インシデント対応サービス 個人データの「漏えい」「滅失」「毀損」が疑われる状況に際して、 ・社内向けの関係者巻き込み ・社外向けの情報発信 をご支援し、問題解決まで伴走するサービスです。 これらのインシデント対応は難易度が非常に高いにも関わらず、 日常業務は依然として発生し続けるため、法務担当者は雪だるま式に膨らむ仕事に忙殺されがちです。 経験豊富な弁護士がインシデントの初期段階から関与することで、より良い解決に導きます。
インシデント対応サービス 個人データの「漏えい」「滅失」「毀損」が疑われる状況に際して、 ・社内向けの関係者巻き込み ・社外向けの情報発信 をご支援し、問題解決まで伴走するサービスです。 これらのインシデント対応は難易度が非常に高いにも関わらず、 日常業務は依然として発生し続けるため、法務担当者は雪だるま式に膨らむ仕事に忙殺されがちです。 経験豊富な弁護士がインシデントの初期段階から関与することで、より良い解決に導きます。
CircleCI security alert: Rotate any secrets stored in CircleCI (Updated Jan 13) Security update 01/12/2023 - 00:30 UTC We have partnered with AWS to help notify all CircleCI customers whose AWS tokens may have been impacted as part of this security incident. Today, AWS began alerting customers via email with lists of potentially impacted tokens. The subject line for this email is [Action Required]
LastPass, a competitor, recently announced that password hashes were included in an August 2022 breach of their cloud storage. The company’s notice claimed that if users had followed default settings, “it would take millions of years to guess your master password using generally-available password-cracking technology.” That claim is highly misleading. In this article, I’ll explore the LastPass cla
Join us in Silicon Valley September 18-19 at the 2024 PyTorch Conference. Learn more. Learn Get Started Run PyTorch locally or get started quickly with one of the supported cloud platforms Tutorials Whats new in PyTorch tutorials Learn the Basics Familiarize yourself with PyTorch concepts and modules PyTorch Recipes Bite-size, ready-to-deploy PyTorch code examples Intro to PyTorch - YouTube Series
メリークリスマス! 週末もPHPを楽しんでますか? ところでWebセキュリティはWebアプリケーションを公開する上で基礎中の基礎ですよね! メジャーな脆弱性を作り込まないことはWeb開発においては専門技術ではなく、プロとしての基本です。 中でもXSS (Cross-Site Scriptingクロスサイトスクリプティング)やインジェクションについての考慮は常に絶対に欠いてはならないものです。 現実にはプログラミングには自動車のような運転免許制度がないため、自動車学校に通わず独学で公道に出ることができてしまいます。つまりは基礎知識がないままにWebプログラマとして就職したり、フリーランスとして案件を請けることも現実には罷り通っています。それは一時停止標識も赤信号も知らずにタクシー営業しているようなものです。 このような事情により、体系的な理解のないWeb開発初心者は (時にはn年のキャリアを
目次 目次 実際の例 NVD CVE 番外編: Security NEXT むすび こんにちは、 id:hogashi です。 はてなエンジニア Advent Calendar 2022 - Hatena Developer Blog の 30日目の記事です。昨日は id:stefafafan さんの はてなのエンジニアとして日々意識しながらやっていることを紹介します - stefafafan の fa は3つです でした。年の瀬MAXですね。 僕は業務でセキュリティ会というものに参加していて、毎週の定例で脆弱性情報を眺めています。脆弱性情報、特に CVE Record などにはなんとなく正確さを期待しますが、人間が運用している以上ミスはあるもので、たまに typo など誤記があることもあります。 そういうものに気づいたときには、修正してもらえるよう問い合わせてみたりしています。よく見ると
