米グーグルは7日、日本でアジア太平洋地域では同社初のサイバー防衛拠点を開設した。政府や企業、大学などと対抗策の研究や人材育成を共同で進める。官公庁や企業に対する中国や北朝鮮などからの不正アクセスへの懸念が高まっている。グーグルは日本をハブに同地域全体のサイバー防衛力を底上げする。拠点は東京・六本木にあるグーグルのオフィス内に設けた。同社の技術者が企業の担当者などと最新の攻撃手口などを共有し、防
HOME NRIセキュア ブログ NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは? 2024年2月26日、NIST(米国立標準技術研究所)は、「NIST サイバーセキュリティフレームワーク(NIST Cybersecurity Framework:NIST CSF)」のバージョン2.0を正式に公開した。2014年4月に初版であるNIST CSF 1.0が公表されて以来、約10年ぶりの大幅改訂である。 本記事では、NIST CSF 2.0における主な改訂のポイントと、特にインパクトの大きい6つ目の新機能「GV(統治)」について解説する。 ▶「経営層が納得するセキュリティ報告」を読む はじめに 2020年代に入り、新たな生活様式の変化に起因する脅威の発生、世界各国での深刻かつ大規模なサイバー攻撃の急増、生成AIなど新技術の普及に伴うリス
中国政府と関係のあるサイバー犯罪グループが、2年以上にわたってオランダの半導体企業であるNXPのネットワークにアクセスしてデータを盗み出していたことが判明したと、オランダのニュースメディアであるNRCが報じています。サイバー犯罪グループは、従業員のアカウントを通じてNRCのシステムにアクセスしていました。 Chinese hackers hadden ruim twee jaar onopgemerkt toegang tot netwerk NXP - NRC https://www.nrc.nl/nieuws/2023/11/25/chipindustrie-chinese-hackers-hadden-ruim-twee-jaar-onopgemerkt-toegang-tot-netwerk-nxp-a4182246 Chinese hackers steal chip desig
ritouです。このしずかなインターネットにおける初投稿です。 おそらく、このしずかなインターネットのID連携では次のような設計になっていま「した」。問い合わせをさせていただき、対応いただきました。 これまでもQiitaなどで同様の実装例が紹介されていた際にはコメントさせていただいていたものですので、アンチパターンの紹介記事として読んでいただければと思います。 「Googleアカウントでログイン」ではじめると、ユーザーが作成され、Googleから受け取ったメールアドレス([email protected])が設定される 次回から「Googleアカウントでログイン」をすると、Googleから受け取ったメールアドレスでユーザーを参照 試しに、次のような流れで動作を確認してみます。 「Googleアカウントでログイン」でアカウント作成([email protected]) 「メールアドレス変更」
AWS Open Source Blog Using Open Source Cedar to Write and Enforce Custom Authorization Policies Cedar is an open source language and software development kit (SDK) for writing and enforcing authorization policies for your applications. You can use Cedar to control access to resources such as photos in a photo-sharing app, compute nodes in a micro-services cluster, or components in a workflow autom
サイバー攻撃件数や製造業が標的にされる割合が増加し、手段も巧妙化している昨今(※)。ファイアウォールやDMZ(非武装地帯)といった従来の対策に加え、重要性を高めているのがシフトレフト、セキュリティバイデザインの実施です。 なぜ、それらの重要性が高まっているのか。具体的にどのように実施すべきなのか。 知りたいポイントを簡潔にまとめてお届けします。 ※…詳しくは『深刻化するサイバー攻撃の脅威』『製造業へのサイバー攻撃が増加する理由と対策のポイント』といったレンテックインサイトの別記事もご参照ください。 「シフトレフト」とは? 「セキュリティバイデザイン」や「DevSecOps」との関係は? 「シフトレフト」は、「企画→設計→実装→テスト→運用……」と続くシステム開発ライフサイクルの初期、すなわち直線状で手順を表した時のレフト(左)にセキュリティにかかわる工程(脆弱性診断、ドキュメントレビューな
政府情報システムにおける セキュリティ・バイ・デザインガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-200 〔キーワード〕 セキュリティ・バイ・デザイン、DevSecOps、システムライフサイクル保 護 〔概要〕 情報システムに対して効率的にセキュリティを確保するため、企画から運 用まで一貫したセキュリティ対策を実施する「セキュリティ・バイ・デザイ ン」の必要性が高まっている。本文書ではシステムライフサイクルにおける セキュリティ対策を俯瞰的に捉えるため、各工程でのセキュリティ・バイ・ デザインの実施内容を記載する。 併せてセキュリティ・バイ・デザインの実用性を確保するための関係者の 役割を定義する。 改定履歴 改定年月日 改定箇所 改定内容 2022年6月30日 - 初版決定 i 目次 1 はじめに ................
