高市早苗氏だけでなく、甘利明氏まで「先日、サイバーセキュリティの関係者から『案件によってはツイッターの発信及び拡散情報の35%は緊張関係にある国からの工作と思われる』との報告がありました」なんてこと言ってる。こりゃ高市早苗氏の与太… https://t.co/e2cerc7095
芻狗 on Twitter: "高市早苗氏だけでなく、甘利明氏まで「先日、サイバーセキュリティの関係者から『案件によってはツイッターの発信及び拡散情報の35%は緊張関係にある国からの工作と思われる』との報告がありました」なんてこと言ってる。こりゃ高市早苗氏の与太… https://t.co/e2cerc7095"
高市早苗氏だけでなく、甘利明氏まで「先日、サイバーセキュリティの関係者から『案件によってはツイッターの発信及び拡散情報の35%は緊張関係にある国からの工作と思われる』との報告がありました」なんてこと言ってる。こりゃ高市早苗氏の与太… https://t.co/e2cerc7095
GMOインターネットグループがサイバーセキュリティ事業に本格参入
GMOインターネットグループがサイバーセキュリティ事業に本格参入 国内最大規模のホワイトハッカー組織を有する イエラエセキュリティがグループジョイン GMOインターネット株式会社(以下、GMOインターネット)は、本日2022年1月24日(月)開催の取締役会において、国内最大規模のホワイトハッカー組織を有し、サイバーセキュリティ事業を展開する株式会社イエラエセキュリティ(代表取締役社長:牧田 誠 以下、イエラエセキュリティ)の既存株主から株式を譲り受け、イエラエセキュリティを迎えることとなりました。これにより、GMOインターネットグループとして、電子認証サービスを中核としたセキュリティ事業に加え、サイバーセキュリティ事業にも本格参入いたします。 今後、GMOインターネットグループとイエラエセキュリティの技術力を結集し、低価格で国内最高品質のセキュリティサービスの開発・提供を進めるとともに、グ
君のセキュリティはデプロイするまでもなく間違っている #CICD2021 / CICD Conference 2021
CI/CD Conference 2021 で使用したスライドです。 S3 オブジェクトを不必要に公開してしまったり、あるいは遮断されるべきネットワークが繋がってしまったりといったセキュリティ上の設定ミスは、可能な限り避けたいものです。 このようなインフラ層に対するテストを従来の CI/CD の一部として組み込む場合、「個別の設定項目が条件を満たすことを確認する」または「実際にデプロイした環境に対してアクセスしてみる」といった形でテストを行うことが一般的でしょう。 しかしセキュリティ設定には、「複数の設定項目が絡み合った結果、最終的なアクセス可否が定まる」かつ「実際にデプロイする前に影響範囲を知りたい」といった要求があり、上にあげたテストの形式とはあまり相性が良くないのが事実です。 この問題に対して有効な手法の一つが Automated Reasoning です。Automated Rea
TL;DR 主要ブラウザのサポートによって DoH の普及がますます進みそう DoH はユーザのプライバシー向上に寄与するが、一方でセキュリティ面など懸念材料も多い 一般ユーザにはまずは使ってみることをオススメする (個人の意見です) 企業内では現状はブロックすることをオススメする (個人の意見です) 目次 TL;DR 目次 動向整理 DoH 推進派 DoH 反対派 (おまけ) DoH サポート状況まとめ Browser vendors Firefox (Mozilla) Chrome (Google) Windows (Microsoft) Application / Tool 1.1.1.1 (Cloudflare) cloudflared DOH Proxy Curl goDoH DoHC2 DNSBotnet Publicly available servers Spec Time
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題(3題)と解説です。PHPカンファレンス2019での講演資料を少し手直ししました。 試験についてはこちら https://www.phpexam.jp/tokumarubasic/
