23新卒技術研修で実施したセキュリティ研修の講義資料です。 資料の利用について 公開している資料は勉強会や企業の研修などで自由にご利用頂いて大丈夫ですが、以下の形での利用だけご遠慮ください。 ・受講者から参加費や授業料などを集める形での利用(会場費や飲食費など勉強会運営に必要な実費を集めるのは問題ありません) ・出典を削除または改変しての利用
セキュリティチームのぐっちーです。今回のブログではAzure OpenAI Serviceを利用した際にどのような脅威(インシデントの潜在的な原因)が考えられるかを上げ、その脅威に対してどんな対策を行うことができるかまとめてみました。僕自身もまだまだ模索しながらやっている状況ですが、ChatGPTのようなAIサービスを安全に利用したい方などの参考になれば幸いです。 サマリー Azure OpenAI Service利用上のセキュリティ的な懸念について仮説を元に整理しした上で、どのような対策が取れるか考えてみました。 Azure OpenAI Serviceは、Azureが従来提供していたセキュリティサービスをそのまま利用することができるため、様々な角度からリスク軽減策が行うことができることを確認できました。
What is SLSA? Supply-chain Levels for Software Artifacts, or SLSA ("salsa"). It’s a security framework, a checklist of standards and controls to prevent tampering, improve integrity, and secure packages and infrastructure. It’s how you get from "safe enough" to being as resilient as possible, at any link in the chain. Any software can introduce vulnerabilities into a supply chain. As a system gets
背景 私たちは中核人材育成プログラム 第5期受講生として、1年間にわたり様々な講義を受け、演習を実施してきました。その過程で、変化し続けるサイバーセキュリティの世界では、世界中の情報を的確に収集し成長を続けることが大事であることを学びました。 世界中の情報を利用するためには英語の力、中でもリーディングの力が不可欠です。しかし、私たち日本のセキュリティエンジニアの多くは英語に苦手意識を持っており、的確な情報活用ができていないのが現状です。 本プロジェクトは、日本のセキュリティエンジニアの情報収集力・成長力レベルアップのため、その手段としての英語リーディングの意欲・能力向上を目指して企画されました。実務や学習にお役立ていただければ幸いです。 想定利用者 日本語話者のセキュリティエンジニア全般ですが、中でも「ユーザー企業や官公庁で働く実務担当者」を主なターゲットとしています。「英語はちょっと……
セキュリティ対応組織の教科書 v2.1 (2018年9月) 2023年2月に、「セキュリティ対応組織の教科書第3.0版」をリリースしました。そちらをご活用ください。 セキュリティ対応組織の教科書 第3.0版 2019年2月に、「セキュリティ対応組織成熟度セルフチェックシート」を補足を記入できるようにしたv2.2版に更新しております。各組織での展開の際に各組織の形態や業務に合わせた補足を記入するなどご活用ください。 2018年9月に、「セキュリティ対応組織の教科書」の概要版となる「ハンドブック v1.0版」と54の役割を一覧できる別紙を追加しております。 2018年3月に、「セキュリティ対応組織成熟度セルフチェックシート」のアウトソースに関する基準を見直したv2.1版に更新しております。 【WG6】 セキュリティオペレーション連携WGにおいて、「セキュリティ対応組織の教科書 v1.0」の改版
コンピュータセキュリティ インシデント対応チーム (CSIRT)のための ハンドブック 本翻訳文書は、有限責任中間法人 JPCERT コーディネーションセンターが、原書 の著作権を保有する Carnegie Mellon University/Software Engineering Institute(CMU/SEI) から許諾を得て翻訳したものです。 CMU/SEI: http://www.sei.cmu.edu/ 日本語版の内容について、原書に沿ってできるだけ忠実に翻訳するよう努めて いますが、完全性、正確性を保証するものではありません。 また、翻訳監修主体は本文書に記載されている情報より生じる損失または損害 に対し、いかなる人物あるいは団体にも責任を負うものではありません。 コンピュータセキュリティ インシデント対応チーム (CSIRT)のための ハンドブック Moira J. W
※本記事は2022年5月13日に公開された記事の翻訳版です。 ※この記事はSecurity Tech Blogシリーズ: Spring Cleaning for Securityの一環で書かれています。 こんにちは。Security EngineeringチームのDavidです。 この記事では、メルカリが独自に実施しているSOC(セキュリティオペレーションセンター)の取り組みを紹介します。少しでも読者の脅威検出の取り組みをスタートするきっかけになれたらと思っています。 はじめに 一般的に、サイバーセキュリティは、防止(Prevention)、検出(Detection)、対応(Response)の3つの主要原則に分類されます。最近のブログ投稿やオンライン登壇では、SecurityチームとMicroservice Platformチームが主にセキュリティの防止の側面 [1] について触れてきま
Yahoo! JAPAN's password-free authentication reduced inquiries by 25%, sped up sign-in time by 2.6x Stay organized with collections Save and categorize content based on your preferences. Yahoo! JAPAN is one of the largest media companies in Japan, providing services such as search, news, e-commerce, and e-mail. Over 50 million users log in to Yahoo! JAPAN services every month. Over the years, there
