学生「面接がうまくいきません。どうすれば?」教授「返答の最初に『そうですね』と言って」学生「それは無理です」
やるやん @IPA_law ある教授の話 学生 「面接がうまくいきません。どうしたらいいですか?」 教授 「君にやって欲しいことがある。君は人から『晴れてるね』と言われたら『雨の日もあります!』とすぐ返すでしょ。その前に『そうですね』と言ってくれないか。」 学生 「…それは無理です!」 2023-11-04 09:48:58
やるやん @IPA_law ある教授の話 学生 「面接がうまくいきません。どうしたらいいですか?」 教授 「君にやって欲しいことがある。君は人から『晴れてるね』と言われたら『雨の日もあります!』とすぐ返すでしょ。その前に『そうですね』と言ってくれないか。」 学生 「…それは無理です!」 2023-11-04 09:48:58
編集・発行元 独立行政法人情報処理推進機構(IPA) 発行日 2020年9月3日 サイズ ソフトカバー/A4判 ISBN ISBN 978-4-905318-74-3 定価 定価:2,200円(税抜価格2,000 円、消費税率10%) 書籍概要 概要 IPAでは、「情報セキュリティ白書」を2008年から毎年発行しており、今年で13冊目を数えます。本白書は、情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態など定番トピックの他、毎年タイムリーなトピックを新たに取り上げています。 各トピックでは国内外の官民の各種データ、資料を数多く紹介しており、情報の網羅性と参照性の高さが特長で、情報セキュリティ分野の全体把握が容易です。 また、本白書は次のような使途で利用されています(昨年版の読者アンケートから抜粋)。 顧客向け資料への参考や引用 社内資料に使用 業界動向把握
IT業界に入ると、必ずと言ってよいほど付きまとうのが資格の話です。特にIPA主催の情報処理試験は、国家資格でもあることから、人気も知名度も抜群です。エントリーレベルの「ITパスポート」から始まり、「基本情報技術者」「応用情報技術者」「高度情報処理技術者」と続いていくわけですが、我々いわゆる業界人の登竜門は「基本情報技術者」からとなります。なぜなら「ITパスポート」はシステムを使う側の資格だからです。 前置きはこのくらいにして、この業界の門を叩いた若者を悩ませているのが、「基本情報技術者」の突破です。意識高い低いの議論はさておき、半ば強制的に受験を強要される文化がこの業界には存在しています。苦手な人には苦痛以外のなにものでもない大問題なのです。 いきなり応用情報技術者を狙う 結論から言います。どうしても突破出来そうにないならば「基本情報技術者」をあきらめて、いきなり「応用情報技術者」を目指し
はじめに 国内の情報セキュリティに関連する組織・情報源をまとめてみました。 組織内でセキュリティ情報を展開するときは、権威があって日本のサイトだと伝わりやすい気がします。 国民のための情報セキュリティサイト 総務省が運営しています。ITの基礎知識から一般利用者・組織向けのセキュリティ情報が掲載されています。 まさに国民のためという感じがします。 NISC 内閣サイバーセキュリティーセンター 内閣官房が運営しています。様々なセキュリティ情報があります。 SNS関連アカウントもあり情報にアクセスしやすそうです。 サイバー警察局 警察庁が運営しています。セキュリティ事案への注意喚起などが行われています。 国家公安委員会 「重大サイバー事案に係る警察活動への苦情申出」などを受け付けているようです。 防衛省 サイバーセキュリティ 注意喚起や活動内容が掲載されています。 外務省 サイバーセキュリティ
NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは?
