再発防止策を書くのは難しい。 良い再発防止策 良い再発防止策について、順位付けするとしたら、 その種類の問題について二度と意識することがなくなる解決策 その種類の問題を開発時に自動的に検知することができる解決策 その種類の問題が発生しても自動的に復旧することができる解決策 その種類の問題が発生しても影響が局所化される、フールプルーフ、フェールセーフになる解決策 と言うのは意識したいと思いつつ、やはり難しい。 再発防止はむずかしい 障害の再発防止策は、 メカニズム ツール ルール チェックリスト の順番に検討せよ。と言われても、急いで書けなんて言われると「次回からは複数人でチェックします。」とか「チェック項目を追加します。」とかいう徹底できなそうな「反省文」になってしまう。 まさにこの有名な猫...。 **「なぜミスを繰り返すのか」「どうすればミスを防げるのか」を真剣に考えていないことがミス
私のセキュリティ情報収集法を整理してみた(2024年版) - Fox on Security
新年あけましておめでとうございます。毎年この時期に更新している「私の情報収集法(2024年版)」を今年も公開します。 ■はじめに サイバー攻撃は国境を越えて発生するため、ランサムウェア、フィッシング、DDoS攻撃など、近年のサイバー脅威の常連となっている攻撃者(脅威アクター)が主に海外にいることを考えると、世界の脅威動向を理解することが年々重要になっています。 海外から日本の組織が受けるサイバー攻撃の多くでは、国際共同オペレーション等の一部のケースを除き、日本の警察が犯罪活動の協力者(出し子、買い子、送り子)を摘発することはあっても、サイバー攻撃の首謀者(コアメンバー)を逮捕するまで至るケースはほとんどありません。 誤解を恐れずに言えば、日本の組織は海外からの攻撃を受け続けているのに、海外で発生したインシデントや攻撃トレンドの把握が遅れ、対策が後手に回っているケースも多いように感じます。最
0. 短いまとめ 300万以上の証明書の失効を迫られたLet's Encryptのインシデントは「Golangでよくある間違い」と書かれているようなバグが原因でした。 1. はじめに、 Let's Encryptは、無料でサーバ証明書を自動化して発行するサービスを行う非営利団体として2014年に設立されました。 2015年にサービス開始されると証明書の発行数はぐんぐん伸び、先月末のプレスリリースでは累計10億枚のサーバ証明書を発行したことがアナウンスされました「Let's Encrypt Has Issued a Billion Certificates」。CTLogの調査から、2020年2月末の時点では有効な全証明書の38.4%がLet's Encryptの証明書であるとみられています「Certificate Validity Dates」。 無料の証明書を提供してもらえるのは非常に嬉し
2023年1月5日以降、2億件を超えるTwitterアカウントのデータを公開したと主張する投稿がハッカーフォーラムで行われていたことを複数の報道機関が報じました。*1ここでは関連する情報をまとめます。 自分が影響を受けたのかを確認するには 約2億件のデータに自分のメールアドレスが含まれているか(影響対象か)はHave I been pwnedを使って確認することが可能。 メールアドレス入力後に「pwned?」をクリックし、「Twitter (200M)」と表示された場合は、今回のデータに含まれている。(それ以外のリークに含まれていた場合は別のリーク情報も表示される。) メールアドレスがリークデータに含まれていた場合にTwitter (200M)が表示。 Twitter APIの脆弱性より流出したデータと主張 Twitter APIに第三者が他人のアカウント情報を取得できる脆弱性が2021年
(2022年9月26日追記) 本件に関する、セルフチェックページとお問合せ窓口の提供を終了いたしました。 この度は、お客さまをはじめ多くの関係者の皆様に多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。 株式会社メルカリは、当社が利用している外部のコードカバレッジツール※「Codecov」に対する第三者からの不正アクセスにより、当社のソースコードの一部および一部顧客情報(フリマアプリ「メルカリ」で2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報17,085件、2015年11月〜2018年1月の間におけるカスタマーサービス対応に関連した情報217件、2013年5月に実施したイベントに関連した情報6件、「メルカリ」および「メルペイ」の一部取引先等に関する情報7,966件、当社子会社を含む一部従業員に関する情報2,615件)が外部流
