こんにちは。早期警戒グループの土居です。 JPCERT/CC は、2018年1月に「実証実験 Mejiro 日本語版（英語版は2018年8月）Web サイト」を公開しました。インターネットリスク可視化サービス Mejiro では、インターネット上のリスク要因に関するデータを収集し、国・地域別の指標を計算して可視化しています。 Mejiro を使ったインターネット空間のクリーンアップ活動について、早期警戒グループの石井がモンゴル (MNSEC2019) にて、サイバーメトリクスグループの森がインドネシア (FIRST Technical Colloquium) で講演を行いましたので、報告いたします。 また、インドネシアでは、私と同グループの安部、森がワークショップの講師を務めました。今回はそのイベントの様子と、あわせて訪問した Id-SIRTII/CC についてもご紹介します。 1. MN

こんにちは。 @amsy810 です。 下記のブログが出てから『Kubernetes は運用しきれない』と耳にすることが多くなってきたので、雰囲気で曲解されて Kubernetes is difficult とならないよう、マネージドでシンプルに使うだけなら難しくないよと伝えるために書きました。 Kubernetes がいいよと伝えるためではありません。 yakst.com TL;DR 上記のブログについては概ね同意見です。 辛いのは自前で Kubernetes クラスタの管理自体を行う場合です。 GKE などのマネージド Kubernetes サービスを利用するケースでは、Kubernetes の管理は殆ど必要がなくなります。 例えば GKE の場合には、自動クラスタアップグレード・自動クラスタスケーリングなどが用意されています。他にも自動ノードプロビジョニング機能（CPU・メモリ・GP

この記事は Brainpad Advent Calender 2019 18日目の記事です。 Brainpad Advent Calender 2019 の 20 日目で、後日談（開発環境詳細）をのせます。 （ @ushi_198 より） ... 我々はなにを作ったのか やあ、みんな。切れてるかな!? ITのお兄さんだよ。 IT系の会社ならどこにでもあるという「懸垂マシン」。 ひとり虚しく、懸垂している諸君に贈る、懸垂をすると掛け声が飛び交う装置を作ったぞ！ 懸垂をすると掛け声が飛び交う装置を作った話https://t.co/73ndOnjL3v pic.twitter.com/xM0uH1U3LK — ウッディ川越 (@woody_kawagoe) December 18, 2019 その名も、「Dev Muscle」だ!!! さっそく作り方を見ていこう！ 作り方 まずは装置を構成するB

[AWS Transit Gateway] マネージドサービスだけでオンプレミスからS3にプライベートアクセスしたい！ こんにちは、菊池です。 2019/12/26追記：構成によるアクセス可否についておよび、リージョンの注意点について追記しました。 「オンプレからインターネットに出ず、プライベートなネットワークのみを経由してS3にアクセスしたい」という要望はよくあります。しかし、Direct Connectから直接S3エンドポイントにアクセスするには、敷居の高いパブリック接続が必要だったり、VPCを経由する場合はプロキシを挟む必要があったりと、かなり構築・運用のハードルが高い要件でした。 Direct Connectプライベート接続でS3へアクセスする高可用性な構成 上記のエントリではプロキシをマルチAZ構成で構築することで実現していますが、EC2の構築・運用が必要です。可能ならば、構築・

はじめに 本記事は dely Advent Calendar 2019 の15日目の記事です。 昨日は開発部サーバサイドエンジニアの高橋くんが「Rails6の複数データベースの仕組みと実装時にハマったところ」という記事を書きましたので是非読んでみてください。 tech.dely.jp こんにちは！dely開発部SREの井上です。 本記事ではWEBサイトのパフォーマンスを定期的に計測する仕組みについて紹介をしたいと思います。 実は去年のAdvent Calendarでも同じような記事を書いたのですが、時代背景に沿って計測するツールをsitespeed.ioからLighthouseに変更したので理由も含めて紹介させてください。 基盤の構築においては下記のサービスやツールを利用しています。 AWS CodeBuild S3 Athena Terraform Lighthouse 前置きはいいから

こんにちは、2019年7月よりトレタにJOINした @aibou です。 本記事はトレタ Advent Calendar 2019の16日目の記事です。 趣味はNFL観戦とボルダリングです。NFLは今年11月にマイナス気温の屋外で現地観戦してきました。 最近リードクライミングの講習を受けまして、ガシガシと岩を登っております。 さて、今回はAWSアカウントとAWS SSOのお話をしようと思います。 既に社内エンジニアへの共有や社内WikiにAWS SSOの利用マニュアルを残していますが、経緯や変遷について記載していないので、トレタ社員の方にも読み物として読んでいただければなと思っています。 免責事項 本記事を参考に実施したことで発生した金銭・セキュリティ等あらゆる問題について責任を負いかねますので、自己責任のもと実施していただくよう、よろしくお願いいたします。 また、誤り等あればはてブ等でご

