The Biden Administration opens $285 million funding for ‘digital twin’ chip research institute
note.jp この件です。 わりとよい報告書みたいな評価をされている人も結構いるんですが、業務エンジニアの目線から見るとこれはちょっと…って言わざるを得ないですね。 再発防止策として書かれているこれね。 1)監視 意図しない漏洩の早期発見・通知を行うシステムの導入 うーんってなりますよね。そもそも、IPアドレスを表示していた(あえて漏洩とは言わない)のは、どういう要件で行っていたのか、という話なわけじゃないですか。表示項目ってのはまずそこからですよね。アプリケーションの作り上、APIとしてやり取りしている項目と、実際に画面に表示している項目は違ったりしますので、業務要件としては表示対象項目しか可視化されてない、ということはよくありますよね。そうすると、APIのI/F定義書を作ったときに画面に表示するための項目とシステム上必要な項目のそれぞれについて、どういった要件に基づくものかを明確にし
From DIAMOND SIGNAL スタートアップやDX(デジタルトランスフォーメーション)を進める大企業など、テクノロジーを武器に新たな産業を生み出さんとする「挑戦者」。彼ら・彼女にフォーカスして情報を届ける媒体「DIAMOND SIGNAL」から、オススメの記事を転載します。※DIAMOND SIGNALは2024年1月をもって、ダイヤモンド・オンラインと統合いたしました。すべての記事は本連載からお読みいただけます。 バックナンバー一覧 グーグル、ヤフー、バイドゥからの買収オファー 2010年某日、渋谷のセルリアンタワーの一室に、武井信也氏はいた。検索エンジンの開発を手掛けるベンチャー、マーズフラッグのCEOが向き合っていたのは、グーグルの日本法人幹部と、アメリカ本社の幹部たち──。 「検索」の世界を手中に収める巨人はその日、武井氏にマーズフラッグの買収を提案した。マーズフラッグは
AWSのS3のマネジメントコンソールを見ていると、アクセスタイプで絞り込むことができることに気が付きます。絞り込みの条件として、「公開」や「オブジェクトは公開可能」など5種類あり、その中の一つに「エラー」というものがあります。今日は、このエラーというバケットが何者なのかというのと、それを無理やり消すための豆知識をお伝えします。 エラーが表示されるS3バケットは何者なのか? まずこのエラーと表示されるS3バケットが何者なのかという話からです。これは、S3のバケット一覧・詳細を表示しようとしているIAMユーザーもしくはIAMロールの権限とバケットポリシーの組み合わせで表示する権限がない場合に発生します。バケットポリシーも考慮するので、たとえ制限のないAdministratorAccessの権限を持っている利用者でも発生する場合があります。 ちょっとイメージが付きにくいと思うので、具体的な例で紹
東京証券取引所は1日16時30分から、システム障害による同日の終日売買停止を受けて都内で記者会見を開いた。システム障害で東証の売買が終日止まったのは初めての事態だ。記者会見には宮原幸一郎社長、日本取引所グループ(JPX)の横山隆介・最高情報責任者(CIO)、東証の川井洋毅執行役員らが出席し、原因や今後の対応などを説明した。日経電子版では宮原社長らの発言をタイムライン形式でまとめた。【18時7分】記者会見が終わった
2000年、バブルがはじけ切って就職氷河期が始まった頃。 ぼくは大学生をやっていた。 就職協定というものがあって、学生は就職活動するのは4年生、関西では4回生と呼んだけど、になってからね、と言われていたのが突然、ぼくが3回生になった途端、はい今から就職活動です!と叫ばれて、何かその真似ごとみたいなのはしたけれど、そもそも求人は少ないし、その少ない求人の中でたいしてやる気のない学生を採用するような会社はもちろんないし、結果ぼくはスムーズにニートになることに。 しかし、大学卒業直後のニートとは大学時代のゴロゴロした生活から大学を抜いたものでしかなくて、ぼくの大学生活とは本と漫画と麻雀とバンドとバイトと単位でできていたから、バンドもバイトも辞めたぼくは、仕事もないんだからバイトは続けろよとはすごく思うのだけれど上手いことできているのかどうか卒業を控えて家族経営だったバイト先が家族ごと夜逃げして潰