R&D チームの徳田(@dakuton)です。記事冒頭に書くことが思いつかなかったので先日のGPT記事にあるサンプルを使ってみました。 試してみたところ、Tech Blog記事っぽい出力にはなりました。 入力(Prompt): R&D チームの徳田([@dakuton](https://twitter.com/dakuton))です。 出力: 皆さんおひさしぶりです。遅くなりましたが、11/18(金)に行われましたRuby Machine Learningの勉強会の模様を記事にしました。 サンプルは下記参照 tech-blog.optim.co.jp 背景 本題ですが、目的は本記事タイトルのとおりです。 参考: 個人情報保護委員会が個人情報を漏えい パブリックコメント参加者の氏名や所属先を誤掲載 - ITmedia NEWS 技術要素としては下記と同じような内容です。本記事ではこれをspa
Duolingoから流出した260万人分のデータが、わずか2.13ドルで販売され始めました。海外メディアのBleeping Computerが報じました。 Duolingoは、月間ユーザー数7,400万人を超える世界最大級の外国語学習サイト・アプリだ。しかし、Duolingoから260万人分の名前・メールアドレスを含むデータが流出している。 2023年1月、何者かが260万人分のDuolingoユーザーのスクレイピングデータを、ハッキングフォーラムで1,500ドルで販売しだした。このデータにはDuolingoで公開されているログイン名と実名(設定していれば)、そして非公開の電子メールアドレスや内部情報などが含まれている。 当時、1,500ドルで販売されていた 当時、Duolingoはこのデータを、公開されているプロフィールからスクレイピングされただけで、データ漏えいやハッキングは発生してい
不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認
Code interpreter のキラーソリューションは表データの可視化っぽいけど、入力テキストとファイルソースによってテキスト生成とファイル出力ができるという点に着目すると色々活用の幅が広がる。 中でも、今までは入出力トークンに含まれる必要があったソースコードデータを外部ファイル化できるので、「リポジトリを丸ごと食わせる」などの従来トークン制限上実現できなかったことが外部システム連携なしで簡単に可能になったのが嬉しいポイントだった。 この特性を生かして最近OSSの静的コード解析というかコードリーディングをChatGPTにやってもらっている。 以下のサンプルでは脆弱性診実習用アプリ(通称「やられサイト」)のSQLインジェクションを発見してもらうという会話をした。 chat.openai.com 以下ではaws-load-balancer-controller や openai-pr-re
ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
1.2要素認証とはアカウントのサインイン時に、パスワードによる認証以外の認証を追加して、セキュリティを強化します。 もしパスワードが流出したり、ブルートフォースアタックによりパスワードを突破されても、追加した認証により不正なサインインを防止します。 2要素認証とは、「認証の三要素の中から、異なる二つの要素を組み合わせて行う認証」のことを言います。認証の三要素である、知識要素(パスワードや合言葉、暗証番号)、所有要素(スマホやタブレット、ICカードなどの所有物)、生体要素(指紋や静脈、虹彩、顔などのユーザの生体情報)のうち二つの要素を使用するものを2要素認証といいます。 追加の認証としては専用のハードウェアキー、ワンタイムパスワード(OTP)、Synology Secure SignInアプリによるサインインの承認が使用できます。 ワンタイムパスワードについては、Synology Secur
この記事は、Mercari Advent Calendar 2022 の3日目および Developer Productivity Engineering Campブログシリーズの一環で、メルカリCI/CDチームのMichael Findlater (@michaelfindlater)が執筆したものです。 ※本記事は2022年2月3日に公開された記事の翻訳版です。 ここではメルカリにおける次世代Continuous Integration(CI)システムの実装、そしてそれに向けたいくつかの技術的な取り組みについて解説します。またこの施策の動機とも言える、サプライチェーンアタックがどのようにCI/CDエンジニア達にとって今後より重要になってきたのかについて解説します。 背景 これまでも常にCI/CDパイプラインに対する攻撃は存在していたものの、ここ最近のこのエリアに対しての攻撃の急増は脅威
まるで透明マント。監視カメラでAIが認識しないアグリー・セーターが作られる2022.10.22 16:0090,468 岡本玄介 目立つ柄だけど社会的に消えます。 伝統的に冬になると欧米人が着る、ダッサい柄の「アグリー・セーター」。マイクロソフトも毎年新作をリリースし、音楽業界ではアイアン・メイデンやガンズ・アンド・ローゼズがオリジナルを作っていましたね。 さて、今年もそろそろアグリー・セーターの時期が到来しようという頃合いですが、ニューヨーク州にあるコーネル大学では、監視カメラでAIが認識しない「アグリー・セーター」が爆誕した模様。『ドラえもん』や『ハリーポッター』では物理的に消える「透明マント」がありましたが、こちらは社会的に透明人間になれる装備となっています。 検出オブジェクトの信頼度を下げる模様デカデカと印刷されている市場のカボチャみたいな模様は、機械学習システムが認証時に用いるス
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く