OAuth2.0を復習してLINEとヤフーの脆弱性見つけたら両社が経営統合された | Nevermoe's Blog
0x00 背景 一 Web Pentester の立場から、毎回 OAuth 連携の案件が来る時に、どこが診断する必要なのか、どこが idP の SDK 使っているから診断不要なのかを見極める必要があり、このような背景において、OAuth2.0 をもう一回復習して、心得を共有したいと思い始めました。(0x01~0x08)。復習しているうちに、OAuth の idP 両社の脆弱性を見つけ、50万円賞金もらって終わりと思ったらいつの間に両社経営統合されました。この話を読みたい方は 0x09 から読んでください。 この文章を読む前提は二つあります: OAuth2.0 の各種認証 Flow (すくなくとも Implicit Grant, Code Grant, Code Grant with PKCE) を大まかに理解していること。 この文章図解:OAuth 2.0に潜む「5つの脆弱性」と解決法に
内容は初歩の「ゼロトラストとは」から始まり、移行検討時に必要なマインド、投資判断、環境構築といった作業工程別の解説など。 IPAは「ゼロトラスト移行の効果を最大限発揮するためには、ゼロトラストに対する担当者の理解が不可欠」としている。 関連記事 今更聞けない「ゼロトラストセキュリティ」の基本 具体的にはどう守る? 新型コロナの感染拡大に伴う外出自粛などの影響でテレワークの導入が進む中、「ゼロトラストセキュリティ」に注目が集まり始めている。ゼロトラストセキュリティのメリットや具体的な内容についてアカマイ・テクノロジーズに聞いた。 気付いたらゼロトラストだった――セキュリティ強化のためのネットワーク構築、重要なのは何がやりたいか セキュリティ業界で近年注目を集めている「ゼロトラスト」だが、導入実績はまだ少ない。そんな中、同志社大学は2019年にゼロトラストネットワークを構築した。構築のポイント
キャリアって何だ? 自分らしい強みを活かし、蓄積することで、到達するありたい姿 Will:何がしたいのか Can:何ができるのか Must:何を求められているのか スキルの寿命は短くなり、キャリアの形成期間は長期化の傾向にある。 自らのキャリアアンカーを知る 長期的な方向性の道しるべとして「キャリアアンカー」を活用する。 エドガー・H・シャイン(Edgar Henry Schein)博士によって提唱されたキャリア理論 築き上げてきたキャリアに基づいた、生涯にわたってぶれない自己欲求・または自己が望む価値観 まずは「セルフアセスメント(40問)」を実施し自分のタイプを把握しておく 8つの分類(専門・職能別 / 全般管理 / 保障・安定 / 起業家的創造性 / 自律と独立 / 社会への貢献 / ワークライフバランス / 純粋なチャレンジ) ※注意:8つの分類とは違うキャリアアンカーを持つ人もい
ritou です。 Developers Summit 2023にてパスキーについて講演させていただきました。 資料も公開しました。難しい話ではないです。 同じ時間帯の他の講演者の方々が豪華なのでワンチャン誰も聞いていなかった説がありますが、それもいいでしょう。とりあえず無事に終わりましたというところで、発表内容全部書き出してみたをやってみます。 講演内容 (省略) 今回の内容です。コンシューマ向けサービスにおけるこれまでの認証方式を振り返り、最近話題のパスキーとはどういうものかを紹介します。そして、実際に導入を検討する際に考えるべきポイントをいくつか紹介できればと思います。 早速、これまでのユーザー認証について振り返りましょう。 最初はパスワード認証です。知識要素を利用する認証方式であり、ユーザーとサービスがパスワードを共有します。 このパスワード認証を安全に利用するために、ユーザーとサ
XSSがあってもlocalStorageに保存するのに比べてcookieのhttpOnlyはjsから読めないので強いと言うことですが、SPAのサイトであれば、XSSを使ってAPIを呼び出し放題なので、セッションのcookieがjsで読めなくても危険性には大差がないのでは?と思うのですが私の認識がおかしいでしょうか? - ockeghem page
徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。 https://t.co/F0kveu1nJM
「セキュリティエンジニアのための English Reading」が公開されました - 午前7時のしなもんぶろぐ
