こんにちは、サーバーワークスの三井です。 少しばかり遅くなってしまいましたが、HTTPSやSSH、IPSecなどセキュアな接続に幅広く使われているTLSプロトコルに、「Logjam」と呼ばれる脆弱性が見つかり、日本でもぼちぼち話題となっています。まずは慌てずに状況を確認し、対策を実施しましょう。 （※本記事は、AWS環境でELBを用いたSSL Terminationを行っている方を主たる対象としています。予めご了承ください。）

みなさんこんにちは、技術2課の山田です。 今回は 株式会社アイピーキューブ さんが提供している Authway で、 WorkSpaces へ MFAを導入する方法をご紹介します。 Authway とは ? ワンタイムパスワード（OTP）認証システム「AuthWay」（オースウェイ）は、より高度なセキュリティを担保するワンタイムパスワード認証機能を提供する製品です。AuthWayを導入することにより、堅牢で強固な認証基盤を低コストで構築・運用することができます。 Authway http://www.ip

Street Workoutを日本に広めたい、高橋（技術1課）です。近頃は鉄棒のある公園が限られていて寂しい限りです。 さて今回はクラウド対応型WAFサービスの、Imperva社のSecureSphereをご紹介します。

OpenSSLに新たに脆弱性が見つかっております。過去のものも含めて内容と対策が発表されておりますのでご紹介します。

インプリメンテーション部（大阪）の永田です。 昨日1/27に、Linux系OSで使われているglibcに重大な脆弱性が見つかりました。この脆弱性は"Ghost"と呼ばれ巷でも話題にあがっていますが、当ブログでも影響、対象確認方法、対応方法について、ご紹介させていただきます。 ■影響 悪意のある第三者から、リモートでコード実行される可能性があります。glibc2.2〜2.17までのバージョンに影響があります。Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7,

先日、NTPに脆弱性が見つかり対応する必要がありました。 Amazon Linux ALAS-2014-462 Red Hat Enterprise Linux CVE-2014-9296CVE-2014-9294CVE-2014-9295CVE-2014-9293 対応すると言っても一言でいえばNTPを更新すれば良いのですが、対象のサーバが何十台、何百台あると大変です。いわゆる刺身タンポポな作業になります。人生は有限です。2014年ももうすぐ終わりです。機械に任せられるところは任せたいものです。「機械に

DNSソフトウェアにおける実装上の問題で、DNSサーバープロセスに対し外部からの攻撃が可能になる脆弱性が発表されました。 対象となるDNSソフトウェアは以下の通りです。 全てのバージョンのBIND9全てのバージョンのUnbound全てのバージョンのPowerDNS Recursor 対策としましては、DNSソフトウェアをバージョンアップすることです。 詳細はこちらをご参照ください。 Amazon Route53がこの脆弱性の対象となる報告は現在ございません。 AWSで「Route53でプライベートDNSで

こんにちは。日本食って本当に美味しいなと感じているセールスの永淵（@Nagafuchik）です。 今回は、AWS re:Invent 2014 Day3(Thursday)にありましたセッション「Architecting for End-to-End Security in the Enterprise」のセッションに参加しましたので様子をレポートします。 このセッションではAWS上でユーザーが実施すべきセキュリティ対策とその事例としてBoeingの事例が公開されました。 セキュリティの脅威は年々高まって

MySQL5.5および5.6に脆弱性が見つかりました。アップグレードを実施し、5.5は5.5.40に、5.6は5.6.21にアップグレードする必要があります。 AWSからのお知らせ日本語版 AWSからのお知らせ英語版 下記「続きを読む」から 詳細や対処方法をお知らせします。 2014年10月21日 18:45 JST 更新MySQL 5.6の新バージョンへの自動アップグレードに関しては現在一旦延期とのことです。いつ再開かはAWSからの続報待ちです。 2014年10月26日 18:50 JST 更新MySQ

先日、bashに脆弱性が見つかり対応する必要がありました。 Amazon Linux CVE-2014-6271対策 ALAS-2014-418 CVE-2014-7169対策 ALAS-2014-419 Red Hat Enterprise Linux CVE-2014-6271対策 特別に作成された環境変数を使用した Bash コード挿入の脆弱性 (CVE-2014-6271) CVE-2014-7169対策 Bash Code Injection Vulnerability via Speciall

bashの脆弱性「ShellShock」に関するEC2の対応状況をお知らせします。 脆弱性情報 CVE-2014-6271 CVE-2014-7169 Amazon Linux AMI Security Advisory: ALAS-2014-418 Amazon Linux AMI Security Advisory: ALAS-2014-419 EC2上にて利用できる対策済みパッケージ ディストリビューション CVE-2014-6271 CVE-2014-7169 Amazon Linux i686

こんにちは。新規事業本部・金融グループの金（成奉）です。 前回（ PHPコンパイルによる高性能のFastCGIウェブサーバー構築とチューニ&#x3

最近北九州が熱いなと感じている小室＠福岡です。 先日JAWS-UG北九州・福岡合同主催-１から学ぶクラウドのセキュリティ勉強会＠北九州が開催されてたので参加＆登壇してきました！ １から学ぶクラウドのセキュリティ勉強会＠北九州 http://jaws-kitaq.doorkeeper.jp/events/13701日時: 2014-08-23（土）13:00 - 18:00場所: fabbit http://fabbit.in/ まとめ http://togetter.com/li/711388

Apple原理主義者の大坪です。 先日Google I/Oに参加するチャンスを得ました。Apple主催のWWDC2014ではなくGoogle I/Oです。何故Apple原ry)が？と問うのであれば、抽選の神様に聞いてくださいとしか答えようが無い。いくら私がAppleを愛していようが、さいころの目が「否」とでればWWDCに参加することはできない。何かの気まぐれでGoogleがふったサイコロが「正」と出ればそちらに参加する権利が得られる。細かいことは抜きにしてとにかく行くのです。そして行ったのです。ああ、世の

先日、OpenSSLに脆弱性が見つかり対応する必要がありました。対応すると言っても一言でいえばOpenSSLを更新すれば良いのですが、対象のサーバが何十台、何百台あると大変です。 いわゆる刺身タンポポな作業になります。人生は有限です。機械に任せられるところは任せてさっさとビールでも飲みたいものです。「機械に任せて」の部分をFabricでやってみます。