Windowsでもようやく利用できるようになった「Sudo」コマンドを早速体験/Linuxの「Sudo」とは似て非なるものだが快適。セキュリティレベルの低下には注意【やじうまの杜】
IDとPWのみでのGoogleアカウントへのログインが5月30日に終了。サードパーティ製アプリなどに影響 | スラド セキュリティ
もとの告知がいつ行われたのかはハッキリしないのだが、Googleは5月30日にユーザー名とパスワードのみでGoogle アカウントにログインする「安全性の低い」アプリとデバイスに関するサポートを終了するそうだ(安全性の低いアプリと Google アカウント)。これだけだと分かりにくいが過去記事に書かれたコメントによれば、同日以降はアプリ側でOAuth 2.0への対応が必須になるという意味だそうだ。OAuth 2.0非対応のメーラーなどを利用している場合は対策が必要になる。昨年話題となった秀丸メールでの対策事例が参考になると思われる(窓の杜)。 なお、Googleの告知ではAppleデバイスに関する注意も記載されている。Google側の説明によると、Appleデバイス上でユーザー名とパスワードのみを使用しているユーザーが最近ログインしていない場合、2月28日以降はGoogleアカウントの種類
マイクロサービスのQA・セキュリティ自動化テスト社内ツール「Testdeck」をOSS化しました! | メルカリエンジニアリング
こんにちは。Product Securityチームの@gloriaです。前回、自動化テストエンジニアからセキュリティエンジニアへのキャリアチェンジについて記事を書きました。 今日は、最近OSSとして公開した社内ツールのプロジェクトについてお話をしたいと思います! 「Testdeck」とは? TestdeckはGolangで書いたgRPCマイクロサービスのインテグレーションテスト、エンドツーエンドテスト(E2E)とセキュリティテストの自動化ツールです。以下の機能を提供しています: gRPCとHTTPエンドポイントのインテグレーションテスト・E2Eテスト ファズテスト 悪意のあるペイロードの注入(Burp SuiteのIntruderという機能のように) gRPCとHTTPリクエストのユーティリティメソッド CharlesやBurp Suiteなどのデバッギングプロクシーに接続し、リクエストの
クラウドセキュリティ監査ツール「Scout Suite」を使って、ゆるゆる設定のAWS環境をチェックしてみた - Qiita
クラウドセキュリティ監査ツール「Scout Suite」を使って、ゆるゆる設定のAWS環境をチェックしてみたAWSSecurityaws-cli 最近、セキュリティ関係のセミナーに参加して、「Scout Suite」というクラウド環境のセキュリティ監査ツールの存在を知り、個人のAWS環境にわざと緩めの設定を追加してチェックしてみたので、その際の手順を残しておきます。 Scout Suiteとは? GitHubの「Description」にて「Scout Suite is an open source multi-cloud security-auditing tool」と説明されているように、AWS、Azure、GCPなどの複数のクラウド事業者(GitHubの「Cloud Provider Support」を参照)に対応しているセキュリティ監査ツールです。 チェックを行いたいクラウド事業者
ネット上で商売するのが当たり前な時代。自社でWebサイトやWebアプリを抱える企業も相当な数になっている。そこでインシデントが発生すれば信用、ブランド、収益……失うものは計り知れない。 本連載では情報セキュリティの専門家・徳丸浩さんが制作した脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。 登場人物は全て架空の存在だが、ワナは全て現実にあり得るもの。せりふは徳丸さんの監修の下制作した。 特集:Webコンテンツの守り方 情報漏えい対策術 経営や企業イメージに大きな打撃を与える情報漏えい。近年ではWebサイトの改ざんやデータベースを狙った攻撃により情報を盗み出す事案が話題になっている。本特集では情報漏えいを引き起こすサイバー攻撃と、WAFによる対策について解説する。 カクーノ株式会社:Webアプリ開発を手掛ける企業。本
Wi-Fiの100倍高速、「Li-Fi」通信規格が登場。赤外線を活用、高セキュリティ | Gadget Gate
