セキュリティエンジニアになり、そこから2年間分の勉強内容と参考になった資料とか - ぶるーたるごぶりん
セキュリティエンジニアになり、そこから2年間分の勉強内容と参考になった資料とか 自分の振り返りも兼ねて2年分の勉強内容とかをざっくりまとめようと思います。 新卒からバックエンド開発を2年程行い、その後セキュリティエンジニアとして横断セキュリティ部門に異動しました。 そこから更に2年が経ち、来月からセキュリティサービスの開発とかをすることになったので、 もし同じような人が居た際になんとなし参考になればいいかなという意図で書いてます。 ちなみにセキュリティ部門に異動するまでのセキュリティの知識レベルは「徳丸本を2回通しで読んでる」程度です。 セキュリティ部門に移ってからは脆弱性診断・ログ監視・開発ガイドライン周り・脆弱性管理とかをやってました。 本記事では自分自身がユーザ系の企業に属しているので、ベンダーとかそちら寄りの内容ではないです。 あとできる限り社内の事情を記載しません。何が問題になる
2022年2月28日、メタップスペイメントは決済情報などが格納されたデータベースへ不正アクセスが行われクレジットカードを含む情報流出が判明したと公表しました。ここでは関連する情報をまとめます。 複合的な攻撃を半年間受ける 不正利用懸念ありと連絡を受けたのはメタップスペイメントのイベントペイで2021年12月17日にクレジットカード決済を停止。さらに会費ペイを含む3サイトは2022年1月5日までにクレジットカードの新規決済を停止。その後2022年1月24日にバックドアの存在が確認されたことから、トークン方式のクレジット決済サービスを全て停止した。 攻撃を受けていたのは2021年8月2日から2022年1月25日の約6カ月。2021年12月14日にクレジットカード会社から連絡受領しその後調査するも自社での原因特定ができず外部機関でフォレンジック調査を実施。 不正アクセスはメタップスペイメントの決
経済産業省は、本日、割賦販売法に基づくクレジットカード番号等取扱業者である株式会社メタップスペイメント(法人番号9011101027550)に対し、同法第35条の17の規定に基づく改善命令を発出しました。 1.事業者の概要 (1)名称:株式会社メタップスペイメント(以下「同社」という。) (2)代表者:代表取締役 和田 洋一 (3)所在地:東京都港区港南二丁目16番1号 品川イーストワンタワー7階 (4)事業内容:決済代行業等 2.処分内容 割賦販売法(昭和36年法律第159号。以下「法」という。)第35条の17に基づく改善命令 法第35条の16に規定するクレジットカード番号等の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置として、以下の措置を講じること。 同社が同社とクレジットカード決済に係る契約を締結しているクレジットカード等購入あっせん関係販売
PCI DSS準拠から学ぶサステナブルなAWSクラウドネイティブの運用 / Sustainable PCIDSS operation on AWS
PCI DSS準拠から学ぶサステナブルなAWSクラウドネイティブの運用 / Sustainable PCIDSS operation on AWS
「ECサイトの決済システムを作るなら知っておきたいこと」というテーマで話をしました #devio2020 | DevelopersIO
はじめに 6/16から7/7までテーマごとに合計7日間、クラスメソッドの年次技術イベント「Developers.IO 2020 CONNECT」を開催しております!セッションは100本以上となります。 本日 2020/06/30 Day5 に、「ECサイトの決済システムを作るなら知っておきたいこと」というタイトルでライブセッションをさせていただきまました。 セッション概要 EC サイトの決済システムを作る上で必要となる機能や決済フローに関して、 prismatix の決済サービスと合わせてご紹介します。 登壇資料 動画 Q&A セッションの中でいただいた質問につきまして、その場では答えられなかったこともありましたので、改めて prismatix の各精鋭メンバーに確認した上で回答させていただきます。 Q1 : EC サイト上の1つの注文が複数回の出荷に別れたとき、決済サービス側の売上確定処
EC サイトの決済機能を開発するなら知っておきたい「与信」と「売上」およびそれらに関わる決済処理について | DevelopersIO
概要 EC サイトを構築・運営するに当たり、商品購入の最後の手続きであり、実際に売上金を受け取るための 「決済」 の機能は考えなければならないことのひとつだと思います。私が開発に携わる prismatix ( EC / CRM 向け API プラットフォーム) でも、 提供するマイクロサービスの機能として決済サービスを用意しております。 大抵の EC サイトであれば「クレジットカード決済」を備えると思いますが、その中で 「与信」 と 「売上」 は必ずといっていいほど使う機能です。当記事ではこの与信と売上、および関連する決済処理についてまとめております。 各種処理の説明を踏まえて、最後に prismatix の決済サービスについても紹介します。 この記事で取り扱う内容について この記事では一般的な会計用語としての解説はせず、「 EC サイト上で与信・売上をどう扱うか」 を観点として話をさせて