オーストラリアのシドニー大学などに所属する研究者らが発表した論文「Do the associations of daily steps with mortality and incident cardiovascular disease differ by sedentary time levels? A device-based cohort study」は、1日の歩数と、全死因死亡率およびCVD(心血管疾患)発症率の関連性を調査した研究報告である。 この研究は、UKバイオバンク(英国)の参加者を対象に実施。対象となった参加者7万2,174人(平均年齢61.1、女性57.9%)は、24時間7日間にわたって加速度計を装着し、1日の歩数と座位時間の測定を受けた。追跡期間(平均6.9年)中に1,633人が死亡し、6,190人がCVDを発症した。 keyboard_arrow_down 研究内容
「ChatGPT、これやって」うまくやってもらうために知っておきたい4つの構成要素2023.04.05 12:0035,351 かみやまたくみ ChatGPTを使っていてわりとあるのが、「変な答えが返ってくる…」。ChatGPTは確かに賢いですが、まだ発展途上でもあり、「聞き方」「言い方」がうまくないとそういう結果になることもあります。 経験上、ChatGPTが微妙にズレた回答をするのは、自分がした質問がごちゃごちゃしているとき。もうちょっと言うと、自分の中で「本当にして欲しいこと」が整理されておらず、質問の後ろに書かれていることが多いです。 対するChatGPTは前にある文言を重要だととらえる傾向にあるように思います。結果として「本当にして欲しいこと」がスルーされたり誤解されたりしてしまう…そんな印象です。 どうしたもんかな…と思っていたら、GitHubで公開されている『Prompt E
日本語版ウィキペディアの「歴史修正主義」問題昨年に刊行された『戦争の歌がきこえる』(柏書房)は、私がアメリカのホスピスで音楽療法士として働いていた時に出会った、第二次世界大戦経験者について書いた本です。執筆のために第二次世界大戦について様々な資料を調べている時、日本語版ウィキペディア(Wikipedia)の奇妙な現象に気づきました。 歴史上の出来事をインターネットで検索をすると、必ず最初にヒットするのはウィキペディアのページです。しかし、日本語と英語で同じトピックを検索すると、ページの内容がかなり異なることに気づきます。特に、日本の戦争犯罪などセンシティブなトピックに関するページは、バイアス(偏見)やミスリーディング(誤解を招く)な情報で溢れています。 間違いやバイアスだらけのウィキペディア「ウィキペディアには間違った情報が多いことは知ってる」という方もいると思います。でも、英語版ウィキペ
核戦争にならなかった13回の発射未遂
ロシアが核を使うのか?という懸念が再三取り上げられる様になって来ているけれど これまで人類は13回ほどミスによって核ミサイルを発射する直前まで至っているという報告書があるのを知ってるだろうか? この報告書は、英国のRIIA(王立問題研究所)によって発表されたものだ。 https://www.chathamhouse.org/sites/default/files/field/field_document/20140428TooCloseforComfortNuclearUseLewisWilliamsPelopidasAghlani.pdf 3章のCasesに詳しく書いてあるけれど、有名なものだと Black Brant scareアメリカの研究者によって打ち上げられたオーロラ観測用の科学機器を搭載したロケットの発射軌道がモスクワへの攻撃軌道と一致したために、発射命令が出される直前まで行っ
Author: @urahiroshi, Engineering manager of Web Platform team 2022年8月4日、メルカリで “web-2” と呼ばれるサーバがシャットダウンされました。これはメルカリWeb版の開発に携わっているチームにとって、一つの区切りとなる出来事でした。 web-2はPHPで記述されたwebサーバで、2015年から https://www.mercari.com/jp/ 配下のコンテンツを配信していましたが、現在では複数のWebマイクロサービスがその機能を担っており、 https://www.mercari.com/jp/ 配下のページは後継となるWebマイクロサービスが配信するページへリダイレクトされています。 メルカリWebのマイクロサービス化に向けた開発が始まり、最終的にweb-2がシャットダウンされるまで、実に4年以上の期間がかか
2019年7月29日、米金融大手 Capital Oneは不正アクセスにより1億人を超える個人情報が流出したと発表しました。WAFの設定ミスに起因して、Server Side Request Forgery(SSRF)攻撃を許したことにより情報を盗まれたと見られています。ここでは関連する情報をまとめます。 Capital Oneによる公式発表 Information on the Capital One Cyber Incident(米国向け) Information on the Capital One Cyber Incident(カナダ向け) Frequently Asked Questions (1)影響範囲 影響が及んだ人数の内訳は以下の通り。 米国 約1億人 カナダ 約600万人 発表時点でCapital Oneは流出した情報が外部へ出回ることや、詐欺への使用は確認していない。
