Amazon.com、同社内で使われていた従業員向けのセキュリティオンライントレーニングを無償で一般公開、日本語版も提供
Amazon.com、同社内で使われていた従業員向けのセキュリティオンライントレーニングを無償で一般公開、日本語版も提供 Amazon.comは、これまで同社内で従業員向けに提供してきたセキュリティのオンライントレーニングコースを無償で一般公開しました。 Starting today, we're making the same cybersecurity training used by Amazon employees available to businesses and individuals around the world at no cost. #CybersecurityAwarenessMonth https://t.co/h1EXJf6lrn — Amazon News (@amazonnews) October 26, 2021 セキュリティトレーニングは「Cyber
こんにちは、ZOZOテクノロジーズで執行役員CTOをしている @kyunsです。 本記事はCTOA Advent Calendar2020の 16日目の記事となります。 この記事ではZOZOでの2年半を振り返り、テックカンパニーを目指す中でCTOとしてどのようなことに取組み、結果としてどういう変化が起きたかについて紹介したいと思います。 同じような立場のCTOやこれからエンジニアリング組織を強化していきたい方々の参考に少しでもなればと思います。 自己紹介と背景 私はヤフーに2006年に新卒で入社し、3年働いた後に当時一緒に働いていた金山と一緒にVASILYというスタートアップを創業し、受託アプリ開発や「IQON」というサービスを開発していました。 何度かの資金調達などを経て、最終的に2017年にZOZOへ売却し、ZOZOの完全子会社となりました。その後、2018年の4月には当時のスタートト
といった感じです。(この例、下で問題例として取り上げるため、実はおかしなチェック内容にしています。) "No.~基準"までがシートに記載されていてます。回答する発注先企業は"Yes,No,N/A"を3択で✅をつけ、備考欄にNoやN/Aの理由のほか、注記を記載できます。こういう項目が20~500項目あるExcelのシートに、発注先企業の回答担当は自社の状況、対応を確認しながら、ひたすら記載してゆくわけです。 知ってる人は知っているが、知らない人はぜんぜん知らない 最近参加したエンジニアがぞろぞろいらしたカンファレンスで、私が 「……あの セキュリティーチェックシート ってあるじゃないですが、あの 面倒なアレ です。アレにこの規格を採用するよう書いてあったら、各企業に規格の採用が広がるかもですね。あはは。」 と話したことがありました。その瞬間、 嫌なことを思い出したのか顔を曇らせたり苦笑いをす
─これから挑戦する次の誰かにとって、何かの気づきになったら嬉しいです。 @GussieTechです。ひとりで「理想のタスク管理ツール」を作っています。いつも使ってくださっているみなさん、本当にありがとうございます。今日は、ひとり開発の知られざる5年間を、惜しみなくシェアします。 僕が作ったサービス5年前「理想のタスク管理ツールを作ろう」と思いたちました。軽くておしゃれで「人」に寄り添う、他にはないサービス。こんなものを無料でリリースしたら、世の中ひっくり返るんじゃないかって、本気で思って作りました。それはもう、ワクワクしました。 総売上高 1,240万円。スペース 5,873登録¥12,403,567名前は「Repsona」といいます。ワクワクを原動力にひとりで作ったRepsonaは、5年でこうなりました。数字に感じるところは人によると思います。趣味の個人開発としては大成功。スタートアップ
セキュリティチェックシートって大変ですよね 「契約締結目前で、今日もらったチェックシートを3日後までに出せば決まりです!」 「これNGだと契約できないんですけどなんとかならないですか?」 「(書いてもらったシートをレビュー中)え!?これOKじゃなくてNGですよ!?」 「書き始めたら8時間以上かかってるんですけどこれ無償対応なんですか・・・?」 っていうことありませんか!?ない!?良かったですね!!(血涙) ということで、結構セキュリティチェックシートで苦労しています。 過去にISMS認証を取得したときには「これでちょっとは楽になるな!よかった!」と思ったもんですが、 大きく楽になった感じはありません。 といっても、セキュリティチェックシートは次々来るので、なんとなく悟りが開けてきました。 ということで、道半ばではありますが、 そもそもセキュリティチェックシートってなんだっけ? なんで苦労し
セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン・サービスのまとめ - FFRIエンジニアブログ
はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。先日は「セキュリティエンジニアを目指す人に知っておいてほしい組織」を公開しました。今回は、セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン、サービスについてまとめました。こちらも、セキュリティエンジニアとして働いていると日常的に会話に出てくるものばかりです。これからセキュリティを学ぼうという方の参考になれば幸いです。なお、記載した情報はすべて執筆時点 (2023 年 7 月) のものです。 はじめに 制度・ガイドライン セキュリティ設定共通化手順 (SCAP) 共通脆弱性識別子 (CVE) 共通脆弱性評価システム (CVSS) ISMS適合性評価制度 政府情報システムのためのセキュリティ評価制度 (ISMAP) CSIRT Services Framework PSIRT Services Framewo
はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。セキュリティエンジニア同士の会話では、「"シサ"が最近またレポート出していて…」とか「"アイピーエー"から注意喚起出てたね」といった、初学者には謎の単語がたくさん出てきます。本記事では、そういった会話に出てくる単語のうち、国内外のセキュリティ関連の主な組織についてまとめました。セキュリティに興味があれば、ここに挙げた組織と、その組織が関わる政策や活動について、事前に抑えておいて損はありません。これからセキュリティを学ぼうという方の参考になれば幸いです。 なお、記載した情報はすべて執筆時点 (2023 年 6 月) のものです。 【2023/06/30 追記】NISC および ENISA の日本語名称を修正、CISA の読み方について修正・追記、NCSC について追記しました。 はじめに 中央省庁 内閣サイバーセキュリティセンタ
セキュリティの立ち上げで何をやる?