はじめに 以前「シグネチャ依存型のWAFは避けよう」という記事に詳しく書いたように、WAFの仕事の本質は分類です。 WAFにはファイアウォールという言葉が含まれることから、その仕事には「守る」あるいは「防ぐ」ようなイメージがありますが、実際にはWAFが仕事を行う上で最も重要になるのは、その通信が攻撃なのかどうかを見分けること、つまり「分類」です。分類が終わってしまえば、その結果に応じて通信を許可したり、禁止するだけでよいので、そこには技術的な意味での難しさはありません。 つまりWAFというのは「ソフトウェアが分類を行う場面」であり、いかにしてコンピュータ、ソフトウェアに上手に物事を見極めてもらうのか、分類してもらうのかという点が、よいWAFを実現するために必要な技術のコアになります。 あるHTTPリクエストを見て、「ああ、これは攻撃だよね」と専門家が目で確認してわかる場合。果たしてソフトウ
こんにちは。BASE株式会社上級執行役員SVP of Developmentの藤川です。2023年のアドベントカレンダーも実施したいと思っており、この記事が1日目になります。 自分自身がBASE社に正式ジョインしたのは2014年8月、取締役CTOとして入社しました。僕は2代目のCTOですが、その後、3代目にCTOを渡し、今では上級執行役員SVP of Developmentというちょっと珍しい肩書で仕事をしています。組織としてはCTOの上長でもあり、自己紹介では技術担当役員と表現することもあります。 自分がBASE社に入社した段階ではシリーズBを迎えていました。象徴としては藤田ファンドから出資をいただいてから、上場を意識した組織に変えていくという空気感だったと思います。 BASE社には正式ジョインする前から技術顧問として関わっていて、週一だけ会社にあらわれるおじさんだったのですが、そのタイ
BASEとPAY.JPの歴史から見るWeb系ベンチャーにおけるバイモーダルITへのアプローチ - BASEプロダクトチームブログ
こんにちは。BASE株式会社の開発担当役員、かつ、子会社でPAY.JPを提供するPAY株式会社の取締役をしている藤川です。 JTC(Japanese Traditional Company)などと呼ばれたりする主に日本の歴史ある大企業のDX化の文脈において、バイモーダルITという考え方があります。JTCたる既存の大企業は、SIerが構築した基幹システムをITの根幹として事業を運営していましたが、昨今叫ばれるDXの取り組みにおいて、本業における顧客接点以外にITシステムでも顧客接点を実現していくための組織を整理する手段としてバイモーダルITという考え方を使うことができます。 考え方として、SoR(System of Record)と呼ばれるデータを記録することに重きを置く既存の基幹システムと、SoE(System of Engagement)と呼ばれるエンドユーザとの結びつきを実現するための
小規模CSIRT向けWindowsイベントログで押さえておくこと | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
こんにちは、ディフェンシブセキュリティ部の岩崎です。 本記事では、ログ全般に関わることの情報、インシデントレスポンスにおいて参照されることが多いイベントログに焦点を当て、情報システム部(情シス)の方、これからログ分析や管理を始める方、初めてCSIRTに所属された(CSIRT入門レベル)の方向けに、イベントログを見るための情報であったり、学習するための素材を紹介します。 ログとは セキュリティ業界にいらっしゃる方や、別の業界の方でもCSIRTに所属し運用している方は、よく目にするものかと思います。 ログとは(今更ですが、)PCおよびサーバなどで作成され、アプリケーション、OS、サービスが処理内容、警告などの履歴を逐一記録し、障害発生時や開発時(デバッグ)などに参照できるようにするため作成するためのものです。 参考ページ(Wikipedia -ログ ) ログ取得・管理目的 ログは何のために取得
IAM ユーザーのログイン失敗を検知して複数回失敗すると権限を剥奪する仕組みを作ってみた | DevelopersIO
