Ubuntuではセキュリティ対策の一環としてAppArmorを採用しています。AppArmorを使えば、任意のプログラムに対して、意図しないファイルやデバイスのアクセスを阻害したり、サブプロセスに対するセキュリティ制約をかけたりできます。今回はあまり意識することのないものの、知っておくといつか役に立つかもしれない、実際に役に立つ時はあまり来てほしくないAppArmorについて紹介しましょう。 AppArmorとMACとLSMと 「AppArmor」は「名前ベースの強制アクセス制御で、LSMを用いて実装されている仕組み」と紹介されることがあります。これはどういう意味でしょうか。 まずはAppArmorの特徴となる「名前ベース(もしくはパス名ベース)」についてですが、これは「セキュリティ設定を対象となるファイルパスを元に設定する」ことを意味します。つまりファイルパスごとに、何を許可し何を許可し
セキュリティ人材の不足が社会的な問題になっているのは皆さんも耳にしたことがあるのではないでしょうか。日本は3年連続で1組織あたりのサイバー攻撃が世界一の状況にありながら、欧米と比べ国家的な支援制度・法制度が乏しく、せっかくの人材も海外へ流出し、国内の少ない人材のパイを奪い合っているのが現状です。 Visionalグループでは、全社横断組織としてセキュリティ室があります。今回はそんな社会課題の解決と、Visionalグループが目指す事業とセキュリティの真の「共存」への1つの解決案として、セキュリティ室が実施する「サイバーセキュリティ社内留学制度」をご紹介できればと存じます。一方通行の文章とならないよう、実際に参加された留学当事者にも忌憚無く語っていただきました。皆様の組織のセキュリティ施策のご参考になれば幸いです。 まずは自己紹介です。私、佐藤はCEH (Certified Ethical
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 川村インターナショナル 2024-04-12 07:30 すべての始まりは、Microsoftの主任ソフトウェアエンジニアであるAndres Freund氏が、「Debian Linux」ベータ版のSSHリモートセキュリティコードの実行速度が遅い理由に関心を持ったことだった。Freund氏が詳しく調べたところ、問題が明らかになり、xzデータ圧縮ライブラリーのチーフプログラマー兼メンテナーだったJia Tanと名乗る人物がコードにバックドアを仕掛けていたことが分かった。その目的は、攻撃者が「Linux」システムを乗っ取れるようにすることだ。 近年は、悪意あるハッカーがソフトウェアに不正なコードを挿入する事例が非常に多くみられる。一部のオープンソースコードリポジトリー、たとえば人気の「
なぜ多機能な製品は、セキュリティ的に“ダメ”なのか
いつまでたってもなくならないVPN機器の脆弱性 その背景にあるもの ここ最近で話題になったインシデントの多くが、VPN機器の脆弱性をきっかけとしていることは、皆さんもご存じのはずです。かつて大きな話題になった病院におけるインシデント群もやはりVPN機器でした。特に大阪急性期医療センターのランサムウェア被害事例はサプライチェーンを通じて、関連会社から侵入を許してしまったというものでした。自社だけでなく関連会社や関連拠点に置かれた機器も、正しく管理しなくてはならないというのが、現状のランサムウェア対策を困難にしています。 かつてネットワークベンダーの間では「UTM」(Unified Threat Management:統合脅威管理)製品が大変なブームになりました。UTMが一段落したかと思えば、次世代UTMというものもプロモーションのキーワードとして多用されてきています。一方、UTMの導入現場で
「自社でサイバーセキュリティ人材を育成する」と思ったときに何から始めるべき?:セキュリティ人材育成を考える(終) サイバーセキュリティ人材不足をどう解決すればいいのか、セキュリティ人材の育成などについて解説する本連載。第4回は、サイバーセキュリティにおける人材育成を効率的に行うための手法について。 本連載ではこれまで、「サイバーセキュリティ人材の不足」「どのようなサイバーセキュリティ人材が必要なのか」「サイバーセキュリティの業務定義」について見てきました。今回は「効率的なサイバーセキュリティ人材育成」をテーマに、サイバーセキュリティ人材の育成を効率的に行うための適切な手法を紹介します。 サイバーセキュリティは重要な経営課題であり、これを適切にコントロールすることが会社、事業の成長には重要であること、外部から人材登用することが容易ではない中、内製で人材育成することが必要であることをこれまで述