お久しぶりです。しなもんです。 ここ数ヶ月作成していた「セキュリティエンジニアのための English Reading」が無事 IPA のサイトで公開されましたのでここで紹介させていただきます。 日本のセキュリティエンジニア全員に是非!是非!ご覧いただきたい内容に仕上がっていると自負しておりますので (誇張あり)、どうか冷やかしでも一度ご覧いただけると幸いです。 www.ipa.go.jp 中核人材育成プログラムとは プロジェクトの背景 「セキュリティエンジニアのための English Reading」紹介 Awareness ~英語情報の重要性を理解する~ Practice ~より「楽に」「上手く」読む~ Training ~リーディング力を鍛える~ セキュリティ英単語集 特長①: セキュリティニュースで「実際に使われている」単語を厳選 特長②: セキュリティならではの意味・使用例を掲載
こんにちは。フロントエンドエンジニアの小林和弘です。 Vue.js + Atomic Designでつくられたプロジェクトにビジュアルリグレッションテストを導入しました。 ビジュアルリグレッションテストでUIの安全性を高める コンポーネントの改修、新機能の追加、ライブラリのアップデートを行う際、UIに不要な変更が入っていないか不安になることがあると思います。リファクタリングをしようにも、意図しないところでUIが壊れないか心配になります。 画面表示に関わるコードを改修するたびに、ローカル環境やステージング環境で全UIコンポーネントを確認するのは難しいです。 また、ステージング環境と本番環境を並べて変更されたUIを目視で確認するのも非現実的です。 ビジュアルリグレッションテストはその名前の通り、視覚的な回帰テストを指します。改修前後のスクリーンショットの差分を検証するためのテストです。 開発に
情報処理推進機構(IPA)は組織改編を行い、2023年7月1日付で新組織「デジタル基盤センター」を発足した。経済産業省やデジタル庁と連携して、データ基盤整備などを行う。 デジタル基盤センターは約100人規模からなり、デジタルエンジニアリング部、デジタルトランスフォーメーション部、イノベーション部などから構成される。組織改編により2023年6月30日付で廃止した「社会基盤センター」「IT人材育成センター」の事業の一部を継承するなどの従来業務に加えて、デジタルエンジニアリング部に「データスペースグループ」を新設し、データ戦略の検討に加えて具体的なデータ基盤整備を進める。 同グループでは、欧州など国際動向を踏まえてデータ標準を策定する他、防災やスマートシティ、教育といった領域ごとでのデータ基盤整備を進める。具体的には、IPAが協力しデジタル庁が作成した、異なるシステムを連携するためのデータ整備の
2019年も、残り一カ月となりました。 今年もWebパフォーマンスのAdventカレンダーを今年も開催したので、その初日のエントリーとして、今年のWebパフォーマンスを振り返ります。 今年は法制面で、経産省が坦々と進めてきた制度整備が大きな目玉でした。 従って、法制度の話が中心です。 エンジニアは、技術だけではなく、関連する法制度もしっかりと理解しなければいけません。 品質保証前夜 ついに、2020年4月1日の改正民法債権法施行まで、4か月となりました。 未だに、改正民法債権法を知らない人は多く、施行後、それなりにトラブルが生じると予想されます。 今一度、改正民法債権法で、Webサイトに関連する箇所をおさらいしましょう。 契約不適合責任 今回の民法債権法改正で、大きく変わるのが、ドイツやフランス由来の大陸法から、英米法へ軸をシフトする点です。 今回の民法債権法の改正は、日本がウィーン売買条
IPAが2021年度の「情報セキュリティ10大脅威」を発表しました。本稿は、その中から前年のランク外から急上昇した脅威と、筆者が個人的に注目しているものをチェックしていきます。
デジタルトランスフォーメーション(DX)の推進 | 社会・産業のデジタル変革 | IPA 独立行政法人 情報処理推進機構
事業背景 あらゆる産業において、新たなデジタル技術を使ってこれまでにないビジネス・モデルを展開する新規参入者が登場し、ゲームチェンジが起ころうとしています。こうした中で、各企業は、競争力維持・強化のために、デジタルトランスフォーメーション(DX:Digital Transformation)をスピーディーに進めていくことが求められています。 このような中で、我が国企業においては、自らDXを進めるべく、デジタル部門を設置する等の取組みが見られます。しかしながら、PoC(Proof of Concept:概念実証。戦略仮説・コンセプトの検証工程)を繰り返す等、ある程度の投資は行われるものの実際のビジネス変革には繋がっていないというのが多くの企業の現状です。 今後DXを本格的に展開していく上では、DXによりビジネスをどう変えるかといった経営戦略の方向性を定めていくという課題もありますが、これまで
