LastPassからBitwardenに乗り換えました

今年もよろしくお願いします。 パスワード管理ツール「LastPass」の度重なるハッキング被害 パスワード管理ツールとしてLastPassは有名なツールです。しかしながら有名ゆえか攻撃対象となることも多いようです。 パスワード管理ツール「LastPass」がハッキングの被害、ソースコードと独自技術が漏洩 不幸中の幸いというべきか、顧客データや暗号化されたパスワード保管庫にアクセスされた形跡はないようだ。 8月時点ではパスワード保管庫にはアクセスされた形跡はないというアナウンスでしたが、その後8月に明らかになったハッキングとは別のハッキング被害もあり、結果パスワード保管庫にアクセスされたという結果が先日報告されました。 2022年8月の「LastPass」ハッキング被害、顧客データも盗まれていた ～当初想定より深刻 マスターパスワードを他のサイトのパスワードと使いまわしている人や、単純なパスワードの場合非常に危険です。パスワードの変更をしたほうが（もう遅いかもしれませんが・・・） 自分もLastPassを使っているのですが、こうもセキュリティインシデントの報告が相次ぐと使い続けるのは不安です。LastPassに代わるパスワード管理ツールを検討しました。仕事でも使っている1passwordも考えたのですが、今回はBitwardenを試してみることにしました。 Bitwardenとは 無料パスワード管理アプリ「Bitwarden」の使い方をIT管理プロが解説 上記の記事が詳しいのですが、僕がBitwardenを検討した理由の一つが、BitwardenはWindowsでもLinux(Chromebook)でも使える点です。自分はどちらのパソコンも使っているので。 LastPassからBitwardenへ移行 無料版が機能制限された人気パスワード管理サービス「LastPass」から「Bitwarden」に移行する方法...

2023, Jan 09   — 

Jykellの小技(RSSフィードを作成する・サイトマップを登録する)

今年最後の記事はセキュリティとは関係ないJekyllの小技です。 RSSフィードを設定する もう古い？！RSSで効率よく最新情報を取得する方法とは たしかに、今ではあまり使われなくなっていますが、僕は技術ブログやニュースサイトの情報収集にまだ使っています。 そんなRSSフィードを配置しました。 URLはこちら。 導入方法は簡単、というかデフォルト設定で既に登録されていました。URLを知らないだけだった…。 https://github.com/jekyll/jekyll-feed サイトマップを設定する サイトマップって何？SEO効果から作成方法まで徹底解説 動機としては、Google検索結果にGitHub Pagesを表示させる方法を調べていました。 GitHub PagesでGoogle検索に表示させたい jykellを使っている場合、「jekyll-sitemap」は元々組み込まれているため、わざわざ追記する必要はありません。...

2022, Dec 28   — 

Linux Foundationの「セキュアソフトウェア開発」を受講しました（３）

Linux Foundation「セキュア ソフトウェア開発」無料オンラインコースを開始 今年の勉強は今年のうちに。最終章の第3部の内容についての所感です。 自分用のメモが含まれているため、理解度テストの結果が含まれています。ネタバレを防ぐため、受講する人は先に受講してからこの記事を読んでほしいです。なお、Quizの「正しい記述を選んでください」「正しいものはどれですか」は複数回答があるので要注意です。 「第3部：検証とより専門的なトピック」 テストの手法やテストで活用できるツールやSTRIDEのようなルール、暗号化のアルゴリズム（鍵についての説明は詳しいです）、脆弱性を検出した場合の対応などが説明されています。 このオンラインコースを受けていて感心するのが、最新の事情に合わせて書かれていることです。文中に出てくるブラウザも、Webサービスも2022年現在に使用されているものが挙げられます。当たり前と思う人もいるかもしれませんが、この手のドキュメントは更新されず、時代遅れになることはままあります。そしてセキュリティの世界において陳腐化したドキュメントの効果はいま一つです（だからこそ登録セキスぺは毎年更新が必要なのでしょう） 最後にアンケートがあったので以下のように回答しました。 内容は詳細で、情報は新しく、説明は丁寧だった テキストに書かれていない問題がいくつかあった ナレッジチェックの翻訳を改善してほしい セキュリティの最新の標準と技術を説明している天が良い 最終問題は40問、80%以上正解しないと合格証書はもらえません。 なかなかの難易度でしたが、一発で合格しました。プライドは保たれましたね・・・ｗ...