Apple Silicon Mシリーズにチップレベルで暗号鍵を漏らす可能性ある脆弱性。プリフェッチャー狙ったサイドチャネル攻撃、米大学セキュリティ研究者らが公表 | テクノエッジ TechnoEdge
ガジェット全般、サイエンス、宇宙、音楽、モータースポーツetc... 電気・ネットワーク技術者。実績媒体Engadget日本版, Autoblog日本版, Forbes JAPAN他 米国の複数の大学の研究者グループが、Apple Silicon搭載Macにチップレベルの脆弱性を発見したと発表しました。 同グループによると、この脆弱性はMacが備える暗号化のしくみをバイパスし、システムの暗号鍵にアクセスを許すため、Macに格納されている個人情報が悪意ある者の手に渡る可能性があるとのことです。 Apple SiliconのM1、M2、M3チップには、データメモリ依存プリフェッチャー(DMP)と呼ばれる、処理性能向上用の機能があります。 これは実行中のコードが近い将来にアクセスするであろうデータが使うメモリアドレスを予測しロードすることで、ボトルネックとなるCPUとメモリー間のレイテンシーを削
情シスが実際に体験した“怖い話”を募集し、本物の“怪談師”にホラー調で語ってもらう──セキュリティ企業のHENNGEが9月12日にこんなイベントを開催する。会場は神田明神(東京都千代田区)の境内にある神田明神ホール。参加者には「標的型電子郵便対策札」というお札30枚セットもプレゼントする。参加費は無料。 イベントには怪談コンテスト「怪談最恐戦」優勝経験のある伊山亮吉さんと、ホラー作家でもある夜馬裕(やまゆう)さんが怪談師として参加。募集したエピソードを基にした4つの“IT怖い話”を話すほか、選外のエピソードは会場内に掲示する。掲示物にはプレゼントのお札を貼って封印することも可能。今後同じ事態が発生しないよう祈れるという。 関連記事 「情シスすごろく」にまさかの「2」 “限界情シス”をゲームでも~っと体験 早速遊んだ 情シスすごろく」にまさかの新作「情シスすごろく2」が登場。早速試遊してきた
初めてAWSを使うときのセキュリティ覚書〜利用者編〜 | コラム | クラウドソリューション|サービス|法人のお客さま|NTT東日本
しばらくDevelopersIOから出張してクラソルにも投稿します。 今回はこれからAWSを使う方や使い始めた方向けに、AWSセキュリティで絶対に覚えておく必要があることを解説します。 この記事を読んでいただければ、自信を持って安全にAWSを利用し始められます! 1.前置き〜AWSは安全?〜 みなさんはAWSやクラウドを利用する際のセキュリティに対してどんな印象をもっていますか? 「なんだかよくわからないけど不安だ」と感じている方、いい感覚です。初めて扱う技術を怖く感じることは正常な感覚です。しかし、過剰に怖がりすぎるのは違いますね。 逆に「AWSやクラウドは安全だからセキュリティを気にせず使って大丈夫だ」と感じた方は少し危険かもしれません。自らの正確な知識と正しい根拠がないまま勝手に安全だと信じることは正常な感覚ではありません。 いずれの場合も、AWSやクラウドについてこれから学習してい
米Google(グーグル)といえば、生成AI(人工知能)やクラウドサービスで派手な技術を打ち出す印象が強い。ただサイバーセキュリティー分野では、派手さはないが実用的な技術やサービスをしばしば発表していて、筆者はひそかに楽しみにしている。以前にも「グーグルがオープンソースソフトウエア(OSS)にお墨付きを与える」という渋いサービスを取り上げたことがある。 そんなグーグルが2024年4月2日(米国時間)、また渋いセキュリティーの新技術を発表した。同社が「デバイス・バウンド・セッション・クレデンシャルズ(DBSC)」と呼ぶ技術である。まだあまり注目されていないが、「クッキー泥棒」ともいうべきサイバー攻撃への対策の決め手になる技術かもしれない。そう感じ、サイバーセキュリティーの専門家に取材することにした。 「ログインできるクッキー」が狙われている クッキー泥棒とは、ユーザーのWebブラウザーに保存
米国証券取引委員会(SEC)は、歴史的なサイバーインシデント報告要件の実施日を正式に迎えた。 重大なサイバーインシデントが発生したと判断された場合(注1)、4営業日以内の報告を義務付けるこの規則は、米国で事業を展開する上場企業に対して、最高レベルのサイバーリスク戦略の準備と実施を求める。 PwCでサイバーやリスク、規制マーケティングの領域を担当するリードパートナーのジョー・ノセラ氏は「重大性の判断について正確な情報を収集し、それらの情報に基づいた判断ができているかどうかを確認するために、企業はインシデント対応プログラムを見直している。SECが定める“重大性”の定義は曖昧であり、企業はそれを自らの組織にどのように適用すべきかを検討している」と述べた。 セキュリティ対策から逃げる経営責任者たち SECの重要な目標の一つは、重大な侵害やランサムウェア、国家によるスパイ攻撃を軽減するための企業の備
