北島悠(キタジー)

元Java好きのエンジニア、今はセキュリティしか勝たん! ウェブ・セキュリティ基礎試…

北島悠(キタジー)

元Java好きのエンジニア、今はセキュリティしか勝たん! ウェブ・セキュリティ基礎試験/実務知識試験/CompTIA Cloud+/IIRC(IACS Incident Response Certification)/情報処理安全確保支援士

  • オープンストリームテックブログ「BEYOND SI」

    • 126本

    株式会社オープンストリームのエンジニアより、各社クラウドサービス・ビッグデータ・AI/機械学習・IoT・モバイル・アジャイル・セキュリティなどの先端技術情報や、ソリューションサービス情報、ビジネスコラム、各種勉強会、イベント情報を発信します。 ■株式会社オープンストリーム関連ブログサイト ・Keep Innovating! Blog https://www.opst.co.jp/keep_innovating_blog/ ■株式会社オープンストリームコーポレートサイト https://www.opst.co.jp/ ■株式会社オープンストリームサービス一覧 https://www.opst.co.jp/service/ ■オープンストリームホールディングスグループ共同運営note「OpeN.lab」 https://note.com/opst_hd/

『XZ Utils』の事例から見えるOSSとセキュリティ

2024年3月29日、多くのLinuxディストリビューションで採用されているOSS(オープンソースソフトウェア)の『XZ Utils』に深刻な脆弱性(CVE-2024-3094)が確認されました。 脆弱性の中身はバックドアとして動作する、意図的にソフトウェアサプライチェーン攻撃を行う仕組みでした。 一般的にIT系のエンジニアはOSSに非常によくお世話になっているため、非常に大きなニュースとなった『XZ Utils』の事例からOSSとセキュリティについてほんの少し触れてみます。

北島悠(キタジー)

    • IT資産の管理とセキュリティ強化 ~ASM~

      昨今、組織の様々なIT資産(IoT機器、Webアプリ、クラウドストレージなど)が組織の外部に公開されています。 その結果、それらのIT資産はインターネット経由で常に攻撃者からの脅威にさらされている状況となります。 そのため、そういった資産を発見し管理する事は非常に重要なリスク対策となります。 ASM(Attack Surface Management)ASM(アタック・サーフェス・マネジメント)は外部公開されているIT資産を発⾒し、それらの面(サーフェス)存在するリスクを継

      北島悠(キタジー)

      • 最新のセキュリティ対策 ~XDR~

        かつてはトレンドマイクロ社のウイルスバスターのようなAV(アンチウイルス)ソフトウェアが各自の端末にインストールされて、マルウェア(ウイルス)からPCを守っていました。 一方、ネットワークはFW(ファイアウォール)で境界防御をすることで外部からの攻撃からネットワークを守っていました。 昨今では様々な攻撃手法の登場により、より高度な仕組みを持ったソフトウェアを活用して対応するようになってきましたので、それらの概要を簡単に説明してみたいと思います。 ざっくりとした全体像イメージ

        北島悠(キタジー)

        • 脆弱性情報の指標 -CVE, CWE, CVSS-

          脆弱性についての情報を確認すると、沢山の指標に基づいて情報を判断する必要が出てきます。それらの指標の中でも有名なCVE, CWE, CVSSがどういったものなのかを簡単に紹介したいと思います。 CVE(共通脆弱性識別子)世界的に一意な脆弱性情報の指標で、Common Vulnerabilities and Exposuresの略称です。 識別子であるCVE-IDはCVE-YYYY-NNNNといった形式で表現します。 ちなみに、有名なLog4Shell(log4jの脆弱性)の

          北島悠(キタジー)

        『XZ Utils』の事例から見えるOSSとセキュリティ

        北島悠(キタジー)

        マガジン

        • オープンストリームテックブログ「BEYOND SI」
          126本

        記事

          2024年2月1日から適用されるGmailへのメール送信条件追加について

          2024年2月1日から、Googleは個人向けGmail(Google Workspaceは対象外)へのメール送信について、迷惑メール削減(及びセキュアなメールのみ配送する)観点から送信要件を追加しています。 そのため、B2Cビジネスなどを展開しているサービスでは、この要件に注意しないとGmail側で受信拒否されるか迷惑メール扱いになる可能性があります。 以下の要件をベースに提供しているサービスで対策が必要か確認してみてください。 主な追加要件対応が必要な事の周知が目的のた

          北島悠(キタジー)

          2024年2月1日から適用されるGmailへのメール送信条件追加について

          北島悠(キタジー)

          暗号の基本(その2)

          多くのITエンジニアは開発でハッシュ値を利用したことがあると思います。そんな中、お作法的な理解の元にGitのコミットハッシュを取得して利用した経験はありませんか? 今回もそんな、身近で利用される暗号の基本的な内容を簡単にまとめてみました。 暗号の必要性暗号は情報セキュリティにおける重要な要素である機密性と完全性を守るために存在します。(前回の投稿参照) その中でも完全性を担保するための技術として以下の二つがあり、ハッシュ関数を利用して暗号化が行われています。 メッセージ認

          北島悠(キタジー)

          暗号の基本(その2)

          北島悠(キタジー)

          暗号の基本

          多くのITエンジニアは開発でGitを利用したことがあると思います。そんな中、お作法的な理解の元に公開鍵を生成してリポジトリに登録した経験ありませんか? 今回はそんな、身近で利用される暗号の基本的な内容を簡単にまとめてみました。 暗号の必要性暗号は情報セキュリティ3要素の中の主に2つを守るために存在します。 機密性(Confidentiality) 許可された人だけが情報を閲覧できる状態を表します。 完全性(Integrity) 情報が正確で改ざんされていない状態を表

          北島悠(キタジー)

          暗号の基本

          北島悠(キタジー)

          DMARCを使ったなりすましメール対策

          日々沢山の迷惑メールがネットーワークを飛び交っている昨今、全メールの40%はスパムだとも言われている。サイバーセキュリティの観点でもフィッシングメールは非常に多くの犯罪で利用されており、従業員の教育含め色々な観点から対策が進められている。 そんな中、なりすましメール対策の切り札とも言われているDMARCが日本国内ではあまり普及していないのが実情だ。(2022年末で3割程度→増えてきてはいる) DMARCとはSPFやDKIMといったメールドメイン認証の仕組を利用し、その認証さ

          北島悠(キタジー)

          DMARCを使ったなりすましメール対策

          北島悠(キタジー)