Docker互換のセキュアなコンテナ実行環境「Podman」超入門

2024/07/19 134 users Podman Docker デプロイ Docker互換 超入門

いまやWebアプリの開発やデプロイにおいて、コンテナは欠かせないものになってきました。 コンテナ実行環境にも色々ありますが、その中でも支配的なのがDockerでしょう。 ですがDockerは、その構造上いくつかの問題も抱えています。 今回はDockerと互換性を持ちながらも、よりセキュアに運用できるPo… 続きを読む

セキュアなAWS環境の設計についての解説【2024年版】 - サーバーワークスエンジニアブログ

2024/07/12 289 users AWS環境 サーバーワークスエンジニアブログ 設計 イーゴリ

こんにちは！イーゴリです。 AWS にとって、クラウドのセキュリティは最優先事項です。(AWS公式ページ) AWS環境のセキュリティ対策としてAWSサービスを解説するよりも、まずはAWS環境の最適な設計について考える必要があります。AWS Well-Architected Frameworkを考慮しながらの設計を推奨します。AWS Well-Architected ... 続きを読む

Railsを高速かつセキュアにするHTTP/2プロキシ「Thruster」、37signalsがオープンソースとして公開

2024/03/25 105 users Rails http Railsアプリ 37signals

RailsのためのHTTP/2プロキシ「Thruster」がオープンソースで公開された。ほとんど設定不要で、導入によりRailsアプリをより高速かつセキュアにする。 Ruby on Rails（以下、Rails）の開発元である37signalsは、より高速でセキュアなRailsアプリケーションを実現するHTTP/2プロキシ「Thruster」をオープンソースとして公... 続きを読む

はてなへのログインがパスキーと多要素認証に対応し、よりセキュアになりました - はてなの告知

2024/03/25 129 users 平素 認証 告知 ハスキー 多要素認証

2024/3/25 17:37 追記 Firefox と1Password の組み合わせを利用していた場合、パスキーの生成が失敗する不具合が発生しておりました。現在は修正済みです。ご不便おかけし申し訳ございませんでした。 本文 平素よりはてなをご利用いただきありがとうございます。 はてなIDが「パスキー」「多要素認証」を利用した認証に... 続きを読む

GitHub、脆弱性のあるコードを実際にデバッグして学べる「Secure Code Game」シーズン2がスタート

2024/02/18 347 users GitHub ユニットテスト コーディング 脆弱性 シーズン

GitHubは、脆弱性を含むコードを実際にデバッグすることでセキュアなコーディングを無料で学べる「Secure Code Game」のシーズン2開始を発表しました。 「Secure Code Game」は、ゲームと名付けられていますが、実際のコードを月間60時間無料で提供されるGitHub Codespacesの機能を駆使して修正し、ユニットテストを通し... 続きを読む

「初級から上級までセキュアなAWS環境の作り方」というタイトルでAWS Summit Tokyoのクラスメソッドブースでミニセッションしました #AWSSummit | DevelopersIO

2023/04/20 115 users 臼田 クラスメソッド awssummit AWS 幕張メッセ

こんにちは、臼田です。 みなさん、AWSのセキュリティ対策してますか？(挨拶 今回は、幕張メッセで行われているAWS Summit Tokyoの会場で実施した、クラスメソッドのミニセッションの内容を共有します。 資料 解説 のちほど書きます 参考リンク集 続きを読む

［速報］Google Cloud、「Cloud Workstations」発表。セキュアな開発環境一式をマネージドサービスで提供。Google Cloud Next '22

2022/10/11 102 users マネージドサービス goo To help 開発環境一式

Google Cloudは、開催中のイベント「Google Cloud Next '22」において、あらかじめ設定済みのセキュアな開発環境一式をマネージドサービスで提供する「Cloud Workstations」を発表しました。 To help protect software from the beginning—at the development stage—we’re introducing a new service in Preview at #Goo... 続きを読む

WebAssemblyで、JITコンパイラに迫る高速なJavaScriptエンジンを実装へ。Bytecode Allianceが技術解説。JavaScript以外の言語でも － Publickey

2021/06/06 115 users JITコンパイラ Publickey Mozi fastly

WebAssemblyで、JITコンパイラに迫る高速なJavaScriptエンジンを実装へ。Bytecode Allianceが技術解説。JavaScript以外の言語でも 「Bytecode Alliance」は、WebAssemblyをWebブラウザだけでなく、デスクトップPCやサーバ、IoTデバイスなどあらゆる環境で、セキュアに実行することを目指している団体です。 Fastly、Mozi... 続きを読む

セキュアにGoを書くための「ガードレール」を置こう - 安全なGoプロダクト開発に向けた持続可能なアプローチ - Flatt Security Blog

2021/02/24 224 users ガードレール 持続 アプローチ

The Go gopher was designed by Renee French. (http://reneefrench.blogspot.com/) The design is licensed under the Creative Commons 3.0 Attributions license. 種々の linter が様々なプロダクトの品質を高めてきた、というのは疑う余地のない事実です。実装の初歩的な問題をエディタ内や CI/CD パイプライン中で... 続きを読む

