タグ

関連タグで絞り込む (39)

タグの絞り込みを解除

securityに関するkeisuke_yamaneのブックマーク (323)

  • 脅威から組織を守る「ゼロトラストネットワーク」を概観|Masaya.Mori 森正弥 / Chief AI Officer

    ITインフラテクノロジーAWARD2020年12月、毎年恒例の「ITインフラテクノロジーAWARD 2021」の審査会が行われ、2021年にブレークするインフラ技術は何かを議論いたしました。私以外の審査員の方は、野村総合研究所(NRI)の石田裕三さん、ウルシステムズの漆原茂さん、国立情報学研究所(NII)の佐藤一郎先生、Publickeyの新野淳一さんです。 様々な技術が候補にあがり、熱い議論の結果、ゼロトラストネットワークをグランプリに選びました。この記事では、この「ゼロトラスト」について解説してみたいと思います。 ゼロトラストネットワーク ゼロトラストネットワークは、2010年に Forrester Research のプリンシパルアナリストだったJohn Kindervag氏が提唱し始めた概念です。Google は2011年の時点で、ゼロトラストモデルの導入が必要と判断し、2014年

    脅威から組織を守る「ゼロトラストネットワーク」を概観|Masaya.Mori 森正弥 / Chief AI Officer

  • 米上水道管理システムにハッカー侵入、NaOH濃度 一時100倍超に

    コップに注がれる水道水。米首都ワシントンで(2019年8月19日撮影、資料写真)。(c)Alastair Pike / AFP 【2月9日 AFP】米フロリダ州タンパ(Tampa)近郊オールドスマー(Oldsmar)で5日午後、上水道管理システムに正体不明のハッカーが侵入し、人体に害を及ぼす恐れのある水酸化ナトリウムの濃度が一時的に通常の100倍以上にされていたことが分かった。現地の保安官事務所が8日、発表した。 同州ピネラス(Pinellas)郡のボブ・グアルティエーリ(Bob Gualtieri)保安官は、侵入はすぐ検知され、濃度が元に戻されたため、住民が実際に危険にさらされることはなかったが、米国のインフラに対するサイバー攻撃の脅威が改めて示されたと述べた。 同保安官によると、オールドスマーの給水処理施設のコンピューターオペレーターが5日午後、何者かが同施設の管制室にリモートでアクセ

    米上水道管理システムにハッカー侵入、NaOH濃度 一時100倍超に

  • GitHubは禁止するべき? ソースコード流出事件から考える情報資産の守り方

    TL;DR GitHubのアクセス自体を禁止してもセキュリティリスクは高いまま 仮にやるならGitHubのPushだけを禁止するようなツールを使わないと意味がない GitHubでコード管理したいならアカウント管理や情報分類などの運用を組み立てよう はじめに 先日、大手銀行などのソースコードがGitHubを経由して漏れる、というキーワードが話題になりました。 そもそもGitHubってなによ? って方はこちらの四コマが分かりやすいです。 これだけ聞くと相当問題のようにも聞こえますが、別にGitHubの脆弱性を突かれたたとかではなく派遣業者の社給PCないしはそこを経由した私物のPCからGitHubにPushされたという良くある情報流出ですね。なお、幸いにも重要なコードは含まれていなかったようです。 幸か不幸かこのエンジニアGitHubに不慣れだったので非公開ではなく公開設定にしていたため、SN

    GitHubは禁止するべき? ソースコード流出事件から考える情報資産の守り方

  • 「ゼロトラストネットワーク」を読んだので要約する - Qiita

    目的 少しずつ実際のソリューションが登場しつつあるゼロトラストネットワークについて、その成り立ちや設計思想、セキュリティの構成や実運用の課題について解説された「ゼロトラストネットワーク」の要約をしてみます。 特に、組織のネットワーク構築や運用を担当する情報システム部門の担当であれば、今後のネットワークの在り方を考える上で指針になる一冊だと思います。 https://www.oreilly.co.jp/books/9784873118888/ ゼロトラストネットワークの成り立ちと概要 1967年まで遡り、主に軍事・学術目的で通信するために、各ノードがパケットを交換しあうARPANETというネットワーク設計が考案されました。今のインターネットの前身です。 設立した当初はネットワーク上のノードの身元がほとんど判別できる状態だったので情報の漏えいや改ざんを気にする必要がなかったのですが、ネットワー