こんにちは、AWS 事業本部の平木です! AWS における PCIDSS v3.2.1を見た時に要件 8 を参照するとアカウントロックに関する要件があります。 現状、執筆時点では IAM ユーザーで連続してログイン失敗してしまったとしてもアカウントをロックできる仕様はありません。 ただ、AWS 公式のコンプライアンスガイドを見ると以下のように記述されていました。 PCI DSS 審査の適用範囲内であると判断された IAM ユーザーには、8.1.6 および 8.1.7 のアカウントロックに関する要件を満たす追加の仕組みが必要です。お客様がこれを達成するには、AWS CloudTrail、Amazon DynamoDB、AWS Lambda、Amazon CloudWatch を組み合わせて連続したログイン失敗を追跡して、ログイン失敗がしきい値である 6 回連続で発生した場合に制限を強めた I
[アップデート] Security Hub に PCI DSS にあわせた自動セキュリティチェックが追加されました! | DevelopersIO
Security Hub が PCI DSS バージョン 3.2.1 にあわせた自動セキュリティチェックをサポートするようになりました。 AWS Security Hub launches security checks aligned to the Payment Card Industry Data Security Standard これまで CIS ベンチマーク (CIS AWS Foundations Benchmark) に対応していた Security Hub ですが、今回のアップデートにより PCI DSS v3.2.1 の要件チェックできるわけですね。すばらしい。 14 サービス 32 要件に対するチェック 今回の自動セキュリティチェックでは 14 の AWS サービスで 32 の PCI DSS 要件に対して継続的なチェックを行うことで、PCI DSS セキュリティのア
![[アップデート] Security Hub に PCI DSS にあわせた自動セキュリティチェックが追加されました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/dbe3f406587b5b6a944b210452de92d974859a3f/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-security-hub.png)
こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな吉井 亮です。 最近 PCI DSS 要件をサポートするクラウドアーキテクチャを提案する案件に関わりました。 扱うデータがデータだけに細かいことを丁寧に実施していくべきと感じました。 そこで、なにをどうすれば「PCI DSS 要件をサポートしました」と言えるのかを AWS と Azure 利用を想定して参照する資料を調べてみました。 基本的な考え方 AWS にしても Azure にしてもセキュリティの責任分界が存在します。 その分界点を理解し自社がすべきことを正確に理解することが大切です。 クラウド事業者の責任範囲と定められている部分については、Attestation of Compliance (AOC) に依存することが可能です。 QSA がクラウド事業者のデータセン
経済産業省は、本日、割賦販売法に基づくクレジットカード番号等取扱業者である株式会社メタップスペイメント(法人番号9011101027550)に対し、同法第35条の17の規定に基づく改善命令を発出しました。 1.事業者の概要 (1)名称:株式会社メタップスペイメント(以下「同社」という。) (2)代表者:代表取締役 和田 洋一 (3)所在地:東京都港区港南二丁目16番1号 品川イーストワンタワー7階 (4)事業内容:決済代行業等 2.処分内容 割賦販売法(昭和36年法律第159号。以下「法」という。)第35条の17に基づく改善命令 法第35条の16に規定するクレジットカード番号等の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置として、以下の措置を講じること。 同社が同社とクレジットカード決済に係る契約を締結しているクレジットカード等購入あっせん関係販売
www.meti.go.jp 金融系やっている人や決済周りやってる人なら常識かと思いますが、クレジットカード情報を扱うプラットフォームに関してはかなり厳しい規制があります。 https://ja.pcisecuritystandards.org/minisite/env2/ これの基準を満たしていることがクレジットカードを取り扱うシステムである最低条件になっているわけです。これすげーめんどくさいし、コストも掛かるんだけど、消費者を守るためだし、決済ネットワーク使わせてもらうことでサービスが提供できるんだからちゃんとやるの当たり前のことですよね。これちゃんとやらないってのはもう闇金業者みたいなもんですよ。 まあ、審査どうなっとんじゃいって話ではあるんだけど、審査って言ってもプラットフォームの設定を直接確認したりとかソースコードを直接確認したりとかまではしないわけで、求められている要件を「チッ
|DMM inside
