サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
猫
speakerdeck.com/ken5scal
プロダクトを通じて価値を提供することは、複数のステークホルダーが絡む不確実性に向き合うことを意味します。 不確実性は、内的・外的に関わらず絶え間なく変化し続け、その変化の幅・スピードはあがるばかりです。 また、マルチプロダクトから始まる新興プロダクトも近年では見られるようになってきています。 プロダクトを支えるにあたって、プロダクトにおける情報セキュリティも原則に従いつつ、常に最善手を変化させていく必要があります。 本講義では、プロダクトの価値を確保するにあたって取り組むべき要素や、変化し続けるにあたってみるべき姿勢・指標をハンズオン等で提供したいと思います。
O’Reilly Japanから翻訳されたゼロトラスト・ネットワークが発刊され3年が経過しました。当初は、まさしく本カンファレンスのHPが言及するように、「物理的・時間的な距離を超えた」環境を想定したセキュリティ上の考え方でした。しかし、皆様も3年間のインシデントなどからお気づきの通り、ゼロトラストの適用は従来のセキュリティ・レベルを単純に強化するものではありません。昨今の事例を振り返りつつ、充足させていかねばならないポイントを技術事例も含めお話いたします
スタートアップは崖から飛び降りながら飛行機を組み立てると言いますが、金融機関でそれをするとはどういうことかについて実践と解説。
Infra Study 2nd #4「セキュリティエンジニアリングの世界」 サプライチェーン・セキュリティ 昨今ではSolarWindsやKaseya's VSAのようにRansomewareによるサプライチェーンを狙った攻撃が大きく報道に上がっています。 2014年のGOM Playerのアップデートサーバーに代表される水飲み場型攻撃から、https://twitter.com/RKX1209/status/1376472166435184640?s=20 でつぶやかれ、そして2021/05における新たな大統領令が下った様に、防御側の観点でははずせない視点になっていくでしょう。それはdevopsという分野でも変わりません。 そこで、本講演ではローカルでの開発からデプロイまでありとあらゆるステージで、ところどころで見られるようになったConfidential Computing, Poli
銀行 <-> 資金移動業者、銀行 <-> 証券会社で発生したセキュリティインシデントに関する社内向けの勉強会資料です。2020/09/18移行は基本的に追っていないため、最新でない可能性があります。 本件に関する指摘・コメントは @ken5scal までお願いします。
AWS CDKでECS on FargateのCI/CDを実現する際の理想と現実 / ideal-and-reality-when-implementing-cicd-for-ecs-on-fargate-with-aws-cdk
AWS IAMの以下のリソースについてどのように考えればいいか - Identity-based Policy vs Resource-based Policy - Permission Boundary - Tag-Based Policy - AWS SSO vs Federated IAM Role
ユーザー企業ではユーザーとビジネスを守る(Protect)ため、様々なリスク管理を実施しています。それ自体の変化はありませんが、業務システムやサービスをホスティングする環境が多様化するかたわら、新しいリスクが生まれてきているのも事実です。 本講義では、ビジネスを継続成長させていく中で、経営的なお話、新しいセキュリティの概念「ゼロトラスト」、サイバーセキュリティフレームワークなどをまじえて、どのようにユーザー企業内でのセキュリティ体制を構築・運用していくか学んでいきます。最終的なゴールはユーザー企業にセキュリティ担当で入った場合の動き方をイメージできるようになっていることを目標にします。
# English Description (Japanese below) We are exhausted with passwords. Users are exhausted with passwords because of too many web-services. Operators are exhausted with passwords because of defense against password-related attacks like Phishing. We, as developers, are also exhausted because of poor UX in passwords. In last DroidKaigi, I have presented “AuthN and AuthZ with Android”(認証と認可と君と) for
皆様の組織には何かしらのポリシーがあると思います。単なる組織内ルールにとどまらない、法的要件や技術的制約化の守りごとを定義したポリシーがあるかと思います。これらを手順書レベルやサービス内定義するのではなく、OPAをサイドカーなりでは知らせることで、柔軟で詳細なアクセス制御を、サービスのりコンパイルなしで実施できるようになります。今回はこのOPAについてお話したいと思います。
みなさん、SOC(Security Operation Center)という言葉をご存知でしょうか。映画やアニメでよくある怪獣から攻撃を受けた作戦本部をイメージしてください。SOCはサイバー攻撃のアラートを受けるそれのようなものです。しかし、単にアラートを受けるといっても中々ハードルが高いのが現実です。ざっと思いつくだけでも、以下を考えなければいけません。 (1)どのログをとるのか、(2)どうやってログをとるのか、(3)どこにログを収集するのか、(4)どういった条件を満たしたらアラートとなるのか、(5)アラートを何処に飛ばすのか、(6)アラートをどう分析するのか、(7)対応をどう監査するのか、こういったことを自前で考えられる組織は少なく、セキュリティベンダに高額でアウトソースしているところは多いと思います。 昨年のAWS re:inventで発表されたGuardDutyは、そういった面倒な
# 概要 サービス提供者間のデータ連携が活発になるにあたり、認証・認可の重要性が一層増しています。そのような背景に応じてか、Google Identity Platform上のAndroidの機能が続々と登場しています。また、OAuth2.0などの技術標準がより一般的になってきました。これらを上手く利用し、ユーザー体験の利便性を損なわない、セキュアなAndroidアプリを作る方法についてお話します。 # 扱う技術 - OAuth2.0 for Native Applications - FIDO UAF # 詳細 "スマートフォン(スマホ)を使った金融サービスを生みやすくする。(中略) 同じサービスに同じ規制をかけ、銀行とフィンテック業者が連携しやすくする" と金融庁は宣言しました。Fintechに限らずサービスプロバイダは、ユーザーのデータをAPIなどを介して提供・利用し、新しい体験を創
NISTは本当にSMS認証を非推奨としたのか。真実を追って我々はジャングルに飛び込んでいった... 8/1 13:30: 構成を一部変更・追記
■対象者 初心者〜上級者。 Androidアプリで実際に公開された脆弱性について興味のある方。 脆弱性はバグです。バグは必ず産まれるものです。例えセキュアコーディングガイドを隅から隅まで暗証してたとて、予期せず脆弱な実装は世にでるでしょう。本発表ではJVN49343562とJVN61297210が付与されたAndroidアプリ「マネーフォワード」の「WebView クラスに関する脆弱性」「任意の操作が実⾏可能な脆弱性」について、下記のアジェンダ(仮)でご紹介いたします。 - 脆弱性対応タイムライン - 脆弱な実装の紹介 - 脆弱な実装の修正 - 脆弱な実装の背景 - 俺たちはどう脆弱性に向き合っていくのか こういたノットベスト・プラクティスを共有することで、世の中のアプリの品質がより高くなることを願っています。又、一歩踏み込んでこういったバグをも知見としてオープンに共有できる文化作りに一端
このページを最初にブックマークしてみませんか?
『speakerdeck.com』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く