Security カテゴリの記事

34
投稿
22
著者数
1318
総シェア数
56
Twitter
62
Facebook
875
はてブ
325
Pocket

リスクアセスメント　ーリスクの可視化から意思決定までー

サイバーセキュリティ界隈の文脈で「リスクの可視化～意思決定」がどのように行われるのかをお話します。

Go1.25 リリース連載 net/http - CSRF対策

マイナーアップデートの net/http での CSRF 対策の強化について触れます。この記事では以下の内容について触れていきます。

2025.08.04
Go言語 net/http Go1.25 CSRF

Notary v2（Notation）によるコンテナイメージ署名

CNCFのIncubatingプロジェクトである、Notary v2を用いて、コンテナイメージにデジタル署名してみた記事です。

PowerBIによる監査ログ自動化

データ分析ソフトウェアとして知られるBIツールについての入門記事です。PowerBI Desktopを活用して、データ取り込み～分析結果の可視化の一連の手順を紹介します。

AWSアクセスキー管理について考えてみる

社内Slackにてユーザーが利用するAWSアクセスキー管理のベスプラとはなんぞや？という話題が出たのがキッカケで、改めて自分の理解の棚卸も兼ねて、どういう管理方法をすればいいのかを考えてみました

2025.04.08
AWS Vault

【実践編】HTTPS通信の中身を見て、どのようにしてセキュアな通信が確立されるかを理解する

TLSハンドシェイクの中身を順番に見ていくため、理論編で示したシーケンス図をチラ見しながら本記事を読んでいただけると理解が進みやすいかと思います。

【理論編】HTTPS通信の中身を見て、どのようにしてセキュアな通信が確立されるかを理解する

ん？そういえば、HTTPS 通信では実際どのようにセキュアな通信が確立されているんだろう？とふと気になってしまうこと、ありませんか？私はありました。というわけで、SSL/TLS について...

Oktaのセキュリティの問題をGoで再現する

先日、Oktaでユーザー名が52文字を超えるとどのようなパスワードでもログインできてしまうという問題が公表されました。Goでも試してみます。

2024.11.06
Go言語ハッシュ関数 Okta

TryHackMe でセキュリティを気軽に学ぶ

TryHackMe に関するブログや、最近このようなセキュリティ系の記事が無かったこと、最近私も TryHackMe に課金して利用していることから、今回このテーマで記事を書こうと思い寄稿しました。

学習のSHA 〜ハッシュ関数の基本と安全性について学ぶ〜

暗号技術について学んでいると「ハッシュ値」という言葉に出会いますが、あまり詳細を追ったことはありませんでした。そこで今回はハッシュ関数およびその代表としてSHAに関する歴史や種類についてまとめます。

初心者が暗号の基礎と歴史を勉強して見た

Pythonでいかにして暗号を破るかを用いて、暗号の基礎と、暗号の進化の歴史を勉強しました。

【合格記】Google Cloud Professional Cloud Security Engineer認定資格を振り返る

これまで組織全体のGoogle Cloudプロジェクトを包括的に見る業務に携わっており、主にIAMやネットワークを含むGoogle Cloud環境上の治安維持のような仕事を担ってきました。今回はその経験値を測るべくProfessional Cloud Security Engineer認定資格を受けてきました。

2023.09.21
GoogleCloud 合格記 Udemy PCSE

TetragonでeBPFとセキュリティオブサーバビリティ入門

数年前にクラウドネイティブ注目技術として挙げられたeBPFにかねてよりキャッチアップしたいなと思っていたので、この連載のタイミングでeBPFとその関連プロダクトに入門してみることにしました。CNCFプロジェクト傘下のeBPFを活用したプロダクトとしてはCiliumに触ってみます。

5分でできる。Windowsの脆弱性を「Vuls」で今すぐチェック！

弊チームがOSSとして公開しメンテナンスしている「Vuls」の新機能についてご紹介させていただきたいと思います。皆さんは、自社が保有するサーバやソフトウェアに脆弱性がないかどうか、どのようにチェックしていますか？