    「ゼロトラストネットワーク」を読んだので要約する - Qiita

  • SolarWindsのサプライチェーン攻撃についてまとめてみた - piyolog

    2020年12月13日、IT管理ソフトやリモート監視ツールの開発を行うSolarWindsは同社が開発するOrion Platformにバックドアが含まれていたことを公表しました。同社の製品は米国の多数の政府機関、企業で導入されていたため影響範囲が広く、またFireEyeが12月8日に発表した不正アクセス事案との関連があったことから米国を中心に大きな注目を浴びる事案となっています。ここでは関連する情報をまとめます。 1.何が起きたの? FireEyeが受けた不正アクセスの手口が明らかになり、米政府機関など多数の組織にも影響が及ぶキャンペーンであったことが判明。 SolarWinds社Orion Platformの正規のアップデートを通じてバックドアが仕込まれた。資格情報窃取による侵害の手口が報告されている。 2020年3月からバックドアを使ったキャンペーンが開始され、アジアを含む世界中の組

    SolarWindsのサプライチェーン攻撃についてまとめてみた - piyolog

  • 「背筋が凍る」強力なサイバー兵器盗まれたファイア・アイ

    新型コロナウイルスの感染拡大が続く中、世界のいたるところでサイバー攻撃の被害も広がっている。 2020年12月7日には、スマホ決済サービスPayPayの加盟店を管理するシステムが不正アクセスを受けたと発表した。同社の公表資料によれば、最大で約2007万件の加盟店に関する情報が不正にアクセスされた可能性がある。 2000万件という数字に反応してしまうが、アメリカではさらに深刻な事案が起きた。 サイバーセキュリティ企業ファイア・アイ(FireEye)が翌12月8日、顧客企業の情報セキュリティのぜい弱性を評価するソフトが盗まれたと発表した。 同社は、大企業や政府機関を顧客として、サイバー攻撃への対策を提供している。9日付のBBCによれば、サイバーセキュリティ分野で最も急成長している企業の1社と言われている。 ファイア・アイは、名指しこそ避けたものの、攻撃者について「高度に洗練され、国家の支援を受

    「背筋が凍る」強力なサイバー兵器盗まれたファイア・アイ

  • OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife

    こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようになっていた 認証(Authentication)と認可(Authorization)は間違えやすいわりにミスると甚大な被害をもたらしがちなので、常日頃から意識を高めていきたいですね pic.twitter.com/oVQxBgZcHS— greenspa (@greenspa) 2020年9月28日 このbotに対する思うところはもう良いです。 今回は、「OAuthの仕様に沿ってID連携を実装するいわゆる"OAut

    OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife

  • AWSがネットワークファイアウォール「AWS Network Firewall」をリリース

    印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Amazon Web Services(AWS)が新たなセキュリティサービス「AWS Network Firewall」をリリースした。これは、AWSのセットアップやアーキテクチャーの可視性を高め、ネットワークセキュリティを強化するマネージドセキュリティサービスになる。 この新サービスは、AWSコンソールを介してAmazon Virtual Private Cloud(VPC)環境でイネーブルでき、AWSのワークロードとサーバー全体にネットワーク保護のレイヤーを自動で追加する。スケーラビリティーも高く、ネットワークトラフィックの増加に対応できる。 ルールエンジンはカスタマイズでき、CrowdStrike、FortinetTrend M

