今だから話せる「トップエンジニアが新人だった頃」【LayerX 名村卓×Ms. Engineer 齋藤匠×Flatt Security 米内貴志 鼎談(後編)】 - #FlattSecurityMagazine
これまで様々な開発組織を牽引してきた株式会社LayerX 執行役員の名村卓さん、Ms.Engineer株式会社 Mother of Engineerの齋藤匠さんのお二人に、株式会社Flatt Security CTOの米内貴志がお話を伺う鼎談企画。 経営・マネジメントの立場から「セキュアな開発組織」のあり方について語り合った前編と打って変わって、後編ではお二人の"新人エンジニア時代"のエピソードを教えていただきました。 今やトップエンジニアとして経営・マネジメントに携わる名村さんと齋藤さんはどんな新人時代を過ごし、どのようにスキルアップしていったのでしょうか? 3人の若手エンジニア時代の秘蔵写真とともに振り返ります! ▼前編記事はこちらから flatt.tech 新人時代は"エンジニアがブラックだった時代" 今の新卒エンジニアの方が苦労している? 「調べて手を動かす」にハマった新人時代 こ
Initial Publication Date: 2021/12/10 7:20 PM PDT All updates to this issue have moved here. AWS is aware of the recently disclosed security issue relating to the open-source Apache “Log4j2" utility (CVE-2021-44228). We are actively monitoring this issue, and are working on addressing it for any AWS services which either use Log4j2 or provide it to customers as part of their service. We strongly en
JAWS DAYSで150人に聞いた!AWSのセキュリティ課題ランキング - Flatt Security Blog
こんにちは。Flatt Securityの@toyojuniです。 "エンジニアの背中を預かる" をミッションに、日々プロダクト開発組織のセキュリティを意思決定から技術提供までサポートするべく奮闘しています。 さて、Flatt Securityはこの度3月2日(土)に池袋サンシャインシティにて開催されたJAWS DAYS 2024にPlatinum Supporterとして協賛し、ブースを出展させていただきました! このイベントは日本全国に60以上の支部をもつAWSのユーザーグループ「JAWS-UG」が主催するもので、参加は有料でありながら1000人以上が参加者として登録している非常に大規模なものです。当日も大盛況でした! 日々AWSを用いてプロダクト開発・運用に向き合う皆様と直接お話しする機会は、我々にとって貴重なものでした。当日ブースにお越しいただいた皆様、ありがとうございました! 「
この記事について 先日、Zenn では Content Security Policy を導入しました。 この記事では Content Security Policy を Next.js ( Pages Router ) で導入する方法を解説するともに、Zenn の実例を紹介したいと思います。 Content Security Policy とは? そもそも Content Security Policy を知らない人が居るかもしれません。 Content Security Policy ( 以後 CSP と表記 )とは、ブラウザに備わっている機能の一つで、この機能を使うことで設定したサイト内のセキュリティリスクを軽減することができます。 基本的には導入した方がいいのですが、設定項目が多いうえに少し設定を間違えるとサイトが機能しなくなったりするので、導入コストがけっこう高いです。そのため、
GitHub - google/rune: Rune is a programming language developed to test ideas for improving security and efficiency.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
ChatGPTのセキュリティへの影響 | Cloud Security Alliance Japan
© Copyright 2023, Cloud Security Alliance.All rights reserved. 1 Acknowledgements Authors: Kurt Seifried Sean Heide Bogdan Filip Vishwa Manral Lars Ruddigkeit Walter Dula Eric E. Cohen Billy Toney Supro Ghose Marina Bregkou Additional Staff: Stephen Lumpe (Cover illustration, with assistance from Midjourney) This is a Release Candidate version and is subject to change. © 2023 Cloud Security Allian
EDoS Attack: クラウド利用料金でサービスを止められるって本当? - Flatt Security Blog
どうもお久しぶりです。株式会社 Flatt Security セキュリティエンジニアの Azara(@a_zara_n)です。普段は Web やプラットフォームの診断やクラウド関連の診断と調査、Twitter ではご飯の画像を流す仕事をしています。 よろしくお願いします。 セキュリティ診断にご興味のある方は是非「料金を自分で計算できる資料」を公開しているので、ダウンロードしてみてください。 DoSやDDoSといったサイバー攻撃はみなさん聞いたことがあると思いますが、クラウド時代において、これらと並びサービスの継続に非常に関わってくる攻撃があるのはご存じでしょうか? 世の中ではEDoS(Economic Denial of Sustainability)攻撃と呼ばれるもので、読んでの通り、経済的にサービスを停止させるといった攻撃です。 過去の事案であれば、2022年の06月に発生した、”NH
Firefox 87 trims HTTP Referrers by default to protect user privacy – Mozilla Security Blog
Firefox 87 trims HTTP Referrers by default to protect user privacy We are pleased to announce that Firefox 87 will introduce a stricter, more privacy-preserving default Referrer Policy. From now on, by default, Firefox will trim path and query string information from referrer headers to prevent sites from accidentally leaking sensitive user data. Referrer headers and Referrer Policy Browsers send
ContainerCVE: Scan Docker containers for security vulnerabilities
Quickly find the CVE's for any public Docker Hub image. Powered by the popular open-source tool Trivy.
