AWSの様々なサービスでは、ログをS3バケットに保管できる仕様になっています。 しかし、残念なことにAmazon InspectorにはS3バケットへの出力機能がありません。 今回は、マルチアカウント・マルチリージョン環境でのInspectorの検知結果を、どのように1つのS3バケットに集約するかについて考えていきます。 1.Amazon Inspectorの評価結果の出力機能について Amazon Inspectorの脆弱性の評価結果を、S3に出力することはできません。 評価結果には以下のいずれかでアク

BIGLOBE鈴木(研)です。 無事に申請内容が受理されて、vEXPERT生活2年目に入ることが出来ました。 星が2つになりました。 vExpertのポータルサイトのDirectoryで「japan」で絞り込んでみると、71名が日本のメンバのようです（ワールドワイドで2000名弱）。 本来は、3/5のUserCON2020というイベントのレポートでもしようかと思ってたんですが、 新型コロナウイルスの影響で延期となったため、最近BIGLOBEでの作業でドタバタした技術ネタでも書きたいと思います。 ■突然VM

HTTPセキュリティヘッダーとは 「HTTPセキュリティヘッダー」とは、Webブラウザでのセキュリティ対策のために使用されるHTTPヘッダーです。 Webブラウザがセキュリティヘッダーの設定内容に従って動作することで、クロスサイトスクリプティング(XSS)やクリックジャッキング(Clickjacking)などの攻撃を困難にすることができます。（WebブラウザがHTTPセキュリティヘッダーに対応していることが前提になります） また、nginxやApacheなどのWebサーバーでもこれらのSecurity H

Cognitoのアドバンスドセキュリティ機能（ASF:Advanced Security Feature)とは Cognitoの「アドバンスドセキュリティ機能」はユーザープールのオプションの一つで 対象のCognitoユーザープールに ・侵害された資格情報（ユーザー名とパスワードのペア）の保護 ・リスクベースの適応認証 のセキュリティ機能を追加できるオプションになります。 下記のようにCognitoのユーザープールの「全般設定」に「アドバンスドセキュリティ」の項目があります。 「侵害された資格情報の保護」

「Amazon Cognito」とは 「Amazon Cognito」は、Webアプリケーションやモバイルアプリケーションの認証、許可、ユーザ管理をしてくれるサービスです。 アプリユーザは、Cognitoのユーザディレクトリである「ユーザプール」を通じて直接サインインしたり、サードパーティーのIDプロバイダー(IdP) を通じて連携してサインインすることもできます。 まとめると、Cognitoを使うことで下記のようなメリットがあります。 ・モバイルアプリケーションやウェブアプリケーションにユーザのサインア

こんにちは BIGLOBE 梅津です。 2019年の12月2日〜6日まで開催された「AWS re:Invent 2019」に参加しました。 私は今回初めての参加でしたが、その際に気づいたことや来年参加する方に役立つ情報を書いていきたいと思います。 セッション予約 出発前の準備として一番比重が高いと思われるのは、現地でのセッション予約です。 セッション情報は開催の2カ月前に発表されます。 この時点では全てのセッションが公開されている訳ではないので、公開された後も逐次チェックが必要です。 セッション情報が発表

この度は、2/9(日)~2/11(火)に練馬区の産業プラザ Coconeri ホールにて開催された PHPerKaigi2020 にプラチナスポンサーとして協賛し、また4名のメンバーが登壇しました。 今回は上記メンバーの他に一般聴講者として参加した4名のメンバーからの参加レポートをお届けします！ 参加レポート（栗田） 概要 Service Dev Sectionに所属しています 栗田 です。 2020年2月9日（日）〜2月11日（火・祝)に開催されたPHPerKaigi 2020に聴講者として参加しました