2019/06/11追記: これは2012年の投稿です。なぜかはてなブックマークで拡散されていますが、内容は時代にそぐわなくなったものもあるのでご注意ください。 これ知らないプログラマって損してんなって思う汎用的なツールのコメントに寄せられたツールを分類分けしてみました。 解説は、ほぼコメントに寄せられた内容のコピペです。 URLのみの記述は公式サイト(か、ほぼ公式サイトと化しているサイト) 公式サイトとは別に、ページタイトルだけでツールを説明しきっているページへのリンクも付けておきました。類似ページが複数ある場合は、はてブのブックマーク数が多いものを選びました。 知らないツールもあるので、分類がいいかげんなところもあると思います。何か気づいたらコメントください。 解説が不十分なツールについても、補足(コピペで本文に取り込める体裁だとありがたい)を頂けると助かります! 元ネタの投稿は現在進
2022年4月に発生したアトラシアンのサービス停止に関するインシデント事後レビュー | Atlassian Japan 公式ブログ | アトラシアン株式会社
本ブログは、こちらに掲載されている英文ブログの意訳です。万が一内容に相違がある場合は、原文が優先されます。また、PDF版をダウンロードいただけます。 はじめに – 共同創業者兼共同最高経営責任者より 2022年4月上旬に発生した障害により、お客様へのサービス提供が中断されたことをお詫び申し上げます。私たちは、当社の製品がお客様のビジネスにとってミッションクリティカルであることを理解しており、その責任を重く受け止めています。今回の全責任は私たちにあり、影響を受けたお客様の信頼を回復するために尽力しています。 アトラシアンのコア バリューの 1 つに「オープンな企業文化、デタラメは無し (Open company, no bullshit)」というものがあります。この価値を実現する取り組みの一環として、インシデントについてオープンに議論し、学びにつなげています。そして、このインデント事後レビュ
戻るボタンで情報が漏洩するサイトを作ってみた
雇用調整助成金等オンライン受付システムにて、ブラウザの「戻る」ボタンを使うと別の会社の申請書が閲覧できてしまう事故が発生しました。この事故に着想を得て、ブラウザの「戻る」ボタンとセッション変数の関係について解説する動画を作成しました。 # 事故の原因推測ではなく、セキュリティの解説動画です スクリプト等はこちら https://github.com/ockeghem/web-sec-study/tree/master/browser-back-incident ------------ ■EG セキュアソリューションズ株式会社 https://www.eg-secure.co.jp/ ■お仕事の依頼はこちらから https://www.eg-secure.co.jp/contact/ ------------
ビックカメラがエンジニアを数百人規模で採用しIT子会社を設立するがその理由が「給与の問題でそのままエンジニアを採用するのが厳しいから」らしい
リンク 日経クロステック(xTECH) ビックカメラがIT子会社設立しエンジニア数百人採用へ、内製に舵切りDX推進 ビックカメラが今夏をめどに新会社を設立し、数百人規模のITエンジニア採用に乗り出す。ビックカメラと異なる人事制度を取り入れ、ITエンジニアの市場に合わせた給与体系や勤務形態を用意する。デジタル戦略の推進へ社内でエンジニアを抱え、システム開発の内製に大きく舵(かじ)を切る方針だ。 30 users 734 あんどぅ @integrated1453 経済ニュースアプリの泥水と味噌卵麺をすすりながらコストコンシャスなSREに取り組んでいます。 Incident Response Meetup運営/JAWS-UG SRE支部運営/インフラエンジニア/AWS CDK/エンジニア採用/アニメ/2児の父/経済ニュース/資産運用/蒙古タンメン中本/サウナ docswell.com/user/
ジョージ・フロイドの死 - Wikipedia
ジョージ・フロイドの死(ジョージ・フロイドのし、英: Murder of George Floyd)は、アフリカ系アメリカ人の黒人男性ジョージ・フロイド(George Floyd)が、2020年5月25日にミネアポリス近郊で、警察官のデレク・ショーヴィンの不適切な拘束方法によって殺害された[3]事件である。 この事件以降、全米でBLM運動と暴動が多数発生した[4]。 事件概要[編集] 2020年5月25日当日、警察官デレク・ショーヴィン(Derek Chauvin)を被疑者とする告訴状によると、偽ドル札の使用容疑により手錠をかけられたフロイドが、「呼吸ができない、助けてくれ」と懇願していたにもかかわらず、8分46秒間フロイドの頸部を膝で強く押さえつけ、フロイドを死亡させた。その時間の中で、フロイドの反応が見られなくなった後の2分53秒間においても当該警察官はフロイドの頸部を膝で押さえつけて
