急成長中のスタートアップ企業は、多様なAWSサービスをどう選択・活用し、ビジネス課題を解決しているのでしょうか。本連載では、スタートアップ企業の中でエンジニアリングをリードしている担当者がそのアーキテクチャをひも解き、AWS活用術を紹介していきます。第5回はKyashでSREを担当する上原佑介氏が担当、テーマは「セキュリティ」です。記事の最後には、SAによるポイント解説もあります。(編集部) はじめに 株式会社KyashでSREを担当する上原佑介と申します。新卒でインフラエンジニアとしてサーバー構築・運用を経験したのち、Webサービスの運営企業を数社経て、Kyashへ入社しました。現在はサービス全体の信頼性向上を目指して、システム基盤や運用面の改善に取り組んでいます。 Kyashについて Kyashはスマートフォンアプリと連動するVisaカードです。 コンビニなどから現金をチャージして使え
やっぱりEKSの運用は大変なのか 〜EKSを2年間運用して得た知見とコンテナセキュリティ〜 - DMM inside
Single NodeのDocker Swarmを利用してオンプレミスにデプロイされるGraphQLサーバを安全にローリングアップデートさせている話
AWSが「政府情報システムのためのセキュリティ評価制度(ISMAP)」に登録されました。 | Amazon Web Services
Amazon Web Services ブログ AWSが「政府情報システムのためのセキュリティ評価制度(ISMAP)」に登録されました。 Amazon Web Services(AWS)では、お客様の信頼を得て維持することが継続的な取り組みとなっています。お客様の業界のセキュリティ要件に応じて、コンプライアンスレポート、証明書、認証の範囲とポートフォリオを決定しています。 このたび、AWSは「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 通称、ISMAP(イスマップ))」に登録されましたことをお知らせします(有効期間:2021年3月12日から2022年3月31日まで)。 今回の認証範囲は、AWSのアジアパシフィック(東京)リージョンと、新たに開設されたアジアパシフィ
こんにちわ。Cyber Security Innovation Group(CSIG)の井上です。 部門名の通り、サイバーセキュリティに関する部署で、セキュリティコンサルティングやFutureVuls( https://vuls.biz )という脆弱性対策サービスのコンサルティングやサポートをしています。 初めに春の入門祭り2023 という事で、初めて脆弱性対応をする方に向けた記事を書いてみようと思います。 この時期になると、部門移動等で情報システム部に移動し「何をやっていいのか分からない…」という話も時々聞きます。 今回は、IPAの「mjcheck4」( https://jvndb.jvn.jp/apis/myjvn/mjcheck4.html )というツールを使った、セキュリティ情報の収集についてお話しようと思います。 セキュリティ情報収集とは世の中にはセキュリティ情報はいろいろありま
スタートアップ入社4日目までに考えたAWSのセキュリティ向上/ Startup AWS Security
S3とCloudWatch Logsの見直しから始めるコスト削減 / Cost saving S3 and CloudWatch Logs
サイバーセキュリティ基本法に基づき内閣に設置されるサイバーセキュリティ戦略本部は、令和5年7月4日に「政府機関等のサイバーセキュリティ対策のための統一基準群(以下「統一基準群」)」の令和5年度版を公開した。 統一基準群とは、中央省庁をはじめとする国の行政機関及び独立行政法人等(以下「機関等」)の情報セキュリティのベースラインや、より高い水準の情報セキュリティを確保するための対策事項が規定された複数の文書の総称である。 機関等は、統一基準群に準拠しつつ、自組織の特性を踏まえた基本方針及び対策基準(以下「情報セキュリティポリシー」)を定めなければならず、今回の統一基準群の改定により、令和3年度版の統一基準群に基づき定めていた情報セキュリティポリシーの見直しが必要となる。 これに伴い、機関等へ情報システムやサービスを提供する民間の事業者においても、機関等が見直した情報セキュリティポリシーに基づく
