「ゼロトラスト」でなければランサムウェアギャングと戦えない理由――いま企業はハイブリッド戦争の前哨戦の渦中にある:ITmedia Security Week 2023 夏 2023年6月、ITmedia Security Week 2023 夏で、多摩大学 ルール形成戦略研究所 客員教授 西尾素己氏が「ゼロトラスト。バズワードと化した最重要課題を今一度紐解く。」と題して講演した。
インシデント対応では、いずれもSOC(Security Operation Center、ソック)からのメールに記された内容を基に「初動対応」「封じ込め」「再発防止策の検討」の3つを順に実施した。まず初動対応で攻撃そのものを止める。次に封じ込めで攻撃の影響範囲を洗い出して再度の攻撃を防ぐ。そして同様の攻撃を受けないよう、防御手段の導入や運用方法の変更といった再発防止策を検討する。
Today we are excited to announce the general availability of the integration between AWS Control Tower and AWS Security Hub. You can now enable over 170 Security Hub detective controls that map to related control objectives from AWS Control Tower. AWS Control Tower now detects when you disable a control from Security Hub which results in a ‘Drifted’ control state. With this drift detection capabil
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの梅内(@Sz4rny)です。 本稿では、弊社がこれまでに実施してきたFirebase診断の事例や筆者独自の調査をもとに、Firebaseを活用して開発されたサービスにおいて発生しやすい脆弱性の概要やそれにより引き起こされるリスクおよびその対策を深刻度や発生頻度の評価を踏まえつつお伝えします。本稿を通じて、Firebaseを活用したサービスにおいて発生しやすい脆弱性にはどのようなものがあるのか、また、そのような脆弱性を埋め込むことなくセキュアなサービス実装を実現するためにはどのような観点に気をつければよいのかについて理解を深めていただけますと幸いです。 なお、本稿では「Firebase活用時に限って発生しうる脆弱性(例:Firestoreのセキュリティルールにおけるバリデーション不備)」と「Firebaseを活
はじめに こんにちは。株式会社Flatt Securityの @toyojuni です。自分はもともとWebやUIのデザインを本職としていましたが、大学の同期と共同創業したセキュリティ企業であるFlatt Securityにて経営やDevRelを担っています。 デザインとセキュリティは普段話題が交わることが少ない領域ですが、UI/UXのデザインであればソフトウェア開発と不可分であることは間違いなく、すなわちデザインもセキュリティに無自覚ではいられないでしょう。 そのような観点で、本記事では「パスキー(Passkey)」を取り上げてみようと思います。 本記事は「パスキー」「FIDO」「WebAuthn」といったキーワードに関して以下のような認識を持っている方向けの記事です。 名前も知らない / 聞いたことがない 聞いたことはあるが、ほとんど理解していない はじめに パスキーをなぜ今知るべきか
はじめまして、株式会社Luup SREチームに所属しています、ぐりもお(@gr1m0h)です。 Nobl9社が主催する SLOconf というSLO(サービスレベル目標)にフォーカスしたカンファレンスのローカルなコミュニティーイベント、SLOconf Tokyo 2023 に登壇しました。このイベントは、Googleの渋谷オフィスで 5/16 に開催されました。 発表資料は以下になります。 はじめてのオフライン登壇でした。これについては個人のブログに記載しています。 この記事は登壇内容についての詳細になります。 資料を読めば良いというのはあるのですが、口頭で話した部分は資料から読み取れないのでこのブログで補足していきます。 はじめに はじめに、何故このテーマで話すに至ったのか簡単に書いてみます。主題ではないのでこの項は読み飛ばしていただいても構いません。 現在LuupのSREチームではSL
海外提供が禁止される重要データの規定は判然としない[中国・中央アジアサミットに参加した習近平国家主席=2023年5月18日、陝西省西安](C)AFP=時事 研究者やビジネス界が中国の「データ」を利用できない事態が広がっている。企業情報や学術論文が集約された主要データベースが相次いで海外からアクセスできなくなった背景には、重要データの域外移転に対する監視強化が影響していると考えられる。デジタルを前提とした制度や情報のオープン化でリープフロッグを実現してきた中国だが、データ安全保障の迷走は外国企業の活動にも大きな影響を与えかねない。 「この分野の研究を一時中止しようかと考えている」 先日、講演会で一緒になった中国経済の専門家から意外な言葉を聞いた。同氏は、ある重要産業分野における政府系ファンドについて、具体的にどのような企業に投資しているかを調査していた。その際のツールとして重宝していたのが企
フリーランスのWebエンジニアとして仕事をする上で、いつも気をつけていたことをつらつらと書いてみます。 フリーランスやっている人、興味ある人の参考になれば。 ※情報商材みたいなタイトルになったけど中身は真面目(多分) ※(一行だけ宣伝)今はSALESCOREでCTOやってます!積極採用中です!自分に興味もっていただけた方、お気軽にご連絡ください! 自分についての情報フリーランスのWebエンジニアを2年半 当時はRails, Vue.js, Reactがメイン(2018-2020) 情報系の大学院 → メガベンチャー2年 → スタートアップ2年からの独立 今はSALESCOREのCTO 単価は相場の最高額くらい お金の話あんまりしたくないが、みんな興味あると思うので一応 一度お世話になったFindy Freelanceさんの募集を数年ウォッチして、自分がFindyさんで受けた案件が頭を抜けて
