釜山公徳（かまやままさのり）

2025年9月18日（木）18:30-20:00(アカデミー、Q&A込み)に
CSAが作成した「クラウドコンピューティングのためのセキュリティガイダンス V5」の
ドメイン8「クラウドワークロードセキュリティ」について
お話いたします

第9回CSAジャパン・アカデミー2025「クラウドワークロードセキュリティ」
www.cloudsecurityalliance.jp/site/?page_i...

お話いたします。
「クラウドコンピューティングのためのセキュリティガイダンス V5」を通じ、クラウドセキュリティのリテラシー向上に貢献できれば幸甚です。

第7回CSAジャパン・アカデミー2025「インフラストラクチャとネットワーク」の開催案内と申込受付を開始しました！
www.cloudsecurityalliance.jp/site/?p=39497

Detailed geographic information for all AWS Regions and Availability Zones is now available | Amazon Web Services AWS is expanding its global infrastructure, now providing increased transparency about the specific geographic locations of its 114 Availability Zones across 36 regions to help customers meet regulato...

AWSでデータレジデンシー要件への対応や、可視性(visibility)向上のために詳細な地理情報(geographic information)が利用開始。
内容的には今後に期待。

Detailed geographic information for all AWS Regions and Availability Zones is now available aws.amazon.com/blogs/aws/no... @awscloudより

Chinese hackers spent four years inside Asian telco’s networks The hackers compromised home routers made by Zyxel to gain entry into a “major” telecommunications company's environment.

中華人民共和国と関連する脅威アクター「Weaver Ant」が、通信事業者のネットワークに4年以上潜伏。
「INMemory」などのカスタムWebシェルを使用し、検出を回避しながら攻撃を実施。
攻撃者は、侵害されたルーターを利用してトラフィックをプロキシし、自身のインフラを隠蔽。

Chinese hackers spent four years inside Asian telco’s networks therecord.media/chinese-hack...

【3/19開催】ビジネスを守るセキュアな開発・運用事例に学ぶ「Think IT Day Security for Application」先着100名に書籍プレゼント! Think IT編集部は「Think IT Day Security for Application 〜 ビジネスを守るためのセキュアな開発・運用の道筋」を3/19(水)に東京・JA共済ビル カンファレンスホールで開催する。

デジタル庁のセキュリティ施策についてお話いたします。

【3/19開催】ビジネスを守るセキュアな開発・運用事例に学ぶ「Think IT Day Security for Application」 thinkit.co.jp/article/37986

security.txtについて、RFC 9116は基本で重要ですが、これからキャッチアップする方はCISAのBLOGが分かりやすいのでお勧め。

- RFC 9116 A File Format to Aid in Security Vulnerability Disclosure
rfc-editor.org/rfc/rfc9116

security.txt: A Simple File with Big Value
www.cisa.gov/news-events/...

本日、CSAジャパンから「Security Guidance For Critical Areas of Focus in Cloud Computing v5」の日本語訳を公開いたしました。
多くの方にご参考いただければ幸甚です。

「クラウドコンピューティングのためのセキュリティガイダンスV5」を公開しました！
cloudsecurityalliance.jp/site/?p=35348

Japan Fintech Week 2024が終了しましたね。
コアウィークでFIN/SUMに少しだけ参加した程度ですが、勢いのあるスタートアップベンチャーをいくつも拝見でき、大変嬉しく思います。
改めて金融に思入れがあることを再認識した今日この頃です。

1月25日、CSAジャパンのクラウドセキュリティWGリーダーとして、DevSecOpsに関してお話しいたします。
(公務ではなく、個人の活動です。)

WGセミナー（クラウドセキュリティWG主催）「DevSecOpsのFundamentalsとCSAによるユースケースの解説で課題解決」を以下のように開催いたします。
www.cloudsecurityalliance.jp/site/?page_i...

