O’Reilly Japanから翻訳されたゼロトラスト・ネットワークが発刊され3年が経過しました。当初は、まさしく本カンファレンスのHPが言及するように、「物理的・時間的な距離を超えた」環境を想定したセキュリティ上の考え方でした。しかし、皆様も3年間のインシデントなどからお気づきの通り、ゼロトラストの適…
組織のセキュリティレベルを底上げするために、各社のCTOは何を考え、どう取り組んでいるのか。 開発者向けのセキュリティサービスを展開する株式会社Flatt Security CTOの米内貴志が、様々な企業のCTOを歴任してきた株式会社LayerX 代表取締役CTOの松本勇気さんと、2023年1月にクックパッド株式会社のCTO兼CISOに就任した星北斗さんのお二人にお話を伺いました。 ▼後編 flatt.tech プロフィール CTOに就任して感じる「キャリアの連続的な変化」 会社のミッションの中でセキュリティをどう位置付けるか 目標は「全員セキュリティ」と言える組織 ”やりすぎと思われるぐらい”早期から体制を強化 技術によるガードレールでセキュリティレベルを底上げ セキュアな組織づくりの第一歩は「雑に相談できる窓口を作る」 平時のセキュリティの肝は「基本的なことを丁寧に整理」 お知らせ プ
医療データ分析のJMDCは個人情報保護の支援を手がける新興のLayerX(レイヤーX、東京・中央)とデータの匿名化に関する共同研究を12月にも始める。医療データを狙ったサイバー攻撃が相次ぐなか、両社のノウハウを共有することで健康データから個人が特定されるリスクの低減につなげる。JMDCは国内約300の健康保険組合から、1100万人強のレセプト(診療報酬明細書)や健康診断などのデータを集めている
新しい IAL1 と IAL2 の違いは、生体情報をもって Evidence とのバインディングを検証しているか否か、のようです。 IALのレベル分けが実質4分類になり(NIST的には変わらず3分類とのことですが)、同じ IAL1 でも、 63A-3 と 63A-4 で意味するものが異なるようになったため混乱しそうですね。 今後 IAL を扱う際には、 63A-3 での整理のものなのか 63A-4 での整理のものなのか、都度明示するようにしなければならないなと感じました。 2. 4章 と 5章 の入れ替え Change Log 中の下記についてです。 Swaps the content in sections 4 and 5 to facilitate the introduction of identity proofing concepts before providing relat
この記事は、LayerX Tech Advent Calendar 2022 10日目の記事です。 @ken5scal です。CTO室やらFintech事業部やらで色々やっています。 今日は、Github ActionからGoogle WorkspaceのReports APIをキーレスで 実行する件について紹介したいと思います。 めちゃくちゃハマり半年の熟成を経て実装できたので、その喜びとともにお送りいたします。 背景 今までAPIを実行するアクセスキーといったクレデンシャルの多くは静的な値やファイルの形をとっていました。 故に取り扱いを間違えると重大な窃取や漏洩に繋がる可能性が高くなります。 そういったリスクを低減する定期的なローテーションが良いプラクティスとされていましたが、人手によるローテーションは作業漏れによる可用性の面でのリスクに繋がり兼ねません。 つまり人類は愚か 幸いなこと
Amazon Web Services ブログ Amazon Inspector が AWS Lambda 関数をスキャンして脆弱性を検出するようになりました Amazon Inspector は脆弱性管理サービスで、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスや Amazon Elastic Container Registry (Amazon ECR) 内のコンテナイメージにまたがるワークロードを継続的にスキャンしますが、本日より AWS Lambda 関数と Lambda レイヤーのワークロードも対象になりました。 今日まで、混在ワークロード (EC2 インスタンス、コンテナイメージ、Lambda 関数など) を一般的な脆弱性に対して分析したいと考えていたお客様は、AWS やサードパーティーのツールを使用する必要がありました。これに
AWS は、カスタムアプリケーション向けのスケーラブルできめ細かなアクセス権限管理および認証サービスである、Amazon Verified Permissions のプレビューを発表しました。 Amazon Verified Permissions を使用すると、アプリケーションデベロッパーは、エンドユーザーがアクセス権限を管理し、データへのアクセスを共有できるように設定できます。 例えば、どの Amazon Cognito ユーザーがどのアプリケーションリソースにアクセス可能かを決定するために、きめ細かなアクセス権限を定義して管理できます。 このきめ細かなアクセス権限集中管理システムでは、アクセス権限のルールの変更および更新を、コード変更不要で、一元的かつシンプルに行えます。 チームはこのアクセス権限システムを使用して、開発スケジュールを短縮し、より動的なアクセス権限をアプリケーションリ
どうも、のみぞうです。今回は終わった後の体力回復に時間がかかりHardening参加ブログを書くのすら遅くなってしまった。すいません。 今年もHardening本戦にTeam2「なんくるしーさーと」として参加させていただきました。実は個人的な色んなことがHardeningとは別に平行に進行していて、チーム内のいろいろがお留守になった結果、見事ドベ(最下位)だったので、自分なりに「そりゃそうですよねー」って思うところと反省するところとチームの皆に謝りたいところがないまぜになっています。チーム2の皆様におかれましては貢献できてなくてほんとごめんなさい。まあ、学びに順位は関係ないと嘯きつつ、反省することも多かったので書きます。 ちなみに私は今回3回目の参加で、2年前の初参加時は1位だったので、1位から最下位まで経験した参加者はそんなに多くないのではないでしょうか。そんな経験値から得たバッドノウハ