テクノロジー 光通信ゆえに壁越しに妨害や盗聴が困難なため Wi-Fiの100倍高速、「Li-Fi」通信規格が登場。赤外線を活用、高セキュリティ 米国電気電子学会(IEEE)は、光無線通信規格として「802.11bb」を正式リリースした。本規格の推進派は、Wi-Fiの100倍も速くかつ安全だと主張しており、今回のリリースはデータ伝送技術標準の展開と普及を加速させるものだと歓迎している。 この802.11bbはLi-Fi(Light Fidelity)の一種であり、無線周波数(RF)の代わりに光スペクトルを使ってデータの送受信を行う技術である。そのメリットは、支持者によれば「Wi-Fiや5Gといった従来技術に比べ、より高速で信頼性の高い無線通信を、比類のないセキュリティで実現する」とのこと。今後は、既存のWi-Fiシステムとの相互接続が完全に実現することが期待される。 まだLi-Fiは初期段階
疲弊しないAWSセキュリティ統制の考え方【資料公開】 #devio_osakaday1 | DevelopersIO
大阪オフィスの川原です。 クラスメソッドのシン・大阪オフィスでの初イベント DevelopersIO OSAKA Day One -re:union- にて 『疲弊しないAWSセキュリティ統制の考え方』 というメインセッションを話しました。 ご参加いただいたみなさま、ありがとうございます! 発表で使った資料を本ブログで公開します。 当日の発表では時間の都合上話せなかった部分もいくつかありますので、 気になった方はぜひ見てください。 参考になれば幸いです。 スライド 参考資料 責任共有モデル | AWS NIST Releases Version 2.0 of Landmark Cybersecurity Framework | NIST NIST Cybersecurity Framework (CSF) 2.0 Reference Tool | NIST Cyber Defense Ma
ヨドバシカメラは現在、お客様との接点をドメインとして設計する新たなAPIを開発中であることを、クリエーションラインが主催し10月27日に開催されたイベント「Actionable Insights Day 2023」で明らかにしました。 REST APIとして実装される予定のこのAPIについて同社は「ヨドバシスタッフの魂を注入する」としており、厳重なセキュリティやユーザーフレンドリーで高い利便性などが追求されています。 ヨドバシAPIがどのように設計され、開発、実装されていくのか。その中味が紹介されたセッションの内容を見ていきましょう。 本記事は前編と後編の2本の記事で構成されています。いまお読みの記事は後編です。 認証強度のレベルダウンを最小限にするための方法 ただ、我々はお客様の情報を大切に守ろうとしておりますので、レベルダウンを最小限にしようとあがいておりまして、そこで採用しましたのが
マカフィーは12月17日、2019年の10大セキュリティ事件を発表した。 1年間に起こったセキュリティ事案をランク付けする同社の「10大セキュリティ事件」は、2019年で6回目。国内経営層や情報システム部門などのビジネスパーソンを対象にした意識調査の結果を基にしたもので、2019年の第1位は最終的にサービス廃止となった「7pay」一部アカウントへの不正アクセス問題がランクインした。 「2019年の10大セキュリティ事件」1位は7payの不正利用に
北陸先端科学技術大学院大学(JAIST)で学生・教職員の個人情報1725件が流出した。原因は、職員が無料セキュリティーツールを不用意に使用していたこと。パソコンで扱うファイルが自動的に外部サイトにアップロードされ、公開された。ツールは自動アップロードと第三者公開を利用規約に明記していたが、見過ごした。同サイトでは企業の機密ファイルなども公開されている。社員への注意喚起が必要だ。 北陸先端科学技術大学院大学(JAIST)は2021年1月29日、個人情報1725件が外部に流出したと発表した。流出したのは学生・教職員の氏名とメールアドレス、所属部局・研究室だ。 今回の情報流出事件が特異なのは、サイバー攻撃や内部犯行などが原因でなかった点だ。JAISTは、マルウエアではない正常なセキュリティーツールを業務用端末にインストールしていた。職員が誤って個人情報を扱う業務でその端末を使ってしまった結果、個
