オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら

あっという間に1年が終わり、間もなく2020年になります。2019年もサイバーセキュリティの世界にはさまざまな事件がありました。編集部からは「この1年を振り返る何かを」と振られているのですが――過去だけではなく、未来を見てみましょう。セキュリティベンダーが次々に、2020年の予測を発表しています。 各社が「ディープフェイク」「サプライチェーン」への攻撃の激化を予測 まず、筆者が見かけたセキュリティベンダー発表の「2020年脅威動向予測」を振り返ってみましょう。各社が自社の知見を基に発表した脅威予測を俯瞰（ふかん）し、大まかな傾向を見てみたいと思います。 「ディープフェイク」による詐欺やサプライチェーン攻撃に警戒：2020年の脅威動向を予測 | トレンドマイクロ セキュリティブログ マカフィー、2020年の脅威動向予測を発表| McAfee Press Release 2019年の振り返りと

はい❗どもども❗SASUGAです😄✨ 今日はちょっといつもと違う感じの記事になります😊👍 ネットの記事を見ているちょっとゾッとした話があったので、それを記事にしようかと思います🤨 因みに、僕は怖い話とか、都市伝説とかは大好きです（笑） 皆さんアマゾンエコーのAlexa（アレクサ）って知っていますか〜！？ こんな機械です（笑） お掃除ロボットではないですよ（笑）😅 Alexa    アマゾンエコー Amazon Echo(アマゾン・エコー)はAmazon.comが開発したスマートスピーカーです。 エコーはAIアシスタントのAlexa(アレクサ)を搭載しており、名前の「アレクサ」で反応(起動)します。 皆さんも、名前くらいは聞いた事があるのではないでしょうか🤔 Alexaと話かけると反応し、知りたい事を質問すると答えてくれたり、お買い物もしてくれたり、部屋の電気を消してくれたり、い

AWS Startup ブログ 【週刊 Ask An Expert #35】Amazon SageMaker Studio プレビュー開始！先週の #AWSLoft で受けた質問10選 こんにちは、スタートアップ ソリューションアーキテクトの松田 (Twitter: @mats16k) です。 re:Invent では多くの新サービス・新機能が発表されましたが、気になる・注目しているサービスはありましたか？私はついにリリースされた AWS Fargate の Amazon EKS 対応に特に注目しています！ さて、このブログ記事では週刊 Ask An Expert 第35回目をお届けします。「参考になった」「いい内容だ」と思っていただけたら、ぜひハッシュタグ #AWSLoft を付けてシェアしてください。改善点・ご要望もお待ちしております。 Ask An Expert ? 皆さん AWS

Ansible Towerでチームでのインフラ自動化を！現役SEが見るインフラ構築の今 まだシステムがシンプルでコンピューティングリソースが貴重だった頃は、機器の設計、調達に数カ月単位の期間をかけ、エンジニアが手作業でOSをインストールしたり、各種設定を投入していても十分間に合っていました。 しかしながら今は状況が一変しています。リソースが安価となり日々変化するビジネス上の要件に合わせて新たなサービスを作り、試し、うまくいかなければ壊してまた新たな仕組みを作り……そのサイクルを素早く回すには、人手で作業していては間に合いません。並行して、システムそのものがビジネスを支えるべく大規模化し、クラウド環境も含め複雑化しています。いくら目検やダブルチェックで確認していても、ヒューマンエラーをゼロにすることは困難です。人手不足を背景に、とても日々の運用に手が回らない、という声も聞こえてきます。 そこ