AWS Security Hubの導入からうまく運用を回すまでのTips / 開発者向けブログ・イベント | GMO Developers
こんにちは、GMOインターネットグループ株式会社 システム統括本部 ホスティング・クラウド開発部 アプリケーション共通チーム(技術推進チーム/AWS運用チーム)の井本です。 弊社では、AWS環境におけるセキュリティ強化の取り組みを随時実施しております。今回は、直近で実施したセキュリティ統制の取り組みである「AWS Security Hubの導入」について、ご紹介させていただきます。 はじめに みなさんは、Security HubやGuardDuty, Trusted Advisorなどを導入したものの、「各チームにご対応いただけない」、「通知が来すぎてしまう」など、うまく運用を回すことができないという状況に直面したことはないでしょうか? 今回は、Security Hubの横断導入に際して、得られた知見をご共有させていただき、ぜひみなさんが導入・運用改善される際の参考にしていただければと思い
ECS on Fargate のセキュリティ対策は何をやるべき?開発者目線で考える/security-for-ecs-on-fargate-secjawsdays
以下のイベント「Security-JAWS DAYS」で発表した際の登壇資料です。 https://s-jaws.doorkeeper.jp/events/155024
How to build a CI/CD pipeline for container vulnerability scanning with Trivy and AWS Security Hub | Amazon Web Services
AWS Security Blog How to build a CI/CD pipeline for container vulnerability scanning with Trivy and AWS Security Hub In this post, I’ll show you how to build a continuous integration and continuous delivery (CI/CD) pipeline using AWS Developer Tools, as well as Aqua Security‘s open source container vulnerability scanner, Trivy. You’ll build two Docker images, one with vulnerabilities and one witho
2年半の専業フリーランスを終えてFlatt Securityに入社します - blog 0x003f
専業フリーランスで2年半ほどやってきましたが、元々仕事を受けていたサイバーセキュリティ事業を展開する株式会社Flatt Securityに入社することにしたので、これまでの振り返りとか何故入社しようとおもったのかとか、30歳過ぎた(31歳)Web界隈ITエンジニアの悩みとかを書こうと思います。あと副業として個人事業は継続するのでそういうお話は歓迎です(まず言っておく)。 これまで専業フリーランスとしてやってきたこと ソフトウェア開発 セキュリティ関連 専業フリーランス活動の所感 営業や仕事の仕方の話 フリーランスは不安定なんでしょ? 報酬の話 そもそも何故フリーランスをはじめたのか キャリアの悩み 自分は他人より技術が好きではないなという気づき・自覚 10年先をどう過ごしていきたいか Flatt Securityに入社しようとおもった理由 長く時間をかけて達成するものがあるといいなとおもっ
NEC サイバーセキュリティ戦略統括部 セキュリティ技術センターの山本和也です。セキュリティサービス開発のスクラムマスター [1]及びアジャイル開発におけるセキュリティ実装の推進活動を担当しております。今回のセキュリティブログでは、システム開発において採用が増えているローコード/ノーコード開発におけるセキュリティを考えるきっかけとして、OWASP Top 10 Low-Code/No-Code Security Risksを、OWASP Top 10との比較を交えつつ紹介します。 近年、民間企業ならびに行政組織において、デジタルトランスフォーメーション(以下DX)の取り組みが盛んになっています。経済産業省は『DXレポート』[2]や『デジタルトランスフォーメーションを推進するためのガイドライン(DX推進ガイドライン)』[3]の中で、経営戦略だけでなく、システムとしても環境変化に対して柔軟かつ
業務効率化・品質向上をエンジニアリングする - Flatt Security のセキュリティ診断プラットフォーム「ORCAs」 - Flatt Security Blog
はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアの梅内(@Sz4rny)です。 突然ですが、読者の皆様はセキュリティ診断(脆弱性診断)を提供するようなセキュリティベンダーがどのような体制で業務を行っているか、すなわち「サービスの裏側」を知る機会はあまりないのではないでしょうか。 本稿では、Flatt Security において独自に開発しているセキュリティ診断プラットフォームである ORCAs (オルカス) に焦点を当て、その概要や開発の経緯、開発チームが技術的に興味深いと感じている点について紹介します。 本稿を通して、Flatt Security がどのように本プラットフォームを活用してセキュリティ診断に取り組んでいるのか、また、なぜセキュリティベンダーとして診断サービス等だけではなく、このようなプロダクト開発にも注力しているのかについてお伝えできれば
Heroku Security Update: GitHub integration mitigation steps | Heroku Status
Heroku Status provides the current status and incident history report for the Heroku platform.
