Single NodeのDocker Swarmを利用してオンプレミスにデプロイされるGraphQLサーバを安全にローリングアップデートさせている話
やっぱりEKSの運用は大変なのか 〜EKSを2年間運用して得た知見とコンテナセキュリティ〜 - DMM inside
Single NodeのDocker Swarmを利用してオンプレミスにデプロイされるGraphQLサーバを安全にローリングアップデートさせている話
AWSが「政府情報システムのためのセキュリティ評価制度(ISMAP)」に登録されました。 | Amazon Web Services
Amazon Web Services ブログ AWSが「政府情報システムのためのセキュリティ評価制度(ISMAP)」に登録されました。 Amazon Web Services(AWS)では、お客様の信頼を得て維持することが継続的な取り組みとなっています。お客様の業界のセキュリティ要件に応じて、コンプライアンスレポート、証明書、認証の範囲とポートフォリオを決定しています。 このたび、AWSは「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 通称、ISMAP(イスマップ))」に登録されましたことをお知らせします(有効期間:2021年3月12日から2022年3月31日まで)。 今回の認証範囲は、AWSのアジアパシフィック(東京)リージョンと、新たに開設されたアジアパシフィ
こんにちわ。Cyber Security Innovation Group(CSIG)の井上です。 部門名の通り、サイバーセキュリティに関する部署で、セキュリティコンサルティングやFutureVuls( https://vuls.biz )という脆弱性対策サービスのコンサルティングやサポートをしています。 初めに春の入門祭り2023 という事で、初めて脆弱性対応をする方に向けた記事を書いてみようと思います。 この時期になると、部門移動等で情報システム部に移動し「何をやっていいのか分からない…」という話も時々聞きます。 今回は、IPAの「mjcheck4」( https://jvndb.jvn.jp/apis/myjvn/mjcheck4.html )というツールを使った、セキュリティ情報の収集についてお話しようと思います。 セキュリティ情報収集とは世の中にはセキュリティ情報はいろいろありま
スタートアップ入社4日目までに考えたAWSのセキュリティ向上/ Startup AWS Security
S3とCloudWatch Logsの見直しから始めるコスト削減 / Cost saving S3 and CloudWatch Logs
サイバーセキュリティ基本法に基づき内閣に設置されるサイバーセキュリティ戦略本部は、令和5年7月4日に「政府機関等のサイバーセキュリティ対策のための統一基準群(以下「統一基準群」)」の令和5年度版を公開した。 統一基準群とは、中央省庁をはじめとする国の行政機関及び独立行政法人等(以下「機関等」)の情報セキュリティのベースラインや、より高い水準の情報セキュリティを確保するための対策事項が規定された複数の文書の総称である。 機関等は、統一基準群に準拠しつつ、自組織の特性を踏まえた基本方針及び対策基準(以下「情報セキュリティポリシー」)を定めなければならず、今回の統一基準群の改定により、令和3年度版の統一基準群に基づき定めていた情報セキュリティポリシーの見直しが必要となる。 これに伴い、機関等へ情報システムやサービスを提供する民間の事業者においても、機関等が見直した情報セキュリティポリシーに基づく
1. CISSPとは CISSP(Certified Information Systems Security Professional)とは、ISC2(International Information Systems Security Certification Consortium)が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認定資格です。 Novell、Deloitte Touche Tohmatsu、大手ヘルスケアサービス企業その他主要企業において、CISSP認定資格の取得が情報セキュリティ関連業務従事者の必須事項とされています。 2004年6月には、米国規格協会(ANSI)よりISO/IEC17024の認証を受け、資格制度の全てのプラクティスがグローバルに認められ、 認定資格試験としての信頼度がより高くなりました。 CISSP認定資格は、情報セキュリ
Terraformのセキュリティ静的解析 tfsec の導入から始めるAWSセキュリティプラクティス - BASEプロダクトチームブログ