ラズベリーパイ使って宅配便の再配達を撲滅した話（総集編） - West Gate Laboratory

2020/01/26 1051 users ラズベリーパイ キモ 受取 オートロックマンション プロセス

概要 外出時でも荷物を受け取れるように、ラズベリーパイを使って受取までのプロセスをほぼ自動化した話。 我が家がオートロックマンションのため、共同玄関をどうセキュアに開けるかがキモ。 背景 私は宅配便の受取が苦手である。 時間指定できるならまだマシだが、指定したその２～３時間どのタイミングで来るかもわか... 続きを読む

WebAssemblyをあらゆるプラットフォームでセキュアに実行できるようにする「Bytecode Alliance」発足。インテル、Mozilla、Red Hatなど － Publickey

2019/11/18 141 users Publickey WebAssembly インテル 発足

WebAssemblyをあらゆるプラットフォームでセキュアに実行できるようにする「Bytecode Alliance」発足。インテル、Mozilla、Red Hatなど WebAssemblyは、Webブラウザ上でネイティブコードのように高速に実行できるバイナリフォーマットして策定された標準仕様で、すでにChromeやFirefox、Edge、Safariなどの主要ブラウザ... 続きを読む

O'Reilly Japan - ゼロトラストネットワーク

2019/10/10 336 users O'Reilly Japan ゼロトラストネットワーク

ゼロトラストネットワーク ――境界防御の限界を超えるためのセキュアなシステム設計 Evan Gilman、Doug Barth　著、鈴木 研吾　監訳 2019年10月28日 発売予定 304ページ ISBN978-4-87311-888-8 原書: Zero Trust Networks フォーマット ゼロトラストネットワークとは、ファイアウォールやVPNに代表される従来型のセキュリ... 続きを読む

毎日生まれ変わるセキュアな踏み台サーバ - Hatena Developer Blog

2019/09/13 311 users 踏み台サーバ コンテナ はてなインターン2019 作成

こんにちは。 はてなインターン2019 システム基盤開発コースでやったことをお話していきます。 今年のシステム基盤開発コースでは、コードネームphoenixと題して、「毎日生まれ変わるセキュアな踏み台サーバ」の作成に取り組みました。 なぜつくったのか 踏み台サーバ なぜ毎日生まれ変わるのか なぜコンテナを使ったの... 続きを読む

マイクロソフト、AzureやOffice 365にログインできなくなる多要素認証の障害を二度も発生。アップデートしたコードにバグが潜り込んでサーバがフリーズ － Publickey

2018/12/02 116 users Publickey Azure セキュリティトークン パク

マイクロソフト、AzureやOffice 365にログインできなくなる多要素認証の障害を二度も発生。アップデートしたコードにバグが潜り込んでサーバがフリーズ ユーザーIDとパスワードだけでログインが可能なシステムは、もはやセキュアなシステムとはいえません。セキュリティトークンやショートメッセージの利用や、生体認証... 続きを読む

［速報］AWS、独自のセキュアなコンテナ実行用マイクロVM「Firecracker」、オープンソースで公開。AWS re:Invent 2018 － Publickey

2018/11/27 116 users Firecracker Publickey ラスベガス 速報

［速報］AWS、独自のセキュアなコンテナ実行用マイクロVM「Firecracker」、オープンソースで公開。AWS re:Invent 2018 Amazon Web Services（AWS）はラスベガスで年次イベント「AWS re:Invent 2018」を開催しています。 1日目のイベント「Monday Night Live」で、同社はコンテナ実行用に独自開発したスリムな仮想マシン... 続きを読む

Webサーバをセキュアに保つ設定のまとめ

2018/08/31 413 users httpd Webサーバ 設定 まとめ 運用

はじめに Webサーバをセキュアに保つ為、個人的に行っている設定をざっくりまとめてみました。 設定内容はApache 2.4での運用を想定していますので、他のHTTPdをお使いの方は適宜読み替えてください。 各設定項目は以下のオンラインテストサイトでA+相当を取ることを目指しています。 設定ファイル生成 Mozilla SSL Conf... 続きを読む

コンピュータセキュリティと様々なサイドチャネル攻撃｜Rui Ueyama｜note

2018/01/19 123 users コンピュータセキュリティ VMware Note 文書 正面

コンピュータセキュリティというのは微妙なもので、正面からの攻撃には安全でも、攻撃対象とは思われていなかった部分を突くとあっさり情報が盗めるパターンがある。そういう攻撃手法をサイドチャネル攻撃という。ここではサイドチャネル攻撃についていくつか見てみよう。 たとえば社外秘の文書をセキュアにブラウズしたいとしよう。VMwareなどを使って仮想マシンにOSを2つインストールして、通常利用環境とセキュア環境... 続きを読む

Googleは巨大なインフラをどうやってセキュアに保っているか。独自のセキュリティチップ利用やDoS対策、安全なソフトウェア開発など、全体像を解説したホワイトペーパーを公開 － Publickey

