Security – Specialty– category –
-
漏洩したアクセスキーの調査 ── Amazon AthenaによるCloudTrailログの分析
概要 AWSのアクセスキーがコード共有サイトやパブリックリポジトリに誤って公開されるインシデントは、実際に発生しうる深刻なセキュリティ問題です。漏洩が発覚した場... -
IAM Credential Reportsによる認証情報の監査 ── アクセスキー棚卸しとMFA未設定ユーザーの洗い出し
概要 AWSアカウントのセキュリティを維持するためには、API呼び出しの記録、リソース状態の把握、そして認証情報の監査を組み合わせて実施する必要があります。API呼び... -
VPCピアリング環境のセキュリティグループ設定とトラブルシューティング
概要 VPCピアリングは、2つのVPC間でプライベートIPアドレスを使った通信を可能にする機能です。例えば、アプリケーション用VPCとログ収集用VPCを分離しつつ、プライベ... -
CloudFrontの署名付きURLと署名付きCookieによるプライベートコンテンツ配信
概要 Amazon CloudFrontを使用してプライベートコンテンツを配信する場合、アクセス制御の仕組みを正しく理解することが重要です。CloudFrontのアクセス制御には大きく... -
S3ライフサイクル設定ルールによるログの自動削除
概要 S3バケットにアプリケーションログやアクセスログを格納する運用は広く行われていますが、ログが蓄積し続けるとストレージコストが増加します。「一定期間保持した... -
EC2インシデント対応の隔離と調査ツールの使い分け
概要 EC2インスタンスで不審な動作が検出された場合、セキュリティエンジニアはインスタンスの隔離と原因の調査を迅速に実施する必要があります。この記事では、隔離と... -
SAML連携の証明書更新 ── 更新エラーの解決方法
概要 AWSとSAML 2.0対応のアイデンティティプロバイダー(IdP)を連携してシングルサインオン(SSO)を実現している環境では、IdP側の署名証明書の有効期限切れがログイ... -
KeycloakとAWSのSAML SSO環境構築 ── IdPの設定からSSOログイン確認まで
概要 シングルサインオン(SSO)は、1つのIDとパスワードで複数のサービスにログインできる仕組みです。IdP(アイデンティティプロバイダー)にユーザー情報を集約し、... -
ALB環境でのWeb Serverインバウンド接続トラブルシューティング ── 1台だけつながらない原因の切り分け
概要 Application Load Balancer(ALB)で負荷分散されたWeb Server群のうち、1台だけがインターネットからの接続を受信できないというトラブルは、実務でも試験でも頻... -
IAM Permission Boundary (許可の境界)で開発者のロール作成時に権限昇格を防止する方法
概要 開発チームにIAMロールの作成権限を委任したい場面は多くあります。Lambda関数やECSタスクには専用のIAMロールが必要であり、開発のたびにセキュリティチームにロ...