米国で、少なくとも75人から仮想通貨100万ドル超相当を盗んだとされる19歳の男性が、ID（個人認証）を盗んだ罪で起訴された。米ニューヨークの検察当局が12月18日に発表した。 男性は、ユーセフ・セラシー被告。SIM再発行を悪用したハッキング「SIMスワップ」で仮想通貨を盗んだとされ、ID窃盗、重窃盗罪、コンピューターへの不法侵入、改ざんなど9件の罪で起訴されている。 発表によれば、セラシー被告はブルックリンの自宅で犯行に及んだとされ、被害者75人のアカウントにアクセスし、「iPhoneやコンピューターから」100万ドル（約1億900万円）超の仮想通貨を盗み出したという。 被害者のGメールやドロップボックスなどのアカウントに不正アクセスし、被害者になりすましてこれらパスワードを変更した。仮想通貨に投資している被害者らを意図的に選択して標的にしていたとという。 セラシー被告はカリフォルニア州

フロントエンドエキスパートチームの小林(@koba04)です。 先日、npmから脆弱性についての発表がありました。 調べていく中でいくつか思うところがあったので解説も兼ねて書いていきたいと思います。 The npm Blog — Binary Planting with the npm CLI npmの利用者としてやるべきことは、 npmのバージョンを6.13.4以上にあげる yarnのバージョンを1.21.1以上にあげる です。 npmのバージョンが6.13.4になったNodeもv8, v10, v12, v13系でそれぞれリリースされたので、そちらを利用することも可能です （yarnのバージョンは別途あげる必要があります）。 nodejs.org npmによる発表では、今回発表された脆弱性は2件あるため、それぞれ個別に考えます。 binに任意のパスを指定出来る件 npmパッケージはpa

米海軍はサイバーセキュリティ上の懸念を理由に、政府支給のモバイルデバイスで中国製アプリ「TikTok」を使用することを禁止した。Reutersが米国時間12月21日に報じたところによると、海軍は17日に軍関係者向けのFacebookページに投稿した通達で、TikTokを削除しないデバイス利用者は、海軍および海兵隊のイントラネット（NMCI）から遮断されると伝えたという。 米国第10艦隊（米国艦隊サイバーコマンド）の広報部長を務めるDave Benham氏は、米CNETにメールで送った声明の中でこう述べた。「（NMCIのユーザーは）政府から支給された『iPhone』『iPad』などのモバイルデバイスにTikTokをインストールしないように、またはアンインストールするように（指示された）。この決定は、サイバーセキュリティの脅威評価に基づいてなされたものであり、われわれのネットワークの防御におい

こちらは、dely advent calender 2019の23日目の記事です。 qiita.com adventar.org 昨日は、サーバーサイドエンジニアのyamanoiさんが「画像管理をActiveStorageからCarrierWaveへ乗り換えた話」という記事を書きました。興味を持った方は、是非読んでみてください！ tech.dely.jp こんにちは！ 今年11月からdelyに入社しました開発部SREの松嶋です。 本記事では、Systems ManagerのRunCommand (Ansible-playbook)を使うことでより簡単に監視ダッシュボードを作ることができたので、その手順について紹介したいと思います。 目次 目次 はじめに Grafanaプロビジョニング用設定ファイルの用意 Ansible-playbookの作成 terraformで環境構築 Ansible-

株価などを配信するサービス「Yahoo!ファイナンス」で12月23日午前11時半現在、株価の更新がストップする不具合が起きている。運営元によると、システム上のカレンダーで設定ミスがあり、昨年通り、23日が天皇誕生日になっていたという。 運営元は同日午前9時ごろ、不具合を確認。最新の株価へと順次更新しており、23日中に反映を終える予定という。午前11時半時点では、多くの銘柄で20日午後3時時点の株価が表示されていた。 天皇誕生日は2018年まで12月23日だったが、天皇陛下の即位に伴い、20年からは2月23日になる。今回のトラブルを受け、Twitterでは「まだ平成が続いていたのか」「自分も休みたい」などの声が上がっている。 関連記事 改元でシステム不具合よりも深刻だった“人間の脆弱性” 改元に伴い、心配されていたITシステム関連のトラブルはどうだったのか。何が起こったのかをあらためて振り返