AWS Security HubとSlackを利用して、セキュリティ状況の監視運用を効率化したお話 - Uzabase for Engineers
はじめに 初めまして!ソーシャル経済メディア「NewsPicks」SREチーム・新卒エンジニアの樋渡です。今回は「AWS Security Hub」と「Slack」を用いて、弊社で利用しているAWSリソースの監視運用を効率化したお話です。 お話の内容 年々増加するサイバー攻撃に対抗するため、セキュリティ対策は日々重要度が増してきています。 そこで弊社で利用しているAWSのリソースに対して、各種セキュリティイベントの収集ができるAWS Security Hubを利用することで、セキュリティ状態の可視化と迅速な対応がしやすい運用を行い、セキュリティ状態の現状把握から始めることにしました。特にNIST CSFの「検知」部分の運用について整備した内容となっています。 NIST Cyber Security Frameworkについて 皆さん、「NIST Cyber Security Framewo
フロントエンドエンジニアのためのセキュリティ対策 ~XSS編~ / #frontkansai 2019
FRONTEND CONFERENCE 2019( https://2019.kfug.jp )でセキュリティ、主にXSSについて話をしました。 demo: https://shisama.dev/xss-test # Technical Topics - 3 types of XSS ( Reflected XSS, Stored XSS, DOM based XSS) - XSS with React - DOMPurify - Content Security Policy - Trusted Types
Google、クラウドネイティブ向けセキュリティの枠組みを示す「BeyondProd」発表。ホワイトペーパーを公開
Google、クラウドネイティブ向けセキュリティの枠組みを示す「BeyondProd」発表。ホワイトペーパーを公開 企業向けネットワークにおける先進的なセキュリティの考え方の1つに「ゼロトラスト」があります。 従来の典型的なネットワークセキュリティの考え方は、企業の外側と内側をファイアウォールで区切り、インターネットなどの外側からのアクセスは信頼できないものとして認証などを行って信頼できる通信のみを通過させ、ファイアウォールの内側の通信は信頼できるものとして扱う、というものでした。 しかしファイアウォールの内側であっても悪意あるアクセスが行われる可能性があります。それはパスワードなどを盗むことで侵入に成功した攻撃者やマルウェアであったり、悪意のある従業員そのものであったりと、さまざまな要因が考えられます。 つまりファイアウォールを用いたセキュリティの考え方では、ファイアウォールを突破されて
Sky株式会社(以下、Skyまたは弊社)では、弊社が提供する対象製品・サービスの脆弱性を発見しご報告いただいた方への謝礼として、報奨金をお支払いする「Sky脆弱性報奨金制度(以下、本制度)」を実施しています。 目的 本制度は、弊社が提供する製品・サービスに存在するゼロデイ脆弱性の早期発見と改修を目的とした制度です。 参加条件 以下の条件を満たした方にご参加いただけます。 報告時点でSkyまたはSkyのグループ会社の従業員ではないこと 報告時点で業務委託契約、出向契約、派遣契約等の契約形態により、SkyまたはSkyのグループ会社の業務に従事していないこと 過去にSkyまたはSkyグループ会社の正社員として雇用されていないこと 過去にSkyまたはSkyグループ会社で、製品開発およびクラウドサービス運用関連の業務に従事していないこと 日本語または英語で、Sky-SIRTとコミュニケーションができ
毎年恒例、サイボウズ株式会社が主催するイベント「Cybozu Days 2022」が開催されました。今年のテーマは「宝島〜DXの勇者たち〜」。クラウドサービスを活用したDXにより、新しい道を切り拓く“勇者たち”が登壇しました。本記事では、サイボウズの情シス部長・鈴木秀一氏が登壇したセッションの模様をお届けします。出社と在宅のハイブリッドワークを続ける中で気づいた課題や、オンラインオンボーディングを始めた理由などを語りました。 サイボウズで進む、ハイブリッドな働き方 翠氏(以下、翠):みなさまこんにちは。「Cybozu Days」を楽しんでいらっしゃいますでしょうか。今回は「在宅8割継続中! 情シス部長が解説するハイブリッドワークを無理なく続ける、セキュリティ対策とオンボーディング」というタイトルでセッションを進めたいと思います。 今回はけっこうサイボウズ社内の実際のアプリのスクリーンショッ
