秘密情報には出どころも書いてくれ!頼む! - KAYAC engineers' blog
SREチームの長田です。 KAYAC Advent Calendar 2022の11日目の記事です。 アプリケーションから何かしらの外部サービスを利用するとき、そのサービスを利用するためのAPI Keyなり秘密鍵なりの秘密情報を保持することになります。 暗号化したものをファイルとしてアプリケーションに持たせたり、 Amazon Web Services(AWS)ならAWS Secrets Managerや AWS Systems ManagerのParameter Store(SSM Paramater Store)に保存したものを実行時に読み込んだりするでしょう。 これらの秘密情報、どこから来たのかわかりますか? どこから来た秘密情報なのか 秘密情報を使って出どころを調べられるのであれば問題はないでしょう。 # 例えばAWSのIAM User Credenntialsとか $ AWS_A
パスワード管理/MFA管理の戦略
自分のパスワードやMFA(多要素認証)の管理方法についてまとめた記事です。 パスワード管理とTOTP(Time-based One-time Password)の管理として1Passwordを使い、MFA(多要素認証)の2要素目としてYubiKeyを2枚使っています。 パスワード管理とMFA管理を安全で使いやすくするのはかなり複雑で難しいため、完璧にやるのが難しいです。 そのため、その難しさから二要素認証を設定するべきアカウントも手間などから設定を省いてしまったり、管理方法に一貫性がありませんでした。 この記事では、パスワード管理/MFA管理の戦略を決めることで、どのサイトのどのアカウントのパスワード管理をあまり頭を使わなくてもできるようにするのが目的です。利便性と安全性のバランスを意識はしていますが、この記事のやり方が正解ではないので、各自の目的に合わせて読み替えると良いと思います。 用
情シス立ち上げマニュアル - 採用、マネジメント編|12ban
数年前にQiitaに書いた記事の大幅アップデート版です。 このシリーズは情シス何もわかんないけど、1人目の情シスを採用し、一緒に情シスを作り上げていく、そんなマニュアルです。1人目の情シスが採用できたあとは、一緒にこれを読んで実行に移してみてください。 全部で4つの記事に別れています。 - 採用、マネジメント → この記事はコレ - 戦略づくり(ルール、業務基盤) - 戦略づくり(セキュリティ) - 戦略づくり(BPR / 業務改善)→ ※内容薄すぎた場合作成しないです そして、本記事をレビューしてくれた某分家コミュニティの人たち、そしてより良いものにしようとコメントくださった、おかしんさん、ゆりねえの二人に感謝を。 想定読者 * 情シスがいない企業で情シス立ち上げを行おうとする人(CTOなど) * 1人目の情シスとして入社して、これから立ち上げを行っていく人 ※世の中のすべての情シスを知
コインチェック事件は『対岸の火事』ではない
私は創業してからおよそ2年のベンチャー企業を経営しており、CTO兼唯一のプログラマだ。私含め3人の共同創業者と、多くの支援者の力により、これまで自己資本でなんとか開発を続けてきた。 先日、私達の会社は大きなマイルストンを迎え、サービスをβ公開させ、これから大きく勝負に出ようと思っていた。その最中、今回のコインチェック事件が発生した。 私達が行う事業は暗号通貨とは全く関係が無いため、本来であればこれは『対岸の火事』だ。しかし、総額580億円という被害額を生んだ今回の事件は、暗号通貨市場だけでなく、スタートアップ界隈全体へ影響を及ぼすことが容易に想像される。 事件の余波今回の事件で最も強く感じたのは、技術の力で新領域を切り開くスタートアップ企業こそ、時には成長を犠牲にしてでも、技術的安全性・信頼性を優先するべき、ということだ。 顧客にリスクを押し付けることが絶対に起きてはいけないし、少しでも顧
ISMS制度に関する概要・基準・ガイド等
ISMS認証基準(JIS Q 27001:2014)の要求事項について一定の範囲でその意味するところを説明しているガイドです。 主な読者は、ISMS認証取得を検討もしくは着手している組織において、実際にISMSの構築に携わっている方及び責任者を想定しています。 ※参考文献の最新版は、こちらからダウンロードできます。(Pdf:550kB)(2015.08.07更新)
すごい現場
皆はどんな現場で,どんな仕事をしているのだろう。何に悩み,どうやって乗り越えているのだろう。プロの仕事とそうでない仕事の境目はどこにあるのだろう。システム開発や運用の現場を歩き,そこで見聞きした面白い話,感動的な話,すごい話を紹介します。 ・大企業からベンチャーまで ぼくはこんな現場を歩いてきた ・SEを潰した値引き 信頼も連帯感も消えた ・期限は明日――若手SEの気迫を見た ・寝不足のプレゼン ドリンク剤も効かず ・中国の開発現場もすごい 若き社長が率いる修羅場 ・オンラインダウン発生! あの日,何もできなかった ・建築設計事務所で見た 巨匠のすごいレビュー ・コンサル泣かせの現場 “小さな王国”の弊害 ・逝去した巨匠への追悼 感激したあの言葉 ・人の話を聞かない40代 あるコンサルの失敗 ・過ぎたるは及ばざるがごとし 作りすぎたRFPの悲劇 ・人間万事塞翁が馬 得難いレクチャーの裏事情
新米Linux管理者がよくやる10の間違い
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 多くの人にとって、Linuxへの移行は喜びに等しい出来事だ。だが、悪夢を経験する人もいる。前者ならば素晴らしいが、もし後者なら最悪だ。しかし、悪夢は必ずしも起きるわけではない。特に、新米のLinux管理者が犯しやすい、よくある間違いをあらかじめ知っていれば、悪夢を避けられる可能性は高いだろう。この記事では、いくつかの典型的なLinuxでのミスを列挙する。 #1:さまざまな手段でアプリケーションをインストールする これは最初は悪いアイデアではないように思える。もしUbuntuを使っていれば、パッケージ管理システムが.debパッケージを使っていることを知っているだろう。しかし、ソースコードでしか見つけられないアプリケーションも多くある。大し
誰がログインしたの? - OKWAVE
自分が使っているマシンのログイン&ログアウト時間とアカウント名を知るには、 XP プロだと、 管理ツール「ローカルセキュリティーポリシー」で「ローカルポリシー/監査ポリシー:ログオンイベントの監査」をチェックするだけで、「イベントビューア」に記録される。 のだが、ホームだと、「ローカルセキュリティーポリシー」がない。 設定する用なツールキット(リソースキット)とかがあったような気がするけど、普通ない・と。 だけども、サービスをわざわざ作って、シャットダウンをフックしてイベントログ書き込みするようなプログラムを作るというのは大胆(大げさ)過ぎるので、 まあ、お手軽にできる方法ということで、VBScriptを使って作ってみました。 'loginLog.vbs '時刻の表示形式は、HH:mm:ssでなければならない Option Explicit Dim NetObj,FS, sFile, lo
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
システム監査制度の改訂について