    AWSがネットワークファイアウォール「AWS Network Firewall」をリリース

  • パスワードの不要な世界はいかにして実現されるのか - FIDO2 と WebAuthn の基本を知る

    不正送金やアカウントの乗っ取りなど、パスワードが原因の事件が後を絶ちません。高齢者など、IT リテラシの低い人でも簡単かつ安全に自分のオンラインアカウントを管理できる世界が理想ですが、まずはパスワードの不要な世界を実現するのが先決であることは、これまでのインターネットの歴史で証明されたと言えるでしょう。そして、ここに来てパスワード不要なログインを実現する技術として注目されているのが FIDO (= Fast IDentity Online, 「ファイド」) です。そしてその FIDO をブラウザから利用できるようにするのが WebAuthn (= Web Authentication、「ウェブオースン」)。報道内容などからこれらは指紋認証を実現するもの、と思っている人もいらっしゃるかもしれませんが、実際にはちょっと違います。 WebAuthn に関しては、すでに数多くの記事が出ていますので

    パスワードの不要な世界はいかにして実現されるのか - FIDO2 と WebAuthn の基本を知る

  • 何をもって企業は「ゼロトラスト」を始められるのか――ゼロトラストアーキテクチャを構成する論理コンポーネント

    何をもって企業は「ゼロトラスト」を始められるのか――ゼロトラストアーキテクチャを構成する論理コンポーネント:働き方改革時代の「ゼロトラスト」セキュリティ(7) デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストアーキテクチャを構成する12の論理コンポーネントについて。 デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載『働き方改革時代の「ゼロトラスト」セキュリティ』。 ニューノーマル、テレワークといったキーワードとともに目にする機会の増えてきたゼロトラストについて、連載第5回からは、NIST(National Institute of Standards and Technology:米国立標準技術研究所)が発行したレポート「SP 800-207 Zero Trust Architectureを読み

    何をもって企業は「ゼロトラスト」を始められるのか――ゼロトラストアーキテクチャを構成する論理コンポーネント

  • GitHub、コードの脆弱性を検出する「Code Scanning」を全ユーザーに提供

    GitHubによると、新機能のCode Scanningは、「全てのプルリクエストやコミット、マージを分析し、脆弱なコードが作成されるとすぐにそれを認識して、脆弱性が番環境に入り込むのを防ぐのに役立つ」という。 脆弱性を検知すると、Code Scanningは開発者にコードの修正を促す。 Code Scanningの内部では、「CodeQL」が用いられている。CodeQLは、GitHubが2019年にコード分析基盤「Semmle」を買収し、そのプラットフォームに統合した技術だ。 CodeQLは、「code query language(コードクエリー言語)」の略で、大規模なコードベースの中から1つのセキュリティ脆弱性のさまざまなバージョンを検知するためのルールを作成できる汎用言語だ。 ユーザーにCode Scanningを利用してもらうため、GitHubセキュリティチームは2000を超

    GitHub、コードの脆弱性を検出する「Code Scanning」を全ユーザーに提供

  • SNS情報で国際的事件の謎を暴く「すご腕チーム」<ベリングキャットの衝撃(上) > | 欧州ニュースアラカルト | 八田浩輔 | 毎日新聞「政治プレミア」

    ベリングキャットを創設したエリオット・ヒギンスさん=英中部レスターで2019年10月7日、八田浩輔撮影 インターネット上の公開情報を分析し、国際的な事件や事故の経緯をいち早く解き明かす独立系の調査グループ「ベリングキャット」が注目を集めている。ポスト真実の時代に市民と共に切り開くインテリジェンス(諜報〈ちょうほう〉)の新時代を3回に分けて紹介する。 ウェブ情報を分析して政府機関を超える 英国のほぼ中央に位置する人口30万人の都市レスター。ベリングキャット代表のエリオット・ヒギンスさん(40)が個人のオフィスとして使う表札もない小部屋には、雑誌が1冊だけ置かれた机とキャビネット、2脚の椅子しかない。「シンプルな部屋ですね」。そう私が口にすると、ヒギンスさんは「物が多い部屋は好きじゃない」と笑い、ノートパソコンを手に取った。「これとインターネットがあれば調査はできます」 レスターに暮らす元ブロ

