セキュリティ

【re:Invent発表】AWS WAFでマネージドルールが利用可能になりました。

AWS WAFでサードパーティーベンダーによるマネージドルールが利用可能になりました。 すぐに使用できるマネージドルールがAWS WAFで利用可能に これまでは、ユーザ自身が細かなルールを作成する必要がありましたが、セキュリティーの専門家でなければ、適切…

AWS WAFを簡単に設定するCloudFormationのテンプレート

はじめに AWS WAFをつかってみたいけど、設定が面倒くさいと思っているそこの貴方に、朗報です。 流すだけで、AWS WAFのいい感じの設定がされるCloudFormationのテンプレートが提供されています。 AWS WAFの概要 AWSでは、WEBアプリケーションファイアウォー…

CloudTrail が自動有効化されるようになったのに合わせて、設定方法を改めて眺めてみる

技術2課の寺田です。 今週は松本と東京を行ったり来たりの1週間です。 松本から新幹線?といつも聞かれるのですが、 新幹線の駅までは遠いので、特急あずさでいつも3時間弱かけて東京まで出ています。 CloudTrailが自動的に有効化されるようになりました AWS…

【AWSリバイバル】CloudFrontの署名付きURLで「3分で見れなくなってしまう秘密のページ」をつくってみよう!

こんにちは。最近新しくなったサーバーワークスのロゴが弥治郎系のこけしにマッチしすぎていていることに驚いているこけし部 部長の坂本(@t_sakam)です。 さて、今回から勝手にはじまった「AWSリバイバル」シリーズ、AWSに結構前からあるけれど、個人的に…

多要素認証を使った運用でもっと安全に

こんにちは、カスタマー・サポート課のマツシタです。 AWSアカウントの特にrootアカウントは多要素認証(MFA)を設定することが強く推奨されています。ただ、多要素認証を設定するだけで安全と言えるでしょうか? 今日はAWSアカウント運用のセキュリティのさ…

サーバーレスへの道(2) ~アーキテクチャとセキュリティ~

前回の記事「サーバーレスへの道(1) ~DevOpsと人~」に続き、A Cloud Guru の John McKim (@johncmckim) さんがサーバーレスについての記事「Adopting Serverless — Architectures and Security」を書いてくれました。John さんに許可をとったうえで翻訳して…

OneLoginにSORACOMコネクタが追加されました

情報システム課の宮澤です。今回は、先日追加された、OneLoginのSORACOMコネクターの利用方法を紹介したいと思います。 SORACOMコネクタについて 今回OneLoginで用意されている、SORACOMのコネクタは、通常のルートアカウントと、SAMの2種類になります。 ルートアカ…

OneLoginのアカウントをセキュアに -物理MFA編-

情報システム課の宮澤です。 今回は、OneLoginのユーザーアカウントにMFA(物理)設定をする手順を紹介します。

Active Directoryを通して知る認証・認可(承認)

技術2課の鎌田です。 前回記事で、AWSとActive Directoryとの連携をご紹介しました。 今回は、仕組みを見てみたいと思います。 ※なお、この記事では広く用いられているSAMLプロトコルの用語をベースとし、Active Directoryの用語は()書きで補足しています。…

OneLogin Desktop for Mac

情報システム課の宮澤です。 今回は、先日リリースされた”OneLogin Desktop for Mac”の紹介をしたいと思います。 OneLogin Desktop for Macとは OneLogin Desktop for MacはOneLoginのディレクトリユーザーを利用してMacへのログインを実現するサービスです…

IISのレスポンスヘッダーからIISバージョン情報を消す方法

IISのHTTPレスポンスにはデフォルトで「Server」ヘッダーにバージョン情報が格納されています。 セキュリティ上好ましくなく、バージョン情報を消したい時は、Microsoftが提供するURL Writeという機能により実現することが可能です。 以下URLからURL Rewrite…

AWS Certificate ManagerでSSLをお手軽に!

こんにちは。技術1課の高橋です。最近日比谷公園の鉄棒やつり輪でトレーニングをしています。Street Workoutってやつですな。さて今回は AWS Certificate Manager を利用して、簡単にSSLを利用する方法をご紹介します。 AWS Certificate Manager とは AWS Ce…

Boxに電子すかし機能が追加されました

情報システム課の宮澤です。 今回は、Boxに追加された電子すかし機能を紹介したいと思います。 電子すかし機能とは Boxでプレビューしたファイルに電子すかしを挿入する機能です。 この機能を有効にすることで、閲覧者のメールアドレスおよびアクセス日が、…

次世代FirewallをHAでガッチガチに・前編

サーバーワークス大阪オフィスの久保です。 そういえば半年前にこの記事の前フリを書いていた気がするのですが、続編を書かないまま時の流れに身を委ねて今日に至ります。このままでは「ああ、あいつ結局本採用されんかったんやな」と言われそうなので、この…

