米CISAが“強く”推奨する「ネットワークセキュリティのベストプラクティス」を発表
米国国土安全保障省サイバーセキュリティインフラセキュリティ庁(CISA)は2024年6月18日(米国時間)、ネットワークセキュリティにおけるガイダンスを公開した。CISAは以下のように説明している。 ガイダンスは、CISAの他、連邦捜査局、ニュージーランドおよびカナダのセキュリティ責任者が共同執筆した。あらゆる規模の企業の経営者に対し、ネットワークアクティビティーの可視性を高めるゼロトラスト、SSE(Security Service Edge)、SASE(Secure Access Service Edge)などのより堅牢(けんろう)なセキュリティソリューションへの移行を推奨している。加えて、このガイダンスは、従来のリモートアクセスとVPNの導入に関連する脆弱(ぜいじゃく)性、脅威、慣行およびリモートアクセスの誤った構成によって組織のネットワークにもたらされる固有のビジネスリスクを組織がよ
機能を作ることと、顧客の成功を作ることの違いを知った話
はじめまして、2023年の12月にWebアプリケーションエンジニアとして入社した鈴木です。 主な仕事は tebiki現場分析 のアプリケーション開発で、 Product Engineer として幅広い業務に携わっています。 早いもので、自分が入社してから半年が過ぎました。 SaaS企業でエンジニアとして働くことが初めてである自分にとって、この半年は多くの学びがあり、とても充実したものであったと感じています。 当記事では、そんな学びの中から一つを「エンジニアにとってのカスタマーサクセス」というテーマで紹介させていただきます。 ※ 当記事では、カスタマーサクセス(以下、CS)を「顧客が成功する(成果を出す)ことを能動的にサポートすること」とします。 職業としてCSをされている方のことはCS担当者と表記します。 エンジニアにとってのCSとは現時点での自分は、以下のように考えています。 自身の影響
「ゼロトラスト」提唱者、ジョン・キンダーバーグ氏が語る誤解と本質――「ゼロトラストの第一歩は『何を守るべきか』を明確にすること」
【2024年7月16日追記】記事公開時、タイトルや本文にてジョン・キンダーバグ氏と掲載していましたが、正しくはジョン・キンダーバーグ氏でした。読者ならびに関係者の方々にご迷惑をおかけしたことを深くお詫び申し上げるとともに、以下のように訂正いたします。 【誤】ジョン・キンダーバグ氏 【正】ジョン・キンダーバーグ氏 昨今、サイバーセキュリティの取り組みを議論する際に必ずといってよいほど言及されるキーワードが「ゼロトラスト」だろう。IT系の展示会に足を運んでも、あちこちのブースで「ゼロトラストソリューションを紹介」といった宣伝文句が並ぶ。IT業界、セキュリティ業界ではよくあることだが、一度何かのキーワードが注目を浴びると、ベンダーそれぞれ都合の良いように使われてしまいがちだ。ゼロトラストも例外ではない。 確かにゼロトラストの実現には、さまざまな技術や製品が必要だが、それは決して本質ではない。ゼロ
セキュリティー研修を受けるといつも思うこと - orangeitems’s diary
まず初めに、セキュリティー事件や事故が社会で深刻化し、その被害が急拡大していて、未然に防ぐためには利用者も気を付けなければいけない、というくだり。 ・・・これはわかる。使い方を間違えると危険なプログラムを社内に引き込んでしまい、大被害につながる。それはそうだろう。 次にランサムウェアを含むセキュリティー事件の仕組みの話。過去は、目立つために有名な企業が狙われたが、今はお金目的が大半。攻撃が成功すればいいので、むしろ有名な企業より、目立たない小さな企業や個人が狙われるようになった。 ・・・これもわかる。その通りだろう。今は完全にビジネスで攻撃者もやっている節がある。お金の話が必ず出てくる。 そして、どういうルートでランサムウェアが入り込むかという話になる。そこで、電子メールの話が強調される。電子メールの中に細工がしてあって、色んな経路で怪しげなプログラムを端末で実行させようと攻撃者は試みる。
精子観察キットを使ってみて感じたこと
7/13 驚いた。コメントを返しておく。 https://anond.hatelabo.jp/20240713003005 筆者の友人の女性との話題で、女友達が妊活に苦労していて大変そうみたいな話をよく聞く。身の回りの男性もすでに既婚者となるなか独身を貫く筆者にはおおよそ無縁な話であるが、女性の子供が欲しいながら恵まれなかったという話に相槌を打つのである。 しかし教養として知る話として、不妊の原因の半分は男性にあると言われている。子供ができないことにヒステリックになる背景に、男性が他人事になって検査もしてくれないと聞く。プライドはわかるが検査はした方がいいと思った。 それはそうとして、そもそも諸君は自身の精子を見たことがあるだろうか。毎日出している白いやつと言えば半分は合っているのだが、実は精子は白くないのを知っているだろうか。そもそも毎日向き合っているものを知らずして他人に押し付けてよい