HOME NRIセキュア ブログ NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは? 2024年2月26日、NIST(米国立標準技術研究所)は、「NIST サイバーセキュリティフレームワーク(NIST Cybersecurity Framework:NIST CSF)」のバージョン2.0を正式に公開した。2014年4月に初版であるNIST CSF 1.0が公表されて以来、約10年ぶりの大幅改訂である。 本記事では、NIST CSF 2.0における主な改訂のポイントと、特にインパクトの大きい6つ目の新機能「GV(統治)」について解説する。 ▶「経営層が納得するセキュリティ報告」を読む はじめに 2020年代に入り、新たな生活様式の変化に起因する脅威の発生、世界各国での深刻かつ大規模なサイバー攻撃の急増、生成AIなど新技術の普及に伴うリス
Twitter可視化システムを作ってみたら日本に笑顔が溢れていた話 - NTT Communications Engineers' Blog
はじめに はじめまして。 プラットフォームサービス本部 データプラットフォームサービス部門の森分です。 もともと私は、NTT Comのクラウドサービスをベースにした法人向けソリューションの個社別運用やインフラ関連のプロジェクトマネージャ業務を担当しておりました。 最近はSmart Data Platform(以下、SDPF)アーキテクトなる、お客様課題の解決やNTT Comのビジネスの中でSDPFの活用を推進する部隊に参画しています。 データ利活用を支えるSDPFのアーキテクトがデータ利活用に詳しくなければ立つ瀬がありません。 そうならないように日々研鑽を積んでいるわけですが、その中で作ったTwitter分析システムっぽいもののご紹介が本稿の趣旨となります。 本来のデータ利活用プロジェクトでは、課題および仮説をまず明確にして、それに応じたデータ解析を進めていくのですが、本稿では堅苦しいもの
LINEは8月19日、メッセージアプリ「LINE」のグループトーク機能を拡張した「OpenChat」について、交際相手を募集する投稿などの違反行為をした場合、投稿の削除や強制退会、サービスの利用停止などの措置を行うと注意喚起した。同日の提供開始直後から、ネット上ではこうした目的で利用するユーザーがいるとの報告が出ていた。 OpenChatは、共通の趣味を持つユーザーなどが集まってグループを作成できる機能。LINE上で友だち登録をしていないユーザーも、URLやQRコードを共有すればトークルームに招待できるのが特徴だ。 同日に提供が始まると、ネット上では「出会いを目的にしたグループが作成されている」「不健全な出会いの温床になるのではないか」などの指摘が相次いでいた。記者が20日朝にアプリ内で検索したところ、「東京近くで恋人募集」「出会い目的の人集まろー」などのグループがみられた。 こうした状況
【書評】「インフラ設計のセオリー」新人インフラエンジニアが押さえておくべき内容が詰まった一冊 | DevelopersIO
「難しい本ばっかり読んで眠くなってませんか?いい本ありますよ!」 ご機嫌いかがでしょうか、豊崎です。 育成チームのリーダーを行なっている都合から、エントリー向けのインフラエンジニアの書籍を読むことが多くなっています。本日は、その中で読んだ、「インフラ設計のセオリー」という本についてご紹介させていただきます。 基本的にはIPAの非機能要求グレードに沿って特に重要な項目を説明していく内容になっています。 インフラエンジニアを始めるときに、教科書として読んでおけば 成長曲線が変わったんじゃないかな? と感じました。それくらい基礎的な知識の習得とイメージ付けには最適だと思います。 具体的には、非常に有益なドキュメントではあるものの、圧倒的な文章量で睡魔を送り込んでくる非機能要求グレードの活用について図や絵を多く交えて非常に理解しやすい文章で説明をしてくれます。 内容はしっかりしているのに、とても読
サーバーレスの次はなんなんだ
はじめに この記事は、同人誌サークル「めもおきば」から不定期刊行している技術解説本「めもおきばTecReport」に書いたものを公開用に再編集したものです。 ⇒ めもおきばTecReport 2023.12 この記事のほかにも「私もSecHack365に参加したい!」や、「2023年振り返りと2024年技術予想」としてこんなキーワードを取り上げているので、気になったらぽちっとしてください! メガクラウドと特化型クラウド/ハイパーバイザーのSoC化/ライセンスとクラウドベンダー/イベント駆動型API/LLM時代のAIペアプロ力/生活必需品としてのGPU・NPU/Passkey/ウェブアクセシビリティ/リアルイベントの再開 サーバーレスの次はなんなんだ サーバーレスと呼ばれる技術ムーブメントが盛り上がり始めて8年近くが経ちました。各クラウドベンダーのFaaS(Function-as-a-Ser