こんにちは!バクラク事業部の@ysakura_です。普段はバクラクビジネスカードの開発をしています。 先日、Partner APIの開発を担当する事になり、その前段としてバクラクシリーズ全体で利用できる OAuth 2.0 の認可サーバーを開発しました。 OAuth 2.0 により、Partner APIのセキュリティ向上を目的としています。 今回は入門記事として、 OAuth 2.0 の元となる課題感 / OAuth 2.0 での解決方法 / API Key方式との比較 を画像を交えながら説明します。OAuth 2.0 は分かった様で分からない状態になる事も多いと思うので、理解の一助になれば幸いです。 ※ あくまで入門記事ですので、OAuth 2.0 の詳細なフロー図などは出てきません。 前提となるシナリオ 他社のシステム(SaaS等)にデータを連携するシーンを考えます。 例として、バク
開発・運用の現場から、IIJのエンジニアが技術的な情報や取り組みについて執筆する公式ブログを運営しています。 こんにちは。IIJ Engineers Blog編集部です。 IIJの社内掲示板では、エンジニアのちょっとした技術ネタが好評となって多くのコメントが付いたり、お役立ち情報が掲載されています。 今回は、すでにお気づきの方もいるかもしれませんが、いつの間にか HTTPS 証明書の Common Name の検証が禁止 になっていた件について紹介します。 HTTPS 証明書の検証手続きは、RFC2818 で「Subject Alternative Name があればそれで、なければ Common Name を見よ」となっていました。 If a subjectAltName extension of type dNSName is present, that MUST be used as
By Myles Borins (GitHub), Jordan Harband (No affiliation), Jeff Mendoza (Google), Erez Rokah (CloudQuery), Laurent Simon (Google), Liran Tal (Snyk), Randall T. Vasquez (Gentoo) We are excited to announce the v1 release of the “npm Best Practices,” a new guide focused on dependency management and supply chain security for npm. This release is the result of the OpenSSF Best Practices Working Group.
編集・発行元 独立行政法人情報処理推進機構(IPA) 発行日 2022年7月15日 サイズ ソフトカバー/A4判 ISBN ISBN 978-4-905318-77-4 定価 定価:2,200円(本体価格2,000 円+税10%) 書籍概要 概要 情報セキュリティ白書2022 ゆらぐ常識、強まる脅威:想定外に立ち向かえ IPAでは、「情報セキュリティ白書」を2008年から毎年発行しています。本白書は、情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態など定番トピックの他、その年ならではの象徴的なトピックを取り上げています。 国内外の官民の各種データ、資料を数多く引用しトピックを解説しており、情報の網羅性と参照性の高さが特長で、情報セキュリティ分野の全体把握が容易です。 また、本白書は次のような使途で利用されています(2021年版の読者アンケートより)。 学習
金融や医療、行政等の領域で、PrivacyTechによる組織や企業を横断したパーソナルデータの利活用や流通を促進 経済活動のデジタル化を推進する株式会社LayerXは、個人情報保護とデータ利活用の両立を実現する最先端のプライバシー保護技術「Anonify(アノニファイ)」を用いたパーソナルデータ活用ソリューションの正式提供を開始します。 LayerXは創業期から研究開発部門(旧LayerX Labs)を設置し、セキュリティ・プライバシー保護技術の研究開発や実証実験等の取り組みを進めてきました。 今般、PrivacyTech事業に本格参入し、これまでプライバシーの懸念からパーソナルデータ活用が進みづらかった金融や医療、行政等を始めとする様々な領域において、高度なデータ利活用やデータ流通の促進に向けた取り組みを加速していきます。 ■ 背景 昨今、位置情報やヘルスケアデータ、決済情報をはじめとす
経済産業省は、企業がサイバーセキュリティ経営ガイドラインに基づいて組織体制を構築し、必要な人材を確保するためのポイントをまとめた『サイバーセキュリティ体制構築・人材確保の手引き』(以下、「手引き」)をリニューアルし、第2.0版として本日公開しました。 サイバー攻撃が高度化・巧妙化し、あらゆる企業が攻撃の対象となる中、経営者のリーダーシップの下でのサイバーセキュリティ対策の推進が急務となっています。 そこで、経済産業省では、独立行政法人情報処理推進機構(IPA)とともに、「サイバーセキュリティ経営ガイドライン」を策定しています。 本手引きでは、「サイバーセキュリティ経営ガイドライン」の付録として、企業におけるサイバーセキュリティ対策の推進の基盤であり、経営者が積極的に関わるべき、リスク管理体制の構築と人材の確保について、具体的な検討を行う際のポイントを解説しています。 本日公開した第2.0版
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く