「情報セキュリティ10大脅威 2023」簡易説明資料(スライド形式) 情報セキュリティ10大脅威 2023 [組織編] 85ページ(PDF:2.6 MB) 情報セキュリティ10大脅威 2023 [個人編] 84ページ(PDF:2.8 MB) 情報セキュリティ10大脅威 2023 [組織編](英語版)85ページ(PDF:2.5 MB) 情報セキュリティ10大脅威 2023 [個人編](一般利用者向け)68ページ(PDF:2.9 MB) 「情報セキュリティ10大脅威 2023」簡易説明資料(脅威個別版) 情報セキュリティ10大脅威 2023 [組織編](脅威個別版)(ZIP:3.0 MB) 情報セキュリティ10大脅威 2023 [個人編](脅威個別版)(ZIP:3.1 MB) 10大脅威の引用について 資料に含まれるデータやグラフ・図表・イラスト等を、作成される資料に引用・抜粋してご利用いただ
そのクーポン機能は不正利用を防げる実装ですか? - Webサービスにおけるクーポン機能の仕様とセキュリティ観点 - Flatt Security Blog
こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上です。セキュリティ・キャンプ卒業後、新卒入社組としてFlatt Securityでセキュリティエンジニアをしています。 本稿では、BtoCのWebサービスにおいてマーケティング施策として頻繁に発行される「クーポンコード」及び「クーポン機能」のセキュリティ観点について考えたいと思います。様々なサービスが題材として考えられますが、今回はECサイトなどを例に解説していきます。 クーポン機能は割引やポイントの付与など直接的に金銭的な影響に繋がりますが、Googleなどで検索してみると分かる通りどのような対策をすれば良いのかという情報はほとんど知られていません。そこで今回は、クーポン機能を設計・実装する上でSQL Injectionなどの典型的な脆弱性以外でどのような点に気をつければ良いのかについて解説を行います。 Flat
はじめまして、デジタルペンテスト部2年目のれーじです。 1年目はIoTペネトレ、2年目の現在はスマホアプリ診断を担当しています。先輩も後輩も化物みたいな人しかいないため、足を引っ張らないように必死です。 先日友人から「フリーwifiとかって危ないって聞くけど実際どうなの?」と聞かれました。「危ないよ!」と即答したのはいいものの具体的にどう危ないかの説明に困ったため、それを機にwifiハッキングについて少し勉強し、実験した内容をブログにしました。 はじめてのブログですので色々ご容赦ください。 これからの内容は絶対に自身の環境以外で試さないでください。「不正アクセス禁止法」に引っかかる可能性があります。 wifiハッキングって何するの? 隣の家のwifiを不正利用 実験環境 事前準備 kaliにwifiインタフェースを認識させる。 実験内容(手順) wifiインタフェースをMonitor mo
Intro Origin は Web におけるセキュリティモデルの一つとして、コンテンツ間の Communication に関する境界を定義し、リソースを保護してきた。 しかし、 Spectre の発覚以降、 Communication に関する制限だけではなく Isolation によるメモリレベルでのアクセス制御が必要となった。 そこで現在作業されているのが、 CORB, CORP, COEP, COOP といった仕様群であり、これは Web におけるセキュリティモデルの更新作業と見ることができる。 概要と現状について解説する。 DEMO & Resources 量が多いため、動作する DEMO と関連リソースは、ページ下部にまとめてある。 CORS による Cross Origin Communication の制限 CORS は、平たく言えば、リソース提供元(サーバ)が、クライアン
※本講座に使われている技術、攻撃手法は実際のものであり、本講座外での外部サイト への攻撃は不正アクセス禁止法に抵触し、取り締まり対象となりますのでご注意ください。 ※この物語はフィクションです。実在の団体や人物と一切関係はありません。 「攻撃手法から学ぶハッカー入門」は、誰もがホワイトハッカーになれるよう、 ハッカーの攻撃手法を実際に試しながら学べる世界初のセキュリティ講座です。 SQLインジェクションやXSS(クロスサイトスクリプティング)など、 知っているが実際に試したら捕まってしまう、 Webアプリケーションの脆弱性に対するハッキング手法を、 仮想実行環境を利用し実際にハッキングと対策方法を試しながら セキュリティ対策が学べる画期的な講座です。 転職・就活情報から未経験向け求人や動画学習まで、IT/WEBエンジニアに特化した総合求職・学習サイト「paiza(パイザ)」。 プログラミン