最近ネットを見ていると要件定義入門的な記事とか、あと要件定義は不要みたいな記事が目についたので思ったことを書いてみる記事その2。ITシステム開発における要件定義に関するあれこれ。本記事には前編があります。 目次 要件定義以前 要件定義の進め方 IPAユーザのための要件定義ガイドをベースにする 決め過ぎない 機能を定義するのではなく、機能要件を定義する 関係者をすべて洗い出す 利用者マニュアルの目次が作れるようになっているか ビジネス要件定義 前提事項、制約事項とリスクを定義する 優先順位の決定を忘れずに システム化要件定義 不安定な要件を構造で支える おまけ:本記事の元ネタ 要件定義以前 要件定義というプロセスが本当に必要なのか、ということなどは以下の記事に書いたので省略。 実践要件定義入門以前 - 勘と経験と読経 要件定義の進め方 IPAユーザのための要件定義ガイドをベースにする 前編に
社内で毎週公開してるセキュリティコンテンツ3ヶ月分を公開します【2020年4月〜7月】 - Qiita
はじめに 普段はWeb開発を生業としている おりばー(@oliver_diary) です。 今年の4月から情報処理安全確保支援士として、社内のセキュリティ向上に努めているのですが、その取り組みの一つとして社内Slackに毎週セキュリティトピックを公開しています。 毎週続けて3ヶ月が経過しましたが、社内だけに閉じておくのは勿体ないと思ったので、記事としてまとめて投稿します。みなさんのセキュリティ意識向上の助けになればと思います。 またセキュリティ研修用に使用したアプリケーションの記事も公開しているので、そちらも併せてご覧ください。 Gitの脆弱性(2020/04/23) みなさん、既にバージョンをあげている方もいると思いますが、Gitにとても深刻な脆弱性が発見されました。 http://www.security-next.com/114201 https://github.com/git/g
ある意味、終わっていると思う情報処理技術者試験 情報処理技術者試験は今年春の開催が中止となりました。振り込んだお金は7月に返還されるようです。こちらにその詳細が記載されています。 さて、情報処理技術者試験なんて何の役にも立たないなんて言う記事が話題となっておりますが・・。 anond.hatelabo.jp 情報処理技術者試験の本質を言えば、まだその効力はあると思います。ですが、運営側がまだ、新しい生活様式(?)に全然適応できていない。という意味で情報処理技術者試験は終わった、と書かせていただきます。 私が今「情報処理安全確保支援士」という類似の資格を持っていることもあり、具体的に何が終わっているのかご説明させていただきます。 それはないだろう 情報処理安全確保支援士の運用が今年からガラっと変わったんです。 www.ipa.go.jp 2020年5月15日(金)に情報処理の促進に関する法律
“けしからん”天才プログラマーはなにを考える? 登大遊氏を形成した歴史と日本のこれから けしからん本屋とけしからん大人たちが僕を育てた 天才プログラマー登大遊氏をかたちづくった「あの本屋」 例えば自分がエンジニアを目指したとき、どのように視野を広げればいいのか、漠然と不安を抱えたことはありませんか。そんな時、自分とは異なる“天才”の頭の中はどうなっているのか、その中身を覗いてみたいと思いませんか? そこで今回は、天才プログラマーとしても知られる登大遊氏に、その考え方や思想の根源がどこにあるか、ちょっと頭の中を覗かせてもらいました。まずは、登氏がプログラミングに出会った幼少期について。 雑誌やマニュアルを読んで学んだ幼少期 ーーまず、登さんの幼少期についてお尋ねします。登さんは、小学生2年生の頃に自宅にあるPCでプログラミングをはじめたとのことですが、当時はどのように勉強されていたのでしょう
NEW! 2024.04.12 スキル 未踏落合陽一登大遊プログラマー 登大遊、落合陽一など数々のスーパークリエータを輩出してきた、独立行政法人情報処理推進機構(IPA)の「未踏IT人材発掘・育成事業」(以下、未踏IT)。その立ち上げから現在までを知るのが、統括プロジェクトマネージャーの竹内郁雄さんだ。 2017年には、ビジネスや社会課題解決につながる人材を発掘する「未踏アドバンスト事業」にも統括プロジェクトマネージャーとして参画。国際的なデファクトスタンダードとなるソフトウェアを日本から生み出すべく、人材育成に心血を注いでいる。 前身の未踏ソフトウェア創造事業から数えて24年。のべ2000人を超える修了生を見てきた竹内さんだから言える、優れたエンジニアに共通して求められる素養を聞いた。 未踏事業統括プロジェクトマネージャー(PM) 一般社団法人未踏 代表理事 竹内郁雄さん 1946年、富
情報処理推進機構(IPA)は1月20日、気になるサイバー攻撃や自社の情報セキュリティ対策状況といった情報を入力すると、想定損害額や対策、効果などの情報を出力するExcelシート「NANBOK」を公開した。 従業員数やサービスの提供状況、「インシデントの初動対応を自社で実行できますか?」といった対策状況を入力すると、想定損害額を算出。攻撃手口の解説、具体的な対策製品・サービス、国内の導入状況、対策で得られる効果なども提示できる。 IPAは、情報セキュリティ製品購入の予算確保において「担当者は情報セキュリティ対策を経営者が理解できる言葉で説明することに苦悩し、自社のセキュリティ対策を遂行するための予算確保に苦労する方が多い」として、支援ツールの提供を決めたとしている。 関連記事 年末年始はいつも以上にご用心! IPAの「情報セキュリティ注意喚起」で万全な仕事納めを 年末年始の長期休暇では、シス