長野県は2019年12月13日、県で使用していたサーバー4台とPC端末53台について、富士通リース社を通じてブロードリンク社に処分委託していたと明らかにしました。 ブロードリンク社は2019年12月、神奈川県庁のデータが記録されたハードディスクドライブを元従業員が転売したことにより、行政データの大規模流出が発覚し、社会問題となっている企業です。問題発生に伴い長野県側が確認を進めたところ、委託対象となった端末は県の産業労働部などが使用していたと発覚。現時点で、行方は明らかになっていないとしています。

2014年にサポートが終了したWindows XPを、ロシアのプーチン大統領がいまだに使い続けていることが、ロシア大統領府が公開した写真から判明したと地元メディアが報じています。 Путин до сих пор пользуется давно устаревшей Windows XP. Отечественную ОС для её замены Кремль не закупает — Открытые Медиа https://openmedia.io/infometer/putin-do-six-por-polzuetsya-davno-ustarevshej-windows-xp-otechestvennuyu-os-dlya-eyo-zameny-kreml-ne-zakupaet/ Putin Still Uses Obsolete Windows XP, Report

この記事は本番環境でやらかしちゃった人 Advent Calendar 2019 17日目の記事です。 はじめまして、ダーシノ(@bc_rikko)です。 突然ですが、懺悔します。 私は転職して10ヶ月で2回も本番環境をぶっ飛ばしました。お客様をはじめ、関係各位には多大なるご迷惑をおかけしたことを、ここでお詫び申し上げます。 1回目は2015年11月27日、入社27日目のこと。 gitの設定ミスにより壊れたブランチをmasterにforce pushしてしまい、CIが流れて本番環境が壊れた。原因はpush.defaultなのだが、詳しくはすでに記事を書いているのでそちらを読んでほしい。 2回目は翌年9月1日、入社してちょうど10ヶ月たった日のことだ。 またしても本番環境をぶっ飛ばした。しかも、前回より盛大に……。 タイトルにもあるようにrsyncコマンドが原因だ。 当記事では、この「rsy

Malwarebytesは12月5日(米国時間)、「Report: Organizations remain vulnerable to increasing insider threats｜Malwarebytes Labs」において、組織の多くが内部の犯行によるサイバー攻撃に対して脆弱な状態にあると報告した。 ロシアや中国には組織の機密データ取引するための市場が存在しており、企業内部の人間が窃取したデータの販売が可能であることから、こうした犯行が収まることがない状況が存在していると指摘されている。 Malwarebytesが公開した調査結果のポイントは次のとおり。 調査対象組織の58%が、インサイダーの犯行に関しては監視、検出、対応といった仕組みが機能していないと回答 調査対象組織の63%が、特権を持ったITユーザーが最大のセキュリティリスクになると考えている 調査対象組織の68%が、

マカフィーは12月17日、2019年の10大セキュリティ事件を発表した。これは、国内の経営層や情報システム部門などの22歳以上のビジネスパーソン1552人を対象に実施した「2019年のセキュリティ事件に関する意識調査」の結果を基にしたもの。 今年は、第1位にセブン&アイ・ホールディングス傘下のセブン・ペイが運営するバーコード決済サービス「7pay」の一部アカウントへの不正アクセスによりユーザーに金銭的被害が発生、サービス再開の抜本的な対応が困難などの理由で同サービスの廃止を発表するに至った事件がランクインした。 第2位は「ヤマト運輸が提供するクロネコメンバーズのWebサービスにおける外部からパスワードリスト攻撃による不正ログイン」、第3位は「次世代通信規格5Gネットワーク建設における、中国の華為技術(ファーウェイ)の通信機器に対する締め出し強化」となった。 マカフィーは、「今年のランキング

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Amazon Web Services（AWS）の最高情報セキュリティ責任者（CISO）であり、セキュリティエンジニアリング担当プレジデントであるStephen Schmidt氏に、同氏の考えるセキュリティ部門が重視すべき10のポイントを聞いた。 1．正確なアカウント情報 Schmidt氏によれば、AWSは、例えば顧客のアカウントが外部から攻撃を受けている、設定ミスが見つかったなどのセキュリティ上の問題について、常に顧客に通知しているという。 そのためには、顧客と連絡を取れる状態が整っている必要があると同氏は言う。 「AWSと法人契約を結んでいる顧客の中には、サポートから連絡できる窓口が非常に整っており、しっかりした担当者や、オペレーシ