最近、セキュリティの立ち上げで何をやったらいいかわからない、という質問を何度か受けるケースがあったので、最初に何をやるか、というのを情シスやセキュリティ担当者としての考えをまとめてみる。 著者のキャリアについて セキュリティの立ち上げについて書く以上、信頼に足る情報源なのか?という疑問がわくと思うので、簡単に著者のキャリアを書いておきます。 2002年にSIerでIT業界に入り、研究所のNetwork Admin、Web penetration test、ISMSコンサルの補佐などやり、その後外資プリセール分野で7年仕事して、最初のSIに戻ってセキュリティソリューションの立ち上げを担当、その後ユーザーサイドにキャリアを変えて、外資石油系企業のセキュリティアナリスト、中国系スタートアップのInfoSec Director&一人情シスをやってきたキャリアです。CISSPは2019年に取得してお
より安全にご利用いただけるようになったClassiのご報告と今後の取り組みについて | Classi(クラッシー) - 子どもの無限の可能性を解き放ち、学びの形を進化させる
1.はじめに 2020年4月(昨年)、当社サービス「Classi」に不正アクセスがあった件に関し、過去一年間、弊社はこれを重く受け止め、お客様に安全にClassiをご利用いただく事を当社事業の最優先事項とし、各種対策を年間を通じ実施してまいりました。 今年度も、昨年度から継続して、サービスのセキュリティを重視した全社的な対策を実行していく所存でございますので、以下に発生直後の対応、及び今日までに実行いたしましたセキュリティ強化対策を含めて、今後の取り組みについてご報告いたします。 現在に至るまで同様の不正アクセスは起こっておらず、セキュリティ状況についても外部企業の第三者調査の結果、他社と比較して標準水準以上に強化できていると評価いただいております。また2021年3月のISO/IEC27001に基づく情報セキュリティマネジメントシステム(ISMS)の継続審査 においても、マネジメントシステ
経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在 - まるちゃんの情報セキュリティ気まぐれ日記
国民に「マイナンバー」の共通番号法案を閣議決定、2015年から利用開始目指す (shimarnyのブログ) 内閣官房情報セキュリティセンター/NISC (Wiki (PukiWiki/TrackBack 0.3)) Twitter Trackbacks () 君は生き残ることができるか? (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 公認会計士試験の最新情報について (公認会計士試験ガイド★講座 対策 受験 求人 事務所 問題集 合格 資格 学校) 短答式合格率4.6%に! (■CFOのための最新情報■) 世間が反対するDPI広告を擁護する (んがぺのちょっとした政治・経済の話) 米国防総省、米軍サイバー対策を統括する司令部を設立 (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 総務省 (時の流れ) クラウド・コ
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、セキュリティ対策に注力する企業の事例をもとに、予算も人材も限られた中堅・中小企業がITに投資する際のポイントをご紹介します。 日経新聞記者がサイバーセキュリティの要点を語る 寺岡篤志氏:日本経済新聞の記者の寺岡と申します。私からは「セキュリティはコストではなく戦略投資 年1億以上の予算をかける部品メーカーのグッドプラクティス」というタイトルで、お話をさせ
2023年の4月から、プロダクト開発チームのEMを務めている岩谷です。本記事では、当時プロダクトエンジニア13人中3人の退職が重なる中々しびれる状況から、エンゲージメントや開発品質の改善に向き合い、怒涛の半年間が過ぎ、現在21人の組織になるまでに取り組んできたことや学びについてご紹介できればと思います。 事業背景2023年3月以前、以下のような組織体制で、私はML Engineering / MLOpsを推進する基盤チームのEMを勤めておりました。 プロダクト開発チームは、いわゆるマトリクス組織で、3つの職能横断のフィーチャーチームを構成し1つのAnewsというプロダクトを開発していました。エンジニアは全体でEMが1名、チームごとにエンジニアのリーダーがおり、開発の運用方法は全て各チームに委ねられている状態でした。 そんな中、EM1名、リーダー1名、エンジニア1名が新しいチャレンジの場を求
【開催報告】プラットフォームエンジニアリングって何?〜基本から AWS での実現方法について〜 | Amazon Web Services