失敗例から学ぶ Security Hub と GuardDuty の導入時の考慮事項 【資料公開】 | DevelopersIO
また、重要度以外では既に導入している企業のアウトプットや公開ブログなども参考にできます。 DevelopersIO でも次のブログなどで紹介されています。 【アップデート】AWS Security Hub の『基礎セキュリティのベストプラクティス』に新たに 9 個のチェック項目が追加されました | DevelopersIO AWS Security Hub の『基礎セキュリティのベストプラクティス』に 30 個のチェック項目が追加されました(2022 年 2〜4 月分) | DevelopersIO 例えば、次のようなコメントが掲載されています。 [EC2.22] 使用していないセキュリティグループは削除する必要があります 重要度 : Medium (コメント) 使用していないセキュリティグループを定期的に棚卸しすることで、意図しないセキュリティグループをリソースにアタッチする可能性を下げ
EC2インスタンスに特定のアプリケーションがインストールされていない場合、Security Hub経由で自動通知させる仕組みを作ってみた | DevelopersIO
EC2インスタンスに特定のアプリケーションがインストールされていない場合、Security Hub経由で自動通知させる仕組みを作ってみた この仕組みによって、EC2インスタンスにセキュリティや監視製品などの必要なアプリケーションが適切にインストールされていることをチェックすることができます。 はじめに 自身の管理するEC2インスタンスにセキュリティのアプリケーションがインストールされているかチェックしたいことがありました。 アカウント内の全てのEC2インスタンスに特定のアプリケーションがインストール状況をチェックし、未インストールの場合、メールで自動通知する手順を紹介します 構成は以下の通りです。 構築方法の流れは、以下の通りです EC2インスタンスをAWS Systems Manager(以降、SSM)でマネージドインスタンスにします SSMインベントリでEC2インスタンスのアプリケーシ
NTT Security
Terraform is the de facto tool if you work with infrastructure as code (IaC). Regardless of the resource provider, it allows your organization to work with all of them simultaneously. One unquestionable aspect is Terraform security, since any configuration error can affect the entire infrastructure. In this article we want to explain the benefits of using Terraform, and provide guidance for using
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの志賀(@Ga_ryo_)です。 iOSアプリケーションを開発する上で、メディアファイルやドキュメントファイルを他のアプリケーションと共有する機能を実装するケースがあると思います。iOSでは、ファイル共有のために様々な機能を提供していますが、OSの更新に従って機能が増え、把握が困難になってきたと感じている方もいることかと思います。 また、そういった機能が追加された際に実装方法に関する解説をしてくださる方々がいらっしゃると思いますが、細かい仕様について語られることはあまり多く無いという印象です。 そこで本稿では、iOSアプリケーション上で利用できる各種ファイル共有機能を5つのパターンに分けて検証しつつ、これらを利用する上で注意すべき点についても解説していこうと思います。 注) 本稿では度々サンプルコードを提示する
Cloud Firestoreのセキュリティールールのテクニックがこの1冊に。 基礎から応用まで幅広く、Cloud Firestoreを使ったサービス開発の現場で役に立つノウハウを収録しています。
RFC 9116「security.txt」の紹介(2022年8月)の続報 - JPCERT/CC Eyes
早期警戒グループの戸塚です。昨年(2022年)8月に「A File Format to Aid in Security Vulnerability Disclosure - 正しくつながる第一歩」[1]で、同年4月に公開された「RFC 9116:A File Format to Aid in Security Vulnerability Disclosure」[2]を紹介しました。本記事では、その続報を2つお届けします(RFC 9116自体や私の業務との関係に関しては、2022年8月の記事をご確認ください)。 1つ目は、RFC 9116のおかげで開発者との脆弱性関連情報のコーディネーション(調整)が大変スムーズにできた事例です。 開発者との調整では、連絡しても応答がもらえないケースが少なくないことは昨年8月の記事でも書きました。このような場合、別の連絡先があればそちらにも連絡を試みます。今