一概には言えませんが、私は「先ほどメールを送ったので、確認をお願いします」と電話がかかってくると、「二度手間にすぎず、メールで連絡が完結するほうがいいじゃないか」と思ってしまうタイプです。インターネットの品質が文字通りベストエフォートで、ゲートウェイ間で遅延が発生する可能性があった時代ならともかく、今どきはほとんどロストや遅延もなくメールが届きます。ですから、わざわざメールを送ったことを別途電話で確認するなんてばかばかしいと思っていました。 JPCERT/CCによると、メールに添付されたWord形式の添付ファイルを開き、「コンテンツの有効化」を実行すると、Emotetに感染した事例が確認されているという（＝画像はJPCERT/CCのWebサイトより） けれども今後、セキュリティ上の理由から、メールを送ったことを電話やメッセンジャーなど他の手段で確認するプロセスが必要になるかもしれません。そ

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Appleは、「プラットフォームセキュリティ」について詳しく説明した157ページの長大な文書を公開した。この文書では、ハードウェアと生体認証のセキュリティ、システムセキュリティ、暗号化、アプリのセキュリティ、サービスのセキュリティ、ネットワークのセキュリティに関する同社の取り組みが紹介されている。 この新しい文書は、新しいセキュリティ技術への投資や一般に開放されたばかりのバグ報奨金プログラムを含む、Appleのセキュリティ強化策の一環だ。これまで、同社のバグ報奨金プログラム（報奨金の最高額は150万ドル：約1億6400万円）でバグを報告できるのは、承認されたセキュリティ研究者だけだった。 同社は新しい文書で、セキュリティ分野のさまざまな

はじめに 文章を書くときに、注意して半角文字の両端に半角空白を空けるという手動 lint をよくやっています。 また、日本語の表現や句読点、typo などに注意を払うことも必要です。 そこで、機械的に検出できた方が内容を書くことに集中できるので文章の lint ができる textlint というツールを使っていきます。 同様の検査ツールとして RedPen が存在します。 以下の記事に RedPen と textlint それぞれの立場から文章における問題とその解決についてまとまっているので参考になります。 文書執筆の指南書で解説されている問題点を RedPen で発見する - Qiita 文書執筆の指南書で解説されている問題点を textlint で発見する - Qiita 今回は、リポジトリ内で管理する Markdown ファイルに対して、Visual Studio Code(VS C

この記事はCTF Advent Calendar 2019の23日目の記事です。 はじめに この記事は「2019年のpwn問を全部解くチャレンジ【前半戦】」の続きで、解く対象の問題も前の記事と基本同じです。 が、ちょっと条件を追加します。 javascriptや独自vm、コンパイラ、インタプリタ等のpwnは対象外 C / C++ / asm製に限定し、Rustなどは対象外 pwn初めて1年目なので分際をわきまえて単純なユーザーランドpwnに集中します。 【追記(2019/12/04)】残ってる問題を紙に書き出してみたのですが、1日1問やっても終わらないです。体力的・精神的な限界が来ているので以下の問題は解かずに供養します。 scanner [0CTF/TCTF] cppp, SPlaid Birch, Suffaring, Spectre [PlaidCTF] Capacity Orien

2019年もSECCONが秋葉原で開催されました。 今回はNaruseJunで国際決勝に参加し、最終的には4323点を獲得して1位でした。 SECCONについて 国内チームも参加しやすい敷居の低い競技を毎年開催していただき感謝です。 ただ年々セキュリティコンテストからプログラミングコンテストへ移行している気がします。 KoHに適する問題を作るのは難しいでしょうが、だからといって競プロみたいな問題を出されても参加者はがっかりするだけです。 レポート締め切り間近の高専生ではあるまいし、問題はもっと時間を掛けて丁寧に作って貰いたいです。 問題について 問題概要は書きます。問題名は相変わらずありませんでした。 1. UDPのやつ プログラミング問題です。 各チームにポートが割り当てられており、チームトークンを与えた後にUDPのポートが指定されるので制限時間内に10回UDPで同じトークンを与えれば良

