SQL • リレーショナルデータベースシステムと会話するための言語 • 1970年 Codd が RDB モデルと同時に提案 (Alpha言語) • 1974年 Chamberlin と Boyce が改良 • 元々は SEQUEL (Structured English Query Language) だったが、商標登録されていた • 読み方は エスキューエル とそのまま読む (Glliespie 2012)
SQL滅ぶべし | ドクセル
SQL • リレーショナルデータベースシステムと会話するための言語 • 1970年 Codd が RDB モデルと同時に提案 (Alpha言語) • 1974年 Chamberlin と Boyce が改良 • 元々は SEQUEL (Structured English Query Language) だったが、商標登録されていた • 読み方は エスキューエル とそのまま読む (Glliespie 2012)
PythonとGoogle Cloud, Spreadsheetで「自分のためのスポーツ観戦DX」をプロダクト化して実現した話. - Lean Baseball
プログラミングとプロダクト作りは楽しいよ, っていう「個人開発ネタ」の話です. スポーツ観戦, 具体的には野球のデータ分析DX(Digital transformation)*1を実現しました. 記事の前半はプロダクト企画とアーキテクチャ, 後半はDash(Python)を使ったマルチページ・データ・アプリケーション開発の話となります. TL;DR SpreadsheetとPythonのアプリケーションでいつでもメジャーリーガー(全選手)のパフォーマンスを好きな条件で可視化できるようにしたら野球が面白くなりました. https://example.com/batter/ohtani-shohei/2024-03-20/2024-04-28?cache=false みたいなURLを開くと, オオタニサンのパフォーマンス(現地時間2024/4/28までの数字) 以下の成績をいい感じにグラフ・可
はじめに 株式会社QualiArtsで「IDOLY PRIDE(以降、アイプラ)」のバックエンドエンジニアチームのリーダーをしている末吉です。 主にゲームAPIの開発やインフラの運用、チームメンバーの進捗管理や開発スケジュールの策定等を担当しています。 課金アイテムを取り扱ってるiOSアプリの場合、返金が発生することがあります。こちらはユーザー側でAppStoreに返金の申請を行うなど、様々な要因で発生します。 こちらの返金を検知をするためには、AppStoreでの仕様に合わせたシステムをプロダクト側で構築する必要があります。 そこで、本記事ではタイトルの通りGoを使用したAppStoreの返金検知システムについて紹介します。 前提として、本記事は2024年4月現在の仕様に基づいているため、今後プラットフォーム側の仕様が変更になる可能性がある点については注意してください。 全体の流れ まず
こんにちは。 STORES 決済 でAndroidアプリエンジニアをしている Yamaton です。 早いもので、4月ももうすぐ終わりを迎えます。新社会人の皆さん、もう少しで待ちに待ったゴールデンウィークですね! さて、今日は、この時期に先輩社員が頭を悩ませている「目標設定」について、「そもそも目標設定って何なの」から、陥りがちな落とし穴と回避方法まで紹介します。 なんで目標設定で頭を悩ませてるの? やり方は企業によって異なりますが、通常、1年を半分から1/4に区切って、その期間内に達成したい目標を設定し、それを達成できるよう進めることが一般的です。 半年を1期間とする企業では、4月がおおよそ 中間 ふりかえりの時期となります。周囲の先輩社員も、1月に目標を立て、日々の業務と両立しながら目標達成に向けて進んできたはずです。 しかし、4月になって振り返ると、目標達成に必要なステップがまだ残っ
見落としがちなURL正規化によるパストラバーサル | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