1. CISSPとは CISSP(Certified Information Systems Security Professional)とは、ISC2(International Information Systems Security Certification Consortium)が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認定資格です。 Novell、Deloitte Touche Tohmatsu、大手ヘルスケアサービス企業その他主要企業において、CISSP認定資格の取得が情報セキュリティ関連業務従事者の必須事項とされています。 2004年6月には、米国規格協会(ANSI)よりISO/IEC17024の認証を受け、資格制度の全てのプラクティスがグローバルに認められ、 認定資格試験としての信頼度がより高くなりました。 CISSP認定資格は、情報セキュリ
Terraformのセキュリティ静的解析 tfsec の導入から始めるAWSセキュリティプラクティス - BASEプロダクトチームブログ
こんにちは。BASE BANK 株式会社 Dev Division にて、 Software Developer をしている東口(@hgsgtk)です。 BASE BANK Dev での開発では、クラウドインフラの構成管理に、 Terraform を利用しています。 世の情報をたくさんキュレーションしている CTO の@dmnlkさんに、手軽に CI に組み込めそうなセキュリティチェックツールがあることを教えてもらったので、導入してみました。 CTO氏のキュレーションメディアで紹介された tfsec を早速試して良さそうだったhttps://t.co/bl67dlW2Ub https://t.co/vAkTOVagec— Kazuki Higashiguchi (@hgsgtk) August 21, 2020 このブログの公開日は 2020/10/30 ですので、導入してから約 2 ヶ月
こんにちは。技術部セキュリティグループの水谷(@m_mizutani )です。最近はFGOで一番好きな話がアニメ化され、毎週感涙に咽びながら視聴しています。 TL;DR これまでセキュリティログ検索にGraylogを使っていたが、主に費用対効果の改善のため新しいセキュリティログ検索基盤を検討した 自分たちの要件を整理し、Amazon Athenaを利用した独自のセキュリティログ検索基盤を構築した まだ完全に移行はできていないが対象ログを1ヶ月間分(約7.5TB1)保持してもコストは1/10以下である3万円に収まる見込み はじめに セキュリティグループでは日頃、社内ネットワークやPC環境、クラウドサービスに関連するセキュリティアラートに対応するセキュリティ監視業務を継続しておこなっています。アラートに対応する時に頼りになるのはやはり様々なサービスやシステムのログで、そのアラートに関連したログ
経済産業省、全ECサイトが義務化対象 セキュリティー対策で脆弱性対策と本人認証導入を義務化 | 日本ネット経済新聞|新聞×ウェブでEC&流通のデジタル化をリード
2023.01.24 経済産業省、全ECサイトが義務化対象 セキュリティー対策で脆弱性対策と本人認証導入を義務化 経済産業省は1月20日、ECサイトの脆弱性対策と本人認証の仕組みを導入することを義務化する方針を固めた。2024年3月末までに、全てのECサイトが脆弱性対策と本人認証を導入することを、検討会の報告書案に盛り込んでいる。 ECサイトと本人認証の仕組みの導入の義務化は、「クレジットカード決済システムのセキュリティ対策強化検討会」の第6回会合で提出された報告書案に盛り込まれた。 報告書案では、クレジットカード番号の不正利用被害が増え続ける問題を背景に、「ECサイトからクレジットカード情報が漏洩することへの対策」「漏洩したクレジットカード情報が不正に使われることへの対策」の2点を盛り込んだ。 具体的には、「クレジットカード番号等の適切管理義務の水準を引き上げるべく、サイト自体の脆弱性対
アニメ作品などのコラボカフェを手掛ける井上商事は6月7日、ECサイト「スイーツパラダイス オンラインショップ」で、利用者のクレジットカード情報7645件が漏えいした可能性があると明らかにした。同サイトは2021年12月にカードが不正利用されたとの報告が相次ぎ、半年に渡り閉鎖したままの状態になっている。 情報漏えいの可能性があるのは、21年8月28日から21年12月8日までの期間に同サイトでクレジットカード決済を行った利用者のカード番号、名義人名、有効期限、セキュリティコード7409人分。サイトの脆弱性を突いた不正アクセスにより、決済システムが改ざんされたことが原因という。なお、クレジットカード情報は同社で保有していなかったとしている。 井上商事は21年12月、サイト利用者やカード会社から不正利用の恐れがあるとの連絡を受け、9日にサイトを閉鎖。第三者機関による調査を始めた。調査結果が出た22