はじめに - 秘密のミッションfreeeのような若い会社にも定年制度があると知ったら、驚かれるかも知れません。しかし、上場を期に整備された就業規則には、以下のような条文が存在していました。 第21条(定年) 従業員の定年は満60歳とし、定年に達した日の属する賃金締切日をもって退職とする。 定年に達した従業員のうち、本人が引き続き勤務を希望する者については、定年に達した日の属する賃金締切日の翌日から1年間、嘱託として再雇用することとし、その後最⻑で満65歳に達する日の属する賃金締切日まで同様とする。 freee株式会社 就業規則より日本の伝統的な企業にはたいていある、典型的な定年に関する条文です。今日は、この条文を抹殺すべく(?)freeeに入社し、みごと公約を果たしたというお話をします。 というわけでこんにちは。freeeのPSIRT (Product Security Incident
This post is also available in Deutsch, Français, 简体中文, 繁體中文, 日本語, 한국어, Español and ไทย. IntroductionToday, June 21, 2022, Cloudflare suffered an outage that affected traffic in 19 of our data centers. Unfortunately, these 19 locations handle a significant proportion of our global traffic. This outage was caused by a change that was part of a long-running project to increase resilience in our busi
監視について思うとこ - y-ohgi's blog
TL;DR 監視はユーザーにサービスを提供できているかを観測するための行為 SLI/SLOを定めて、SLOを守れるようにモニタリングする ダッシュボードは定常的に表示しておくものと障害時に活用するものを作ると良い アラートはレベル分けして人間が対応しなければならないものだけ人間へ通知する 監視とは サービスを健全に動作させ続けるために監視を行います。 「健全に動作している」の定義はサービスによって異なり、ユーザーにWebページを見せることができることだったり、バッチが正常に終了することだったりします。 最終的にユーザーに正常にサービスを提供できていることを観測するために行うことに変わりはありません。 さてユーザーにサービスを提供するために何を監視しましょうか? クラウド前提であれば個人的にリソースベース(CPU/Memory)より、 SLI/SLOをベース に監視する事が望ましいと考えてい
2024年3月29日 お客様各位 ワークスタイルテック株式会社 弊社サービスをご利用いただいているお客様への重要なご報告とお詫び このたび、弊社のサービス「WelcomeHR」におきまして、弊社のお客様の個人データが、限定された特定の条件下において外部から閲覧可能な状態にあり、これにより個人データが漏えいしていたことが判明いたしました(以下「本件」といいます。)。その内容と現在の状況について、下記のとおり、お知らせいたします。 お客様には大変ご心配をおかけする事態となりましたことを深くお詫び申し上げます。 1. 本件の概要 本来、お客様がストレージサーバーに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバーのアクセス権限の誤設定により、閲覧可能な状態となっておりました。 当該誤設定により、ファイルの一覧の情報をもとに各ファイルをダウンロードすることも可能となっ
開発者の生産性を測るためのフレームワーク`SPACE`について
LeanとDevOpsの科学の著者の一人であるNicole Forsgren氏が著者に入っているThe SPACE of Developer Productivity: There's more to it than you think - Microsoft Researchで提唱されているSPACEについて 以下記事も Four Keysだけじゃない開発者生産性フレームワーク 開発生産性の可視化フレームワークであるSPACEを活用するために、どのようなメトリクスをどう取得するかについて考えてみる 要約 SPACEは開発者の生産性を計測するためのフレームワーク 推奨されている測定指標のカテゴリ(本文ではディメンションと定義)の頭文字 satisfaction and well being performance activity communication and collaborati