note_vuln.md noteとインシデントハンドリングと広報の仕事 前提 この文章はmalaが書いています。個人の見解であり所属している企業とは関係ありません。 noteには知り合いが何人かいるし、中の人と直接コンタクトも取っているし相談もされているが、(10月2日時点で)正規の仕事としては請け負っていない。 10月2日追記 正規の仕事として請け負う可能性もありますが、自身の主張や脆弱性情報の公開に制限が掛かるのであれば引き受けないつもりです。 脆弱性の指摘や修正方法以外にも意見を伝えることがありますが、公表されている文章については、あくまでnote社内で検討されて発信されているものであり、必ずしも自分の意見が反映されたものではありません。(事前に確認などはしてません) 重要 この記事には、9月30日付けと、10月1日付けでnoteに報告した脆弱性についての解説を後ほど追記します。誠
まず誰がどこをどう同意・反論できるかを考えて配置してから、文量が少ない部分に肉付けしてリズムを整えると良いと思うshokai.icon
総務省は、今般、クラウド事業者がIoTサービスを提供する際のリスクへの対応方針を取りまとめたことから、「クラウドサービス提供における情報セキュリティ対策ガイドライン」(平成26年4月策定)を改定することとし、「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」を策定しましたので、これを公表します。 あわせて、「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」(案)に対する意見募集の結果を公表します。 総務省では、平成29年7月より、特定非営利活動法人ASP・SaaS・IoTクラウドコンソーシアムに委託し、「ASP・SaaSクラウド普及促進協議会」の下に設置された「クラウド事業者におけるIoTセキュリティ対策及び情報開示に関する検討会」(主査:佐々木良一 東京電機大学 教授)(構成員は別紙1のとおり)において、クラウド事業者がIoTサービスを提供
ASP・SaaSの情報セキュリティ対策に関する研究会 開催についての報道資料 第1回会合(平成19年6月21日) 配付資料 議事要旨(PDF) 第2回会合(平成19年8月8日) 開催案内 配付資料 議事要旨(PDF) 第3回会合(平成19年10月17日) 開催案内 配付資料 議事要旨(PDF) 第4回会合(平成19年12月18日) 開催案内 配付資料 議事要旨(PDF) 第5回会合(平成20年1月29日) 開催案内 配付資料 議事要旨(PDF) ASP・SaaSの情報セキュリティ対策に関する研究会報告書案等に係る意見募集(平成19年12月19日) ASP・SaaSの情報セキュリティ対策に関する研究会報告書等の公表及び意見募集の結果(平成20年1月30日)
こんにちは!那須どうぶつ王国でスナネコの赤ちゃんの一般公開が開始された1ことに喜びを感じている、SRE部エンジニアの塩崎です。 ZOZOTOWNでメルマガやPUSHの配信のために、IIAS(IBM Integrated Analytics System)というDWHアプライアンスを利用しています。このIIASは以前から利用していたPureDataの後続機で、先日にマイグレーションをしたので、よろしかったらそちらの記事をお読みください。 techblog.zozo.com 概要 メルマガを配信するにあたって、メールアドレスや氏名などの個人情報を扱う必要があります。これらの情報は特に取扱いに注意を要するものであり、情報を参照できるユーザーを可能な限り限定する必要があります。素朴な解決策として、個人情報が入っているテーブル全体に対するSELECT権限をREVOKEすることが思いつきます。 しかし
こんにちは。ECプラットフォーム部の廣瀬です。 ZOZOテクノロジーズでは、お客様の氏名や住所をはじめとする秘密情報を保護するための様々な取り組みを行っています。本記事ではその中の一部である、データベース(以下、DB)に保存している秘密情報の取扱いルールについてご紹介したいと思います。なお、今回の内容は特定の製品の機能に関する話ではなく、取り組みの基本的な考え方についての話となっています。 背景 何も対策を講じない場合、開発者がDBの秘密情報を権限的には閲覧することが可能な状態となり得ます。例えば、 select * from [秘密情報が含まれるテーブル] といったSQLを実行することで、秘密情報を閲覧できてしまいます。 意図的に機密性の高い情報にアクセスするようなエンジニアは基本的にはいないでしょう。ただし、秘密情報を利用する意図がなくても、新機能のリリース時のデータ確認などで自然と秘
