銀行 <-> 資金移動業者、銀行 <-> 証券会社で発生したセキュリティインシデントに関する社内向けの勉強会資料です。2020/09/18移行は基本的に追っていないため、最新でない可能性があります。 本件に関する指摘・コメントは @ken5scal までお願いします。
「DDoS攻撃」でサイバー攻撃に対抗してよいの?:セキュリティクラスタ まとめのまとめ 2019年5月版(1/3 ページ) 令和を迎えた2019年5月のセキュリティクラスタ、ゴールデンウイーク中は比較的平穏でしたが、その後は活発な議論が続きました。「IIJによるDDoS対策のためのDNSフィルタリング」「サイバー攻撃に対抗して攻撃したり、捜査対象にマルウェアをインストールしたりする自民党の提言」「無限アラートURL貼り付け事件の結末」が話題となりました。 セキュリティクラスタ まとめのまとめ 一覧 DNSフィルタリング開始について議論沸騰 2018年は「漫画村」など、コンテンツを無断公開する問題が拡大しました。その対策として、違法配信に関連しているドメインへのアクセスを「DNSブロッキング」によって規制しようとする政府の動きがありました。ブロッキングは結局、検閲ではないかという多数の反対の
イエソドのコアメンバー。中央が創業者で CEO の竹内秀行氏。 Image credit: Yesod 各種 SaaS のアカウント発行・権限設定を自動化するクラウドプラットフォーム「YESOD(イエソド)」 を開発・提供するイエソドは17日、プレシリーズ A ラウンドで DNX Ventures と ANRI から2億円を調達したと発表した。同社にとって、初めてのベンチャーキャピタルからの調達となる。 イエソドは2018年9月、竹内秀行氏(現在 CEO)らにより創業。竹内氏は東京工業大学大学院在学中に2社を起業、その後、ユーザベース(東証:3966)で SPEEDA、NewsPicks、FORCAS の基礎開発に携わった人物だ。現在は、ユーザベースのグループ各社のチーフテクノロジスト、UB Ventures のテクノロジーパートナーを兼任する。竹内氏は以前、Excel 上でデータ可視化を
AWS で環境を構築する際はマルチアカウントになることが多い、これは理解していたつもりでした。 stg 環境と prod 環境は AWS アカウントごと分ける。dev 環境も分ける。 しかし、世の中のベストプラクティスはもっと先を行っていました。 なぜアカウントを分けるのか isolation authz & authn auditing and reporting 世の中のマルチアカウント構成 各企業の事例 AWS が提供するベストプラクティス Gruntwork から見た AWS ベストプラクティス 各社のプラクティスから読み取れること なぜアカウントを分けるのか AWS アカウントを分ける理由は 3 つあります。 isolation authz & anthn auditing and reporting isolation そもそもとして、環境は分離しないと、というものです。 st
2019-02-01全社で本気になってリーンに ISMS の仕組みをつくった話こんにちは、コーポレートエンジニアの兼松です。 今回は、メドレーがリーンな仕組みで ISMS 認証を取得したので、その過程について、弊社ならではの工夫したポイントを交えてご紹介します。 はじめに以下のニュースリリースのとおり、情報セキュリティ管理の仕組みである ISMS を構築し、オンライン診療システム「CLINICS」、クラウド型電子カルテ「CLINICS カルテ」の事業において「ISMS 認証」と「ISMS クラウドセキュリティ認証」という 2 つの第三者認証を同時取得しました。 www.medley.jp特に「ISMS クラウドセキュリティ認証」は、国内でも取得している企業はまだ少なく、現時点で私の知る限り、オンライン診療システムとしては弊社の CLINICS(SaaS)が日本初だと思います。 ISMS と
1. システム環境設定を頻繁にチェックするRicard氏のアドバイス:システムを最新の状態に保つ(macOSと、インストール済みソフトウェアの両方) Appleは、新しい脅威に対応するパッチをすばやく提供するために、セキュリティアップデートを頻繁にリリースしています。 ソフトウェアを最新の状態に保つことが、システムのセキュリティ確保には必要不可欠ですが、システム環境設定を開いて最新のアップデートを常時チェックしているという人はどれほどいるでしょうか? システム環境設定を常にチェックして、システムを最新の状態に保ってください。まだmacOS Mojaveにアップデートしていない人は、App Storeの[ソフトウェア・アップデート]を定期的にチェックすること。たとえば、カレンダーに隔週のToDoタスクとして書き込んでおきましょう。 Mojaveを使用している場合は、Macのアップデートを自動
辻 伸弘 (nobuhiro tsuji) @ntsuji ここのアンケート好きなんですよね。色々考えさせられるんです。 / パスワード管理と認証に関する調査。ID&PWの管理、男性は「記憶」女性は「紙にメモ」。|リサーチバンク(続く 2014-09-07 22:58:28 タモ<ハザードマップを確認しましょう>💉x5 @tamosan パスワード管理と認証に関する調査。ID&PWの管理、男性は「記憶」女性は「紙にメモ」。 - リサーチバンク - 自主アンケート・調査結果レポート research.lifemedia.jp/2014/04/140423… #lifemedia 2014-09-07 23:04:07 辻 伸弘 (nobuhiro tsuji) @ntsuji 続き)まずはQ1。パスワードの管理方法。以外と紙にメモしている人が多い。次いで記憶でなんとかしようとしている人が多