ネットでの買い物、クレジットカード利用が7割 クレジットカード決済はネット上での買い物と相性がいい傾向があります。総務省の調査(※)によると、ネットで買い物をしたり取引したりする場合の決済方法として、約7割の人が「クレジットカード払い」を使うと回答。「コンビニ払い」(約38%)、「代金引換」(約35%)、「金融機関での振り込み」(約29%)などを抑えてトップの決済方法となっています(複数回答可)。 (※)総務省「平成30年度版 情報通信白書」 顔の見えない相手にカード情報を提供 いっぽう、セキュリティの観点から見ると、ネット上でのクレジットカード払いの最大の特徴は、顔の見えない相手にクレジットカード情報などの個人情報を提供している点にあります。店員がいて販売するリアル店舗(リアル店舗)であれば、店員が自分のカードをどのように扱っているかを目で確認することができ、挙動などからリスクをある程度
サービスをリリースして、約1年が経過し、スマートバンク社はこの度シリーズAラウンドにおいて総額20億円の第三者割当増資を実施しました。 資金調達できたことは大変喜ばしく、プロダクトが一定の実績を出すことができ、またPMFを達成できたからと言えるでしょう。その背景にはプロダクトを開発しグロースさせてきた素晴らしいメンバーの採用と組織面での成長があったからとも言えます。 このエントリーではプロダクトの成長とそれに合わせて、どのような採用や組織運営を行なってきたかを書こうと思います。 👉 対象読者 ・採用や面接、選考フローといった組織の採用に関わっている方 ・会社の創業者や、組織運営に責任を持っている方 ・スタートアップの立ち上げ話に興味がある方 創業から今日までの採用人数の推移 まずは組織のメンバー数の推移を創業から振り返ってみたいと思います。 創業者3名からスタートしたスマートバンク社も、
近年、クラウド環境を利用してシステムを構築する企業が急増しています。中でもパブリッククラウドサービスとしていち早く開始されたAWS(Amazon Web Services)はトップシェアを誇っており、AWSを利用している企業や今後移行を検討している企業も多いかと思います。 クレジットカードに関するセキュリティの国際基準であるPCI DSSもそうした変化の影響を受けており、2022年3月にリリースされた最新バージョンであるv4.0では、クラウド環境に柔軟に対応することを意図した要件が多数見受けられました。 AWS環境でPCI DSSに準拠する場合、AWSの提供する各種サービスをうまく活用することで、要件への対応を効率的に実施することが可能です。一方で、デフォルト設定で運用するだけでは要件を満たせないサービスも多く、その設定値や運用方法についてはユーザ側で正しく理解しておくことが重要です。 そ
ECサイトの運営に欠かせないセキュリティ対策について解説しています。クレジットカード情報漏えい事故や不正利用は増加傾向にあります。本コラムではECサイトでのクレジットカード不正利用の動向、ECサイトが行うべきセキュリティ対策をご紹介しています。 ネット利用が普及し生活が便利になる一方で、日々、多くのECサイトでクレジットカード情報漏えい事故が起こっています。ECサイトの担当者へのアンケートによると、49.1%が「ECサイトに対してサイバー攻撃を受けたことがある」と回答しています。 ECサイトの立ち上げを検討している担当者は、ECサイトの最も大きいセキュリティリスクである「クレジットカード情報の漏えい対策」を行うべきです。万一、クレジットカード情報が流出すると、サイト閉鎖の可能性もある重大なリスクです。 1.多発するEC事業者のカード情報漏えい事故の事例最近報道されたクレジットカード情報漏え
定期的なコンプライアンスチェックを簡単に! Systems Manager + カスタムinspecを使ってみた | DevelopersIO
定期的なコンプライアンスチェックを簡単に! Systems Manager + カスタムinspecを使ってみた オペレーション部 江口です。 当社ではPCIDSSなどのコンプライアンス対応の一環として、対象資産で問題がないかの定期的な確認を行なっています。 この作業は定型化されていて、基本的にコマンドを実行してその結果を確認するだけなのですが、現在は監査に対応する人間が直接サーバにログインしオペレーションを行なっており、この辺もう少し工夫の余地はあるなーと思ってたりします。 で、色々調べてみていて、「コンプライアンス対応のチェックのためのテストツールとして"InSpec"というのがある」というのを知りました。 さらに調べると、どうもこのInSpecはAWSのSystems Managerと連携できるそうではないですか。 と言うか、このdevelopes.ioでも他の方が紹介した記事がすで
