Future Tech Blog
フューチャー技術ブログ

Security カテゴリの記事

  • 23
    投稿
  • 15
    著者数
  • 1116
    総シェア数
  • 45
    Twitter
  • 61
    Facebook
  • 745
    はてブ
  • 265
    Pocket

Go1.25 リリース連載 net/http - CSRF対策

マイナーアップデートの net/http での CSRF 対策の強化について触れます。この記事では以下の内容について触れていきます。

GitHub ActionsのCI/CDパイプラインに静的コード解析Sonar Qubeを組み込んでみた

1か月前、情報安全確保支援士を受験してきまして、問題の選択肢にあった SonarQube という初耳ワードがどんなOSSなのか気になりました。タイミングよくこの『CI/CD pipeline』企画を目にしたので、これは私に書けと言っている!と思い、このブログ記事の題材にすることに決め、ミニマム版を実装構築してみました。

Notary v2(Notation)によるコンテナイメージ署名

CNCFのIncubatingプロジェクトである、Notary v2を用いて、コンテナイメージにデジタル署名してみた記事です。

PowerBIによる監査ログ自動化

データ分析ソフトウェアとして知られるBIツールについての入門記事です。PowerBI Desktopを活用して、データ取り込み~分析結果の可視化の一連の手順を紹介します。

【理論編】HTTPS通信の中身を見て、どのようにしてセキュアな通信が確立されるかを理解する

ん?そういえば、HTTPS 通信 では実際どのようにセキュアな通信が確立されているんだろう?とふと気になってしまうこと、ありませんか?私はありました。というわけで、SSL/TLS について...

Oktaのセキュリティの問題をGoで再現する

先日、Oktaでユーザー名が52文字を超えるとどのようなパスワードでもログインできてしまうという問題が公表されました。Goでも試してみます。

TryHackMe でセキュリティを気軽に学ぶ

TryHackMe に関するブログや、最近このようなセキュリティ系の記事が無かったこと、最近私も TryHackMe に課金して利用していることから、今回このテーマで記事を書こうと思い寄稿しました。

package.json dependencies メンテの仕方 最短ルート

package.json の dependencies をメンテナンスするにはどこから手を付ければいいか、を解説します。

初心者が暗号の基礎と歴史を勉強して見た

Pythonでいかにして暗号を破るかを用いて、暗号の基礎と、暗号の進化の歴史を勉強しました。

TetragonでeBPFとセキュリティオブサーバビリティ入門

数年前にクラウドネイティブ注目技術として挙げられたeBPFにかねてよりキャッチアップしたいなと思っていたので、この連載のタイミングでeBPFとその関連プロダクトに入門してみることにしました。CNCFプロジェクト傘下のeBPFを活用したプロダクトとしてはCiliumに触ってみます。

5分でできる。Windowsの脆弱性を「Vuls」で今すぐチェック!

弊チームがOSSとして公開しメンテナンスしている「Vuls」の新機能についてご紹介させていただきたいと思います。皆さんは、自社が保有するサーバやソフトウェアに脆弱性がないかどうか、どのようにチェックしていますか?

Hack The Box Oopsie を解いてみた

Hack The BoxのStarting PointのTIER2のOopsieを解いてみました。

初めてのセキュリティ情報収集(mjckeck4)

初めて脆弱性対応をする方に向けた記事を書いてみようと思います。この時期になると、部門移動等で情報システム部に移動し「何をやっていいのか分からない…」という話も時々聞きます。

Terraformでの機密情報の取り扱い on Google Cloud

最近、Terraform内での機密情報の取り扱いについて触れることがあり、Terraformのv1.4のInteractive input for sensitive variables is now masked in the UI (#29520) についてのENHANCEMENTを取り上げつつ、Terraform環境上での機密情報の取り扱いについて..

VPC Service ControlでGoogle Cloud環境をガッチリ守る

Google CloudのVPC Service Controlsを利用して、リソースへのアクセス制御を行う方法についてTerraformコード付きで紹介していきます。昨今では、個人情報漏洩のニュースが尽きません。少し古いデータではありますが...

俺のシステムがこんなに脆弱性だらけのわけがない(linkedpackageの紹介)

セキュリティに対して、きちんとお金をかけて対応すべきである、というのが近年の風潮です。そんな中、システム開発では多くのオープンソースのコンポーネントを組み合わせてシステムを構築するようになってきたため、使っている部品の脆弱性管理、というのがかなり大きな市場になってきました。当社にはOSSのVulsが有名ですね。

IPAの過去問で学ぶC & C(Command & Control)サーバの手法と対応策

情報処理推進機構(IPA)のネットワークスペシャリスト試験の過去問からC&C(Command & Control)サーバの手法と対応策が興味深かったので自分の知識を整理するためブログにしてみました

IPAの過去問で学ぶDNSキャッシュポイズニングの攻撃手法と対応策

情報処理推進機構のネットワークスペシャリスト試験の過去問を解いていて興味深い問題がありました。

WordPressの脆弱性への攻撃とセキュリティ対策の実施

今回はIT未経験で入社した私が技術面のキャッチアップとして取り組んだ、脆弱性への攻撃および対策方法を共有したいと思います。本記事で、読者の皆さんのセキュリティ分野への関心・理解を深められたり、「文系・IT未経験でも入社半年でこのレベルのことができるようになるのだ!」ということを伝えられたら嬉しいです。今回扱ったのは、WordPressのプラグインFile Managerの脆弱性で、CVE-2020-25213が割り当てられているものです。

仮想通貨の個人ウォレットの守り方

秋のブログ週間連載の9日目として、仮想通貨の個人ウォレットのセキュリティの考え方についてお届けします。仮想通貨の存在は、2017年から2018年にかけてのビットコインの暴騰と暴落のニュースを経てもまだまだ「そういう金融商品がある」「取引所を介して売買ができる為替みたいな物」程度の認識でしか一般には浸透していませんでした。ここ1,2年でDeFi(分散型金融)、NFT、GameFiなどの関連市場やエルサルバドルの法定通貨にビットコイン採用といったホットな話題が多数立ち上がり、いよいよ腰を上げて探りを入れ始めたという方も多いのではないでしょうか。

Vulsの歴史

私の所属するCSIGは、セキュリティ関連のコンサルティングや実装などを行っています。また、セキュリティスキャナである Vuls やその商用版であるFutureVulsを開発/運営しています。今回、「秋の読書週間として、読み物成分の多い記事を」という事なので、BlackHatなどでも取り上げられたVulsについて書こうと思います。

公開鍵暗号(非対称鍵暗号)の仕組みをわかりやすく解説してみる

「公開鍵で暗号化されたデータは対応する秘密鍵でしか復号できない」。最初にこの説明を聞いた時にそんな鍵がありえるのか?と疑問に思いました。技術力もなかった当時は不思議で仕方ありませんでした。自分で利用することもないし、知識として覚えておこうぐらいの感覚でいたのですがある程度技術力がついた今日では、常日頃からHTTPSや...

JANOG38にてVulsの発表を行いました

めんそーれ!!!インターネット系カンファレンスで日本最大規模であるJANOG38にて、ちまたで話題沸騰中のLinux/FreeBSD脆弱性スキャナVulsの発表を行いました。作者の神戸です。