本ブログの主旨 サプライチェーンセキュリティにおいて既存のフレームワークよりも具象化されたモデルを用いて脅威及び対策を精査することで、実際のプロダクトへのより実際的な適用可能性及び課題を検討した。 具象化されたモデルにおいては「脅威の混入箇所と発生箇所が必ずしも一致しない」という前提に立ち、各対策のサプライチェーンセキュリティにおける位置付け及び効力を検討した。とりわけ、ともすれば無思考的に採用しかねないSBOM等の「流行の」対策に対して、その課題や効果の限定性を明らかにした。 これらの脅威分析に基づき、「サプライチェーンの構成要素に存在する多数の開発者それぞれに対して責任を分散して負わせる」形態のパイプラインを置き換えるものとして、「各構成要素に存在する開発者に対して一定の制約を強制する代わりに、サプライチェーンセキュリティに関するオペレーションを一点に担う中央化されたCIパイプライン」
HTML smuggling is a technique attackers use to hide an encoded malicious script within an HTML email attachment or webpage.Once a victim receives the email and opens the attachment, their browser decodes and runs the script, which then assembles a malicious payload directly on the victim’s device.Talos has witnessed Qakbot attackers using a relatively new technique that leverages Scalable Vector G
仕事や学校、町内会・自治会や同窓会などの活動で、名簿を作成するために誰かの名前や連絡先などの「個人情報」を集めたことはありませんか。役所などの公的機関や企業はもちろん、皆さんも身近なところで個人情報を取り扱う機会があるかもしれません。個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的とした「個人情報保護法」は、国の行政機関や独立行政法人、地方公共団体などはもちろん、個人情報を取り扱う全ての事業者や組織が守らなければならない共通のルールです。皆さんに知っていただきたい「個人情報保護法」のポイントを説明します。 1「個人情報保護法」って何? 氏名や性別、生年月日、住所などの情報は、個人のプライバシーに関わる大切な情報です。一方、それらの情報を活用することで、行政や医療、ビジネスなど様々な分野において、サービスの向上や業務の効率化が図られるという側面もあります。 そこで、個人情報の
こんにちは、freee Developers Advent Calendar 2022 8日目の記事です。 PSIRTでblue teamとして活動している eiji です。 サービスやシステムのsecurityを確保したいとき、まず、最初にやらなければならないことはなんでしょう? FirewallやIPSのようなsecurity sensorを配置することが頭に浮かぶかもしれませんが、それよりも先にやっておかなければならないことがあります。 それは、logを取ることです。 logがなければ、攻撃や異常を検知できませんし、検知できなければ、サービスやシステムを守るための行動をとることができません。 では、全部のlogを取るのか? といわれると、答えは乱暴に言うとYesなのです。でも、全てのlogを単純に保存したとして、多くの人はそこからsecurityを確保したと言える状況に至る道筋を思い
パスキーはフィッシングに強く、テクノロジーに詳しくないユーザーでも使いやすい新しい認証方式で、いずれパスワードを置き換えると言われています。この記事では、パスキーの基本と、これからのウェブにとってパスキーがどういう意味を持つのかについてまとめてみます。 パスキーとは何か # 2022 年 12 月 9 日に Google が Android 版 Chrome でパスキーがサポートされたとのアナウンスが出ました。Apple もすでに最新版の macOS Ventura、iOS / iPadOS 16 で Safari がパスキーに対応しています。 パスキーは Apple、Google、Microsoft が協調して使う FIDO クレデンシャルの名前です。エンドユーザーのみなさんがパスワードの代わりとして認識し、直感的にログインできるよう「パスキー」というブランドとアイコンが決まりました。ウ
Team82 Research {JS-ON: Security-OFF}: Abusing JSON-Based SQL to Bypass WAF Executive SummaryTeam82 has developed a generic bypass of industry-leading web application firewalls (WAF). The attack technique involves appending JSON syntax to SQL injection payloads that a WAF is unable to parse. Major WAF vendors lacked JSON support in their products, despite it being supported by most database engine
はじめに Snyk IaCとは CIでのIaC解析 aquaでSnyk CLIを簡単にインストール&バージョン管理 reviewdogでコメント形式の指摘を実現 まとめ はじめに こんにちは。技術戦略室SREチームのkoizumiです。 最近は、katoさんからオススメいただいた「スクワットの深さは人間性の深さ」という本を読み、日々スクワットに励んでいます(大嘘)。 さて、こちらの記事は Gunosy Advent Calendar 2022 の9日目になります。 昨日の記事はGunosy Tech Lab 石川さんの「リモートモブプログラミング開発の実践」でした。 本日は「Snyk IaC + reviewdog + aquaではじめるDevSecOps」と題して、CIへSnyk IaCを導入した事例についてご紹介します。 先日、私が執筆したこちらの記事でも、「Shift-Leftによる