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog ヤフーの IaaS チームに所属する木下です。普段はインフラエンジニアとして IaaS 基盤の開発・構築・運用を担当しています。 ヤフーを傘下に持つZホールディングスは、高度化するサイバーセキュリティの脅威に対応するため、サイバーセキュリティ基本方針を掲げています。 この基本方針の中で、Zホールディングスおよびそのグループ企業は、米国標準技術研究所(NIST)が定めたサイバーセキュリティ基準に準拠したシステムを構築し、サービスを提供すると宣言しています。 タイトルにある NIST SP800-171 はこの「米国標準技術研究所(NIST)が定めたサイバーセキュリティ基準」の一例です。 私が担当する IaaS 基盤でも、このサイバー
2022年07月01日 各位 株式会社メタップスペイメント 代表取締役社長 和田洋一 不正アクセスによる情報流出に関する対応状況について 2022年2月28日付「不正アクセスによる情報流出に関するご報告とお詫び」にて開示のとおり、2021年10月から2022年1月にわたって当社決済データセンターサーバー内に配置された一部のアプリケーションの脆弱性を突いたサイバー攻撃によって複合的な不正アクセスが行われ、最終的に決済情報等が格納されているデータベースから個人情報を含む情報が外部に流出し、クレジットカードの不正利用(以下、「本件」という)に至りました。 本件の発生以来、当社はクレジットカード決済における基盤であるネット決済システムに対して、技術的安全性の確保を最優先に掲げ、原因究明のために調査会社2社からフォレンジック調査を受け(※1)、決済システム監視体制の強化(WAFの導入・24時間365
こんにちは。hey のセキュリティ本部に所属している清水です。この記事では、hey のセキュリティ本部がいまどんな仕事をしているのか、その内容を紹介していきたいと思います。hey のセキュリティエンジニアがどんな仕事をしているのか興味ある方の参考となれば幸いです。 セキュリティ本部の紹介 セキュリティ本部のお仕事 外部機関による認証の取得・運用 ISMS(Information Security Management System) PCIDSS(Payment Card Industry Data Security Standard) ITGC(IT全般統制) セキュリティに関する問い合わせ対応 セキュリティチェックシートの記入 セキュリティの評価 外部サービス・業務委託先の審査 外部サービスの導入相談 セキュリティ要件定義 設計レビュー 脆弱性診断 WEBアプリ診断 ソースコード診断
[AWS Black Belt Online Seminar] AWS Audit Manager 資料及び QA 公開 | Amazon Web Services
Amazon Web Services ブログ [AWS Black Belt Online Seminar] AWS Audit Manager 資料及び QA 公開 先日 (2021/03/09) 開催しました AWS Black Belt Online Seminar「AWS Audit Manager」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20210309 AWS Black Belt Online Seminar AWS Audit Manager AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. 監査レポートを日本語表示対応される予定はありますか? A. 現在具体的な予定をお伝えすることが出来ません。ご要望があるということは理解しております。 Q. FISC 安対基準(金融機関等コンピュータシステ
日本カード情報セキュリティ協議会(Japan Card Data Security Consortium:JCDSC)|PCIDSSの普及促進
NEWS 2024年04月10日 ISA・QSAトレーニング9/19(木)開催のお知らせ 2024年4月10日 カードセキュリティ フォーラム 2024 2024.6.19(水)開催 @東京国際フォーラム 2024年01月29日 PCI SSCより「POプログラムご案内」のお知らせ 2024年01月22日 セキュリティマネジメントカンファレンス 2/8(木)開催お知らせ 2023年12月19日 DMARC導入セミナー 2024.2.16開催 過去のニュースはこちらからご覧頂けます。>>
金融系システムの重み 金融系システムは社会的に重要な役割を担っていて、その責任は重大・・ということはわかるんです。 togetter.com というのは私も4年ほど金融系システムに関わったことがあって、現場がどれくらい真摯にシステムの安定運用に携わっているか思い知っているからです。 現場はいつも張りつめていましたし、何かあったらいくらの損失になるかを絶えず意識していましたし、そのボスの迫力は大変なものでした。大変なものを背負っているというのは非常に理解できました。 ただ・・、ソシャゲサーバー担当だから気が楽、というのは意見が異なるのでまとめておきます。 運用エンジニアとしての矜持 誰にも使われないシステム、なんてあり得なくて必ずユーザーはいます。 ユーザーがゼロなら、データをバックアップしたうえで今月中に電源を落とし撤収すればよいだけです。 どんなシステムだってユーザーはいます。 そのシス