セキュリティのアレ
0 && (Math.floor(this.time / 30) != Math.floor(this.lastPosition / 30))) { this.lastPosition = this.time; $wire.updatePosition(this.time); } }, updateTime(t, update = true) { if (t < 0) { t = 0; } else if (this.player.duration < t) { t = this.player.duration - 1; } this.time = t; this.player.currentTime = t; if (update) { this.updatePosition(); } }, ensureOnlyOneEpisodePlaying() { this.players.for
株式会社メルカリはフリマアプリ「メルカリ」を提供する企業であり、米国と日本においてバイヤーとセラーを結び付けている。月間2,000万人以上のアクティブユーザーを持つ同社のモバイルアプリでは、衣類、宝石、電子機器からオフィス用品、ペット用品まで、あらゆるものを販売・購入することができる。 米国と日本に拠点を持つリモート企業である同社は、アプリケーションや大容量データのホスティングにGoogle Cloud Platform (GCP)を活用している。そのため、同社の社員は、社内の開発用環境やサードパーティーのAPIといったリソースへ、事前に許可されたIPアドレスから安全にアクセスする必要がある。 同社の中島 博敬氏と金丸 洋平氏はメルカリグループへのTailscale導入を担当した。彼らは、このことが会社にとってゲームチェンジャーになったと語っている。 「Tailscaleは使い勝手がよく、
AIによる顔認識技術は日々進歩を遂げており、スマートフォンのロック解除や監視カメラ、決済システムなど日常生活の至る所で応用されています。そんな顔認識技術を使って「侵入者を火炎放射で攻撃する」というかなり過激な自作セキュリティシステムを、エンジニアのマーク・ラディノヴィク氏がムービーで公開しています。 Flamethrower Security System with AI Face Recognition - YouTube 家やPC、スマートフォンは鍵をかけることができますが、例えば家の前にとめている車は常に盗難のリスクにさらされています。 もちろん監視カメラで見張ることも可能で、Amazonでも手頃なものが販売されています。しかし、監視カメラはあくまでも犯罪者を警戒させて盗難を抑止する効果と、犯罪現場を録画して証拠を残すことしかできず、犯罪行為を直接食い止めることはできません。 そこで
「やめるってよ」というか、2019年9月からセキュリティエンジニアをやめてデータサイエンティストになりました。 振り返りとセキュリティ対する成仏の意味を含めたポエムになります。 いままでのキャリア 大手携帯通信会社(非IT業務) ↓ IT系中小企業(情シス→社内セキュリティ担当:SIRT/SOC) ↓ 大手製造業(社内セキュリティ担当→データサイエンティスト) セキュリティエンジニアをやめた理由 一言にセキュリティエンジニアと言っても様々な職種※があります。 私は世間一般的に情報セキュリティ部やCSIRT/SOCのような自社の社内向けセキュリティ業務全般を担当してました。 ※参考 https://www.liber.co.jp/knowhow/careerlab/se/002.html 昔セキュリティエンジニアをめざしたわけ セキュリティエンジニアになりたいと思っていた一番大きな要素は、
オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集を取りまとめました (METI/経済産業省)
