技術ブログをバズらせたくて必死で身につけた情報収集術 - omuriceman's blog
僕は2019年4月から技術ブログを始めているが、2ヶ月目くらいから「はてなブックマークでホッテントリを取るための情報収集」を心がけるようになった。その影響もあって何記事かはてなブックマークでホッテントリ入りすることもできたので、これから技術ブログなどでアウトプットを始める人の役に立てばいいなぁと思ってブログでまとめることにした。技術ブログを書く人でなくても情報収集先として参考になる部分はあると思う。 はじめに GitHub Trending プログラミング言語はPythonとJavaScriptとTypeScriptを重点的に見る プログラミング言語以外にもUnknown languagesをチェックする Advanced searchで直近の日付に絞り込む GitHub Trendingを参考にしたブログ記事 Product Hunt Product Huntを参考にしたブログ記事 Re
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、米金融大手で1億人以上の個人情報が漏えいした事件の背景をひもときながら、問題点とセキュリティ対策のポイントを解説します。 Webセキュリティの第一人者が語る、個人情報流出事件の裏側 徳丸浩氏:ただいまご紹介いただきました、EGセキュアソリューションズの徳丸でございます。本日は「米国金融機関を襲った個人情報大規模流出事件の真相」というテーマでお話をさせてい
「桜を見る会」とその前夜祭が問われている。問題だらけだ。なのに、安倍晋三首相や菅義偉官房長官らは、ごまかして逃げようとしている。ごまかしを許さないために野党が物証をつかもうとすると、「いつまでも、くだらないことを」と外野から非難の声が上がる。 しかし、ことは公職選挙法と政治資金規正法の違反に首相が問われているという問題だ。さらに、要人や功績・功労のあった人々を招待する「桜を見る会」に、反社会的勢力の関係者が参加していた疑いも出ているが、それも名簿がないからと検証できていない。 「いつまでも、くだらないことを」と言う人は、非難の矛先を野党に向けようと躍起になっている。だが、さっさと問題を収束させたいのであれば、ホテルに明細書を出させろ、首相は招待者名簿や受付票を探すよう指示しろ、野党の質疑にきちんと答えよ、と言うべきだ。そう言わずにあえて問題の焦点をぼかそうとする人の意見に、惑わされるべきで
強制ではないということですが、果たしてボランティアといえるのでしょうか。 来年の東京オリンピック・パラリンピックに向けて、東京都は、ボランティア体験を希望する中学生と高校生を募集していますが、実際は具体的な人数が学校ごとに割りふられ、学校によっては半ば強制的に参加を求められていることがわかりました。専門家は「ボランティアに大事なのは、自発性だ」と批判しています。 東京オリンピック・パラリンピックの期間中は「大会ボランティア」や、「都市ボランティア」として、合わせて10万人を超えるボランティアが活動します。 こうした中、東京都は町なかで観光案内などをするボランティア体験として、都内の中学2年生から高校3年生を、およそ6000人募集する計画を立てています。 これについて都の教育委員会は、あくまで任意の参加と説明していますが、実際は中学校の場合、5人の生徒と引率する教員1人が割りふられていて、学
Photo by Giorgio Trovato on Unsplash 年収800万は普通のエンジニアか否か。火種はいつものTwitterでしたが、いろんな意見が飛び交う興味深い話に各所でなっていたようですね。うーん、様式美。 ちなみに私の感覚だとこんな感じで、年収800万といえば、一般的なWEB開発においては複数プロジェクトの技術設計を行うアーキテクト級で、SIerではおそらく課長-部長級の給与になると思っております。年収800万はそういうラインです。 年収340 → 新卒 年収400 → 2年目(転職サイトゴロゴロ 年収500 → 普通のエンジニア 年収800 → アーキテクト、テックリード 年収1000 → PM、一部スタートアップエンジニア 私の感覚だとこれですね https://t.co/1bXuiPexRj — shinoyu (@shinoyu) February 9, 2
今だから白状すると、昔、運営していたサービスの一般ユーザーのパスワードをハッシュ化(暗号化)せずに平文でDBに保存していたことがある。 言いわけは、幾つかある。 一つは、今では当たり前のようについているパスワードリマインダーの仕組みが当時は一般的ではなかったこと。 ユーザーがパスワードを忘れた、と問い合わせしてきた時に、最も自然な方法はまさに当人が設定した「パスワード」を一言一句違わず登録メールアドレスに送信することだった。あなたのパスワードは○○○です。ああそうそう、そうだったね。こういう感じだ。 当時のユーザーはそれを不審がらなかった。 またサポートコストの問題があった、パスワードの再発行を、そのためのトークンを含んだ長いURLを、大半のユーザーが嫌がっていた。 サポート部門はOutlookExpressに表示された長すぎるURLのリンクが途中で切れててクリックできない、という苦情にい