こんにちは。BASE BANK 株式会社 Dev Division にて、 Software Developer をしている東口(@hgsgtk)です。 BASE BANK Dev での開発では、クラウドインフラの構成管理に、 Terraform を利用しています。 世の情報をたくさんキュレーションしている CTO の@dmnlkさんに、手軽に CI に組み込めそうなセキュリティチェックツールがあることを教えてもらったので、導入してみました。 CTO氏のキュレーションメディアで紹介された tfsec を早速試して良さそうだったhttps://t.co/bl67dlW2Ub https://t.co/vAkTOVagec— Kazuki Higashiguchi (@hgsgtk) August 21, 2020 このブログの公開日は 2020/10/30 ですので、導入してから約 2 ヶ月
こんにちは。技術部セキュリティグループの水谷(@m_mizutani )です。最近はFGOで一番好きな話がアニメ化され、毎週感涙に咽びながら視聴しています。 TL;DR これまでセキュリティログ検索にGraylogを使っていたが、主に費用対効果の改善のため新しいセキュリティログ検索基盤を検討した 自分たちの要件を整理し、Amazon Athenaを利用した独自のセキュリティログ検索基盤を構築した まだ完全に移行はできていないが対象ログを1ヶ月間分(約7.5TB1)保持してもコストは1/10以下である3万円に収まる見込み はじめに セキュリティグループでは日頃、社内ネットワークやPC環境、クラウドサービスに関連するセキュリティアラートに対応するセキュリティ監視業務を継続しておこなっています。アラートに対応する時に頼りになるのはやはり様々なサービスやシステムのログで、そのアラートに関連したログ
経済産業省、全ECサイトが義務化対象 セキュリティー対策で脆弱性対策と本人認証導入を義務化 | 日本ネット経済新聞|新聞×ウェブでEC&流通のデジタル化をリード
2023.01.24 経済産業省、全ECサイトが義務化対象 セキュリティー対策で脆弱性対策と本人認証導入を義務化 経済産業省は1月20日、ECサイトの脆弱性対策と本人認証の仕組みを導入することを義務化する方針を固めた。2024年3月末までに、全てのECサイトが脆弱性対策と本人認証を導入することを、検討会の報告書案に盛り込んでいる。 ECサイトと本人認証の仕組みの導入の義務化は、「クレジットカード決済システムのセキュリティ対策強化検討会」の第6回会合で提出された報告書案に盛り込まれた。 報告書案では、クレジットカード番号の不正利用被害が増え続ける問題を背景に、「ECサイトからクレジットカード情報が漏洩することへの対策」「漏洩したクレジットカード情報が不正に使われることへの対策」の2点を盛り込んだ。 具体的には、「クレジットカード番号等の適切管理義務の水準を引き上げるべく、サイト自体の脆弱性対
アニメ作品などのコラボカフェを手掛ける井上商事は6月7日、ECサイト「スイーツパラダイス オンラインショップ」で、利用者のクレジットカード情報7645件が漏えいした可能性があると明らかにした。同サイトは2021年12月にカードが不正利用されたとの報告が相次ぎ、半年に渡り閉鎖したままの状態になっている。 情報漏えいの可能性があるのは、21年8月28日から21年12月8日までの期間に同サイトでクレジットカード決済を行った利用者のカード番号、名義人名、有効期限、セキュリティコード7409人分。サイトの脆弱性を突いた不正アクセスにより、決済システムが改ざんされたことが原因という。なお、クレジットカード情報は同社で保有していなかったとしている。 井上商事は21年12月、サイト利用者やカード会社から不正利用の恐れがあるとの連絡を受け、9日にサイトを閉鎖。第三者機関による調査を始めた。調査結果が出た22
セキュリティインシデントと大規模障害を経てClassiは開発組織をどう変化させたのか - Classi開発者ブログ
こんにちは、元テックリード、この10月からVPoT(Vice President of Technology)に就任した、Classiの丸山(id:nkgt_chkonk)です。 前回の記事では、前CTO(現VPoE=Vice President of Engineer)の佐々木が「Classiで発生した2つの問題を繰り返さないために我々が取り組んでいること」というタイトルで、社内体制を変更したことをお伝えしました。 今回はわたしから、組織体制の変更の背景や、現在どのような体制で、どのような課題に取り組んでいるのかをさらに詳しくお伝えしたいと思います。 4月~5月にかけての2つの問題の原因となった「甘え」 前回の記事でお伝えしたとおり、2020年の4月〜5月にかけて、Classiは外部の攻撃者による不正アクセスおよびデータの漏洩という大きなセキュリティインシデントと、アクセス増による大規模