経済産業省では、オープンソースソフトウェア(OSS)を利活用するに当たって留意すべきポイントを整理し、そのポイントごとに参考となる取組を実施している企業の事例等をとりまとめた「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」を公開します。 1.背景・趣旨 経済産業省では、令和元年9月5日に産業サイバーセキュリティ研究会ワーキンググループ1 (WG1)分野横断サブワーキンググループの下に、サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース(ソフトウェアタスクフォース)を設置し、適切なソフトウェアの管理手法、脆弱性対応やライセンス対応等について検討を行ってきました。 近年、産業に占めるソフトウェアの重要性は高まっており、産業機械や自動車等の制御にもソフトウェアが利用されるようになっています。また、汎用的なハードウェア上にシステムを構築し
セキュリティインシデント疑似体験調査ワークショップに参加すべき3つの理由 - Techtouch Developers Blog
はじめに こんにちは。最近はテックタッチの同僚とボルダリング同好会のようなものを作ってワイワイしてます!SRE の izzii です。 7月27日、社内の有志を集めて AWS ジャパン主催のセキュリティインシデント疑似体験 調査ワークショップに参加しました。このイベントは、AWS 環境上の典型的なセキュリティインシデントを再現したログを用いて、CTF (Capture The Flag、旗取りゲーム) 形式で AWS のセキュリティで気をつけるべきことを学べるイベントです。 テックタッチからは、izzii (SRE), roki (SRE), canalun (フロントエンド), kacchan (コーポレートセキュリティ) が参加し、その4名で構成されたチーム 「gokigen」 は約40チーム中で3位に入賞することができました!(記事のトップ画像はその時のキャプチャです ※AWS 様に
無料プロキシツール「mitmproxy」を使ってみよう - セットアップ方法とセキュリティエンジニアおすすめの設定 - Flatt Security Blog
※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 はじめに こんにちは、Flatt Securityのstypr(@stereotype32)です。今回はセキュリティ診断などで使われるローカルプロキシツールについて紹介します。 ちなみに、開発者の皆さんが脆弱性の検証を行うにはこれらのツールだけでなくセキュリティ知識が必要ですが、そのためにはFlatt Securityが提供する「KENRO」がおすすめです。Web アプリケーションの代表的な脆弱性10個に関して、脆弱なソースコードを修正するなどのハンズオンを通して学ぶことができます。 ぜひバナーより無料・無期限のトライアルをご利用ください。 さて、セキュリティエンジニアの多くは、WebやモバイルアプリケーションのHTTP/HTTPSトラフィックを確認するするためにBur
LINEギフトおよび提供を終了した弊社ECサービスにおけるデータの取り扱いに関するお知らせとお詫び | LINE Corporation | セキュリティ&プライバシー
LINE株式会社は、2023年10月1日にLINEヤフー株式会社になりました。 LINEヤフー株式会社のコーポレートサイトはこちらです。 当ページに記載されている情報は、2023年9月30日時点の情報です。 このたび、LINEギフトおよび過去に弊社が提供をしていたLINEのECサービス(LINE FLASH SALE・アカウントコマース等)にて、不適切なデータの取り扱いがあったことを確認いたしました。 本件の概要について、下記のとおりご報告いたしますとともに、ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。 なお、該当データには住所・電話番号・メールアドレスや、銀行口座・クレジットカード番号などは含まれておりません。また、2023年4月17日時点で情報の不正利用などの二次被害の発生は確認されておりません。 1. LINEギフトユーザー利用
Microsoftセキュリティチーム、「Azure」で仮想マシンを保護するためのベストプラクティスを紹介
Microsoftのセキュリティインシデントレスポンスチームは2020年10月7日(米国時間)、クラウドセキュリティに関するベストプラクティスを紹介した。 Microsoftの検知/対応チーム(DART)とカスタマーサービスサポート(CSS)のセキュリティチームはユーザーのインシデントを調査する際、インターネットから攻撃を受けた仮想マシン(VM)を目にすることが多いのだという。 クラウドセキュリティの責任共有モデルでは、クラウドプロバイダーとユーザーがどのレイヤーに責任を持つのか理解しておく必要がある。 今回のベストプラクティスでは、クラウドプロバイダーと顧客の責任共有モデルが適用される対象の1つとしてVMを取り上げ、「Microsoft Azure」でVMを含むワークロードを保護するための7つの手法を紹介した。 (1)Azure DefenderのAzureセキュリティスコアをガイドとし