ネットワークエンジニアとは ネットワークエンジニアはシステムエンジニア(SE)の職種の一つ ネットワークエンジニアは、システムエンジニアの中の職種の一つで、ネットワークの設計・構築から、運用・保守までを手掛ける仕事です。 システムエンジニアは、「開発エンジニア」と「インフラエンジニア」に分けられます。また、インフラエンジニアは、「サーバーエンジニア」と「ネットワークエンジニア」に分けられます。 ネットワークエンジニアの割合 IPA(情報処理推進機構)が発表している「IT人材白書2020」には以下の記載があります。 IPA(情報処理推進機構) – IT人材白書2020 以下の区分にネットワークエンジニアが含まれていると推察できます。 ・システムアーキテクト 〜 ネットワークの企画立案を行うエンジニア ・インフラ系技術者 〜 ネットワークの設計/構築を行うエンジニア ・運用系サービス技術者 〜
この記事に記載されている内容を、実際に試して発生した損害に対していかなる責任も負いません(補償しません)。 すべて自己責任のもとで行ってください。 リリースされているアプリやゲーム、ソフトウェア利用許諾契約(EULA)やアプリケーション利用規約などでリバースエンジニアリングは禁止されています。 実際に試す場合は、自分で開発しているアプリやゲームや脆弱性確認用でリリースされているアプリやゲームを使いましょう。 はじめに ハック(攻撃)と対策(防御)は表裏一体です。どのようなハックが行われるのかを知らないと対策は行えません。 ハックする側の方が、時間や対応者の人数など基本有利です。 日々新たな問題が発生しています。最新の情報を常に確認する必要があります。 リンクは、すべて目は通していますが、すべてを試しているわけではありません。 上手くいかない、よくわからないなどはキーワードをピックアップして
アジャイル開発を外部委託するときの契約事項をまとめた「情報システム・モデル取引・契約書」を改訂 IPA
情報処理推進機構(IPA)は2021年10月6日、アジャイル開発版「情報システム・モデル取引・契約書」を改訂した。厚生労働省が同年9月21日に公表した「『労働者派遣事業と請負により行われる事業との区分に関する基準』(37号告示)に関する疑義応答集(第3集)」に関する情報を追加した。これに伴い、「アジャイル開発外部委託モデル契約(解説付き)」も更新した。 アジャイル開発版情報システム・モデル取引・契約書は、IPAが設置した「モデル取引・契約書見直し検討部会」と「DX対応モデル契約見直し検討WG」で検討された、アジャイル開発を外部委託する際のモデル契約についてまとめたもの。アジャイル開発を外部委託する際の契約条項とその解説、補足資料で構成されている。 発注者の意見が反映されるアジャイル開発は偽装請負になる? 改訂の基になった「労働者派遣事業と請負により行われる事業との区分に関する基準」(37号
安全なウェブサイトの作り方 - 1.9 クリックジャッキング | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
安全なウェブサイトの作り方 - 1.9 クリックジャッキング 概要 ウェブサイトの中には、ログイン機能を設け、ログインしている利用者のみが使用可能な機能を提供しているものがあります。該当する機能がマウス操作のみで使用可能な場合、細工された外部サイトを閲覧し操作することにより、利用者が誤操作し、意図しない機能を実行させられる可能性があります。このような問題を「クリックジャッキングの脆弱性」と呼び、問題を悪用した攻撃を、「クリックジャッキング攻撃」と呼びます。 発生しうる脅威 クリックジャッキング攻撃により、発生しうる脅威は次のとおりです。マウス操作のみで実行可能な処理に限定される点以外は、CSRF攻撃による脅威と同様です。 ログイン後の利用者のみが利用可能なサービスの悪用 利用者が意図しない情報発信、利用者が意図しない退会処理 等 ログイン後の利用者のみが編集可能な設定の変更 利用者情報の公
造りたてクラフトビール飲み放題が60分2,200円で楽しめる高円寺麦酒工房が最高すぎた! - メシ通 | ホットペッパーグルメ