Amazon Web Services ブログ 【開催報告】プラットフォームエンジニアリングって何?〜基本から AWS での実現方法について〜 みなさんこんにちは!アマゾンウェブサービスジャパン合同会社 ソリューションアーキテクトの後藤です。 2024 年 2 月 29 日に AWS オンラインセミナー「プラットフォームエンジニアリングって何?〜基本から AWS での実現方法について〜」を開催しました。 本イベントは、プラットフォームエンジニアリングの基本的な概要と現状について解説した上で、SRE や DevOps との関連性、どんな課題をどう解決するのか、実装するとなれば、AWS でどう実現するのかといった点についてご紹介させていただきました。400 名を超える多くの方々にご参加いただきました。ご参加いただいた皆様、誠にありがとうございました! アジェンダ AWS メンバーから、プラット
情報セキュリティに関係する基準、ガイドラインなど - rokujyouhitoma's blog
いつも見直すときに探し直す羽目になってしまうので情報セキュリティに関係する法規、基準、ガイドラインなどをまとめておく。 こうやってリストアップし俯瞰すると、多くは経済産業省、IPA。 基準、ガイドライン 営業管理秘密指針 https://www.meti.go.jp/policy/economy/chizai/chiteki/guideline/h31ts.pdf サイバーセキュリティ経営ガイドライン サイバーセキュリティ経営ガイドライン(METI/経済産業省) クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版) https://www.soumu.go.jp/main_content/000566969.pdf Ref: 総務省|報道資料|「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」の公表 テレワークセキュリティガイドライン第5版(令和3
元BIG4コンサルが中小企業のセキュリティ対策を考える
記事の執筆背景 私がベンチャー企業にジョインしてみて、これまで各領域では百戦錬磨の猛者たちも、セキュリティの分野となると結構ちんぷんかんぷんで、 セキュリティの専門家同士で話している中ではもはや当たり前であることは、一般事業会社や、ベンチャー企業では全く当たり前ということはないということを肌で感じた。 そのようなメンバーの環境の中で、さらに判断をより難しくさせるのは、「推進側にプロジェクトスコープなんてものはない」ということである。 コンサルのプロジェクトは受注した時点でプロジェクトリスクを最大限提言するために、業務実施スコープをできるだけ制限し明確に決定することから、コンサル時代であれば 「〇〇の対策をすべきです(ただし、手間はかかりそうだし、一番嫌がっていた○○部長が大変になりそうだけど、そういうのはいったん考えないでいいか)」というようなアウトプットも出されていたりするのだけれど、
夢と応用の概念が膨張したブロックチェーンの2021年2021年は、ブロックチェーンに関係する概念や言葉が、改めて注目を集めた年だったのではないだろうか。2008年に公開されたSatoshi Nakamotoによる未査読の論文によってビットコインが誕生し、その後ビットコインの基盤的機構をブロックチェーンという形で抜き出し、さまざまな応用への検討がなされたが、一方でブロックチェーンを利用する必然性を持った応用が見つけられない状況が続いていた。しかし、2021年になって、必ずしも新しい言葉や概念ではないものの、ビットコインが目指している方向である「正しい運用を仮定できるサーバを不要とする」という概念に基づく様々な言葉と、その言葉に関係する技術開発やプロジェクトが登場した。その多くは、プラットフォーマーによる独占からの解放、社会的な活動の民主化、陽が当たらなかった人へのインセンティブづけ、金融包摂
歴史・年表でみるAWSサービス(Amazon S3編) -単なるストレージではない機能・役割と料金の変遷- - NRIネットコムBlog
本記事はNRIネットコム Advent Calendar 2021 1日目の記事です。 🎄 0日目 ▶▶ 本記事 ▶▶ 2日目 🎅 小西秀和です。 現在、AWSでは年に一回のAWS re:Inventというイベントの真っ最中で多数の新サービスの発表やセッションがおこなわれています。 そんな状況ですが、今回は当ブログ初のアドベント企画ということで、最新情報とは真逆のアプローチで記事を書いてみました。 最新情報を追うことに疲れた方はこちらの記事で、自分の歴史と照らし合わせながらチルアウトしてみてはいかがでしょうか。 さて、今回のテーマはAmazon S3の年表を作って歴史やアップデートを振り返ろうというものです。このテーマにしたきっかけは2つあります。 まず、1つ目は2006年3月14日にサービス開始したAmazon S3が今年、2021年3月14日に15周年を迎えたことです。 そして2つ
