2021年に開催された東京オリンピック・パラリンピックでは、大会に向け様々なサイバーセキュリティ対策が行われた事をご存知の方も多いかと思います。 そのような中、弊社は、内閣サイバーセキュリティセンター（NISC）が実施した大会会場の制御システムに対するペネトレーションテスト1にテスト実施事業者として参加しました。本件はNISCのサイバー関連事業者グループのページにて、「主な施策　1.リスクマネジメントの促進 大規模国際イベントにおけるサイバーセキュリティ対策 競技会場に対するペネトレーションテスト結果の事例の情報共有　〜東京オリンピック・パラリンピック競技大会の取組から得られた知見の活用〜」として紹介されています。ペネトレーションテストでは、初期侵入から被害発生までの一連の攻撃シナリオを仮定し、運用中のシステムに対し様々な攻撃手法を用いて実際に被害が起こり得るかを検証しました。 ペネトレー

定期的に更新・追加していきます。 セキュリティガイドライン、フレームワーク集 サイバーセキュリティガイドラインやフレームワーク等を参照することは、自組織でのセキュリティステータスを把握し、実際にセキュリティ施策を打つうえで非常に重要となります。 ただ、これらの文書の要件を満たすような施策を実施するためには、 1. 自組織が適用（組織・技術的に対策）したい各種ガイドラインやフレームワーク等を選定する 2. これら文書における抽象的な要件を具体的な要件へ落とし込む 3. 具体的な要件を満たすために最適なセキュリティ策を実施する のような流れを踏む必要があります。 2、3についてはセキュリティ策や技術動向に精通したセキュリティ専門家による対応が求められますが、1については自組織が目指す目的に依存するため専門家の手を借りずともある程度は対応することができます。 また、業界や技術等の軸で存在感のある

Hello there, ('ω')ノ 下記は、Webアプリケーションの脆弱性診断をするための。 一般的なガイドラインを概要レベルでまとめたもので。 当然のことながら常に更新されるもので。 企業として自信をもってサービスを提供しているのであれば。 この程度の方法論については、十分に理解しておくべきレベルかと。 1 アプリケーションのコンテンツをマッピング 1.1 目に見えるコンテンツの探索 1.2 パブリックリソースの参照 1.3 隠しコンテンツの発見 1.4 デフォルトコンテンツの検出 1.5 識別子で指定された関数の列挙 1.6 デバッグパラメータのテスト 2 アプリケーションの分析 2.1 機能の特定 2.2 データ入力ポイントの特定 2.3 使用されているテクノロジーの特定 2.4 攻撃対象領域をマッピング 3 クライアント側のコントロールのテスト 3.1 クライアント経由のデータ

はじめに はじめまして。完全に出オチ感はありますが2024年3月にOffSec社が主催するOSCPに合格したので、その軌跡をこれから受験する方々に向けて参考にしてもらえればなと記事を書きたいと思います。 偉大なる先人の方々が分かりやすくまとめてくださっておりますので色々と省略しているところもありますがぜひ参考になさってください。 OSCPってなに？ OSCPはOffSec Certified Professionalの略で、ペネトレーションテストに関する技能を認定する資格です。 ここでは大きな特徴として以下の２点を軽く説明します。 実技試験 IPAや大手ベンダー系の資格のような４択や記述式の問題はなく完全な実技試験であるのが特徴です。 脆弱なマシンに対して試験時間内に調査～権限昇格を実施し管理者権限を取得するというシンプルな内容です。 故に丸暗記では通用せず根本的な理解や発想力が必要になり

DevLOVE X Day1 C-5のセッションです。 ITの活用範囲の広がりとともに、費用・品質よりもデリバリを優先するプロジェクトも増えてきました。しかし「しっかり考えるよりも、作ってリリースしちゃおうぜ、正解なんて誰にも分からないんだから」というマントラを唱えながら、返済見込みの立たない大量の技術的負債を抱える。それが最善の選択なのか、もう少しだけ立ち止まって考えてみませんか? YAGNIという言葉を便利に使いすぎてはいませんか? コードを書きなぐるのと、ちょっと考えて設計して作るのとで、そんなに開発スピードに違いがありますか? 考えてみたいと思います。

「AWS環境のセキュリティが不安だ…」そんな方にはセキュリティチェック！AWSでは定量的にチェックすることができる機能があります。いくつかあるので長短などを説明しつつ私が思う最強のセキュリティチェックを伝授します！ こんにちは、臼田です。 みなさん、AWS環境のセキュリティチェックしてますか？(挨拶 全国のAWSのセキュリティについて悩んでいるみなさまのために、今回は僕の考える最強のAWS環境セキュリティチェックについて情報をまとめ・伝授します。 初心者向けに、比較的AWSの経験が浅くても始めやすいように、かつ上級者が応用するために活用できる情報もぜんぶまとめていきます。 この記事は2020年の決定版となるでしょう！(それ　いいすぎ。 ながーくなってしまったので最初は適宜飛ばして読むといいかもしれません。 AWS環境のセキュリティチェックの意義 AWS環境でセキュリティチェックをすることは