システム障害が起こったときにどういう体制で望むか、エンジニア個人が障害に直面した時にどのような役割を受け持つのが良いのか。組織によって色々なパターンはあるでしょう。しかし、幸いにも「入門 監視」やSRE本に書かれている4つの役割分担が浸透しているので、それをベースに考えるのがファーストステップとしては良いのではないでしょうか。 入門 監視 ―モダンなモニタリングのためのデザインパターン 作者:Mike Julianオライリー・ジャパンAmazon SRE サイトリライアビリティエンジニアリング ―Googleの信頼性を支えるエンジニアリングチーム オライリージャパンAmazon ただ、小さな組織では障害時に4人もすぐに揃わない場合もあるでしょうし、そもそも4人もスタッフがいない、と言う場合もあるでしょう。そういった場合にもどうすればいいのか考えていきます。 役割分担の基本 「入門 監視」に
2020年7月16日(日本時間)、Twitter上で複数の著名なアカウントや有名企業のアカウントからビットコイン詐欺の投稿が行われました。Twitterはその後の調査で、社内サポートチームが使用する管理ツールが不正利用されたことが原因と発表しました。ここでは関連する情報をまとめます。 何が起きたの? 2020年7月16日未明から著名アカウントを中心に詐欺投稿が行われた。その後アカウント侵害の影響は大部分が回復した。 一連の投稿にはTwitter社内のサポートチームが使用する管理ツールが悪用された。さらに複数のアカウントでDM閲覧やデータのダウンロードが行われた恐れがある。 社内ツールはソーシャルエンジニアリングにより不正利用された。Slackがその舞台となったと報じられている。 1. アカウントのっとり詐欺投稿 4時間続く 7月16日に発生したビットコイン詐欺の投稿は大まかに2種類が確認さ
私個人の障害対応の経験と 一昨日参加したIncident Response Meetup vol.1での学びから 障害対応において大切だと感じていることをまとめる。 障害とは リリース後のシステムにおいてシステムの不具合やユーザーの操作ミスによってユーザー業務に影響が出ているもしくは出る恐れがあるもの。 障害対応の目的 システムを直すことではなく、ユーザー影響の回避・低減・早期回復をすること。 障害対応に対する心構え システムの信頼性の要である 障害への対応の仕方でユーザー影響が大きく変わる いつ発生するかわからないため特定の人が常に障害対応をするということは不可能である 素早く適切に行動するための備えが重要である 役割分担 障害対応では復旧対応、原因調査、ユーザーへの説明、社内調整などたくさんのことをやる必要がある。 またそれぞれの作業の難易度が高いことも多い。 一人の人間にできることは
PagerDuty Advent Calendarの8日目! 今日はOps Guidesのお話です。 うちはこうだけど、他はどうやってるんだろう? 普段から運用に関わっていると、ふとした瞬間に「そういえば他の会社ではどういう運用をやっているんだろう?」と気になること、ありませんか? そのきっかけは「本当になんとなく」といったものから「上手くいかない運用にフラストレーションが溜まって」というどす黒いものまで色々あると思いますが、いずれにせよ「他の会社の良いところを取り入れて、自分たちの運用を改善したい」という気持ちから来ているのは間違いないでしょう。 だからこそ、いろんなミートアップに参加して発表を聞いたり、懇親会で話してみたり、Xに垂れ流されているいろんなポストを読んで事例を学ぶわけです。 ベストプラクティスを学びたい! このような取り組みはとても良いことですし、是非とも継続して情報収集し
障害プロセスを改善してきた話 こんにちは。Reliability & Securityチームに所属するSoftware Engineerの@sota1235です。 今回は10X内における障害対応プロセスの改善をご紹介します。 今が完成系ではなく道半ばではありますがこの半年 ~ 1年で大きく進化したので同じくらいのフェーズの会社で困ってる方がいたら参考にしてみてください! ちなみに私ごとですが去年の5/26にこんな投稿をしてたのでやっと伏線を回収する形となります(※ ドヤ顔ではありません)。 目次 こんな感じで紹介していきます。 目次 障害対応プロセスの改善に踏み切った背景 課題1. 障害の報告フォーマットが統一されていない 課題2. 障害報のクオリティの差異が大きく後から振り返りが難しい 課題3. 障害対応者が特定の人に偏る 第一の改善 改善1. 障害報告書のフォーマット更新 改善2. S
新型コロナウイルス感染症(COVID-19)の流行が世界規模で進行している中、感染拡大を防ごうとする各国では国境封鎖などの対策がとられていますが、パンデミックの際には人間の予期せぬ行動によって感染が拡大してしまうケースもあります。そんな新しいウイルスが広まる中で起きる人々の予測不可能な行動について、世界一プレイヤーが多いMMORPG(大規模多人数同時参加型オンラインRPG)で過去に発生した「死の伝染病のパンデミック」から、ヒントが得られるかもしれないと研究者が主張しています。 The researchers who once studied WoW's Corrupted Blood plague are now fighting the coronavirus | PC Gamer https://www.pcgamer.com/the-researchers-who-once-stud
うつ病に「腸内細菌」が関係している新たな証拠が登場