デジタルスキル標準 ビジネスパーソンがDXに関するリテラシーを身につけ変革により行動できるようになるための「DXリテラシー標準(DSS-L)」と、DXを推進する人材の役割や習得すべきスキルなどを定義した「DX推進スキル標準(DSS-P)」を紹介しています。
すべての Microsoft 製品 Global Microsoft 365 Teams Copilot Windows Surface Xbox セール 法人向け サポート ソフトウェア Windows アプリ AI OneDrive Outlook Skype OneNote Microsoft Teams PC とデバイス Xbox を購入する アクセサリ VR & 複合現実 エンタメ Xbox Game Pass Ultimate Xbox Live Gold Xbox とゲーム PC ゲーム Windows ゲーム 映画とテレビ番組 法人向け Microsoft Cloud Microsoft Security Azure Dynamics 365 一般法人向け Microsoft 365 Microsoft Industry Microsoft Power Platform W
全国86の国立大学で構成される国立大学協会は1月28日、2024年度実施の国立大学入学試験から「情報」を必須科目の一つにする方針を発表した。これまでの国語、英語、数学、理科、社会に加えて6教科8科目制になる。 「情報I」が高等学校の必修科目として22年度から順次導入されるのを受けた決定。25年1月ごろから実施する大学入学試験では、一次試験(大学入学共通テスト)で「情報」を受験する必要がある。 教科追加の理由について国立大学協会は「文理問わず必要な教養としてデータサイエンスやAI教育が普及しつつある」として、情報科目が「大学教育を受ける上で必要な基礎能力になる」と説明。経過措置や試験内容については各大学が速やかに公表し、受験生に十分な説明を行うとしている。 関連記事 中学1年の過半数が「プログラミングできる」 “競プロ”勢も1.7% 東進ハイスクール調べ 東進ハイスクールなどを運営するナガセ
リリースするたびに「影響範囲の考慮漏れ」によるトラブルを起こす。こういう症状は、既存のソフトウェアシステムに追加開発を繰り返す組織によく見られるのではないかと感じます。コードやシステムの変更が影響を及ぼす箇所を見逃してしまい、未修正な箇所が残されたまま本番リリースされたために発生するトラブルです。 このようなトラブルが頻発すれば、関係者らは不満を感じます。エンジニアたちの能力に不信感を抱くかもしれません。 しかし、不満の矛先をエンジニアに向けたところで問題が解決することはありません。そもそも原因を見誤っているからです。根本的な原因は、もっと奥深くにあります。 影響範囲の考慮漏れの多発は、ソフトウェアシステムが大きな問題を抱えていることを知らせるサインです。このサインを見逃して表面的な対策ばかりを続けていると、症状が良くなるどころか、かえって悪化し続けることになるでしょう。 問題/原因の3層
はじめに 好きな本を持ち寄って、まったり熱く語り合う読書会、それがスゴ本オフ。 本に限らず、映画や音楽、ゲームや動画、なんでもあり。なぜ好きか、どう好きか、その作品が自分をどんな風に変えたのか、気のすむまで語り尽くす。 この読書会の素晴らしいところは、「それが好きならコレなんてどう?」と自分の推し本から皆のお薦めが、芋づる式に出てくるところ。まさに、わたしが知らないスゴ本を皆でお薦めしあう会なのだ。 今回のテーマは「マンガ」、何回読んでも爆笑してしまう作品や、ヘコんだときに癒してくれる短編集、価値観の原点となったマスターピースなど、様々な作品が集まった。いわゆるコミック本に限らず、アニメーションや物語詩など、王道から知る人ぞ知るやつ、直球変化球取り揃えて、キリがないほど集まった。 ▼気になるマンガに手が伸びる ▼懐かしいものから未知の作品まで ▼マンガが縁で「読み友」が増える まず私ことD
始めまして。デジタルペンテストサービス部の北川です。 筆者の自宅ではダークネット観測装置という名のただのtcpdumpがずっと動いてるだけのRaspberry Piがあります。 パケットをどんどん記録していくのは良いのですが、どんなパケットが来ているか全然見てなかったので、ご紹介したいと思います。 ダークネットとは ダークネットとは、インターネット上で到達可能かつ未使用のIPアドレス空間のことです。ダークネットを観測することにより、インターネット上で行われているポートスキャンなどの活動を見ることができます *1。 ダークネット観測といっても、ブラックホールセンサ、低インタラクションセンサ、高インタラクションセンサといくつか種類があり、筆者は一番運用が簡単なブラックホールセンサを運用しています。 ブラックホールセンサは、受信したパケットに対して一切応答を返さない種類になります。 そのため、外