2022, Dec 25   — 

Linux Foundationの「セキュアソフトウェア開発」を受講しました（２）

Linux Foundation「セキュア ソフトウェア開発」無料オンラインコースを開始 第2部の内容についての所感です。 自分用のメモが含まれているため、理解度テストの結果が含まれています。ネタバレを防ぐため、受講する人は先に受講してからこの記事を読んでほしいです。 「第2部：実装」 バリデーションがメインの内容です。 バリデーションと一言に行っても、単に数値やテキストを超え、テキストエンコーディングやデシアライゼーション、外部参照、環境変数の利用など考えることが多いです。csvファイル自体に書かれているのは単純な文字列でも、Excelで開いた場合に「=」が使われていると関数とみなして実行するなど、言われてみると「そういえばそうだ」という話も多く掲載されています。 また、バリデーションや値チェックなど不正な入力値をチェックできても、人間が意図せず作りこんだプログラムのバグまではチェックできません。 CVE-2014-1266、通称「goto fail; goto fail;」脆弱性(https://appllio.com/20140223-4899-apple-ios-bug-ssl-goto-fail)など、ぞっとする話ですが同時にやりかねない話だと思います。 知らないことが多かったです。 歴史的には、すべての文字を識別するには16ビットで十分だと考えられていましたが、これは間違いで、1996年に変更されました（現在はどの文字も21ビットで符号化するようになっています）。この間違いの結果、一部のプログラミング言語は、16ビット長しかない「文字」型（Javaのcharなど）を持っています。16ビットのデータ型は、それ自体では21ビットの任意の文字を格納できないため、16ビットの「文字」を持つプログラミング言語やAPIでは、「文字」が実際の文字の半分しかないことがあります。...

2022, Dec 22   — 

Linux Foundationの「セキュアソフトウェア開発」を受講しました（１）

Linux Foundation「セキュア ソフトウェア開発」無料オンラインコースを開始 12月5日にアナウンスされた上記ニュース。セキュリティに対する行動とアウトプットをこのブログを通じて自身に課したいと考えていた自分にとっては、CISSPの勉強も終わり、新しい朝活にちょうど良いと思いトライしてみることに。 内容はいくつかの章に分かれ、章ごとに教科書とクイズで構成されています。教科書部分にはノート機能があり、メモを記すことができるので、自己学習に便利です。 内容はCISSPの学習で学んだ知識と多くの部分で重複します。CISSPを取得したい人にとっては役立つと思います。最初の日本語が怪しかったので「ん」と思ったのですが、全体的に翻訳に問題はありません。 「第1部：要件、設計、再利用」 CIAトライアドから始まり、セキュリティと相互に関連するプライバシー（会社の総務が担当しているプライバシー関連のタスクを自分が巻き取ろうとしているのもこれが理由です）に関連する法案、リスクマネジメント、開発者向けのセキュア設計（とはいえセキュリティ担当者も知っておくべき）、OSSの利用 現代のビジネスは”個人データ”を如何に分析し個人向けに利益あるサービスを提供するかを重視しており、これはプライバシーとは相反する考えです。企業はなるべく多種多様なテレメトリーを収集したい一方、Linux Foundationは最もシンプルかつ最良なプライバシー対策は「何も収集しない」と書いています。 テキストはLinux Foundationらしく、ギークで挑戦的な文章が掲載されています。 （なぜプライバシーが重要なのか） 「他人に知られたくないことをやっているなら、そもそもやるべきではないかもしれない」と言う人は、極端な自己卑下をしています。彼らが本当に言いたいのは、「私は、自分がやっていることを政府に知られても平気なほど、無害で脅威のない、面白みのない人間になることに同意した」ということです。 ［このような主張をする］同じ人々の多くは、実際にはこのような行動を取りません。例えば、彼らは自分たちのためにプライバシーを得るために多くの手段を講じるでしょう。...

