オペレーション部 江口です。 私の主業務はクラスメソッドメンバーズサービスの品質管理や内部監査なのですが、その活動の一環として企業としての標準のセキュリティチェックシートを作成しました。 このチェックシートがこのたびクラスメソッドの企業サイトで公開されましたのでご報告です。 具体的には「ポリシー」ページに「セキュリティチェックシートの提供」という項目が追加されています。 https://classmethod.jp/policy/ 作成・公開の目的 当社はISO27001/27017、PCI-DSS、Pマーク、SOC2など、様々な認証を取得しセキュリティやサービス品質の向上に努めています。 ですが、お客様によっては認証取得の事実だけでなく、実際にセキュリティ対策としてどのように取り組みを行なっているか、もう少し具体的な情報をご要望いただくことがあります。 そうしたお問い合わせの一助として、

二段階認証の意味を問う　「7pay事件」を教訓に見直したい認証のハナシ：今さら聞けない「認証」のハナシ（1/5 ページ） ほとんどの人が日常的に行っている、ログイン（サインイン）などの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受けたりするなど、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者側だけで対策するだけでなく、サービスの利用者も正しい知識を持っておくことが必要でしょう。 本連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。 連載：今さら聞けない「認証」のハナシ 専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介します。 執筆は、業務用の「トークンレス・ワンタイムパスワード」認証システム「PassLogic」や

今回から5回に渡り、Linuxサーバーのセキュリティ設定を皆さんと一緒に確認しつつ、セキュリティに関連するコマンドの説明を書かせてもらう川井です。皆さんと同じく、さくらインターネットの一ユーザーでもありますので、以後、よろしくお願いいたします。 これから説明するセキュリティを確認する環境は、さくらインターネットが提供しているサービスの『さくらのVPS』や『さくらのクラウド』でCentOS 7以降の利用が対象です。さくらインターネットさんはセキュリティにとても留意しているため、初期状態でも危機はかなり低いとはいえ、利用している皆さんがよりセキュリティに関心を寄せることで、更なる安全を手に入れられるでしょう(この連載では以降、さくらのVPSとさくらのクラウドをさくらのサービスとまとめて記述します)。 対象サービス これから触れるセキュリティの元ネタは個人的にも利用しているさくらのVPSと、お仕

「セキュリティの基礎は無料で学べる」　ワンクリックで”リテラシー”高める無料教本：ITりてらしぃのすゝめ（1/3 ページ） ほとんどの人にとっては、ITセキュリティは難しいもので、勉強するのは面倒に感じるかもしれません。将来的に素晴らしい技術が登場して、私たちが何も気にしなくてもAIや機械がサイバー空間を守ってくれるようになる未来は必ずやってくると信じているものの、現状は私たち自身がサイバーセキュリティについて学んでいく必要があります。 いきなりセキュリティの達人になることはできなくても、「あ、これ聞いたことがあるな」と気付けるだけで、多くの脅威から身を守ることができます。 ならば、その「聞いたことがある」という状況にまでステップアップしてしまいましょう。これまでなら本屋に行って何か教本を買ってくるか、ネット上で調べるのが定番でした。いまやその第一歩が、無料の電子書籍で済んでしまうのですか

TL;DR タイトルのまんまです。 Symantec社が提供しているSSL Certification CheckerやThe Qualys SSL LabsのSSL Server Testを使用してドメインのhttps通信の状態をチェックをすると、Protocol: TLS1.0が有効になっているケースがほとんどかなと思います。 その場合、BEAST脆弱性を突かれる可能性があるよーと合わせて指摘されますが、「攻撃の実現可能性が低いので問題ない」ということを、周囲の関係者にさらっと説明することになります。 なぜ問題が無いのかをよく忘れてしまい、調べなおすのも効率が悪いので現状確認方法も含めてメモ。 当ポストには、 BEAST脆弱性とは何か？ などは含まれません。 詳細を確認したい方は、 NICT/IPAさんのCRYPTREC 暗号技術ガイドライン(SSL/TLS における近年の攻撃への対応

内閣サイバーセキュリティセンター（NISC）は7月14日、ネット上のトラブルから身を守るための方法を解説した「ネットワークビギナーのための情報セキュリティハンドブック」を電子書籍化し、国内27の電子書店で無料配信を開始しました。 「ネットワークビギナーのための情報セキュリティハンドブック」（左：表紙、右：登場するキャラクターのカラーイラスト） 同ハンドブックは2016年2月にWebサイト「みんなでしっかりサイバーセキュリティ」にて公開されたもので、間もなく夏休みを迎える小中高校生に触れてもらえるようにと今回電子書籍化。 内容は「サイバー攻撃ってなに？」といった基本的なことをイラストや図で分かりやすく説明し、それらを防ぐためのセキュリティの基本や攻撃を受けてしまった時の対処、SNS等とのつきあい方などがネット初心者向けに書かれています。 さらに大災害やテロに備えるための行動や、インターネット

先日開催されたAWS Summit Tokyo 2017、わたしもいくつかセッションを聴講してきたのですが、「DevSecOps on AWS - Policy in Code」というセッション1にてgit-secretsというツールが紹介されていました。 awslabs/git-secrets: Prevents you from committing secrets and credentials into git repositories これ以外にも、いくつかのセッションで言及されていたと思います。 git-secretsのことは以前から聞いてはいたのですが、自分自身があまりコードを書く環境にいなかったので、良くないとは思いつつも今まであまり気にしていませんでした。 ただ、AWSアクセスキーの漏洩が原因と思われる話を聞く機会はなかなか減りませんし、考えてみれば自分でも、AWSクレデ

You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

注意 本件記事ですが、私の不適切な行動（拾ったスクリプトを検証なく走らせる）が原因です。「dockerは（特に何もしなくとも）危険」との誤解を皆様に与えた点、ご迷惑をおかけいたしました。申し訳ございません。 拡散されている記事を削除するのはさらなる誤解を招きかねないと思いましたので、冒頭に注意を付記しております。以下の記事は、「自分が何してるかをきちんと検証できないとセキュリティホールを生み出す」という意味で参考にして頂ければ幸いです。 追記 Twitterやはてブで言及いただきました皆様、ありがとうございます。 本件はpullしてきたイメージが悪意ある開発者によるものかどうかにかぎらず、不適切な設定をしていると起こり得ます。 ※コメント欄に質問への回答という形で、私がそのときに走らせていたイメージの一覧を挙げておりますが、どのイメージも評判あるものだと思います。 皆様におかれましては「あ

JWTのわかりやすい説明 by 国内No.1 ECサービス開発のすべてを語り尽くします！〜第4回ペパボテックカンファレンスEC編 - dots. [ドッツ] - http://eventdots.jp/event/573086Read less