といった感じです。(この例、下で問題例として取り上げるため、実はおかしなチェック内容にしています。) "No.~基準"までがシートに記載されていてます。回答する発注先企業は"Yes,No,N/A"を3択で✅をつけ、備考欄にNoやN/Aの理由のほか、注記を記載できます。こういう項目が20~500項目あるExcelのシートに、発注先企業の回答担当は自社の状況、対応を確認しながら、ひたすら記載してゆくわけです。 知ってる人は知っているが、知らない人はぜんぜん知らない 最近参加したエンジニアがぞろぞろいらしたカンファレンスで、私が 「……あの セキュリティーチェックシート ってあるじゃないですが、あの 面倒なアレ です。アレにこの規格を採用するよう書いてあったら、各企業に規格の採用が広がるかもですね。あはは。」 と話したことがありました。その瞬間、 嫌なことを思い出したのか顔を曇らせたり苦笑いをす
[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで] というタイトルでDevelopersIO 2021 Decadeに登壇しました #devio2021 | DevelopersIO
[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで] というタイトルでDevelopersIO 2021 Decadeに登壇しました #devio2021 DevelopersIO 2021 Decadeで登壇した動画や資料を掲載、解説をしています。AWSのセキュリティについて網羅的に扱っています。ちょー長いのでご注意を。 こんにちは、臼田です。 みなさん、AWSのセキュリティ対策してますか?(挨拶 ついにやってまいりました、DevelopersIO 2021 Decade!私は「[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで]」というテーマで登壇しました。 動画と資料と解説をこのブログでやっていきます。 動画 資料 解説 動画はちょっぱやで喋っているので、解説は丁寧めにやっていきます。 タイトル付けの背景 今回何喋ろうかなーって思ってたら、2年前のDeve
![[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで] というタイトルでDevelopersIO 2021 Decadeに登壇しました #devio2021 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/675b9f7ba022b69269412062d62e4128f16d5b33/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F10%2F2021_aws_security_all_1200_630.jpg)
ユーザーローカルが、ダミーの氏名・住所などの個人情報を自動生成するWebサービス「個人情報テストデータジェネレーター」の無償提供を始めた。最大1万行を生成し、CSV形式のファイルなどでダウンロードできる。システム開発時の動作テストやセキュリティチェックなどに使えるという。 生成できるのは、氏名や年齢、生年月日、性別、血液型、メールアドレス、電話番号、郵便番号、住所、会社名、クレジットカード番号と期限、マイナンバーの情報。氏名は漢字・平仮名・片仮名・ローマ字などを選択でき、年齢は「20~80歳」など指定した範囲を基に日本の人口比に合わせて出力できる。 データはCSV・TSV形式かExcelファイルでダウンロードできる。生成するデータ数は1件単位で設定できるが、1万行以上はユーザーローカルへの問い合わせが必要だ。 同社はシステム開発時のセキュリティチェックなどに使うダミーデータの作成に手間がか
2021年10月8日 株式会社日立製作所 日立グループは、2021年12月13日以降のすべてのメール送受信において、パスワード付きZIPファイルの利用を廃止させていただくことを、お知らせいたします。 パスワード付きZIPファイルが添付されたメールは日立グループにて送受信されず、受信者/送信者の日立グループ従業員に対して、配送を抑止した旨がメールで通知されることとなります。 お客さまおよびお取引先さまにおかれましては、日立グループとのデータの授受の方法につきまして、適宜担当者にご相談頂けますと幸いです。 弊社施策に対するご理解とご協力を賜りますよう、何卒よろしくお願いいたします。 背景 従来、通称PPAP*は、多くの人が利用可能で通信経路上の暗号化を保証する方式として日立グループにおいても利用されてきました。しかし、すでに暗号方式としてセキュリティを担保できるものでなく、昨今はパスワード付き
[2020年版]最強のAWS環境セキュリティチェック方法を考えてみた[初心者から上級者まで活用できる] | DevelopersIO