セキュリティ SaaS を「プログラマブル」に再設計した話 ― Shisho Cloud の正式リリースによせて - Flatt Security Blog
はじめに CTO の米内です。Flatt Security は、本日 2023 年 8 月 23 日、テック組織がクラウドのセキュリティを考える際の一歩目を支える SaaS 「Shisho Cloud」(シショウ クラウド) をリリースしました。 Shisho Cloud は、大雑把に言えば 「AWS/Google Cloud 上のリソースの設定がセキュリティ的に良さそうか、改善できそうかというのを検査してくれる製品」 です。 小難しい言い方をすると Cloud Security Posture Management(CSPM)の実現のための製品です。 我々がどんな背景で、どのような強みのサービスを提供するかが気になる方は、是非プレスリリースをご一読ください。 ただプレスリリースは、より広いオーディエンスに向けて書かれるという特性上、若干技術者の方には淡白に見えるかもしれません。手練の(セ
With YubiKey there’s no tradeoff between great security and usability Why YubiKey
2021年に最も使われたパスワード、世界1位は「123456」 日本の1位は?――Nord Security調べ
パスワード管理ツール「NordPass」を提供するパナマのセキュリティ企業であるNord Securityは11月17日、2021年で最も使われたパスワードのランキングを発表した。その結果、世界50カ国での1位は「123456」であり、日本での1位は「password」であることが分かった。 同社では世界50カ国で使われたパスワードを集計し、全体の合計値と各国でのランキング結果をトップ200まで算出。4TBに及ぶデータベースをサイバーセキュリティ事件の研究者と共同で評価し、リストを作成したという。結果は公式Webサイトで公開している。 日本での結果は「password」が1位で最も多く、次点で「123456」「123456789」「12345678」が続き、キーボード左のキーを縦に順番に打った「1qaz2wsx」が5位に入った。世界50カ国には入らず、日本でのみランクインしたものには「sa
Wikipedia, Twitch, Blizzard への DDoS 攻撃 – IIJ Security Diary
今月9/7から9/9にかけて、Wikipedia, Twitch, Blizzard の各サーバに対して連続して DDoS 攻撃が発生しました。この一連の攻撃は Mirai 亜種によるボットネットによって引き起こされたことが IIJ の調査によりわかりました。本記事では IIJ のマルウェア活動観測プロジェクト MITF のハニーポットの観測結果から、この攻撃で利用されたボットネットの特徴と DDoS 攻撃の発生状況について紹介します。 DDoS 攻撃の概要 一連の攻撃は日本時間の 9/7 2:40 頃から始まり、最初に被害を受けたのは Wikipedia でした[1]Wikipedia への攻撃の状況については、ThousandEyes 社の解説記事が詳しい。Analyzing the Wikipedia DDoS Attack https://blog.thousandeyes.com
GitHub - HexaCluster/pgdsat: PostgreSQL Database Security Assessment Tool
PGDSAT is a security assessment tool that checks around 70 PostgreSQL security controls of your PostgreSQL clusters including all recommendations from the CIS compliance benchmark but not only. This tool is a single command that must be run on the PostgreSQL server to collect all necessaries system and PostgreSQL information to compute a security assessment report. A report consist in a summary of
GitHub - goodwithtech/dockle: Container Image Linter for Security, Helping build the Best-Practice Docker Image, Easy to start
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session.