AWS知見共有会でTerraformのCI/CDパイプラインのセキュリティ等について発表してきました + GitHub新機能Push rulesについて - LayerX エンジニアブログ
先日2024/04/16にタイミーさんのオフィスで開催された、AWS知見共有会というイベントで発表してきました。この会のテーマは「運用のスケーラビリティとセキュリティ」ということで、私は「コンパウンドスタートアップのためのスケーラブルでセキュアなInfrastructure as Codeパイプラインを考える」というタイトルで発表してきています。 イベントの動画もあります。 私の発表は 1:43 ぐらいからです。 この発表については資料と動画を見ていただければ!という感じで特に付け加えることもなかったのですが、イベントの開催後にGitHubから発表された新機能Push rulesがとても便利で、新たなベストプラクティスとなるインパクトがあると思ったので、この記事で紹介します。 Push rulesとは つい昨日発表された機能で、現在はpublic betaという状態です。なので、仕様変更と
クレジットカード決済基盤を提供するメタップスペイメント(東京都港区)で、セキュリティコードを含むカード情報が流出した可能性のある問題に関して、ネットで「保存してはいけないはずのデータを保存していたのか?」との疑問が挙がっている。流出の経緯についてメタップスペイメントに聞いた。 クレジットカード業界向けの情報セキュリティ基準「PCI DSS」では、セキュリティコードを含む「機密認証データ」について、カードの承認処理後は暗号化していても保存してはならないと定められている。 メタップスペイメントでは「承認処理の際、データベースにセキュリティコードを短期間保持していた」という。攻撃者は、システム侵入時の直前に決済で使われた暗号化されたセキュリティコードを取得できる状態にあったとみられる。メタップスペイメントによれば、保持期間は非公開だが「長期間保存していた事実はない」としている。 今回の不正アクセ
「ドコモ口座」不正利用、新たな犯罪を許す銀行のセキュリティの大問題
News&Analysis 刻々と動く、国内外の経済動向・業界情報・政治や時事など、注目のテーマを徹底取材し、独自に分析。内外のネットワークを駆使し、「今」を伝えるニュース&解説コーナー。 バックナンバー一覧 NTTドコモの個人向け送金・決済サービス「ドコモ口座」※1を悪用した、銀行口座の不正出金問題が注目を集めている。NTTドコモは2020年8月8日までに両銀行を含む3金融機関の新規登録を停止。その後、同様の懸念があるとして14金融機関の登録を停止した。事件の全貌についてはまだ明らかになっていない点も多い。 しかし、筆者が被害者に取材して判明した事実から推察すると、今回の事件は「ネット口振」を活用した、新たなタイプの犯罪と言えそうだ。そして、その背景には、銀行がセキュリティ対策をその場しのぎで実装し続けてきたことで、実効性自体が失われていたという、日本全体の問題が透けて見える。(連続起業
みんなで使おうサイバーセキュリティ・ポータルサイト
【書評】「コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術」 | DevelopersIO
セキュリティに限定せず、「コンテナとは何か」から詳細に説明しています。コンテナやセキュリティの深淵に触れてみたい方にお勧めの、遅効性の良書という印象です。 コーヒーが好きな emi です。 コンテナを使ったアーキテクチャは引き合いも多く、私も常々しっかり学ばねばならないと思っていました。そんな折、以下のイベントでコンテナセキュリティに関する内容で登壇をすることになりました。 コンテナセキュリティについて学ぶため「コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術」を読みましたので、本記事では本書の概要と感想を記載します。 書籍情報 書籍タイトル : コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術 著者 : Liz Rice(著)、株式会社スリーシェイク(監修)、水元 恭平、生賀 一輝、戸澤 涼、元内 柊也(訳) 出版社 : インプレス 出版日