2017/01/15 824 users ハードウェア Publickey クラウド ソフトウェア 同社

Googleのクラウドは間違いなく世界最大規模のコンピュータシステムです。膨大なハードウェアとソフトウェアから構成されるこの巨大なシステムを、同社はどうやってセキュアに保っているのか。そのことを解説したホワイトペーパー 「Google Infrastructure Security Design Overview」が公開されました 。 ホワイトペーパーには、Googleのデータセンターを構成するデ... 続きを読む

SMSを使った二要素認証を非推奨〜禁止へ、米国立技術規格研究所NISTの新ガイダンス案 | TechCrunch Japan

2016/07/26 263 users SMS TechCrunch JAPAN NIST 計測 規則

二要素認証(2-factor authentication, 2FA)は優れものだから、それを標準的機能として採用するサービスが増えている。しかし二要素認証のいちばん多い実装方法のひとつであるSMSを、 NIST は除（の）け者にしようとしている。 NISTは計測や測定に関する全国共通のガイドラインや規則を作るお役所だが、当然ながらその関連技術分野は多く、 セキュアな電子的通信に関連する 技術にも... 続きを読む

［速報］Amazon API Gateway発表。スケーラブルかつセキュアに外部へAPIを公開するためのゲートウェイ機能を提供。AWS Summit 2015 New York － Publickey

2015/07/09 150 users アプリケーション Publickey API ネット イベント

Amazon Web Servicesは、現在開催中のイベント「AWS Summit 2015 New York」で、新サービスとなる「Amazon API Gateway」を発表しました。 これを利用することで、Amazonクラウド上のアプリケーションやネットで公開されているアプリケーションからセキュアでスケーラブルなAPIを公開することができるようになります。ネット上でのサービス公開、モバイル... 続きを読む

マスターIT／暗号技術：第1回　暗号化の基礎 - ＠IT

2015/04/26 281 users 基礎 暗号化 第1回 TKIP コンピューターセキュリティ

暗号化技術は、情報の保護やコンピューターセキュリティに欠かせない技術である。今回は暗号化技術の基礎として、暗号化の基本、暗号の安全性、共通鍵暗号と公開鍵暗号について解説。 暗号化技術は、情報の保護やコンピューターセキュリティに欠かせない技術である。ファイルやデータの暗号化の他、HTTPSや、無線LANにおけるWEP／WPA／TKIP／AESのようなセキュアな通信、証明書やデジタル署名、PKIなど、... 続きを読む

はじめてでも爆速でCentOS6.6（さくらのVPS）をセキュアにセットアップする方法まとめ - 憂鬱な世界にネコパンチ！

2015/01/16 878 users VPS ねこぱんち パスワー uname さくら

爆速でセットアップを完了するため、極力コピペで設定できるようにしてみたよ（・∀・） 動作検証は、さくらのVPSで標準OSをインストールして行った。記事執筆時点ではCentOS6.6がインストールされたぞ。 # cat /etc/issue CentOS release 6.6 (Final) # uname -rs Linux 2.6.32-504.3.3.el6.x86_64 rootのパスワー... 続きを読む

これはマスターしたい…ほどけない靴ひもの結び方「イアン結び」＆「イアン・セキュア結び」:らばQ

2014/10/17 1763 users イアン イアン結び 靴ひも 結び方 らばQ

これはマスターしたい…ほどけない靴ひもの結び方「イアン結び」＆「イアン・セキュア結び」 固く結んだつもりでも、靴ひもがほどけてしまうことがあるかと思います。それが雨の日だったり人混みの中だったりしたら最悪ですよね。 シンプルかつ、ほどけにくい結び方を覚えてみてはいかがでしょうか。 「イアン結び」と、よりほどけないアッパーバージョンの「イアン・セキュア結び」をご紹介します。 「イアン結び」（イアン・... 続きを読む

シェルスクリプトの平文パスワードをセキュアにする方法 - 余白の書きなぐり

2014/09/14 362 users シェルスクリプト テクニック 余白 復号化 文字列

2014-04-14 シェルスクリプトの平文パスワードをセキュアにする方法 シェルスクリプト sshを使用している人は文字列を手軽に暗号化・復号化できるという話。 このテクニックを使えば色々セキュアになるのでおすすめ。 今回はシェルスクリプト中の平文パスワードをセキュアに代替する。 平文パスワードはやめよう シェルスクリプト中でパスワードが必要になったとき、 とりあえず平文で書いてしまいがち。 #... 続きを読む

JavaScriptでセキュアなコーディングをするために気をつけること – cybozu.com developer network

2014/05/08 553 users コーディング ゴーディン JavaScript 祐介 天野

（著者：サイボウズ kintone開発チーム 天野 祐介） kintoneはJavaScriptを使って自由にカスタマイズすることができます。 カスタマイズにより独自のリッチなUIを構築したり、新しい機能を追加したりできるようになりますが、セキュアなコーディングをしないとクロスサイトスクリプティング脆弱性を作り込んでしまう危険性があります。 この記事では、JavaScriptでセキュアなコーディン... 続きを読む