グーグルで最速仕事術「スプリント（デザインスプリント）」を生み出し、世界の企業の働き方に革命を起こしてきた著者が、今度は、時間を最大限に有効に使うメソッドを生み出した。それをまとめたのが『時間術大全──人生が本当に変わる「87の時間ワザ」』（ジェイク・ナップ、ジョン・ゼラツキー著、櫻井祐子訳、ダイヤモンド社）だ。同書はたちまちのうちに話題となり、世界16カ国で刊行が決まっている。 著者のジェイク・ナップはグーグルで、ジョン・ゼラツキーはユーチューブで、長年、人の目を「1分、1秒」でも多く引きつける仕組みを研究し続けてきた「依存のプロ」だ。 そんな人間心理のメカニズムを知り尽くした2人だからこそ、同書の時間術はユニークかつ、きわめて本質を突いている。「人間の『意志力』などほとんど役に立たない」という、徹底して冷めた現実的な視点からすべてが組み立てられているのだ。 さらに、「いくら生産性を上げ

はじめに X.509 証明書について解説します。(English version is here → "Illustrated X.509 Certificate") ※ この記事は 2020 年 7 月 1 日にオンラインで開催された Authlete 社主催の『OAuth/OIDC 勉強会【クライアント認証編】』の一部を文書化したものです。勉強会の動画は公開しており、X.509 証明書については『#4 X.509 証明書（１）』と『#5 X.509 証明書（２）』で解説しているので、動画解説のほうがお好みであればそちらをご参照ください。 1. デジタル署名（前提知識） この記事を読んでいただくにあたり、デジタル署名に関する知識が必要となります。つまり、「秘密鍵を用いて生成された署名を公開鍵で検証することにより」、「対象データが改竄されていないこと」や「秘密鍵の保持者が確かに署名したこと

AmazonのクラウドサービスであるAWSは、コンピューティングやデータベース、ストレージなど、膨大で複雑なサービスで構成されています。こうした豊富なサービス群をうまく組み合わせて利用する「ビルディングブロック」がAWSのメリットでもありますが、サービス数が多すぎてなかなか全体像を把握できないのも事実。フリーランスのエンジニアでありコンサルタントでもあるジョシュア・テイセン氏が自身のブログで、AWSのすべてのサービスを「たった1行」で説明しています。 Amazon Web Services https://adayinthelifeof.nl/2020/05/20/aws.html テイセン氏によると、Amazon Dashboardから利用可能なAWSのサービスは記事作成時点で163あるとのこと。そのすべてを正確に理解する必要はありませんが、基本を押さえておくことはいいことであり、問題の

英語の技術文書を早く読むにはどうしたらいいでしょうか。 注意: この記事の目的は「技術文書について」「早く大意を読み取る」ことを目的としています。 技術文書でないもの，例えば，小説や詩には当てはまりません。 技術文書を読む場合でも，例えば，「論文を批判的に読むとき」や「扱いが悪いと故障する可能性のあるハードウェアのマニュアルを読むとき」には精読すべきですので，この記事は当てはまりません。 頻出英単語を覚える もし「英語の技術文書を早く読みたい！」と悩んでいるとしたら，多くの場合，英語の技術文書を読むのに，英単語をほぼ全て辞書を引いている，という状況だったりするのではないでしょうか？ もしそうでしたら，正攻法となる主な対策は，頻出英単語を覚えるということだと思います。 例えば英語で書かれた論文があったとします。聞いたところによると， 70%は頻出英単語トップ1500(だったと思います。うろ覚

JavaScriptの非同期処理Promise、AsyncとAwaitの仕組みをGIFアニメで解説した記事を紹介します。 ⭐️🎀 JavaScript Visualized: Promises & Async/Await by Lydia Hallie 下記は各ポイントを意訳したものです。 ※当ブログでの翻訳記事は、元サイト様にライセンスを得て翻訳しています。 はじめに コールバック地獄 Promiseの構文 イベントループ: Microtasksと(Macro)tasks AsyncとAwait はじめに JavaScriptのコードが期待通りに実行されないことに悩まされたことはないですか？ おそらく、関数が不規則に実行されたり、予測できないタイミングで実行されたり、実行が遅れたりしたことがあるかもしれません。そして、ES6で導入された新機能Promiseが原因かもしれません！ 何年も