「AWS環境のセキュリティが不安だ…」そんな方にはセキュリティチェック!AWSでは定量的にチェックすることができる機能があります。いくつかあるので長短などを説明しつつ私が思う最強のセキュリティチェックを伝授します! こんにちは、臼田です。 みなさん、AWS環境のセキュリティチェックしてますか?(挨拶 全国のAWSのセキュリティについて悩んでいるみなさまのために、今回は僕の考える最強のAWS環境セキュリティチェックについて情報をまとめ・伝授します。 初心者向けに、比較的AWSの経験が浅くても始めやすいように、かつ上級者が応用するために活用できる情報もぜんぶまとめていきます。 この記事は2020年の決定版となるでしょう!(それ いいすぎ。 ながーくなってしまったので最初は適宜飛ばして読むといいかもしれません。 AWS環境のセキュリティチェックの意義 AWS環境でセキュリティチェックをすることは
![[2020年版]最強のAWS環境セキュリティチェック方法を考えてみた[初心者から上級者まで活用できる] | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/46eee47df02797b1711e39b4cf67a6a7b8f87e53/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2020%2F10%2Fsuper_security_check_1200_630.png)
Sansan株式会社が提供するキャリアプロフィール「Eight」、朝日インタラクティブ株式会社が運営する中小企業向けウェブメディア「ツギノジダイ」の共催イベント「日本を変える 中小企業リーダーズサミット2023」より、日本ハッカー協会の代表理事・杉浦隆幸氏の講演の模様をお届けします。本記事では、中小企業が取るべきセキュリティ戦略の基本や、中小企業で大企業並みの「ゼロトラスト」を実現する方法などが語られました。 中小企業のセキュリティ年間予算は「100万円以下」 司会者:「ハッカーが教える、妥協しない高コスパなセキュリティ対策」と題し、一般社団法人日本ハッカー協会代表理事・杉浦隆幸さんよりご講演いただきます。それでは杉浦さん、よろしくお願いいたします。みなさん盛大な拍手でお迎えください。 (会場拍手) 杉浦隆幸氏:今日は「ハッカーが教える、妥協しない高コスパなセキュリティ対策」ということで、
Firebase Authentication 7つの落とし穴 - 脆弱性を生むIDaaSの不適切な利用 - Flatt Security Blog
はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。 認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿では Firebase Authentication を利用するうえで、注意しなければ不具合や脆弱性に繋がりうる 7 個の「落とし穴」について解説します。 はじめに IDaaS の利点と欠点 落とし穴 1. 自己サインアップ リスク 対策 不十分な対策 落とし穴 2. ユーザーが自身を削除できる 対策 落とし穴 3. 他人のメールアドレスを用いたユーザー登録 リスク リスク 3-1. メールアドレス誤入力によるユーザー乗っ取り リスク 3-2
脆弱性診断につかえるツール集 - Qiita
概要 自宅サーバのセキュリティチェックをして見た。 脆弱性診断ツール nikto niktoは、Web アプリケーションセキュリティスキャナー。 $ sudo apt install nikto -y $ nikto -h localhost - Nikto v2.1.5 --------------------------------------------------------------------------- + Target IP: 127.0.0.1 + Target Hostname: localhost + Target Port: 80 + Start Time: 2019-08-23 22:26:00 (GMT9) ---------------------------------------------------------------------------
セキュリティチェックシートって大変ですよね 「契約締結目前で、今日もらったチェックシートを3日後までに出せば決まりです!」 「これNGだと契約できないんですけどなんとかならないですか?」 「(書いてもらったシートをレビュー中)え!?これOKじゃなくてNGですよ!?」 「書き始めたら8時間以上かかってるんですけどこれ無償対応なんですか・・・?」 っていうことありませんか!?ない!?良かったですね!!(血涙) ということで、結構セキュリティチェックシートで苦労しています。 過去にISMS認証を取得したときには「これでちょっとは楽になるな!よかった!」と思ったもんですが、 大きく楽になった感じはありません。 といっても、セキュリティチェックシートは次々来るので、なんとなく悟りが開けてきました。 ということで、道半ばではありますが、 そもそもセキュリティチェックシートってなんだっけ? なんで苦労し