アマゾン ウェブ サービス ジャパンは、2024年7月9日、年次クラウドセキュリティイベント「AWS re:Inforce 2024(re:Inforce)」に関する振り返りの説明会を実施。re:Inforceは、AWSが“最優先事項”として挙げるセキュリティに特化したカンファレンスであり、6月10日から12日にかけて米ペンシルベニアで開催された。 説明会では、アマゾン ウェブ サービス ジャパンの執行役員 パブリックセクター技術統括本部長である瀧澤与一氏より、基調講演で紹介されたAWS自身のセキュリティの取り組みや、セキュリティ関連のサービスアップデートについて披露された。 大事なのは「セキュリティの文化」、セキュリティ最優先のAWS自身の取り組み re:Inforceの基調講演では、AWSの最高情報セキュリティ責任者であるクリス・ベッツ(Chris Betz)氏が登壇。 基調講演を通し
SOC2ってなに?テイラーは、エンタープライズ向けのソフトウェア開発基盤を提供しているため、セキュリティをとても大切にしています。 特に、米国市場においては、SOC2という認証規格が、エンタープライズにおけるソフトウェア選定・ベンダ選定の際に見られることが多く、「持ってて当たり前」の認証になりつつあります。日本でも個人情報を扱うコールセンター受託などの事業者が「Pマーク」や「ISMS」を持っているのが当たり前なのと似たような感覚と考えてOKです。 SOC2は基本的には個人情報のみならず、ソフトウェアセキュリティ全般の体制および内部統制が、基準を満たすことを、外部の監査人(CPA)がお墨付きを与える制度になっており、一般的にはISO27017(日本では「ISMSクラウドセキュリティ認証」と通称されているISO規格)よりも高難度であると解釈されています。 (厳密には、ISOが規格のフレームワー
春からセキュリティエンジニアとして働く人たちに伝えたいこと - トリコロールな猫/セキュリティ
はじめに 歳をとってきて、若手の人たちにいろいろいい残しておきたいけど直接言うと老害になるのでブログに書く試み第二弾。春からセキュリティエンジニアとして会社で働く学生に向けた言葉です。第一弾はこちら。 security.nekotricolor.com 食わず嫌いせずいろんな分野に挑戦しよう 幼稚園の頃からバイナリコードに夢中で・・とかいう人はいいです。その道を邁進してください。高校・大学からCTFやってますとか、なんとなくペンテストに興味があって、とかいう人は、興味のない分野でもとりあえずやってみることをお勧めします。意外な分野で適性があるかもしれません。社会人人生は五十年くらいあります。なるべくいろんなことをやってみて、自分に合っているものを見つけましょう。 できないことを悩まない 入社してしばらくすると、あの人はあんなにできるのになぜ自分はこんなにできないのかってなるんですよねえ。で
Linux環境で使用されている圧縮ツール「XZ Utils」のバックドアはどのように埋め込まれるのかをセキュリティ企業のカスペルスキーが解説
2024年3月29日に発覚した「XZ Utils」というライブラリへ仕掛けられていたバックドアについて、ロシアのセキュリティ企業であるカスペルスキーが分析記事を投稿しました。 Kaspersky analysis of the backdoor in XZ | Securelist https://securelist.com/xz-backdoor-story-part-1/112354/ XZは多くのLinuxディストリビューションで使用されている圧縮ツールで、今回は特にOpenSSHのサーバープロセスである「sshd」をターゲットに攻撃が行われました。「Ubuntu」「Debian」「RedHat/Fedora」などのディストリビューションではsshdの起動時に「systemd」経由でXZが呼び出され、sshdにリモートでコードが実行できるバックドアが仕掛けられます。 今回のバックド
開催日 2024年4月5日 開催資料 資料1 議事次第・配布資料一覧(PDF形式:41KB) 資料2 委員等名簿(PDF形式:119KB) 資料3 事務局説明資料(PDF形式:6,433KB) お問合せ先 商務情報政策局 サイバーセキュリティ課 電話:03-3501-1511(内線:3964)
GitHub勉強会~GitHub Copilotの最新動向、GitHub Actions、セキュリティ、開発フロー支援の機能など~|IT勉強会・イベントならTECH PLAY[テックプレイ]