【2/29 11時追記】 https://anond.hatelabo.jp/20200928113830 (トラバへたくそでごめんなさい) 皆さま沢山コメントをくださって有難いです。トラバもブクマもひとつひとつ読みました。 アドバイスもとてもありがたいです。経験談や、色々なサイトへのリンクもありがとうございます。読んで参考にします。 「俺もそんなんだった」が一番救われる言葉でした。これで救われてはいけないのかもしれませんが。 こう見るとはてなってやはり高学歴が多いのだな、少なくとも一定数はいるのだな、と実感しますね。 慣例に倣い、この日記を印刷して学生相談室に持っていく予定です。 私はいつも優しい増田の皆様に救われています。実はB4の時も似たように、かけらもない進捗報告を発表するのが嫌すぎて逃げたしたときにも、増田で弱音を吐いたら優しく励ましてくれてどうにか復帰しました。あの時は3日で済
2020年1月に申し込み手続きをして、1月30日開始のTerm3から、英語力証明のためのコースを受講している。 正確には、正式なComputerScience専攻の学生ではまだなく、Non-degree seeking studentという扱いではあるが…。 (2020.10.10追記) 現在は無事正式な学部生(Degree Seeking Student)となり、日本の大学からも14コース(単位数で言うと48)の単位移行が承認され卒業までの期間を短縮できることになりました。 他のUoPeople関連の記事はこちら: UoPeople カテゴリーの記事一覧 - えんぴつぶろぐ また、他の海外オンライン大学・大学院との比較をこちらにまとめましたので参考になれば幸いです。 zenn.dev (2020.10.10追記) University of the Peopleとは 学部生になるまでのプ
独学の達人である読書猿が書いた、独学の百科事典。「読書猿って誰?」という人がいたら、[読書猿Classic]を見に行くべし。 787ページ、1kgは、ほぼ鈍器で、そこらの教養芸人を蹴散らすのにピッタリ。 だが、隅々まで読むのは時間がかかる。独学する人は何らかの「学びたいこと」を抱えており、それにまつわる様々な問題を解決したいが故に本書を手にするのだから、全読している時間が惜しいかもしれぬ。 そんな人のために本書の使い方を紹介するとともに、『独学大全』が、私をどのように変えたか、さらに、どのように使っていくかを書く。 『独学大全』で最初に読むところ 『独学大全』でどう変わるか 『独学大全』をこう使う 1. 『独学大全』で最初に読むところ もちろん始めから読むのが一番だが、てっとり早く掴みたい、という方のために、p.33~39に「本書の構成と取説」がある。この6ページを読むだけで使い方が分かる
今年の4月くらいから毎朝1hくらい、数学を勉強するのが日課になってます。数学1の式の展開から始めて、今は数学2の前半まで進んでます。夜寝る前にも微分やベクトルの解説動画を見ながら寝るのがローテーションになってます。 始めた頃はめちゃくちゃ効率の悪い学習をしてたのですが、試行錯誤を繰り返し、今は安定して勉強ができているなあ、と思えるようになってきたので、ここにnoteをしたためようと思います。 数学を学びはじめたきっかけ自分は工業高校だったので、きちんとした数学を学んでいませんでした。他の工業高校はわかりませんが、自分が通っていた高校ではほんといい加減で因数分解のたすき掛けを習った記憶もありませんし、平方完成を習うこともありませんでした…。(実は習っていたけど自分が覚えてないという可能性も十分あります…) そのために大人になってから、自分が一般的な高校生が身につけるべき基礎的な教養をまったく
SecurityCode scanning is now available!Now available, code scanning is a developer-first, GitHub-native approach to easily find security vulnerabilities before they reach production. GitHub code scanning is a developer-first, GitHub-native approach to easily find security vulnerabilities before they reach production. We’re thrilled to announce the general availability of code scanning. You can ena