\と¥の問題 - 立命館大学情報理工学部セキュリティ・ネットワークコース プログラミング言語サポートページ
バックスラッシュ\を入力する時に円記号¥に文字化けが起きる理由 プログラムのソースプログラムは(LaTeXのソースファイルやWebページのHTMLファイル等と同様に)テキストファイル(教科書ではテキスト形式と呼ばれています。プレーンテキスト(plain text)とも呼ばれることがあります)というファイル形式で書かれます。このテキストファイルはどのようなOSでも必ずサポートされている最も基本的なファイル形式であり、実体は1バイトを単位として文字コードで表現されたデータが先頭から順に並んでいるだけのファイルです。 その文字コードは歴史的にはさまざまなものがありましたが、次第にアメリカで定められたASCIIコードが主流になり、世界中で使われるようになりました。これが国際的な規格になったものがISO/IEC 646です。これらは7ビットの文字コードなので2の7乗つまり128種類の文字が表現でき、
エムアウトグループで、ITエンジニア向け総合求職・学習サービス『paiza(パイザ)https://paiza.jp』を運営するギノは、環境構築不要・5秒で学習開始できるプログラミング学習サービス『paizaラーニング https://paiza.jp/works』にて、新レッスン「攻撃手法から学ぶハッカー入門(Webセキュリティ入門編) https://paiza.jp/works/lp/hacker 」計6動画を2019年7月30日(火)より期間限定で無料公開いたします。 この動画では、解説キャラクター「涼月美影」役として、人気声優の内田真礼さんをキャラクターボイスに起用いたします。さらに新レッスン公開を記念して、内田さんのサイン色紙などが当たるキャンペーンも実施します。 ■「攻撃手法から学ぶハッカー入門(Webセキュリティ入門編)」について 今回リリースする「攻撃手法から学ぶハッカー
なぜセキュリティグループで0.0.0.0/0からのインバウンドトラフィックを許可することが危険なのか? | DevelopersIO
なぜセキュリティグループで0.0.0.0/0からのインバウンドトラフィックを許可することが危険なのか? はじめに こんにちは!AWS事業本部コンサルティング部の和田響です。 この記事では「なぜセキュリティグループで0.0.0.0/0からのインバウンドトラフィックを許可することが危険なのか?」について説明し、具体的な対策と検知の方法について記載します。 0.0.0.0/0からのトラフィックとは? 0.0.0.0/0は、IPアドレスの範囲を指定するCIDR(Classless Inter-Domain Routing)表記の一つで、IPv4アドレス空間におけるすべてのIPアドレスを意味します。 つまり「0.0.0.0/0からのトラフィック」とはすべてのIPからの通信であり、インターネットのあらゆる場所からの通信と言い換えることもできます。(IPv6の場合は::/0と表記します。) なぜ危険なの
18日午前10時半ごろ、京都市伏見区桃山町因幡のアニメ制作会社「京都アニメーション」第1スタジオ(3階建て)で男が放火し、爆発を伴う火災が発生した。京都府警によると、33人(男性12人、女性20人、不明1人)が死亡、男を含む36人が病院に搬送され、17人が入院した。建物内には男も含め76人がいたといい、残る7人は無事だった。警察庁によると、放火事件の被害者数では平成以降、最悪という。 府警捜査1課によると、男が玄関から建物内に入り、1階で「死ね」と叫んでガソリンとみられる液体をまいて火を付けた。従業員が男の後を追い、建物から数十メートル離れた場所で伏見署員が男の身柄を確保したが、重いやけどをしており入院した。免許証によると関東地方在住の41歳で、同社での勤務歴はなく、調べに「自分が火を放った」と話したという。府警は同社に恨みを抱いていた可能性があるとみて、放火殺人の疑いで捜査…
トップガンでなくてもセキュリティエンジニアとして長く続けていくには - トリコロールな猫/セキュリティ