プロダクトのリリースまでに時間がかかった背景 山元亮典氏(以下、山元):ここからは今までの挑戦を踏まえて、スマートバンクのCTOとしてどういったことにチャレンジしてきたのかというところも聞いていきたいです。(スマートバンクは)現在、創業して3年というところですね。 堀井雄太氏(以下、堀井):そうですね。ちょうど創業して3年経ったぐらい。ただ、プロダクトをローンチできたのは2021年の年明けなので、まだ1年半ぐらいしかたっていないんですよ。なので、創業してからプロダクトをリリースするまで、仕込みの期間がかなり長かったというところはあるかもしれないです。 山元:その仕込みの期間はどういったことをやっていたのですか? 堀井:開発に時間がかかったところが大きいかなと思っていて。FinTechの事業をやると決めたのですが、FinTechの経験者がいたわけではないので。何を作ったらいいかを探りながらや
オンプレミス環境からクラウド環境への移行が進んだことによって、業務の効率化やコスト削減を実現した、という企業が増えています。クラウド化を進め、その恩恵を受ける一方で、利用するクラウドサービスを安全に利用できているのか、各種設定等が万全な状態でクラウドサービスを運用できているのかといった不安を抱えるシステム担当者もいるのではないでしょうか。 事実、クラウドの設定ミスによってクラウド上に保存された機密情報が漏洩したといったセキュリティインシデントが多数報告されています。 本記事では、IaaS、PaaSの設定ミス防止を支援し、安全な利用をサポートするCSPM(Cloud Security Posture Management : クラウドセキュリティ態勢管理)というソリューションについて解説します。 クラウドサービス利用における責任範囲 クラウドサービスを提供する事業者(以下、クラウドサービス事
変化の時代は、情シスが企業変革をリードする:クラウドネイティブCEO 齊藤愼仁氏に聞く、「企業を変える情シス」になるためのマインドセット
変化の時代は、情シスが企業変革をリードする:クラウドネイティブCEO 齊藤愼仁氏に聞く、「企業を変える情シス」になるためのマインドセット 2020.04.15 2023.01.17 BJCC 変化の時代にITを使ってビジネス課題を解決し、企業を成長させていくためには、どんなマインドが必要なのか、どんなリーダーシップで組織を導いていけばいいのか——。デジタルトランスフォーメーション(DX)が進まないと言われる日本で変革をリードする、気鋭のDX人材にインタビューします。 今回は、企業の変革に取り組む情報システム部門を支援する会社「クラウドネイティブ」のCEOを務める齊藤愼仁氏。勉強会やコミュニティでさまざまな企業規模、立場の情シスの方々の相談に乗ってきた同氏に、成長企業と衰退企業を分かつポイントと、企業の成長を支える情シス部門であり続けるためのマインドについてお聞きしました。 株式会社クラウ
こんにちは。マニュアル作成・ナレッジ共有ツール「NotePM」ブログ編集局です。 オンラインショップはもちろん、リアルショップにおいても決済方法の選択肢が豊富だと顧客にとって便利なものです。しかし、決済方法が増えればそれだけ手間もかかり、なかなか実現できない企業は多いかもしれません。そのようなときは決済代行サービスの導入を検討してみましょう。この記事では、決済代行サービスの概要やメリット・デメリット、選択する際のポイントなどについて紹介していきます。 決済代行サービスとは 決済方法にはクレジットカード決済に銀行振り込みやコンビニ決済、代金引換などさまざまなものがあります。決済代行サービスとは、これらの決済方法を販売店の代わりに行うサービスのことです。本来は販売店が直接クレジットカード会社などと個別に契約をし、さらに入金管理や督促などを行います。しかし、それでは事務処理などに膨大な時間を取ら
※ 当協議会会員のみ掲載しています。また、下記の QSA・ASV が PCI SSC による認定を継続できているかどうかについては、PCI SSC の ■QSA一覧 や ■ASV一覧 でご確認ください。 QSA(Qualified Security Assessors:認定審査機関)
はじめまして こんにちは、FIXERで社内IT業務を担当している神守です。 FIXERはAzureに強いエンジニアが多い企業ですが、社内でもAzure環境を利用しています。 Azure ADの権限制御の強化機能としてPIMというサービスがありますが、関連記事を検索するとPIMに関する記事は少ないです。(とても) 本記事をキッカケにPIMを導入したいと思うエンジニアが増え、PIMに関する記事も増えることを祈ります。 本記事を読む読者層 – Azure AD環境を管理運用しているエンジニア – PIM(Privileged Identity Management)ってなんぞやと興味をもった人 忙しい人のために3行で説明 – privileged identity managementとはAzure ADのロールを制御する機能 – Azure AD Premium2を含むライセンスが無いと使えな