オペレーション部 江口です。 私の主業務はクラスメソッドメンバーズサービスの品質管理や内部監査なのですが、その活動の一環として企業としての標準のセキュリティチェックシートを作成しました。 このチェックシートがこのたびクラスメソッドの企業サイトで公開されましたのでご報告です。 具体的には「ポリシー」ページに「セキュリティチェックシートの提供」という項目が追加されています。 https://classmethod.jp/policy/ 作成・公開の目的 当社はISO27001/27017、PCI-DSS、Pマーク、SOC2など、様々な認証を取得しセキュリティやサービス品質の向上に努めています。 ですが、お客様によっては認証取得の事実だけでなく、実際にセキュリティ対策としてどのように取り組みを行なっているか、もう少し具体的な情報をご要望いただくことがあります。 そうしたお問い合わせの一助として、
なるべく楽したいAWSセキュリティ
AWSのベストプラクティスに従う SecurityHub でセキュリティチェック なるべく持ち物を減らし、ツールの既定に合わせる Fargateを使い管理対象インスタンスを減らす ネットワーク環境構築をCopilot CLIに任せる アプリケーションレベルでもAWSサービスを活用する 典型的な攻撃はアプリ到達前にWAFで防ぐ ECRコンテナスキャンで脆弱性をチェックする
GitLabが日本法人を設立、国内で本格展開へ。ロゴが「タヌキ」なのは、スーパーマリオの大ファンだから ソースコード管理サービスなどを提供するGitLabは、日本法人を設立しカントリーマネージャとして村上督氏を任命。日本国内での本格展開を開始すると発表しました。 GitLabはその名前の通りGitに対応したソースコード管理サービスを提供しており、またそのソフトウェアをオープンソースとして開発し、追加機能を加えた有償版ソフトウェアの販売を行っています。 現在のGitLabはソースコード管理機能にとどまらず、プロジェクト管理、開発環境、ビルド、セキュリティチェック、パッケージング、リリース、構成、モニタリングなど、ソフトウェアのライフサイクル全般をカバーするさまざまな機能を統合したサービスとなっており、これが最大の特徴となっています。 GitHubやAttlasianといった競合するサービスを
CircleCI に入って色々と面白いなぁって思いながら毎日楽しんでる。その楽しんでることのひとつに Git のブランチモデルがある。最初はびっくりしたけど、慣れるととても良い 最初に言っておくと、この手法がどこにでも当てはまるとは思ってない。業種や、開発形態、プロダクトのタイプなどによって合うやり方は違う。単に CircleCI には、この手法がとても合ってるなぁと思う トランクベースのブランチモデル タスクに着手するときは、まずメインブランチからそのタスク用のブランチを作る。develop ブランチや release ブランチみたいな長く生きてるブランチはない。そのタスク用のブランチにコミットをプッシュしたらプルリクエストを出す。そして、レビューが終わればメインブランチにマージされる。タスクに着手してからマージまで、はやければ1時間ぐらい。長くてもだいたい2,3日くらい そして、メイン
「AWS全体のセキュリティ管理と快適なセキュリティ運用」というタイトルで登壇しました | DevelopersIO
こんにちは、臼田です。 みなさん、AWSできるマンの人材育成してますか?(挨拶 今回は、2022年4月8日に実施したAWSトレーニング・人材育成ウェビナー 今あなたが学ぶべきAWSセキュリティにてお話した内容をブログにまとめます。 資料 解説 私の内容の解説の前に少し追加の情報を。 今回のイベントでは私の前に「怖がらずにセキュリティと向き合うために」というタイトルで、アマゾン ウェブ サービス ジャパン合同会社 セキュリティ アシュアランス本部 本部長の松本照吾さんにご登壇いただきました。怖がらずにセキュリティと向き合うために、どう考えてどう取り組めばいいか、大変良く分かる内容でした。ぜひ松本照吾さんが他の場で登壇されるのを見かけたら、話を聞いてみてください。 では私のセッションの話を。 私のセッションのテーマは「AWSセキュリティを理解して便利に運用しよう」です。よく一般ではITのセキュ
仕様起因の脆弱性を防ぐ!開発者向けセキュリティチェックシート(Markdown)を公開しました - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 これまで弊社ブログでは様々な「仕様とセキュリティ観点の解説記事」を発表してきました。今回はいままでの記事を改めて紹介しつつ、読者の皆様が開発中のサービスでセルフチェックを行えるよう「仕様とセキュリティ観点チェックリスト」を作成しました。ご活用いただけると幸いです。 ダウンロードは下記のGitHubリンクよりどうぞ。 また、株式会社Flatt Securityではお客様のプロダクトに脆弱性がないか専門のセキュリティエンジニアが調査するセキュリティ診断サービスを提供しています。料金に関する資料を配布中ですので、ご興味のある方は是非ご覧ください。 はじめに アプリケーションの仕様起因の脆弱性とは アプリケーションの仕様起因の脆弱性を防ぐために 仕様の脆弱性によく見られる共通点 1. ク