Googleのブラウザ「Chrome」のAndroid版を最新のバージョン79にアップデートすると、他のアプリのデータが表示されなくなったという報告があがっている。この問題は、「WebView」技術を利用する一部のAndroidアプリに影響する。同社はこれを受けてAndroid向けのChrome 79の配布を停止し、修正版のテストを先週末に開始した。 しかし、修正そのものは完璧ではない。Googleは、古いデータへのアクセスを復旧するか、ユーザーが作成したかもしれない新しいデータを維持するかの選択に迫られた。パッチは、古いデータへのアクセスを復旧するもので、一部のユーザーは再度データを失う可能性があることを意味する。 Googleは、この最新版Chromeを50％のユーザーに配布済みだと、開発者らはバグレポートに関するディスカッションで述べたが、そのインターフェースがどれだけ広範囲で使用さ

本記事は Sechack365 2019 Advent Calendar 2019 - Qiita の15日目の投稿です。 SecHack365をご存知ない方や、知ってるけど詳しくは知らないという方、会社員として応募する事に不安を覚えられている方向けに書きました。 拙い記事ですが、何かご参考になれば幸いです！ SecHack365って？ NICT*が主催しているセキュリティイノベーターを育成する為のハッカソンです。 365という名前の通り、約1年をかけて行われる長期的な人材育成プログラムです。 受講者はトレーニーと呼ばれており、トレーニー達はこの1年の間にそれぞれ作品を作り、最終回で成果物を発表します。 25歳以下であれば、社会人でも参加出来ます。学生は全額補助されますが、社会人は移動交通費や宿泊費は自己負担となっています。 NICT… 総務省所管の国立研究開発法人。時計合わせの時とかにお

Amazon Web Services ブログ SAPにおけるAWSのモメンタム 過去1年間でSAP on AWSのお客様と一緒に成し遂げたことを振り返ると、思い浮かぶ言葉はモメンタム (勢い)です。工学の学生として、運動量は質量と速度の積で定量化されることを学んだのを思い返します。この方程式を使って本記事を構成したいと思います。 質量 最初に、質量、つまりお客様の採用実績について説明します。今日2019年12月3日、AWSは5,000社以上のアクティブなお客様がAWS上でSAPを稼働しており、これらのお客様の半数以上がAWS上にSAP HANAベースのソリューションを展開していることを発表します。凄い数です！ AWS上で最もビジネスに不可欠なアプリケーションを稼働するためにお客様が私たちと培ってきた深いコラボレーションと信頼のレベルを確かめるには十分すぎる数になっています。全面的に、これ

Impervaは12月11日(米国時間)、「Top 5 Cybersecurity Trends to Prepare for in 2020｜Imperva」において、サイバーセキュリティについて、2020年に予測される流行・変化を公開した。サイバー攻撃がより活発になることは推測するまでもなく明らかとしつつ、脅威に対する業界の取り組み、業界の変化が与えるサイバーセキュリティへの影響などがまとめられている。 Impervaが報告している予測は次のとおり。 クラウドへの移行が拡大 中規模から大規模企業のほとんどが効率および俊敏性を向上させるため、インフラストラクチャやデータ、ワークロードの一部をすでにクラウドへ移行させている。クラウド移行において、セキュリティが主役として取り上げられることはないが、重要な要素であることは間違いない。企業はクラウドへの移行を可能な限り効率的に、そして移行を成功

「素因数分解」を覚えていますか？　ある自然数を素数の積で変換する計算です。例えば「15」なら「3×5」。この例であれば簡単ですが、では「11088899」は？　――これを見ただけで素因数分解できる方はほとんどいないでしょう。正解は、「3329×3331」。 しかし、これが「3329×3331は？」という問題であれば、計算は簡単です。つまり「3329×3331＝11088899」という計算式には、3329と3331の積算は簡単なのに、11088899の素因数分解は難しいという非対称の関係があるのです。この性質は一方向性関数と呼ばれ、暗号にも活用されています。 閉める鍵と開ける鍵が別にある「公開鍵暗号方式」 セキュリティ技術の代表「暗号化」においては、サーバ側と自分で共通の鍵を持つ「共通鍵暗号方式」がすぐに思い浮かぶと思います。共通鍵は玄関の鍵に例えられる通り、情報の発信者と受信者で同じ秘密を