【アナウンス】 WindowsおよびSamba脆弱性【Badlock】

サーバーワークス サポート窓口よりお知らせいたします。 ​ 報告 MicrosoftとSambaチームのエンジニアよりWindowsおよびSambaのほぼ全バージョンに存在する、 重大な脆弱性に関する情報を2016年4月12日に開示しパッチを提供すると予告されました。 この脆弱…

Windowsのイベントログを可視化してみる~CloudWatch Logs,Elasticsearch,Kibana編~

こんにちは。技術1課の高橋です。 先日ジョン・ブルックフィールドの「握力王」という本を買いました。握力を高めるには地道なトレーニングが不可欠のようです。 さて今回、CloudWatch Logs,Amazon Elaticsearch ServiceおよびKibanaで、 Windowsのイベント…

見直すなら今!AWSアカウント セキュリティの基本を総点検

これから新規で構築する際は、IAMベストプラクティスに準じた設計を行いますよね。当然ですよね。 でも、こんなAWSアカウントありませんか? 短納期を実現するためにスピード優先で構築したAWSアカウント 他の会社が構築したAWSアカウントを引き継いで運用中…

【アナウンス】 glibc脆弱性 【CVE-2015-7547】

サーバーワークス サポート窓口よりお知らせいたします。 報告 glibc の getaddrinfo において スタックベースオーバーフローの脆弱性が発見されました。 脆弱性の概要 脆弱性の詳細は以下の記事をご覧下さい。 CVE-2015-7547: glibc getaddrinfo stack-base…

【速報】Linuxカーネル脆弱性【CVE-2016-0728】

サーバーワークス サポート窓口より緊急でお知らせいたします。 速報 Linuxカーネル3.8以降のシステムにおいて ローカルユーザがroot権限を取得可能となる脆弱性が発見されました。 脆弱性の概要 脆弱性の詳細は以下の記事をご参照ください ANALYSIS AND EXP…

JAWS-UG京王線に参加してきました

皆さんJAWS-UG参加していますか? 新人の寺田です。これが使えるのもあと3ヶ月となってしまいました。 ちなみに、私はJAWS-UGはこれで2回目でした。 もう少し参加しなくては。 ということで、今回はJAWS-UG京王線に参加してきました タイトルは->JAWS-UG京王…

IAMの二段階認証としてSMSを設定する(プレビュー版)

この記事は11月24日現在の内容です。 情報システム課の宮澤です。 AWSのSAブログに紹介されていたSMSを利用したIAMについて紹介したいと思います。 http://aws.typepad.com/sajp/2015/11/aws-releases-preview-of-sms-mfa-for-iam-users.html ブログを記載し…

IAM ロールを使いこなす ~切り替え用ロールの作成編~

情報システム課の宮澤です。 今回は、AWSアカウントをセキュアに使うために重要な、IAM ロールについて紹介したいと思います。 IAM ロールとは IAM ロールは、AWSのリソースに対して、アクセス許可/禁止などの権限ポリシーが設定できるという部分においては…

不要になったIAMユーザーはありませんか?

皆さん、こんにちは。サポート窓口のminomです。 今朝の通勤電車にて@itさんの「不要になったユーザープロファイルを削除する」という記事を見ました。 そこからサーバーに入られたりしますからね、リスクですね、きちんと管理して不要なプロファイルは削除…

PagerDutyを使ってみた

みなさんこんにちは。 技術研究課の山田です。 さて、私が所属している技術研究課ではR&Dを継続的に実施することで、業務フローの改善や他課をサポートする活動を日々行っています。 今回はその一環で PagerDuty を触る機会があったのでレポートします。 Pag…

次世代Firewallとログ収集ツールによるセキュアなVDI環境の構築(その1)

はじめまして。サーバーワークス大阪オフィス勤務(執筆時点でまだ試用期間中)の久保(@bokucurry)です。自分が何屋さんなのかいまいちよくわかっていませんが、主にPMと営業活動をメインにしながら、案件によっては構築もやるという、地方拠点エンジニアを地…

OpenSSL (2015/07/09発表予定脆弱性)対象チェックZabbixテンプレートを作成しました。

サーバーワークス Zabbixスペシャリスト くりゅうです。 OpenSSL 1.0.2d, 1.0.1p リリースについて 【緊急】OpenSSL 1.0.2d, 1.0.1p リリース でもご案内させていただいている通り、攻撃者に情報を与えないため 詳細は不明ですが、明日(2015/07/09)OpenSS…

ELBによるSSL Terminationをご利用中の方へ、TLSの脆弱性「Logjam」対策のご案内

こんにちは、サーバーワークスの三井です。 少しばかり遅くなってしまいましたが、HTTPSやSSH、IPSecなどセキュアな接続に幅広く使われているTLSプロトコルに、「Logjam」と呼ばれる脆弱性が見つかり、日本でもぼちぼち話題となっています。まずは慌てずに状…

