社内で検知された悪性通信を調査したらドメインパーキングだった話 - NTT Communications Engineers' Blog
こんにちは、イノベーションセンターの冨樫です。Network Analytics for Security プロジェクトに所属しています。 突然ですが皆さんはドメインパーキングというサービスを知っているでしょうか?詳細については後述しますが、以前イノベーションセンターの検証網でマルウェアに関する悪性通信が検知されたため通信先を調査したところ、ドメインパーキングだったことがあります。本記事ではこの調査を通して得られたドメインパーキングに関する知見とその調査過程を紹介します。また、今回紹介するドメインパーキングの悪用事例や外部インテリジェンスを活用した調査は基礎的な内容ですので、本記事は主に初学者の方の知見にしてもらうことを目的としています。 ドメインパーキングについて アラートの概要 Ursnif について 接続先についての調査 検知されたアラートの危険性について さいごに ドメインパーキン
ジャック・ドーシー、Blueskyからの離脱は「Twitterと同じ過ちを繰り返しているから」とインタビューで述べる | テクノエッジ TechnoEdge
ガジェット全般、サイエンス、宇宙、音楽、モータースポーツetc... 電気・ネットワーク技術者。実績媒体Engadget日本版, Autoblog日本版, Forbes JAPAN他 Twitterの共同創業者で、現在は決済サービスBlockを率いるジャック・ドーシー氏は、最近Blueskyの取締役会から降りた理由として「(Twitterが犯してきた)あらゆる過ちを繰り返しているから」だと語りました。 ドーシー氏はTwitterの歴史のごく初期に、営利企業としての都合や、広告主など外部の力で運営方針を左右されることのない、オープンソースのプロトコルとしてのTwitterを構想していました。 しかし、Twitterが成長していくにつれ、違法コンテンツなどのモデレーションやユーザーのアカウント凍結といった対応が必要となり、オープンで分散したネットワークという方向性に舵を切るのは難しくなります。
この記事はTSKaigi2024での以下の私の発表内容を書き下ろしたものです。 なぜAPIに型をつけたいのか 現代のWebのシステム開発において、クライアント・サーバーともに型のある言語で開発されることが増えてきました。静的な型検査はコードの堅牢性やよりよいメンテナンス性の向上をもたらします。 プログラミング内部だけで型検査をするだけでも十分メリットはありますが、外部I/Oに対する型付けが不十分だとそのメリットを最大限に発揮してるとは言えません。外部I/Oとは、例えばWebフロントエンドだとLocalStorageやDOMからの入力値、それからネットワーク通信(今回はこれをAPIと呼びます[1])などですね。サーバー側でいうとAPIからの入力・レスポンスやデータベースへの読み書きが該当します。 個人的な経験から言うと、Webシステムの開発におけるエラーの多くはAPIやデータベースとのやり取
TSKaigi 2024 ref: https://tskaigi.org/talks/tockn
情報漏えいを受け、LINEヤフーが韓国NAVERへの業務委託の終了を決めた。5月8日に開かれた2023年度通期・第4四半期決算会見で明かしたもので、LINEヤフーが2024年度中と進めていたLINEとPayPayのアカウント連携についても、社内のセキュリティガバナンス強化の優先を理由に計画時期を見直す。 LINEヤフーは、23年10月に不正アクセスによる情報漏えいが発生したと発表。情報流出は、同社と韓国の関連会社NAVER Cloud委託先企業の従業員PCがマルウェアに感染したことをきっかけに、NAVER CloudのADサーバも感染。その管理者権限や、LINEヤフーのADサーバの認証情報が奪取され、不正アクセス被害につながったとみられている。 この件に関し、LINEヤフーは24年3月に総務省から行政指導を受けており、同社は4月に報告書を提出。NAVERのシステムとの分離を進める他、「NA
「情シス担当者がいなくなってサーバーやネットワーク機器を管理する人がいないので皆さんで管理しましょう」→斬新すぎる管理方法だった
Shadowhat @shadowhat HAGIWARA Takahiro (仮想化プリセエンジニア) 主にNutanix、最近M365、時々Linux、稀にネットワークな日々 発言は個人の見解であり、所属する企業の見解や意見を代表するものではありません。 Nutanix Technology Champion 2018-2024 infraapp.blogspot.jp Shadowhat @shadowhat 「情シス担当者がいなくなって社内のサーバーやネットワーク機器を管理する人がいないので皆さんで管理しましょう。」 といって、社内全員にAdministrator権限のユーザ名とのパスワードを共有する斬新な管理方法を聞いた。 なお、SIでソフトウェア開発をやっている会社さんだそうで。。。 2024-05-08 09:04:29