    SNS情報で国際的事件の謎を暴く「すご腕チーム」<ベリングキャットの衝撃(上) > | 欧州ニュースアラカルト | 八田浩輔 | 毎日新聞「政治プレミア」

  • 41歳のゲーマー、部屋から一歩も出ずに権力者の不都合な真実を暴く(高木 徹) @gendai_biz

    の状況は? 今回の取材対象は海外だったが、ひるがえって日の状況はどうだろうか? それは視聴者のみなさまに判断をお任せしたいが、自戒を込めて私自身が感じたのは、こうしたネットを通じた積極的な調査報道という分野は、日ではかなり遅れているのではないか、ということである。 インターネットと報道、という話になると、日で先行しているのは新しいネットの報道プラットフォームの興隆という印象を持っているが、それは調査報道などコンテンツの充実ではなく、いかに他人のふんどしで相撲を取るかという話をしているように感じられる。 あるいは、「ファクトチェック」といったことが実践されることもあり、それはもちろん素晴らしいが、このオープンソース・インベスティゲーションのように、もっと積極的に、権力が隠蔽する真実を暴く、という「スクープ」にこだわる調査報道の王道に新しい手法を取り入れていくことはできないのだろうか

    41歳のゲーマー、部屋から一歩も出ずに権力者の不都合な真実を暴く(高木 徹) @gendai_biz

  • べリングキャット: 公開情報からすべてを暴き出す新しいジャーナリズム

    要点オープンソースインテリジェンス(OSINT)を活用するべリングキャットは報道の新しい地平を切り開いた。バージニア州シャーロッツビルで反抗運動家を暴行した白人至上主義者を特定したり、イギリスのサリスベリーでロシアのスパイ仲間とその娘を殺そうとしたと疑われるロシアの諜報員の正体を暴いたりした。 OSINTの報道応用漏洩した文書や内部告発者へのインタビューは、常に調査ジャーナリズムの一部である。しかし、デジタル技術の台頭とそれに伴うデータの容易な利用可能性のおかげで、記者はこれまで以上に多くの方法でネタを得ることができるようになった。 オープンソースインテリジェンス(OSINT)という諜報の一種を活用し、入手可能なデータから物語を紡ぐインターネットの専門家は、バージニア州シャーロッツビルで反抗運動家を暴行した白人至上主義者を特定したり、イギリスのサリスベリーでロシアのスパイ仲間とその娘を殺そ

    べリングキャット: 公開情報からすべてを暴き出す新しいジャーナリズム

  • BS世界のドキュメンタリー「ベリングキャット~市民が切り開く調査~20190813 - 動画 Dailymotion

    フェイクニュースが世にあふれる時代、真実を突き止める新たな市民ジャーナリズムが注目を集めている。ネット情報に精通した先駆者たち「ベリングキャット」の活動を追う。 エリオット・ヒギンスが率いるグループは、画像分析や音声解析、位置情報の特定などに精通したメンバーとボランティアからなる。既存の主流メディアとは一線を画し、誰もがアクセスできるオープンソースの情報を使って、ウソと真実の見極めを行う。2014年にウクライナで起きたマレーシア航空機撃墜事件や、シリア内戦でのテロ組織による「集団虐殺」のニュースで、いかに情報がねつ造され、流布されていったのかを暴く。