はじめまして、ライターのJUNERAY(ジューンレイ)です。 突然ですが聞いてください。 食べ物の記事かと思って開いたのに、急に詩的なことを言われておののきましたか。そう、ビールは「網戸」とか「大蚊(ががんぼ)」とかと同じ、れっきとした夏の季語です。ちなみに「枝豆」は秋の季語だそうです。(なんでよ) 日中40度近いコンクリートジャングルに住まう我々にとって、夏祭りや川下りなんて涼しげな行事はもはや夢物語。 足元は熱い鉄板のような地面に灼かれ、頭上からはオーブントースターのごとく日差しが降り注ぎ、風流さを感じる余裕など皆無というもの。 そんな我々でも夏のよさを手軽に感じられる存在……それがビール。 今回は、メシ通編集部のU氏から「高円寺に60分2,200円(税込)で造りたてのクラフトビールが飲み放題のお店がある」と聞きつけたので夏エンジョイ勢として、はせ参じてみたレポートです。カラダを夏にし
IPA(独立行政法人情報処理推進機構、理事長:富田達夫)は本日、内部不正による情報セキュリティ事故防止のための「組織における内部不正防止ガイドライン」を改訂し、第5版を公開しました。5年ぶりの改訂となる本版では、個人情報保護法や不正競争防止法等の法改正に伴い、事業環境の変化や技術の進歩を踏まえた対策などを追加しました。 URL:https://www.ipa.go.jp/security/fy24/reports/insider/ 近年、組織内部者の不正行為による情報セキュリティ事故がたびたび報道されています。IPAは組織における内部不正防止を推進するため、2013年3月に「組織における内部不正防止ガイドライン」を公開し、2014年、2015年、2017年に改訂してきました。このたび、近年の事業環境の変化や情報漏えい対策技術の進歩などを踏まえ、5年ぶりとなる改訂版を公開しました。 事業環境
ありがとうございました #未踏— arailly (@arailly_) 2020年2月15日 2019年度の未踏が終わったのでこの1年を振り返ります. 未踏とは 未踏期間で作ったもの 未踏期間でやったこと サーバーレスアーキテクチャとは なぜサーバーレスか サーバーレスを採用した本音は 実装したアーキテクチャ サーバーレスを使い込んだ感想 いいところ 辛いところ 未踏を振り返って 頑張ったこと 未踏のいいところ 残念だったところ 最後に 未踏とは IPA(情報処理推進機構)が行なっている「未踏IT人材発掘・育成事業」のことです. 「未踏事業」は、ITを駆使してイノベーションを創出することのできる独創的なアイディアと技術を有するとともに、これらを活用する優れた能力を持つ、突出した人材を発掘・育成することを目的としています。 未踏事業ポータルページ:IPA 独立行政法人 情報処理推進機構 ざ
学び続けている実践者の方からお話を伺いました。 ご自身の組織や個人としての学びのご参考になれば幸いです。 2004年東京大学理科一類で入学するも、心理学に関心を持ち文学部に転籍。2008年東京大学文学部卒業。その後2社のベンチャー企業を経て2011年に起業、2年弱で代表を交代し2012年にスローガン株式会社にジョイン。キャリアカウンセラーとして2年間で数百人の就活生とキャリアについて対話するなかで、思考を言語化する面白さや課題解決への効果を実感。2015年8月にフリーランスとして独立し、ディスカッションパートナーという職業を名乗り支援した企業は約100社。2017年には行き過ぎた「個の時代」の反動として「コミュニティの時代」を直感し、2月にフリーランスコミュニティのFreelanceNowを、11月には議論でつながるコミュニティの議論メシを立ち上げる。議論メシのメンバー数は200人。様々な
今日も今日とて、様々なところで相談を受けている。日本中、そこかしこで課題がある。そんな中で寄せられる一つに「アジャイルができない」という話がある。 話を聞いていくと、アジャイルをやりたいのだけど上手くいかない、という。よくある話だけども、そもそも「なぜアジャイルをやりたいのか」を問うと、ごにょごにょし始めてしまう。 なぜアジャイルなのか? になると言葉に詰まる、あるいは通り一遍のフレーズ「変化に対応できるために」しか出てこない。どんな変化のことなのか、対応とはどういうことか? このあたりが言語化できないと、アジャイルを利用しようとしていて、その実、アジャイルという言葉に使われているだけかもしれない。これもよくある話。いわゆるアジャイルをやることが目的になっている。 そんなんじゃダメだから。すぐにアジャイルなるものの意義を確認しよう。 「だから、アジャイルは手段なんだ。あくまで手段なんだ。ア
彼女がITリテラシー音痴なので愛想が尽きた話