イベント内容 概要 \3/21(木)19:30スタート/ ◆GitHub勉強会◆ GitHub Copilotの最新動向 GitHub Actions セキュリティ 開発フロー支援の機能 etc ITテクノロジーに関する様々な職種やテーマをピックアップしてセミナー形式で学ぶイベントです! これまでにも増して目を見張るスピードで進化を遂げるGitHub。 普段から使っているのに、気づいたら新しい設定値増えてませんか? GitHubの注目の更新情報を、ギュッと凝縮してお届けします。 お役立ち機能をキャッチアップして、明日からの開発をブーストしましょう! 今回もGitHubの技術アドバイザリやワークショップの講師を担当されている岩永さんをお招きしてGitHub最新情報や改めて学びたい中級テクニックなどを学ぶセミナーを開催いたします。 主催/IT・テクノロジー人材のためのコミュニティ「TECH S
![GitHub勉強会~GitHub Copilotの最新動向、GitHub Actions、セキュリティ、開発フロー支援の機能など~|IT勉強会・イベントならTECH PLAY[テックプレイ]](https://cdn-ak-scissors.b.st-hatena.com/image/square/c9868092262bad0e36bd907a86209848b1e83ea9/height=288;version=1;width=512/https%3A%2F%2Fs3.techplay.jp%2Ftp-images%2Fevent%2F567f35462a9abb5d3b72bef089a274f09e3abeb5.jpg%3Fw%3D1200)
ソフトウェア開発におけるサプライチェーンセキュリティの実践 - NTT Communications Engineers' Blog
この記事は NTTコミュニケーションズ Advent Calendar 2023 の14日目の記事です。 こんにちは、イノベーションセンター所属の志村です。 Metemcyberプロジェクトで脅威インテリジェンスに関する内製開発や、Network Analytics for Security (以下、NA4Sec)プロジェクトで攻撃インフラの解明・撲滅に関する技術開発を担当しています。 ソフトウェア開発プロセスにおけるセキュリティに関心が高まりつつあり、サプライチェーンセキュリティという言葉も広く使われるようになってきました。 またMetemcyberプロジェクトではSBOMに関する取り組みを行っていますが、SBOMもサプライチェーンセキュリティの分野での活用が期待されている概念となります。 そこで本記事ではサプライチェーンセキュリティとはそもそも何か、具体的にどのような対策が存在するのか
Googleは米国時間8月15日、量子耐性暗号の導入に向けて取り組む中、オープンソースのセキュリティキーファームウェア「OpenSK」の一部として、量子耐性FIDO2セキュリティキーの実装を公開したと発表した。 セキュリティキーは、コンピューターやスマートフォンに接続する小さなドングルで、アカウント認証のためのセキュリティの低いSMSメッセージに代わるものだ。 アカウントにログインして認証を求められた場合に、スマートフォンのテキストメッセージで受け取ったコードを入力する代わりに、セキュリティキーをタップするだけでログインできる。 しかし、量子コンピューターによって、現在は不可能と思われているワークロードが処理可能となる時代に突入しつつある中で、それが表す演算能力の急激な高まりに応じてセキュリティを強化する必要がある。 「量子攻撃はまだ遠い未来のことだが、インターネット規模で暗号化を導入する
クラウドの設定においてミスや誤りを犯すのは簡単だ。Amazon Web Services(AWS)のCISO(最高情報セキュリティ責任者)室でディレクターを務めるマーク・ライランド氏に聞けば、それがよく分かるだろう。 ライランド氏は「Black Hat USA 2023」のインタビューで「AWSの顧客がアプリケーションやワークロードのための原則を作成し、APIを呼び出す必要がある場合、それがEC2ロールかIAM(Identity and Access Management)ユーザーであるかどうかにかかわらず、その原則に割り当てられるアクセスレベルと権限を制限する必要がある」と語った。 AWSユーザーがやりがちなセキュリティミスとは? ライランド氏は次のようにも述べている。 「多くの場合、組織はアイデンティティーとアイデンティティーシステムに対して、最小特権の原則を適用していない。それこそ、