切り替える理由 自社の主力製品で利用している技術(WebRTC / WebTransport)がブラウザベースのため TypeScript を利用する Go を採用したのは sqlc が使いたかったという理由 sqlc-gen-typescript が出てきたのでもう Go を使う理由がなくなった 自社サービスチーム全員が Go にまったく興味が無い sqlc 自体は便利 そもそも自社に Go への興味がある人がいない 自社サービスの規模ではボトルネックになるのはデータベースであって言語ではない もしアプリでスケールが必要なときは Rust や Erlang/OTP に切り替えれば良い コネクションプールは PgBouncer を利用すればいい TypeScript からは 1 コネクション 1 接続で問題無い どうせフロントエンドでは TypeScript を書く 自社では React
ブラウザキャッシュの仕組みについてまとめた
Web開発において、ページの読み込み速度は非常に重要になります。 そのためにもブラウザのキャッシュは効率的なWebサイト運営に不可欠な機能です。 ブラウザのキャッシュには次のHTTPヘッダを設定することができます。 Expiresヘッダ Cache-Controlヘッダ Last-Modifiedヘッダ ETagヘッダ これらのキャッシュには強いキャッシュと弱いキャッシュで分類が可能です。 「Expires」「Cache-Control」は強いキャッシュであり、「Last-Modified」「ETag」は弱いキャッシュに分類できます。 強いキャッシュと弱いキャッシュ 強いキャッシュは設定された期間内は完全にローカルキャッシュを利用して、サーバーへのリクエストを行いません。 一方で弱いキャッシュはキャッシュされたリソースの検証が必要であり、ETagやLast-Modifiedヘッダを利用して
止まらないLinuxシステムを構築する!高信頼性クラスタ入門 クラウド、オンプレどちらの環境でも障害は不意にやってきます。 そんなときもサービスを継続提供するためのHAクラスタ。 今回は高信頼性を実現するクラスタの考え方の基本から、具体的にLinuxクラスタを設計/構築するコツについて解説します! こんな方にオススメ ・Linux初心者の方 ・Linuxが好きな方 ・高信頼性、高可用性クラスタに興味ある方
巷の「ReactとNext.jsの比較」はここがおかしい、というか比較すること自体が微妙 - honey32
(WIP まとまったら Qiita とかに上げるかも) TLDR; 「React と Next.js を比較」という記事で、 Next.js と比較できるのは「フレームワークなしで React を使うという選択肢」であって、「React そのもの」ではない。 ✅️ React を使うのに 「フレームワークあり」 vs 「フレームワークなし」 ❌️「React」 vs 「Next.js」 それはそうと、「create-react-app の機能・特徴」のことを、「React の機能・特徴」であるかのように書いてしまっている記事が多い create-react-app 自体が擬似的なフレームワーク(といえそう) そもそも、create-react-app は今は更新されてないので create-vite-app を使うべき フレームワークあり or フレームワークなし 【フレームワークあり】
WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か困ったことがいままでありません。 ただ、ふと考えてみると「情報漏洩やサイバー攻撃が発生した際などの有事にどのような行動をとるべきか」という観点ではあまり自信がないなと感じました。社内でもそのような場合の指針が整っているわけではないです。 徳丸先生は、一般的な開発者には最低限どのレベルのセキュリティ知識を求められていますか? 回答の難しい質問ですが、ここは本音をさらけ出したいと思います。 私が「安全なWebアプリケーションの作り方(通称徳丸本)」を出したのが2011年3月でして、それから13年以
AWS Security HubとSlackを利用して、セキュリティ状況の監視運用を効率化したお話 - Uzabase for Engineers