2023.05.08
OSS Vuls

Hack The Box Oopsie を解いてみた

Hack The BoxのStarting PointのTIER2のOopsieを解いてみました。

初めてのセキュリティ情報収集（mjckeck4）

初めて脆弱性対応をする方に向けた記事を書いてみようと思います。この時期になると、部門移動等で情報システム部に移動し「何をやっていいのか分からない…」という話も時々聞きます。

Terraformでの機密情報の取り扱い on Google Cloud

最近、Terraform内での機密情報の取り扱いについて触れることがあり、Terraformのv1.4のInteractive input for sensitive variables is now masked in the UI (#29520) についてのENHANCEMENTを取り上げつつ、Terraform環境上での機密情報の取り扱いについて..

VPC Service ControlでGoogle Cloud環境をガッチリ守る

Google CloudのVPC Service Controlsを利用して、リソースへのアクセス制御を行う方法についてTerraformコード付きで紹介していきます。昨今では、個人情報漏洩のニュースが尽きません。少し古いデータではありますが...

俺のシステムがこんなに脆弱性だらけのわけがない(linkedpackageの紹介)

セキュリティに対して、きちんとお金をかけて対応すべきである、というのが近年の風潮です。そんな中、システム開発では多くのオープンソースのコンポーネントを組み合わせてシステムを構築するようになってきたため、使っている部品の脆弱性管理、というのがかなり大きな市場になってきました。当社にはOSSのVulsが有名ですね。

IPAの過去問で学ぶC & C(Command & Control)サーバの手法と対応策

情報処理推進機構(IPA)のネットワークスペシャリスト試験の過去問からC&C(Command & Control)サーバの手法と対応策が興味深かったので自分の知識を整理するためブログにしてみました

IPAの過去問で学ぶDNSキャッシュポイズニングの攻撃手法と対応策

情報処理推進機構のネットワークスペシャリスト試験の過去問を解いていて興味深い問題がありました。

WordPressの脆弱性への攻撃とセキュリティ対策の実施

今回はIT未経験で入社した私が技術面のキャッチアップとして取り組んだ、脆弱性への攻撃および対策方法を共有したいと思います。本記事で、読者の皆さんのセキュリティ分野への関心・理解を深められたり、「文系・IT未経験でも入社半年でこのレベルのことができるようになるのだ！」ということを伝えられたら嬉しいです。今回扱ったのは、WordPressのプラグインFile Managerの脆弱性で、CVE-2020-25213が割り当てられているものです。

2022.04.14
Vuls 脆弱性 JVN FutureVuls

Go言語によるCFB8暗号化

プロジェクトで利用したデータ取得のAPIで、リクエストパラメータを暗号化利用モード「CFB8」で暗号化する必要がありました。この暗号化利用モード「CFB8」をGo言語で実装する際に躓いたため、実装内容を備忘として記載したいと思います。

仮想通貨の個人ウォレットの守り方

秋のブログ週間連載の9日目として、仮想通貨の個人ウォレットのセキュリティの考え方についてお届けします。仮想通貨の存在は、2017年から2018年にかけてのビットコインの暴騰と暴落のニュースを経てもまだまだ「そういう金融商品がある」「取引所を介して売買ができる為替みたいな物」程度の認識でしか一般には浸透していませんでした。ここ1，2年でDeFi（分散型金融）、NFT、GameFiなどの関連市場やエルサルバドルの法定通貨にビットコイン採用といったホットな話題が多数立ち上がり、いよいよ腰を上げて探りを入れ始めたという方も多いのではないでしょうか。

AWS Certified Security - Specialty合格体験記

TIGの伊藤真彦です。先日AWS Certified Security - Specialtyに合格しました。今回も合格体験記を残しておきます。

12 Next