サイバー攻撃を受けた企業は、金額にしてどれだけの被害を受けるのか──日本ネットワークセキュリティ協会は10月24日、実際にサイバー攻撃の被害に遭ったことがある企業70社から回答を得たこんなアンケートの結果を公開した。ランサムウェア攻撃やマルウェア「Emotet」など、サイバー攻撃の種別ごとに情報を資料として取りまとめている。 例えばランサムウェア攻撃(8社から回答)の場合、直接的な被害額と、事後対応などで必要だった間接的な費用の合計は、平均2386万円だった。ただし、被害に遭った企業の多くが機会損失の被害額を把握していないと答えたといい、実際の額はより大きい可能性がある。対応に要した工数の平均は27.7人月だった。
sponsored JN-MD-IQ1301FHDRをレビュー モバイルでも映像の質にこだわりたいなら、QLEDの13.3型液晶はいかが? sponsored JN-i27QR-C65W-HSPをレビュー USB Type-C給電&KVM対応の27型WQHDディスプレーで約2.8万円は即ポチ損なしの最安級 sponsored MSIがセール開催中!この夏に自作PCパーツを買う人はツイている サマーセールを活用すれば同じ予算でGeForce RTX 4070を4080にできないか考えてみた sponsored FRONTIERの「FRGBLSZ790/SG2」をチェック、自作erでも心くすぐられるケース内部 RTX 4070 Ti SUPERを垂直設置、デザインもゲーム性能も妥協なしのゲーミングPC sponsored ファーウェイ製スマートウォッチらしくバッテリー長持ちもうれしい スマート
1. 始めに こんにちは、morioka12 です。 本稿では、新卒の学生によるセキュリティエンジニア志望の就職活動について、morioka12 の就活話も含めて簡単に紹介します。 1. 始めに 想定読者 筆者のバックグラウンド 2. セキュリティエンジニアとは 脆弱性診断・ペネトレーションテスト 3. セキュリティエンジニア志望の就活 3.1 企業候補 セキュリティイベント JNSA 情報セキュリティサービス台帳 JVN 一般社団法人日本ハッカー協会 公務員 3.2 ユーザー企業・ベンダー企業 3.3 企業ホームページ 技術ブログ 3.4 求められるスキル 4. morioka12 の就活話 4.1 気になる企業をリストアップ 4.2 カジュアル面談 4.3 新卒採用 5. セキュリティエンジニアを目指す就活生へ (まとめ) 5.1 セキュリティ業界を知ろう 5.2 セキュリティイベント
ヘンリー 開発統括執行役員の植村と申します。 ヘンリーは先日の記事で触れましたが、お客様に電子カルテを導入して終わりではなく、長く運用し続ける中で業務改善をしてもらいたいと考えています。 そのため、電子カルテ導入をDXのための起爆剤に出来るようにIT導入に関してのフォローを出来る仕組み作りをし始めています。 今日はヘンリーの導入の際に向き合うことになる病院様のIT導入に伴うセキュリティの話に対して、ヘンリーとしての問題認識と解き方をまとめてみようと思います。 病院のネットワークの構成概要現在、コスト的にもITに投資が難しい中小病院のネットワーク(NW)構造を簡単にまとめると以下になります。 情報系NWと閉域NW(診療系NW)の2つを保持することが多い 情報系NWでインターネットに接続する。無線WiFiなども最近はようやく増えてきている 閉域系NW側にオンプレ電子カルテ/レセコンやオンライン
医療機関向けセキュリティベンダCOO「事業拡大」のため病院をサイバー攻撃した罪を認める | ScanNetSecurity
アトランタを拠点とするハイテク企業の元最高執行責任者(COO)が、2018 年に 2 つの病院に意図的にオンライン攻撃を仕掛け、後にその事件を引き合いに出して売り込みを行った事件の裁判で、有罪を認めた。
PwC Japanグループは2024年4月、「サイバーセキュリティおよびプライバシー情報開示」に関する日米投資家の意識調査2024の説明会を開催しました。 非常に興味深い視点で、「ウチは狙われないから大丈夫」という認識の企業だけでなく、まだセキュリティ対策の意識が低い経営者に直接刺さるような提言が盛り込まれた、これまでとは少し異なるセキュリティ関連調査でした。個人的にも考えさせられる部分もあったので、今回はこちらを取り上げたいと思います。
AWS x セキュリティに入門するならまずこの一冊 /「AWS ではじめるクラウドセキュリティ」を読んだ - kakakakakku blog