セキュリティインシデントと大規模障害を経てClassiは開発組織をどう変化させたのか - Classi開発者ブログ
こんにちは、元テックリード、この10月からVPoT(Vice President of Technology)に就任した、Classiの丸山(id:nkgt_chkonk)です。 前回の記事では、前CTO(現VPoE=Vice President of Engineer)の佐々木が「Classiで発生した2つの問題を繰り返さないために我々が取り組んでいること」というタイトルで、社内体制を変更したことをお伝えしました。 今回はわたしから、組織体制の変更の背景や、現在どのような体制で、どのような課題に取り組んでいるのかをさらに詳しくお伝えしたいと思います。 4月~5月にかけての2つの問題の原因となった「甘え」 前回の記事でお伝えしたとおり、2020年の4月〜5月にかけて、Classiは外部の攻撃者による不正アクセスおよびデータの漏洩という大きなセキュリティインシデントと、アクセス増による大規模
【セキュリティ ニュース】「Emotet」対策でパスワード付きzip添付ファイルのブロックを推奨 - 米政府(1ページ目 / 全3ページ):Security NEXT
2月より一時活動の収束が見られたものの、7月より活動を再開したマルウェア「Emotet」。国内外で被害が拡大しており、米政府機関や米MS-ISACが注意を呼びかけている。 「Emotet」は、感染端末より受信メールなどの情報を窃取。返信に見せかけた偽メールによって受信者を信頼させ、添付ファイルを開かせることで感染を広げている。国内セキュリティ機関も繰り返し注意喚起を行ってきた。 こうした「Emotet」の活動は、国内にとどまるものではなく、海外でも7月から同様の被害が広がっており、米国をはじめ、カナダ、フランス、イタリア、オランダ、ニュージーランドなどで被害が確認されている。 米国土安全保障省のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)によれば、7月以降、米連邦政府、行政機関などを保護する同庁の侵入検知システムにおいて、「Emotet」に関する感染活動として約1万6
こんにちは。株式会社 Flatt Security セキュリティエンジニアの梅内(@Sz4rny)です。 本記事では、主にFirebaseの概要やセキュリティルールを用いた堅牢なCloud Firestore環境の構築について説明します。本記事を読むことで、Firebaseに関する基礎知識やデータベースにおけるセキュリティ上の懸念事項について理解するとともに、セキュリティルールを用いて堅牢なCloud Firestore環境を構築するための初歩を身につけることができるでしょう。 また、Flatt Securityでは開発/運用中のプロダクトにおいて、Firebaseをセキュアに活用できているか診断することも可能です。 Firebase を用いた開発におけるセキュリティ上の懸念事項が気になる場合や、実際に診断について相談したいという場合は、ぜひ下記バナーからお問い合わせください。 Fireb
「コンテナもサーバーレスも、AWSの各レイヤーの最新セキュリティ」というタイトルで登壇しました | DevelopersIO
こんにちは、臼田です。 みなさん、すべてのレイヤーでAWSのセキュリティ対策出来ていますか?(挨拶 今回は先日登壇したAWS コンサルティングパートナーがお伝えする最先端のクラウドセキュリティ対策 – S3のファイルは安全ですか?AWSの設定は安全ですか? –の内容について解説します。 資料 解説 コンセプト AWSにおけるセキュリティ対策も、一般的なセキュリティ対策と同じように様々なレイヤーで実施していく必要があります。 最近トレンドマイクロさんのAWS上で利用できる製品群がたくさんリリースされ、昔からよく使われているDeep Security + EC2以外にも様々なレイヤーで活用できるようになりました。 このセミナーでは特に私がめっちゃ押したいS3のファイルをマルウェアスキャンするFile Storage Security(FSS)とAWS環境のセキュリティチェックをするConfor