私がリードするWGで、W-Aで更にセキュアにするためのポイントを纏めました。
(プライベートでの活動です)
AWSに限らず、クラウドを利用している方々にご活用いただければ幸甚です。

#Cloud #Security #CloudSecurityAlliance
クラウドセキュリティWGが「現場で役立つセキュア・アーキテクティング・レビューのポイント ― AWS Well Architected Framework ―」を公開しました。
www.cloudsecurityalliance.jp/site/?p=31277

日本クラウドセキュリティアライアンス(CSA-JC)からサーバーレスアーキテクチャのセキュリティに関する資料を公開いたしました。
釜山も翻訳に携わりました。

#Cloud #Cybersecurity #CloudSecurityAlliance #CSA #Serverless

「安全なサーバーレスアーキテクチャを設計するには（Updated 2023 Version）」を公開しました！

www.cloudsecurityalliance.jp/site/?p=31012

AWS re:Inventで発表された155+のサービスアップデートについて、日本語での動画と資料が公開されました。

AI関連が目白押しですが、私としては、
- Amazon InspectorのLambda code scanning機能強化
- AWS Well-Architected ToolのLens Catalog
が気になるところ。

#AWSreinvent

[AWS Black Belt Online Seminar] AWS re:Invent 2023速報 資料及び動画公開のご案内
aws.amazon.com/jp/blogs/new...

先日、CompTIA Cybersecurity Analyst（CySA+）の改訂版が公開されました。
対象は”継続的なセキュリティモニタリングによるインシデントの検出、予防、レスポンスを任務とするサイバーセキュリティプロフェッショナル向け”とのことです。
因みに、釜山は個人の活動でSMEsとしてカントリーレビューを行いました。

#Cybersecurity #CompTIA
改訂CompTIA CySA+
www.comptia.jp/certif/cyber...

Microsoft Edgeで無料のVPN機能がプレビューで利用可能に。

#Cybersecurity #VPN #Microsoft

度々、JWT(JSON Web Token)の読み方の疑義があるようですが、RFC7519に以下の記載があります。

"The suggested pronunciation of JWT is the same as the English word "jot"."

ジェイダブルティーがダメとは言いませんが、RFC7519に従いジョットというのがよいかと。

#JWT
JSON Web Token (JWT)
datatracker.ietf.org/doc/html/rfc...

Barracuda Email Security Gateway (ESG)のゼロデイ脆弱性(CVE-2023-2868)のIOCが公開されました。
Barracuda ESGを利用している方は要対応です。

#Vulnerability #zeroday #Cybersecurity

CISA Releases IOCs Associated with Malicious Barracuda Activity
www.cisa.gov/news-events/...

大塚さんの勇姿がここに。

日本人唯一のOracle ACE Director！世界基準のトップエンジニアへ先進的な取り組みや技術の活かし方をインタビュー！
atlaxblogs.nri.co.jp/entry/20230824

IntelがWi-Fi7のチップセットはWindows 11以降のみに対応するという話。
Wi-Fi7をサポートする製品がでてくるのはまだまだ先なので、焦らなくてもよいですが。
何より、Windows 10がold-schoolって言われる時代というのに驚き。

Intel seems to think Wi-Fi 7 is too cool for old-school Windows 10
www.theregister.com/2023/08/24/n...

セクストーション詐欺について。
攻撃者は、被害者側の情報を知らない状態で、当てずっぽうで脅迫してきます。
もし、意図せず変なサイトを踏んでしまった場合、冷静に対処すれば良いです。

#sextortion #scam #cybercrime

Sextortion emails: how to protect yourself
www.ncsc.gov.uk/guidance/sex...

Kali Linux 2023.3で9つの新しいツールが追加されました。
私としては、eBPFを使用したKubernetesのオブザーバビリティツールのHubbleに注目しています。

#Cybersecurity #Linux #PenTest
Kali Linux 2023.3 released with 9 new tools, internal changes
www-bleepingcomputer-com.cdn.ampproject.org/c/s/www.blee...

オーストリアのソフトウェアプロバイダーEnergy Oneがサイバー攻撃の被害に。

オランダのエネルギー会社Essent、英国に拠点を置く発電会社InterGenといった、顧客への影響の可能性あり。

Australian software provider Energy One hit by cyberattack therecord.media/australian-e...

WhatAppにおける不審な入電が目立ちますね。
ビッシング(ボイスフィッシング)の可能性があるので、ご注意ください。
因みに、国番号と国(地域)は以下です。(実際にどこから架電しているかは不明です)
91 : インド
93 : アフガニスタン
225 : コートジボワール
234 : ナイジェリア
235 : チャド