「AWS ではじめるクラウドセキュリティ」を読んだ❗️とても良かった \( 'ω')/ 本書ではもちろん AWS のセキュリティサービスの機能など「サービスカットな観点」も学べるけど,それ以上に「セキュリティポリシーとは何か」や「どんなリスク分析フレームワークがあるのか」や「どういうセキュリティ管理策を検討するべきか」など,セキュリティ全般の知識を「ソリューションカットな観点」で底上げできる素晴らしい一冊だった📕 まさに本書の はじめに に載っている通りの内容だった💡 本書は、AWS のセキュリティを学ぶということ以上に、AWS を通じてセキュリティを学ぶということを主眼に執筆されました。 ちょうど最近仕事で AWS でのセキュリティ対策全般の設計と構築にゼロベースで取り組んでいて,僕自身の知識アップデートをするだけではなく,開発メンバーにも読んでもらえる本を探していて,まさにこれだ❗
企業におけるデータセキュリティの役割は大きく変化している。特に、AI(人工知能)や高度なアナリティクスイニシアチブを巡る競争の圧力が高まる中、ビジネスリーダーはしばしば、関連するリスクを認識したり評価したりすることなくデータを活用している。 データリスクに関して、ビジネスの利害関係者はしばしばセキュリティインシデントに対する責任感に欠けており、財務や評判に対する潜在的な影響を完全に理解していない場合がある。これらの責任の欠如によって、データのセキュリティリスクを適切に管理するためのインセンティブが働かない。 意思決定者にデータリスクを正しく伝える3つの“コミュ力” セキュリティやリスクを管理するリーダーは、組織のデータリスクを最も包括的に認識しているが、自分たちの主張を伝えて最終的な意思決定に影響を与えることは難しいと感じることがよくある。 重要なメッセージを意思決定者に確実に届けるために
姫路セントラルパーク☆サファリ[公式] @HcpSafari 姫路セントラルパークは今年で『40周年』を迎えます! お客様に日頃の感謝の気持ちを込めて開業日当日の3月25日限定で入園料金を40%割引とさせていただきます! ※基本的に個別のご質問への返信やフォローはしておりませんのでご了承ください。 central-park.co.jp
オブジェクトストレージにおけるファイルアップロードセキュリティ - クラウド時代に"悪意のあるデータの書き込み"を再考する - Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、オブジェクトストレージに対する書き込みに関連するセキュリティリスクの理解と対策についてお話しします。 本ブログは、2024年3月30日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたりオブジェクトストレージを主題とした内容の再編と、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 なぜ今、この問題を取り上げるのか? 近年のクラウドリフト、クラウドシフトにより、クラウドを活用する場面が多くなってきていると思います。その中で、多くの場面で利用されるオブジェクトストレージにおいて、データの書き込み時に気にすべきセキュリティリスクが存在するのをご存知でしょうか? 近年、オブジェクトストレージの不適切な利用に起因する情報漏洩が多く発生しています。そのよ
カミナシにセキュリティエンジニアとしてジョインして1年の振り返り - カミナシ エンジニアブログ
息子に「お父さんカエルの匂いがする」と言われているセキュリティエンジニアリングの 西川です。カエルの匂いとはこれ如何に。。 カミナシに関わって1年経って 見出しで入社してではなく、関わってと表現したのは業務委託で関わり始めたのが去年の4月からだったからです。1年経って色々と今までの活動などの振り返りをしたいと思い筆を取りました。 そもそも振り返るきっかけとなったのは、IssueHunt 社のイベント(https://issuehunt.jp/seminar/lounge3)でプロダクトセキュリティについて話をする機会があったからです。できるだけ無意識下にあったものを言語化したいなと思いました。自分の考えを整理する貴重な機会をいただけて本当にありがたかったです。 私はセキュリティに関する競技への参加などを通じてチームビルディングないしは、組織に馴染むといいますか、その組織に最適化するのが得意
The Hacker Newsは8月8日(現地時間)、「Understanding Active Directory Attack Paths to Improve Security」において、Active Directoryに対して行われた3つのサイバー攻撃の経路を解説し、これをセキュリティ向上に役立てるように促した。 The Hacker NewsはActive Directoryへの3つの攻撃について、次のように解説している。 ケース1: ドメイン内のすべてのユーザーに、パスワードをリセットする権限が誤って付与されていた。攻撃者がフィッシングやソーシャルエンジニアリングによって内部に侵入した場合、ほかのアカウントのパスワードをリセットし、管理者を含めすべてのアカウントを取得できる ケース2: グループポリシーオブジェクト(GPO: Group Policy Object)のgPCFi