【セキュリティ ニュース】「Emotet」対策でパスワード付きzip添付ファイルのブロックを推奨 - 米政府(1ページ目 / 全3ページ):Security NEXT
2月より一時活動の収束が見られたものの、7月より活動を再開したマルウェア「Emotet」。国内外で被害が拡大しており、米政府機関や米MS-ISACが注意を呼びかけている。 「Emotet」は、感染端末より受信メールなどの情報を窃取。返信に見せかけた偽メールによって受信者を信頼させ、添付ファイルを開かせることで感染を広げている。国内セキュリティ機関も繰り返し注意喚起を行ってきた。 こうした「Emotet」の活動は、国内にとどまるものではなく、海外でも7月から同様の被害が広がっており、米国をはじめ、カナダ、フランス、イタリア、オランダ、ニュージーランドなどで被害が確認されている。 米国土安全保障省のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)によれば、7月以降、米連邦政府、行政機関などを保護する同庁の侵入検知システムにおいて、「Emotet」に関する感染活動として約1万6
こんにちは。株式会社 Flatt Security セキュリティエンジニアの梅内(@Sz4rny)です。 本記事では、主にFirebaseの概要やセキュリティルールを用いた堅牢なCloud Firestore環境の構築について説明します。本記事を読むことで、Firebaseに関する基礎知識やデータベースにおけるセキュリティ上の懸念事項について理解するとともに、セキュリティルールを用いて堅牢なCloud Firestore環境を構築するための初歩を身につけることができるでしょう。 また、Flatt Securityでは開発/運用中のプロダクトにおいて、Firebaseをセキュアに活用できているか診断することも可能です。 Firebase を用いた開発におけるセキュリティ上の懸念事項が気になる場合や、実際に診断について相談したいという場合は、ぜひ下記バナーからお問い合わせください。 Fireb
「コンテナもサーバーレスも、AWSの各レイヤーの最新セキュリティ」というタイトルで登壇しました | DevelopersIO
こんにちは、臼田です。 みなさん、すべてのレイヤーでAWSのセキュリティ対策出来ていますか?(挨拶 今回は先日登壇したAWS コンサルティングパートナーがお伝えする最先端のクラウドセキュリティ対策 – S3のファイルは安全ですか?AWSの設定は安全ですか? –の内容について解説します。 資料 解説 コンセプト AWSにおけるセキュリティ対策も、一般的なセキュリティ対策と同じように様々なレイヤーで実施していく必要があります。 最近トレンドマイクロさんのAWS上で利用できる製品群がたくさんリリースされ、昔からよく使われているDeep Security + EC2以外にも様々なレイヤーで活用できるようになりました。 このセミナーでは特に私がめっちゃ押したいS3のファイルをマルウェアスキャンするFile Storage Security(FSS)とAWS環境のセキュリティチェックをするConfor
ウェブサイトの認証に用いられるパスワード認証は、パスワードの漏えいに対して脆弱(ぜいじゃく)であるため、物理キーなどを用いた2段階認証を導入するウェブサイトが増加しています。Googleの「Titan セキュリティ キー」は、Googleの2段階認証で利用できる物理キーのひとつで、FIDOによる生体認証に対応しているのが特徴。そんなTitan セキュリティ キーについて、セキュリティ調査機関のNinjaLabがサイドチャネル攻撃に成功したと報告しています。 A Side Journey to Titan - NinjaLab https://ninjalab.io/a-side-journey-to-titan/ A Side Journey to Titan (PDFファイル)https://ninjalab.io/wp-content/uploads/2021/01/a_side_jo
Clubhouseを支えている技術とアーキテクチャ、セキュリティについて - LayerX Research