高度解析部アプリケーションセキュリティ課の金子です。 パストラバーサル(またはディレクトリトラバーサル)はXSSやSQLインジェクションに並んでWebアプリケーションに対する代表的な攻撃手法のひとつです。本記事では、パストラバーサルの中でもURL正規化によるパストラバーサルに焦点を当てて攻撃の発生原理やよくある事例について解説します。関連して、PHP向けのAWS SDKで発見したS3バケットに対するパストラバーサルの脆弱性CVE-2023-51651についても紹介します。 2種類のパストラバーサル パストラバーサルは../のような文字列を含んだ文字列の正規化処理(normalization)を悪用して、アプリケーションが予期しない"領域"に対してアクセスを行う攻撃です。正規化処理を行う対象によって分類することが可能で、次の2種類のパストラバーサルが代表的です: ファイルシステムに対するパス
はじめに みなさん様々な言語でAPIサーバーを立てて負荷試験を実施したことはありますか。 私自身、業務でPythonのアプリケーションに対して負荷試験を実施した経験があります。 その際にPythonの速度観点の不安定さを目の当たりにしたと同時に、別の言語ではどのような違いが生まれるのだろうか、という疑問を持ちました。 そこで今回は、簡単ではありますがGoとRustとPythonでそれぞれAPIサーバーを立てて負荷試験をしてみます。 負荷試験対象のAPIサーバー 今回は(1) Hello, World!を返すAPI(2) ファイル読み込みAPI(3)1秒待ってから応答するAPIの3つを実装します。 (1)はAPIサーバー自体の応答速度の計測、(2)はメモリを消費する処理が生じた場合のAPIの応答速度の計測、(3)は待ち時間発生している時のAPIの応答速度の計測することが目的です。 (2)につ
全国の大学生協の食堂などで決済に使われている「大学生協アプリ」で4月15日の正午過ぎから約30分間にわたって障害が発生し、決済などができない状態になった。 同アプリを提供している大学生協事業連合は16日、 「AWSで設定されていた同時接続制限を超過したことが原因」と表明。同時接続制限を拡張し、監視体制を強化することで対策したとしている。 大学生協アプリは、生協の購買や食堂などで使える電子マネー機能などを備えており、全国の多くの大学生協で採用されている。 4月15日の障害は、お昼のピーク時刻に当たる午後0時3分に発生。サインインやバーコードの更新、チャージ、会員証の表示、電子マネーによる精算などができない状態になった。Xには学生から困惑の投稿が相次ぎ、トレンドに「大学生協アプリ」が入った。 原因は、AWSで設定されていた同時接続制限を超えたことにより、リクエストが処理できなくなったこと。同日
世界最大規模のバグバウンティコンテスト・Pwn2Ownの魅力とは?【Masato Kinugawa × 志賀遼太】 - #FlattSecurityMagazine
トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative」(ZDI)が主催しているバグバウンティコンテスト「Pwn2Own」。対象となるプロダクトの0-day脆弱性を発見し、エクスプロイトに成功すると高額賞金を手に入れることができるという世界最大規模のコンテストで、2007年から毎年開催されています。 今回は、日本からPwn2Ownに出場し実績を残したMasato KinugawaさんとFlatt Security 執行役員 プロフェッショナルサービス事業CTOの志賀遼太の2人に、Pwn2Ownの魅力やコンテストの舞台裏について語り合っていただきました。 プロフィール Masato Kinugawaさん XSSが好き。Pwn2Own winner (Vancouver 2022)。 2016年よりCure53で脆弱性診断。 X: @kinugawamasat
はじめに こんにちは。 Feature Dev1 グループでマネージャーをしている髙嶋です。 突然ですが、サービス運営するうえでユーザーからのお問い合わせ対応を無視することはできません。 そしていかに迅速かつ適切な内容で回答できるかどうかは、どこまでいってもゴールのない永遠の課題と言えるものでしょう。 ネットショップ作成サービス BASE に関するお問い合わせ対応についての運用に直近変化があったため、その経緯と効果(はある意味これからでもありますが)を共有させていただきたいと思います。 サマリとしては、概ね以下のような内容となります。 お問い合わせ対応のうち、技術的な観点が要求されるものはエンジニアに対して調査依頼がきます BASE では特定の部署が対応する形ではなく、開発組織横断で対応にあたっています 具体的には通称 cs_q というチャンネルに調査依頼がくるので、基本的には依頼がなされ