「プログラミングスクールってどう思いますか」への、個人的な回答メモ。 LINEのウェブ制作系のオープンチャットで、 「おすすめのプログラミングスクールはありますか？」 「エンジニアに転職したいです。何からやればいいですか？」 「おすすめの勉強方法を教えてください」 など、プログラミング未経験の方によるこの質問から始まって、独学の方法についての意見交換が始まる展開を何度か見ている 初心者なのに数十万かけてスクールに通おうとしている人が多かったのが意外だったので、個人的な考えを長文でまとめたものである。 「リモート研修中にクビになった法政大の〜」という記事を見て、既視感があったので増田に貼る。 昨今のコロナ以前に書いたので、コミュニティの利用方法は若干今の現実と即してないと思う。 この文章は、ある程度の本音と持論を語るために、あえて冗長な長い文章の形式をとっている。 なぜならば世間一般の「エン

ちょうど1年前ぐらいにTweetした以下の件、 この前、感心した子どもによるWebでのお金稼ぎがあったので、今度、ブログで紹介します。 レモネードを売るよりも手軽で、日本国内在住で、携帯電話（スマホ）があるなら、たぶん、ほとんどの子どもがやろうと思えばできるお金稼ぎ。 もちろん、親の協力は前提。Webサービスの大半は未成年は利用不可。 — 斗比主閲子 (@topisyu) 2019年3月5日 我が家でも検証が終わったので書きます。 結論から書くと、メルカリを使って子どもに飽きた玩具を売ってもらうというお金稼ぎです。 きっかけ 私はメルカリで、評価の悪い出品者・購入者を芋づる式に辿っていって、その人達のプロフィール情報からヤバさを推測する遊びを暇潰しにしていました。ヤフオク！でも20年ぐらい前に同様の遊びをしていたので、昔取った杵柄みたいなものですね。 それで、たくさんの人のプロフィール欄を

Intro 脆弱性の原因となる DOM 操作の代表例として elem.innerHTML や location.href などが既に知られている。 こうした操作対象(sink) に対して、文字列ベースの代入処理を行う際に、一律して検証をかけることができれば、脆弱性の発見や防止に役立つだろう。 そこで処理前の文字列に対し、処理後の文字列を安全であるとして明示的に型付ける TrustedTypes という提案がされている。 まだ未解決の部分が多い提案だが、現時点での仕様と実装を元に、このアイデアについて解説する。 WICG/trusted-types Intent to Experiment: Trusted Types Sink XSS などの原因となる DOM 操作として、 DOM に直接文字列を展開する処理がある。 element.innerHTML location.href scri

https://b.hatena.ne.jp/entry/s/japanese.engadget.com/jp-2020-02-08-ota.html ブコメでも「販売店がインフォテインメントを初期化し忘れたのかな?」なんて牧歌的なコメントが見られるので解説しておく。もっと邪悪なことが行われている。 三行でテスラはネット接続のナビにログインしないと使えない。 ナビの機能で車の動作や性能を遠隔で動作、追加、削除、ロックできる。 それを利用して中古車の市場価値を落とす行為が行われた。 構造はどうなっているのかドライバーが車に近寄って、カードキーかリモコンキーで車を開錠する(機械的な鍵穴は一切無い)と、普通の車なら車のセキュリティ装置とキーが相互に認証して終わりだが、テスラの場合は、そこから車がマイテスラアカウントにログインする。全てのテスラ車はマイテスラアカウントに紐づけられていて、必ずSIM

もし、あなたが、次のようなことをしているのであれば、これは大いに反省すべきだ。 自分たちの「できること」でしか解決策を示そうとしない。 機能や性能については説明できるが経営や事業の成果にどのような貢献ができるのか説明できない。 これからのテクノロジーやその可能性について分かりやすく説明できない。 お客様が新しい方法論や見積を求めても旧来のやり方で提案しようとする。 新しい方法論やテクノロジーの適用を求めると保証できない、実績がない、時期尚早などのネガティブ・ワードで翻意を迫る。 やがて、お客様から愛想を尽かされてしまうだろう。 工数の需要がなくなるわけではない。ただ、作業工数に応じた労働力に対価を支払うというやり方は、自動化ツールやクラウド・サービスとの競合や人口の減少と相まって、そこでの収益の拡大を期待することができなくなる。 また、工数需要そのものの内容が変わる。例えば、「コードを書く

TL;DR ひとくちにバッチといっても色々ある 夜間バッチをもう作るな オンラインバッチはSQL以前にDB設計がんばれ はじめに Twitterのタイムラインで以下のようなツイートが回ってきました。 バッチ処理をみんな舐めてかかったり、ショボイとか思ってる人多い印象なんだけれども、数十万～数千万件規模のデータを処理したことあるのかな。テンプレ通りのコードじゃ動かないよ？ネットに本にも答え載ってないよ？低レイヤも意識しないと動かないよ？ 2020年1月10日 ツイートされたわだっしーさんの意図がどこにあるかは確認してないですが、極限の世界でテンプレート的な処理では対応出来ないのはあるよな、と思いつつもある程度はバッチの作法としての書き方があると思っています。 このツイートとその関連ツイートを読みながら、そういえばバッチ処理に関して書いてある記事はあまり見ないなぁ、とおもったので他のネットや本