LIFULL に新卒入社し、もうすぐ4年目になるヒラノです。 普段はセキュリティエンジニアとして、セキュリティ/テスト自動化に関する推進、支援などを中心に取り組んでいます。 15日目の記事 では Dastardly を GitHub 上で動かしていましたが、今回はローカル(WSL2)上で動かしてみようと思います。 What is Dastardly? Dastardly は、無料で利用できる CI/CD パイプライン用の Web アプリケーションセキュリティ診断ツールです。 開発元は Burp Suite でおなじみの PortSwigger で、重要な7つの脆弱性に関して10分以内で見つけることができます。 Cross-site scripting (XSS) (reflected) Cross-origin resource sharing (CORS) issues Vulnerab
DP部 マきむら です。 私は裏垢特定というものをやったことがありませんが、 今回は裏垢特定について考察し、防御方法を提案します。 ※注意※ 弊社では以下の本記事のような卑劣で最低な下衆極まりない 裏垢特定 行為は一切行っておりません。 採用活動における裏垢特定 巷では就活生のSNSの裏垢を特定するサービスがあるという。 では、筆者なりにやるとしたらと仮定しての手法を考えてみました。9999999%想像です。 もっといい方法あるよ、うちではこんな方法でやってるよというご意見があれば是非教えてください。 条件 エントリーシートが手元にあること 考えられる手法 メールアドレスがtwitterIdと同一のものがあるか調べる 疑わしいIDが存在した場合、パスワードリセット画面に遷移し、メールアドレスの最初の2文字とドメインの文字数が一致してるか、もしくは電話番号の下2桁が一致しているか。 ダークウ
日本語話者のセキュリティエンジニアによる利用を想定。特にユーザー企業や官公庁で働く実務担当者を意識して制作したという。 企業の経営層と現場担当者をつなぐセキュリティ人材の育成を目的とする「中核人材育成プログラム」の一環。IPAによれば、世界中の情報を利用するには英語のリーディング力が不可欠な一方、日本のセキュリティエンジニアの多くは英語に苦手意識を持っているという。これにより、的確な情報活用ができていない現状にあることから、教材の公開に至った。 関連記事 サイボウズ、エンジニア向け新人研修の資料を公開 セキュリティやモバイルアプリ開発の基礎を解説 サイボウズが、ITエンジニア向けの研修資料を自社ブログで公開した。同社が5月9日から20日にかけて実施した新入社員向け研修で使った資料の一部で、モバイルアプリ開発やセキュリティなどの基礎を解説している。 2021年、企業が無償公開した新人エンジニ
無名のセキュリティエンジニアがたった2本のブログ記事からSoftware Designで連載をすることになった (技術編) - NFLabs. エンジニアブログ
tl;dr 前半をサイバー脅威インテリジェンスの理論、後半をハンズオンの形式で全6回の連載をしてきました 連載は現実のインテリジェンス業務をなるべく反映させたものであり、戦術脅威インテリジェンスがアウトプットの中心になります 実態のよくわからないバズワードに飛びつかず、企業は自組織の体制と世の中の脅威を正しく理解するところからはじめましょう はじめに 本稿は前回の記事「無名のセキュリティエンジニアがたった2本のブログ記事からSoftware Designで連載をすることになった (非技術編)」の技術的内容部分を抜き出したものです。未読の方は先にそちらの記事を参考にしていただいた方が、内容を理解しやすいと思います。 blog.nflabs.jp 前回に引き続き @strinsert1Na です。事業推進部の Defensive チームで脅威インテリジェンスの生成やソフトウェアの開発をしていま
Web会議サービス「Zoom」のmacOS版アプリのインストールプロセスで、ユーザーが許可しなくてもインストールが始まるようになっているのはマルウェア的だと米セキュリティ企業VMRayのテクニカルリードを務めるフェリックス・シール氏が自身のTwitterアカウントで指摘した。 これに対し、Zoomのエリック・ユアンCEOは、MacからWeb会議に参加するのは簡単ではないので、参加するまでに必要なクリック数を減らすためにこの方法を採用したが、指摘はもっともなので改善するとリプライした。 ユーザーがMacからWeb会議に参加しようとすると、PKG形式のZoomアプリのインストールを求められる。一般的なアプリの場合、インストール開始までに複数のステップがあるが、Zoomの場合はそうした手順はなく、macOSで通常は行われるユーザーへの警告も表示せずに「pre-requirement」スクリプトを