はじめに こんにちは、retail HUBで Software Engineer をしているほんだです。 今回は私が現在着手している事業譲渡されたアプリを社内で持続的なプロダクト開発を行える状態にするリプレイスプロジェクトをどのように行っているか紹介しようと思います。 この記事ではリプレイスを行うにあたってどのようなことを課題に感じてその課題に対してどのような解決策をとったか主にサーバーの実装について説明しています。 ネットスーパーアプリとは 現在弊社ではネットスーパーアプリとして Web アプリとスマホアプリの二つのシステムを提供しています。 Web アプリは販促コンテンツの設定や売り上げの管理・集計を行うことが可能な管理システムと受け取り方法に応じた価格変更や送料変更にも対応し、消費者の柔軟な買い物を実現するお客様向けアプリを 17 の小売り様に、スマホアプリでは Web アプリのお客
三井物産デジタル・アセットマネジメントで、ガバナンス・コンプラエンジニアリングをしている 鈴木 (@ken5scal )です。 いきなりですが、ログ管理はどの職種どの場面でも重要です。セキュリティにおいても、古生代よりサーバー、ネットワーク機器、アプリケーションなどから出力されるログを一元的に収集し、監視や分析を行うことで、セキュリティインシデントの早期発見や対応、コンプライアンス要件の達成が可能になります。 このようなログ一元管理を実現する代表的なソリューションは、そう、皆様よくご存知のSIEM。我らが「Security Information and Event Management」であります。 私はSIEMを、新卒で入社した大手企業でSOC(Security Operation Center)として触れ、その後ユーザー企業でもOSSやAWS GuardDuty(?)などの形で利用す
先日、博士(情報学)になりました。学部と大学院をあわせた 9 年間で読んだ情報科学関連の教科書・専門書を思い出を振り返りつつここにまとめます。私は授業はあまり聞かずに独学するタイプだったので、ここに挙げた書籍を通読すれば、大学に通わなくてもおおよそ情報学博士ほどの知識は身につくものと思われます。ただし、特に大学院で重要となる論文を読み書きすることについては本稿には含めておりません。それらについては論文読みの日課についてや論文の書き方などを参考にしてください。 joisino.hatenablog.com 凡例:(半端)とは、数章だけ読んだ場合か、最後まで読んだものの理解が浅く、今となっては薄ぼんやりとしか覚えていないことを指します。☆は特におすすめなことを表します。 学部一年 寺田 文行『線形代数 増訂版』 黒田 成俊『微分積分』 河野 敬雄『確率概論』 東京大学教養学部統計学教室『統計学
結論話題の記事「UIの色を変えただけで大量のクレームを頂戴してしまった話」を読みました。ユーザーを軽視した内容に驚愕したのですが、それよりも記事が批判されている原因を理解できていない様子の方が存在することに衝撃を受けました。 現職のデザイナーあるいはデザイナーを目指している方々にお伝えしたいことは以下の3点です。 具体的な不都合を訴える問い合わせは無益なクレームではなく有益なフィードバックです。プロダクトの価値向上につながる貴重な意見ですから無視するべきではありません。 時間の経過でユーザーがUIに慣れることはありません。問い合わせをしても無駄だと学習して離脱したパターンを疑いましょう。受け入れられる場合も含めて画面の変更はユーザーに負担を強いているのだと自覚してください。 色覚特性や色とコントラストについて学びましょう。色だけで情報を伝えるデザインはアンチパターンですから避けてください。
Adobe CS6 についてAdobeの認証に不具合がある場合、正規ユーザーは認証を回避して差し支えないとの回答を得ました
/t5/%E6%B0%B8%E7%B6%9A%E7%89%88%E3%83%A9%E3%82%A4%E3%82%BB%E3%83%B3%E3%82%B9%E8%A3%BD%E5%93%81-discussions/adobe-cs6-%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6adobe%E3%81%AE%E8%AA%8D%E8%A8%BC%E3%81%AB%E4%B8%8D%E5%85%B7%E5%90%88%E3%81%8C%E3%81%82%E3%82%8B%E5%A0%B4%E5%90%88-%E6%AD%A3%E8%A6%8F%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E3%81%AF%E8%AA%8D%E8%A8%BC%E3%82%92%E5%9B%9E%E9%81%BF%E3%81%97%E3%81%A6%E5%B7%