    BS世界のドキュメンタリー「ベリングキャット~市民が切り開く調査~20190813 - 動画 Dailymotion

  • オープン・ソース・インテリジェンス - Wikipedia

    この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。出典を追加して記事の信頼性向上にご協力ください。(このテンプレートの使い方) 出典検索?: "オープン・ソース・インテリジェンス" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL(2012年3月) オープン・ソース・インテリジェンス(英: Open-Source Intelligence)とは、合法的に入手できる資料を調べて突き合わせる手法である。OSINT(オシント)と略す。オープン・ソース・インベスティゲーション(公開情報調査、英: Open-Source Investigation)と呼ばれる事もある[1]。 1980年代から諜報・諜報活動で用いられるようになってきた[2]。他のヒューミント(HUMINT)やシギント(SIGI

  • なりすまし口座に約1億円が流出したSBI証券の不正ログインについてまとめたみた - piyolog

    SBI証券は顧客アカウントへの不正ログインにより9,864万円の顧客口座の資産が外部へ流出したと発表しました。資産流出には不正に開設された銀行口座も悪用されました。ここでは関連する情報をまとめます。 SBI証券の発表 悪意のある第三者による不正アクセスに関するお知らせ なりすまし口座を使った犯行 不正利用の手口(SBI証券発表情報よりpiyokango作成)SBI証券からの流出は以下の手口で送金まで行われてしまった。 SBI証券の顧客アカウントに不正ログイン。 偽造した人確認書類を用いて銀行でSBI証券と同名義の口座を開設。 顧客アカウントが保有する有価証券を売却。出金先銀行口座を不正口座に設定変更。 売却した資金を不正口座に送金。送金された金を引き出し。 約1億円が流出 SBI証券が2020年9月16日時点で把握している被害は顧客数6人、総額9,864万円。1件当たり数百~3,000万

    なりすまし口座に約1億円が流出したSBI証券の不正ログインについてまとめたみた - piyolog

  • パラノイアのプログラマと第6感 - megamouthの葬列

    今だから白状すると、昔、運営していたサービスの一般ユーザーのパスワードをハッシュ化(暗号化)せずに平文でDBに保存していたことがある。 言いわけは、幾つかある。 一つは、今では当たり前のようについているパスワードリマインダーの仕組みが当時は一般的ではなかったこと。 ユーザーがパスワードを忘れた、と問い合わせしてきた時に、最も自然な方法はまさに当人が設定した「パスワード」を一言一句違わず登録メールアドレスに送信することだった。あなたのパスワードは○○○です。ああそうそう、そうだったね。こういう感じだ。 当時のユーザーはそれを不審がらなかった。 またサポートコストの問題があった、パスワードの再発行を、そのためのトークンを含んだ長いURLを、大半のユーザーが嫌がっていた。 サポート部門はOutlookExpressに表示された長すぎるURLのリンクが途中で切れててクリックできない、という苦情にい

    パラノイアのプログラマと第6感 - megamouthの葬列

  • 指定されたページが見つかりません。|Infoseekニュース

    404 NOT FOUND 指定されたページが見つかりません。 お手数ですが、次のいずれかの方法でページをお探しください。 ブラウザの再読み込みを行う 入力したURL(ページアドレス)にタイプミスがないか確認する ブラウザの「戻る」ボタンを押して前画面からやり直す

    指定されたページが見つかりません。|Infoseekニュース

  • NISTによる「ゼロトラストにおける7つの基本原則」と従来の境界型防御との関係

    NISTによる「ゼロトラストにおける7つの基原則」と従来の境界型防御との関係:働き方改革時代の「ゼロトラスト」セキュリティ(6) デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、NISTによる「ゼロトラストにおける7つの基原則」について。 デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載『働き方改革時代の「ゼロトラスト」セキュリティ』。前回は、NIST(National Institute of Standards and Technology:米国立標準技術研究所)が発行したレポートである「SP 800-207 Zero Trust Architecture(2nd Draft)」に書かれた内容を基に、今後ゼロトラストを論じる上で軸となり得る、米国政府が考えるゼロトラストの定義と実践の姿について考えまし

    NISTによる「ゼロトラストにおける7つの基本原則」と従来の境界型防御との関係
  • 前のページ 1 2 3 4 5 6 7 8 9 10 次のページ

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.