Future Tech Blog
フューチャー技術ブログ

Security カテゴリの記事

  • 36
    投稿
  • 22
    著者数
  • 1345
    総シェア数
  • 56
    Twitter
  • 62
    Facebook
  • 902
    はてブ
  • 325
    Pocket

Go1.26 リリース連載 runtime/secret (experimental)

Go 1.26 で New experimental として追加されるruntime/secretを、特にどのような議論がされてきたかについて見ていきます...と思っていたのですが、既に mattn さんがこのパッケージの概説と実験をされています。

情報処理安全確保支援士試験に合格しました

半年ほどの英語留学から帰宅したら、IPA(独立行政法人 情報処理推進)から茶封筒が届いていました。開封したところ、なんと「情報処理安全確保支援士試験」の合格通知が入っていました。せっかくなので、現時点から思い出せる範囲で、私が勉強した内容や、忙しい業務や留学準備の合間でどのようにモチベーションを維持したのかをご紹介していきます。

リスクアセスメント ーリスクの可視化から意思決定までー

サイバーセキュリティ界隈の文脈で「リスクの可視化~意思決定」がどのように行われるのかをお話します。

Go1.25 リリース連載 net/http - CSRF対策

マイナーアップデートの net/http での CSRF 対策の強化について触れます。この記事では以下の内容について触れていきます。

Notary v2(Notation)によるコンテナイメージ署名

CNCFのIncubatingプロジェクトである、Notary v2を用いて、コンテナイメージにデジタル署名してみた記事です。

PowerBIによる監査ログ自動化

データ分析ソフトウェアとして知られるBIツールについての入門記事です。PowerBI Desktopを活用して、データ取り込み~分析結果の可視化の一連の手順を紹介します。

AWSアクセスキー管理について考えてみる

社内Slackにてユーザーが利用するAWSアクセスキー管理のベスプラとはなんぞや?という話題が出たのがキッカケで、改めて自分の理解の棚卸も兼ねて、どういう管理方法をすればいいのかを考えてみました

【実践編】HTTPS通信の中身を見て、どのようにしてセキュアな通信が確立されるかを理解する

TLSハンドシェイクの中身を順番に見ていくため、理論編で示したシーケンス図をチラ見しながら本記事を読んでいただけると理解が進みやすいかと思います。

【理論編】HTTPS通信の中身を見て、どのようにしてセキュアな通信が確立されるかを理解する

ん?そういえば、HTTPS 通信 では実際どのようにセキュアな通信が確立されているんだろう?とふと気になってしまうこと、ありませんか?私はありました。というわけで、SSL/TLS について...

Oktaのセキュリティの問題をGoで再現する

先日、Oktaでユーザー名が52文字を超えるとどのようなパスワードでもログインできてしまうという問題が公表されました。Goでも試してみます。

TryHackMe でセキュリティを気軽に学ぶ

TryHackMe に関するブログや、最近このようなセキュリティ系の記事が無かったこと、最近私も TryHackMe に課金して利用していることから、今回このテーマで記事を書こうと思い寄稿しました。

学習のSHA 〜ハッシュ関数の基本と安全性について学ぶ〜

暗号技術について学んでいると「ハッシュ値」という言葉に出会いますが、あまり詳細を追ったことはありませんでした。そこで今回はハッシュ関数およびその代表としてSHAに関する歴史や種類についてまとめます。

初心者が暗号の基礎と歴史を勉強して見た

Pythonでいかにして暗号を破るかを用いて、暗号の基礎と、暗号の進化の歴史を勉強しました。

【合格記】Google Cloud Professional Cloud Security Engineer認定資格を振り返る

これまで組織全体のGoogle Cloudプロジェクトを包括的に見る業務に携わっており、主にIAMやネットワークを含むGoogle Cloud環境上の治安維持のような仕事を担ってきました。今回はその経験値を測るべくProfessional Cloud Security Engineer認定資格を受けてきました。

TetragonでeBPFとセキュリティオブサーバビリティ入門

数年前にクラウドネイティブ注目技術として挙げられたeBPFにかねてよりキャッチアップしたいなと思っていたので、この連載のタイミングでeBPFとその関連プロダクトに入門してみることにしました。CNCFプロジェクト傘下のeBPFを活用したプロダクトとしてはCiliumに触ってみます。

5分でできる。Windowsの脆弱性を「Vuls」で今すぐチェック!

弊チームがOSSとして公開しメンテナンスしている「Vuls」の新機能についてご紹介させていただきたいと思います。皆さんは、自社が保有するサーバやソフトウェアに脆弱性がないかどうか、どのようにチェックしていますか?

Hack The Box Oopsie を解いてみた

Hack The BoxのStarting PointのTIER2のOopsieを解いてみました。

初めてのセキュリティ情報収集(mjckeck4)

初めて脆弱性対応をする方に向けた記事を書いてみようと思います。この時期になると、部門移動等で情報システム部に移動し「何をやっていいのか分からない…」という話も時々聞きます。

Terraformでの機密情報の取り扱い on Google Cloud

最近、Terraform内での機密情報の取り扱いについて触れることがあり、Terraformのv1.4のInteractive input for sensitive variables is now masked in the UI (#29520) についてのENHANCEMENTを取り上げつつ、Terraform環境上での機密情報の取り扱いについて..

VPC Service ControlでGoogle Cloud環境をガッチリ守る

Google CloudのVPC Service Controlsを利用して、リソースへのアクセス制御を行う方法についてTerraformコード付きで紹介していきます。昨今では、個人情報漏洩のニュースが尽きません。少し古いデータではありますが...

俺のシステムがこんなに脆弱性だらけのわけがない(linkedpackageの紹介)

セキュリティに対して、きちんとお金をかけて対応すべきである、というのが近年の風潮です。そんな中、システム開発では多くのオープンソースのコンポーネントを組み合わせてシステムを構築するようになってきたため、使っている部品の脆弱性管理、というのがかなり大きな市場になってきました。当社にはOSSのVulsが有名ですね。

IPAの過去問で学ぶC & C(Command & Control)サーバの手法と対応策

情報処理推進機構(IPA)のネットワークスペシャリスト試験の過去問からC&C(Command & Control)サーバの手法と対応策が興味深かったので自分の知識を整理するためブログにしてみました

IPAの過去問で学ぶDNSキャッシュポイズニングの攻撃手法と対応策

情報処理推進機構のネットワークスペシャリスト試験の過去問を解いていて興味深い問題がありました。

WordPressの脆弱性への攻撃とセキュリティ対策の実施

今回はIT未経験で入社した私が技術面のキャッチアップとして取り組んだ、脆弱性への攻撃および対策方法を共有したいと思います。本記事で、読者の皆さんのセキュリティ分野への関心・理解を深められたり、「文系・IT未経験でも入社半年でこのレベルのことができるようになるのだ!」ということを伝えられたら嬉しいです。今回扱ったのは、WordPressのプラグインFile Managerの脆弱性で、CVE-2020-25213が割り当てられているものです。

Go言語によるCFB8暗号化

プロジェクトで利用したデータ取得のAPIで、リクエストパラメータを暗号化利用モード「CFB8」で暗号化する必要がありました。この暗号化利用モード「CFB8」をGo言語で実装する際に躓いたため、実装内容を備忘として記載したいと思います。