「情報セキュリティの敗北史」が面白すぎる。だめだこれは寝れない、なんだこの死ぬほどワクワクする本は→賢者は歴史に学ぶ
もよもよ。 @yoppu1eg 情報セキュリティの敗北史が面白すぎる。だめだこれは寝れない、なんだこの死ぬほどワクワクする本は。まだ3章だぞ?これだこのことが私が生まれる少し前から起きてたのか??なんで、3ヶ月くらい寝かしてたの?この本?? pic.twitter.com/3vHXxg2W1h 2024-02-26 01:11:06
もよもよ。 @yoppu1eg 情報セキュリティの敗北史が面白すぎる。だめだこれは寝れない、なんだこの死ぬほどワクワクする本は。まだ3章だぞ?これだこのことが私が生まれる少し前から起きてたのか??なんで、3ヶ月くらい寝かしてたの?この本?? pic.twitter.com/3vHXxg2W1h 2024-02-26 01:11:06
私のセキュリティ情報収集法を整理してみた(2024年版) - Fox on Security
新年あけましておめでとうございます。毎年この時期に更新している「私の情報収集法(2024年版)」を今年も公開します。 ■はじめに サイバー攻撃は国境を越えて発生するため、ランサムウェア、フィッシング、DDoS攻撃など、近年のサイバー脅威の常連となっている攻撃者(脅威アクター)が主に海外にいることを考えると、世界の脅威動向を理解することが年々重要になっています。 海外から日本の組織が受けるサイバー攻撃の多くでは、国際共同オペレーション等の一部のケースを除き、日本の警察が犯罪活動の協力者(出し子、買い子、送り子)を摘発することはあっても、サイバー攻撃の首謀者(コアメンバー)を逮捕するまで至るケースはほとんどありません。 誤解を恐れずに言えば、日本の組織は海外からの攻撃を受け続けているのに、海外で発生したインシデントや攻撃トレンドの把握が遅れ、対策が後手に回っているケースも多いように感じます。最
セキュリティエンジニアとして就職してからそろそろ3年経ちます。独断と偏見に基づき、IT初心者・セキュリティ初心者・セキュリティエンジニアの3つの時期に分け、費用対効果の良い勉強法を紹介していきたいと思います。 セキュリティエンジニアとは 「セキュリティエンジニア」という言葉は範囲が広いですが、私が今回記載する内容は脆弱性診断やペネトレーションテストに寄った内容となっています。インシデント対応やアナリスト業務などは専門ではないので、あくまで診断系の人が書いているということをご認識おきください。 そもそもセキュリティエンジニアにどのような職種が含まれるかはラックさんが分かりやすい資料を出しているのでそちらをご覧ください(サイバーセキュリティ仕事ファイル 1、サイバーセキュリティ仕事ファイル 2)。 IT初心者時代 セキュリティを学ぶ以前に基礎となるITを学ぶ時代を考えます。 学校教育 学生の場
登大遊氏が憂う、日本のクラウド、セキュリティ、人材不足、“けしからん”文系的支配:ITmedia Security Week 2023 冬 2023年11月29日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「実践・クラウドセキュリティ」ゾーンで、情報処理推進機構(IPA)サイバー技術研究室 登大遊氏が「コンピュータ技術とサイバーセキュリティにおける日本の課題、人材育成法および将来展望」と題して講演した。日本における「ハッカー」と呼ぶべき登氏が初めてアイティメディアのセミナーに登壇し、独特の語り口から日本におけるエンジニアリングの“脆弱性”に斬り込んだ。本稿では、講演内容を要約する。
安全なパスワードの設定・管理 企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。 他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。 安全なパスワードの設定 安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。 理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることがで
大学の情報工学科に入学時に教科書として指定されたいわゆるパタへネを推します。 コンピュータの構成と設計 第5版 CPUの構造と基本は現代ではかなり複雑になりましたがこの本に書かれている基本を知っているかどうかで込み入った問題にぶち当たった場合の解像度が違います。 由緒正しいDBの読本というとオンラインで読めるRedbookとなりそうですがここは敢えて データ指向アプリケーションデザイン いわゆるイノシシ本を推します。名前からしてアプリケーションの話のように見えますし、分散システムに関する話が多いのですが最終章まで通して読むと「アプリケーションとデータベースの境界とは本来存在せず、入力されたデータを『いつ』『いかに』『安全に』加工・保存・出力するかがアプリケーションであり、その目的に対する最善手をフラットに考えるとある意味でアプリケーション全体が既にひとつのデータベースであってその仕事の一部
ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習
ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習(1/6 ページ) ビル点検の作業員に変装して、もしくは偽の名刺や社員証を作り、従業員に変装してオフィスに侵入。「Raspberry Pi」を社内ネットワークに接続することでシステムに侵入し、感染を広げて従業員の端末を乗っ取る──これは、クラウドベースの名刺管理サービスなどを手掛けるSansanが実施したセキュリティ演習で、実際に試みられたサイバー攻撃だ。 名刺管理や請求書管理サービスを手掛け、顧客や“顧客の顧客”の情報まで扱うことになるSansanにとって、セキュリティは重要事項だ。セキュリティポリシーの制定に加え、「CSIRT」「SOC」といったセキュリティ組織の整備、従業員教育、技術面など多面的な対策を施している。その一環として、攻撃者の視点に立って、どんな経路で
