🎉

クラウドセキュリティ初学者によるセキュリティ関連リンクの備忘録

2025/01/05に公開

普段クラウド (AWS) を利用して開発しているセキュリティ初学者がセキュリティに関連する情報を書籍や過去のセキュリティインシデント対応経験などから収集し、用途別に分類したリンク集を備忘録として残します。

セキュリティリスク分析やセキュリティインシデントレスポンス、日々の開発などに役立てたいと思っています。

開発関連

システムの開発時に気をつけることが載っているリンクです。
(アプリケーションからインフラまで)

IPA (経済産業省のIT政策実施機関)

JPRS (日本レジストリサービス)

セキュリティポリシー / リスク分析

組織や企業が情報資産やシステムを保護するために定めた方針やルール・ガイドラインのリンク集です。

また、システムのリスク分析をする際に参考になるリンクです。

IPA

  • 制御システムのセキュリティリスク分析ガイド 第2版

ISMS

  • ISO/IEC27001
    • 用途: 情報セキュリティ管理システム (ISMS) の国際標準
    • 情報は購入する必要あり
  • ISO/IEC27005
    • 用途: 情報セキュリティリスク管理に特化した国際標準
    • 情報は購入する必要あり

NIST CSF

個人情報保護ガイドライン

情報収集 / リアルタイム検知

セキュリティの脆弱性情報の情報収集や重大な脆弱性の検知に使うリンク集です。

CVEリポート (webサイト)

  • 用途: 米MITRE社が提供する脆弱性情報データベース
    • URL: https://cve.mitre.org/
    • 備考: 発見された脆弱性はCVE-IDの形式で名前がつけられ、この識別子で世界的に広まります。データベース形式で、対応方法は別途調査が必要です。

JVN (webサイト)

  • 用途: JPCERT/CCとIPAが共同で管理する日本の脆弱性情報データベース
    • URL: https://jvn.jp/
    • 備考: 脆弱性が確認された製品とバージョン、脆弱性の詳細や分析結果、製品開発者によって提供された対策や関連情報へのリンクなどで、対策にはパッチだけではなく回避策(ワークアラウンド)が掲載される事もあります。

JPCERTコーディネーションセンターのXアカウント

  • 用途: 日本国内のセキュリティインシデントや脆弱性情報を提供
    • URL: https://x.com/jpcert
    • 備考: 信頼性の高い公式情報を迅速に提供してくれます。

徳丸さんのXアカウント

  • 用途: 言わずもがな
    • URL: https://x.com/ockeghem
    • 備考: セキュリティ脆弱性を一般にわかりやすく解説してくれます。

AWSセキュリティ速報 (webサイト)

piyolog (ブログ)

  • 用途: 重大なセキュリティ脆弱性の解説や対応方法を簡潔にまとめた個人ブログ
    • URL: https://piyolog.hatenadiary.jp/
    • 備考: 対応が必要だがなにをすればいいかわからない場合などはここの解説をみると理解が進みます。

各種有名メディア

  • 用途: 重大な脆弱性があったときの一般向け報道
    • GIGAZINE
    • 日経クロステック
    • ITmedia
    • ZDNET

セキュリティインシデントレスポンス

セキュリティインシデントレスポンスに対するベストプラクティスやガイド。

NIST

AWS

その他 AWS関連

その他AWSを扱う際にセキュリティ周りで参考になりそうなリンクを貼っています。

AWSホワイトペーパー

AWSゼロトラストアーキテクチャ: AWSの視点

AWS最小権限の4ステップ

AWS侵入テスト

AWSアクセスレベルについて

参考
AWSではじめるクラウドセキュリティ: クラウドで学ぶセキュリティ設計/実装
https://amzn.asia/d/deuTy6a

Discussion