学術誌大手のScienceが「うつ病に関連しているとみられる腸内細菌」について最新の研究結果を報じました。 Combined effects of host genetics and diet on human gut microbiota and incident disease in a single population cohort | Nature Genetics https://www.nature.com/articles/s41588-021-00991-z Gut microbe linked to depression in large health study | Science | AAAS https://www.science.org/content/article/gut-microbe-linked-depression-large-health-stud
転職活動 - mala
2020年7月現在、転職活動をしています。お気軽にお問い合わせください。 https://docs.google.com/forms/d/e/1FAIpQLSfNuWiDVcCCZ58XjPn2nZIqtYOHo0XAuTMgIZisSYLbfiIcnA/viewform https://twitter.com/bulkneets/status/1279236615546654720 いわゆる履歴書や職務経歴書 要するに mala とは何者なのか? プログラマ、デザイナー、ライブドアの残党 専門領域はWebに関わること全般 セキュリティエンジニアとして認識されることを本人は嫌っていますが、そのように認識されることも多いようです 説明が面倒くさい時に自分からsecurity researcherを名乗ることはたまにあります 実績は CVEや、善行からリンクされているページを見てください。 実
2022年6月16日 ピクシブ株式会社 代表取締役 國枝 信吾 過日報道されました、弊社におけるハラスメント事案に関しまして、まず、被害者である弊社従業員に対しまして、ハラスメント被害が起こってしまったことについて深く謝罪いたします。また、弊社内で様々な協議や事実確認に時間を要し、この度の声明が遅れたことに関しまして、深くお詫び申し上げます。 ハラスメントに関して企業としてあるべきいくつかの防止策を講じておりました。しかし、今回の事態を受けて、被害者に対する心情理解や対応が不十分であったと受け止めるべきと考えております。本件に対して真摯に向き合い、誠意をもって対応をしてまいりたいと考えております。 改めて、弊社としてハラスメント行為は絶対に許されない行為であると認識しております。その上で、本件において生じたハラスメント行為を防止するために、組織としてどのような問題があるのか、その背景要因を
「なんかアプリでインシデント起きてエンジニアがどこかで対応してるらしいよ」 「インシデント時のお知らせって誰がどうやって出すんだっけ?」 「インシデントの復旧作業って今どれくらい終わってる?」 「あのインシデントって振り返りしたっけ?」 「似たようなインシデント、前も対応したような、していないような」 このような会話に覚えはありませんか? FiNC Technologies社 (以下FiNC) では今まで インシデント対応をしていても自チーム内で対処しようとしてしまい、他の人が気づけないインシデント対応の仕方にフォーマットがなく、迅速な対応やお客様への報告ができないインシデントの振り返りが実施されず、インシデント時の知見が共有されないという問題がありました。 それらの問題を 気が付きやすく、シェアしやすくする = 統一のチャンネルで情報を整理し、そこにシェアしやすい空気を作る何をすべきかわ
セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン・サービスのまとめ - FFRIエンジニアブログ
はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。先日は「セキュリティエンジニアを目指す人に知っておいてほしい組織」を公開しました。今回は、セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン、サービスについてまとめました。こちらも、セキュリティエンジニアとして働いていると日常的に会話に出てくるものばかりです。これからセキュリティを学ぼうという方の参考になれば幸いです。なお、記載した情報はすべて執筆時点 (2023 年 7 月) のものです。 はじめに 制度・ガイドライン セキュリティ設定共通化手順 (SCAP) 共通脆弱性識別子 (CVE) 共通脆弱性評価システム (CVSS) ISMS適合性評価制度 政府情報システムのためのセキュリティ評価制度 (ISMAP) CSIRT Services Framework PSIRT Services Framewo
障害発生!全員集合? - オンコールアンチパターンからの一歩前進 - Cybozu Inside Out | サイボウズエンジニアのブログ