ウェブサイトの認証に用いられるパスワード認証は、パスワードの漏えいに対して脆弱(ぜいじゃく)であるため、物理キーなどを用いた2段階認証を導入するウェブサイトが増加しています。Googleの「Titan セキュリティ キー」は、Googleの2段階認証で利用できる物理キーのひとつで、FIDOによる生体認証に対応しているのが特徴。そんなTitan セキュリティ キーについて、セキュリティ調査機関のNinjaLabがサイドチャネル攻撃に成功したと報告しています。 A Side Journey to Titan - NinjaLab https://ninjalab.io/a-side-journey-to-titan/ A Side Journey to Titan (PDFファイル)https://ninjalab.io/wp-content/uploads/2021/01/a_side_jo
Clubhouseを支えている技術とアーキテクチャ、セキュリティについて - LayerX Research
#LayerX_Newsletter 2021-02-19 TL;DR Clubhouseは極めてシンプルなアーキテクチャ 音声データはAgoraを、リアルタイム性の高い情報の扱い(ルームの中など)はPubNubを利用 音声データが暗号化されていないなどセキュリティ面での課題も多い Clubhouseは招待制の音声配信SNSで、2020年Aplha Exploration社が開発したこのサービスは、つながりがある人同士でラジオ放送のように自由に会話を楽しんだり、興味ある人はその会話を傍聴、さらには会話に飛び入り参加もできる特徴がある。2021年に入り世代・国籍・性別を問わず爆発的人気となっており、日本では2021年1月からスタートアップ界隈を中心に一気に話題が広がっている。また、テスラの創業者や有名人・著名人などが利用しはじめたことで大きな注目を浴びた。今回はClubhouseはどのような
元Webデザイナーのセキュリティエンジニアが警告する、CSSインジェクションの脅威 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
※この座談会は緊急事態宣言以前に実施しました。 イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共に、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第11回をお送りします。 川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO、Interop、各都道府県警のサイバーテロ対策協議会などで講演、安全なITネットワークの実現を目指してセキュリティ演習なども提供しています。 イエラエ顧問として、「川口洋の座談会シリーズ」を2019年に開始。サイバーセキュリティを巡る様々な話題を、社内外のゲスト達と共に論じ語ってきました(川口洋の座談会シリーズ)。 今回ゲストとして登場するのは、イエラエセキュリティのペネトレーション課に所属する馬場将次。Webデザイナーとしての経験から、Webに関するセキュリティへの鋭い視点を持つ馬場。
私がサーバレスに全面移行した理由はセキュリティです。セキュリティパッチも当てず放置してしまっていました。 本記事は「サーバを一度構築したら、正常にレスポンスがあるうちは放置する」ような運用をしている方に向けた記事です。 私は学生時代に、「パーツあげるからサーバつくって運用してみなよ!!」と仲のよかった教授がいってくれたことでサーバ構築をはじめました。CentOS入れて、Apache入れて、よくわからないけどiptablesをoffにしたらすごい公開できた!!という体験はとてもよかったです。 その後、アプリをつくるようになって、レンタルサーバではスペックが足りなくなったので、お名前ドットコムでVPSを借りて、AWSが登場したら「すごい!構築したインスタンスをそのままスケールアップできる!!」と勢いのままEC2に移りました。Ansibleで構築自動化のレシピをつくって構築して、運用という名の
<script nonce="xxxxx" id="initial-data" type="text/plain" data-json="${preloadedState}" ></script> このpreloadedStateはエスケープ処理が必要なので注意してください。 クライアント側の読み込み方 const initialData = JSON.parse( document.getElementById("initial-data")!.getAttribute("data-json")!, ); const { store } = configureStore(initialData); https://github.com/hiroppy/ssr-sample/blob/master/src/client/index.tsx#L21-L22 useEffect SSR では、