10月末、エチオピア アディスアベバの空港に到着した。はじめてのアフリカ大陸。 アディスアベバの国際空港は大きく、ほとんどがエチオピア航空の航空機だった。同一の航空会社が空港をほぼ専有しているからか、乗り換えなどの仕組みも効率的に運営されているようだった。 アライバルビザを80ドルで買って*1無事に入国できた。空港タクシーの客引きを無視して、タクシーアプリ*2でホテルまで移動する。 エイリアンになる エチオピアの人口は約1億2000万人で、だいたい日本と同じくらい。その中で、アディスアベバは首都で約400万の人口がいる。 ホテルから出て気づいたのは、やたらと現地人に話しかけられることだった。歩いていると、若者に「チャイナ! アリババ!」と話しかけられる。最初は、ジャパニーズだよ、と言い返してきたが、途中であまりに数が多くて面倒になって適当に流すようになった。 道では黒人以外をほとんど見ない
エンジニア全員が Terraform を安心・安全に触れるような仕組みを整えています - VisasQ Dev Blog
はじめに こんにちは!DPE(Developer Productivity Engineering)チームの高畑です。 ちょっと前に iPhone 15 Pro に変えてようやく USB-C ケーブルに統一できる!と思っていたら、手元にある Magic Trackpad が Lightning ケーブルでしょんぼりしました。 さて今回は、ビザスクのインフラ周りで利用している Terraform をエンジニア全員が安心・安全に利用できる仕組みづくりを行なっている話をしていきます! これまで ビザスクではインフラの構築・運用に Terraform を利用しており、依頼ベースで DPE のメンバーが Terraform の修正を行なってレビュー&リリースをしていました。 開発メンバーから Terraform の PR をあげてもらうこともありますが、plan / apply の権限を持っていない
個人的にTypeScriptプロジェクトで使って良かったと感じたライブラリやツール、役立ったノウハウ・情報源へのリンクをまとめていきます。随時更新します。 記事更新時に通知を受け取りたい方はこの投稿を「ストック」してください。 追加された内容は更新履歴をご覧ください。 書籍 『実践TypeScript ~BFFとNext.js&Nuxt.jsの型定義~』 - JavaScriptからTypeScriptに来た人が読むと、JSとTSの差分を学ぶことができる本。 『JavaScript Primer: ECMAScript 2019時代のJavaScript入門書』 - すでにプログラミング経験がある人が読むとJavaScriptの文法や機能を中心に学ぶことができる本。TypeScriptを書くにもJavaScriptの知識が必要不可欠なので、雰囲気でJSを書いてきた人やちゃんとおさらいしたい
eBPFに3日で入門した話 - CADDi Tech Blog
はじめに eBPF とはなにか ざっくり概要 「Packet Filter」なのに「Virtual Machine」? eBPFでなにができるか? カーネルイベントのフック ユーザーランドアプリケーションとのやりとり eBPFの主な用途 eBPFが注目される背景 eBPFの仕組み アーキテクチャと処理フロー カーネルモジュールとeBPFの違い eBPFプログラムの作り方 eBPFプログラムを作ってみる 環境の準備 Hello world もう少し複雑なサンプル その他のサンプル HTTPリクエストのダンプ TCP接続先の調査 tcplife dirtop filetop oomkill まとめ eBPFはなにに使えるか 参考サイト はじめに こんにちは、Platformチームの小森です。 eBPF (extended Berkley Packet Filter) について、2022年8月2
今あらためてコンテナ界隈を俯瞰する「Docker/Kubernetes コンテナ開発入門」 | DevelopersIO
単著ならではの一貫性と、筆者のノウハウをありったけ突っ込んでやろう!というあっつい想いを感じる素晴らしい書籍です。 「2018年から2024年、コンテナ界隈もいろいろ変わったもんだなぁ…(しみじみ)」 献本いただいた「Docker/Kubernetes 実践コンテナ開発入門 改訂新版」を眺めながら、ハマコーはそんな感慨にふけっておりました。 5年前、Docker始める人はまずこれ!書評「Docker/Kubernetes 実践コンテナ開発入門」で旧版の書評を書いたご縁で、著者の山田さんより改訂新版の献本をいただき、今この場にその本があるというわけです。 改めて中身読んでいたのですが、単著でこれはマジでやばいです。今コンテナを使った開発を進めようとしたときにでてくるであろう、開発〜運用面でのトピックが幅広く凝縮されている本で、「これ一冊読んどけば、マジはずれないよ」というぐらいの力が入った書
