AWS固有のセキュリティリスクと対策 - Speaker DeckAKIBA.AWS #10 Developers.IO東京 前夜祭!AWS Update LT大会の資料です。 AWS使ってればセキュリティは安心? きちんと理解してAWSでもセキュリティ対策しましょう。 #akibaaws
総務省|報道資料|「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」の公表
総務省は、今般、クラウド事業者がIoTサービスを提供する際のリスクへの対応方針を取りまとめたことから、「クラウドサービス提供における情報セキュリティ対策ガイドライン」(平成26年4月策定)を改定することとし、「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」を策定しましたので、これを公表します。 あわせて、「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」(案)に対する意見募集の結果を公表します。 総務省では、平成29年7月より、特定非営利活動法人ASP・SaaS・IoTクラウドコンソーシアムに委託し、「ASP・SaaSクラウド普及促進協議会」の下に設置された「クラウド事業者におけるIoTセキュリティ対策及び情報開示に関する検討会」(主査:佐々木良一 東京電機大学 教授)(構成員は別紙1のとおり)において、クラウド事業者がIoTサービスを提供
エンジニアなら脆弱性情報を読めるようになろう | Tech Blog
こんにちは、アドテクスタジオでセキュリティエンジニアをしている岡崎です。 皆様、年末年始はゆっくりできましたでしょうか。私は年始に公開された「Meltdown and Spectre」のお陰で年始早々、情報整理に追われてました。 今回は、先日「Meltdown and Spectre」の脆弱性のこともあり、脆弱性情報の見方と脆弱性情報API活用について、書かせていただきます。 1,脆弱性情報の見方 エンジニアの方であれば、脆弱性情報を確認する中でCVEやCVSSなどを目にすることが多いと思います。それぞれどのような意味を持ち、どのように見るのかを知っておきましょう。 先日あった「Meltdown and Spectre」を例に見ていきましょう。 https://meltdownattack.com/ https://spectreattack.com/ まず、このような脆弱性情報が公開され
商用環境で設定しておきたいセキュリティ関連 HTTP ヘッダまとめ - A Memorandum
TL;DR X-Content-Type-Options X-Frame-Options(XFO) X-XSS-Protection Content-Security-Policy (CSP) Upgrade-Insecure-Requests Strict-Transport-Security (HSTS) Public-Key-Pins (HPKP) 設定 TL;DR X-Content-Type-Options MIME スニッフィングの無効化 X-Frame-Options(XFO) フレーム表示を制限しクリックジャッキングを予防 X-XSS-Protection XSSフィルタの有効/無効 Content-Security-Policy (CSP) XSSなどの攻撃を軽減するセキュリティレイヤー Strict-Transport-Security (HSTS) HTTP の代わり
ウェブセキュリティの最近の話題早分かり
2. アジェンダ • 最近の侵入事件に学ぶ – メルカリ CDNキャッシュからの情報漏えい – WordPress REST API の脆弱性 – GMOペイメントゲートウェイのクレジットカート情報漏洩事件 – 日本テレビの侵入事件 – パイプドビッツ WebDAVの設定不備による情報漏洩 – イプサ クレジットカード情報漏洩事件 • まとめ Copyright © 2012-2017 EG Secure Solutions Inc. 2 3. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社(現EGセキュアソリューションズ株式会社)設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 –
パスワードレス認証技術 FIDO
キーワードで探す カテゴリで探す トレンドを知る 事例を知る 展望を知る 技術ブログ サービスで探す コンサルティング CRM(Salesforce) ERP(SAP/Biz∫) 顧客接点・決済 カーボンニュートラル SCM・ロジスティクス 電子申請 データ&インテリジェンス アプリケーション開発・管理 ブロックチェーン 量子コンピュータ・イジングマシン デジタルツイン IoT ロボティクス・RPA クラウド ネットワーク データセンター サイバーセキュリティ アウトソーシング 業種で探す 金融 官公庁・自治体 医療・ヘルスケア 防災・レジリエンス 食品 小売・流通 モビリティ 製薬・ライフサイエンス 食農・農業 製造 通信・放送 電力・ガス・水道 建設・不動産 個人のお客様向け 教育 トピックで探す Innovation Conference サステナビリティ キーワードで探す カテゴリ
体力勝負から“禅の境地”へ 次世代のサイバーセキュリティ対策を見据えた取り組み
サイバー攻撃が多様化していくなかで、重要性が高まってきているセキュリティエンジニア。そのなかでも潜在的な脅威を検知し、即時対応を行っているのが、リクルートテクノロジーズのセキュリティアーキテクチャーグループ(SAG)です。SAGがセキュリティに注力することになったきっかけやその過程での苦労について、グループマネジャーの松原由美子氏と、シニアセキュリティエンジニアの中村光宏氏に話を聞きました。 将来起こりうる脅威を予測する ――まずは、お2人がいらっしゃるセキュリティアーキテクチャーグループ(SAG)はどういった部署なのか教えてください。 松原由美子氏(以下、松原):サイバーセキュリティの観点から「現状世の中でどんなことが起きていて、なにが課題で、それに対して我々はどう手を打つべきか」について具体的なソリューションを考え、提示し、実行するのがミッションです。 ――お2人は役割が異なっています
JTBへの不正アクセスについてまとめてみた - piyolog
