「セキュリティ」に関連する技術ブログ
企業やコミュニティが発信する「セキュリティ」に関連する技術ブログの一覧です。
全1106件中 1006 - 1020件目
【Rails】WEB APIを長く運用するための仕組み化
2017/03/28
ブックマーク
こんにちは、バックエンドエンジニアのじょーです。大規模なサービスのAPIを開発する際に、ルールを決めずに開発していると無秩序なコードが散見される運用がしづらいAPIになってしまいます。また、ルールを決めたとしても共有が上手くいかないなどの理由で守られなくなってしまうこともあると思います。 本記事では、APIを運用しやすくするために、ただルールを
Alert LogicでWAF環境を構築してみた
2017/03/02
ブックマーク
こんにちは、技術3課の紅林です。社内のドラゴンクエスト部の活動が活発な昨今です。わたしが好きなドラクエの曲は「戦火を交えて」です。 今回、Alert Logic社の提供するサービスの中のWAFに該当するWeb Security Managerを使ってみましたので、サービス概要、導入の流れ等をご紹介します。 はじめに:Alert Logicとは Alert Logic(以下、適宜AL)はAlert Logic社が提供するSecurity-as-a-Ser
APIStudy #5参加レポート
2017/02/23
ブックマーク
APIStudy #5参加レポート 2月21日、高円寺のヴァル研究所にてAPIStudy#5が開催されました。これはAPI設計のベストプラクティスを皆で考えるというLTとワークショップの形式で行われている勉強会になります。 今回はその参加レポートになります。 APIを巡る動き まず最初に主催であるアプレッソの脇野さんによる発表がありました。この1、2月の間にAPI関連のニュースをよく見
IAMユーザーにポリシーをアタッチ/デタッチするアクションをリリースしました
2017/02/13
ブックマーク
こんにちは、Cloud Automator 開発チームの山田です。 Cloud Automator はサービス開始時より、AWS環境におけるセキュリティ強化を支援する機能を提供して参りました。 また、サービス開始後も「セキュリティグループにインバウンドルールを追加/削除するアクション」や「構成レビュー機能」などセキュリティ関連の機能を強化しております。 先ほど「IAMユーザーにポリシー
多要素認証を使った運用でもっと安全に
2017/02/08
ブックマーク
こんにちは、カスタマー・サポート課のマツシタです。 AWSアカウントの特にrootアカウントは多要素認証(MFA)を設定することが強く推奨されています。ただ、多要素認証を設定するだけで安全と言えるでしょうか? 今日はAWSアカウント運用のセキュリティのさらなる強化を考えてみたいと思います。 多要素認証に今、求められているもの 多要素認証を設定しない場合、
CloudFront + S3 での IP アドレスベースのアクセス制限設定をする
2017/01/26
ブックマーク
こんにちは、インフラストラクチャー部の沼沢です。 今回は、CloudFront + S3 での IP アドレスベースのアクセス制限を実現する方法をご紹介します。 実現したかったこと 特定の外部拠点から参照されるファイルを S3 に配置したい 独自ドメインが使いたかったため、CloudFront を前段に用意 ファイルへのアクセスを特定の外部拠点の IP アドレスのみに制限したい S3 の URL への
APIでリアルタイムコミュニケーションを実現するには
2017/01/23
ブックマーク
APIは一般的にプル型の技術です。クライアント側からアクセスがあるまでは待ちの状態になります。クライアント側から見ても、サーバ内部でどのデータが更新されているのかはアクセスしてみるまで分かりません。この手の問題で厄介になるのが「どのデータが削除されたのか」が確認しづらいということです。すべてのデータを見た上で、抜け落ちていれば削除され
OWASP ZAP APIを使って脆弱性診断
2016/12/17
ブックマーク
こんにちは。システム本部の山田です。 (この記事は mediba Advent Calendar 2016 の19日目です) 弊社では機械的に実施する脆弱性診断はOWASP ZAPを利用しており、アプリを立ち上げGUIから脆弱性診断を実施しています。ただ継続的に実施していくには面倒でつい後回しになるため、自動化して開発プロセスに組み込む検討を始めました。 調査の際に作ったOWASP ZAP APIを使ったサンプ