はじめに 初めまして!ソーシャル経済メディア「NewsPicks」SREチーム・新卒エンジニアの樋渡です。今回は「AWS Security Hub」と「Slack」を用いて、弊社で利用しているAWSリソースの監視運用を効率化したお話です。 お話の内容 年々増加するサイバー攻撃に対抗するため、セキュリティ対策は日々重要度が増してきています。 そこで弊社で利用しているAWSのリソースに対して、各種セキュリティイベントの収集ができるAWS Security Hubを利用することで、セキュリティ状態の可視化と迅速な対応がしやすい運用を行い、セキュリティ状態の現状把握から始めることにしました。特にNIST CSFの「検知」部分の運用について整備した内容となっています。 NIST Cyber Security Frameworkについて 皆さん、「NIST Cyber Security Framewo
はじめに みなさん様々な言語でAPIサーバーを立てて負荷試験を実施したことはありますか。 私自身、業務でPythonのアプリケーションに対して負荷試験を実施した経験があります。 その際にPythonの速度観点の不安定さを目の当たりにしたと同時に、別の言語ではどのような違いが生まれるのだろうか、という疑問を持ちました。 そこで今回は、簡単ではありますがGoとRustとPythonでそれぞれAPIサーバーを立てて負荷試験をしてみます。 負荷試験対象のAPIサーバー 今回は(1) Hello, World!を返すAPI(2) ファイル読み込みAPI(3)1秒待ってから応答するAPIの3つを実装します。 (1)はAPIサーバー自体の応答速度の計測、(2)はメモリを消費する処理が生じた場合のAPIの応答速度の計測、(3)は待ち時間発生している時のAPIの応答速度の計測することが目的です。 (2)につ
この度、本社サーバーがコンピュータウイルス「LockBitランサムウェア 」に感染しました。 今回の不正アクセスの直接の原因は、セキュリティ強化の一環で FortiGate(統合型セキュリティアプライアンス)の設置を昨年に依頼しましたスターティア株式会社(https://www.startia.co.jp/)が設置の際に使用していた test アカウントを削除せずそのまま放置し、悪意のある第三者が test アカウントを使用して弊社のサーバーに侵入した事によるものとなります。 なお、現時点では、社内情報の流出の事実は確認されておりません。また、被害サーバーにはお客様情報は入っておりません。 関係する皆さまには、多大なご迷惑とご心配をおかけすることとなり、心よりお詫び申し上げます。 対応としましては、感染が判明した当該サーバーをすべてネットワークから遮断する対策を講じるとともに、弊社全部署で
私たちの生活に身近な「信号機」。全国に設置されているのは約20万基にのぼりますが、いま、“異変”が起きています。 各地で撤去が進み、新設の要望が通りにくくなっています。また、更新の目安を超えて運用されるケースも増加しています。 交通安全の「要」と言える信号機に、何が起きているのでしょうか。 (千葉放送局記者・池田侑太郎) 老朽化の信号機 更新を先延ばしに 2024年2月、千葉県市川市の県道の交差点で行われていたのは、信号機を更新する作業です。 古くなった赤・青・黄色の「灯器」や、点灯の調整を行う「制御器」などが新品に取り替えられました。 信号機の「制御器」 この制御器、設置されたのは25年前。しかし、国が故障の確率などから定めている更新目安は「19年」です。5年余り更新を先延ばしして、運用されていました。 作業員 なぜ? 更新先延ばしの背景は 千葉県内にある信号機は約8500基。このうち、
北朝鮮、日本アニメ制作関与か サーバーからファイル―米分析 時事通信 外信部2024年04月23日10時10分配信 北朝鮮国旗(AFP時事) 【ワシントン時事】米国の北朝鮮分析サイト「38ノース」は22日、日本や米国のアニメ制作に北朝鮮のアニメーターが関与した疑いがあると明らかにした。北朝鮮が管理していたとみられるクラウドサーバーに、これらアニメの関連ファイルなどが保管されていたという。 北朝鮮技術者が成り済ましか IT業界団体に注意喚起―警察庁など 38ノースによると、関与が疑われるのは、7月放送予定のTVアニメ「魔導具師ダリヤはうつむかない」のほか、米アニメ「インビンシブル」などの作品。札幌市のアニメ制作会社の名前が入ったファイルもあったという。 サーバーからは、中国語や朝鮮語のコメントが記載されたアニメの画像などが見つかった。解析した米シンクタンク「スティムソン・センター」のマーティ