ゼロトラストアーキテクチャ 適用方針
ゼロトラストアーキテクチャ 適用方針 2022 年(令和 4 年)6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-210 〔キーワード〕 ゼロトラスト、ゼロトラストアーキテクチャ、 〔概要〕 政府情報システムのシステム方式について、より堅牢なシステム構築の観 点からゼロトラストアーキテクチャの適用方針を示す。 改定履歴 改定年月日 改定箇所 改定内容 2022年6月30日 初版決定 i 目次 1 はじめに ......................................................... 1 1.1 背景と目的 .................................................. 1 1.2 適用対象 .................................................... 1
独立行政法人情報処理推進機構(IPA)は、経済産業省からの要請を受けて、重要情報を扱うシステムにおけるサービスの安定供給にあたって、そのシステムのオーナーである管理者が、必要な対策を策定できる「重要情報を扱うシステムの要求策定ガイド」を公開しました。 概要 通信や電力などをはじめとした重要情報を扱うシステムには、サービスの安定供給が強く求められ、非平常時でも自らの統制力を確保する「自律性」が要求されます。一方で、ビジネス環境や技術環境がめまぐるしく変化する今日では、変化への対応力など「利便性」を備えたクラウドサービスなどへの要求も高まっています。そこでIPAは、重要情報を扱うシステムの構築・調達・運用時に、管理者が「自律性」と「利便性」の双方を両立したシステムの要求仕様を策定できるようガイドを定めました。 本ガイドは管理者が環境の変化を捉え、それに伴う問題・リスクや利便性の要素を整理し、対
オペレーション部 江口です。 私の主業務はクラスメソッドメンバーズサービスの品質管理や内部監査なのですが、その活動の一環として企業としての標準のセキュリティチェックシートを作成しました。 このチェックシートがこのたびクラスメソッドの企業サイトで公開されましたのでご報告です。 具体的には「ポリシー」ページに「セキュリティチェックシートの提供」という項目が追加されています。 https://classmethod.jp/policy/ 作成・公開の目的 当社はISO27001/27017、PCI-DSS、Pマーク、SOC2など、様々な認証を取得しセキュリティやサービス品質の向上に努めています。 ですが、お客様によっては認証取得の事実だけでなく、実際にセキュリティ対策としてどのように取り組みを行なっているか、もう少し具体的な情報をご要望いただくことがあります。 そうしたお問い合わせの一助として、
情報処理推進機構(IPA)は7月15日、情報セキュリティに関する書籍「情報セキュリティ白書2022」を公開した。国内外の官民の各種データや資料を引用し、情報セキュリティ分野のトピックを240ページ以上に渡り解説している。IPA会員ならばアンケートに回答することで、PDFファイルを閲覧可能。印刷書籍版もあり、2200円で購入できる。 情報セキュリティ白書はIPAが2008年から毎年発行している書籍。情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態などをまとめている。22年版では「内部不正防止対策の動向」「個人情報保護法改正」「クラウドの情報セキュリティ」「中小企業に向けた情報セキュリティ支援策」「米国や欧州の政策」などのトピックも取り上げた。 読書アンケートによると情報セキュリティ白書は、「学習・自己研さん」「対策強化・予算策定などの上位者への説明資料」「新
「セキュリティ情報ってどこから仕入れたら良いんだろう?」 って思ったことありませんか?今回は私が日常的に確認している、おすすめのセキュリティ情報サイトを紹介します。最後には読み方のポイントも紹介します! それでは早速やっていくっ!! 今回紹介するサイト 以下の5サイトを紹介します。 IPA JVN Security NEXT Amazon Linux Security Center Security Bulletins 1. IPA 重要なセキュリティ情報一覧 IPA の説明を Wikipedia より引用。 独立行政法人情報処理推進機構(じょうほうしょりすいしんきこう、英: Information-technology Promotion Agency, Japan、略称:IPA)は、日本におけるIT国家戦略を技術面、人材面から支えるために設立された、経済産業省所管の中期目標管理法人たる