現地時間の2021年12月10日、アメリカ中部を襲ったトルネードにより、イリノイ州のエドワーズビルにあるAmazon倉庫が崩壊しました。Amazonのすべての倉庫では従業員が倉庫内に携帯電話を持ち込むことが禁止されているのですが、今回のような緊急事態発生時への対処に難があるとして、ルールに対する不満の声がAmazon社内から噴出しています。 Deadly Collapse at Amazon Warehouse Puts Spotlight on Phone Ban - Bloomberg https://www.bloomberg.com/news/articles/2021-12-12/deadly-collapse-at-amazon-warehouse-puts-spotlight-on-phone-ban Amazon Workers Say Warehouses Lack Sa
アマゾン配送センターの驚異
毎日のように「Amazon」の箱が、自宅に届くという人は少なくない。しかし、そのワンクリックの背後でどんなことが起きているのか。実際に目にしたことがある人は多くないだろう。今回、相模原市が開催したプレスツアーで、2022年10月に稼働したアマゾンの配送センターである相模原フルフィルメントセンター(FC)を取材することができた。 メインエントランスの前は、相模原駅、橋本駅行きのバス停がある。数千人とも言われる人が働くために設けられているのだろう。 アマゾンのFCに入るためには厳重なセキュリティチェックがあり、免許証などの身分証明証が必要になる。弊誌の6月号特集『暗黒大陸・物流 2024年問題に光を灯せ』の取材で、他社の物流倉庫などを取材したが、ここまで厳しいところはなかった。 塩分補給のタブレット メインエントランスを入って左手にある食堂の入り口には、塩分補給のタブレットが置いてあった。季節
手元の資料に目を通しながら記者の質問に答える安倍晋三首相=首相官邸で2019年12月9日午後6時27分、梅村直承撮影 季節外れの「桜を見る会」に揺れた臨時国会が9日、閉会した。「消えた招待者名簿」「悪質マルチ商法企業とのつながり」などなど、国会は閉じても、疑問は膨らむ一方だ。ならば安倍晋三首相にじかに疑問に答えてもらおう! 毎日新聞の取材班は、聞きたいことをノートに書き連ね、首相官邸の記者会見に乗り込んだ。ところが…。【江畑佳明、吉井理記/統合デジタル取材センター】 手書き、ファクスで出席申し込み 「乗り込んだ」と書くと勇ましいが、江畑、吉井両記者は、国会議員が事務所を構える議員会館や国会議事堂内での取材経験はあっても、首相官邸に入るのは初めてである。 政治部記者は、官邸取材ができる特別のIDカードを持っているけれど、我々2人は日ごろ、政治から文化、社会まで幅広くデジタル向けの記事を書く部
AWS×コンテナで基本的なDevSecOpsアーキテクチャをデザインしたお話 - How elegant the tech world is...!
はじめに 先日、僕が担当する業務でECS/Fargate利用を前提にDevSecOpsアーキテクチャをデザインし、社内のAWS勉強会にて登壇する機会をいただきました。 本ブログでも内容をかいつまんでご紹介できればと思います。 AWSによらず、コンテナを利用されている方にとって、一つのプラクティス例としてご参考になれば幸いです。 ※コンテナ自体の説明や必要性に関する内容は省略していますm(_ _)m そもそもDevOpsとは? DevSecOpsの導入意義をお伝えするた前に、まず軽くDevOpsの意義をお伝えします。 ※とは言え、この記事をご訪問されている方にとっては「何をいまさら...」な内容かもしれませんし、ググればDevOps自体の情報はたくさん見つかりますので、重要なポイントのみ述べることにします。 DevOpsとは、一言で述べれば、開発チームと運用チームが協力してビジネス価値を高め
2023年7月5日、名古屋港統一ターミナルシステム(NUTS / Nagoya United Terminal System)でシステム障害が発生しており、システムを管理する名古屋港湾協会は障害原因がランサムウエアによるものと公表しました。ここでは関連する情報をまとめます。 ランサムウエアによる国内初の物流影響事例か システム障害が起きたのは名古屋港湾協会が管理する名古屋港統一ターミナルシステム(NUTS)。名古屋港の5つのターミナル(飛鳥ふ頭北、NCB、飛鳥ふ頭南、TCB、鍋田ふ頭)と集中管理ゲート、荷役機器、NACCS、NUTS-Webをネットワークでつなぎ、船からの積み下ろし、プランニング、コンテナ保管、搬出入、ヤード作業、保税管理を行うシステム。*1 NUTSは1999年に導入されこれまで大きな障害が起きたことがなく、また2022年8月からシステム移行が行われ2023年1月に新シス
アマゾン配送センターの驚異
毎日のように「Amazon」の箱が、自宅に届くという人は少なくない。しかし、そのワンクリックの背後でどんなことが起きているのか。実際に目にしたことがある人は多くないだろう。今回、相模原市が開催したプレスツアーで、2022年10月に稼働したアマゾンの配送センターである相模原フルフィルメントセンター(FC)を取材することができた。 メインエントランスの前は、相模原駅、橋本駅行きのバス停がある。数千人とも言われる人が働くために設けられているのだろう。 アマゾンのFCに入るためには厳重なセキュリティチェックがあり、免許証などの身分証明証が必要になる。弊誌の6月号特集『暗黒大陸・物流 2024年問題に光を灯せ』の取材で、他社の物流倉庫などを取材したが、ここまで厳しいところはなかった。 塩分補給のタブレット メインエントランスを入って左手にある食堂の入り口には、塩分補給のタブレットが置いてあった。季節