これまで何度か HTTP Server の Graceful Shutdown について記事を書きました。 Go 言語で Graceful Restart をする Go 言語で Graceful Restart をするときに取りこぼしを少なくする Go1.8 の Graceful Shutdown と go-gracedown の対応 最終的に Go 1.8 で Server.Shutdown が導入され、この件は解決を見ました。 しかし、最近「あれ?本当に正しく Server.Shutdown 使えている?」と疑問に思い、少し考えてみました。 というか ↑ の記事もまだ考慮が足りない気がする。 ぼくのかんがえたさいきょうの Go HTTP サーバー起動方法 とりあえず完成形のコード。 package main import ( "context" "log" "net/http" "os
こんにちは。Findy Freelanceの開発チームでエンジニアをしている2boです。 この記事では私が開発生産性を上げるために開発をする前に考えていることについて書きます。 ここで「開発をする前」というのは次のようなタイミングを指します。 PdMなどから新規施策の仕様について相談を受けたとき 起票された開発Issueを最初に確認するとき 自分がIssueを作成するとき なぜこのタイミングで考えるかというと、開発を進める上での方向性を間違える可能性を減らし後から軌道修正をしやすくするためです。 なおこの記事においては、開発生産性を「開発成果物の提供価値を投入リソースで割ったもの」とします。 いくら頑張って開発をしても、そもそもやるべきことの方向性を大きく間違えると提供価値が0に近づくため開発生産性が低下します。 特に開発が高速なチームで方向性を誤ると高速に間違った方向へ進んでしまうことに
サーバーレスの次はなんなんだ
はじめに この記事は、同人誌サークル「めもおきば」から不定期刊行している技術解説本「めもおきばTecReport」に書いたものを公開用に再編集したものです。 ⇒ めもおきばTecReport 2023.12 この記事のほかにも「私もSecHack365に参加したい!」や、「2023年振り返りと2024年技術予想」としてこんなキーワードを取り上げているので、気になったらぽちっとしてください! メガクラウドと特化型クラウド/ハイパーバイザーのSoC化/ライセンスとクラウドベンダー/イベント駆動型API/LLM時代のAIペアプロ力/生活必需品としてのGPU・NPU/Passkey/ウェブアクセシビリティ/リアルイベントの再開 サーバーレスの次はなんなんだ サーバーレスと呼ばれる技術ムーブメントが盛り上がり始めて8年近くが経ちました。各クラウドベンダーのFaaS(Function-as-a-Ser
Deno first でやっていく
去年末ぐらいから Deno を使う割合がグッと増えてきた。最近のJS関連は7割ぐらい deno 環境の VSCode でコードを書いている気がする。 今回はいくつかの実例を示しながら、実際に Deno 使えるじゃんというイメージを持ってもらうためのユースケースを紹介していく。 というか、 deno が普及してくれないと、自分が作ったツールの紹介を全部 deno のインストールから書かないといけなくなる。みんなインストールしといて。 最初に: なぜ Deno を使いたいか 一番の問題点、Node は新しいプロジェクトを一式整えるための手間が非常に重い。 とくに ts で書いたものを他の環境に渡すための方法が未だにしんどい。ある環境で動いたコードをそのままコピーしても、プロジェクト設定の非互換を踏む可能性が非常に高い。 deno にそういう側面がないとは言わないが、非常に少ない。とくに TS
5年後には標準になっている可観測性のこと - Learning Opentelemetry の読書感想文 - じゃあ、おうちで学べる
はじめに 本稿は、オープンソースの可観測性(Observability)プロジェクトである OpenTelemetry を取り上げた書籍「Learning Opentelemetry」の読書感想文です。従来の可観測性の課題であったデータの分断を解消し、トレース、メトリクス、ログなどの様々なテレメトリデータを統合的に扱うことができる OpenTelemetry は、可観測性の分野における革命的な存在と言えます。 過去10年間で、可観測性はニッチな分野から、クラウドネイティブの世界のあらゆる部分に影響を与える数十億ドル規模の産業へと発展しました。しかし、効果的な可観測性の鍵は、高品質のテレメトリデータにあります。OpenTelemetryは、このデータを提供し、次世代の可観測性ツールと実践を開始することを目的としたプロジェクトです。 learning.oreilly.com 本書の想定読者は、
「営業利益105億円減の修正報告なのに経常利益が35億円増なのホント面白い」ゲームの不振を投資で挽回、コーエーテクモの女帝・襟川恵子会長の手腕は未だ健在