こんにちは!技術部プラットフォームグループのharukin, pochyです。 この記事では、「ISUCON」を模したパフォーマンスチューニング研修を複数社合同で実施した概要と、そのための準備について紹介します。 研修について 目的 今回の研修の目的は次のものとしました。 パフォーマンスチューニングの問題を会社横断でチームを組成し取り組むことで、サーバサイドやインフラのパフォーマンス・チューニングを中心に幅広い知識を総動員して課題解決に望む。 課題解決過程のコミュニケーションを通じて、会社の枠を超えた同期作りを促進する。 概要 今回の研修では、チームごとにパフォーマンスチューニングの課題に挑戦しました。 実際のISUCONのように、各チームにwebサーバーを貸し出す形式です。各チームはそのアプリケーションを時間内にパフォーマンスチューニングし、最適化された度合いによってチームに点数をつけま
2024年2月9日、警視庁サイバー犯罪対策課などは法人向け名刺管理サービスを利用する企業のアカウントに不正アクセスを行い名刺情報の閲覧を行っていたとして、不動産販売会社の男を逮捕したと公表しました。男らは不動産投資の勧誘に入手した名刺情報を使用していたとみられています。ここでは関連する情報をまとめます。 2年前から名刺管理サービスに不正アクセスか 男の逮捕容疑は不正アクセス禁止法違反。男は会社の部下と共謀し、2022年11月からSansanの社員に偽装し、都内の空調設備会社の社員に対してメールを送信。名刺管理サービスのログインに必要となる認証情報を取得し、さらに2023年2月に名刺管理サービスに接続を行った疑い。 その後男は再び不正アクセス禁止法違反の容疑で逮捕されており、2023年2月から3月にかけて、Sansanの従業員になりすまして北海道、愛知県など4社にフィッシングメールを送りパス
ついにWindowsに「sudo」コマンドが登場
Windows 11のInsider Preview版に「sudo」コマンドが搭載されました。通常のコンソールセッションからでも管理者特権が必要なコマンドを動かせるようになっています。 Introducing Sudo for Windows! - Windows Command Line https://devblogs.microsoft.com/commandline/introducing-sudo-for-windows/ 「sudo」コマンドを使用するには事前に設定の「For developers(開発者向け)」ページにて「Enable sudo(sudoを有効化)」を有効化する必要があります。また、設定ページではsudoの実行方法を「新しいウィンドウで実行する」「入力を無効にして実行する」「インラインで実行する」の3パターンから選択できるとのこと。 初期状態では「新しいウィン
はじめに 近年、サイバーセキュリティに対する意識の高まりを感じている。 国会では「セキュリティ・クリアランス制度」なるものの検討が進んでおり、誰もが知っているような上場企業であれば当たり前のようにサイバーセキュリティ対策を専門で行う部門が設置されるようになってきた。 筆者が実際にクライアントと会話していても、以前のように「サイバーセキュリティ対策の必要性がわからない」というケースは減ってきており、「サイバーセキュリティ対策をとりあえずやりたい」という経営層が増えているようにも感じる。 そして、需要が高まれば供給側の企業も増えるのが資本主義の性(さが)である。 大手SIerやコンサルティング会社はこぞってサイバーセキュリティ分野への増員に力を入れている。 サイバーセキュリティ分野を得意としたベンチャー企業の上場事例も多数見受けられる。 そんな中、近年急速に拡大しているビジネスが24時間365
大学在学時に、ソフトウェアVPN(Virtual Private Network)の「SoftEther VPN」(以下、SoftEther)を開発したことで広く知られる登 大遊氏。SoftEther開発後も中国の検閲用ファイアウォール「グレートウォール」へのハッキングなどで話題を集め、現在は東日本電信電話(NTT東日本)のビジネス開発本部 特殊局員、情報処理推進機構(IPA)の産業サイバーセキュリティセンター サイバー技術研究者、筑波大学の客員教授などを務めている。 登氏が、ゲットイットが開催したWebセミナーで、日本のITエンジニアに必要な「トライ&エラー(トライアルアンドエラー)の思考法」について話した。ゲットイットは、リユースIT製品の販売やレンタル、メーカーサポートが終了した製品の保守をサポートするIT機器保守(第三者保守)など幅広い役割で、NTTグループをはじめとする多数の企業