技術部セキュリティグループの水谷 ( @m_mizutani ) です。ここしばらくはフルリモートワーク体制になったので運動不足解消のためウォーキングをしたり筋トレしていたら、リモートワーク前より健康になった疑惑があります。 クックパッドのセキュリティチームでは日々のセキュリティ監視を効率化するため、独自のフレームワークを構築して利用しています。具体的には、セキュリティアラートが発生した際に自動的に様々なデータソースから関連情報を収集し、収集した情報をもとにアラートのリスクを評価、そして評価結果をもとに自動対応をするという一連のワークフローを実現するフレームワーク DeepAlert をAWS上にサーバーレスで構築しました。この記事では、このフレームワークを構築した経緯やアーキテクチャ、仕組みについて解説します。 セキュリティアラートの対応 ここでは、セキュリティ侵害が発生している可能性が
昨日の完成したぞエントリーに続き、『AWSの薄い本 アカウントセキュリティのベーシック』関連のエントリーです。 私は今まで、あまりセキュリティって好きな分野では無かったです。もちろん必要性は解っていて、その対策等をいろいろ考えてはいたのですが、どこか自分の仕事じゃないなぁと思っていた部分があります。今回、AWSのアカウントセキュリティ本を書いて、ようやく腑に落ちました。それをまとめたのが、次のツィートです。 AWSのアカウントセキュリティ本書き終わって、今までセキュリティとか、その周辺の事項が好きじゃなかった。その理由が、ようやく確信に近いものを得た。あの領域の多くが、人間ではなくてコンピュータにやらした方が向いている。今まで解ってなかった— Takuro SASAKI@技術書典-1日目 (@dkfj) 2020年3月23日 24時間365日での自動攻撃。では、防御は? 攻撃者が24時間3
/dev/hardening - Hardening Drivers Conferences 2021 OWASP Evening 2021.08 - Container Security / Privacy by Design
「僕達の新事業のQRコードを読み取ってもらえませんか?」──街中で謎の声かけにあったというツイートが話題を集めている。ツイートをしたのは、VRアーティストのせきぐちあいみさん(@sekiguchiaimi)。せきぐちさんのツイートによると、27日に中目黒駅で見知らぬ男女2人に、前述のように声をかけられたという。 せきぐちさんは「得体の知れないQRを読み込むのは怖いので検索とか出来ますか?」と返事をすると、「それはできない。じゃあ大丈夫です」と言い残し、2人組は去っていったと説明する。 このツイートを見たTwitterユーザーたちからは「怪しすぎる」や「新手の詐欺?」「中目黒以外でも見たことがある」「本当に新規事業ならもう少しやり方を考えたほうがいい」などの声が集まった。 中には「これは、一時期中国で流行した詐欺。レンタルサイクルのQRコードの上に、自分の口座に金を振り込ませるQRコードを貼
技術選定と、組織のかたちと、セキュリティ
技術選定について最近の私生活や労働を通して考えたことを、つらつらと書き下した文章(ポエム)です。 他者に伝えることではなく、頭の中におぼろげに存在する考えを言語化して客観視することを目的に書いた雑記なので、 誰かにとっては当たり前なことも、誰にも当てはまらないことも書いてあるかと思います。 またここで述べることは、こうやって書き下した時点での僕の考えに過ぎないので、明日僕は全く別の考えを持って行動しているかもしれません。 いわばこれは僕の思考のスナップショットです。 諸々、ご容赦ください。 技術選定そのもの ソフトウェアの開発においては、どこからが開発者の作るものの責務であり、どこからがその下のレイヤの責務であるかを(あるときには能動的な思考より、またあるときには受動的な思考により)明確にする、という知的活動を繰り返していくことになります。 この営みは、開発するソフトウェアに関する前提を定