世界四季報 @4ki4 コーエーテクモの襟川恵子会長、本業のゲームの不振を得意の資産運用で穴埋め : 市況かぶ全力2階建 kabumatome.doorblog.jp/archives/66020… 「当期に発売及び配信開始したタイトルのうち、計画を下回るものがあった」 「金融市場を注視しながら運用を行い、営業外収支が計画を大幅に上回って推移」 #襟川ファンド x.com/aryarya/status… 2024-04-15 21:51:20
個人開発者がGoogle Cloudの環境構築でお財布を守るために最初にすべきこと - Qiita
初めに 自分は2年くらい業務でGCP(今はGoogle Cloudですね)を使っていたのですが、友達が個人開発でGoogle Cloud使いたいから手伝ってとのことで、久々にコンソール触りたいなーと思ったので環境構築を手伝うことにしました。友達のクレジットカードが紐づいた環境なので自分の環境以上に課金やセキュリティに対して注意しなくてはなりません。課金だけでなく友情も爆発してしまいかねませんので 今回は最初期から構築するということで個人開発者向けにお財布や環境を守るうえでの最初にやったほうがよい課金のセーフティ的な設定をまとめていきたいと思います。企業で検証環境管理している人にも参考になるかと思いますので是非最後まで見てもらえると嬉しいです! 前提 Google Cloudのプロジェクトを作成していること 課金アカウントを作成していること(クレジットカードの紐づけできていること) その1
ニンテンドーアカウント、ゲームニュースなど、任天堂が展開するネットワークサービスの開発・運用を担うニンテンドーシステムズ。インターネット経由でソフトウェアのダウンロードや追加コンテンツなどを購入できるオンラインショップ『Nintendo eShop』は、同社が手がけるサービスの 1つです。 Nintendo eShop は 2011 年に始まり、現在は世界中で 1 億 3,000 万台以上の販売実績を持つ Nintendo Switch に対して、40 か国以上の国に 24 時間 365 日の体制でサービスを提供しています。任天堂のデジタルコンテンツの総売上は 2017 年から 2023 年にかけて 10 倍以上となり、現在はゲームソフトの売上高全体に占めるデジタル比率は 50% 近くに達しています。 Nintendo eShop の基盤は当初オンプレミスで運用してきましたが、利用者が急増
はじめに ◆この記事は何? IPA高度資格「情報処理安全確保支援士」のシラバスに掲載されている用語の備忘録です ◆対象は? 情報処理安全確保支援士の試験勉強をされる方 ◆この記事のねらい 試験範囲の用語の階層を整理します 試験勉強の一助となれば幸いです ◆この記事について シラバスの用語を参考書等を読みながら自分なりに整理した私の暗記用のノートです 試験に向けて高頻度で更新しています ご助言、誤り等あればご指摘いただけると幸いです 試験範囲全体 試験範囲の分解 暗号 認証 ネットワークセキュリティ データベースセキュリティ クライアントセキュリティ httpセキュリティ メールセキュリティ 攻撃と対策 注目技術 ※参考文献の目次をベースに、試験範囲を分解 暗号技術 共通鍵暗号方式 ブロック暗号 ECBモード CBCモード CTRモード(Counterモード) ストリーム暗号 公開鍵暗号方式
昨日、株式会社はてなの京都オフィスで開催されたKyoto Tech Talk #4でちょっとしたトークをした。 hatena.connpass.com タイトル「(新サービス|カクヨムネクスト)(オープン)?を支える スプレッドシート(芸|技術)」は、正直なところ決めるのがめんどくさくなったので、解釈の幅をもたせることで解決した。正規表現での発話を流行らせたい。 kakuyomu.jp オフライン登壇だったので、だいぶ実地の言葉で補足をした、つまりスライドだけ読んでもだいぶ端折られてる。スライドもこの記事の最後で公開はしておくが、テキストで補足をする。 新サービス立ち上げ時の運用機能は、作り込みすぎないではじめられるスプレッドシートが使える ぼくもそうだが、Excelやスプレッドシートはノンエンジニアでもだいたい使うことができる。新サービス立ち上げのような局面では、できるだけユーザー向けの
春の入門祭り2024の2記事目です。 Gitは、出自としては1週間で作られたLinuxカーネルのための分散バージョン管理システムでした。当時のワークフローに合わせてパッチをテキスト化してメールに添付できるような機能だったりが備わっています。 一方で、現代のGitは、デファクトスタンダードなバージョン管理システムになりLinuxカーネル以外のアプリケーション開発で利用されています。分散バージョン管理ではあるものの、サーバー・クライアント型の使われ方をしていて、GitHubやGitLabを核にして、ローカルで作ったブランチをpushして、Pull Requestの形にして管理しています。少なくとも周りで見る限りでは、それ以外の使われ方の方が少なくなってきてます。そんなこんなで求められている使われ方が変わってきていて、それに合わせた機能がぼちぼち増えています。それを活用することで、ウェブ画面上で