#LayerX_Newsletter 2021-02-19 TL;DR Clubhouseは極めてシンプルなアーキテクチャ 音声データはAgoraを、リアルタイム性の高い情報の扱い(ルームの中など)はPubNubを利用 音声データが暗号化されていないなどセキュリティ面での課題も多い Clubhouseは招待制の音声配信SNSで、2020年Aplha Exploration社が開発したこのサービスは、つながりがある人同士でラジオ放送のように自由に会話を楽しんだり、興味ある人はその会話を傍聴、さらには会話に飛び入り参加もできる特徴がある。2021年に入り世代・国籍・性別を問わず爆発的人気となっており、日本では2021年1月からスタートアップ界隈を中心に一気に話題が広がっている。また、テスラの創業者や有名人・著名人などが利用しはじめたことで大きな注目を浴びた。今回はClubhouseはどのような
元Webデザイナーのセキュリティエンジニアが警告する、CSSインジェクションの脅威 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
※この座談会は緊急事態宣言以前に実施しました。 イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共に、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第11回をお送りします。 川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO、Interop、各都道府県警のサイバーテロ対策協議会などで講演、安全なITネットワークの実現を目指してセキュリティ演習なども提供しています。 イエラエ顧問として、「川口洋の座談会シリーズ」を2019年に開始。サイバーセキュリティを巡る様々な話題を、社内外のゲスト達と共に論じ語ってきました(川口洋の座談会シリーズ)。 今回ゲストとして登場するのは、イエラエセキュリティのペネトレーション課に所属する馬場将次。Webデザイナーとしての経験から、Webに関するセキュリティへの鋭い視点を持つ馬場。
私がサーバレスに全面移行した理由はセキュリティです。セキュリティパッチも当てず放置してしまっていました。 本記事は「サーバを一度構築したら、正常にレスポンスがあるうちは放置する」ような運用をしている方に向けた記事です。 私は学生時代に、「パーツあげるからサーバつくって運用してみなよ!!」と仲のよかった教授がいってくれたことでサーバ構築をはじめました。CentOS入れて、Apache入れて、よくわからないけどiptablesをoffにしたらすごい公開できた!!という体験はとてもよかったです。 その後、アプリをつくるようになって、レンタルサーバではスペックが足りなくなったので、お名前ドットコムでVPSを借りて、AWSが登場したら「すごい!構築したインスタンスをそのままスケールアップできる!!」と勢いのままEC2に移りました。Ansibleで構築自動化のレシピをつくって構築して、運用という名の
<script nonce="xxxxx" id="initial-data" type="text/plain" data-json="${preloadedState}" ></script> このpreloadedStateはエスケープ処理が必要なので注意してください。 クライアント側の読み込み方 const initialData = JSON.parse( document.getElementById("initial-data")!.getAttribute("data-json")!, ); const { store } = configureStore(initialData); https://github.com/hiroppy/ssr-sample/blob/master/src/client/index.tsx#L21-L22 useEffect SSR では、
先日日本語訳版が発表されたばかりの OWASPアプリケーション検証標準 バージョン4(以下ASVS v4)を用いて、 Webアプリケーションセキュリティの評価をサービスに対して実施した感想などについて記載します。 ASVS v4は非常に包括的なWebアプリケーションセキュリティの評価ガイドラインです。 それこそ「エンジニア研修でまず最初に読もう!」と推進したくなるほど多角的に記載がされています。 どのぐらい包括的であるかについてですが、開発体制・ログ・認証・ログインフォームの設計・総当たりに対するアカウントロックの時間・GraphQLにおけるセキュリティなど、とにかく盛りだくさんな記載がされています。 すべてのエンジニアにとって必読の ASVS v4 こんにちは、佐分基泰と申します。 16年の新卒として入社し、サーバサイド -> 脆弱性診断士を経て、 現在はOSS Libraryセキュリテ
