🎉
クラウドセキュリティ初学者によるセキュリティ関連リンクの備忘録
普段クラウド (AWS) を利用して開発しているセキュリティ初学者がセキュリティに関連する情報を書籍や過去のセキュリティインシデント対応経験などから収集し、用途別に分類したリンク集を備忘録として残します。
セキュリティリスク分析やセキュリティインシデントレスポンス、日々の開発などに役立てたいと思っています。
開発関連
システムの開発時に気をつけることが載っているリンクです。
(アプリケーションからインフラまで)
IPA (経済産業省のIT政策実施機関)
-
安全なWebサイトの作り方
- 用途: 安全なWebサイトを構築するためのガイドライン
- URL: https://www.ipa.go.jp/security/vuln/websecurity/about.html
-
暗号鍵管理ガイドライン
- 用途: 暗号鍵の適切な管理方法についての指針
- URL: https://www.ipa.go.jp/security/crypto/guideline/ckms.html
JPRS (日本レジストリサービス)
-
DNS関連技術情報
- 用途: DNSに関する技術的な情報を提供
- URL: https://jprs.jp/tech/index.html#dns-notice
-
DNS関連のセキュリティ情報
- 用途: DNSセキュリティの最新情報を提供
- URL: https://jprs.jp/tech/index.html#dns-security-info
セキュリティポリシー / リスク分析
組織や企業が情報資産やシステムを保護するために定めた方針やルール・ガイドラインのリンク集です。
また、システムのリスク分析をする際に参考になるリンクです。
IPA
-
制御システムのセキュリティリスク分析ガイド 第2版
- 用途: 制御システムのリスク分析に関するガイドライン
- URL: https://www.ipa.go.jp/security/controlsystem/riskanalysis.html
- 備考: リスク分析したいときの具体的なチェックリストテンプレートや例も載っているので参考になります。
ISMS
-
ISO/IEC27001
- 用途: 情報セキュリティ管理システム (ISMS) の国際標準
- 情報は購入する必要あり
-
ISO/IEC27005
- 用途: 情報セキュリティリスク管理に特化した国際標準
- 情報は購入する必要あり
NIST CSF
-
セキュリティ関連NIST文書
- 用途: 米国国立標準技術研究所 (NIST) のサイバーセキュリティフレームワークに関する情報
- URL: https://www.ipa.go.jp/security/reports/oversea/nist/about.html
- URL: https://www.nist.gov/cyberframework
- 備考: 識別=>防御=>検知=>対応=>復旧というセキュリティ管理策に必要な機能の策定など。
個人情報保護ガイドライン
- 用途: 個人情報保護に関する指針
- URL: https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
- 備考: どのような情報が個人情報に当たるかなど、誰でも知っておいたほうがいい情報が載っています。
情報収集 / リアルタイム検知
セキュリティの脆弱性情報の情報収集や重大な脆弱性の検知に使うリンク集です。
CVEリポート (webサイト)
- 用途: 米MITRE社が提供する脆弱性情報データベース
- URL: https://cve.mitre.org/
- 備考: 発見された脆弱性はCVE-IDの形式で名前がつけられ、この識別子で世界的に広まります。データベース形式で、対応方法は別途調査が必要です。
JVN (webサイト)
- 用途: JPCERT/CCとIPAが共同で管理する日本の脆弱性情報データベース
- URL: https://jvn.jp/
- 備考: 脆弱性が確認された製品とバージョン、脆弱性の詳細や分析結果、製品開発者によって提供された対策や関連情報へのリンクなどで、対策にはパッチだけではなく回避策(ワークアラウンド)が掲載される事もあります。
JPCERTコーディネーションセンターのXアカウント
- 用途: 日本国内のセキュリティインシデントや脆弱性情報を提供
- URL: https://x.com/jpcert
- 備考: 信頼性の高い公式情報を迅速に提供してくれます。
徳丸さんのXアカウント
- 用途: 言わずもがな
- URL: https://x.com/ockeghem
- 備考: セキュリティ脆弱性を一般にわかりやすく解説してくれます。
AWSセキュリティ速報 (webサイト)
- 用途: AWS関連の脆弱性や対応方法を提供
- URL: https://aws.amazon.com/jp/security/security-bulletins
- 備考: 脆弱性に対してAWSでは対応が必要なのかどうか、AWSに特化した対応方法などがわかります。
piyolog (ブログ)
- 用途: 重大なセキュリティ脆弱性の解説や対応方法を簡潔にまとめた個人ブログ
- URL: https://piyolog.hatenadiary.jp/
- 備考: 対応が必要だがなにをすればいいかわからない場合などはここの解説をみると理解が進みます。
各種有名メディア
- 用途: 重大な脆弱性があったときの一般向け報道
- GIGAZINE
- 日経クロステック
- ITmedia
- ZDNET
セキュリティインシデントレスポンス
セキュリティインシデントレスポンスに対するベストプラクティスやガイド。
NIST
-
NIST SP 800-61
- 用途: コンピュータセキュリティインシデント対応に関するベストプラクティスを提供
- URL: https://csrc.nist.gov/pubs/sp/800/61/r2/final
AWS
-
AWSセキュリティインシデントレスポンスガイド
- 用途: AWS環境でのセキュリティインシデント対応ガイド
- URL: https://docs.aws.amazon.com/security-ir/latest/userguide/security-incident-response-guide.html
- 備考: 上のNIST SP 800-61に準拠しています。
-
AWSインシデントレスポンスPlaybookサンプル
- 用途: セキュリティインシデント対応の具体的な手順を示すサンプル
- URL: https://github.com/aws-samples/aws-incident-response-playbooks
その他 AWS関連
その他AWSを扱う際にセキュリティ周りで参考になりそうなリンクを貼っています。
AWSホワイトペーパー
- 用途: AWSの設計・運用に関するガイド
- URL: https://aws.amazon.com/jp/whitepapers
- 備考: 情報はセキュリティに限りません。
AWSゼロトラストアーキテクチャ: AWSの視点
- 用途: AWSにおけるゼロトラストセキュリティの解説
AWS最小権限の4ステップ
- 用途: AWS環境で最小権限を適用する手順
AWS侵入テスト
- 用途: AWS環境での侵入テストの実施に関する情報
AWSアクセスレベルについて
- 用途: IAMポリシーのアクセスレベルに関する説明
参考
AWSではじめるクラウドセキュリティ: クラウドで学ぶセキュリティ設計/実装
Discussion