こんにちは！芳賀健です。 2019/12/19に開催した弊社のイベントre:Growth 2019 FUKUSHIMAで「サーバレスの事例や新しいセキュリティサービス」というテーマでお話させていただきました！ 概要 ”サーバレスへの旅”として、re:Inventで紹介されたサーバレスの導入事例を２つ AWSに新たに加わったセキュリティサービスの紹介とデモ 資料 [slideshare id=207977325&doc=regrowth-fukushima-20191219-serverless-191220013110] 感想と感謝 サーバレスを製造業にも！という思いで登壇させていただきました。 興味あります！というお話をさせてもらったり、Twitterの反応があり、とてもうれしかったです。ナイトセミナーでしたが、ご参加いただき、ありがとうございました！

今年の11月1日に、未経験でマイナビのサーバサイドエンジニアとして中途入社しました。 最初の１ヶ月間は、上司から課題図書を指定してもらい、それをひたすらインプットしていたので、そのまとめをここに記したいと思います。 尚、私の所属しているチームではRuby on Railsを使用しています。 1冊目：「アジャイルソフトウェア開発の奥義」 (https://www.amazon.co.jp/dp/4797347783/ref=cm_sw_r_tw_dp_U_x_4.I5DbA81G4XN) 内容 単一責任の原則 クラスを変更する理由は一つ以上存在してはならない。クラスには１つの責務のみを負わせる。2つ以上の変更理由があるということは、そのクラスは2つ以上の責務を持っていることと同義である。 オープン・クローズドの原則 ソフトウェアの構成要素（クラス、モジュール、関数など）は拡張に対して開いて（

NTTデータは2019年12月18日、19年に起きたサイバー攻撃の総括と20年に予測される攻撃についてセミナーを開催した。NTTデータの新井悠セキュリティ技術部情報セキュリティ推進室Executive Security Analystは2019年を「サイバー犯罪者グループが組織を恐喝し、金銭を入手できた事例が目立った年」と説明した。新井氏が例に挙げたのは米国のフロリダ州レイクシティ市とインディ

この記事は SIer脱出を語る アドベントカレンダー 2019 19日目の記事です。 とある独立系 SIer からWeb系スタートアップ企業に転職して約一年、この一年を振り返って思うことを徒然草したいと思います。 前置き 本題に入る前に。「SIer から Web 系へ」 だと主語があまりにも大きすぎて不適切な気がするので、自分が語らんとする境遇にマッチするよう言い換えたいと思います。 以下に述べるのは 「創業約40年の独立系中小SIer から B2B SaaS のスタートアップ」へ転職したぼく個人の考え です。 言うまでもないことですが、所属する組織や所属していた組織の公式見解は1ミクロンたりとも含みません。 また「脱出」というと「悪し」から「良し」への移行というニュアンスが含まれる気がしますが、良し悪しの話でもありません。 ぼくは前職の人々と今でもよく飲みに行ったり遊んだりしていますし、

この記事は【推し祭り】技術書典で出会った良書 Advent Calendar 2019の19日目の記事です。 adventar.org 前日の記事はこちらです。 scrapbox.io [何で読もうと思ったか] [読んで何が分かったか] [今後どう活かすか] [まとめ] [何で読もうと思ったか] コンテナについて、3〜4年前から割とよく聞くようになった、Dockerfileも数行の簡単なものなら書いたことはなくはない。でも、コンテナでWebサービスを作るって、例えばAWSでEC2インスタンスを立てる場合とどう違うんだろう？という程度の知識レベル。 簡単にいえば、なんとなく触りはしたことがあるレベルだったので、一度コンテナで動かすWebサービス作りきる経験をしてみようと思い、購入した。 ページ数は136ページ。 物理本つきで1500円、ダウンロードのみで1000円。 tomato360.bo