はじめに こんにちは。セキュリティ・ディレクション室/セキュリティスペシャリストの戸田 薫です。ヤフーのセキュリティを担当しています。 ヤフーでは、ユーザーへの安心・安全なサービス提供の実現にむけて日々取り組んでいます。今回は セキュリティに関する取り組みを簡単に紹介いたします。 はじめに 日々、攻撃は行われている なぜ攻撃者は攻撃をするのか? セキュリティ対策の考え方 攻撃は防げない 問題は早期発見する システムを堅牢化する 多層で防御する 権限を最小化する システムに任せる 専門家に任せる 脆弱性を埋め込まない・取り除くための組織体制のあり方 ガイドラインと教育を提供 システム・ソフトウェアの健康状態を確認し続ける 脆弱性を探す 近年のセキュリティの取り組み TLS 1.0 と 1.1 のサポートを終了 DNS CAA の 導入 プライベートバグバウンティのトライアル さいごに 日々、
注:この記事は、有識者個人の意見です。COVID-19有識者会議の見解ではないことに留意ください。 HER-SYSは行政機関と自治体、医療機関、そして感染者自身が共同利用するシステムであり、感染者にかかる要配慮個人情報を大量に扱うシステムである。このような特徴を持つシステムがゼロトラストネットワークモデル上に構築されたのは、日本では最初の事例であろう。港区は2020年5月1日にHER-SYS先行利用自治体に応募し、5月15日にはNESIDからのデータ移行を受けて、試行を開始した。保健所で最初の日に教えられた、感染症法における人権擁護と信頼関係。HIV等の検査はすべて匿名で受けられ、個人を特定できる情報は取り扱わない。要配慮個人情報を集めるシステムであればこそ、丁寧に個人情報保護と情報セキュリティの内部監査をしよう、そう考え始めていた2020年7月最初の週末に事件は起こった。港区では、情報安
この記事は、6月から始まっている #LXベッテク月間 38日目の記事です。 前日の記事は@akino_1027さんの「複数プロダクトに散らばったデータ統合に苦労した話」でした。 tech.layerx.co.jp Oui。CTO室およびFintech事業部で色々やってる @ken5scal です。本記事はSlackの障害中に書いています。 突然ですが、皆さんは当社のイネーブル担当として入社した名村さん(執行役員)がスピーカーとして登場したエピソードを聞いていただけましたでしょうか Podcastエピソード -> LayerX NOW!:Apple Podcast内の#51 Suguruさんを迎えて、LayerXが目指す「縦で突き抜けて横でイネーブルメントしていく組織」【メンバー:suguru×mosa×y_matsuwitter】 入社ブログはこちら -> 名村卓がLayerXへ「自分の
CISSP 勉強ノート
目次の表示 1. 情報セキュリティ環境 1-1. 職業倫理の理解、遵守、推進 職業倫理 (ISC)2 倫理規約 組織の倫理規約 エンロン事件とSOX法の策定 SOC (System and Organization Controls) レポート 1-2. セキュリティ概念の理解と適用 機密性、完全性、可用性 真正性、否認防止、プライバシー、安全性 デューケアとデューデリジェンス 1-3. セキュリティガバナンス原則の評価と適用 セキュリティ機能のビジネス戦略、目標、使命、目的との連携 組織のガバナンスプロセス 組織の役割と責任 1-4. 法的環境 法的環境 契約上の要件、法的要素、業界標準および規制要件 プライバシー保護 プライバシーシールド 忘れられる権利 データポータビリティ データのローカリゼーション 国と地域の例 米国の法律 [追加] サイバー犯罪とデータ侵害 知的財産保護 輸入と
CTO室 @ken5scal です。座右の銘は「当社はブロックチェーンの会社ではもうありません」です。 主にインフラ構築・運用をしたり、社内の基盤を整えたり、不具合を特定して git blame したら自分のcommitで泣いたりしています。 当社は「すべての経済活動を、デジタル化する」というミッションを掲げており、生産性向上の達成という価値を新しいサービスによって提供しています。 しかしながら、新しい価値にはリスクが伴います。信頼できない価値を提供するサービスを採用する合理的な判断はありませんので、お客様に価値を価値のまま提供しなければlose-loseな関係になってしまいます。 今回は2021/08/27に発表されたISMS認証の基準準拠を含む、「LayerXは信頼できる」ブランドを確立していくための当社のITガバナンス活動について触れようと思います。 prtimes.jp ガバナンス