はじめに セキュリティ業界は人が少ないので、どこに行っても名前を聞く人とか、バイナリを見ただけでどこ製のマルウェアかわかる人とか、つよつよ人材が身近にいがちです。そんなトップガンを目指すのも一興ですが、ある程度の期間は、起きている時間全てをセキュリティに捧げる覚悟が必要です。私はそこまでできないので、別の戦略で生き延びています。そんな話です。 セキュリティ以外に得意分野を作ろう 私はもはやセキュリティの技術的な能力は干からびてしまっていますが、文書を作成するのがまあまあうまいです。今の会社はこの一点突破で採用されました。セキュリティを知っている人はたくさんいます。文書を作成するのがうまい人は星の数ほどいます。ではその両方は?おそらくとても少ないです。なぜなら大抵のセキュリティエンジニアは報告書などの文書作成が苦手or嫌いだからです。(そのうちchatGPTに駆逐されそうではありますが) 「
暗号化ZIPファイルにして送信。その後、メールでパスワードを追いかけて送る。これは「おまじないにしか過ぎない」。さらには「意味がないだけではなく有害だ」と専門家は指摘する。リモートワークでも障害が出る。
インシデントレスポンスを自動化で支援する Slack Bot で人機一体なセキュリティ対策を実現する
インシデントレスポンスを自動化で支援する Slack Bot で人機一体なセキュリティ対策を実現する https://event.cloudnativedays.jp/cndt2021/talks/1260
LastPass、DevOptsエンジニアの自宅PCがセキュリティ侵害の原因だったと最終報告 | ソフトアンテナ
LastPass、DevOptsエンジニアの自宅PCがセキュリティ侵害の原因だったと最終報告 2023 3/01 人気のパスワード管理サービス「LastPass」は昨年、パスワードを含むユーザーの機密データが漏洩する大規模なセキュリティ攻撃に直面しました。12月に同社、は漏洩したデータを攻撃者が入手した事を認め、ユーザーに対しパスワードを変更するようにとの声明を発表していたなか、このセキュリティ侵害が、DevOptsエンジニアのPCから盗まれた認証情報によって引き起こされた事を明らかにしています(9to5Mac)。 LastPassのブログ記事によると、2022年8月にハッカーがAmazon AWSのクラウドサーバーにアクセスしてデータを盗み出すという連携攻撃が発生。同社のクラウドストレージにアクセスできるDevOpsエンジニアから、サーバーの認証情報が盗まれたため、LastPassが不審
技術系メディアの日経クロステック (xTECH) が 4 日に公開した「偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう」という記事が問題になっているので共有したい (はてなブックマーク)。 問題になっているのは、現代では SSL の有無だけで本物かどうか判断できないため証明書の種類を見るべきだとする以下のような記述。 このうち詐欺で悪用されるのがDV証明書。「Let's Encrypt」という認証局では無料で発行しており、フィッシング対策協議会によれば、一部の例外を除いて大半のフィッシングサイトでこの証明書が利用されているという。大手企業が利用するケースは考えにくい。ブラウザーの証明書ビューアーで、発行者が「Let's Encrypt」ならまず詐欺なので用心しよう。
「ツイッターのDMを今すぐ削除せよ」セキュリティ専門家警告 | Forbes JAPAN 公式サイト(フォーブス ジャパン)
セキュリティの専門家によると、Twitter(ツイッター)ユーザーは、機密データ流出のリスクを下げるために、今すぐダイレクトメッセージ(DM)を削除すべきとのことだ。 Twitterは数千人のエンジニアを解雇し、セキュリティと安全性の問題を監督する数人の上級管理職が退社した。さらにイーロン・マスクがTwitterのコードベースの巨大な塊を取り出そうとしていることと相まって、Twitterユーザーは「心配になるほど」の危険にさらされていると、Sophos(ソフォス)や他のセキュリティ企業で働いた経験を持つ独立系セキュリティアナリストのグラハム・クルーリーは指摘する。 クルーリーは、Twitterが今週初めに誤ってSMSベースの2要素認証(2FA)を無効化したことは、同社内の混乱の表れであると述べている。「Twitterが数日前に不注意でユーザーの一部の2FAの仕組みを壊してしまったのだとした