唐突に使っているChrome拡張を紹介 - laiso
ページ閲覧 AutoPagerize chromewebstore.google.com ページネーションされたウェブページを自動で読み込み続けます。無かったら違和感あるレベルで日常になっています。 daily.dev chromewebstore.google.com 開発者向けニュースを空タブに表示します。 タブを開くときに自然に視界に入るのに加えて、検索で「過去話題になったもの」から探したりします(はてなブックマークやHacker Newsも似た用途で使います) ホームタブとは別です。ホームはperplexity.aiにしてます。 Google Scholar PDF Reader chromewebstore.google.com 標準のPDFビュワーを科学論文を読みやすく強化します。参考文献の追跡や引用、ジャンプ機能を提供します。ついでに官庁資料やクリプト系のホワイトペーパーなど
Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
反AIでカ○ト教祖ごっこして遊んでたら引くに引けなくなった話
とある人のマシュマロに投稿したらこっちで詳細に書いてみた方がいいと言われたので供養。 ことの発端は一年前、友人との会話の中で「反AIってカルト染みてるし、こいつらで遊んでみたら面白いのでは?」と話題になったのがはじまり。もともと俺と友人は情報工学系の専攻で、話の通じない最近の反AIにうんざりしていたというのもあり、そのままの勢いでXに新しいアカウントを作成。「どうせやるならガチでやろうぜ」という友人の意見もあって、仲間内で競うことになった。 もちろん一種の競技としてやる以上、明確な評価基準が必要だということで ・フォロワー数×10 ・最大いいね数×2 ・最大リポスト数×2 の3つの数字を指標として設定し、合計した数字が1番高い奴が勝ち というルール。今考えれば何故こんなアホらしいことに時間をかけてたのか謎。この時にやめておけばよかったのに… 最初の数ヶ月は知名度を上げることに尽力した。ただ
[ゼロから始めるプロジェクトマネジメント] プロジェクトの新規要件は工数を3倍にして請けるかどうかを判断しよう | DevelopersIO
プロジェクトマネジメント未経験の方も今日から参考にできるTipsをシェア。 ゼロから始めるプロジェクトマネジメントシリーズ第十二回です。 プロジェクトで新規要件が発生した際には瞬間的に考えた見積を3倍して、その要件を請けるかどうか判断しましょう。 情報システム室の進地@日比谷です。 プロジェクト進行中に新しい要求、要件が発生する。よくあることです。そして、それほど重い要求、要件ではないと感じた貴方は直感で導いた工数で対応の可否を判断しようとする。これもよくあることです。 しかし、これはとてもx2危険なことです。 新規要件を即答して請けてはいけない理由 新規要件を即答して請けてはいけない理由はいくつかあります。 新規要件を出す側の心理的ハードルが下がり、新規要件が噴出しやすくなるから 直感で出した工数の確かさはかなり疑わしいから あなたは大きなステップを見落としているから、確実に すぐに出来
![[ゼロから始めるプロジェクトマネジメント] プロジェクトの新規要件は工数を3倍にして請けるかどうかを判断しよう | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/9c527e1a814c85300c81dcb59033055fcea888cf/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F07%2F3a72b4bd4027aa81b8778d74baaaad33.png)
Microsoftが“四面楚歌” 政府機関などからインシデント対応について厳しい非難の声
Microsoftのブラッド・スミス氏(バイスチェア兼プレジデント)は、米国連邦議会国土安全保障委員会向けに準備された証言文書の中で「サイバー安全審査会(CSRB)が2024年3月の報告書で明らかにしたセキュリティの失敗に関する責任をMicrosoftが負う」と述べた(注1)。 Microsoft、インシデント対応の失敗によって“四面楚歌”状態に スミス氏は2024年6月13日(現地時間)の午後に、聴聞会で証言した。重要な連邦政府機関を危険にさらした国家的な2つのサイバー攻撃に関連するMicrosoftのセキュリティの大規模な失敗を受けて、この聴聞会に大きな注目が集まった。 スミス氏は、書面で次のように述べた。 「私たちは、Microsoftがサイバーセキュリティの領域で固有かつ重要な役割を果たしていると認識している。それは顧客のためだけでなく、この国のためでもある。また、国の同盟国にとっ
tar(1) はなぜオプション引数にハイフンが不要なのか?