【後編】「やるべきことをちゃんとやる」- Amazon ECS と Spot インスタンスを使いこなす Repro 株式会社 CTO 橋立さん に、開発体制や Repro ならではのシステム要求、AWS の活用方法をお伺いしました | Amazon Web Services
AWS Startup ブログ 【後編】「やるべきことをちゃんとやる」- Amazon ECS と Spot インスタンスを使いこなす Repro 株式会社 CTO 橋立さん に、開発体制や Repro ならではのシステム要求、AWS の活用方法をお伺いしました みなさんこんにちは、Startup Solutions Architect の塚田(@akitsukada)です。 前編に続き、Repro 株式会社の CTO、ジョーカーさんこと橋立友宏さん(@joker1007)にお聞きした話の後編をお届けします。後編では、急激なスパイクアクセスにいかに対応しているか、いかに高速に柔軟なセグメント抽出を可能にしているかなど Repro ならではの技術要件と、Docker コンテナのオーケストレーションや Serverless などの技術に関して橋立さんはどう見ているかなどの技術論、そして今後の展
_-_2021%252F12%252F28)
忙しい人のためのサイバーインテリジェンス(旧 情報収集) - 2021/12/28 - Secure旅団 情報収集(公開用)
#2020125th #202028 #情報収集 今週のおすすめ/一言所管 デジタル庁の登場により、官主導のデジタル化は加速するだろう。また、行政改革担当大臣による官内のデジタル化は進む。ゼロトラストも取り入れられる #trust #governance 一方、ドメインハイジャックや法人間・グループ企業間をまたいだ脅威が多く見られた #governance #vulnerability #threat #gov 系としての全体サプライチェーン監理が重要になることを予想 同時に、依存サービスの設定不備が大インシデントにつながる事例も散見 #vulnerability #threat コンプライアンス・ガバナンス <-> 実装間の時間・距離を縮めることが鍵 各種EntityのDigital Identity周りのコア度が増していくと思われる #identity 人のDigital Identi
セキュリティ対応組織の教科書 第3版
© 2023 ISOG-J セキュリティ対応組織(SOC/CSIRT) の教科書 ~ X.1060 フレームワークの活用 ~ 第 3.0 版 2023 年 2 月 13 日 NPO 日本ネットワークセキュリティ協会 (JNSA) 日本セキュリティオペレーション事業者協議会 (ISOG-J) © 2023 ISOG-J 改版履歴 2016/11/25 初版作成 2017/10/03 第2.0版作成 ・7章、8章の追加 ・別紙に「セキュリティ対応組織成熟度セルフチェックシート」を追加 ・これらに伴う、1章の修正 ・その他、軽微な修正 2018/03/30 第2.1版作成 ・ 「8.3. 各役割の実行レベル」における、成熟度指標(アウトソース)の 改善 ・これに伴う、別紙「セキュリティ対応組織成熟度セルフチェックシー ト」の修正 2023/2/13 第3.0版作成 ・ITU-T 勧告 X.106
Connect-Web: It's time for Protobuf and gRPC to be your first choice in the browser Today we're releasing connect-web, an idiomatic TypeScript library for calling RPC servers from web browsers. If you've been unimpressed by gRPC and Protobuf on the web before, now's the time to take another look: connect-web generates modern TypeScript that's just as ergonomic as a hand-written REST client. Client
海外のデータ保護に関する規制強化が大きなリスクに企業におけるデータ管理体制が問われるようになっている。最近では、欧州の「一般データ保護規則」(GDPR)、米カリフォルニア州の「消費者プライバシー法」(CCPA)など、厳しい規制も登場している。日本企業にはどのような影響があるのか。TMI総合法律事務所の寺門峻佑弁護士は次のように答える。 「GDPRは2018年5月に施行されました。当時は、企業として、法令に準拠するための体制整備についての相談が舞い込みました。最近は企業としての体制整備は進んでおり少し落ち着いていますが、一方で、海外にも顧客のいるアプリやゲーム、クラウド上で各種サービスを提供するSaaSビジネスを展開する際に、海外の法令に準拠しなければならない要請があり、その種の依頼が増えています」 データを取り扱うビジネスを行っている企業にとって、GDPRやCCPAなどの法令は当然知ってい