8月だというのに涼しい日が続きますね。 kintone.comのDevOpsをしている@ueokandeです。 もうすぐAWS版kintoneのローンチからから2年が経過しようとしています。 この2年間、DevOpsチームではkintone.comのサービス安定化やスケーラビリティに注力してきました。 時には本番環境の障害で休日や深夜に障害対応することもあります。 kintone.comの障害の一次対応は、我々DevOpsメンバーが実施しています。 サービスローンチ直後は、メンバーの多くがオンコールに不慣れで、慌てて障害対応したりうまく進められないことが何度もありました。 そこでメンバー全員が効率的・効果的な障害対応を目指すべく、チームでPagerDuty社のIncident Response(非公式日本語訳版)を読むことにしました。 この記事ではAWS版kintoneで実際に体験した障害
こんにちは!PSIRT(Product Security Incident Response Team)で仕事をしている21卒エンジニアのMBです。 freee Developers Advent Calendar2022 11日目です。 既にPSIRTメンバーが2人も記事を出していますが、私はPSIRTの仕事とは関係ないお話を書きます。 タイトルでネタバレを食らっていますが、仕事で使うアバターをゼロから自作していこうという記事です。 私は普段のお仕事でもアバターを使っており、青いアバターの人と認識されていることが多いです。 普段のアバター アバターでお仕事をするメリットとして個人的に感じているものはいくつかあります。 社内で認知度が上がるのでお仕事のお願いをしやすくなる メイクをする時間が浮く ミーティング中にかわいいアバターがいると仕事のモチベーションが上がる(当社比) 「僕と契約して
【悲報】トレンドマイクロ、三菱電機の不正アクセス時の対応も無能すぎたことが暴露されてしまう - Windows 2000 Blog
三菱電機には、サイバー攻撃の兆候が見つかると調査と対策に乗り出す専門のチームが存在する。「CSIRT(Computer Security Incident Response Team=シーサート)」と呼ばれ、世界の大手企業や行政機関を中心に即応体制の強化を目的にこうしたチームが相次いでつくられている。 三菱電機シーサートのメンバーは、ウイルスバスターの開発元である情報セキュリティー大手トレンドマイクロに不審なファイルを送り、解析を依頼した。 ところが、解析結果は「異常なし」。ファイルの実体は、ウィンドウズに元々インストールされているコマンド実行プログラム(Powershell.exe)だったというのだ。 そのプログラムがなぜ、クロームの名前に書き換えられ、本来と異なる場所に存在し、実行されようとしていたのか。
米Googleは12月18日(現地時間)、12月14日の約45分間にわたる多数のサービスダウンの原因と今後の対策について、ステータスダッシュボードで説明した。 この障害は、14日の午前3時46分(日本時間では14日の午後8時46分)から47分間続き、Googleのログイン認証サービス「OAuth」を採用するGmailやWorkspaceなどの一連のサービスが影響を受けた。 大まかに要約すると、根本的な原因は、10月にユーザーIDサービスを新しいクォータシステムに登録するための変更を行ったが、その際に古いクォータシステムの一部が残ってしまい、誤った報告があったことという。ユーザーIDサービスの使用量が誤って0と報告されたため、クォータ制限が続いて最終的に期限切れになり、自動クォータシステムがトリガーされてユーザーIDサービスのクォータが減少した。 意図しないクォータ変更を防止するための安全性
2022年8月7日、米国のクラウドコミュニケーションプラットフォームサービスを提供するTwilioは従業員がスミッシングによるアカウント侵害を受け、その後に同社サービスの顧客関連情報へ不正アクセスが発生したことを公表しました。また、Cloudflareも類似の攻撃に受けていたことを公表しました。ここでは関連する情報をまとめます。 米国2社が相次ぎ公表 TwilioとCloudflareは、従業員に対し、何者かがIT管理者からの通知になりすましたSMSを送り、記載されたURLからフィッシングサイトへ誘導される事例が発生したことを報告。 2022年8月7日 Twilio Incident Report: Employee and Customer Account Compromise 2022年8月10日 Cloudflare The mechanics of a sophisticated
Webアプリケーションの障害対応について改めて意識すべき点ややれると良いことをまとめる - stefafafan の fa は3つです
