AWS システム構築 非機能要件ヒアリングシートを公開してみた | DevelopersIO
こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きなネクストモード株式会社の吉井 亮です。 日本国内においても多くのシステムがクラウド上で稼働していることと思います。 俊敏性、拡張性、従量課金、IaS、セキュリティなどクラウドのメリットを享受しやすい所謂 SoE で多くの実績があるように感じます。 ここ1~2年は、社内基幹システム・情報システム、SoR 系のシステムのクラウド移行が本格化してきたというのが肌感覚であります。 クラウドでのシステムインフラ構築は従来のようにゼロから非機能要件定義を行っていくものではなく、ベストプラクティスをまず実装して少しずつ微調整を行っていくものと考えています。とはいえ、システムごとの要件は予め明らかにしておくことがインフラ構築においても重要になります。 クラウド上では出来ること出来ないこと
ぼく「何度も聞かれるのでZOOMの”安全な設定"まとめ教えます」【待機室,2要素認証など】 - Qiita
関連記事 ■急にZOOMを使うことになったあなたへ送るZOOMの基本的な使い方マニュアル →使い方わからない人には「これ見ろ!」と言って渡してください。そういうのなかったので作りました。 結論 ・ランダムパスワード生成 ・URLにパスワードを埋め込まない ・待機室を有効にする ・2要素認証(2ステップ検証)設定する(管理者権限必要) ・参加者へのZOOMアカウントログイン強制 ※設定画面はブラウザからを前提にしています。 ほんとは調べてほしい かえるくん「なぁ,会社でZOOM使い始めてんけど,なんかいろいろまずいらしいな」 ぼく「あー,ね。」 かえる「なんかGoogle検索でURLヒットするらしいな」 ぼく「まぁ,ね。」 かえる「色々調べたけど,SkypeとかTeamsの方がええらしいな」 ぼく「うーん...」(こいつ調べてないやん) かえる「でも切り替え面倒やしZOOMの方がみんな使っと
Chrome 80が密かに呼び寄せる地獄 ~ SameSite属性のデフォルト変更を調べてみた - Qiita
Chrome 79以下や他ブラウザのデフォルト値。 Chrome 80からこの値を設定する場合、Secure属性も必須となる。 Aサイトに対し、Bサイトからどのようなリクエストがあっても、発行したサイトでCookieヘッダーに含める (Cookieを使用する) 図にすると以下のようになります。 Strict 外部サイトからのアクセスではCookieを送らない。 Lax 外部サイトからのアクセスはGETリクエストのときだけCookieを送る。 None 従来通りの動き。 【追記】なおChrome 80以降でSecure属性を付けずSameSite=Noneを指定した場合、set-cookie自体が無効になります。 セキュリティ上の効果 CSRF対策になります。 CSRF (クロスサイト・リクエスト・フォージェリ) とは、 WEBサイトがユーザー本人の意図した動作であることを検証していないため
Zoom爆撃と予防策についてまとめてみた - piyolog
COVID-19のパンデミックを受け、教育機関や企業などでリモート会議(イベント)を導入する動きが強まり、Web会議サービスを提供するZoomでは(有料・無料併せた)会議参会者は昨年12月末の1000万人から3月には2億人を超える人数が利用しており、それに合わせて複数の問題も確認されています。ここではその中でZoom爆撃ともいわれるZoomミーティングを狙った荒らし行為についてまとめます。 Zoomを狙った荒らしの発生 Zoomで行われるミーティングで本来参加を想定していない第三者が参加し行う荒らし行為(Zoombombing、Zoom爆撃)が発生している。 荒らし行為を通じてミーティングやイベント進行に支障が生じ、中断につながる恐れがある。 海外でZoomBombingによる被害報告が複数取り上げられている。公序良俗に反する内容(ポルノなど)を画面共有したり、ヘイトスピーチ等でチャットを
逃げなかった先人たち 過去のインシデントの「後始末」を振り返る
サイバー攻撃やITに関係する事件が、日々世間を賑(にぎ)わせています。多くの場合、それは報道という形で私たちの耳に入ってくるわけですが、次から次に報じられる新しいニュースに流され、どんな大きな事件もいつの間にか忘れられてしまいがちです。 つらい事件の記憶が薄れるのは、ある意味では正しいのかもしれません。しかし、事件から得た教訓まで忘れてしまってはいけません。そこで今回は、皆さんもきっと名前だけは覚えているであろう過去の事件と、事件が世間の記憶から消えそうになる頃に発表された「報告書」に着目したいと思います。 「標的型攻撃」の典型例となった、日本年金機構の不正アクセス問題 まずは2015年5月に明るみに出た、日本年金機構のインシデントから見ていきましょう。日本年金機構のネットワーク内にマルウェア「Emdivi」が侵入し、遠隔操作が行われた事件です。この事件は「職員が自分宛てに届いたメールの不
AWSを使うときに確認すべき52のセキュリティチェック項目と15分でできる簡単なチェックの方法|DevelopersIO
はじめに 自分が使っているAWS環境のセキュリティに問題がないかと心配になることはないでしょうか?私はよくあります。そこでCIS Amazon Web Service Foundations Benchmark というAWSのセキュリティのガイドラインに沿って使っているAWSアカウントのセキュリティの状況をチェックしてみました。チェック項目は全部で52あります。内容を一通り確認したところ知らなかったAWSのセキュリティの機能やノウハウを知ることができ、見ただけでもとても勉強になりました。簡単にチェックする方法も併せて紹介しますのでぜひ使っているAWS環境でチェックしてみてください。 1 IAM 1.1 rootアカウントを利用しない rootアカウントは強力な権限を持つため、rootアカウントを利用せずIAMユーザーを利用してください。通常運用でrootアカウントが利用されていないか確認し
CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blog
本日コーポレートサイトでお知らせした通り、Web版のメルカリにおいて一部のお客さまの個人情報が他者から閲覧できる状態になっていたことが判明しました。原因はすでに判明して修正が完了しております。また、個人情報を閲覧された可能性のあるお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡させていただきました。 お客さまの大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げます。 本エントリでは技術的観点から詳細をお伝えさせていただきます。 2017年6月27日 CDNのキャッシュの動作について、CDNプロバイダと仕様について確認し検証を行いました。その結果一部記述に実際と異なる箇所があり、加筆修正いたしました。 概要 メルカリWeb版のコンテンツキャッシュをしているCDNのプロバイダ切り替えを行いました。 その際本来キャッシュされるべきでない
Web開発者が恐らく知らない、SSLについて知っておくべきこと | POSTD
2015年、Web開発者は以前よりもSSLに関する理解を深めています。そうしたWeb開発者たちがHacker Newsを読むなら知っておくべきことを以下に挙げてみます。 ドメイン認証(DV)証明書は Let’s Encrypt から無料で取得することが可能。 拡張認証(EV)証明書 は CertSimple かいくつかのチェックののちの支払いで取得することが可能。これが我々のやり方。 Mozilla SSL Config Generator を使用すれば、サポートしたいブラウザに対して、サーバを可能な限り安全に設定することが可能。 完了後に SSL Labs を使って全てをチェックし、A評価獲得を確認しましょう。そうでなければ人に小言を言われます。 その他はどうでしょうか。我々の顧客から寄せられる最も多い質問について、回答を紹介していきましょう。 1. Chromeで”古い暗号スイート”を
ssig33.com - よく分からない人のためのセキュリティ
いろいろと原則論はあるんですが。昨今のアプリケーションは複雑化し、扱う情報はよりセンシティブになり、そしてより幅広く使われるようになっています。よって「安全な」アプリケーションを作るために必要な知識はますます増える傾向にあります。 よく分かってない人は以下のことにとりあえず気をつけましょう 1. なるべく自分で作らない これは最も重要なことです。検索する、他人に聞く、自分で考えない。これは重要です。大抵の問題は他人が作ってくれた解決策を適用できます。 例えばセキュアな問合せフォームを作ることにしましょう。気をつけるべきことは以下のことぐらいでしょうか。 送信内容の確認画面を表示する場合、ユーザーの入力した値は適切にエスケープするように 送信内容をアプリケーションの DB に格納する場合には SQL インジェクションを防がなければならないので、プリペアドステートメントを用いる CSRF 対策
iPhoneひとすじ! かみあぷ速報
どうも、じんないたくみです。 あなたが今手に持っているiPhoneには友人の個人情報や各種サービスのパスワード、クレジットカード情報など、重要な情報がたくさん保存されています。 そこで、かみあぷではiPhoneでできるセキュリティ対策を可能な限りまとめました。これさえチェックすればiPhoneのセキュリティはバッチリです! 早速見ていきましょう。 早速ひとつ目からチェックしていきましょう。 1.ロック画面でコントロールセンターを使えないようにする ロック画面でコントロールセンターにアクセスできてしまうと、第三者があなたのiPhoneを入手した際に「フライトモード」をオンにすることができてしまいます。 フライトモードをオンにされると「iPhoneを探す」が使えなくなってしまうので、アクセスできないように設定しておきましょう。 「設定」→「コントロールセンター」→「ロック画面でのアクセス」をオ
HTTPS をランキング シグナルに使用します
+1 ボタン 2 AMP 11 API 3 App Indexing 8 CAPTCHA 1 Chrome 2 First Click Free 1 Google アシスタント 1 Google ニュース 1 Google プレイス 2 Javascript 1 Lighthouse 4 Merchant Center 8 NoHacked 4 PageSpeed Insights 1 reCAPTCHA v3 1 Search Console 101 speed 1 イベント 25 ウェブマスターガイドライン 57 ウェブマスタークイズ 2 ウェブマスターツール 83 ウェブマスターフォーラム 10 オートコンプリート 1 お知らせ 69 クロールとインデックス 75 サイトクリニック 4 サイトマップ 15 しごと検索 1 スマートフォン 11 セーフブラウジング 5 セキュリティ 1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA-安全なウェブサイトの作り方2021年改訂第7版.pdf