Firefox 83 introduces HTTPS-Only Mode – Mozilla Security Blog
Christoph Kerschbaumer, Julian Gaibler, Arthur Edelstein and Thyla van der Merwe November 17, 2020 Security on the web matters. Whenever you connect to a web page and enter a password, a credit card number, or other sensitive information, you want to be sure that this information is kept secure. Whether you are writing a personal email or reading a page on a medical condition, you don’t want that
NTT Security
GitHub - ossf/scorecard: OpenSSF Scorecard - Security health metrics for Open Source
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
EngineeringSecuritySecurity keys are now supported for SSH Git operationsGitHub has been at the forefront of security key adoption for many years. We were an early adopter of Universal 2nd Factor ("U2F") and were also one of the first… GitHub has been at the forefront of security key adoption for many years. We were an early adopter of Universal 2nd Factor (“U2F”) and were also one of the first si
GitHub - google/tsunami-security-scanner: Tsunami is a general purpose network security scanner with an extensible plugin system for detecting high severity vulnerabilities with high confidence.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
GitHub - ory/kratos: Next-gen identity server replacing your Auth0, Okta, Firebase with hardened security and PassKeys, SMS, OIDC, Social Sign In, MFA, FIDO, TOTP and OTP, WebAuthn, passwordless and much more. Golang, headless, API-first. Available as a w
The Ory Network is the fastest, most secure and worry-free way to use Ory's Services. Ory Identities is powered by the Ory Kratos open source identity server, and it's fully API-compatible. The Ory Network provides the infrastructure for modern end-to-end security: Identity & credential management scaling to billions of users and devices Registration, Login and Account management flows for passkey
複数の AWS アカウントの AWS Security Hub 検出結果を Google BigQuery と Google DataPortal(DataStudio) により可視化した話 - Adwaysエンジニアブログ
こんにちは、インフラの天津です。今日は 複数アカウントの AWS Security Hub 検出結果の可視化についてお話したいと思います。 前提 モチベーション AWS Security Hub とは 構想 ツール・サービスの選定 検出結果データのエクスポートについて 可視化用データベース(またはクエリサービス)と可視化ツールについて 構築 全体像 検出結果データエクスポート 検出結果データの S3 -> GCS への転送と BigQuery へのインポート Security Hub からエクスポートしたデータには BigQuery のカラム名に使用できない文字(以下禁則文字)が使用されている件 自動判別で生成されたスキーマでインポートした際に INTEGER 型のカラムに STRING 型のデータが入ってくることがありインポートエラーが発生する件 AWS アカウントデータの S3 ->
ProductSecurityImproving Git protocol security on GitHubWe’re changing which keys are supported in SSH and removing unencrypted Git protocol. Only users connecting via SSH or git:// will be affected. If your Git remotes start with https://, nothing in this post will affect you. If you’re an SSH user, read on for the details and timeline. Hello from Git Systems, the team at GitHub that makes sure y
GitHub - kubescape/kubescape: Kubescape is an open-source Kubernetes security platform for your IDE, CI/CD pipelines, and clusters. It includes risk analysis, security, compliance, and misconfiguration scanning, saving Kubernetes users and administrators
An open-source Kubernetes security platform for your clusters, CI/CD pipelines, and IDE that seperates out the security signal from the scanner noise Kubescape is an open-source Kubernetes security platform, built for use in your day-to-day workflow, by fitting into your clusters, CI/CD pipelines and IDE. It serves as a one-stop-shop for Kuberenetes security and includes vulnerability and misconfi
GitHub - tandasat/UEFI-BIOS-Security: Security Camp 2021 & GCC 2022
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Active RecordでRow Level Securityを使って安全にテナント間のデータを分離する - SmartHR Tech Blog
従業員データベース機能の開発を担当している渡邉です。最近公開したGemであるactiverecord-tenant-level-securityの紹介をします。 SmartHRにおけるマルチテナントの現在 私たちが開発するSmartHRはお客様ごとに1つの環境を提供する、マルチテナント型SaaSです。サービス全体で1つのデータベースを持ち、複数のテナントのデータが混ざらないように、SQLで問い合わせを行います。 1つの環境ごとに1つのデータベースを持つ方式は安全性の面で優れていますが、スキーマの保守やマイグレーションにかかる時間の増加など、多くの技術的な困難をもたらします。この選択の背景については、2018年に書かれた以下の記事もご覧ください。 tech.smarthr.jp とはいえ、常にテナントごとのWHERE句を意識しながらコードを書くのは大変ですし、不具合の温床になります。幸い、私
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Apache Log4j2 Security Bulletin (CVE-2021-44228)
Zenn に Content Security Policy を段階的に導入した話
OWASP Top10 Low-Code/No-Code Security RisksとOWASP Top10の比較
Terraform Security Best Practices
iOSのファイル共有機能5パターンの検証とセキュリティ対策まとめ - Flatt Security Blog
Firebase Cloud Firestore Security Rules Essentials
GitHub now supports SSH security keys
Security keys are now supported for SSH Git operations
Improving Git protocol security on GitHub