先日日本語訳版が発表されたばかりの OWASPアプリケーション検証標準 バージョン4(以下ASVS v4)を用いて、 Webアプリケーションセキュリティの評価をサービスに対して実施した感想などについて記載します。 ASVS v4は非常に包括的なWebアプリケーションセキュリティの評価ガイドラインです。 それこそ「エンジニア研修でまず最初に読もう!」と推進したくなるほど多角的に記載がされています。 どのぐらい包括的であるかについてですが、開発体制・ログ・認証・ログインフォームの設計・総当たりに対するアカウントロックの時間・GraphQLにおけるセキュリティなど、とにかく盛りだくさんな記載がされています。 すべてのエンジニアにとって必読の ASVS v4 こんにちは、佐分基泰と申します。 16年の新卒として入社し、サーバサイド -> 脆弱性診断士を経て、 現在はOSS Libraryセキュリテ
Emotet(エモテット)関連情報 Emotet(エモテット)の概要 Emotetとは、メールアカウントやメールデータなどの情報窃取に加え、更に他のウイルスへの二次感染のために悪用されるウイルスです。このウイルスは、不正なメール(攻撃メール)に添付される不正なファイルなどから、感染の拡大が試みられます。 Emotetへの感染を狙う攻撃の中には、正規のメールへの返信を装う手口が使われる場合があります。この手口では、攻撃対象者(攻撃メールの受信者)が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容などの一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールが使われます。そのため、攻撃メールの受信者が、知った人物から送られてきたメールと勘違いして添付された不正なファイルを開いてしまい、Emotetに感染してしまう可能性も考えられま
情報セキュリティ10大脅威 2022 64ページ(PDF:5.2 MB) 本資料は、2月28日に公開した「情報セキュリティ10大脅威 2022」解説書 [個人編] に組織編とコラムを追加し、再編集したものです。 情報セキュリティ10大脅威 2022 知っておきたい用語や仕組み 24ページ(PDF:2.1 MB) 情報セキュリティ10大脅威の活用法 18ページ(PDF:2.9 MB) 本資料は、2020年に公開した「情報セキュリティ10大脅威 2020」解説書の「3章. 情報セキュリティ10 大脅威の活用法」を、「情報セキュリティ10大脅威 2022」向けに再編集したものです。 「情報セキュリティ10大脅威 2022」簡易説明資料(スライド形式) 情報セキュリティ10大脅威 2022 [組織編] 78ページ(PDF:3.1 MB) 情報セキュリティ10大脅威 2022 [個人編] 79ページ
超天才プログラマーが見つけた「法律のセキュリティホール」を超天才法科大学院生が超デバッグしてみた - ゴミログ
みんなおはエコ!超天才法科大学院生ことゴミクルーン(@DustCroon)です。 どうして超天才かというと、入試前日にブログを書きながら早稲田に一発合格したり、大学の1年前期をGPA0.38からスタートして4年で卒業したり、借りてたアパートの大家とバトって敷金全額取り返したり、専門外の分野で懸賞論文書いて賞を受賞したからです。その気になれば円周率も1億桁くらい覚えられると思います。 ところで、今日はこんな興味深いツイートを見つけました。 話題の超天才プログラマーの人、 "規則の矛盾を突くのが趣味"というとんでもない人で 「法律を読む限りでは、運転免許は人間に限らず、法人でも取得できるはずだよね?んじゃ申請するわ。認めない場合は法的根拠を示せ」と役所へ問い合わせたことがあるhttps://t.co/zxWCYVlzhV pic.twitter.com/WXrEY7Brct — tetsu (
さて、米国連邦政府のクラウド戦略についてのレポートその2である。その1はこちらを参照。その1を読んでいなくても支障はないが、歴史的な話をしているので先に読んでいただくと理解が捗ると思う。 前回は、どちらかというと連邦政府の取り組みがうまくいかなかった、というトーンで話をしたが、公平を期して言うならば、成功している部分もあるし、うまくいかなくても諦めず粘り強く進行している取り組みもある。こういうとき米国人というのは強くて、失敗を教訓にどんどん再トライを繰りかえし、大きなブレイクスルーに繋げてしまう。 本稿では、そのようなダイナミズムを持った取り組みとして連邦政府のクラウドセキュリティ戦略を取り上げたいと思う。今後日本政府がクラウドシフトを進めていくうえでの参考にもなれば幸いである。 連邦政府のクラウドセキュリティ政策は、大きく三つの柱から成り立っている。一つ目が「FedRAMP」と呼ばれるク