こんにちは、臼田です。 皆さん、WAFWAFしてますか?(挨拶 今回はタイトル通りAWS WAFを完全に理解するための情報を全部詰め込んだブログです。長いです。 そもそもWAFってなんだっけ?という話から初めて「全部理解した」と言えるようになるまでをまとめています。直近AWS WAF v2がリリースされたため、この変更点を中心に機能の説明をします。 Developers.IOではWAFを扱った記事がたくさんあるので、細かいところはブログを引用します。いわゆる元気玉ブログです。 おさらい的な部分も多いので変更点が気になる方は適当に飛ばしてください。 そもそもWAFとは AWS WAFの前にWAFの話をします。WAFはWeb Application Firewallの略でWebアプリケーションを保護するためのソリューションです。 一般的なWebアプリケーションに対する攻撃手法としてSQLインジ
防衛省の新型コロナウイルスワクチンの高齢者向け集団接種のインターネット予約サイト。任意の数字を打ち込むと予約が進められることが分かった=2021年5月17日 東京23区と大阪市の住民を対象に17日始まった新型コロナウイルスワクチンの高齢者向け大規模集団接種のウェブ予約で、実際の接種券に記載されていない架空の数字を入力しても予約ができることを、毎日新聞記者が複数の数字で確認した。予約の対象は65歳以上だが、65歳未満となる生年月日を入力しても予約できることも確認。架空の数字を使って予約枠を「占拠」することもできるとみられ、予約システムの信頼性が問われそうだ。 17~23日の予約は東京23区と大阪市に住む65歳以上の人に限定されており、地方自治体から送付された接種券の6桁の市区町村コード▽10桁の接種券番号▽生年月日――を打ち込んで、希望日と会場を予約する仕組みだ。
コンテナイメージのレジストリでは、脆弱性検査の実装が当たり前になっている。企業でKubernetesなどコンテナを使用するにあたって脆弱性対策がどれほど重要なものか理解するために、脆弱性検査や、関連する国際的な標準について整理した。 脆弱性(ぜいじゃくせい)とは 脆弱性とは、プログラムの動作の不備を悪用される情報セキュリティ上の弱点である。つまり、ソフトウェア上の問題が原因となって生じた欠陥であり、セキュリティホールとも呼ばれる。当然、ソフトウェア開発者は、脆弱性を産まないように細心の注意を払ってコード開発を進めるが、開発者が利用するオペレーティングシステムのライブラリやパッケージに含まれることもある。そのような事情から、開発者の責任範囲外に原因がある場合も多くある。 潜在的な脆弱性を突いた新たなクラッキングの手口が、時間の経過ともに発見される。そのことから、開発当初はコードに脆弱性は無い
ノンアルコールビール沼に引きずり込む
1971年東京生まれ。デイリーポータルZウェブマスター。主にインターネットと世田谷区で活動。 編著書は「死ぬかと思った」(アスペクト)など。イカの沖漬けが世界一うまい食べものだと思ってる。(動画インタビュー) 前の記事:コレクション自慢の会~酒屋看板とトイレに咲く花 > 個人サイト webやぎの目 今回のメンバー、林、橋田がアルコールを断った 林: 禁酒サークルの会にようこそ。やめてるのはおれと橋田さんだけですかね。古賀さんやめてるんでしたっけ。 古賀: ちょっと飲んでます。たまに ナオ: あれから過度には飲んでないけどだらだら飲んでしまってます。 橋田: 飲むことは悪いことじゃないからいいんじゃないですか ナオ: いや、ちょっと今恥ずかしい気持ちになりましたから 林: 拙攻さんに至っては、止めてるなんて一言も言ってないのにただ呼ばれた。 古賀: 健康状態も悪くないんですよ。ただ詳しいから
バグハンターmageに聞くバグハンティングの方法とセキュアなサービス作りに必要なこと|ハイクラス転職・求人情報サイト AMBI(アンビ)
バグハンターmageに聞くバグハンティングの方法とセキュアなサービス作りに必要なこと バグハンターとは、Webサービスやソフトウェアなどに含まれる脆弱性を、システム改善のために探し出す人々です。バグハントの方法は非常に多岐にわたりますが、具体的な手法、使用ツール、ハントのマナーを凄腕のバグハンターに聞きました。mageの名で知られる馬場将次さんが語り下ろす実践的なノウハウは、サービスをセキュアなものにしたいエンジニアのみなさんにとっても重要な知見になるでしょう。 バグハンティングを犯罪にしないために必ず知っておきたいこと 馬場流バグハント手法「調査」「解析」「実証」。そして「普通はやらない」を無数に試す 防御のために、言語やフレームワークの実装を学ぼう。コード読解から、違和感を見つけ出す方法を実践してみる XSSの現在。技術の進化と並走する攻撃手法の進化 セキュリティを理解するためにまずは
「日本のエンジニアは不足しているというけれど本当? その原因は?」 「わが社でもエンジニアが不足していて困っている、何かよい解決法はないか?」 いまこの記事を読んでいる方は、そのような疑問や悩みを持っているのではないでしょうか? 「エンジニア不足というのはウソだ」と主張する向きもありますが、実際にデータを見ると確実にエンジニアは不足しています。 2018年時点の調査で22万人、このままいけば最悪の場合は2030年時点で79万人が不足すると予想されているのです。 原因として考えられるのは以下のようなことです。 ・IT市場が急成長している ・技術革新のスピードが速い ・エンジニアの高齢化が進んでいる ・IT業界の労働環境がよくない そして、この解決のために企業がとれる対策としては、以下が挙げられます。 ・エンジニアの待遇を改善する ・社内で人材を育成する ・海外人材を活用する そこでこの記事で