[AWS Black Belt Online Seminar] コンテナセキュリティ入門 | Amazon Web Services
Amazon Web Services ブログ [AWS Black Belt Online Seminar] コンテナセキュリティ入門 AWS Black Belt オンラインセミナー「コンテナセキュリティ入門 」を公開します。 コンテナアプリケーションを運用する上でのセキュリティについて、特定のAWSサービスには依存しない一般的な考え方を紹介するセミナーとなっています。コンテナのライフサイクルに沿って、セキュリティのポイントを複数回に分けて解説します。 視聴および資料閲覧は以下から可能です。 Part 1, コンテナイメージ作成: YouTube / SlideShare Part 2, サプライチェーン、オーケストレーター: YouTube / SlideShare Part 3, ホスト、ランタイムセキュリティ: YouTube / SlideShare このセッションでは、コンテ
![[AWS Black Belt Online Seminar] コンテナセキュリティ入門 | Amazon Web Services](https://cdn-ak-scissors.b.st-hatena.com/image/square/00b48615edff7ceeeebafb45940f67649fed21d1/height=288;version=1;width=512/https%3A%2F%2Fd2908q01vomqb2.cloudfront.net%2Fb3f0c7f6bb763af1be91d9e74eabfeb199dc1f1f%2F2021%2F12%2F02%2F202110_AWS_Black_Belt_AWS_CON231_intro_container_security.jpg)
LINEアカウントへの不正アクセスに対する注意喚起 | LINE Corporation | セキュリティ&プライバシー
※今後も順次、二段階認証適用の対象範囲を拡大してまいります。 ※サービスのURLによってはLINEログイン画面に遷移する場合があります。 一部のお客様に対するパスワード初期化の実施 2020年7月から9月にかけて、不正ログインの試行から、現在までの期間においてパスワード変更が確認できなかった方を対象に、2020年9月12日12時33分より順次、LINE公式アカウントを通じパスワードのリセットと、それに伴うパスワード再設定をお願いするメッセージをお送りしました。 メッセージ送信については以下の通り複数段階に分けて実施しております。突然のご連絡となったことを対象者の方々にはお詫びいたします。 1.LINE公式アカウントを通じ「パスワードが変更されました。」というメッセージを送信。 2.LINE公式アカウントを通じ「【重要】ご利用中のLINEアカウントに不正ログインの試みが検知され、現在登録のパ
2021年のITニュースを振り返ってみると、サイバーセキュリティに関する報道が引き続き多い1年だったように思う。21年はどういったインシデントが発生したか、カテゴリー別でまとめてみた。 GitHubでソースコードを公開 ソースコード共有サービス「GitHub」で、サービスに関するソースコードが誤って公開される事件が複数発生した。1月には、三井住友銀行やNECなどのシステムに関連するソースコードが無断で公開されていたことが判明。各社の委託先に所属していたエンジニアとみられる人物が、自身が書いたソースコードから年収を診断するWebサービスを利用するために、GitHubに無断でアップロードしたことが原因とされた。 三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開か【追記あり】 NECもソースコード流出を確認、GitHubで 三井住友銀、NTTデータに続き また、キャッ