2024年1月24日、Jenkins セキュリティチームは、CI/CDツール Jenkinsのセキュリティ情報を公開しました。修正された脆弱性の内 任意のファイル読み取りの脆弱性 CVE-2024-23897 は深刻度をCriticalと評価されており、既に実証コードも公開されています。ここでは関連する情報をまとめます。 脆弱性の概要 Jenkins Security Advisory 2024-01-24 Jenkinsにはスクリプトまたはシェル環境からJenkinsへアクセスするコマンドラインインターフェースの機能 (Jenkins CLI)が組み込まれており、脆弱性 CVE-2024-23897はこのCLIを介して任意のファイル読み取りが行えるというもの。さらに特定の条件下においてリモートコード実行が可能となる恐れがある。Jenkins セキュリティチームはこの脆弱性を深刻度をCri
AWS S3 のファイルを社内からのみ URL でダウンロード可能にする(パブリックアクセスブロック有効) - APC 技術ブログ
はじめに こんにちは。クラウド事業部の野本です。 業務でモックサーバを作る際に、静的なファイルをふつうに URL でアクセスしてダウンロードできるようにする必要がありました。この用途に AWS の S3 を使いたいものの、バケットの設定を間違えると全世界に公開されてしまいそうで、公式ドキュメントを調べながら恐る恐る設定しました。 調べた結果、バケットポリシーで適切なアクセス制限を掛けるならパブリックアクセスブロック機能は有効のままでもいいことがわかりました。その設定方法や考え方について纏めます。 設定方法 S3 のオブジェクトを URL 直アクセスでダウンロードできるようにするには、 REST API GetObject を全員に許可するようにバケットポリシーを設定します。 リクエスト元を制限する際にポリシーが「非パブリック」と判定されるよう設定すれば、パブリックアクセスブロック機能はオン
受託の会社が資金調達せずに自社サービスを立ち上げて、有料導入5000社に行くまでの振り返り - ヴェルク - IT起業の記録
2024年1月9日にboardの有料登録社数が5000社を突破したので振り返りです。 boardの正式リリースは2014年8月20日なので、約9年半ほどで、推移はこんな感じでした。 *「社数は累計ですか?」と聞かれることがよくあるのですが、累計ではなくその時点のアクティブな数です。 1000社刻みで定点観測的に書いているので、過去の記事も貼っておきます。 受託の会社が資金調達せずに自社サービスを立ち上げて、有料導入1000社に行くまでの経営・受託とのバランス(BPStudy発表時の補足) 受託の会社が資金調達せずに自社サービスを立ち上げて、有料導入2000社に行くまでの振り返り 受託の会社が資金調達せずに自社サービスを立ち上げて、有料導入3000社に行くまでの振り返り 受託の会社が資金調達せずに自社サービスを立ち上げて、有料導入4000社に行くまでの振り返り boardとは 見積書・請求書
【訃報】インターネットを介してシステム時刻を同期する「NTPプロトコル」を発明したデイヴィッド・L・ミルズ氏が85歳で死去
by David Woolley デラウェア大学の名誉教授でコンピューター科学者のデイヴィッド・L・ミルズ氏が、2024年1月17日に85歳で亡くなりました。ミルズ氏は、コンピューターのシステム時刻をネットワーク経由で同期するためのプロトコル「NTP(Network Time Protocol)」を開発したことで知られており、初期インターネットの象徴的な存在だと評されています。 [ih] Dave Mills has passed away https://elists.isoc.org/pipermail/internet-history/2024-January/009265.html Inventor of NTP protocol that keeps time on billions of devices dies at age 85 | Ars Technica https:/