プレス発表「情報セキュリティ10大脅威 2024」を決定 | プレスリリース | IPA 独立行政法人 情報処理推進機構
「個人」向け脅威は、家庭等でパソコンやスマホを利用する人を対象としています。脅威の順位は、「10大脅威選考会」の投票で社会的影響が大きかった脅威を決定したものですが、危険度を示すものではなく、各脅威の危険度は人によって異なります。しかし個人ユーザーが順位を危険度と誤って認識してしまうと、下位の脅威への注意が疎かになることが懸念されます。そのためIPAでは本年、「個人」向け脅威については順位表示を廃止し、五十音順での紹介としています。 「個人」向け脅威の種類は10個とも前年と変化がありませんでした。しかし、種類が同じであっても脅威を取り巻く環境は前年と同じというわけではありません。攻撃の手口は古典的で変わらないとしても、その中で被害者を騙す手口は常に更新されています。攻撃者は時機を見ながら、社会的に注目されているニュースや新しい技術(生成AI等)などを駆使して攻撃を仕掛けます。例えば、フィッ
JR東の複数の連携サービスに対して一つのIDでログインできるようにするサービス「My JR-EAST」だが、公式ページによると来年以降にサービスの終了を検討しているという。このため新規会員登録を2023年10月3日から停止するとしている。終了時期と取り扱いについては後日通知される(My JR-EAST公式の新規会員登録の停止について)。 終了の理由等に関しては告知されていないものの、同じページ上でビューカードを装ったメールを送信し、偽のVIEW's NETログイン画面へ誘導するフィッシング詐欺への警告がおこなわれていること、2014年に「My JR-EAST」サービスで大規模な不正ログイン事件なども起きていたことも影響している可能性がある。 あるAnonymous Coward 曰く、 JR東日本がグループの共通IDサービス「My JR-EAST」を廃止し、各サービスごと別々のIDでのログ
Microsoftはセキュリティより利益を優先し連邦政府や大企業のハッキングにつながる脆弱性を数年間無視していたと元従業員が証言
2020年12月、アメリカの各種政府機関や大手企業がロシア政府の支援を受けるハッカーにハッキングされ、多くの機密データが流出する事態となりました。このハッキングにはMicrosoftの製品に存在した脆弱(ぜいじゃく)性が悪用されていましたが、Microsoftの従業員はこの脆弱性を2016年から察知して繰り返し警告していたにもかかわらず、Microsoftはセキュリティより利益を優先して無視していたと報じられています。 Microsoft Refused to Fix Flaw Years Before SolarWinds Hack — ProPublica https://www.propublica.org/article/microsoft-solarwinds-golden-saml-data-breach-russian-hackers Microsoft Ignored Wh
Ankerのセキュリティカメラは配線不要。だってソーラー充電ですもの!2024.06.04 19:0068,010 小暮ひさのり Ankerが1台でぜんぶ解決してくれました。 モバイルバッテリーやイヤホンでおなじみのAnker。 迷ったらコレ買っておけば間違いないよねー!なテッパンなメーカーですが、ロボット掃除機や掃除機や、セキュリティ系アイテムまで幅広く「生活の悩みを解決しちゃうよ」ガジェットも取り扱っています。 Image: アンカー・ジャパン今回新発売された「Eufy Solar Wall Light Cam S120」もそんな生活寄りのアイテム。センサーライト&セキュリティカメラの2in1防犯ソリューションなのです。まずは価格から。 価格は1万4990円ですが、Amazonでは6月10日(月)23:59までの間21%ポイント還元となっています。この期間にポチれば実質21%OFFって
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
第798回 Ubuntuのセキュリティを支えるAppArmor入門 | gihyo.jp
ゼロから始める社内セキュリティ留学 制度づくりの工夫と参加者の声
「XZ Utils」のバックドア問題--オープンソースのセキュリティを考える
「自社でサイバーセキュリティ人材を育成する」と思ったときに何から始めるべき?