2016年6月14日、JTBは同社のサーバーが不正アクセスを受け、顧客情報が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。 公式発表 今回の不正アクセスによる影響はJTB他、同社の提携サービスを展開している他社にも波及している。 JTBグループ 2016年6月14日 不正アクセスによる個人情報流出の可能性について 2016年6月14日 Re: Occurrence of Unauthorized Access (魚拓) 2016年6月16日 個人情報流出の可能性があるお客様へのご連絡について 2016年6月17日 「なりすましメール」「フィッシングメール」や「なりすましサイト」にご注意ください JTB提携先 NTTドコモ 2016年6月14日,16日 提携先のJTB社のグループ会社サーバーへの不正アクセスに伴う「dトラベル」の個人情報流出の可能性について (魚拓) (
新入社員のためのWAF(Web Application Firewall)入門 | DevelopersIO
佐々木です。クラスメソッドも4月から新しい仲間が増えました。今日はWAF(Web Application Firewall)の基本的な知識を整理してみました。 基礎知識 WAFとは WAF(Web Application Firewall)とは、Webアプリケーションの脆弱性を狙う悪意ある通信(攻撃)から、Webアプリケーションを保護するものです。本来論で言えば、Webアプリケーションに脆弱性があるのであればWebアプリケーションを修正するのが正しい対応です。しかし未知の脆弱性があったり、修正コストが大きくWebアプリケーションでの対応が難しい場合や、緊急度が高くすぐに防御しなければならないが修正が間に合わない場合も、残念ながらあります。ユーザーとWebアプリケーションの間にWAFを入れることで、悪意ある通信を防ぐことが出来ます。 ファイアウォールとは ファイアウォールは、IPヘッダやTC
乱数の性質とセッショントークンの作成 - $shibayu36->blog;
ユーザアカウントのログイン機能とか作ってると、何らかの形でセッション用のトークンを作成する機会がある。今まではこれは適当にランダムな値を利用していればいいんでしょと思っていたのだけど、ちょっと違ったのでメモ。 乱数の性質 http://akademeia.info/index.php?%CD%F0%BF%F4によると、乱数には三つの性質がある。 無作為性:統計的な偏りがなく、でたらめな数列になっているという性質。 予測不可能性:過去の数列から次の数を予測できないという性質。 再現不可能性:同じ数列を再現できないという性質。再現するためには、数列そのものを保存しておくしかない。 この時、少なくとも無作為性のみ満たされていると弱い擬似乱数、無作為性と予測不可能性が満たされていると強い擬似乱数、全てが満たされていれば真の乱数と呼ばれる。ソフトウェアだけでは、真の乱数を作ることができず、真の乱数に
企業やチーム内でのクソなパスワード管理から脱却するMeldiumのすすめ - トランスリミット創業記.author = 高場大樹
今回は、私自身がずっと課題に感じていた「企業やチームでのパスワード管理」について。 前職で全社の情報システム部に所属していたことがあるので、以前から企業セキュリティにはかなり興味があるのですが、大企業では、セキュリティがガチガチで利便性が無い。逆にスタートアップは、セキュリティ?みたいな感じが非常に多いと思います。大抵の場合「セキュリティねえ、わかるよ、わかるけど面倒だよね」みたいな考えを持っている人が多く、あまり積極的では無いような気がします。一度失敗した経験が無いとあまり身近に感じないのではないでしょうか。 セキュリティ対策というとやることはたくさんあるけど、どの企業も抜けているんではないかと課題視していたのが、チームでのパスワード管理。自分自身もリスクあるなあと思いながら暗中模索していたんですが、ようやくそんな悩みを解決できるMeldiumというサービスを見つけてしまいました。しかも
「Androidアプリのセキュア設計・コーディングガイド」、JSSECが公開
日本スマートフォンセキュリティフォーラム(JSSEC)は2012年6月11日、「Androidアプリのセキュア設計・セキュアコーディングガイド」を公開した。Androidアプリの安全性の高いコーディング方法、サンプルコードとともに解説している。 ガイドではActivtyの作成と利用、Broadcastの送受信、Content Providerの作成と利用、Seviceの作成、SQLiteの仕様、ファイルの扱い、パスワード入力画面の作り方、PermissionとProtection Levelの扱いなどについてコーディングのルールを提示している。 また内容に対するパブリックコメントも受け付けている。「最新かつその時点で正しいとおもわれることをできるだけ記載・公開し、間違いがあればフィードバックをいただいて常に正しい情報に更新する」(JSSEC)。 「Androidアプリのセキュア設計・セキュ
BOT業者の活動を“ほぼ壊滅”に追いやるまでの軌跡――「ドラゴンネスト」運営チームによる1年半の不正行為対策を振り返る
BOT業者の活動を“ほぼ壊滅”に追いやるまでの軌跡――「ドラゴンネスト」運営チームによる1年半の不正行為対策を振り返る ライター:川崎政一郎 人気の高いオンラインゲームに何かと付いてまわるのが,不正行為を行う一部プレイヤーの問題である。それを代表するのが,大量のBOTキャラクターを使ってゲーム内マネーを荒稼ぎし,RMTサイトを通じて現金売買する“業者”の存在であろう。彼らは己が利益のためにゲーム内経済やゲームバランスにダメージを与え,大多数を占める一般のプレイヤーに対しても不快感を与える。そもそもほとんどのゲームにおいて,RMT行為はれっきとした規約違反行為なのだが,多くの業者は水面下で活動しているため特定や阻止が難しく,運営会社はその対応に頭を悩ませているのが実情だ。 「ドラゴンネスト」 NHN Japanの「ドラゴンネスト」もご多分に漏れず,2010年5月のサービス開始以来,運営による
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティログ分析基盤の構築 on AWS - Speaker Deck
Webシステム/Webアプリケーションセキュリティ要件書 2.0 - OWASP Japan セキュリティ要件定義書ワーキンググループ