最近はてなは腐女子とかエンジニアのお気持ち表明かなり多くなってるから俺も腹に据えかねるようなことがあったのでタイトル通りな感じで数日前彼女と別れた。つーか結婚する予定だったけど白紙にしたってのが近い 彼女とは向こうの方が告白してきて付き合うことになった、サバサバ系っつーかまぁ艦これの摩耶みたいな感じかなって言うイメージは持った、ぶっちゃけ俺に釣り合う家柄でも収入でもないが、惚れられているのは男としてまぁ気分がいいからそれなりに付き合ってた。 俺の親父は日本のIT全盛期だった80年代からITエンジニアやってて、俺は物心つく頃にはPC-98でDOSでアセンブラでコード書いてて遊んでるクラスで情報系の大学出て、海外で仕事した経験もある、自分で言うのもなんだが、その気になればIPAスキル7くらい余裕でとれるレベルのスーパープログラマーであるこの俺に、単純換算コード1行で4000円は稼ぐレベルのハイ
技術書の出版を手掛けるラムダノート(東京都荒川区)が販売している、IPv6の解説書「プロフェッショナルIPv6 第2版」電子版の無償配布が12月20日に始まった。著者であり、通信技術やプログラミングなどを解説するWebサイト「Geekなぺーじ」も運営している小川晃通さんは、IPv6についてまとまった情報を必要としている人に届けたいとしている。 第2版は、2018年に発行した初版に比べて30ページ以上増量。5部構成に分けており、第1部の「インターネットとIPv6の概要」でインターネットの仕組みなど、前提知識を理解する部分から話を始め、そこからより詳細な解説に入っていく。カラーの図を初版よりも増やしており、IPv6の情報に初めて触れる人たちにも読みやすいように改訂したという。 初版の執筆や公開に当たっては、日本レジストリサービス(JPRS)、BBIX、NTTコミュニケーションズ、日本ネットワー
映画『Winny』公開記念 杉浦隆幸氏、高木浩光氏たちが振り返る「Winnyとは何だったのか」:むしろ「本質的に良くない部分」を問うことが必要(1/3 ページ) それは権力による創造の抑圧だったのか――元IPAセキュリティセンター長、セキュリティ研究者、ユーザー、セキュリティエンジニア、「One Point Wall」開発者たちが、さまざまな立場からWinny事件が残した影響を振り返った。
現時点では両サービスをターゲットとした攻撃ではないため、侵入の恐れはないという。ただ、こうした攻撃によりサーバのCPUなどが無駄に消費され、ユーザーの通信速度が低下する恐れがあることから、同社は新ビルドへのアップデートと事前共有鍵の変更を推奨。事前共有鍵については3文字のデフォルトから「8文字以上のある程度複雑な文字列に変更してほしい」としている。 関連記事 「シン・テレワークシステム」にWebブラウザ版登場 MacやChromebookでも利用可能に NTT東日本と情報処理推進機構(IPA)が、シンクライアント型VPN「シン・テレワークシステム」のHTML5版を開発した。今後はMac OSやChromebookなどOSを問わずに、ブラウザ上で同システムを利用できるようになる。 総務大臣奨励賞に「シン・テレワークシステム」の登大遊さんら サイバーセキュリティ分野の功績を表彰 総務省はサイバ
Qubes OS 4.0 を Lenovo Thinkpad X250 にインストールしてみた - 山形浩生の「経済のトリセツ」
(See the English version here) Qubes4.0 on Lenovo X250 Qubes OSを、Lenovo Thinkpad X250にインストールしてみたので、ご報告。 2019年7月、ちょうどエドワード・スノーデンの自伝を訳し終えた。 prtimes.jp もちろんこういうのを読むとパラノイアになる。なんでもNSAの陰謀に思え、パソコンのカメラにはテープを貼る。一方で、パスワードマネージャを使ったり、メールをPGPで暗号化はしないまでも(だって受ける側が使ってないから)署名くらいはするようにした。 そして、スノーデンがこの本でも推奨しているQubes も見てみることにした。 Qubes のインストールガイドは、本家のドキュメンテーションも含め、ないわけじゃない。でもかなり専門的で特殊といえば特殊なOSで、いまのところインストールしようという人は、それ