[速報]Google、同社初の独自Armプロセッサ「Google Axion」発表。x86ベースの仮想マシンより50%高速と。Google Cloud Next '24
Google Cloudは、日本時間4月10日未明から開催中のイベント「Google Cloud Next '24」で、同社初となる独自Armプロセッサ「Google Axion」を発表しました。 Google Cloudによると、Axionは現世代のx86ベースの仮想マシンと比較して50%の性能向上と、60%優れたエネルギー効率を実現しており、さらに現在クラウドで利用可能な汎用Armプロセッサと比較して30%高い性能を提供するとしています。 AWSとマイクロソフトはすでに独自Armプロセッサを発表済み Armベースのプロセッサは、すでにAWSとマイクロソフトがそれぞれ発表済みです。 AWSは2018年に独自のArmプロセッサである「Graviton」を発表しており、2023年には最新版の「Graviton4」を発表しています。 マイクロソフトは昨年(2023年)に同社初のArmベースの独
![[速報]Google、同社初の独自Armプロセッサ「Google Axion」発表。x86ベースの仮想マシンより50%高速と。Google Cloud Next '24](https://cdn-ak-scissors.b.st-hatena.com/image/square/33b524650e7c1b3aab6457a0c5e9ee62fc5e7d47/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2024%2Faxion_la01.png)
どういうこと?/TL;DR AWS → Cloudflareに移行したら費用が99%削減できました。 対象読者 今CloudFront + S3で構築しているけど転送量に困っている人 Cloudflare R2を検討している人 (CloudFrontとCloudflareをよく間違える人) はじめに 元々、動画CDNの構築はCloudFront + S3で構築していました。 この構成の場合、課金ポイントは主に三つあります。 CloudFrontのアクセス数に対する課金: そこそこ(多量ではない) S3の保管に対する課金: 200GB程度 CloudFrontの転送量(Egress)に対しての課金: 数TB そのため、毎回イベントごとにかなり費用がかかる状態でした。 動画の数もアクセス数もそこそこではあったのですが、動画特有の転送量が非常に多い… そういった状態でした。 導入前夜 この時はち
HOYAがサイバー攻撃で3度目の被害、「犯人」はダークウェブで犯行を公表 | JBpress (ジェイビープレス)
今回は、コンタクトレンズなどを製造販売する光学機器大手HOYAが被害を受けたことが判明した。 「解析には相当の日数を要する見込み」 これを受け、同社は次のような声明を出している。 <2024年3月30日未明、海外の事業所においてシステム挙動に不審な点があったことから調査をしたところ、当社グループの国内外の事業所においてシステム障害が起きていることを確認しました。当社は障害が起きたサーバーの隔離などの対応を直ちに行うとともに関係当局へ報告しました。外部の専門家を交えた調査の結果によれば、本件は第三者による当社サーバーへの不正アクセスに起因する可能性が高いとみられています。 本件により現在、複数の製品について、生産工場内のシステムや受注システムが停止しています。当社では、在庫出荷等の業務については、マニュアルで対応するなど最大限、顧客の需要にお応えするべく務めております。なお、当社が保有する機
本稿の趣旨は米国連邦政府のクラウド推進戦略、いわゆる「Cloud First」から始まる一連の政策が辿った経緯を概観することである。米国のクラウド戦略は、掛け声こそ勇ましかったものの、あまりうまくいかなかった。これは筆者の主観ではなく、連邦政府自身がそれを認めるレポートを出している。あとで具体的に見ていこうと思う。 本邦においてもガバメントクラウドが本格的に動き出している。さくらインターネットが政府公認のベンダーとして認証を受けたことが話題になったのはつい最近のことだ。本邦のクラウド戦略もかなり米国のそれを参考にしており、そのまま進むと同じ轍を踏む可能性もなきにしもあらずである(実際には米国と日本では政府の置かれている状況がかなり違うので、一概に米国と同じ道筋を辿るとは言い切れないのだが)。しかし、世界で最も積極的にクラウドを採用した政府がどのような点で成功し、どのような点で苦しんできたか
