御対象としていない。 デジタル証明書を用いて、デバイス、ユーザー、アプリケーションを常に…

Zero Trust Networks (0/10)

はじめに 最近、日本でも話題となりはじめているZero Trust Modelですが、インターネット上でも、書籍でも、情報が乏しい現状です。バイブルと呼べるのは、O'reillyから出版されているZero Trust Networks - Building Secure Systems in Untrusted Networks …

Zero Trust Networks (1/10)

Chapter 1 Zero Trust Fundamentals 忙しい人のための3行サマリ 多くのホストがインターネットと接続する現代においては、従来の境界モデルだけでは悪意のある他者からの攻撃を防ぎ切ることはできない。 この文脈においては、ネットワークを信頼しない、ゼロ…