Webアプリケーションエンジニアをやっていると時たま障害が発生し復旧作業にあたるのだが、人によって「障害対応が得意」だったり「苦手」だったりする。ただ、障害対応時の「良い動き」というのが実際どういうものなのかというのが自分の中でふんわりしていたので、ざっくりはてブで「障害対応」で検索していくつかのエントリーを読んでみたり、自分の仕事での経験を振り返ってみたりして考えたことをまとめてみた。 障害にはフェーズがある 障害対応には複数の役割がある 障害対応をスムーズに進めるための目的は複数ある スキルも必要なので練習していけると良い 初心者でもやれることはある 実際やってみると良さそうなこと 障害対応時にやることをテンプレート化する スムーズに対応に入れる仕組みを整える 障害対応避難訓練 おわり 障害にはフェーズがある 障害対応したことないと、障害には「障害中」「障害中でない」の二つの状態しかな
セキュリティ相談を受けたときに引用したい記事・ニュース集・事例集 これは何? セキュリティ相談受けた際、過去のインシデントや事例などを引用して、「その対策必要なの?」というい疑問への説得力を持たせたりすることがあります。 が、その場で思い出せることは稀です。よく引用できていますが、「どっかにあった気がするんだけどな〜」と思って思い出せないことが7割くらいな気がします。 そんなことがないように、ここにまとめていきます。 いつかまとめたいと思っていたんですが、すぐ思い出せないので永遠に先延ばしにしていたので、未完成のまま公開します。 少しずつ思い出す度に増やします。 BetterThanNothingの精神です。 参考: https://www.youtube.com/watch?v=bnfPUrJQh1I 事例集 各種プロダクトのセキュリティガイドラインなど メルカリさんのgithub ac
メルカリの社内技術研修 ”DevDojo”の研修資料を公開します! | メルカリエンジニアリング
この記事は、Mercari Advent Calendar 2022 の23日目の記事になります。 こんにちは!メルカリ Engineering Office チームの@aisakaです。 メルカリのエンジニア組織は、メンバーが相互に学び合い、メンバー自身が自走し、成長できる組織を目指し、「互いに学び合い、成長し合う文化」の醸成を行っています。 こうしたメルカリの「互いに学び合い、成長し合う文化」を体現する仕組みの一つが、社内技術研修「DevDojo」シリーズです。この度、一部のDevDojoシリーズを外部公開することになりましたので、今日のブログではDevDojoとその内容をご紹介します。 DevDojo page in Engineering Website 技術研修DevDojoとは DevDojoは技術開発を学ぶ場として、「Development」と「Dojo(道場)」をかけ合わせ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「次から気をつけます」に対抗する、反省文よりは効果が上がる再発防止、学びの機会 - Qiita
Let's EncryptがはまったGolangの落とし穴 - ぼちぼち日記
Twitterから流出したとみられる約2億件のデータについてまとめてみた - piyolog
「Codecov」への第三者からの不正アクセスによる当社への影響および一部顧客情報等の流出について
「1日1万歩で健康」説はやっぱり本当? 歩数や座位時間と死亡率の関係を調査、7万人を対象に【研究紹介】
「ChatGPT、これやって」うまくやってもらうために知っておきたい4つの構成要素
日本語版ウィキペディアで「歴史修正主義」が広がる理由と解決策 - 佐藤由美子の音楽療法日記
メルカリWebのマイクロサービス化、その4年 | メルカリエンジニアリング
SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた - piyolog
【まとめ】これ知らないプログラマって損してんなって思う汎用的なツール 100超 - Qiita
60歳が近づいてきたので会社の定年制度を廃止した。自分で。|ただただし
Cloudflare outage on June 21, 2022
弊社サービスをご利用いただいているお客様への重要なご報告とお詫び - Workstyle Tech
入門監視やSRE本に学ぶ障害対応フォーメーション - An Epicurean
Twitter社内管理ツールの不正アクセスについてまとめてみた - piyolog
障害対応で大切だと感じていることのまとめ - Qiita
運用に携わる人全員に見てほしい! Ops Guidesの紹介 - Qiita
障害対応プロセスを改善してきた話 - 10X Product Blog
世界一プレイヤーが多いMMORPGで流行した「死の伝染病」からパンデミックに対処するヒントを得られる可能性
報道の件に係る今後の弊社の取り組みについて - ピクシブ株式会社
【いでよ障害対応太郎】我々はインシデントにどう向き合っているのか 〜社内向け障害対応リスト付き〜
ゼロから始めるバーチャル美少女作成手順 - freee Developers Hub
Google、12月14日の約45分間ダウンの原因と対策を詳解
従業員を標的にした認証サービスに対するスミッシングについてまとめてみた - piyolog
セキュリティ相談を受けたときに引用したい記事集(WIP) - Qiita