自分は以前に以下のエントリを書いた。 「某国立病院のITエンジニア職を辞めることにした」 https://anond.hatelabo.jp/20210228121158 あれから約1年。久々に見ると、それなりに反響があったようだ。 記載の通り、自分は某国立と名の付く病院を辞め、現在は民間企業の情報システム部門のエンジニア職だ。 辞したことは後悔していない。待遇も収入も向上し、環境が良くなり、第一、今の職場は同僚が良い人だ。 上場企業であり、海外の売上が高く、企業名は誰でも知ってると思う。 公的な機関での医療情報の世界から飛び出て、客観的に前職を見つめることができる今、はやり前職は特殊(というか閉鎖的)だったと思わざるを得ない。 転職後、何が良くなったかまず、モラルのない職員がいない。 前職で目を疑った出来事の1つが、アルバイトの非常勤職員に物理的・精神的暴力を振るう医療情報技師がいたこと
僕にとってはLinuxデスクトップ元年は学部4回生だった1999年あたりにきて、一瞬(研究室でMacbookを買ってもらって結局firefox+emacs+端末しか触らなくなったという)浮気した時期があったものの20年ほど主なデスクトップ環境としてはLinuxだけを使う生活をしています。 たまにバグレポートをするくらいで積極的に開発に参加しているわけではない身ですが、いろいろなものが順当に進化しているなと思っています。 あとこれは僕がたまたまそうなだけで一般的には言えない話なのですが、仕事でLinuxに詳しくなったのがそのまま日常生活に有益だし、その反対もあるのでLinuxデスクトップすごくいいです。日常でちょっとハマッた時に仕事の知見がつかえるのはかなりお得感があります。 ちょうど2019年も今日で終わりですので、僕の記憶からここ20年くらいのLinuxデスクトップについての思い出や感想
オープンソース化を目指している「シン・テレワークシステム」 ーーここからは、登さんが作られた「シン・テレワークシステム」についておうかがいしたいと思います。このシステムは、現在約18万人の方が利用されていますが、今現在はどのようなことを行っているのでしょうか? 登大遊氏(以下、登):「シン・テレワークシステム」はIPAとNTT東日本で作ったソフトウェアで、確かに十数万人が使っていますが、まだ実験フェーズでして。今後は本格化を目指していて、そのために、同じシステムのものを日本国内のどんな事業者、ITエンジニア、とにかく誰でも同じものを自分で構築して運営できるようにしようと思って改良しています。 つまり、オープンソース化です。技術の秘密の部分はなくして、全日本人の方々に、無料で全部共有・公開して、使用制限も設けず、誰でも自分の会社の専用シン・テレワークシステムや、お客さんのために、自社ブランド
こんにちは。しなもんです。 今回は自分用のメモを兼ねて、無料で入手できるセキュリティ分野の定期発行物をまとめます。 注意点 日本の公的機関 海外の公的機関 日本の企業 海外の企業 週次まとめ 注意点 ・私が認知しているものに限るので、網羅性はあまりありません。 ・年次レポートだけを出している会社は挙げだすときりがないのでほとんど割愛しています。 ・海外の CERT 系は探せばもっといろいろあると思いますが、これもきりがないのでほぼ挙げていません。 ・リンクはなるべく記事の一覧ページにしていますが、ない場合は本記事執筆時点での最新版のページにしています。ご覧になった時点ではより新しい版が出ていることがあります。 日本の公的機関 情報セキュリティ白書 (IPA) www.ipa.go.jp 発行頻度:年次 各省庁などが発行している「なんとか白書」の情報セキュリティ版です。 インシデントの状況や
セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン・サービスのまとめ - FFRIエンジニアブログ
はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。先日は「セキュリティエンジニアを目指す人に知っておいてほしい組織」を公開しました。今回は、セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン、サービスについてまとめました。こちらも、セキュリティエンジニアとして働いていると日常的に会話に出てくるものばかりです。これからセキュリティを学ぼうという方の参考になれば幸いです。なお、記載した情報はすべて執筆時点 (2023 年 7 月) のものです。 はじめに 制度・ガイドライン セキュリティ設定共通化手順 (SCAP) 共通脆弱性識別子 (CVE) 共通脆弱性評価システム (CVSS) ISMS適合性評価制度 政府情報システムのためのセキュリティ評価制度 (ISMAP) CSIRT Services Framework PSIRT Services Framewo