認証しないWeb認証 限定公開URLのセキュリティについて考える 2020/8/7 API Meetup Online #3- フューチャー株式会社 渋川よしき
この記事の目的 課題: Webサービスの各機能の仕様に関するセキュリティ情報があまりない Webサービスを設計するにあたり、よくある機能というのが存在するかと思います。 ユーザ登録 ログイン・ログアウト パスワード復旧 URLで共有 SNSログイン お気に入り登録 いいねボタン マイページ 通知 等・・・ これらに関して、自分の認識をまとめておきたい・意見をもらってブラッシュアップしたいと思い、記事を書きます。 大きい記事たくさん書くの大変なので、機能ごとに書こうかな・・・と思ってますが一つを育てていくかもしれないです。 前書いた記事が個人的には好評だったことも受けて、書いています。 ユーザ登録機能の仕様とセキュリティ toC向けサービスならかなりの割合で存在する機能です。よくある仕様パターンについて考えてみます。 この機能でユーザから取得するもの 認証情報(ID/パスワード) 連絡手段
コンテナセキュリティについてなんとなく不安を感じている方に向けた、ドキュメントと無料ツールの紹介です! 「コンテナセキュリティってなんか必要そうやねんけど、実際なにすんの?」 先日、我らがDevelopers.IO Cafeにおいて、クリエーションライン株式会社 (CREATIONLINE, INC.)様と共催で、以下のイベントを開催しました。 あなたのコンテナ運用大丈夫?コンテナセキュリティの考え方と対応策 - connpass 全部で3セッションで構成されているのですが、私の方では、「コンテナセキュリティ関連OSSの紹介」と題して、コンテナセキュリティこれから検討始めようという方に向けて、そのとっかかりに有用なドキュメントと無料ツールを紹介させていただきました。 ドキュメントもツールもどれも有用なものなので、コンテナセキュリティについて不安や必要性を感じている人は、これらの中から実際に
経営層の理解を得られず、セキュリティ予算が増やせない──中小情シスにあるあるの悩み。解決に必要なテクニックは。 苛烈さを増すサイバー攻撃。企業の規模や事業内容を問わず、日々さまざまなインシデントが報じられている。一方で、攻撃に立ち向かう企業の体制はまちまちだ。情報セキュリティ企業のNRIセキュアテクノロジーズが日本・米国・オーストラリアの約3000社を対象に実施した調査によれば、日本企業の6割強が「セキュリティ予算はIT予算の1割」と回答。米国・オーストラリアに比べて予算が少ない状況が明らかになったという。 特に、セキュリティに注力する余裕のない中小企業ではこの傾向が顕著だろう。同社のホワイトペーパー「経営層を説得するセキュリティ予算獲得術」を基に講演などを行う瀬戸達也さん(DXセキュリティプラットフォーム事業本部 GRCプラットフォーム部 シニアセキュリティコンサルタント)も「中小企業は
サイバーセキュリティ人材はなぜ不足しているのか。企業は素養がある人材をどのように見極めて、獲得に向けて何をすればいいのか。徳丸 浩氏がこの難問に答えた。 サイバーセキュリティ人材の不足が叫ばれるようになって久しい。有名企業がランサムウェア被害に遭ったことで、多くの企業がこれを現実的な脅威と実感して対策に乗り出すようになった。その結果、サイバーセキュリティ人材の需要が大きくなる半面、これに供給が追い付いていないという事態が生まれている。 ISC2の調査によると、日本におけるサイバーセキュリティ人材は48万1000人で2022年比23.8%増となっているが、求められる人材数は59万1000人(2022年比33%増)であり、需要と供給の間にはまだまだギャップがある。 ではこのようにサイバーセキュリティ人材が不足している要因や背景には何があり、企業がサイバーセキュリティ人材を獲得するためにはどうす
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。メッセージング技術領域における第11代黒帯(ヤフーでのスキル任命制度)の中村成陽と申します。エンジニアとしてYahoo!メールを担当しております。 今回の記事では、メールの比較的新しい認証規格である BIMI についてのご紹介、そしてその BIMI を Yahoo! JAPAN が導入することになりましたので、それまでの過程や実際の対応内容などについてご説明します。さらに、BIMI における今後の展望に関しても触れられればと思います。 フィッシングメール対策として、Yahoo! JAPANから配信するメールにアイコンが表示される規格「BIMI」を導入(プレスリリース) BIMI とは? BIMI (Brand Indi