※ 2020/3/25 時点の挙動を元に記載しているため、今後変更される可能性があります ※ 2020/4/22 にAWS Foundational Security Best Practices というセキュリティ標準が追加されたため、追記しています Security Hubを有効化する方法によって挙動が異なる AWS CLI や AWS SDK など EnableSecurityHub API を使用して Security Hubを有効化した場合、 デフォルトでは CIS AWS Foundations Benchmark および 2020/4/22 から利用になった AWS Foundational Security Best Practices のセキュリティ標準チェックが自動で有効化されます。 オプションのパラメーターで自動で有効化しないように選択することもできます。 また202
システム運用統制を実現する承認ワークフロー・操作ログ取得をSystemsManagerとStep Functionsで構築する - Qiita
システム運用統制を実現する承認ワークフロー・操作ログ取得をSystemsManagerとStep Functionsで構築するAWSWorkflowstepfunctionsSSMAutomationSessionManager これはミクシィグループ Advent Calendar 2020の13日目の記事です。 はじめに 一般的にシステムの健全性を保証するためにシステム運用統制は必要と考えられています。特にFISCやPCIDSSに準拠する必要がある場合は必須です。なお、ここでの統制とは承認されている作業のみを許可し、予定されていない作業を抑止したり制御することを指します。 こういったシステム運用統制を実現するために、パッケージやSaaSを導入する場合もありますが、利用料が高すぎて導入できないといったことがあると思います。そこで今回はAWSサービスのみでシステム運用統制を実現する方法の1
2022年07月01日 各位 株式会社メタップスペイメント 代表取締役社長 和田洋一 行政処分に関するお知らせ 当社は、2022年6月30日付けで、割賦販売法(以下「法」といいます。)第35条の17の規定に基づき、経済産業省より行政処分(改善命令)を受けましたのでお知らせいたします。 お客様ならびに関係者の皆様には、多大なご心配とご迷惑をおかけしましたことを深くお詫び申し上げます。 当社は、このたびの行政処分を真摯かつ厳粛に受け止め、改善命令に係る改善措置を速やかに講じて参る所存でございます。 処分内容 割賦販売法(昭和36年法律第159号。以下「法」という。)第35条の17に基づく改善命令 法第35条の16に規定するクレジットカード番号等の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置として、以下の措置を講じること。 同社が同社とクレジットカード決
2022年11月29日 各位 株式会社メタップスペイメント 不正アクセスインシデントに関する対応の進捗状況について 2022年7月1日付「不正アクセスによる情報流出に関する対応状況について」につき、現時点の進捗をお知らせいたします。 1. システム面への対応 クレジットカード決済にかかるシステムについては、技術的安全性の確保を最優先に掲げ、各種対応を進めており、以下のとおり、一定のめどが立っております。 認定審査機関のアセスメントにより、ネット決済システム及びフロントシステム(※1)に関して、PCIDSS Ver 3.2.1へ順次準拠しております(※2)。 また、システムの安全性を維持継続できる運用体制構築に関する諸施策について、年内には完了する予定です。 なお、昨今の環境を鑑みるに、今後は、現時点よりさらに高度な安全確保が必要になってくると痛感するところ、決して本件への反省を風化させるこ
PCI DSS Version 4.0における変更点のポイント 第二回 | NTTデータ先端技術株式会社
前回記事(PCI DSS Version 4.0における変更点のポイント 第一回)では、PCI DSS Version 4.0の移行スケジュールと主な変更点の概要を紹介しましたが、新バージョンへの移行状況はいかがでしょうか。今回は「Summary of Changes from PCI DSS Version 3.2.1 to 4.0」で紹介されているVersion 4.0の変更点のうち、2025年3月31日より後に要件化(それまではベストプラクティスの位置づけ)される未来日付の新規要件について抜粋して紹介したいと思います。 新規要件の全体概要 PCI DSS Version 4.0の新規要件は「Summary of Changes from PCI DSS Version 3.2.1 to 4.0」の「6. 新規要件の概要」にまとめられており、全64項目の新規要件があります。