動機 おそらくCMSがクラッキングされて、私のブログの文章を断片的にコピーしたサイトがフィッシングサイトへの誘導に使用されているのを見つけたので、コンテンツをホスティングしている会社に片っ端から不正利用を報告しました。各社の窓口と対応スピードをまとめておけば、今後の自分の役に立ちそうだったのでまとめておきます。 なお、他人のブログをコピーしたものをつなぎ合わせたり、キーワードがひたすら埋め込まれたページを追加してフィッシングサイト等に誘導する手口はジブリッシュハックと呼ぶそうです。 意味不明な内容によるハッキングを解決する | Web Fundamentals | Google Developers 被害を受けるとこういう感じのページが量産されます。 今回の報告はすべてジブリッシュハックに対するものです。 なお、今回の報告対象は脆弱性ではないのでIPAには報告していませんが、脆弱性
情報処理推進機構(IPA)の公式Webサイトリニューアルにおいて、多くのページにリダイレクト設定がなされず問題視されていた件を巡り、IPAは4月3日「ご不便をおかけしまして大変申し訳ありません」と謝罪した。 IPAは3月31日に公式Webサイトの全面リニューアルを実施。モバイル端末からの閲覧を意識したデザイン改修、コンテンツへの導線の改善などを図ったとしていた。その中で多くのページのURLも変更したが、リダイレクト設定がほとんどなく、既存のリンクを開いても「404 Not Found」とのみ表示されることが問題視されていた。 謝罪文によると、リニューアルに際して「安定的なレスポンスの確保を考慮し、リダイレクト対象とするコンテンツを選定した」という。しかし、多くのユーザーがIPAのコンテンツを資料として使っており、その影響について認識が不足していたのが原因の一つとしている。 なぜ「404エラ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
情報セキュリティ白書2020 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構
基本情報に合格できない若者の為の打開策:ITエンジニアの高年収戦略:エンジニアライフ
国内の情報セキュリティに関連する組織・情報源について - Qiita
LINE「OpenChat」で「出会い募集」相次ぐ 運営元「強制退会、利用停止など行う」
実践要件定義入門 - 勘と経験と読経
情報処理技術者試験は終わった - orangeitems’s diary
けしからん本屋とけしからん大人たちが僕を育てた 天才プログラマー登大遊氏をかたちづくった「あの本屋」
IPA、「情報セキュリティ10大脅威 2024」の解説および対策のための資料公開
登大遊、落合陽一を生んだ、未踏の父・竹内郁雄に聞く「優れたエンジニア」に必要なこと - エンジニアtype | 転職type
「経営層への情報セキュリティの説明大変ですよね?」 IPA、予算確保の説得材料を出してくれるツール公開
デジタルスキル標準 | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
Windows と日本語のテキストについて - Windows Blog for Japan
「情報」が国立大入試で必須化、6教科8科目制に 「大学教育を受ける上で必要な基礎能力」
「影響範囲の考慮漏れ」によるソフトウェアトラブルの多発はビジネス継続性に対する危険信号|mtx2s
好きなマンガを好きなだけ語り合うオフ会レポート(37作品を紹介)
ダークネットで観測できる面白パケットいろいろ - ラック・セキュリティごった煮ブログ
重要情報を扱うシステムの要求策定ガイド | 社会・産業のデジタル変革 | IPA 独立行政法人 情報処理推進機構
クラスメソッド 標準セキュリティチェックシートを公開しました | DevelopersIO
「情報セキュリティ白書2022」、IPAが公開 国内外の政策や被害実態など240ページに渡り解説
IT 担当者ならみんな読みたい!! セキュリティ情報サイト5選 | DevelopersIO
AWS WAFを完全に理解する ~WAFの基礎からv2の変更点まで~ | DevelopersIO
大規模接種ウェブ予約 架空の数字で登録可 券番号も、年齢も | 毎日新聞
コンテナ・セキュリティ入門 脆弱性 - Qiita
エンジニア不足が加速する日本|現状と原因、対処法をくわしく解説 - GALK(ガルク)
某国立病院ITエンジニアから民間へ転職し、感じたこと
「Linuxデスクトップ元年」から20年経った - mrwk update
けしからん日本に足りないのは“船を作ろうとしないこと” 登大遊氏が語る「シン・テレワークシステム」のオープンソース化とデジタル敗戦解消のためにとるべき道筋
無料で読めるセキュリティ定期発行物のまとめ - 午前7時のしなもんぶろぐ
レンタルサーバー運営会社に不正利用を通報したときの窓口と、各社の対応をまとめた。 - Qiita
IPAのサイトリニューアルで「404エラー」多発、一体なぜ? 経緯を聞いた