オフェンシブ視点による Cloud Security 入門 ~AWS 編~ - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、AWS 環境における攻撃者のオフェンシブな視点で Cloud Security の入門として紹介します。 1. 始めに 免責事項 想定読者 2. クラウドにおける脅威 クラウドの重大セキュリティ脅威 11の悪質な脅威 クラウドサービス利用に関連するリスク Top 10 AWS セキュリティ構成ミス Top 10 3. AWS 環境における攻撃者の観点 3.1 AWS 環境の外部からの観点 3.2 AWS 環境の内部からの観点 4. MITRE ATT&CK Framework for Cloud (IaaS) 4.1 初期アクセス (Initial Access) 4.2 実行 (Execution) 4.3 永続化 (Persistence) 4.4 権限昇格 (Privilege Escalation) 4.5 防御回避
企業にお褒めのメールを送りまくっている
最近SNSに疲れてきたのであれ買っただのあれうまかっただのこれ欲しいだのそういった話はメーカーのお客様相談室のようなところに直接感想をぶっ込むようになった。 基本返信不要にチェックしているが、その選択肢がない所は普通に返信がくる。中身も面白く、微妙に主旨とズレたテンプレを返してくるもの、ガッチガチの難読ビジネスメール文体のものや、急ごしらえで手打ちで書いているようなもの、逆に担当が個別に考えて添えた言葉かと思いきやテンプレだったりするもの(←2回目の返信で気付く)など様々ある。 印象に残ったものは某飲料メーカー。激ハマりしたドリンクがあったのでいつものように感想を書いて返信不要にチェックを入れ送信したら、翌日「返事を差し上げますことをお許しください」と自分の書いた文章をひとつひとつ引用しながらとても励みになりますとの返信が来た。更に締めの言葉も大体の企業は「今後も多くのお客様にご満足いただ
バグバウンティにおける XSS の具体的な脅威の事例まとめ - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティで実際にあった脆弱性報告の事例をもとに、XSS の具体的な脅威(Impact)についていくつか紹介します。 1. 始めに 免責事項 想定読者 2. XSS (Cross Site Scripting) HackerOne Top 10 Vulnerability Types Escalation (Goal) 3. XSS の脅威 (Impact) 3.1 Response Body から Session ID の奪取 3.2 Local Storage から Access Token の奪取 3.3 IndexedDB から Session Data の奪取 3.4 メールアドレスの改ざん 3.5 パスワードの改ざん 3.6 管理者アカウントの招待 3.7 POST Based Reflected XSS 4.
東京発・AIドリームチーム「Sakana.ai」が45億円調達 元Googleトップ研究者らが設立 AI業界の著名人や日本の大手IT企業も出資
元米Googleの著名な研究者、リオン・ジョーンズ氏とデビッド・ハー氏が東京で立ち上げたAI企業Sakana.ai(東京都港区)は1月16日、シリコンバレーのベンチャーキャピタルやNTTグループ、KDDI、ソニーグループなどから45億円の資金を調達したと発表した。 調達元はシリコンバレーのベンチャーキャピタル米Lux Capitalや米Khosla Venturesに加え、日本ではNTTグループ、KDDI、ソニーグループ、ベンチャーキャピタルのみやこキャピタルやジャフコグループなども出資した。Googleで最高AI責任者を務めるジェフ・ディーン氏や、米Hugging Face創業者CEOのクレム・デラング氏、米Scale AI創業者CEOのアレックス・ワン氏といった個人からも出資を受けた。 調達した資金は人材採用に充てる。国内外から優秀なITエンジニア人材を集め、日本に招致するという。さら
コンテンツデリバリーネットワーク(CDN)サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。 以前の連載:迷惑bot事件簿 アプリのマイクロサービス化とAPIの関係 世界中のWeb通信を中継しているAkamai Technologies (以下 Akamai)が取り扱う通信の8割以上は、すでにAPIの通信が占めている。 APIを利用するスマートフォンやブラウザアプリが普及の後押しをしているのは間違いないが、近年ではサーバ側のマイクロサービス化(あるシステムを小規模なシステムを組み合わせて開発する手法)の影響も大きい。 日本も同様だ。商用のWebアプリケーション開発者に話を聞くと「いま開発中のWebアプリやスマホアプリのサーバ
