忙しい人のためのセキュリティ・インテリジェンス No.35 - 2021/05/24
今週のおすすめ/一言所管
ちょっと薄味week
Microsoft
AzureAD
AzureADのauthentication context. アプリ側の改修が必要。
アプリ側がchallengeにacrを設定すると、事前設定したcontextによって条件付きアクセスやmipsの対象とすることができる(アクション自体はそれぞれの機能で実現?)
合わせて読みたい
Defender
Sentinel
Compliance
Intune/Windows10
他
Azureの新しいサービス。多分、AWSのQLDBみたいなもん
検証と確認、データの処理がおこなわれたこと・拒否されことを検証・確認すること
DBにログ保管しても、それが侵害されたら何の意味もなくなるよね
例: 金融のトランザクションや、IT部門の管理・変更
これらの課題にTrusted Computing Baseと分散台帳を使ってシステム的な解決を試みるのが、Azure Confidential Ledeger
Intel SGXをバックエンドに採用しているAnonifyは、まずIntel SGXを用意するのが大変
ので、Azure Confidental Computingを使って動かそう。そのセットアップ手順を紹介している記事
ステップバイステップでわかりやすい
Azure COndiential COmputing, Intel SGX何もしなくても動いてくれると思ったけど、自分でリポジトリからセットアップしないといけないんだ。大変...
Intelに開発者登録できるのしらなかった
AWS
Google
トラスト/ガバナンス
イギリスで導入された http://GOV.UK Verify の見直しの報告書を見ると、当初のもくろみに反して銀行の口座開設やソーシャルメディアの身元確認の eKYC として使われていない。 https://gyazo.com/961a72e2075eecc2d9a7379a1498f555
単純なRFIDリーダでないことは一目瞭然
ブロックチェーン/Confidential Computing
以下、代表格
AMD SEV: Secure Encrypted Virtualization
Intel TDX: Trust Domain Extensions
ARM CCA: Confidential Compute Architecture
Amazon: Nitro
脅威/脆弱性/インシデント
金融
当人認証の話。
全体的な不正送金リスクを抑えるために、設計からセキュリティ要件考える、多要素認証使う、業界横断の異常検知するとか
新しい金融サービスの登場で戦線が拡大する中で、金融機関の経営陣がリスク把握しきれてないのではと懸念をする、オンサイト(検査)とオフサイト(監督)が一体化した金融庁のお話
適格機関投資家のみに限定されていた非上場株の勧誘対象を特定投資家までに緩和するお話
行政/会社/団体
ツール/サービス/OSS
CloudflareによるSOC as a Serviceを開始
おお、と思うが、SIer的なSOCサービスから見て、中身がドラスティックとは言い難い
ので、これは、単にCloudflareがSOCビジネスを始める、という記事っぽい。
ベースライン、セキュリティプラン、アセスメント計画・結果をマシーンリーダブルに表現するフォーマットのこと
YAML, JSON, XMLをサポート
AzureADのTerraform Providerがv1.5.0でMicrosoft Graphをβサポートするようになった話
イベント/勉強会/発表資料
CIにどう権限を渡すかっていう話
Mfa作戦よさそう。cloudshellは起動まで長いからストレス高そう?
加えて、JWTによる AssumeRoleWithWebIdentity という手法もあり、試してみたいところ
Web問題でX-Forwarded-For を設定したら内部ネットワークの送信元と偽装できちゃった話
time.sleepのようなアプリロジックの脆弱性をついた話
インデックス in MySQLのB+Treeインデックスに関する話
勉強になる
その他