[AWS][Python]Lambdaでタグを判別してEC2インスタンスを削除するスクリプトを作ってみた
2016/12/13
ブックマーク
みなさんこんにちは! 12月に入社しました、 インフラストラクチャー部のあだちん(安達)です。 まだ入社したばかりなのに、もうブログ書くの!? てな感じですが笑 さてさて、 medibaでは検証としてAWSを思う存分使える制度があります。 (hoge万円まで)→素晴らしい しかし、開発メンバーらが、そのままインスタンス起動しっぱなしで、 コストが上がったり。。 セキュリ
サーバーレスへの道(3) ~アウトソーシング~
2016/12/09
ブックマーク
前前回の記事「サーバーレスへの道(1) ~DevOpsと人~」前回の記事「サーバーレスへの道(2) ~アーキテクチャとセキュリティ~」に続き、A Cloud Guru の John McKim (@johncmckim) さんがサーバーレスについての記事「Adopting Serverless — Outsourcing」を書いてくれました。John さんに許可をいただきまして翻訳してみました。 https://twitter.com/johncmckim/status/800996459688513536 ↓ここから翻訳↓ サー
スクレイピングとAPIの違い
2016/11/20
ブックマーク
APIは外部リソースからデータを取得して他のデータと合わせて自分たちのサービスに付加価値を追加できますが、同じように外部からデータを取得する手法としてスクレイピングが知られています。今回はスクレイピングとAPIの違いを紹介します。 スクレイピングとは? スクレイピングはサーバサイドのプログラミング言語を使って外部サーバへアクセスし、そのコンテ
サーバーレスへの道(2) ~アーキテクチャとセキュリティ~
2016/11/11
ブックマーク
前回の記事「サーバーレスへの道(1) ~DevOpsと人~」に続き、A Cloud Guru の John McKim (@johncmckim) さんがサーバーレスについての記事「Adopting Serverless — Architectures and Security」を書いてくれました。John さんに許可をとったうえで翻訳してみました。 https://twitter.com/johncmckim/status/793660981968642048 ↓ここから翻訳↓ サーバーレスへの道(2) ~アーキテクチャとセキュリティ~ サーバレスア
構成レビュー機能に新しいポリシーを追加しました
2016/11/09
ブックマーク
こんにちは、Cloud Automatorの柳瀬です。 全ページをSSL化してセキュリティを高めるウェブサイトが増えておりますが、SSLサーバー証明書の運用管理は手作業となることも多くそれなりのコストがかかります。 こちらの記事でご紹介したように、AWS には Certificate Manager という SSL 証明書の運用管理を簡単にするサービスがあり、前回のリリースで「タグで指定されたディスト
JavaScriptによる外部データの取得方法について
2016/11/08
ブックマーク
Webブラウザは常にセキュリティ、ユーザへの安全なインターネット提供を前提に作られています。そのため外部リソースを組み合わせて使うAPIとは相性が悪いことがあります。iOSやAndroidといったスマートフォンアプリやサーバサイドのプログラミング言語では当たり前のようにできることがWebブラウザではできないのです。 今回はAPI利用時に注意したいJavaScriptによる外
BASEドメインをご利用の全てのショップで常時SSLが使えるようになりました
2016/10/05
ブックマーク
皆さん。こんにちは。BASEの藤川です。 今年の4月頃に、BASEドメインの常時SSL化の取り組みについて発表させていただきました。 thebase.in リリース時は、新規登録ショップのみの対応だったのですが、本年の9月末に、全てのBASE社においてご提供しているドメイン(thebase.inや、shopselect.netなど...)をご利用のお店においてSSLがお使いいただけるようになりました。 3月末以降