2012年02月14日15:52 カテゴリその他 「体系的に学ぶ 安全なWebアプリケーションの作り方(徳丸本)」を読みました 昨年12月、「徳丸本をブロガーに差し上げちゃうキャンペーン」に応募しました所、当選し、サイン入りの徳丸本(体系的に学ぶ 安全なWebアプリケーションの作り方)を頂きました。徳丸様ありがとうございます。約束通り、感想を書かせて頂きます。 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践posted with amazlet at 11.12.19徳丸 浩 ソフトバンククリエイティブ 売り上げランキング: 2305 Amazon.co.jp で詳細を見る ■目次 ・読む前の認識 ・読んだ後の感想 ・各章の感想 ■読む前の認識 ○私の現在のスキル ・PHPをほんの少しだけアルバイトで書いていた。 ・サーバー周りはほぼわからない。 ・ロ
Web開発者のためのサードパーティCookieやらトラッキングやらの問題点について三回ぐらいに分けて書きます。 この文章は個人的に書いていますので、おい、お前のところのサービスがサードパーティCookieに依存してるじゃねーかというツッコミがあるかもしれないが、そういうことを気にしているといつまで経っても公開できないという問題が出てしまうので、そんなことはお構いなしに書く。ちなみに例外なく自社サービスに対してもサードパーティCookieに依存するな死ねと言っている。これはWebプログラマー観点で、自分がサービス開発に関わる上で知っておかねばならないだろう知識として十数年間だらだらとWebを見ていて自然に知っていたものと、あるいは興味を持って率先して調べたものが含まれている。ググッて直ぐに分かる程度の用語の定義的なことは書かない。あくまでWebサイト制作者側からの観点なので、ブラウザ開発関係
Windowsユーザーなら、もちろんアンチウイルスソフトは入っていますよね? まさか入れていない、なんて人はいないと思いますが(そんな人は今すぐLANを外して近所の家電量販店に行って買ってきた方がいいですよ!)、Macとなるとちょっと話は別のようです。 というのも、Macを対象とするウイルス自体が非常に少ない(なにしろユーザーがWindowsユーザーと比較すると少ない)ので、ウイルス対策ソフトを入れてない方もtwitter上でわりといらっしゃいました。 ただ、昨今はMac用のウイルスもちょくちょく発見されますし、自分がそれにかからない、という保証はありません。Macは絶対にウイルスにかからない、というわけではないので、出来る限り自分の身は自分で守らなければ。 例えば、Macでクレジットカードを使って買い物をしたり、ネットバンキングをしたりするのであればなおさらです!自分が知らないうちにウイ
久しぶりにQuark3.3Jのデータを扱うことに… データ環境は Quark3.3J + OCFフォント + Biblos外字セットという、ちょっと前まで出版業界では一般的な環境だったのですが、今となっては…。 まず、いくつかの手段を考えました。 当時の環境を再現してPS書き出し→PDF化 すべてをEPSファイルでページ保存して再度貼り込み Quark8で開いてOCFフォントをOpenTypeに置換してPDF化 InDesignで開き直して修正しつつPDF化 1)の手段が一番確実ですが、PDF化するときにBiblos外字がエンベッドされません。2)は書き出したEPSファイルにはフォントがエンベッドされていませんので出力環境を選びます。3)、4)は完了した印刷物を再度校正する必要が出てくる、ということで、最終的に1)の方法を取ることにしました。 数年来蓄積されたデータを総合版として再版する仕
以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(
PSN侵入の件から始めよう 今年のセキュリティの話題の中でも特に注目されたものとして、4月20日に起こったPSN侵入事件があります。5月1日にソニーが記者会見をネット中継したことから、ゴールデンウィーク中にもかかわらず多くの方がネット中継を視聴し、感想をTwitterに流しました。もちろん、筆者もその1人です。 このときの様子は、「セキュリティクラスタまとめのまとめ」を連載している山本洋介山さんが、Togetterでまとめています。 Togetterのまとめを読むと、漏えいしたパスワードがどのように保護されていたかが非常に注目されていることが分かります。Togetterのタイムラインで、14:48ごろにいったん「パスワードは平文保存されていた」と発表されると、「そんな馬鹿な」という、呆れたり、驚いたりのつぶやきが非常に多数流れます。 しかし、15:03ごろに「パスワードは暗号化されてなかっ
この記事が公開されるころは、年始ということでバタバタとしていることだろう。「長期休暇後」「新年を迎えて」といったように節目となり、心機一転という心境にもなるのではないだろうか。 そんな気持ちもあって今回は、自身が管理しているネットワークに対してポートスキャンを行い、開放しているサービスの確認・把握をいま一度行ってみようと思う。 ※ご注意 オープンポートの確認とはいえ、自身の管理下にないネットワークに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的処置を取られる可能性もあります。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。 また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 敵は外部から――その「外部」って何を差してますか?
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く