ブログ
S3 アカウントリージョナル名前空間でバケット名の衝突と乗っ取りを防ぐ
S3 汎用バケットのアカウントリージョナル名前空間を CLI で検証。リージョン別の prefix 文字数制限、IAM 条件キーによる組織強制、グローバル名前空間での名前保護の挙動を実測データで確認した。
← すべてのタグ
タグ: #security
「security」タグが付いたコンテンツ一覧
ブログ記事
ブログ
Route 53 Global Resolver の DNS フィルタリングと DoH 認証を VPC 外から実測する
Route 53 Global Resolver の作成から Do53/DoH 認証、DNS フィルタリングまでを CLI で一気通貫検証。伝播時間の計測データと、VPC Resolver 比 20 倍のコストに見合うユースケースの判断材料を提供する。
ブログ
VPC Encryption Controls の Monitor・Enforce 両モードを実トラフィックで検証する
VPC Encryption Controls の Monitor/Enforce 両モードを実機検証。Flow Logs の encryption-status の実態、Enforce 移行に15分以上かかる非同期処理、VPC エンドポイント ENI マイグレーションの落とし穴を計測データとともに報告する。
ブログ
AWS Security Agent 検証 — 自動コード修正(Code Remediation)の品質評価
ペンテストで検出した7件の脆弱性に対して自動コード修正を実行。全件に GitHub PR が生成され、SQL Injection のパラメータ化クエリからクレデンシャルのハッシュ化まで、そのまま適用可能な修正が得られた。
ブログ
AWS Security Agent 検証 — 認証フロー対応と検出範囲の変化
認証なし・単一ロール(2FA 付き)・複数ロールの3条件でペンテストを実行。認証情報なしでも Agent が SQL Injection 経由でクレデンシャルを取得し TOTP を推測して自力ログインする挙動を確認した。
ブログ
AWS Security Agent 検証 — GraphQL API に対するペネトレーションテストの検出能力
AWS Security Agent は GraphQL API をテスト可能と公式に記載しているが、実際の検出能力はどうか。4条件で検証した結果、HTML リンク構造の有無が検出の分岐点であり、条件を満たせば Introspection・ネストクエリ・Mutation 分析など GraphQL 固有のテストが実行されることを確認した。
ブログ
AWS Security Agent 検証 — ソースコード提供で検出率はどう変わるか
AWS Security Agent にソースコードを提供するとペンテストの検出数が5件→13件(documents)/28件(sourceCode)に増加。documents と sourceCode で処理パイプラインが根本的に異なることも判明した。
ブログ
AWS Security Agent 検証 — オンデマンド・ペネトレーションテストの検出品質とコスト
AWS Security Agent のオンデマンド・ペネトレーションテストを東京リージョンで検証。5つの既知脆弱性のうち4つを検出(偽陽性0件)、ビジネスロジック脆弱性も HIGH confidence で検出した。コストは約$136/回。
ブログ
AWS Payment Cryptography 番外編 — TR-31 による鍵のエクスポート・インポートを実装する
KEK で CVV 鍵を TR-31 エクスポートし、インポート後に同じ CVV2 が生成されることを確認。鍵素材の移動と KCV による同一性検証を Python(boto3)で実装する。
ブログ
AWS Payment Cryptography 番外編 — 決済暗号処理を実装する際の落とし穴と対処法
シリーズ全 3 回の検証で発見した Java SDK v2 のハマりポイントを整理。HMAC 未対応、enum 名の不一致、クラス名の混乱など 6 つの落とし穴と対処法。
ブログ
AWS Payment Cryptography アクワイアラ編 — PIN の鍵間変換と MAC 検証を実装する
TranslatePinData による PIN の平文を経由しない再暗号化と、CMAC によるデータ完全性検証を Java SDK で実装。アクワイアラ処理の核心である鍵の中継を検証する。
ブログ
AWS Payment Cryptography イシュア編 — CVV 生成・PIN 検証・ARQC 検証を実装する
カード発行者の 3 つの主要な暗号処理を Java SDK で実装。GeneratePinData が PEK と PVK の 2 鍵を同時に要求する仕組みなど、複数の専用鍵が協調する決済処理の実態を検証する。