任天堂はなぜ「Nintendo Switch Online」のインフラに「AWS」を選んだのか
関連キーワード Amazon Web Services | Oracle(オラクル) | IaaS システムのインフラにクラウドサービスを採用することで、サーバやストレージといったインフラリソースを需要に応じて迅速に拡縮できるようになる。こうしたクラウドサービスのメリットに注目する企業は少なくない。任天堂やアパレル通販会社スクロールのクラウドサービス導入事例など、クラウドに関するニュースを6本紹介する。 紹介するニュース 自治体IT市場が縮小、「自治体クラウド」推進が要因? 矢野経済研究所調べ 任天堂が「Nintendo Switch Online」のインフラにAWSを採用 その理由は アパレル通販のスクロール、受注管理システムをOracle Cloudに移行 セキュリティに配慮した政府向けクラウドサービス群、NTTデータが提供 ハードを月額課金で使えるサブスク、富士通が提供 ハイブリッド
PPAPはセキュリティ対策としての効果が薄いばかりか、生産性の低下を引き起こすと指摘されている。約9割のメール通信サービスが対応している機能を使えば、PPAPの矛盾を解消し、安全かつ楽に添付ファイルを送信できるという。 脱PPAP論の上原 哲太郎教授と問題解決の方向性を議論 セキュリティ効果が薄く業務効率を下げるといわれる「PPAP」(暗号化ZIP添付メール)だが、「周りが続けているからやめられない」という本音も漏れ聞こえる──メール誤送信防止サービスを提供するクオリティアは2022年8月、脱PPAP論で知られる立命館大学教授の上原 哲太郎氏を招いてオンラインセミナー「上原哲太郎氏×老舗メールセキュリティベンダーのガチンコ対談 ~『脱PPAP』対策:コスト・慣習の壁を打ち破る現実的な進め方~」を開催した。PPAPの弊害とともに、メールサーバの多くが対応する機能を生かした脱PPAPアプローチ
誤送信を防止できた経験のアンケート 平野善隆氏(以下、平野):変なの第2弾で、誤送信防止の観点でのPPAP。「パスワードを送らないことで誤送信を防止できた経験がありますか?」というアンケートで、「複数回ある」「1度だけある」が合わせて13パーセントぐらいいて、それらの方がPPAPのパスワードを送らないことで誤送信を防止できたと言っています。 一方、先ほどのセッションで同じ話がありましたが、パスワードを送らない、元のzipのファイルは送っちゃったという状態が、情報漏洩に当たるのか当たらないのかは、けっこう意見が分かれています。パスワードを送らないことで誤送信防止が成り立つような考えがあるように見えて、実は情報漏洩に当たると。「なんかちょっとおかしいんじゃないの?」という気はしますが、もうちょっと分析してみました。 「1度だけある」と「複数回ある」と誤送信を防止できた経験のある方の意見を出して
SNSやWebサイトなどを使った予約システムは、近年、ITの知識がなくても簡単に作れるほか、無料で始められるサービスが増えています。 そんな予約システムの導入を考えている飲食店経営者に向けて、無料で簡単に作る方法や導入のポイントを紹介します。導入のメリット・デメリットも解説するので、検討する際の参考にしてみてください。 こんな人におすすめ 飲食店を経営しており、予約の受付・管理を効率化したい人 予約システムの導入を検討しており、無料で始められるサービスについて調べている人 機能やメリット・デメリット、導入の際のポイントについて知りたい人 予約システムを導入する方法 「LINEで予約」を活用する 予約システム作成ツールを使って予約サイトを開設する 自店のホームページに予約フォームを埋め込む 導入する際に見るべきポイント 無料で始められる簡単予約システム作成ツール12選 予約管理や顧客管理が簡
人類がZIPのパスワードを直後のメールで送る理由
IPAが公開している電子メール利用時の危険対策のしおりの影響 https://www.ipa.go.jp/security/antivirus/documents/07_mail.pdf ‘電子メールを安全に送受信するために、メールの本文や添付ファイルを暗号化することができます。‘ 普通の会社は安く手軽なセキュリティを好む、暗号化は簡単だ問題は暗号の解除だ そこでこんなサービスが登場する「パスワードは別メールで送信元に自動で同時送信」と言うものだググれば腐るほど出てくる システムさえ入れればお手軽なセキュリティしてますアピールが出来て漏洩したとしても言い訳がしやすい コストも安いとなると多くの企業が飛びついたのだろう、次! PマークやISMSを取得するために必要だから JIS改正に伴うプライバシーマーク審査基準の改正について https://www.jisa.or.jp/service/p
