- 設計がNG→権限マトリックスを作る - 実装がNG→認証状況の確認を行う、権限確認はデータベース等の情報で行う oO(とにかく権限制御は徹底してもらうしかない、感じ、かしら #tktksec
2024-02-04 14:45:49oO(できたらシークレット文字列以外の方法で認証するようにしたい #tktksec
2024-02-04 14:59:53シークレット:秘匿性、変更容易性、環境別設定 「強制ローテートさせられたことがある」 #tktksec
2024-02-04 15:02:13~/.aws/credentialsがWebからアクセス可能になってるのを攻撃してくるログ😰 #tktksec
2024-02-04 15:09:03シークレットをコード上で暗号化しても結局どこかで復号されてしまう、それなんですよね #tktksec
2024-02-04 15:12:55環境変数で渡す方法、完全に安全ではないなと思いつつ、一番マシでもありつつ #tktksec
2024-02-04 15:13:58oO(シークレット管理→*環境変数*→アプリ の*が気になってしまう、という意味 #tktksec
2024-02-04 15:18:01oO(パスワードリスト攻撃、漏らしたほうの責任が大きいと思ってたけど、意識低かった #tktksec
2024-02-04 15:26:10ちゃんとログ取ってないと、漏えい等の報告義務を満たせず法的なリスクを背負う可能性 #tktksec
2024-02-04 15:29:58アプリケーションログ:なぜ、何を、どこに。何がリスクなのかを定義しないといけない。 oO(それ #tktksec
2024-02-04 15:36:13アプリケーションログに残すべきイベントの一覧: cheatsheetseries.owasp.org/cheatsheets/Lo… #tktksec
2024-02-04 15:40:24セキュリティのCIAに加えて、Traceabilityを足して、CIAT #tktksec
2024-02-04 15:45:21ログの語彙を統一しましょう cheatsheetseries.owasp.org/cheatsheets/Lo… #tktksec
2024-02-04 15:48:50ログが真っ白、モニタリングシステムからアラートが上がらない、ということがないようにチェックする #tktksec
2024-02-04 15:53:23