千葉県流山市のデータセンター(DC)の建設計画が、地域住民の反対で頓挫した。かつてDCは都心部の商業地域や工業地域に建てられることが多かった。ところが近年は大規模DCが住宅のある郊外地域に作られるようになったことで、住民から「迷惑施設」扱いされている。立地に細心の注意を払わなければ、今後もDC建設は頓挫しかねない。 千葉県流山市:第一種住居地域だった土地に大型DCの建設計画 2023年12月に頓挫したのは、東京都渋谷区に本社を置く「流山綜合開発K」という企業が、流鉄流山線流山駅の駅前、流山市役所の目の前にある1万2877平方メートルの土地で進めていた、地上4階・地下1階建てで高さ28メートルのDC建設計画だ。流山綜合開発KはこのDC開発のために設立した特定目的会社だ。 開発区域はもともと「飛地山」と呼ばれていた場所で、ある企業の保養所が建てられ、山は樹木に覆われていた。2018年ごろにマン
3月12日火曜日に始まったPublickeyへのDDoS攻撃に対して、これまでサーバの強化、Cloudflareの導入とDDoS対策のための設定を行ってきました。 その結果、3月24日日曜日の夜に始まり3月27日水曜日の朝まで3日間連続で続いたDDoS攻撃のあいだもWebサイトの閲覧と記事更新などを問題なく行える状態となり、DDoS攻撃がWebサイトの運営の大きな障害ではなくなりました。 ちなみにそれ以後DDoS攻撃は止んでいますが、今後はいつDDoS攻撃を受けてもWebサイトの運営に支障がでることはなくなったと考えられます。この記事では結局どのような対策を行ったのか、実際に効果を発揮したDDoS対策を紹介していきます。 これまでの経緯は下記の記事をご参照ください。 Publickeyが受けたDoS攻撃、これまでの経緯と対策まとめ 続、Publickeyが受けたDoS攻撃、これまでの経緯と
徳島県教育委員会が県立高校などに導入したタブレット端末3500台以上が故障し、授業などに支障を来した事態を巡り、端末を調達した四電工(香川県高松市)は3月29日、問題の原因が学校の保管環境にあったのではないかとする調査結果を発表した。 徳島県教委は2023年10月、高校などに手配した約1万5000台のWindowsタブレットのうち3500台以上が故障したと公表。授業に支障が出たとして謝罪していた。製造元は中国Chuwiで、対象の端末は「UBook」シリーズのタブレット。暑さにより7月ごろから、バッテリーが膨張するなどの異常が起きていたという。 タブレットを納入した四電工は12月に3500台の端末を無償付与すると発表。3月29日、調査結果の発表と共に付与が完了したと明かした。一方、故障について調査結果では「UBookの製品の不良によるものではないと認識している」との見方を示している。 四電工
第三者が個人情報15万人分ダウンロード 労務管理クラウド「WelcomeHR」で漏えい マイナカードや免許証の画像も
カオナビ子会社のワークスタイルテック(東京都港区)は3月29日、同社の労務管理クラウドサービス「WelcomeHR」について、ユーザー情報が外部から閲覧可能な状態になっていたと発表した。16万2830人分の情報が閲覧可能だったとしており、うち15万4650人分の情報が実際に第三者にダウンロードされたという。 2020年1月5日から24年3月22日にかけて、ユーザーの氏名、性別、住所、電話番号、ユーザーがアップロードした身分証明書(マイナンバーカード、運転免許証、パスポートなど)や履歴書の画像が閲覧可能だった。情報がダウンロードされたのは23年12月28日から29日にかけてだったという。3月29日時点では二次被害は確認していないとしている。 「本来 ユーザーがストレージサーバに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバのアクセス権限の誤設定により、閲覧可能
ブラウザからDBに行き着くまでただまとめる
はじめに あなたはブラウザからデータベース(DB)に情報が行き着くまでにどんな技術が使われているか説明できますでしょうか? どのようなプロトコルが用いられ、どの技術を駆使してサーバと通信しているのか、Webサーバでは何が行われ、どのようにして負荷が分散されているのか、トランザクションはどのように管理されているのか、そしてデータベースではシャーディングや負荷対策のためにどのような対策が取られているのか… なんとなくは理解しているものの、私は自信を持って「こうなっている!!」とは説明ができません。 そこで今回は「大規模サービス」を題材としてブラウザからデータベースに至るまでの、情報の流れとその背後にある技術について、明確かつ分かりやすく解説していきたいと思います。 対象としてはこれからエンジニアとして働き出す、WEB、バックエンド、サーバーサイド、インフラ、SREを対象としております。 1.