2022年1月4日、東京コンピュータサービス(to-kon.co.jp)はサイバー攻撃を受け、ランサムウェアに感染したことを公表しました。ここでは関連する情報をまとめます。 大みそかにランサムウェア感染 侵入が行われたのは2021年10月初旬から開始。その約2か月後の2021年12月31日早朝にランサムウェア感染が引き起こされた。 社内では社員向けのActive Directoryのパスワード変更、リセット機能を提供するWebサービスを使用していたが、このWebサービスの脆弱性を悪用されADサーバーへの侵入を許した。また接続する際はリバースプロキシサーバーを介して行われていた。 攻撃者はWebサービスの脆弱性を悪用して、侵入用の実行コードの埋め込み及びその実行とバックドアの作成、ウィルス対策ソフトを回避するマルウェアの配置を行っていた。 さらにADのドメインで管理される機器に対して、グルー
はじめに 開発マネージャーがメンバーに知って欲しい事を纏めた記事です。随時、更新します。 前提 新人向け Webアプリケーション開発 Learning 開発は常に学び続ける事になるので、「どう学ぶか」を考える。 メタ認知 自分を客観的に認知する。 Self Management 自己管理を行う。 守破離 学びのプロセスを理解する。 継続力 継続する手法を理解する。 Thinking 開発では考える事が多いので、その為の基本を学ぶ。 Logical Thinking 論理的な思考方法の基本を理解する。 参考書: Thinking Framework 思考を整理する際に利用するフレームワークを知る。 Thinking Backwards 逆から考えると言う思考法を習慣づける。 参考書: Document Business Document ビジネス文書の書き方の基本を理解する。 文章は長くなり
SEC BOOKS:ESCR C++ Ver. 2.0:【改訂版】組込みソフトウェア開発向けコーディング作法ガイド[C++言語版] Ver. 2.0:IPA 独立行政法人 情報処理推進機構
HOME社会基盤センター報告書・書籍・ツール・教材書籍SEC BOOKS:ESCR C++ Ver. 2.0:【改訂版】組込みソフトウェア開発向けコーディング作法ガイド[C++言語版] Ver. 2.0 SEC BOOKS:ESCR C++ Ver. 2.0:【改訂版】組込みソフトウェア開発向けコーディング作法ガイド[C++言語版] Ver. 2.0
「今、どの資格を取るべきか」。IT関連資格の取得動向は、ITエンジニアに求められるスキルやノウハウの変化を映す。デジタルトランスフォーメション(DX)の台頭で、クラウドやAI(人工知能)関連資格に注目が集まる。日経 xTECH会員へのアンケート調査から、「いる資格」「いらない資格」を探った。 「IT資格実態調査」として2019年8月、Webサイト「日経 xTECH」でアンケートを実施。編集部がピックアップした49種類のIT資格について、保有状況や役立ち度合い、取得意向を調べた。読者会員455人の回答を得た。調査結果から、IT資格取得のトレンドを読み解こう。 まず、回答者が現在持っているIT資格を見よう。 保有者の伸びトップはPMP 「保有している」というIT資格を全て答えてもらい、10人以上が保有するものについて多い順に並べた。 1位は「基本情報技術者」で281人が保有、全回答者455人に
この記事は新野淳一氏のブログ「Publickey」に掲載された「登大遊氏、日本は「超正統派」のICT人材を育成すべき。そのために、自由な試行錯誤を許容するインチキネットワークの普及に取り組む(前編)。JaSST'22 Tokyo」(2022年3月17日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。 2022年3月10日と11日の2日間、ソフトウェア業界のテスト技術力の向上と普及を目指すイベント「ソフトウェアテストシンポジウム JaSST'22 Tokyo」がオンラインイベントとして開催されました。 イベントの最後には、招待講演として登大遊氏による講演「世界に普及可能な日本発の高品質サイバー技術の生産手段の確立」が行われています。 登氏は講演で、優れたICT技術を日本から生み出すためには「超正統派」なICT技術者を育てるべきであり、そのために登氏自身が中心となって登
“グチャグチャグチャ”から生まれた「シン・テレワークシステム」と「自治体テレワークシステム」 田中邦裕氏(以下、田中):登さんは、ソフトウェアで作ったものが使われてすごく普及してきたら、インフラ面までそれに合わせて作り変えていますよね。まずソフトウェアで作ることも重要だし、それを支えるインフラの部分も実は一体化して作らないといけない。そういうことが、登さんの課題意識の背景にあるんですかね? 登大遊氏(以下、登):そうですね。我々はけっこうインチキな手法で、バーッて作っているところがあるんですよ。行政的システムでそういうことをやる人はあまりいないんですけど、我々はやってみたら成功しました。ちょっと写真も持ってきたので、出してもいいですか? 田中:どうぞどうぞ、お願いします。 登:1990年の大学の中には、こういう怪しいパソコン、サーバー置き場があって、我々もそこで勉強したんですが、最近そうい