今や情報セキュリティはあらゆる分野で重要視されるようになっていますが、自分がしばらく働いているWebサービス関連の業界では「どの段階から情報セキュリティに取り組めばよいか?」という疑問がしばしば話題になります。昨今のWebサービスの多くは昔からのソフトウェアプロダクト開発における設計→開発→納品というフローで完結するものではなく、高速にプロトタイプを作成して価値検証を繰り返しながら、徐々にサービスとして成熟していくというモデルが多いと思います。その場合、最初から制約を厳しくしてしまうことでプロダクト開発のスピードが鈍化しProduct Market Fit(PMF)に至らない、というリスクが起こりえます。さらに厳しい制約を設けすぎることで逆に対策を無視する、という悪い文化が根付いてしまう恐れもあります。 この記事では自分がもし今から「自分でスタートアップを立ち上げ、あるいは立ち上げ直後のス
SREチームの長田です。 KAYAC Advent Calendar 2022の11日目の記事です。 アプリケーションから何かしらの外部サービスを利用するとき、そのサービスを利用するためのAPI Keyなり秘密鍵なりの秘密情報を保持することになります。 暗号化したものをファイルとしてアプリケーションに持たせたり、 Amazon Web Services(AWS)ならAWS Secrets Managerや AWS Systems ManagerのParameter Store(SSM Paramater Store)に保存したものを実行時に読み込んだりするでしょう。 これらの秘密情報、どこから来たのかわかりますか? どこから来た秘密情報なのか 秘密情報を使って出どころを調べられるのであれば問題はないでしょう。 # 例えばAWSのIAM User Credenntialsとか $ AWS_A
こちらは ABEJA アドベントカレンダー 12日目の記事です。 こんにちは。CTO室の村主です。セキュリティ強化も自組織の役割であるため、ABEJAのセキュリティ対策に関する内容を共有したいと思います。 はじめに trufflehog(トリュフホッグ) クレデンシャルの埋め込みに対する取り組み 1. まず現在のリポジトリがクリーンな状態を担保するために、全リポジトリをスキャンしました(1,000以上…) 2. 次に新しいコミットに対してクレデンシャルが埋め込まれないように全エンジニアに pre-commit に trufflehog を設定してもらいました 3. そこで、GitHub Actions を利用して、1日1回、更新のあったリポジトリだけリスト化して、trufflehogでスキャンする仕組みを構築しました trufflehog の使い方 全リポジトリのスキャン pre-comm
こんにちは、セキュリティエンジニアの岩田です。今回は「擬似サイバー攻撃演習」と銘打って行った社内の演習についてご紹介します。 擬似サイバー攻撃演習とは? 実際のサイバー攻撃をシミュレーションして実施することで、現在行なっているセキュリティ対策が有効に機能しているかを検証するための演習です。「レッドチーム演習」や「脅威ベースのペネトレーションテスト(TLPT)」などと呼ばれるものと同様の試みですが、誰にでもより直感的に内容が伝わるようにこの名称にしました。 今回は2要素認証を回避するフィッシング攻撃によって実環境のID管理サービス(IDaaS)のアカウントを乗っ取って侵入し、機密情報を盗み出す攻撃シナリオで演習を行いました。 具体的には、攻撃者がフィッシングメールをユーザーに送ってフィッシングサイトに誘導し、ユーザーからのフィッシングサイトへのリクエスト内容をそのまま実際のサイトに転送するこ
この記事は、Mercari Advent Calendar 2022 の3日目および Developer Productivity Engineering Campブログシリーズの一環で、メルカリCI/CDチームのMichael Findlater (@michaelfindlater)が執筆したものです。 ※本記事は2022年2月3日に公開された記事の翻訳版です。 ここではメルカリにおける次世代Continuous Integration(CI)システムの実装、そしてそれに向けたいくつかの技術的な取り組みについて解説します。またこの施策の動機とも言える、サプライチェーンアタックがどのようにCI/CDエンジニア達にとって今後より重要になってきたのかについて解説します。 背景 これまでも常にCI/CDパイプラインに対する攻撃は存在していたものの、ここ最近のこのエリアに対しての攻撃の急増は脅威
こんにちは、はじめまして @daimat と申します。 Microsoft Security Advent Calendar 2022 4 日目にお邪魔させてもらいます。 はじめに セキュリティに携わるみなさま、突然ですが Microsoft Defender 脅威インテリジェンス(MDTI) というプラットフォームをご存じですか? 今年の 8 月に公開されたばかりですので、まだ知らない。という方も多いと想像しますが、まずは次のページにアクセスしてみてください。 *Microsoft 365 または Microsoft アカウントが必要です。 接続するとこのような画面が表示されたと思います、これが Microsoft Defender 脅威インテリジェンスのトップ画面です。 このページの上段には脅威に関するおすすめの記事が表示されていますので、興味に応じていくつかの記事を開いてみてください
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く