ブログ
AWS Payment Cryptography 入門 — 決済用鍵を作成し、KMS との設計思想の違いを体験する
Java SDK で 4 種類の決済用暗号鍵を作成・使用し、用途外操作のエラーから TR-31 KeyUsage による用途分離を体験する。KMS に慣れた開発者が最初に戸惑うポイントを整理。
ブログ
エージェント型AIのセキュリティは「人間と同じ扱い」から始まる:金融業界の7原則を読み解く
AWS Security Blogの金融サービス向けエージェント型AIセキュリティ記事を解説。7つの設計原則を「権限」「追跡」「制御」の3軸で整理し、Bedrock AgentCoreによる実装アプローチを示す。
ブログ
EKS Pod Identity のセッションポリシーで IAM ロールを増やさずに権限を動的に絞る
EKS Pod Identity の新機能セッションポリシーを検証。IAM ロールの権限をアソシエーション単位で動的に制限でき、ロール数の爆発を防げる。セッションタグとの排他制約やポリシーサイズ上限など、採用前に知るべきトレードオフも整理した。
ブログ
Network Firewall Proxy 検証 — PrivateLink でマルチ VPC 構成を組む
Network Firewall Proxy の集中型構成を検証。PrivateLink エンドポイント経由のクロス VPC アクセスで SourceVpc による VPC 別ポリシー制御が機能する一方、SourceIp は NAT されて使えないことを確認した。
ブログ
Network Firewall Proxy 検証 — ACM PCA で TLS インターセプトを有効化する
Network Firewall Proxy の TLS インターセプトを ACM Private CA で有効化し、PreRequest フェーズの HTTP メソッド制限と PostResponse フェーズの Content-Type ブロックを検証した。PCA 設定の落とし穴と Preview 固有の制約も共有する。
ブログ
Network Firewall Proxy 検証 — セットアップからドメインフィルタリングまで
AWS Network Firewall Proxy(Public Preview)を検証。NAT Gateway 統合のセットアップから PreDNS フェーズのドメインフィルタリング、ソースベース制御、DNS スプーフィング耐性まで実機で確認した。
ブログ
Bedrock AgentCore Policyで自然言語からCedarポリシーを生成しエージェントのツールアクセスを制御する
Bedrock AgentCore PolicyのGA発表を受け、CedarポリシーによるGatewayのツールアクセス制御と自然言語からのCedar生成を実際に検証。default denyや自動推論バリデーションの挙動を実体験ベースで共有する。
TIL
TIL
AWS Security Agent は SQL Injection で取得したクレデンシャルで自力ログインする
認証情報を提供しなくても、Agent は SQL Injection でデータベースからクレデンシャルを抽出し、TOTP コードを推測して管理者としてログインした。ドキュメントの「認証情報なしでは公開ページのみテスト」は攻撃チェーンによる突破を除外していない。
TIL
AWS Security Agent のペンテストは HTML リンクがないとエンドポイントを発見できない
Security Agent の SCANNER は JSON レスポンスからリンクを辿らない。API-only アプリをテストする場合は HTML の <a> タグやフォームを含むエントリポイントが必要。
TIL
RDS の StorageEncrypted: false は「暗号化されていない」を意味しない
Aurora Express Configuration のクラスターで StorageEncrypted: false が返るが、公式ドキュメントには RDS サービス所有キーで暗号化されていると明記されている。API レスポンスとドキュメントの記述が矛盾する例。
TIL
Network Firewall Proxy は HTTP でも PreRequest フェーズのルールが効く
TLS インターセプトなしでも HTTP の absolute-form リクエストに対しては PreRequest フェーズの HTTP メソッドやヘッダーの検査が可能。ドキュメントの記述は HTTPS に限定した話だった。
TIL
gh CLI で Dependabot アラートの詳細を確認する
gh api コマンドで Dependabot の脆弱性アラートのパッケージ名、深刻度、修正バージョンをターミナルから一発で確認できる。