ブクマカが以下のようにドヤってたから訴状見てみたけどさ ・西村博之はじめ「通訳が大谷の口座にアクセスできたわけがない」みたいなことを言っていた人は多いが、実際はこれ。自分の常識で世の中をはかることの危険性が浮き彫りになったね ・普段からプロスポーツの話題に接していれば代理人やマネージャーが選手の資産を持ち逃げしたみたいな話は野球に限らずそれなりに起きていることだと分かるので、「普通じゃ考えられない」なんてことはないです ・「通訳が大谷の口座にアクセスできたわけがない」って言ってた有識者の方々は単に「自分は通訳に口座にアクセスなんかさせない」って自己紹介してるだけだったんだと思うよw 盗まれた大谷の口座:x5848 MLBからの給与が振り込まれる口座エンドーストメントや投資などの収入は別の口座が使用されていた大谷はすべての口座が代理人、会計士、財務アドバイザーに管理されていると認識していた大
[2023-01-31 12:00 JST 更新] JWTのシークレットポイズニングに関する問題
By Artur Oleyarsh January 10, 2023 at 12:33 AM Category: Cloud, Vulnerability Tags: CVE-2022-23529, exploit, open source, Prisma Cloud, remote code execution, Vulnerability Exploitation 2019年1月30日 PST 本脆弱性の悪用シナリオの前提条件に関するコミュニティからのフィードバックを受け、私たちはAuth0と協力してCVE-2022-23529を撤回することを決定しました。 本稿で解説したセキュリティの問題はJsonWebTokenライブラリが安全でない方法で使用された場合には依然として懸念されるものです。そのシナリオでは、すべての前提条件を満たせばこの問題を悪用できる可能性があります。私たちは、その
![[2023-01-31 12:00 JST 更新] JWTのシークレットポイズニングに関する問題](https://cdn-ak-scissors.b.st-hatena.com/image/square/d5fd8fbb78690994f0d69b816752b350c4fdb30b/height=288;version=1;width=512/https%3A%2F%2Funit42.paloaltonetworks.jp%2Fwp-content%2Fuploads%2F2023%2F01%2FCloud-providers.png)
Google は、ユーザーの皆さんにオンラインで使用する製品やサービスを安全に使っていただくため、スパム、フィッシング詐欺、アカウントの不正利用といったセキュリティの脅威からユーザーを保護するテクノロジーやツールに投資しています。 しかし、たとえ保護があったとしても、長期間アカウントが使用されなかった場合には、侵害される可能性が高くなります。忘れられたり放置されたアカウントは、侵害された可能性がある古いパスワードや再利用されたパスワードに依存していることが多く、2 要素認証が設定されていなかったり、ユーザーによるセキュリティ チェックが少ないためです。Google の分析によると、放置されたアカウントはアクティブなアカウントに比べて 2 段階認証プロセスが設定されている可能性が少なくとも 10 倍低いことがわかりました。つまり、これらのアカウントは多くの場合脆弱であり、アカウントが侵害され
【アップデート】AWS Security Hub の『基礎セキュリティのベストプラクティス』に新たに25個のチェック項目が追加されました | DevelopersIO
【アップデート】AWS Security Hub の『基礎セキュリティのベストプラクティス』に新たに25個のチェック項目が追加されました はじめに みなさん、セキュリティチェックしていますか?(挨拶 AWS Security Hub の『AWS 基礎セキュリティのベストプラクティス v1.0.0』に新たに 25個のチェック項目(コントロール)が 追加されました。AWS公式も以下のようにアナウンスしています。 この新しいチェック項目は Security Hub の [設定 > 一般 > 新しいコントロールの自動有効化] を ON に していると自動的に追加されます。 いつのまにか CRITICAL/HIGH の項目で失敗していて、大量に通知が飛んできた方もいらっしゃるかもしれません。 本ブログで新規追加されたコントロールを簡単なコメント付きで紹介していきます。 (コントロールの題目はまだ日本
AWS ExpertOnline Nov2.2022