メドレー知財担当がエンジニア・デザイナー向け社内勉強会で"特許"について発表しました | MEDLEY Developer Portal
2020-05-22メドレー知財担当がエンジニア・デザイナー向け社内勉強会で"特許"について発表しましたはじめにこんにちは、メドレーのコーポレート本部法務コンプライアンス部で知的財産関連の業務を担当している鬼鞍です。コーポレート本部といっても、知財担当の仕事内容としてはエンジニア、デザイナーの方々としっかり協働することが一番大事なので、テックブログにも僭越ながら登場させていただきました。 先日、社内勉強会のテックランチにて、「特許」についてお話しする機会がありました。 今回の勉強会は、コロナウイルスの影響で全員オンライン参加という状況下でうまく伝えられるか心配だったのですが、予想以上に質問を頂いてそれなりに反響がありましたので、ここで紹介させていただこうと思います(厳密には特許権のことですがここでは説明の便宜上、以下特許と称することにします)。 みなさん、特許と聞いてどのようなイメージをも
EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。
はじめまして、セキュリティチェックシートの一元化に取り組むサービス「Assured(アシュアード)」の事業責任者を務めている大森と申します。 準備期間を含め約2年以上にわたりセキュリティチェックの課題に向き合ってきたことから、本問題について、私見を述べられたらと思い、この記事を書いています。 何か少しでも、同じ問題意識を持たれている方のお役に立てれば幸いです。 そもそも、セキュリティチェックとはSaaS/ASPの利用(検討)企業様(以下、クラウド利用企業様)とSaaS/ASPの提供企業様(以下、クラウド事業者様)の間で行われる、セキュリティに関するリスク評価業務を指します。 ※広義には委託先管理全般で用いられる言葉ですが、本記事では上記に絞り書かせていただいています。 多くは、各クラウド利用企業様毎に保有する、EXCEL等で作成された質問表をクラウド事業者様との間でやり取りする形で行われま
「当時、AWSは大手に勝つための切り札だった」専業SIの歴史で振り返る2010年代のクラウド、次の10年の技術
「当時、AWSは大手に勝つための切り札だった」専業SIの歴史で振り返る2010年代のクラウド、次の10年の技術 Amazon Web Services(AWS)が日本に上陸する前からAWSのシステムインテグレーションで注目を集めてきたアイレット。常に次のニーズを探り続ける同社が今狙うのは何か。ヒントは 「スピード感」と「社会インフラ」にある。 国内でAWSのインテグレーターとして必ず名前が挙がるのがアイレットだ。同社が運営する「cloudpack」は、AWSの幅広いプロダクトを導入・設計から運用保守まで、フルマネージド型のサービスで提供する。 AWSのパートナーは世界で1万社を超える。その中でAWSパートナーネットワーク(APN)プレミアコンサルティングパートナーは世界で115社だけ。そしてアイレットは日本に9社しかないAPNプレミアコンサルティングパートナーの1社だ。アイレット創業者であ
パソコンを買い替えて古いパソコンが不要になると、処分する必要がある。比較的スペックが高い機種ならネットオークションなどで売れる可能性もあるが、スペックが低かったり壊れていたりすると売れる可能性は低い。処分するのが妥当だ。 しかしパソコンは家庭ごみのようにごみ収集場に出すことはできず、定められた方法で処分しなくてはならない。そこで今回は、パソコンを正しく処分する方法を説明する。 データ消去を徹底する 最初に、パソコンのHDDやSSD内のデータを消去する方法を紹介する。処分する前にデータを抹消しておく必要があるためだ。 信頼できてデータ消去も実施すると説明している業者に依頼すれば、処分するパソコンからデータが流出する可能性を低くできるが、その可能性をゼロにはできない。2019年、神奈川県庁がリース契約満了に伴って返却したサーバーのHDDが、リース業者がデータ消去を委託した業者の社員によって、デ
2023年のプロダクトセキュリティを振り返る【各業界の開発・セキュリティエンジニア13人に聞く(前編)】 - #FlattSecurityMagazine