最近「いかに運用作業に手を抜くか」というのを考えているので、なんとなーくアウトプットしてみようと思う。 運用作業とは? 運用作業はゼロが理想だけど、そーもいかない 運用を頑張りすぎてしまうエンジニア pospomeはどうしているか? まとめ 運用作業とは? 自分が想定する "運用作業" というのは機能開発に関係ない作業全般である。 例えば以下の作業は "運用" にカテゴライズしていいと思う。 ソフトウェアのバージョンアップ ユニットテストの実装・保守 問い合わせ対応 リファクタリング 運用作業はゼロが理想だけど、そーもいかない 自分は運用作業がゼロになるのが理想だと思っている。 可能であれば、機能開発にすべての工数を投じて、自身が開発するプロダクトを進化させていきたい。 ただ、運用作業をゼロにするのは不可能である。 ソフトウェアのバージョンアップは定期的にしなければいけないし、リファクタリ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TypeScriptとGraphQLで実現する型安全なAPI実装
Prisma ORMを2年運用して培ったノウハウを共有する
LINEヤフー、韓国ネイバーとの委託関係を終了へ PayPayとLINEのアカウント連携も延期に
自社サービスのバックエンドを Go から TypeScript へ切り替えるための整理
止まらないLinuxシステムを構築する_高信頼性クラスタ入門
中高生600万人に無償でサーバー環境を提供、Xserver
WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か困ったことがいままでありません。 ただ、ふと考えてみると「情報漏洩やサイバー攻撃が発生した際などの有事にどのような行動をとるべきか」という観点ではあまり自信がないなと感じました。社内でもそのような場合の指針が
Go、Rust、Pythonで実装したAPIサーバーの負荷試験比較 - Qiita
弊社サーバーのマルウェア感染に関する お詫びとお知らせ – Endless Corporate
信号機に“異変”!? 更新先延ばし 撤去 新設見送り 背景には「コスト削減」 千葉の現場から | NHK
北朝鮮、日本アニメ制作関与か サーバーからファイル―米分析:時事ドットコム
ぼくのかんがえたさいきょうのGo HTTPサーバー起動方法
開発生産性を上げるために開発をする前に考えていること - Findy Tech Blog
AWS 導入事例: ニンテンドーシステムズ株式会社 | AWS
IPA高度資格「情報処理安全確保支援士」暗記すべき用語を体系整理 - Qiita
関数とGASを使い分けてスプレッドシートでシステムを作る - ミネムラ珈琲ブログ
【Developers Summit 2024フォローアップ】『グランブルーファンタジー』100万行を超える大規模なシステム再構築~10周年のその先へ~
2024年Gitワークフロー再考 | フューチャー技術ブログ
Cloudflareに移行したら99%コスト削減できた話
米国連邦政府におけるクラウド戦略「Cloud First」の失敗と教訓|ミック
データセンター建設が住民の反対で頓挫、大規模化と住宅近接で「迷惑施設」扱い
続々、Publickeyが受けたDDoS攻撃。DDoS対策に効果を発揮した設定紹介編
【特集】 USB規格の限界127デバイスに挑む!でも実際に認識されたのは○○台だった
徳島県“学校タブレット大量故障”問題、「学校の保存方法が原因では」と納入元 「製品不良認められず」
いかに運用作業に手を抜くかという話 - pospomeのプログラミング日記