よく使いそうな S3関連のセキュリティ機能を主観でまとめてみます。 「汎用的」、「便利」、「コスパが良い」といった基準で選びました。 6つのセキュリティ機能を説明していきます。 ブロックパブリックアクセス ACL無効化 デフォルト暗号化 S3 Storage Lens GuardDutyの「S3保護」 Security Hubの「セキュリティ基準」 ブロックパブリックアクセス(以降 BPA) 「意図しないS3バケットの公開」を未然に防ぐ ための機能です。 アカウントレベル、もしくはバケットレベルで設定できます。 設定パラメータは 4つあります。 BlockPublicAcls … パブリックACLを付けた投稿(Put Object)ができなくなります IgnorePublicAcls … すべてのパブリックACLを無視します BlockPublicPolicy … パブリックなバケットポリ
「Oh 〜〜〜〜〜〜〜〜〜〜?」 マイクを持った兵士が煽る。 「Oh 〜〜〜〜〜〜〜〜〜〜?」 大観衆は両手をあげてそれに呼応する。 長い長い溜めがあったのち、 「インディアァァァァァァァァァァァ!!!!!!!!!」 地響きのような歓声とともに、会場のボルテージがブチ上がった。 僕は呆気にとられてそれを眺める。 一体、ここはどこだっけ ── ここは、インドとパキスタンの国境だ。 ◇ インド人への古典的なイメージといえば、炎を吐いたり手足が伸びるほかにも、「ターバン」があろう。だが実際のところほとんどのインド人はターバンを巻かない。なぜならターバンはインド人の8割を占めるヒンドゥー教徒ではなく、わずか2%のシク教徒の文化だからだ。 シク教徒には教育水準の高い層が多く、イギリス統治時代のインドでは海外で活躍する人材を多く輩出した。そのため「インド人 = ターバン」のイメージが根付いたとも言われ
フィードバックを送信 Terraform を使用するためのベスト プラクティス コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このドキュメントでは、複数のチームメンバーやワーク ストリームで Terraform を使用した効果的な開発を行うためのガイドラインと推奨事項について説明します。 このガイドでは Terraform の概要は説明しません。Google Cloud で Terraform を使用する方法については、Terraform を使ってみるをご覧ください。 スタイルと構造に関する一般的なガイドライン 以下の推奨事項は、Terraform 構成の基本スタイルと構造を対象としています。この推奨事項は、再利用可能な Terraform モジュールとルート構成に適用されます。 標準のモジュール構造に従う Terraform モジュールは、標準のモジュ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ITに強いはずのハイテク企業で、1億人超の個人情報が流出…… 「新技術こそ優れている」という思い込みが招いた大規模事件
桜を見る会、安倍政権のごまかし見破る六つの注意点 野党を批判している場合でない理由 | 47NEWS
中学高校にボランティア参加人数を割りふり 東京五輪・パラ | NHKニュース
ITエンジニアの年収と責務の関係について体験交えて解説していくか|しのゆ
パラノイアのプログラマと第6感 - megamouthの葬列
セキュリティーチェックシートという闇への防衛術 - Qiita
ダミーの個人情報を作る「個人情報ジェネレーター」登場 氏名・住所・クレカ情報など、無償で最大1万件
日立グループにおけるパスワード付きZIPファイル添付メール(通称PPAP)の利用廃止に関するお知らせ:日立
セキュリティ対策として「閉域網を使っているので安全」は間違い ハッカーが教える、制限されたネットワークの「穴」
たくさんセキュリティチェックシートを書いていて悟りが開けそうなので途中経過を書いてみる - Qiita
クラスメソッド 標準セキュリティチェックシートを公開しました | DevelopersIO
GitLabが日本法人を設立、国内で本格展開へ。ロゴが「タヌキ」なのは、スーパーマリオの大ファンだから
毎日何度も本番環境にデプロイをしている話 - Mitsuyuki.Shiiba
エチオピアの街を歩く、エイリアンと覚醒植物 - 運河
厳選TypeScript 〜おすすめしたいライブラリ、ツール、ノウハウ、情報源のリンク集〜 - Qiita
トルネードで崩壊し死者も出たAmazon倉庫では携帯電話の持ち込みが禁止されていたことが発覚
「シナリオ」でもあるかのよう… 首相会見に行ってきた | 毎日新聞
ランサムウエアによる名古屋港のシステム障害についてまとめてみた - piyolog
「通訳が大谷の口座にアクセスできたわけがない」は正しかったんじゃん
無効な Google アカウントに関するポリシーを更新しました
セキュリティチェックシートの書き方のヒント
よく使いそうなS3関連のセキュリティ機能をまとめてみる | DevelopersIO
「世界の火薬庫」インドとパキスタンの国境がいま最高にアツい|岡田 悠
Terraform を使用するためのベスト プラクティス | Google Cloud