「AWSでのセキュリティ対策全部盛り[初級から中級まで]」をDevelopers.IO 2019 TOKYOで発表しました #cmdevio | DevelopersIO
こんにちは、臼田です。 みなさん、セキュリティは好きですか? 今回は弊社主催のイベント「Developers.IO 2019 TOKYO」にて「AWSでのセキュリティ対策全部盛り[初級から中級まで]」というタイトルで登壇しましたので、その資料を公開します。 資料 補足とか 発表内容への思い 一番言いたいのは、セキュリティはみんなでやるものだから視野を広く持ってもらいたいし、周りを巻き込んで欲しいということです。 一つの目の前の事象に対して対策を頑張るだけでは意味がなくて、仕組みとして解決したり、組織として解決したり(特に運用)とする必要があります。まあセキュリティに限った話ではないですが。 なので、網羅的にいろんなセキュリティをまとめつつ、これまで気にしてなかった事を気にしていただき、少しでも皆さんの組織が前に進んでもらえたらなーと思ってまとめました。 AWSのメッセージについて 最近
![「AWSでのセキュリティ対策全部盛り[初級から中級まで]」をDevelopers.IO 2019 TOKYOで発表しました #cmdevio | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/022ed020b1dde578c99b479fda74fdf91cfb3d8a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F10%2Fdevio2019.jpg)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
WindowsのTCP/IP実装に複数の重大な脆弱性、今月のセキュリティパッチはかならず適用を/ブルースクリーンが引き起こされるサービス拒否(DoS)脆弱性はすぐに攻撃が出回る可能性
DNS over HTTPS (DoH) の動向 - セキュリティは楽しいかね? Part 2
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
情報セキュリティ10大脅威 2023 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
JITをやめてみる ~Microsoft、「Edge」で「めっちゃすげえセキュリティモード」をテスト/標的となっている「V8」の攻撃面を減らし、レンダラープロセスで強力な緩和策を有効化
簡単なwifiハッキング あなたの家は大丈夫? - ラック・セキュリティごった煮ブログ
Site Isolation 及び Web のセキュリティモデルの更新 | blog.jxck.io
女子高生ハッカーによる、攻撃手法から学ぶセキュリティ入門【CV内田真礼】|paizaラーニング
メルカリが Tailscale を使用してリソースアクセスとセキュリティを改善し、VPN をシンプルにした方法
AI搭載イーロン・マスクの肖像画が侵入者を猛火で撃退する超危険なセキュリティシステムが誕生
あいつ、セキュリティエンジニアやめるってよ - 俺より凄いやつしかいない。
「原因が不明」という最大の問題。7payのセキュリティ問題を考察する【鈴木淳也のPay Attention】
セキュリティコードは「短期間保持していた」 メタップス不正アクセス問題の経緯を同社に聞く
NISC | みんなで使おうサイバーセキュリティ・ポータルサイト
セキュリティ診断ツール "Dastardly" を WSL2 上で実行してみた - Qiita
裏垢特定の考察と防御について - ラック・セキュリティごった煮ブログ
セキュリティエンジニア向け英語教材、IPAが無償公開 「セキュリティ英単語集」など
ZoomのMac版、インストール時にマルウェア的な挙動 セキュリティ専門家が指摘
サーバーレスで作るセキュリティアラート自動対応フレームワーク - クックパッド開発者ブログ
AWSのアカウントセキュリティ本を書いて気がついた、これからのセキュリティ対策 - プログラマでありたい
実践コンテナ & Kubernetes セキュリティ
「このQRコードを読み取ってくれないか」──街中での謎の声かけがTwitterで話題 セキュリティ企業も警鐘
AIによるパスワードの解析時間をセキュリティ会社が公開。8桁なら7時間以内に解析完了
【Ubuntu日和】 【第21回】ウイルス対策は必要?rootはなぜ無効?Ubuntuにおけるセキュリティのキホン