元記事 元記事を読んで恐くなり、災害用公衆無線LANの00000JAPANを含むFree Wi-Fiの使用を躊躇してしまった一般利用者個人のためにこの記事を書きました。 本記事では大雑把に元記事がどのようなリスクを指摘しているのか、そしてなぜそれを考えなくて良いのかを説明した後、情報セキュリティについて持論を述べる前に理解しておくべき点に触れます。 結論 正しくスマホやPCを使う限りFree Wi-Fiは危険ではありません。00000JAPANをぜひ活用してください。 これに同意した方とネタが嫌いな人はセキュリティクラスタは口が悪いまで読み飛ばしてください。 まだ心配な人のために暗号化の重要性を知っている専門家の見解を紹介します。 災害時無料公衆無線LANの利用がNHKで紹介され、Wi-Fi暗号化がされていないことから「クレジットカード情報やパスワードなどの入力は極力、避けるよう」と呼び掛
1. 始めに こんにちは、morioka12 です。 本稿では、新卒の学生によるセキュリティエンジニア志望の就職活動について、morioka12 の就活話も含めて簡単に紹介します。 1. 始めに 想定読者 筆者のバックグラウンド 2. セキュリティエンジニアとは 脆弱性診断・ペネトレーションテスト 3. セキュリティエンジニア志望の就活 3.1 企業候補 セキュリティイベント JNSA 情報セキュリティサービス台帳 JVN 一般社団法人日本ハッカー協会 公務員 3.2 ユーザー企業・ベンダー企業 3.3 企業ホームページ 技術ブログ 3.4 求められるスキル 4. morioka12 の就活話 4.1 気になる企業をリストアップ 4.2 カジュアル面談 4.3 新卒採用 5. セキュリティエンジニアを目指す就活生へ (まとめ) 5.1 セキュリティ業界を知ろう 5.2 セキュリティイベント
セキュリティエンジニアとして就職してからそろそろ3年経ちます。独断と偏見に基づき、IT初心者・セキュリティ初心者・セキュリティエンジニアの3つの時期に分け、費用対効果の良い勉強法を紹介していきたいと思います。 セキュリティエンジニアとは 「セキュリティエンジニア」という言葉は範囲が広いですが、私が今回記載する内容は脆弱性診断やペネトレーションテストに寄った内容となっています。インシデント対応やアナリスト業務などは専門ではないので、あくまで診断系の人が書いているということをご認識おきください。 そもそもセキュリティエンジニアにどのような職種が含まれるかはラックさんが分かりやすい資料を出しているのでそちらをご覧ください(サイバーセキュリティ仕事ファイル 1、サイバーセキュリティ仕事ファイル 2)。 IT初心者時代 セキュリティを学ぶ以前に基礎となるITを学ぶ時代を考えます。 学校教育 学生の場
セキュリティで保護されていないネットワークと通じてコンピューターに安全にコマンドを送信する「Secure Shell(SSH)」プロトコルにおいてハンドシェイクプロセス中にシーケンス番号を操作してSSHプロトコルの整合性を破る「Terrapin Attack」という攻撃が発見されました。この操作で、攻撃者は通信チャネルを通じて交換されるメッセージを削除あるいは変更できるようになり、さまざまな攻撃が可能になります。 Terrapin Attack https://terrapin-attack.com/ Terrapin Attack: Breaking SSH Channel Integrity By Sequence Number Manipulation (PDFファイル)https://terrapin-attack.com/TerrapinAttack.pdf Terrapin a
ソニーグループ傘下の映画会社、ソニー・ピクチャーズエンタテインメント(SPEJ)は19日、保有するアニメ専門チャンネル2社をノジマ子会社に売却すると発表した。売却金額は非公表で2024年4月1日の完了を見込む。ソニーGは成長分野と位置づけるアニメの海外配信に注力する。SPEJが66%を出資する「アニマックスブロードキャスト・ジャパン」と、67%の株式を保有する「キッズステーション」を、ノジマ子
