クラウドセキュリティ入門〜オフェンシブ視点でAWS環境に着目した際の脅威と対策〜「ISC2 Japan Chapter勉強会 2024/07」の登壇スライドです。 ※ Speaker Deck上だと太文字が滲んでいるため、手元にダウンロードしてPDFを見ると鮮明に閲覧することができます。 - https://sites.google.com/isc2chapter.jp/mee…
LINEヤフー、韓国ネイバーとの委託関係を終了へ PayPayとLINEのアカウント連携も延期に
情報漏えいを受け、LINEヤフーが韓国NAVERへの業務委託の終了を決めた。5月8日に開かれた2023年度通期・第4四半期決算会見で明かしたもので、LINEヤフーが2024年度中と進めていたLINEとPayPayのアカウント連携についても、社内のセキュリティガバナンス強化の優先を理由に計画時期を見直す。 LINEヤフーは、23年10月に不正アクセスによる情報漏えいが発生したと発表。情報流出は、同社と韓国の関連会社NAVER Cloud委託先企業の従業員PCがマルウェアに感染したことをきっかけに、NAVER CloudのADサーバも感染。その管理者権限や、LINEヤフーのADサーバの認証情報が奪取され、不正アクセス被害につながったとみられている。 この件に関し、LINEヤフーは24年3月に総務省から行政指導を受けており、同社は4月に報告書を提出。NAVERのシステムとの分離を進める他、「NA
LINEヤフー、総務省も呆れ果てた「変わらぬ体質」
「行政指導でここまで踏み込んだ文書は、あまり見たことがない。次こそは許しませんよ、というメッセージだろう」 総務省は3月5日、SNS「LINE」や検索サービス「Yahoo! JAPAN」などを運営するLINEヤフーに行政指導を行った。その指導内容を記した文書を見た通信業界関係者は、驚きの声を上げた。 LINEヤフーは2023年9~10月、LINEの利用者や取引先の情報など約51万9000件を外部に漏洩させていた。総務省はこのうち2万件以上が電気通信事業法上の「通信の秘密」の漏洩に当たると判断した。 具体的な指導項目として、LINEヤフーの親会社に50%出資する韓国のIT大手、NAVERとのシステムの切り離しや、グループ全体のセキュリティガバナンス体制の強化などを要請。その取り組み方針などを4月1日までにとりまとめたうえで、今後少なくとも1年間は、四半期ごとに総務省に対応状況を報告することを
CircleCI 2023年1月4日セキュリティインシデントに関するインシデントレポート
2023年1月4日、当社はお客様へセキュリティインシデントアラートを発信しました。本文では、本インシデントについて何が起き、何がわかったのか、そして今後のセキュリティ体制を継続的に改善していくための計画について説明いたします。 初めに、このインシデントによりお客様の業務に支障をきたしたことを、心よりお詫び申し上げます。また、当社が調査を行っている間、シークレットのローテーションや無効化を含め、お客様やコミュニティの皆様が柔軟に対応してくださったことに、感謝申し上げます。 まだ対策をとられていないお客様は、お客様のサードパーティーシステムやデータストアへの不正アクセスを防止するため、早めの対策をお願いいたします。責任を持った情報公開を念頭に、スピードと調査結果との整合性のバランスを追及した結果として、本日本インシデント レポートをお届けします。 インシデントレポート目録 何が起きたのか 攻撃
「ガバメントクラウド」に国産IaaSが不在だったワケ さくら田中社長に聞く日本ベンダーの課題
日本政府の共通クラウド基盤として、デジタル庁が進めている「ガバメントクラウド」。10月には「Amazon Web Services」と「Google Cloud Platform」の採択を発表し、これらを活用したマルチクラウド環境に同庁のWebサービスなどを構築・移行する方針を示した。 この発表に対し、ネット上では「なぜ国産クラウドではないのか」「日本の産業を育成する気はないのか」といった意見が続出。匿名掲示板「2ちゃんねる」の開設者・西村博之(ひろゆき)さんも「自分ならさくらインターネットやGMOなど日本の事業者のクラウドを標準にする」とABEMA TVの報道番組で発言するなど、海外のIaaSを採択したデジタル庁の判断を疑問視する声がみられた。 一方、IaaS「さくらのクラウド」を提供するさくらインターネットの田中邦裕社長は、国産IaaSが採択されなかったことについて「日本のIaaSベン
最もリスクの高いAWS構成トップ3 #aqua #コンテナ #セキュリティ - クリエーションライン株式会社
本ブログは「Aqua Security」社の技術ブログで2021年1月20日に公開された「 The 3 Riskiest Cloud Native AWS Configurations 」の日本語翻訳です。 EC2 だけでも数十もの主要なセキュリティ設定が可能なため、AWS の設定オプションの多さに圧倒されることがあります。複雑さが増す一方で、クラウドネイティブデプロイメントにおいて動的なインフラ要件に対応するには、クラウドアカウントを適切に、そして安全に設定することが重要です。サービスを適切に設定するという課題は、利用可能な AWS サービスの数が膨大であり、それぞれが独自の要件を持っているため、さらに複雑になっています。 AWS のクラウドサービスは、新しいサービスの提供や定期的なアップデートなどで常に変動し、CSPM(Cloud Security Posture Management
Firebase ExtensionsのRun Subscription Payments with Stripeを使ってサブスク課金をコードを書かずに実装する - Qiita
Firebase ExtensionsのRun Subscription Payments with Stripeを使ってサブスク課金をコードを書かずに実装するstripeFirebasecloudfunctionsSubscriptionFirestore こんにちは。もぐめっとです。 歳のせいか、おでこのシワが最近隠せません。 話は戻り、最近とうとうfirebase extensionsでstripeのextensionが発表されましたね! 🚨New Extensions alert! 🚨 We’re unveiling two brand new Extensions with @StripeDev that help you run subscription payments and send invoices in your web apps. Find them here
Firebaseにおけるセキュリティの概要と実践 - Flatt Security Blog
こんにちは。株式会社 Flatt Security セキュリティエンジニアの梅内(@Sz4rny)です。 本記事では、主にFirebaseの概要やセキュリティルールを用いた堅牢なCloud Firestore環境の構築について説明します。本記事を読むことで、Firebaseに関する基礎知識やデータベースにおけるセキュリティ上の懸念事項について理解するとともに、セキュリティルールを用いて堅牢なCloud Firestore環境を構築するための初歩を身につけることができるでしょう。 また、Flatt Securityでは開発/運用中のプロダクトにおいて、Firebaseをセキュアに活用できているか診断することも可能です。 Firebase を用いた開発におけるセキュリティ上の懸念事項が気になる場合や、実際に診断について相談したいという場合は、ぜひ下記バナーからお問い合わせください。 Fireb
kubecon2018_recap_falco_deep_dive
Recap of 「Falco Deep Dive」session at Cloud Native Meetup Tokyo #6
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
弁護士目線で見た2024年の生成AIトレンド予測
Unlocking Cloud Native Security
【技術/規格】日本でのクラウドの可能性は、IDC事業者らが議論