セキュリティエンジニアへの道:私のキャリアチェンジ物語 / The Road to Becoming a Security Engineer: My Story of Career Change | メルカリエンジニアリング
セキュリティエンジニアへの道:私のキャリアチェンジ物語 / The Road to Becoming a Security Engineer: My Story of Career Change * English version follows after the Japanese こんにちは。メルカリのProduct Securityチームでセキュリティエンジニアをしている@gloriaです。ブログを書くのが随分お久しぶりなのですが、前にQAと自動化テストについて記事をフォローしていた方がいらっしゃったら、当時に自動化テストエンジニアとして書いたISTQBテスト自動化エンジニア認定資格、STARWESTカンファレンス、とAQA POP TALKの記事を読んだことがあるかもしれません。 今回は、自動化テストエンジニアからセキュリティエンジニアへのキャリアチェンジについてお話して、キャリア
ブラウザでネットサーフィンをしていると「このウェブサイトは安全でない可能性があります」といった警告を目にした経験がある人は多いはず。警告が表示される原因のひとつに「信頼されていない証明書をウェブサイトが利用している」ことがありますが、どの証明書を信頼するかはプラットフォームやデバイスによってまちまちです。Windows向けフリーソフトの「RootIQ」を使うと、手軽に信頼する証明書を減らして、デフォルトで非常に多くの証明書を信頼しているWindowsのセキュリティを向上させられます。 RootIQ https://www.metasudo.com/ You don't need all those root certificates – – Writeups and random thoughts. https://hexatomium.github.io/2020/10/17/001.h
あけましておめでとうございます。 今年も細々とながら発信を続けていこうと思いますので、どうかよろしくお願いします。 今回はセキュリティ情報 (公開情報) の集め方について、私がどのようにしているのかご紹介します。 これがベストというわけではなく、このとおりやればいいというわけでもなく、あくまでひとつのケースとしてお考えください。 ※「誰それをフォローするといいよ!」といった個別具体的な情報源の紹介はしません。 最後にご紹介する他のリサーチャの方の中には情報源のリストを公開されている方もいらっしゃるので、ニーズに合いそうならそれらの情報源を利用されるとよいと思います。 なぜ情報収集をするのか どんな情報を集めるか 具体的な情報収集の方法について RSS リーダー Inoreader RSS を配信していないサイトの対策 Twitter TweetDeck 英語について 情報収集の注意点 他の
医療機関でのサイバーセキュリティ対策が義務化~急増する被害の現状と実施すべき対応策とは~|医師のキャリア情報サイト【エピロギ】
昨今、サイバー攻撃の被害が増加していて、中でも医療機関をターゲットとした被害事例が相次いでいます。医療機関がサイバー攻撃を受けた場合、診療の一時停止や患者情報の漏洩など、医療機関の経営はもちろんのこと、地域医療にも大きな影響が及びます。 こうした事態を受け、2023年4月1日、医療法施行規則改正により医療機関や助産所の管理者に対してサイバーセキュリティ確保(対策)が義務化されました。これに対応して、「医療情報システムの安全管理に関するガイドライン」も更新されました。ここでは改めてサイバー攻撃の現状を整理し、医療機関と医師個人が取るべき対策を確認します。 1.身代金を要求するランサムウェアの被害が急増 近年、電子カルテや診療予約システムなど医療機関におけるIT化が進められています。医療機関のIT化は、多職種間での情報共有や医療の効率化、質の向上に大きく役立つ一方で、セキュリティ上のリスクも高
こんにちは!エンタメ領域のDXを推進するブロックチェーンスタートアップ、Gaudiyでエンジニアをしている土居(@taro_engineer)です。 最近はバックエンドからインフラ周りを担当していますが、今回は「ゼロトラスト」の考えをベースにしたセキュリティの構築をテーマに書いてみたいと思います。 ゼロトラストの定義やセキュリティに関する説明は難しい部分もあるので、正直このテーマで書くべきか僕自身も悩みました(笑)。 ただ、今回導入を検討するにあたり、ネットを調べてもほとんど実例が見当たらなかったので、僕らが調べたことや考えたことがどなたかのご参考になれば嬉しいです。 1. Gaudiyのマイクロサービスアーキテクチャ 2. セキュリティを「今」考えるべき理由 3. ゼロトラストとGaudiyでの採用背景 3-1. ゼロトラストとは? 3-2. BeyondCorpとBeyondProd