2022, Dec 18   — 

【ブックレビュー】ピアリング戦記

電子書籍を買うと物理本も一緒に郵送してくれるユニークなサービスで知られるラムダノートが12/19まで電子書籍限定で半額セールをやっているので、前から気になっていた「ピアリング戦記」を買いました。 例えば僕がYahoo.co.jpにアクセスしようとすると、僕がインターネット回線を契約しているGMOインターネットのネットワークにまず繋げます。GMOインターネットがNTTと繋がり、NTTがYahooと繋がり、ヤフーのホームページが稼働しているサーバに繋がるのです（もちろん概念を説明するための例えであり、実際には別のネットワークを経由しているのかもしれません） インターネットはいくつかの企業・組織が運営しているネットワークが蜘蛛の巣（ウェブ）のように繋がったものです。そのネットワークを提供する会社であるISP（インターネットサービスプロバイダー）同士が繋がり合う技術を「ピアリング」と言います。 ピアリングはトランジット（力が弱いISPが対価を払って力の強いISPにパケットを転送してもらう）と同様の技術が使われていますが、互いにトラフィックを交換し合う、トラフィックに対しての対価の支払いが発生しない契約です（実際には対価を要求することがある（ペイドピア）、あるいはバーターの契約があったりするようですが） 僕は前職はISPで働いていました私見ですが、ISPはあまり儲けのない仕事です、その代わりインフラという生活必需品（コロナ禍になり、リモートワークの時代になり、ワールドカップがABEMAで見る時代ですから今この瞬間がまさに有史以来もっともネットワークが必要とされているでしょう。）業績は安定しています。わざわざ今からISPをやりたいという会社もなかなかないという現実ｗそして会社が違うからこそ利用している電力会社や配線敷設ルートも異なり、これが結果として冗長性を確保しています。皆が同じルートと同じ電力会社を使っていたら、地震や火災で全滅ですからね。社会インフラを構成する都合、持ちつ持たれつ、ウィン・ウィンの関係を築きつつも、競争意識も働いています。 そんなピアリング業界ですが、You Tubeを持つGoogleやABEMA、ウマ娘などスマフォゲームを有するサイバーエージェントなど、、今やコンテンツ事業者が力を持つ状況で、コンテンツ事業者、配信事業者同士が自前の回線同士を繋げ、ISPに繋がない事例も出てきてます。 インタビューから様々な裏話が聞けます。 東日本大震災で海底ケーブルが切れて、危うく東京ネット壊滅だったとか。あのとき電話はまったく繋がりませんでしたが、ネットは全く問題なかったのですが、裏ではあわや、だったのですね。南海トラフ地震にも備え、各ISPは冗長構成で回線を引いていてくれてありがたいです。 日本で初めてインターネットが利用され始めた頃のエピソードやInternetEXchangeを立ち上げる活動。まさかあんな場所で、あんな機器を使ってISPを相互接続していたなんて、今では考えられない話です。今でこそL2はEthernetですが、まだどのプロトコルが事実上の標準になるかわからない時代、たいへんだったいっぽう創成期ならではの「みんなでやってみよう」みたいな空気もインタビューで聞けて、過去そういうことをやっていたんだよ、という、あとがきにもあるように、当時のその人しか知らないような、人知れず起きた出来事もいくつかあり、それが書かれることは資料的価値も高いです。 ちなみにこの本の著者はかつてアカマイ　知られざるインターネットの巨人を書かれた人でもあるのですね。当時は知られざる大企業だったアカマイも、今回のサッカーW杯でABEMAが1000万超えの接続をさばくインフラで活用したということでニュースでも名前が上がり、皆が知る会社となりましたね。

2022, Dec 13   — 

CM re:Growth 2022 振り返り会を振り返る

AWS最大のイベントre:Invent。コロナ以来久しぶりのラスベガス開催です。 年々発信する情報量が増大し、とても追いつける状況ではないため、クラスメソッドがまとめてくれるのはありがたい。毎年恒例のre:Invent振り返り会を視聴させてもらいました。 イベント詳細はこちら 記事のサムネイルは上記ページから拝借しています。 来年はAWS SAPの資格も失効します。３年前と異なりAWSをゴリゴリ触ってはいない（どちらかといえばCISSPに関心があります）ですが、再度受験するべきか・・・。 セキュリティ系まとめと地味だけど今すぐ設定すべきモニタリングアップデート クラメソのセキュリティといえば臼田さん。 今回はセキュリティ関連はすごい情報量で、細かいアップデートがいっぱいだったとのこと。 ネットワーク関連のモニタリングと監視の新機能をピックアップしていました。 これまでインスタンスやサービス自体の稼働は見れましたが、AWSにつながるまでのネットワーク、ISPの障害については追えなかったため、世界地図でどこのISPに障害が出ているかが見れるようになるのはセキュリティ・インシデント対応において地味ながら便利。 ■パフォーマンスモニタリング AWSのネットワークの問題がメトリクスが取れなかったのが取れるように。 いざというときに見に行く AZ内やAZ間のネットワークを見れる、ダッシュボードに登録しておくとか...

2022, Dec 08   — 

CISSP受験の感想

今回Github Pagesを用いてWebサイトを配信する目的はこの記事を書くためでした。 CISSPについて知らない人はおそらくこのページを読むことはないと思いますが、リンクを貼ります。 CISSP®とは 先月CISSPを受験してきました。結果は残念ながら不合格でした。 ネットで検索するとCISSPの合格記は見つかりますが、不合格記は見つかりませんでした。 敢えて不合格記を書くことで、今後試験を受ける人の参考になればと思います。 Who am I 社会人経験はもうすぐ２０年（遠い目） プログラマからデータセンターでの監視業務、ネットワーク構築などL1からL7まで経験してきました。 また、「ネットワークスペシャリスト」や「セキュリティスペシャリスト（現・情報処理安全確保支援士）」の資格を持っています。 クラウドの資格では「AWS SAP」と「セキュリティ専門知識」を保有しています。...

2022, Dec 03   —