Impervaでセキュリティを高める~SecureSphere~

Street Workoutを日本に広めたい、高橋(技術1課)です。近頃は鉄棒のある公園が限られていて寂しい限りです。 さて今回はクラウド対応型WAFサービスの、Imperva社のSecureSphereをご紹介します。

OpenSSLに脆弱性が見つかりました。更新しましょう。CVE-2015-0291ほか

OpenSSLに新たに脆弱性が見つかっております。過去のものも含めて内容と対策が発表されておりますのでご紹介します。

Pertino(パティーノ)入門

3月もはじめの頃になると、寒暖の切り替わりと花粉の飛散も本番となり、マスク利用者が多い時期ですね。 かくいう私もマスク利用者であり、花粉症という建前はあるのですが、本心は眠気によるあくびを隠す為、マスクを利用している技術2課の横倉です。 さて…

Pertinoでネットワークもクラウド化

こんにちは、羽柴です。 私達がAWS専業となり早6年が経ち、サーバーのクラウド化においてはスタンダードになってきました。 また、WorkSpacesが出てきたことによりデスクトップのクラウド化にも拍車がかかり、私達のビジョンである「クラウドで、世界を、も…

glibcに重大な脆弱性!すぐにご確認ください!(2015年1月28日)

インプリメンテーション部(大阪)の永田です。 昨日1/27に、Linux系OSで使われているglibcに重大な脆弱性が見つかりました。この脆弱性は"Ghost"と呼ばれ巷でも話題にあがっていますが、当ブログでも影響、対象確認方法、対応方法について、ご紹介させてい…

【30分で動かすシリーズ】FabricでNTP脆弱性に対応してみる

先日、NTPに脆弱性が見つかり対応する必要がありました。 Amazon Linux ALAS-2014-462 Red Hat Enterprise Linux CVE-2014-9296CVE-2014-9294CVE-2014-9295CVE-2014-9293 対応すると言っても一言でいえばNTPを更新すれば良いのですが、対象のサーバが何十台…

複数のDNSソフトに脆弱性!バージョンアップを(2014年12月9日)

DNSソフトウェアにおける実装上の問題で、DNSサーバープロセスに対し外部からの攻撃が可能になる脆弱性が発表されました。 対象となるDNSソフトウェアは以下の通りです。 全てのバージョンのBIND9全てのバージョンのUnbound全てのバージョンのPowerDNS Recur…

JAWS-UG北九州・福岡合同主催-1から学ぶクラウドのセキュリティ勉強会@北九州に参加してきました。

最近北九州が熱いなと感じている小室@福岡です。 先日JAWS-UG北九州・福岡合同主催-1から学ぶクラウドのセキュリティ勉強会@北九州が開催されてたので参加&登壇してきました! 1から学ぶクラウドのセキュリティ勉強会@北九州 http://jaws-kitaq.doorke…

【お知らせ】Windows Server 2012 R2のEC2インスタンスをうっかり再起動すると問題が起こる(2014年9月4日現在)

追記:日本語によるAWSから案内がありました。http://aws.amazon.com/jp/windows/2012r2-network-drivers/2014年9月4日 AWSより重大なお知らせとして告知されています。Important information about Amazon EC2 instances running Windows Server 2012 R2 ざ…

OpenSSLの脆弱性への対応方法(AWSサービス/OSごと)

こちらでは初めまして、大阪で孤軍奮闘中の桶谷です。<br /> 現在、話題になっているOpenSSLの脆弱性への対応方法をまとめてみました。 ※随時更新中。最終更新 2014/04/11&nbsp;12:29 OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ http://www.itmedia…

AWSで脆弱性/侵入テスト申請する場合には

AWSのリソースに対して脆弱性/侵入テストを行う場合は事前に申請をしておく必要があります。 申請情報 申請時に必要な情報は以下の通りです。 診断先EIP 192.168.1.5 診断先インスタンスID i-hogehoge インスタンスが診断元か、診断先か 診断元?診断先? ス…

ssh秘密鍵・公開鍵を作ってみる

AWSで何かと使うssh秘密鍵・公開鍵。基本に立ち返って、ssh秘密鍵・公開鍵の作り方、AWSに登録するまでをやってみます。

公開AMIを選択する際のチェックリスト

最近家の周りにはクワガタやカブトムシがごく自然に生息している事に気がついた小室@福岡です。 AWSからEC2インスタンスを起動する時に、 Amazonが出しているAMI 企業が出しているAMI コミュニティが出しているAMI 自分で作成したAMI から選ぶと思います。…

XSS Me 実行結果のレポートについてまとめてみた

はじめまして。開発・運用部の高橋です。 今回はXSS脆弱性対策のツールである XSS Me の実行結果のレポートについてまとめました。使い方については既にまとめている方々がいらっしゃいますが、レポートの見方についてはなかなかないんですよね。そこで、こ…