プロダクト開発・運用の現場では2023年のセキュリティ関連のトピックをどう受け止めているのか、また、今後のセキュア開発に関する潮流をどう予測しているのか。様々な業界で活躍する開発エンジニア・セキュリティエンジニアの方々13人に見解を伺いました。 今回は、「2023年のプロダクトセキュリティを振り返る」というテーマでお届けします! <13人の方々による「2024年セキュリティトレンド予想」> flatt.tech 今回コメントをいただいた方々 CADDi CTO 小橋昭文さん サイボウズ Cy-PSIRT Finatextホールディングス 取締役CTO/CISO 田島悟史さん Google 小勝純さん グラファー 森田浩平さん IssueHunt 取締役 CTO Junyoung Choiさん カンム 金澤康道さん メルカリ IDP team kokukumaさん メルカリ Product
自社の売上をぐんっと増加させるため、より効果的な開発の進め方を知りたいと思いませんか。 せっかく開発の仕事が取れても開発できるエンジニアがいない。そして売上の機会損失。 このような悪循環に陥ってないだろうか。 これだけサービスがありふれた時代にそんなもったいないことはもうやめましょう。 それでは何があるのか・・・ 「オフショア開発」を利用しましょう オフショア開発と聞いて、 海外で海外の人材を活用し開発を進めることに不安を覚えている方もいるかもしれませんが、 日本人が関わる体制をしっかり構築できれば、より安定した開発につながると考えられます。 また、全体像は分かるけど具体的な進め方がわからない方も多くいるかと思いますが、 本記事では、オフショア開発を利用するための手順を全5ステップにまとめております。 すぐに行動できるように具体的な内容で解説していますので、 マニュアルとして読み返しながら
ガイドブックは、本編とAPPENDIX編に分かれており、個別ダウンロードまたは一括ダウンロードすることができます。 以下のダウンロードボタンより、PDFデータをダウンロードしてください。 はじめ 第1章 ガイドブック概要 第2章 データ消去について 第3章 データ消去対象の現状 第4章 データ(情報)の特性・種別ごとの消去方式の選択 第5章 記憶媒体のデータ抹消(NIST SP800-88Rev.1) 第6章 ISMS(ISO/IEC27001)とNIST SP800-88 第7章 ソフトウェアについて 第8章 作業環境について 第9章 証明書について 第10章 証明書の技術と運営について 第11章 データ消去証明書の発行プロセス 第12章 まとめ 第13章 参考情報 協力団体・作成者・監修者 APPENDIX-1 RAIDシステムのデータ消去 APPENDIX-2 スマートフォン・タブレ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ZOZOのテックカンパニーへの変遷、CTOとしての取り組みを振り返る|kyuns /キュン 今村雅幸
セキュリティーチェックシートという闇への防衛術 - Qiita
ひとりで作った「理想のタスク管理ツール」は5年でこうなった(なってない)|ガッシー|Repsona
たくさんセキュリティチェックシートを書いていて悟りが開けそうなので途中経過を書いてみる - Qiita
セキュリティエンジニアを目指す人に知っておいてほしい組織 - FFRIエンジニアブログ
自社のセキュリティの甘さに対し、情シス部が起こした“反乱” 年1億円超の予算をITにかける、ある企業の改革の裏側
コアメンバーの連続退職、エンジニア組織崩壊の危機から、退職ゼロ・人員倍増に至るまでの話
ブロックチェーン:膨張する看板に偽りはないか - 誠実なプロセスの必要性 -
ヤフーのサイバーセキュリティに対する考えと取り組み
HER-SYS戦記−新型コロナウイルス感染症対策におけるシステム− | COVID-19有識者会議
オンボーディング関連のシステム作業の時間を87.5%削るまでの軌跡 - LayerX エンジニアブログ
ISMSもとったし、エンジニアだけどITガバナンス主導してきた話をする - LayerX エンジニアブログ
Connect-Web: It's time for Protobuf and gRPC to be your first choice in the browser
規制強化で高まるDX推進リーダーの法律リテラシーの重み
添付ファイルの暗号化はもはや必要ない 脱PPAPの真実と代替案
12文字以下のパスワードは解読可能 普通のパソコンでも1秒間に50億回は解析できる
無料で簡単に予約システムを作るには? 導入前に確認すべきポイントやおすすめツール - おなじみ丨近くの店から、なじみの店へ。
ISMS改訂で追加された「情報削除」の要点とは 削除タイミングを失って情報漏えいする大手企業も
なぜ、セキュリティチェックシートはなくならないのか|大森厚志
PCのデータは必ず消してから回収依頼を、古い機種の正しい処分法
オフショア開発を成功させるための実践的な進め方【5ステップ】
データ消去技術 ガイドブック|ADEC データ適正消去実行証明協議会