AWS Security Blog Enhance programmatic access for IAM users using a YubiKey for multi-factor authentication Organizations are increasingly providing access to corporate resources from employee laptops and are required to apply the correct permissions to these computing devices to make sure that secrets and sensitive data are adequately protected. The combination of Amazon Web Services (AWS) long-t
総務省は、将来の経済成長を担う“データサイエンス”力の高い人材育成のため、データサイエンス・オンライン講座「社会人のためのデータサイエンス演習」を昨日9月29日より開講した。誰でも受講することができる。 ■「社会人のためのデータサイエンス演習」の開講 データサイエンス・オンライン講座「社会人のためのデータサイエンス演習」は、ビジネスや行政での活用を想定した講座として、ビジネスや業務上での分析事例を中心に実践的なデータ分析(統計分析)の手法を学ぶことができる内容となっている。 講座の⽬的:ビジネス上での分析事例を中⼼に実践的なデータ分析(統計分析)の⼿法を習得する 開 講 ⽇:令和2年9⽉29⽇(⽕) 学 習 時 間:1回10分程度×5〜6回程度(1週間)×5週 課 題:各週の確認テストと最終課題の実施 講 師:データサイエンスに携わる専⾨家、⼤学教授、総務省統計局職員 社会人のためのデータ
SendGrid の送信ログを無料で7日間以上見られるように、BigQuery にリアルタイムで保存する これはなに? イマチケというAmazon Payでサクッと買える有料ネットライブのチケット販売サービスを開発・運営しています。 そこでは、SendGridを使って購入確認メールを送っているのですが、携帯キャリア系メールアドレスの迷惑メールブロックやら RFC違反のメールアドレスでやらで購入確認メールが送れないことがままあり、お客様からの問い合わせが来たときに調査が必要でした。 調査のために SendGrid のメールアクティビティを確認しますが、とりあえず無料のプランではじめているため、管理UI上で確認できるメール送信ログが7日間しか残りません。しかし、お客様からの問い合わせはチケットを買ってから、2週間後のライブ配信直前などに来ることがあり、調べるころには履歴が残っておらず、メールが
新しくAWSを始める方にも今EC2とか触っている方にも見てもらえる内容に 佐々木大輔氏(以下、佐々木):せっかく今回書籍を書いたみなさんに来ているので、この本をどんな人に読んでほしいですか? というところと、読んだときにどういうところを学んでほしいのかというところ。そこらへんを改めて著者からのメッセージということで1人ずつお願いしたいと思います。千葉さんからお願いしていいですか? 千葉淳氏(以下、千葉):一応今回『みんなのAWS』っていうタイトルなので、みんなって書いています。 基本的にはみんななので、なんでクラウドが出てきたみたいな背景からベストプラクティスから実際に手を動かすみたいなところまでカバーしています。新しくAWSを始める方に見てほしいですし、今EC2とか触っている方にも見てもらえるような内容になっているんじゃないかなぁと思っています。 佐々木:ありがとうございます。書いた章順
情報セキュリティ白書 ダントツ人気コンテンツ「国内のセキュリティインシデント」 その3 SMSを悪用するフィッシング(スミッシング) 前回はフィッシングについて取り上げ、その一例として「宅配便の不在通知を装うSMS」の手口を紹介しました。今回も引き続き、SMSを悪用するフィッシング(SMS+フィッシング=スミッシング)について、他のパターンやそれらの手口に共通する対策などを紹介します。 ネットサービスのログイン情報を詐取する手口では、これまで一般的な連絡手段に用いられていたEメールが多く利用されていました。しかし、スマホが普及し、企業から送付されるログイン時の認証コードや連絡事項などがEメールに代わり、SMSで送られて来ることが多くなりました。昨今のSMSをとっかかりにした騙しの手口の横行は、こうした連絡手段の変化が背景にあると考えられます。 フィッシングは本来、本人しか知らないはずのログ