年始に勉強したい AWS セキュリティのコンテンツまとめ - builders.flash☆ - 変化を求めるデベロッパーを応援するウェブマガジン | AWS
こんにちは、臼田です。 みなさん、AWSセキュリティの勉強してますか ? (挨拶 今回はタイトルの通り、時間のあるときにしっかり確認していきたい AWS セキュリティのコンテンツをまとめて紹介します。 この記事では AWS セキュリティを学習するための参考になるコンテンツをまとめますが、AWS という膨大なプラットフォームとセキュリティという広大な領域について、すべての人の需要を満たすことが難しいのは自明の理であります。コンテンツの種類もたくさんあるので以下の 5 編にまとめ、レベル感は初級者から上級者までごちゃまぜでその都度解説していくので、まずは全部眺めてから自身にあったものを選択してください。 AWS とセキュリティの基礎編 詳細を理解しようユーザーガイド編 じっくり読む課題ホワイトペーパー編 積読しないで参考書編 オフェンシブに挑戦編 コンテンツだけをババっと紹介してもいいのですが
1. 始めに こんにちは、morioka12 です。 本稿では、バグハントの入門として、主に Web アプリケーションの OSS に焦点をおき、脆弱性の発見・報告・CVE ID の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド 2. CVE とは 3. 探す対象の選び方 OSS Topic (Type) 特定の条件で絞る バグバウンティの OSS 4. 脆弱性の検証方法 アプローチ方法 5. 脆弱性の報告先 6. 報告書の書き方 CVSS CWE 7. 脆弱性発見から CVE ID の取得までの流れ 注意点 8. バグハント前のスキル準備 過去の CVE ID やレポート Web Security の場合 9. その他 その後のチャレンジ バグバウンティ入門 セキュリティエンジニアを目指す就活生の方へ OSS の開発者の方へ 10. 終わりに 免責事項
師走も終盤。2022年もそろそろ終わりだ。テレビ番組、年越しそば、おせち──年末年始はさまざまな過ごし方があるが、ITの勉強で過ごす年の瀬・年明けも悪くないだろう。 そこで本記事では、年末年始を勉強に充てたい人に向け、パブリッククラウドに関する教材や資料の情報をまとめた。ITmedia NEWSで2022年に取り上げた記事の中から、6つ紹介する。 Google Cloudの講演動画もりもり Google Cloud Japanは、これまで開催したオンラインイベントで配信したセッション動画を一部アーカイブとして公開している。Google Cloudが提供するデータ分析製品の活用方法を解説するイベント「Data Analytics /Database OnAir」やゲーム開発に特化したイベント「Google Cloud Game Day'22」の動画など、ジャンルもさまざま。 閲覧にはGoog
脅威インテリジェンスにおけるIPアドレスの取扱 GDPR対個人情報保護法(令和2年改正法-個人関連情報) - IT Research Art
脅威インテリジェンスにおけるIPアドレスの取扱 GDPR対個人情報保護法(令和2年改正法-個人関連情報) 2021.10.1 GDPR, データ保護/プライバシ, 情報セキュリティ, 情報共有, 通信の安全/プライバシ 投稿者: Ikuo ネットワークに攻撃を仕掛けているものがいて、そのIPアドレスがわかっているとしたときに、そのIPアドレスをネットワーク管理者間で共有したり、また、顧客に脅威インテリジェンス情報として共有することは、各国においてデータ保護法制の関係で問題ないのでしょうか。データ保護論者は、そのようなIPアドレスを共有するときに、攻撃者の同意をとならなければならないとかいわないよね、という問題があります。 まずは、論点として、IPアドレスって「個人情報」なの、「個人データ(Personal Data) @GDPR」なの?という問題です。 以下、便宜上、個人データと呼びます。