「新NISAは絶対得だからやるべき」なんてムードが蔓延している。何がどう有利なのか解説している人も多い。「なんだかよくわからないけど、みんなやったほうがいいと言うからやるべきなのかな?」ぐらいに思っている人もいるんじゃないか。 新NISAはただの非課税制度で、絶対儲かる話とか得する話ではない。中身はこれまでと同じ株であり投資信託だから、失敗すると当然損する。そのへんのことをちゃんと理解している人もいれば、あまりよくわかっていない人もきっといる。新NISAを活用するにしても、結局は投資をうまくやらないと失敗する。 NISAは非課税制度だから、政府の税収を減らす政策ということになる。また、現行のつみたてNISA(および新NISAのつみたて枠)は、手数料の安い投資信託だけが対象となっている。安いものが広まったところで、銀行や証券会社の旨味は少ない。なぜわざわざそんな制度を作ったのか?結局誰が得を
題名に「CDN」と書きましたが、いわゆる「エッジ」のことです。オリジンありきなのであえてCDNと呼びました。とはいえ、オリジン自身がエッジにある可能性もあります。 メタフレームワークを作る Sonikというメタフレームワークを作っています。まだDevステージなんでどんなことができるか可能性を探っている最中です。 このフレームワークの特徴はとにかくエッジファーストです。 SSRしたバンドルの大きさを極力小さくする。 Islandsアーキテクチャを採用する。 DenoのFreshを参考にする。 CloudflareのBindingsを扱いやすくする。 Honoの上に乗せる。 とりあえずStreamingはサポートしない。 で、こういうのを作っていると、フレームワークは最小限にして、Core Web Vitalsのスコアを上げるために身を削る最後の部分はCDNに任せてしまった方がいいってことです
本記事は、TechFeed Experts Night#17 〜 事例で学ぶSRE 〜 ツール、プラクティスから組織づくりまでのセッション書き起こし記事になります。 イベントページのタイムテーブルから、その他のセッションに関する記事もお読み頂けますので、一度アクセスしてみてください。 本セッションの登壇者 セッション動画 面白法人カヤックでSREをしています、藤原俊一郎(Twitter: @fujiwara)です。個人的な活動として、ecspresso(Amazon ECSのデプロイツール)やlambroll(AWS Lambdaのデプロイツール)を作ったり、先ほどのセッションで登壇された馬場さんと共著で達人が教えるWebパフォーマンスチューニング(通称「ISUCON本」)を出版したりしています。 SRE不在のチームに加わった背景 SREが不在だったチームの例として、弊社のSMOUTという
先ず、ご質問にコンパクトにお答えしましょう。 ある銘柄の集合の部分集合を取った時に、ある期間においてリターンが優れていることはよくあります。部分集合は銘柄数が減るので、リスクは低くならない場合が多かろうと思われますが、ある期間(例えば過去30年)を取った時に、リターンが高くて同時にリスクが低い部分集合が見つかることは十分あり得ます。世界株に対して、米国の大型株を代表するS&P500が過去にそのような部分集合であった可能性は十分あり得ます。 500銘柄もあれば分散投資は十分だし、一般に大型株は小型株よりもリターン変動がマイルドなので、米国の時価総額の大きな企業が好調だった過去30年間に、S&P500がそのような「好調な部分集合」だった可能性はデータ上大いにあり得ます。 データの解釈としては、それだけのことです。 さて、質問者に対して、私は何の悪意も意地悪な感情も持っていませんが、このご質問の
社会保険労務士(社労士)向けクラウドサービス「社労夢」などを手掛けるエムケイシステム(大阪市)が、ランサムウェア攻撃の被害を発表してから13日が経過した。19日時点で完全復旧の発表はない。サービスを導入する社労士法人や民間企業からは、情報漏えいにつながった可能性の発表も相次いでいる。 エムケイシステムによれば、ランサムウェア攻撃の影響によって、社労夢や人事労務向けサービス「DirectHR」など8サービスが5日から利用しにくい状態という。同社は9日、サーバのトラブルは解消済みで、10日午前10時までに全データの復元を済ませると発表していた。しかし実際は、10日以降もサービスが使いにくいままという声がユーザーから相次いでいる。
ウェブをますます暗い森にし、人間の能力を増強する新しい仲間としての生成AI 2023.06.19 Updated by yomoyomo on June 19, 2023, 16:16 pm JST 少し前に佐々木俊尚氏の「オープンなウェブ世界とジェネレーティブAIの終わりなき戦いが始まる」という記事を読みました。自分の電子書籍に『もうすぐ絶滅するという開かれたウェブについて』というタイトルをつけたワタシ的にも、オープンなウェブが生成AIに脅かされるという話は興味があるのですが、今年はじめに読んだ、Oughtでプロダクトデザイナーを務めるマギー・アップルトンの「拡大する暗い森と生成AI」を思い出しました。 昨今この分野は動きが速く、半年前の文章でも随分昔に思えたりするものですが、都合良いことに、4月にトロントで開催されたCausal Islandsカンファレンスでマギー・アップルトンが「拡
はてな民にとって、すでに常識となった「睡運瞑菜」。言葉の通り、これは四つの生活習慣の総称である。 「睡」:十分な睡眠 「運」:適度な運動 「瞑」:瞑想による心の休息 「菜」:1日350グラム以上の野菜の摂取宣教師の際立った存在感のおかげでネタとして消費されがちであるが、これらが現代の厳しいストレス社会を生き抜くために極めて効果的であることに疑いの余地はない。 一方で、これら全てを実践することが容易ではないこともまた事実である。 ここでは、私がいかにして「睡運瞑菜」を実践してきたのかについて話したい。 「睡」:十分な睡眠疲れを取るのに必要な睡眠時間には個人差がある。 私個人は比較的ロングスリーパーであり、経験的には、少なくとも8時間の睡眠が確保できなければ明らかに仕事の能率が低下する。過去に1日6時間睡眠を続けた時期もあるが、金曜日には体力を消耗しきってしまい、まともに仕事ができない状況にな
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く