情シスが体験した怖い話を募集→プロの“怪談師”がトーク 神田明神で変わり種セキュリティイベント開催
Googleが渋いセキュリティー新技術、「クッキー泥棒」対策の決め手になるか
ノートンやAvast、CCleanerが1つになった巨大セキュリティ企業、「Gen」では何が変わる? 社長に聞いた/増える「生成AIを使った攻撃」には、AIで対抗する研究も【特集・集中企画】
「もうセキュリティから逃げられない」 SECの新規則施行で上場企業が頭を悩ませる
1年間で悪質なトラフィックを“240億回”拒絶、AWSが最優先する内部でのセキュリティ対策 (1/2)
担当者なしでセキュリティ認証 SOC2 Type2 を取った話|テイラー(YC S22)
第8回 産業サイバーセキュリティ研究会(METI/経済産業省)
パスキー認証の誤解を解く:企業のセキュリティを変える未来の鍵・パスキー[Sponsored]
![パスキー認証の誤解を解く:企業のセキュリティを変える未来の鍵・パスキー[Sponsored]](https://cdn-ak-scissors.b.st-hatena.com/image/square/479f154b4e63b23d5dfa7f4e93f5e40b39228cf5/height=288;version=1;width=512/https%3A%2F%2Fcloud.watch.impress.co.jp%2Fimg%2Fclw%2Flist%2F1546%2F577%2F02a.jpg)
グーグル、量子耐性のあるFIDO2セキュリティキーの実装を公開
AWSユーザーが“やりがち”なセキュリティ上のミスとは? 同社のCISOが語る
「サイバー攻撃を受けた企業」に聞く被害金額 日本ネットワークセキュリティ協会が70社にアンケート
マイクロソフトが重大なセキュリティ脆弱性を発見 VMwareの仮想化システムが標的に
第2回:ユーザーも「ひと手間」にご協力を。クレジットカード会社が取り組む不正利用対策【カード会社が教えるクレジットカードのセキュリティ】
新卒の学生によるセキュリティエンジニア志望の就活話 - blog of morioka12
病院のDX推進のためのセキュリティとの向き合い方|Henry
投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
zstd圧縮に対応した「Firefox 126」、追跡コードを除いてURLをコピーする機能も強化/セキュリティ関連の修正は16件
ReFSベースの「Dev Drive」が一般公開 ~開発リポジトリの保管場所に最適なボリューム/「Microsoft Defender」ウイルス対策の新モードで速度とセキュリティを両立
なぜ経営者にリスクが正しく伝わらないのか? セキュリティリーダーに必要な“コミュ力”を磨こう
リクガメ用おやつ販売所で無銭飲食サラダバーを楽しむワラビー→セキュリティ強化されちゃって切ない…「払ってあげたい」
Active Directoryを標的とした攻撃手段を知り、セキュリティの強化を
JR東日本が共通IDサービス「My JR-EAST」のサービスを終了へ | スラド セキュリティ
Ankerのセキュリティカメラは配線不要。だってソーラー充電ですもの!