TL;DR tar(1)の引数はオプションではなくkeyだから 歴史 tar(1)は Unix v7 (1979) で導入されたが、その前身は Unix v4 (1973) の tp(1)、更にこれは Unix v1 (1971) の tap(1) に遡る。 80年代に入りSystemV v.s. BSDといったことが起きたりし、PWB/UNIX (Programmer's WorkBench)で導入された cpio(1)とtar(1)、どちらがUnixの標準アーカイバか争われた結果、IEEE Std. 1003.1-2001 (POSIX.1-2001) を以って tar(1)は規格から削除され、代わりに IEEE Std 1003.2-1992 で導入された折衷案のpax(1)が標準となった。よって、現在実装中立なtar(1)の仕様書がそもそも存在しない。最後の中立規格は1997―19
標的型攻撃ランサムウェア「Ryuk」の内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社
2019年末現在、Emotetによる被害が国内で収まる気配がありませんが、昨年のブログ記事でも言及したように、Emotetはメール情報を窃取するだけでなく、他のマルウェアを呼び寄せるダウンローダーの性質を持つことが特徴の一つです。海外ではすでに以前よりEmotetからTrickBot等、他のマルウェアがダウンロードされているケースが報告されていますが、最近になり、Emotetから最終的に「Ryuk」という標的型攻撃ランサムウェアの感染に繋がるという事例が海外で複数確認されています。つまり、場合によっては日本国内でもいずれRyukの感染被害が明るみに出てくる可能性が今後想定出来なくはありません。 そこで本記事では、標的型攻撃ランサムウェア「Ryuk」についてその詳細を解説します。 ■Ryukとは 2018年夏頃に初めて存在が確認された「Ryuk」という標的型ランサムウェアは、これまで海外で多
セルフレジであたふたしてる年配者を見るにあの手の人々は「文字を読まない」ので文字情報は彼らには無力
おたろう @otarou01 セルフレジであたふたしてる年配者を見るに、あの手の人々の特徴として「文字を読まない」というのがあると思う。 ディスプレイの中にも外にも文字で色々と使い方が記されてるけど、基本それらを読まずに直感でボタン押してるだけの様子。 説明書読まない系、結論として文字情報は彼らには無力。 2024-06-23 10:17:20 おたろう @otarou01 よくセルフレジで困ってる年配の人を手助けするけど、動きから文字を読んでないのが分かる。 自分は説明書は最初にきちんと読むタイプだが、説明書を読まない人達は文字から何かしらの情報を得て事に当たるという習慣が無いから、困ったらまず目の前の文字を読むという事をしない。 2024-06-23 10:21:54 おたろう @otarou01 そういう意味では高齢者が使うインターフェースの開発には日本語が読めない外国人をシュミレー
開発生産性指標を向上させるためにやってはいけないアンチパターン - Findy Tech Blog
こんにちは!ファインディでFindy Team+開発チームのEMをしている浜田です。 昨今、開発生産性を高めるための取り組みを行っている組織が増えてきていると感じています。 開発生産性を向上させるためには、まずは定量的に可視化することが重要です。 可視化することで現状を把握して、開発組織の伸びしろを発見したり、課題を明らかにし、改善活動に取り組みやすくなります。 一方、定量的な指標に焦点を当てすぎてしまい本質的ではない対応をしてしまい、指標は向上したものの実際の生産性は向上していなかったり、むしろ悪化してしまうこともあります。 この記事では、開発生産性指標を向上させるためにやってはいけないアンチパターンについて紹介します。 デプロイ頻度を向上させるために、デプロイプロセスは変更せずに実施回数を増やした デプロイ頻度はDORAが提唱するDevOpsの4つの指標(Four Keys)の1つであ
ロロナを幸せにしたい!ロロナふくよかシステム徹底研究![レスレリアーナのアトリエ]