情報セキュリティーの専門機関が中小企業の従業員を対象に行ったアンケート調査で、コンピューターウイルスに感染するなどのセキュリティーのトラブルが発生しても、6割近くが「社外に公表していない」と回答したことが分かりました。 アンケート調査は、情報処理推進機構=IPAが、中小企業に勤める従業員1000人を対象にインターネットで行いました。 それによりますと、過去3年間で勤務先でコンピューターウイルスに感染するなど、情報セキュリティーの「事故やトラブルを経験した」と回答した人は、105人(10.5%)でした。 このうちトラブルを社外へ公表したかどうかをたずねたところ、6割近くが「公表していない」と答えました。 トラブルの内訳を複数回答で聞いたところ、身代金要求型のランサムウエアなどのコンピューターウイルスによる被害が41%、IT基盤の予期せぬ障害に伴う業務停止が23.8%、などとなっていました。
「濡れ場で女優を守る仕事」ではない!ドラマ『エルピス』でインティマシー・コーディネーターが果たした重要な役割(福田 フクスケ)
今年になって映像業界をめぐるトピックでしばしば目にするようになった「インティマシー・コーディネーター」という言葉。映画やドラマで、性的な描写や激しい露出を伴う場面において、監督と俳優の間に調整役として入り、具体的な描写について合意を取り付ける専門スタッフのことです。11月4日に発表された「2022ユーキャン新語・流行語大賞」の候補にノミネートされたことでも話題となりました。 もともとは欧米での#MeToo運動の広がりを機に、2017年頃から導入されたまだ歴史の浅い職業。日本ではこれまでNetflixのオリジナル作品や邦画、ドラマなどでようやく採用され始めたばかりです。アメリカで専門の講習やトレーニングを受けた公式のインティマシー・コーディネーターは、現時点で浅田智穂さんと西山ももこさんの2人しかおらず、まだまだその仕事が正確に理解されているとは言えないのが現状です。 そんななか、10月期に
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA、「ビジネスメール詐欺」の対策や啓発資料をまとめた特設ページを開設
IPAがゼロトラストセキュリティ入門資料を公開 基礎知識や心構え、検討の流れなど解説
サイバーセキュリティ領域で生き抜くためのキャリア論 - Qiita
Developers Summit 2023にてパスキーについて講演しました
ビジュアルリグレッションテストを導入した話 - メドピア開発者ブログ
IPAに「デジタル基盤センター」発足、経産省・デジタル庁と連携しデータ基盤整備
Webパフォーマンスの振り返り 2019 - Webパフォーマンスについて
IPAが「情報セキュリティ10大脅威」を発表 急上昇したトレンドを押さえよう
ネットワークエンジニアとは 〜 仕事/業務内容、何をするのか 〜
Unityのモバイルゲーム向けセキュリティ関連覚書 - Qiita
プレス発表 「組織における内部不正防止ガイドライン」第5版を公開:IPA 独立行政法人 情報処理推進機構
2019年度の未踏を終えて - arailly books
IPAがサイトリニューアルでリダイレクトなくURLを全面変更、技術解説記事も多数消滅か【やじうまWatch】
学びのススメ vol.2:IPA 独立行政法人 情報処理推進機構
アジャイルは手段ではないよ。|市谷 聡啓 (papanda)
まきのっぴ on Twitter: "この「安定的なレスポンスの確保を考慮し、リダイレクト対象とするコンテンツの選定を行いました」について「意味わからん」と言っている人が複数見られるので、「こういうことかもしれない」という1つの仮説を以下に示します。 端的に言うと「.htaccessでやろうとしたのでは?」です。" / Twitter
「超すごいIPv6本」電子版を無償配布 JPRSやNTTコムなども協賛
映画『Winny』公開記念 杉浦隆幸氏、高木浩光氏たちが振り返る「Winnyとは何だったのか」
「SoftEther VPN」などにサイバー攻撃 開発者の登大遊さん、アップデートと設定確認を呼び掛け
東京コンピュータサービスのランサムウェア感染についてまとめてみた - piyolog
開発マネージャがメンバーに知って欲しい事 ※随時更新 - Qiita
「役立つIT資格」ランキングに異変、8位に初登場したあの資格
「日本は超正統派のICT人材を育成すべき」 登大遊氏が語る「インチキネットワーク」普及の重要性(前編)
シン・テレワークシステムは“グチャグチャグチャ”から生まれた 登大遊氏がやばい部屋で作った、インチキ自作システム
バグハント入門 (OSS編) - blog of morioka12
年末に学ぼう! パブリッククラウドの無料教材・資料まとめ 2022年版
“コンピューターウイルスに感染”など 中小企業の6割が未公表 | NHKニュース