PHP 8 の新機能の一つ、Attribute の形式が紆余曲折ありながら最終的に #[] となりました。実用上は #[] 形式だけ覚えておけば良いのですが、シンタックスの変遷は興味深いものだったので残しておこうと思います。 Attribute Attribute 仕様の変遷 8.0.0alpha1: <<>> 8.0.0alpha2 8.0.0beta1: @@ @@ の問題 8.0.0beta4: #[] #[] の注意点 さいごに Attribute PHP 8 の Attribute は、他のプログラミング言語によくあるアノテーションです。クラスやメソッド、プロパティ、関数に付与することで任意の処理を追加することができます。PHP では従来 Doc コメントでこれを指定する文化がありましたが、これを言語仕様として実装したものです。 <?php declare(strict_type
こんにちは。Product Securityチームの@gloriaです。前回、自動化テストエンジニアからセキュリティエンジニアへのキャリアチェンジについて記事を書きました。 今日は、最近OSSとして公開した社内ツールのプロジェクトについてお話をしたいと思います! 「Testdeck」とは? TestdeckはGolangで書いたgRPCマイクロサービスのインテグレーションテスト、エンドツーエンドテスト(E2E)とセキュリティテストの自動化ツールです。以下の機能を提供しています: gRPCとHTTPエンドポイントのインテグレーションテスト・E2Eテスト ファズテスト 悪意のあるペイロードの注入(Burp SuiteのIntruderという機能のように) gRPCとHTTPリクエストのユーティリティメソッド CharlesやBurp Suiteなどのデバッギングプロクシーに接続し、リクエストの
Amazon Web Services ブログ サーバーレス LAMP スタック – Part 4: サーバーレス Laravel アプリの構築 本投稿は AWS サーバーレス アプリケーションのシニアデベロッパーアドボケートである Benjamin Smith による寄稿です。 本シリーズの他のパートは以下のリンクからアクセスできます。また、関連するサンプルコードはこちらの GitHub リポジトリにあります。 パート1:サーバーレス LAMP スタックの紹介 パート2:リレーショナルデータベース パート3:Webサーバーの置き換え パート5:CDK コンストラクトライブラリ パート6:MVC からサーバーレスマイクロサービスへ この投稿では、サーバーレスアプローチで Laravel アプリケーションをデプロイする方法を学びます。 これは「サーバーレス LAMP スタック」シリーズの4番
サンフランシスコベイエリアでのITエンジニアの給料は東京より高いが、税金や物価も高いと言われている *1 。ではどちらに住む方がより多くの金が手元に残るのだろうか。 僕がベイエリアに移住してからちょうど1年が経ったので、僕が東京とベイエリアそれぞれにいた頃の出費やタイトルでどのくらい家の収支に差が出るのかということをまとめてみる。なお、この記事を書いている時点で 105.60 円/ドル なので、ドル円の変換をする際はこのレートを用いる *2 。 収入 基本給 ベイエリア 東京 $153,600 913万円 GitLabは同社の世界各地での待遇計算基準を 公開 しており、地域間の差異を公平に計算するには割とよくできたベンチマークなのでここの年収をそのまま使う。計算に使われる location_factors.yml では、日本の給与はサンフランシスコの 56.3% になっている。 Calcu
@Pctg_x8です。 Deno 1.0の登場でRustとWeb関連技術の繋がりがより高まっていく中で、Electronライクな新しいアプリケーションフレームワークである「tauri」を見つけましたのでちょっと触ってみようと思います。 tauriについて 公式サイト: https://tauri.studio/ ※この記事ではv0.9.2をベースに解説しています。 tauriはまだメジャーバージョンが1になっていないため、頻繁にAPIの変更が起こる可能性があります。 概要 フロントはElectronと同じくWebViewですが、ベースの起動プログラム(Main Process)をRustで書くことができるものです。 ElectronではMain ProcessもJavaScript(Node.js)なので、例えば大量のデータを並行してバッと読むとか解析するとかの処理をさせようとすると マル