はじめに SOCでは日々監視対応、インシデント対応を行なっています。その中ではファストフォレンジックを行う事も想定しなければなりません。 今回はその一環として行っているマルウェア解析の一例を紹介します。 ※とても簡単な解析方法です。入門編です! ファストフォレンジックでのマルウェア解析とは インシデントの影響範囲を早急に調査し、迅速に復旧するために、何が起こったのかを具体的に把握する必要があります。 例えば、マルウェア感染疑惑のある事象が発生した際には、以下の観点が気になる所です。 情報漏洩 マルウェアの永続化 復旧方法 これらの情報はセキュリティベンダーにて解析済でIOCが提供されているマルウェアであれば、ある程度は公開情報から調査は可能ですが、攻撃者によってカスタマイズされているマルウェアである場合、解析しなければどういった挙動を行うのかわかりません。 そこでファストフォレンジックの中
2023年11月29日、今年夏ころに宇宙航空研究開発機構に対し不正アクセスが行われていたとして複数の報道機関が報じました。ここでは関連する情報をまとめます。 ネットワーク機器の脆弱性を悪用し攻撃か 宇宙航空研究開発機構(JAXA)で不正アクセスが確認されたのは一般業務用のイントラネットワークの管理(アクティブディレクトリ)サーバーで、外部から機構内ネットワークにアクセスされていた可能性がある。*1 JAXAはWebサイト等で不正アクセスの事実について公表を行っていないが、11月29日の参議院文教科学委員会でJAXA理事長が攻撃は事実と発言した。*2 被害にあったサーバーには役職員や派遣社員5,000件余りがサーバー上に保管されていたため、これら個人情報などが外部へ流出した可能性があるが、*3 情報流出の有無については調査中としている。また、ロケットや人工衛星の運用にかかる情報など機密性の高
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Goで実装するAppStoreの返金検知システム | QualiArtsエンジニアブログ
目標設定の陥りがちな落とし穴と回避方法 - STORES Product Blog
Go、Rust、Pythonで実装したAPIサーバーの負荷試験比較 - Qiita
ランチ時に「決済できない」学生悲鳴 大学生協アプリ障害「AWSの同時接続制限超過が原因」
お問い合わせ対応の輪番制による運用をやめるに至った意思とそこからの学び - BASEプロダクトチームブログ
ネットスーパーアプリ GraphQL から REST へ移行始めました - every Tech Blog
ログ一元管理の本質とSIEMの限界 - データ基盤への道 - LayerX エンジニアブログ
大学で読んだ情報科学関連の教科書 - ジョイジョイジョイ
Excelみたいなプログラミング言語「Power Fx」、Windows操作の自動化で使えるように/3月版「Power Automate」デスクトップアプリにはコーディング支援「IntelliSense」も
「UIの色を変えただけで大量のクレームを頂戴してしまった話」の何が問題か?|moutend
https://twitter.com/hansfbaier/status/1760409238512545966
日本CTO協会による合同ISUCON研修の紹介 - Pepabo Tech Portal
不正アクセスで入手した名刺情報を投資勧誘に悪用していた事案についてまとめてみた - piyolog
【サイバーセキュリティ】SOCによる24時間365日監視は本当に必要なのか再考してみる - Qiita
SoftEtherの登 大遊氏が語る、「日本のITエンジニアに迫る危機」とは
Jenkinsの脆弱性 CVE-2024-23897 についてまとめてみた - piyolog
「APIエコノミー」に迫る“検知できない脆弱性攻撃”の脅威
Free Wi-Fi(00000JAPAN)は安全なのか? - Qiita
新卒の学生によるセキュリティエンジニア志望の就活話 - blog of morioka12
セキュリティエンジニアを3年続けて分かったおすすめ勉強法
SSH接続への中間者攻撃を可能にするエクスプロイト「Terrapin Attack」が発見される
ソニー系、「アニマックス」など売却 ノジマ子会社に - 日本経済新聞
「Tera Term 5.1」が公開 ~SSHプロトコルで発見された脆弱性「Terrapin Attack」に対処/来年で30周年を迎える老舗のリモートログオンクライアント
SOCから始めるマルウェア解析 - Qiita
JAXAへの不正アクセスについてまとめてみた - piyolog
「とほほ」氏の解説サイトに「とほほのPowerShell入門」が追加 ほか ~10件を掲載(11月28日のダイジェストニュース)【ダイジェストニュース】
マイクロソフトの「コパイロット」とはなにか OpenAIとの依存と共生【西田宗千佳のイマトミライ】