はじめに 株式会社リビルドの鈴木です！ 2020/2/11(火)のPHPerKaigi 2020の3日目で登壇してきました！ 当日は何百名の方が来場されました。 以下はイベント詳細ページになります。 phperkaigi.jp PHPerKaigi 2020とは？ PHPerKaigi（ペチパーカイギ）は、PHPer、つまり、現在 PHP を使用している方、過去に PHP を使用していた方、これから PHP を使いたいと思っている方、そして PHP が大好きな方たちが、技術的なノウハウと PHP 愛を共有

はじめまして、ネットワークサービス部 山本です。 1/22-24の3日間で開催されたJANOG45 Meeting in Sapporoに参加しましたので、その模様をご紹介します。 JANOG とは？ JANOGとはJApan Network Operators' Groupを意味し、インターネットに於ける技術的事項、および、それにまつわるオペレーションに関する事項を議論、検討、紹介することにより日本のインターネット技術者、および、利用者に貢献することを目的としたグループです。( JANOG 公式 より引

こんにちは。delyのSREの井上です。 delyは先日開催された SRE NEXT 2020 にGOLDスポンサーとして協賛をさせていただきました！当日はセッション枠を頂き、「delyにおける安定性とアジリティ両立に向けたアプローチ」をテーマに発表もさせていただきました。 セッションでは、 前半：SRE本に則った理論の話 SREはプロダクト開発の速度を安全に高めるために存在しているということ プロダクト開発の速度を安全に高めるためには単純さを追求することが重要であること 後半：前半の理論に則ったdely

技術三課の杉村です。これからAWSを本格的に利用していこうと思っている方のために、AWSにおけるセキュリティの基本であるAWSアカウントとIAM (Identity and Access Management)の違いについて解説します。 AWSビギナーの方でも理解いただけるよう表現を抽象化したり、あえて深く説明していない部分もありますが、まずは概要を理解するためのものとお考えください。 1. AWSアカウント 1-1. AWSアカウントとは AWSアカウント（エーダブリューエスアカウント）は、身近な言葉で

はじめに 株式会社リビルドの鈴木です！ 2020/1/30(土)にJAMSTACK Meetup #1 with microCMSで主催&登壇してきました！ 約40名の方が来場されました。 以下はイベント詳細ページになります。 re-build.connpass.com JAMSTACKとは？ JAMSTACKは、「 JavaScript 」「APIs」「Markup」という3つの技術を組み合わせた、新しいWebアプリケーション アーキテクチャ です。 パフォーマンスの改善、セキュリティの担保、ス

はじめまして！技術開発部セキュリティグループの花塚です。 LIFULL Creators Blogにセキュリティグループが登場するのは初めてですね。 セキュリティグループでは、脆弱性診断や脆弱性の調査、セキュリティツールの開発など、幅広い業務を行っています。 今回は、脆弱性可視化基盤を開発した話を紹介したいと思います！ 主に開発の経緯から、技術的な構成、そして、これからのことについて、まとめています セキュリティに関わる人にとって、少しでも参考になれば嬉しいです。 目次 目次 目的と経緯 脆弱性情報をスム

新年あけましておめでとうございます。CI部5課の山﨑です。研修を終えて無事に大阪に帰還してホッとしている最近です。 今回はIAMロールについて理解が浅かったので、基本的な操作にはなりますが手を動かして実際の動きを見てみました。 そもそもIAMとは IAMは AWS Identity and Access Managementの略で、AWSリソースへのアクセスを安全に管理するためのWebサービスで、AWS Well-Architected Frameworkの「セキュリティ」における5つのベストプラクティス

2019/12月下旬に、NTTグループ全体でNTT Coding Challenge 2019(競技プログラミング大会)を、 日本電信電話株式会社 と、NTTコミュニケーションズと共同で開催いたしました。 本記事では、競技プログラミングについて、イベントの簡単な紹介、また当日の様子について紹介いたします。 競技プログラミングおよびNTT Coding Challenge2019とは 競技プログラミングとは、広義でいえばセキュリティ関連で行われるCTF(Capture The Flag)や、パフォーマンスチ