不正アクセスでカード情報46万人の流出が発生したメタップスペイメントが6月30日、経済産業省より行政処分(改善命令)を受けた。PCIDSSで求められているサーバーを対象としたネットワーク脆弱性スキャンをスキャンツールを用いて委託先で実施し「High」レベルの脆弱性が複数検出されていたにもかかわらず脆弱性なしと改竄して報告し、適切な対応しなかった結果不正アクセスの影響で流出に至ったとのこと(経済産業省、ITmedia)。 また、「会費ペイ」に係るシステムについては令和4年5月までPCIDSSに準拠しておらず、「イベントペイ」に係るシステムについてはPCIDSSに準拠していないとのこと。 クレジットカードに関わった者としては身につまされる思いではあるが、あまりにも杜撰すぎて呆れて物も言えない。 この業界に今現在関わっているスラド諸氏も気をつけていただきたい。 行政指導ではクレジットカードのデー
「ECサイト向け決済機能の開発で学んだ外部決済サービス活用のポイント」というテーマでLT登壇しました #Offers_決済サービス活用 | DevelopersIO
「ECサイト向け決済機能の開発で学んだ外部決済サービス活用のポイント」というテーマでLT登壇しました #Offers_決済サービス活用 2023/12/05(火)に開催した Offers主催「決済フロー全体像から学ぶ 決済サービス活用実践LT」に登壇しました。 その際の登壇内容を紹介します。 2023/12/05(火) Offers 主催「決済フロー全体像から学ぶ 決済サービス活用実践LT」に登壇しました。 その際の登壇内容を紹介します。 LT内容 資料 動画 Offers でアーカイブ動画を公開中です。 決済フロー全体像から学ぶ 決済サービス活用実践LT | Offers「オファーズ」 - エンジニア、PM、デザイナーの副業・転職採用サービス ※Offers の会員登録が必要となります。 LT目次 以下をポイントとしてお話しました。 ECサイトでのクレジットカード利用 外部サービスとの通
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
メタップスペイメントの情報流出についてまとめてみた - piyolog
クレジットカード番号等取扱業者に対する行政処分を行いました (METI/経済産業省)
2020年になってもシグネチャ依存型のWAFが多いのはなぜか?
創業期CTOが残っている会社が上場するとどうなるのか - BASEプロダクトチームブログ
PCI DSS対応をAWS/Azureでどのように行うのか調べてみた | DevelopersIO
クレジットカード番号等取扱業者に対する行政処分を行いました (METI/経済産業省)
PCI-DSSちゃんと守ってないとかマジでヤバい - novtanの日常
DMMの屋台骨を支える!年間1000億円のクレジットカード決済基盤メンテナンスの裏話 - DMM inside
ネットでクレジットカードを使うのは本当に安全か? 不正利用対策に迫る - 価格.comマガジン
創業期を駆け抜けたスタートアップの採用と組織 - yuta's blog
AWS環境でPCI DSS v4.0へ対応するためのコツ
EC事業者が知っておきたいクレジットカード情報漏えい対策の基礎知識|ECのミカタ
NIST SP800-171へ準拠することが決まったら 〜 FIPSモードを有効化した場合
不正アクセスによる情報流出に関する対応状況について | 株式会社メタップスペイメント
heyのセキュリティエンジニアはどんな仕事をしているの? - STORES Product Blog
システムの重み/仕事の責任、二者の関係性についての考察 - orangeitems’s diary
「マイクロサービスになりすぎないように進めていった」 創業者CTOが語る、2度目のエンジニア組織立ち上げ時に工夫したこと
CSPMとは?クラウドの設定ミス防止ソリューション|選定で失敗しない3つのポイント
【2024年版】決済代行サービス・会社 おすすめ15選を徹底比較!(人気・定番一覧を解説)
[PCIDSS]QSA・ASVリスト|日本カード情報セキュリティ協議会(JCDSC)
Azure ADのセキュリティーリスク削減に効く、PIM導入のススメ
AWS Security Hub のセキュリティ標準チェックが自動で有効化される条件 - Qiita
行政処分に関するお知らせ | 株式会社メタップスペイメント
不正アクセスインシデントに関する対応の進捗状況について | 株式会社メタップスペイメント
大規模なクレカ情報流出事故を起こしたメタップスペイメント、行政指導処分に | スラド セキュリティ