Emotet(エモテット)関連情報 Emotet(エモテット)の概要 Emotetとは、メールアカウントやメールデータなどの情報窃取に加え、更に他のウイルスへの二次感染のために悪用されるウイルスです。このウイルスは、不正なメール(攻撃メール)に添付される不正なファイルなどから、感染の拡大が試みられます。 Emotetへの感染を狙う攻撃の中には、正規のメールへの返信を装う手口が使われる場合があります。この手口では、攻撃対象者(攻撃メールの受信者)が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容などの一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールが使われます。そのため、攻撃メールの受信者が、知った人物から送られてきたメールと勘違いして添付された不正なファイルを開いてしまい、Emotetに感染してしまう可能性も考えられま
情報セキュリティ10大脅威 2022 64ページ(PDF:5.2 MB) 本資料は、2月28日に公開した「情報セキュリティ10大脅威 2022」解説書 [個人編] に組織編とコラムを追加し、再編集したものです。 情報セキュリティ10大脅威 2022 知っておきたい用語や仕組み 24ページ(PDF:2.1 MB) 情報セキュリティ10大脅威の活用法 18ページ(PDF:2.9 MB) 本資料は、2020年に公開した「情報セキュリティ10大脅威 2020」解説書の「3章. 情報セキュリティ10 大脅威の活用法」を、「情報セキュリティ10大脅威 2022」向けに再編集したものです。 「情報セキュリティ10大脅威 2022」簡易説明資料(スライド形式) 情報セキュリティ10大脅威 2022 [組織編] 78ページ(PDF:3.1 MB) 情報セキュリティ10大脅威 2022 [個人編] 79ページ
超天才プログラマーが見つけた「法律のセキュリティホール」を超天才法科大学院生が超デバッグしてみた - ゴミログ
みんなおはエコ!超天才法科大学院生ことゴミクルーン(@DustCroon)です。 どうして超天才かというと、入試前日にブログを書きながら早稲田に一発合格したり、大学の1年前期をGPA0.38からスタートして4年で卒業したり、借りてたアパートの大家とバトって敷金全額取り返したり、専門外の分野で懸賞論文書いて賞を受賞したからです。その気になれば円周率も1億桁くらい覚えられると思います。 ところで、今日はこんな興味深いツイートを見つけました。 話題の超天才プログラマーの人、 "規則の矛盾を突くのが趣味"というとんでもない人で 「法律を読む限りでは、運転免許は人間に限らず、法人でも取得できるはずだよね?んじゃ申請するわ。認めない場合は法的根拠を示せ」と役所へ問い合わせたことがあるhttps://t.co/zxWCYVlzhV pic.twitter.com/WXrEY7Brct — tetsu (
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティソフト「ESET」シリーズに複数の脆弱性 ~モジュールの更新で対策【10月27日追記】/サポート終了の旧製品は後継バージョンへの移行を
初めてのセキュリティ情報収集(mjckeck4) | フューチャー技術ブログ
【解説】政府機関等のサイバーセキュリティ対策のための統一基準群|令和5年度版の改定ポイント
【セキュリティ資格】CISSP合格体験記_202310_トレーニング有 - Qiita
Amazon Athena を使ったセキュリティログ検索基盤の構築 - クックパッド開発者ブログ
スイパラ、セキュリティコードなどクレカ情報一式7000件以上漏えいか 不正アクセスで決済システム改ざん
Firebaseにおけるセキュリティの概要と実践 - Flatt Security Blog
Googleの物理キー「Titan セキュリティ キー」がサイドチャネル攻撃により突破される
私がサーバレスに全面移行した理由はセキュリティです。セキュリティパッチも当てず放置してしまっていました。
SPA + SSR + PWA の作り方とセキュリティについて - hiroppy's site
今一番アツいWebセキュリティガイドラインOWASP ASVS v4でリスク評価した話
Emotet(エモテット)関連情報 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報セキュリティ10大脅威 2022 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構