2024年6月上旬、「『レスレリアーナのアトリエ』で店番をしているロロナはパイ(スタミナ100回復)を毎日2個作ってくれるが、しばらく受け取らないでいると自分で食べ続けて太ることがあるらしい」という情報がネット上を駆け巡った。SNSなどで見た人も多いだろう。 我々RFS(Rorona Fukuyoka Society / ロロナふくよか学会)は、この情報を世間より少し早い2024年5月末にキャッチ。 その後、誰よりもロロナのふくよかさに対して真摯な研究機関として、約1ヶ月間、このロロナふくよかシステムについて静かに検証を進めてきた。 ロロナはどのようにふくよかになるのか? ふくよかになる条件は何か? ふくよかであり続けてもらうために、我々は何をすればいいのか? 結果、ロロナがふくよかになるしくみについて、検証に長期間を要する一部項目を除いてほぼすべてを明らかにすることができた。 今回はRF
![ロロナを幸せにしたい!ロロナふくよかシステム徹底研究![レスレリアーナのアトリエ]](https://cdn-ak-scissors.b.st-hatena.com/image/square/58efc6309fc51dabfe2326cf470d41b25b6fe33f/height=288;version=1;width=512/https%3A%2F%2Fgameboku.com%2Fwp-content%2Fuploads%2Frr023-1.jpg)
「なぜ」と聞かずに理由を引き出す!「詰めてる」感を減らす言い換えテク - Qiita
こんにちは。KDDIアジャイル開発センターのサービスデザイナー よねみちです。 生成AIを用いたto Bプロダクトのスクラム開発や、お客様のDX・新規事業創出のきっかけとなるデザインスプリント支援などを行っています。 はじめに レビューや会議で誰かが「詰められてる」様子、心にきますよね。自分がやられるのはもってのほかですが、周囲で発生するだけでも心がすり減ります。。 特に、何か問題が発生したときや、参加者間の誤解が解消できないときに「詰め」が生じがちです。 質問する側の、焦りや不安から「なぜ?」「どうして?」「つまり?」と質問マシーンになってしまう気持ちも理解できるのですが。 問い詰めてしまい心理的に不安全な状況に陥ると「ミスを隠そう、自分が責められないようにしよう」と回避する力が働きはじめ、結果として「正確な状況がわからない」「適切なアクションが取れない」といったチームとして重大なリスク
JAXA情報流出 「安全」接続目的のVPNが不正アクセスの標的に 脆弱性突かれる
宇宙航空研究開発機構(JAXA)の機密情報がサイバー攻撃で流出したとみられる問題では、外部から内部の業務ネットワークに接続するために使うVPN(仮想専用線)の脆弱性を突かれ、不正アクセスによる内部侵入を許したとされる。VPNはテレワークの普及に伴って導入する組織も増加。接続の安全を確保するために導入している機器が、侵入口として最も狙われる皮肉な状況となっている。 VPNは通常のインターネット接続と異なり、送信者と受信者の間の回線を保護して第三者から見えないようにする。通信内容自体も暗号化するなどし、通信内容の盗み見や改竄を防ぐことができる。ネット回線を使っているため、外出先からも組織内のネットワークへのアクセスが可能だ。 働き方改革や新型コロナウイルス禍により、テレワークが普及、拡大するにあたり、VPNを導入する企業や団体が大幅に増えた。 情報セキュリティー会社のトレンドマイクロによると、
高度に発達したウォーターフォールはアジャイルと見分けがつかない - An Epicurean
tl;ldr ウォーターフォールという言葉を悪口として使うのは良くないんじゃない? 空想上の開発手法ウォーターフォールと進化したウォーターフォール アジャイル開発の説明がされるとき、アンチパターンとして「ウォーターフォール」が使われることがあります。これは「ダメな開発現場」と同義で使われており、共通仮想敵としての空想上の開発手法とも言えます。 それは、曰く、硬直化していて変化や手戻りを許さず、一本道でフィードバックサイクルがない、数十年アップデートされていない古臭い手法のことらしい。 もちろんそういう開発をしている現場もまだ数多く存在するでしょう。ただ、ウォーターフォールをカイゼンし進化させている人達もいます。そういう人たちの話を聞くと、例えば以下のような話を聞きます。 一ヶ月で1ウォーターフォールを回す 前の手順に戻る手続きが定められている 初期フェーズから開発者を巻き込む 定期的なレビ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【SQL】GROUP BYしたときにSELECTできるのは3種類だけやで - Qiita
20分で分かるIAM全機能 /20240621-aws-summit-iam
