LastPass EnterpriseにAzure AD経由でSSOできるようになった話 - Got Some \W+ech?
TLDR LastPass Entepriseに対してAzure ADからOIDCできるようになった 序文 企業でパスワードManager使ってますよね? え?使ってない?じゃあ、このブログ読んでる場合じゃないので、とりあえず導入してきてください。 さて、IdPを導入しようが、SSO対応してないwebサイトや、そもそもWeb以外のパスワードを要するシステムなんてものは星の数ほどあります。 そういったパスワードを運用するに際に、我々人類は「パスワードは使い回すな!複雑なものを使え!」といった敎育をされてきました。 もちろん、人類の脳みそは有限なので、そこへの負担を軽減するパスワードマネージャーは、企業活動には必須アイテムです。 パスワードマネージャーの課題(の1つ) 大抵のパスワードマネージャーは、作る・保存する・共有するといった欲張り3点セットを備えていて大変よろしいのですが、厄介な点が1
セキュリティ・キャンプ全国大会2019に講師として参加してきた - Got Some \W+ech?
今年は僭越ながら講師として招かれ、セキュリティ・キャンプ全国大会2019に参加してきました。 www.ipa.go.jp トラックBは、鈴木 研吾さんによる「ユーザー企業における情報システムとセキュリティ」です。ビジネスを継続成長させる中で、経営的なお話、ゼロトラスト、サイバーセキュリティフレームワークなどを交え、どのようにユーザー企業内でのセキュリティ体制を構築運用していくか学びます。 #seccamp pic.twitter.com/86p5njvEyR— セキュリティ・キャンプ (@security_camp) 2019年8月16日 自分はユーザー企業のセキュリティ担当としての立場から、「運用と開発」トラックの一部を担当し、「ユーザー企業における情報システムとセキュリティ」というタイトルで講義させていただきました。 4時間という長丁場でしたが、受講生の皆様にご参加いただいて嬉しかった
セキュリティエンジニア in スタートアップが大事にすべき3つのポイント - Got Some \W+ech?
FOLIOアドベントカレンダー ラストの個人投稿3回目です。過去2回は当社で利用しているプロダクトについてお話しましたが、今回は本ブログでも初のポエムになります。 adventar.org セキュリティエンジニア(以降、エンジニア)がユーザー企業のスタートアップに転職したケースを目にする頻度が増え、時代の節目のようなものを感じます。 もちろん、昔からそういったスタートアップに参加するエンジニアはいたと思いますが、パブリックな情報として流れることは少なく、ましてや、経験した本人による体験談・ポエムは目にした記憶は全くありません。 そこで、今回はキャリアの選択肢の1つであろうスタートアップへの就職についての理解を深めるため、私の 超個人的経験と見解 をもとに、スタートアップで働く際に大事にすべきポイントをお話します。 どういうポジションから語るか 主観的な意見を述べるということは一定のポジショ
GCPのIdentity-Aware Proxyためしてみた #GCP #IAP - Got Some \W+ech?
GCPで動かしてるWebサービスのstg環境にIdentity-Aware Proxy(IAP)噛ませてみた。これにより外部からアクセスする際、ドメインのサイトにたどり着く前にGoogleアカウントの認証が必要になった。事前に許可されたGoogleアカウントでなければサイトにたどり着くことすらできなくなる。つまり、アカウントとクレデンシャルが正しかろうと、IAPに登録されてなければ、アクセス権限が一切ない状態になる。 設定方法は簡単で、「IAM & Admin」 > 「Identity-Aware Proxy」で対象のリソースでIAPを有効化させるだけ!簡単。 なお、Firewallでガバガバに設定していたりするとIAPをバイパス出来てしまう。その場合、warningサインがでていることになるらしい。僕の場合は、大体プロジェクト作成時にdefault firewall ruleを消してしま
%25E3%2582%25BB%25E3%2582%25AD%25E3%2583%25A5%25E3%2583%25AA%25E3%2583%2586%25E3%2582%25A3%25E3%2581%25A7%25E9%25A3%25AF%25E9%25A3%259F%25E3%2581%2584%25E3%2581%259F%25E3%2581%2584%25E4%25BA%25BA%25E5%2590%2591%25E3%2581%2591%25E3%2581%25AE%25E5%25BF%2583%25E3%2581%25AE%25E6%258C%2581)
(翻訳)セキュリティで飯食いたい人向けの行動指針 - Got Some \W+ech?
(7/21) コメント欄の指摘を受け英訳追記 前文 本記事はGoogleのセキュリティ担当者 Parisa Tabriz氏(異名: Security Princess)のSo, you want to work in security?を翻訳したものです。 go for it!— Parisa Tabriz (@laparisa) 2016年12月25日 うっ…半年以上前… 意訳したりわからない部分もあったので、原稿の全てを反映できているか自信はありません。元ブログも是非ご一読ください。 —————————————- ここから翻訳 ————————————————- セキュリティ分野(コンピュータ、情報、サイバー…etc)でキャリアを積みたい人からメールをもらうことがある。素晴らしいことだと思う。テクノロジーを安全にしていくパション、創造性を持ち、ハードワークをこなせる仲間はいつだって必要
Googleが買収したセキュリティ企業 - Got Some \W+ech?
2016年12月までにGoogleが買収したセキュリティ企業を調べてみた。きれいな案件だけでなく、潰しにかかってるっぽいものもあって面白かった(小並感。企業買収をExitとするなら、対象企業がカバーできてないソリューションを開発するのがいいという事だけは分かった。アタリマエ。 要約 ソース: https://www.cbinsights.com/research-google-acquisitions 調達額は各々シリーズの最初が違うのでアテにしないでください。 種別は私ジャッジでつけました。 企業名 種別 買収日 調達額 GreenBorder Technologies エンドポイント防御・仮想化 2007/5/10 $18M Impermium アンチスパム・不正アクセス対策 2014/1/16 Interactive Security Group レピュテーションススコアリング 20
Demistoによって俺たちはSOCから解放されるのではないか #セキュリティ #chatops #demisto - Got Some \W+ech?
結論: とりあえずSlackのintegrationでDemisto入れてみようず Demistoとは SOC的な業務は面白い事も沢山ありますが、それと同じくらいダルくもあります。例えば、「ドキュメントの作成」「進捗図の更新」「エビデンスの確保」「レスポンス前の細かい初期確認・トリアージ作業」。自分にとって、これらは出来ればやりたくない仕事です。というのも、フロー・マニュアルが定まっており、ちょっとコストをかければ誰でも再現可能な作業だからです。よって自動化したいと常々考えていたのですが、良さげなサービスを見つけたので紹介します。それがChatOpsベースのSOCサービス(「DEMISTO」)https://www.demisto.com/です。 サービス内容 DEMISTOのサービスは以下のものがあります。なお、ホームページからしか読めてないので、本当のところどうかは知らない レスポンス
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