https://www.netlify.com/pdf/oreilly-modern-web-development-on-the-jamstack.pdf Netlify社が2019年に公開した本?PDFです。 せっかくJamstackの会社に入ったので、読んでおかないといけない気がして。 あとJamstackは人によって解釈が違ったりするとし、Jamstackの真髄について知っておきたいですよね?と思い。 ただこれなんと127ページもあるんですよね〜。 全編もちろん英語なので、読むのも中々に大変ですよね〜。 てなわけで、ざっくり訳してまとめまておきました。(それでも長いけど) はじめに ここ最近のWebの進化はすさまじい ブラウザもJavaScriptもパワフルになった その分ユーザーの要求も増える やることが増えると処理は遅くなる 遅いページは見向きもされないモバイル当たり前の世界だ
ゲームやインターネットの依存症対策として、子どもがゲームをする時間を平日は60分までを目安にするとした香川県の条例は、ゲームを自由にすることを基本的人権として保障した憲法に違反するとして、県内に住む男子高校生らが30日、県に損害賠償を求める訴えを起こしました。 ことし4月に施行された香川県の「ネット・ゲーム依存症対策条例」は、18歳未満の子どもが依存症につながらないよう、ゲームをする時間を平日は1日60分、休日は1日90分までを目安にルールを定めるよう保護者に求めています。 訴えによりますと、依存症につながらないよう時間制限を設けることに科学的な根拠はないうえ、家庭で自由にゲームをする時間を決めることは基本的人権として憲法で保障されており、条例はこうした権利を必要以上に制限し憲法に違反するとして、県に対して合わせて160万円の賠償を求めています。 訴状を裁判所に提出したあと、渉さんは高松市
事実世界のインターネット人口が増えたのは1990年代からだ。 [引用] http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h10/html/98wp2-3-1f.html [引用] http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h29/html/nc144210.html __NoSQL__の登場 1990年に入るとインターネットの利用人口が急激に増加することになる。 この頃からトランザクションに最適化されて設計されたDBでは性能劣化が始まり、システムはデータベースに対しスケール性能を必要とし始める。 多くの開発者は、単一の強力なサーバーでリレーショナル・データベースを実行するのではなく、リレーショナル・データベース管理システム (RDBMS) のパーティショニング (シャー
Covid-19重症化の遺伝的危険因子が見つかる。ネアンデルタール由来で、東アジア人はほとんどが持たない。ーー今日発表のネイチャー論文 https://t.co/B02ojhMUko
単純に仕事の用事なのですが、俗に言う経営層と言える立場の方々にヒアリングする機会が増えたことで、とあるセリフを頻繁に耳にするようになりました。 「事業の話ができるエンジニアがいないんだよね。本当に困りますよ」です。 これは僕が事業の話をできるとかそういうことを言いたいのではなくて、各社の経営層の切実な想いであり1つや2つの組織で聞いた発言ではなく、あらゆる組織で耳にする強烈なペインであると言いたいんです。 本当に、文字通り、全ての組織でこの発言を聞きました。 僕個人としては、「え?そうなんですか?結構いると思いますが」って当初反応してたんですよね。何故なら、自分の周りには幸い「技術にだけ興味があるエンジニア」が少ないからでして、彼らがそこまでの切実さで何を求めているのかはっきりとわかっていませんでした。ただ、僕も諸事情あって彼らと似たような視点を持たなければいけない状況になり、この発言の理
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く