中山です trivyのv0.31.0でAWSアカウントのセキュリティスキャンができるようになりました。 feat: Add AWS Cloud scanning (#2493) Releases / v0.31.0 なお、v0.31.0でスキャンを実行するとクラッシュするバグがあり、すぐにv0.31.2がリリースされました。 Releases / v0.31.2 どんな感じか気になったので、軽く触っておこうと思います。 ドキュメントを確認 まずはドキュメントを確認します。 Amazon Web Services ポイントになると思った点をまとめます。 CIS AWS Foundations Benchmark standardに準拠したチェックが可能 認証方法はAWS CLIと同じ すべてのAWSリソースに対する参照権限が必要 (ReadOnlyAccess) サービス・リージョン・リソー
NTTビジネスソリューションズの顧客情報の不正流出について公表資料だけで語る、今回の件のヤバさ「セキュリティ教育資料に最悪の事例として載る」
通信の猫@ID=AO.VTuber.cat @ID_JAPAN_AO 生物系大学から闇落ちした底辺社畜通信インフラ系VTuberのサイエンスオタク。 ニュースや科学ネタやVtuberとか呟く。 たまに猫(社会性フィルター)になります。 #通信にゃーん 【ファンアート】 #あおさんの通信セミナー 【通信技術系】 #進捗報告ですにゃーん 【何かの告知】 youtube.com/channel/UCxsb4…
セキュリティの草の根コミュニティ系勉強会って今どうなってるんだろう? 以前は有志がカレンダー作ってくれてたりしたけど、さすがにパワーが続かずメンテは超ベストエフォートになり、いろいろあった情報源もロストしてしまったので手元のメモをもとにちょっとまとめてみました。 追加情報歓迎&2022年12月時点での最新情報入れてるので陳腐化上等。 また近年新型コロナ禍もあり、どの勉強会もオフラインだけでなくオンラインでも開催しているので、あきらめずに各サイトをチェックしてみてください。 (なお、これ草の根?みたいなのも構わず広めに掲載してます) オンラインのみ 初心者のためのセキュリティ勉強会 https://sfb.connpass.com/ 基本から学ぶセキュリティ勉強会 https://connpass.com/event/267821/ ゼロから始めるCTF https://zeroctf.co
大澤昇平🇺🇳 on Twitter: "俺に対する悪意しか感じないクソまとめ記事だな。 どういう思考すれば 90% 安全が「絶対安全」って解釈になるんだよ。 要するに「10% は危険」ってことだぞ。 確率論も理解できないセキュリティエンジニアには組織のリスク管理をや… https://t.co/F97MKKYD09"
俺に対する悪意しか感じないクソまとめ記事だな。 どういう思考すれば 90% 安全が「絶対安全」って解釈になるんだよ。 要するに「10% は危険」ってことだぞ。 確率論も理解できないセキュリティエンジニアには組織のリスク管理をや… https://t.co/F97MKKYD09
この記事では、以下のようなチームを想定して、お金と手間をできるだけかけずにそこそこセキュリティを向上させることをまとめようと考えています。そんなんじゃだめだ!とか、こういう場合は漏れませんか?というコメント大歓迎です。 想定するチーム 営業やCS、マーケの人など全職種含めると30人前後あるいはそれ以下で、Webサービス(アプリ含む)開発を行っている 副業人材も多く、半数のメンバーは会社支給でないマシンを使っている それらのマシンは他社の業務でも使用されている Macが多めだがWindowsもいる 基本的に業務データはクラウド上にあり、PCローカルにあるのは開発途中のデータ、Biz/バックオフィス系のドキュメント、重たいデザイン系データ程度。自社データセンターや、オフィスネットワークでしかアクセスできないサーバはない。 メインの業務ツールはGoogle WorkspaceとSlackとGit
BigQueryのセキュリティ対策手順
風音屋では、データエンジニア、データアナリスト、データコンサルタントを募集しています。 書籍執筆者やOSSコントリビューターなど、業界を代表する20名以上のアドバイザーと一緒にベストプラクティスを追求できる環境です。 ぜひカジュアルトークをお申し込みください。 風音屋アドバイザーの山田雄(@nii_yan)です。 データ活用においてセキュリティ対策が最重要トピックであることは言うまでもありません。 風音屋でBigQueryの導入支援を行うにあたって、どのようなセキュリティ対策を行っているのかをご紹介します。 この記事の全体像 この記事は2つのパートに分かれています。 最初に、BigQuery導入プロジェクトを始めるにあたって、セキュリティ観点でどのようなコミュニケーションが必要になるかを説明します。 次に、一般的な情報セキュリティ対策である「抑止」「予防」「検知」「回復」の4つの観点にもと
