SaaSの安全神話 SaaS(Software as a Service)はここ10年で拡大が進み、2020年のCovid19によるリモートワークの推進と相まって、エンタープライズによる利用が爆発的に拡大した。 旧来のオンプレミスのシステムと比較し、導入期間も短くユーザにとってフレンドリーなSaaSは、バックグラウンドとして基本的にはクラウドネイティブであり、世界最高峰のセキュリティを誇るメガクラウド（GCP、AWS、Azure）が管理するマネージドサービスを利用することにより、技術的な安全性を確固たるものとしてきた。 SaaSを狙った攻撃の増加 SaaSをはじめ、クラウドサービスのセキュリティはAWSが提唱するような「責任共有モデル」と呼ばれるモデルによって担保されているといえる。これは、利用するシステムのセキュリティは、システムの提供側だけではなく利用側と協力しながら担保していこうとい

大学生でこれから就職活動を控えていて、どんな仕事があるのかを知りたいような人新社会人、第二新卒で今のキャリアに悩んでいるひとアラサーで今エンジニア、システムエンジニアで転職を考えている人 このような人を対象の読者として想定しています。自分のキャリアを皆さんに簡単に紹介するとともに、「セキュリティ」の知見をもって歩んでいくキャリアというものもあるんだよ、ということがなんとな～くわかっていただけるような状態を目指しています。 結論から言うと、BIG4のプロフェッショナルファームに入ってセキュリティの知見を学んだことは、自分のキャリアにとって大きなプラスになりましたし、迷っている人にはぜひおすすめしたいと思っています。 簡単なキャリアの紹介

ITパスポートを取るべき対象者と意味 ITパスポートは、ITに関する国家資格の第1ステップの資格となっています。この資格を持っていることで「ITのプロフェッショナル」と名乗ることができるかというと、残念ながらそれはできません。 しかし、では何の意味もないかというと、そんなことはありません。主に以下の2つの属性の人にとっては、大変効果のある資格ですし、取得に向けて勉強することは意味があります。 高校生・大学生でこれから就職する人で、少しでもITに関する知識を身に着けたい人社会人として、最低限ITやシステムに関する知識を身に着けたいと思っているひと 繰り返しにはなりますが、「ITパスポート」を取ることで「ITのプロフェッショナル」と名乗ることはできません。とはいえ、仕事・生活の面ではITやシステム無しに生きていくことはできず、ITに関する基本的な知識を身に着けていることの損は全くないのです。

どうやら本事案では、サービス利用ができなかった6月の料金請求を行わないことにより32億円の売上が不透明となってしまったようである。これから発生しうる訴訟や、第三者委員会などの設立、公表に関する費用などを総計すると、被害額はさらに大きくなることは避けられないだろう。 また、このような事件を起こしてしまった社会的信頼の失墜と相まって、企業への影響は甚大である。 ベンチャー企業が安定的収益を獲得する手段としてのサブスクリプション型のビジネスを営むのであれば、このような大事件を引き起こさない、引き起こされたとしても被害が最小化される仕組みを検討しておくことは最重要課題の一つとなる。 旧来型のアプローチとベンチャー企業の悩み ベンチャー企業が収益を第一に確保しなければ会社がそもそも存続できない可能性があることを考慮すれば、彼らが情報セキュリティに対する対応が遅れていたとしてもある種やむをえない側面も

ChatGPTに対する期待感 ChatGPTに関する多数のたくさんの本が出版され、TwitterやWebニュースを連日にぎわせている。ChatGPTのことを多少なり知っている方であれば、このような疑問を抱くに違いない。 「ChatGptって実のところ、実務に使えるの？」 今まではとんちんかんな答えしかよこしてこなかった自動応答チャットに対するイメージは、ChatGPTが一般に利用されるようになり劇的に変わった。何となくそれらしい質問を浴びせてみては、的確に見える回答が返ってくることに対して感動を覚えたことは1度や2度ではないはずだ。ところが、こんな「遊び」にも飽きてきた我々にふつふつとわいて期待が、「これは何となく仕事に活かすことで楽にすることができるんじゃないか？」ということだろう。 使えるシーンは大きく２つだが機会は多くはない 結論から書こう。 ベンチャー企業の仲間たちもこぞってCha

Webサイトへの攻撃による過去のインシデント Webサイトにメールアドレスを打ち込んでもらって何かを申し込んでもらったり、Webサイトから何かを買ってもらったり、Webサイトを経由してデータのやり取りをするケースは案外多いものと思われます。 「何かの複雑なシステムを作ろう！」と意気込んでいる場合には、案外自分に慣れ親しまない『新たな挑戦』をすることになるので、思ったよりも身構えながら慎重に進めていくのが人間の性ですが、 普段自分が「利用者」として使っている『Webサイト』についても同じように考えられているでしょうか。 Webサイトに対するセキュリティ意識 Webサイトを経由して情報のやり取りがあるということは、少なくともWebサイトからデータベースまでは、正当な経路でのデータのやり取りができているということを意味します。逆に言えば、このデータのやり取りに少しでも不十分なところがあれば、デー

記事の執筆背景 私がベンチャー企業にジョインしてみて、これまで各領域では百戦錬磨の猛者たちも、セキュリティの分野となると結構ちんぷんかんぷんで、 セキュリティの専門家同士で話している中ではもはや当たり前であることは、一般事業会社や、ベンチャー企業では全く当たり前ということはないということを肌で感じた。 そのようなメンバーの環境の中で、さらに判断をより難しくさせるのは、「推進側にプロジェクトスコープなんてものはない」ということである。 コンサルのプロジェクトは受注した時点でプロジェクトリスクを最大限提言するために、業務実施スコープをできるだけ制限し明確に決定することから、コンサル時代であれば 「〇〇の対策をすべきです（ただし、手間はかかりそうだし、一番嫌がっていた○○部長が大変になりそうだけど、そういうのはいったん考えないでいいか）」というようなアウトプットも出されていたりするのだけれど、

ランサムウェアの感染事案 2023年の6月上旬に、社労士向けのクラウドサービス「社労夢」を提供する、エムケイシステムがランサムウェア攻撃を受けたことを発表したことが記憶に新しい。 www.itmedia.co.jp www.nikkei.com エムケイシステムのWebサイトによると、「社労夢」は826万人以上のユーザ情報を保管・管理するクラウドサービスであり、この情報が仮に漏洩したとなれば2023年のセキュリティインシデントとして残念ながら歴史に名を残しかねない大惨事の一つとなるであろう・・・！！ 実際に私もStartup（B to B向けSaaS販売）で勤務しながら、本事案について耳にすることがあった。お客様によってはサービスリプレイスを検討しているとのことであった。 セキュリティの専門家　×　Startupの事業推進という、やや異色なキャリアを歩んできた私にとっても改めて気が引き締ま