本投稿は DPE Camp blog series の一部です。 こんにちは。 Platform Infra の Kenichi Sasaki (@siroken3) です。メルカリでは主にAWSの管理を業務にしています。今回の投稿ではAWS構成管理リポジトリのセキュアなCI/CD環境を構築した件について紹介します。 背景 メルカリにおけるAWSの役割 メルカリにおけるAWSの利用の歴史は古く、商品画像を格納するためのストレージとしてS3をサービス開始当初から採用しています。その他S3はMySQLデータベースのバックアップ先、パートナー各社様とのデータ連携のための AWS Transfer Family のバックエンドとして使用しています。また2014年当時のUSメルカリのサービス開始時のメインインフラはAWS上にありました。 直近ではお客さま電話窓口やサポート担当の稼働管理ツールとして
Advent Calendar day 7 担当の vvakame です。 予告では Apollo Federation Gateway Node.js実装についてポイント解説 としていましたが、社内各所のご協力によりAdvent Calendarの私の担当日に間に合う形で公開できる運びとなりました。そのため告知とは異なりますが GitHub上のsensitive data削除の手順と道のり をお届けしていきたいと思います。 メルペイVPoE hidekによるday 1の記事で振り返りがあったように、今年、弊社ではCodecovのBash Uploaderに係る情報流出という事案が発生しました。当該インシデント対応において、プレスリリースにも記載のある通り、ソースコード上に混入してしまった認証情報や一部個人情報などの機密性の高い情報(sensitive data)について調査を実施し、対応
AWS Startup ブログ スタートアップにおけるマルチアカウントの考え方と AWS Control Tower のすゝめ こんにちは、スタートアップ ソリューションアーキテクトの松田 (@mats16k) です。 今回のテーマはマルチアカウント(複数の AWS アカウントの利用)です。近年セキュリティやガバナンスの強化を目的にマルチアカウント構成で AWS を利用されているお客様が多くいらっしゃいます。また、AWS もマルチアカウントでの運用を推奨しており、関連する多くのサービスや機能がリリースされています。 一方で、マルチアカウントに関する作業や知見はプロダクトの価値向上に対して直接的な影響を与えることが少なく、結果として対応や検討が後回しになっているスタートアップも多いのではないでしょうか。今回は特にシード・アーリーステージのスタートアップ向けに、マルチアカウントに対する考え方と
WordPressのxmlrpc.php徹底解説(無効化すべきセキュリティ上の理由とその方法) XML-RPCは、WordPressが採用している規格の1つです。異なるシステム間の通信を標準化し、WordPressを含む様々なアプリケーション(ブログプラットフォームやデスクトップアプリなど)がWordPressサイトと情報をやり取りする役目を担います。 XML-RPCはWordPress最初のリリース当初からあり、非常に有用な役割を果たしました。XML-RPCがなければ、WordPressはインターネット上で孤立し、日の目を見ていなかったかもしれません。 ただし、xmlrpc.phpには欠点もあります。xmlrpc.phpはWordPressサイトに脆弱性をもたらす可能性があり、現在はWordPress REST APIが代わりの役割を果たしています。 xmlrpc.phpとは何か、なぜ無
リアルタイムには情報を追っておらず、お知らせ一覧等から調べているため抜けがあるかもしれません。 ルールは以下。 公共性の高いものを載せています WGや研究会の純粋な活動報告書、個別のインシデント・脆弱性は載せていません 情報源はこの辺。 security.nekotricolor.com 上半期は以下。 security.nekotricolor.com 政府機関 総務省 文書タイトル 公開日 IoT・5Gセキュリティ総合対策2020 2020/07/17 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 2020/08/21 DX時代における企業のプライバシーガバナンスガイドブックver1.0 2020/08/28 中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)(初版) 2020/09/11 テレワークセキュリティに係る実態調査(1次
ランサムは現代の「黒いゴールドラッシュ」なのだと改めて実感します。2021年初となる、新たなオペレータが確認された様です。 www.bleepingcomputer.com 今年は新年であり、人為的な攻撃で企業の被害者を標的とするBabukLockerと呼ばれる新しいランサムウェアが登場します。 Babuk Lockerは、2021年の初めに開始されて以来、世界中からの犠牲者の少数のリストを集めてきた新しいランサムウェア操作です。 BleepingComputerが見た被害者との身代金交渉から、ビットコインでの需要は60,000ドルから85,000ドルの範囲です。 (Bleeping Computer記事より引用)※機械翻訳 キタきつねの所感 Bleeping Computerの記事で、Babuk Lockerという企業・組織を狙う新たなランサムオペレータの手法が分析されていました・この記
202012_smooz.md Smoozサービス終了に寄せて 前置き この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。 一方で私は、企業が閲覧履歴を収集して何をしたいのか、所属してる企業や他社事例について、ある程度詳しい当事者でもあります。 一般論として書けることは書けるが、(業務上知り得た知識で開示されてないものなど)個別具体的なことは書けないこともあり、また観測範囲に偏りがある可能性もあります。 Smoozに報告した脆弱性2件 最近、Smoozというスマホ向けのブラウザアプリに2件脆弱性の報告をした。 この記事を書いている時点で、Smoozの配布が停止されていて、修正バージョンの入手が出来ない。 2件目についてはまだ返事が来ていない。 脆弱性情報の開示にあたって特段の許可は得ていないが、開発元からも利用停止す
Internet Week 2020 で講演した資料です
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く