TOPフォーカス「勉強しろ」じゃ啓発は難しいから。スベり覚悟の「セキュリティ芸人」が笑いで“脆弱性”を伝える理由【フォーカス】 セキュリティ芸人 アスースン・オンライン ゲーム会社でプログラマーをしつつ、趣味でセキュリティ芸人として活動。情報セキュリティ系のイベントやYouTube上でネタを披露している。R-1グランプリ2023では1回戦を突破。芸名は、大学の後輩にSNS上で陰口を書かれていたとき、本名の「麻生さん」をもじり、敬称まで含めて「ASUSN」と呼ばれていたのが由来とのこと。「オンライン」は語感で付けた。 X 「脆弱だなあ~」のツッコミをキーフレーズに、情報セキュリティや脆弱性をテーマにしたネタを披露する「セキュリティ芸人」のアスースン・オンラインさん。2023年3月に、YouTubeチャンネルに投稿したネタ披露の動画は90万回以上再生されるなど、エンジニアを中心に一定の人気を集
Fortinetは8日、YouTubeを通じて情報窃取マルウェア「Lumma Stealer」の亜種を配布する脅威グループを発見したと報告した。この脅威グループはYouTubeアカウントを侵害、このアカウントからクラックされたソフトウェアを宣伝する動画をアップロード。動画内に悪意あるファイルへの短縮URLを埋め込み、動画の視聴者を悪意あるファイルをダウンロードするよう誘導するという(Fortinet、TECH+)。 リンク先にはフィルタによる保護を回避する目的から、GitHubやMediaFireなどのオープンソースプラットフォームが使用されているという。これらの悪意のあるファイルはZIPファイル形式で、PowerShellを使用して悪意のあるインストールファイルをダウンロードするリンクファイルを含んでいるとしている。 すべて読む | セキュリティセクション | セキュリティ | ニュース
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
新人の作ったWebアプリが穴だらけ!? ログイン画面に潜むセキュリティの”あるある”ワナ
私物PCを使った在宅勤務、導入には「全従業員のITリテラシー問題」が課題に――セキュリティ専門家の徳丸浩氏が語る
Amazonからライト付きセキュリティカメラ。電気工事不要で取り付け - 家電 Watch
ヨドバシの中の人が語る、開発中のヨドバシAPIが目指す機能、仕組み、そしてセキュリティ(後編)
「2019年の10大セキュリティ事件」1位は7payの不正利用 - マカフィー
大学で個人情報が意図せず漏洩、原因は無料セキュリティーツール
セキュリティ事故が起こる前にトップ主導の体制作りを。経済産業省「サイバーセキュリティ体制構築・人材確保の手引き」を更新
Windowsの暗号化機能に致命的な脆弱性、証明書偽装の恐れ ~米国家安全保障局が警告/Windows 10とWindows 2016以降のサーバーOSに影響、今月のセキュリティパッチで解決
Sky脆弱性報奨金制度|セキュリティ・脆弱性について|Sky株式会社
8割のハイブリッドワーク社員にPCを2台ずつ支給 サイボウズ情シスが語る、膨大な端末管理とセキュリティ課題の克服法
【CV内田真礼】女子高生ハッカーによる、攻撃手法から学ぶ「Webセキュリティ入門編」を無料公開!
京アニ火災 33人の死亡確認 平成以降最悪 第1スタジオ、18日朝はセキュリティー解除 | 毎日新聞
その暗号化ZIPファイルの送付は「意味ないどころか有害」。セキュリティで信用失わないためには
日経XTECH曰く「SSL証明書の発行者がLet's Encryptならまず詐欺」 | スラド セキュリティ
2021年セキュリティ事件まとめ 22年にも注意すべき脅威とは?
TrivyでAWSアカウントのセキュリティスキャンができるようになりました | DevelopersIO
サイバーセキュリティの草の根コミュニティ系勉強会 - Qiita
(随時更新)メンバー30人以下くらいの副業もいるチームの社内セキュリティについて - Qiita
「勉強しろ」じゃ啓発は難しいから。スベり覚悟の「セキュリティ芸人」が笑いで“脆弱性”を伝える理由【フォーカス】
YouTube経由で広がるマルウェアが増加 | スラド セキュリティ