総関西サイバーセキュリティLT大会(第38回)の LT 資料です。 参考となる情報にはPDF中からリンクをしていますが、資料中のリンクは Speaker Deck 上ではクリックできないので PDF をダウンロードしてご覧ください。
Macのセキュリティシステム、実はかなり強固だった...!2022.09.28 21:0022,584 David Nield :Gizomodo US [原文] ( Mme.Valentin/Word Connection JAPAN ) 見えないところでしっかり保護 macOSはコンピュータとデータをマルウエアの危険から守ることに定評があります。ですが、Windowsに標準搭載されている「Windowsセキュリティ」のような、目に見えるウイルス対策ツールがmacOSにあるわけではありません。しかし目立たないだけで、macOSにもウイルス対策ツールやセキュリティツールは搭載されています。 たとえば、XProtect(エクスプロテクト)がその一例。ドックにも、ランチャーにも、Spotlightで検索しても表示されませんが、Mac内には存在しています。XProtectは、YARAというパター
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
カード業界の厳しいセキュリティと開発スピードをどう両立? Kyashに学ぶAWS活用
セキュリティソフト「ESET」シリーズに複数の脆弱性 ~モジュールの更新で対策【10月27日追記】/サポート終了の旧製品は後継バージョンへの移行を
初めてのセキュリティ情報収集(mjckeck4) | フューチャー技術ブログ
【解説】政府機関等のサイバーセキュリティ対策のための統一基準群|令和5年度版の改定ポイント
【セキュリティ資格】CISSP合格体験記_202310_トレーニング有 - Qiita
Amazon Athena を使ったセキュリティログ検索基盤の構築 - クックパッド開発者ブログ
スイパラ、セキュリティコードなどクレカ情報一式7000件以上漏えいか 不正アクセスで決済システム改ざん
Firebaseにおけるセキュリティの概要と実践 - Flatt Security Blog
Googleの物理キー「Titan セキュリティ キー」がサイドチャネル攻撃により突破される
私がサーバレスに全面移行した理由はセキュリティです。セキュリティパッチも当てず放置してしまっていました。
SPA + SSR + PWA の作り方とセキュリティについて - hiroppy's site
今一番アツいWebセキュリティガイドラインOWASP ASVS v4でリスク評価した話
Emotet(エモテット)関連情報 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報セキュリティ10大脅威 2022 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
米国連邦政府におけるクラウド戦略 - クラウドセキュリティをどう担保するか|ミック
認証しないWeb認証 限定公開URLのセキュリティについて考える 公開版
Webサービスによくある各機能の仕様とセキュリティ観点(ユーザ登録機能) - Qiita
コンテナセキュリティを始めるための無料ツール5つとドキュメント3つの紹介 | DevelopersIO
中小情シスに捧ぐ「セキュリティに理解がない上層部」説得のいろは 予算獲得の勘所
徳丸 浩氏に聞いてみた 「なぜサイバーセキュリティ人材は足りないの?」
Yahoo! JAPAN がメールセキュリティ「BIMI」を導入するまでのお話
無料でWindowsの多すぎるルート証明書をスリム化してセキュリティを高められる「RootIQ」レビュー
セキュリティ情報の集め方 ~しなもんの場合~ - 午前7時のしなもんぶろぐ
ゼロトラストをベースにセキュリティを考えてみた - Gaudiy Tech Blog
Linux コンテナのリブートとセキュリティ / SosaiLT 38th
Macのセキュリティシステム、実はかなり強固だった...!
Google Password Manager のパスキーのセキュリティ