「GitHub Copilot 導入時に考えたセキュリティのあれこれ」というタイトルで登壇したのは、freee株式会社のただただし氏。タイミー社主催の「GitHub Copilotで拓く開発生産性」で、「GitHub Copilot 」を全社一斉導入する際に考えるべきセキュリティリスクについて発表しました。 freee株式会社 PSIRT マネージャーのただただし氏 ただただし氏:freee株式会社のただただしと申します。 今日は、「GitHub Copilot 導入時に考えたセキュリティのあれこれ」ということで、Copilotのセキュリティリスクについて語るわけですが、考えてみたら、GitHubの中の人を前にこんなことをしゃべるのは相当大胆な話だと思います。最後にいいことで締めるのでちょっと我慢してください。 自己紹介をいたします。ただただしと申します。PSIRTという組織でマネージャー
6月に受けたサイバー攻撃がネット上でさまざまな反響を呼んでいるKADOKAWAグループは7月3日現在、セキュリティエンジニア職の求人を求人サイトに掲載している。同グループのインフラ開発・運用業務などを担う子会社・KADOKAWA Connected(東京都千代田区)の社員を募集。セキュリティエンジニア職の最大年収は800万円という。
「偽セキュリティ警告画面」(サポート詐欺)はインターネットを閲覧中に突然表示されます。 あわてて画面をクリックすると、ディスプレイいっぱいに表示されてしまい、マウス操作で閉じることができなくなってしまいます。 このとき、表示されているサポート電話番号に電話をしてしまうと、思わぬ被害に遭います。 画面が表示されただけであれば、 パソコンは「コンピュータウイルス」には感染しておらず、「偽セキュリティ警告画面」を閉じるだけで問題ありません。 当窓口に寄せられる相談では、画面を閉じることができずに電話をかけてしまい被害にあう方が多くなっています。 そのため、偽のセキュリティ警告画面を疑似的に表示して、画面を閉じる操作を練習するための体験サイトを作成しました。 多くの方に画面の閉じ方を体験していただき、被害の未然防止につなげてください。 目次 はじめに(体験を実施する前に必ずご確認ください) 体験サ
「セキュリティ脆弱性に対するサイバー犯罪については、もう心情的に白旗を上げてしまい、技術的には対策が打てたとしても、運用が追いつかない…」という指摘が秀逸すぎる話
ケビン松永 @Canary_Kun 大手SIerで15年間システム開発に従事し、現在は独立してITコンサルをやってます。零細法人経営者 | 意識高い系よりは尿酸値高い系 | 3児の父 | 大家クラスタ | 多重債務力167M、加重平均金利は197bp ケビン松永 @Canary_Kun 自分は情報安全確保支援士(登録セキスペ)も持っていて素人ではないんですが、セキュリティ脆弱性に対するサイバー犯罪については、もう心情的に白旗を上げてしまってます。 技術的には対策が打てたとしても、運用が追いつかない…。そんな気持ちを連ツイします。 x.com/yuri_snowwhite… 白”雪姫” @yuri_snowwhite 一応、セキュリティ担当としておおっぴらには言ってないことなんだけどたまにはきちんと言おうかな。 今回のSSHの件然り、カドカワの情報漏洩然りなんだけど、 1:定期的に脆弱性対応
総務省|報道資料|LINEヤフー株式会社に対する通信の秘密の保護及びサイバーセキュリティの確保に係る措置(指導)
総務省は、本日、LINEヤフー株式会社(代表取締役社長 出澤 剛、法人番号 4010401039979、本社 東京都千代田区)に対し、同社における、不正アクセスによる通信の秘密の漏えい事案に関し、通信の秘密の保護及びサイバーセキュリティの確保の徹底を図るとともに、再発防止策等の必要な措置を講じ、その実施状況を報告するよう、文書による行政指導を行いました。 LINEヤフー株式会社(代表取締役社長 出澤 剛。以下「LINEヤフー社」という。)からの報告により、同社及び同社のITインフラの運用に係る業務委託先であるNAVER Cloud社が、それぞれセキュリティに係るメンテナンス業務を委託していた企業においてマルウェア感染が生じたことを契機として、NAVER Cloud社の社内システムが侵害されるとともに、同社を介して、同社とネットワーク接続のあったLINEヤフー社の社内システムに対して不正アク
JWTセキュリティ入門
SECCON Beginners Live 2023「JWTセキュリティ入門」の発表資料です。
ヨドバシカメラは現在、お客様との接点をドメインとして設計する新たなAPIを開発中であることを、クリエーションラインが主催し10月27日に開催されたイベント「Actionable Insights Day 2023」で明らかにしました。 REST APIとして実装される予定のこのAPIについて同社は「ヨドバシスタッフの魂を注入する」としており、厳重なセキュリティやユーザーフレンドリーで高い利便性などが追求されています。 ヨドバシAPIがどのように設計され、開発、実装されていくのか。その中味が紹介されたセッションの内容を見ていきましょう。 本記事は前編と後編の2本の記事で構成されています。いまお読みの記事は前編です。 疎結合なのに一体感、ヨドバシAPIがつなぐ社会 株式会社ヨドバシカメラ 代表取締役社長 藤沢和則氏。 ヨドバシカメラの藤沢と申します。本日はまずこの貴重な機会をいただきありがとう
23年3月末から勉強時間をガイドライン類の読み込み&ブログ執筆にあてて7カ月が経ちました。 特に良い区切りでもないのですが、ここらで一度振り返りたいと思います。 なんで読み始めたの? どれだけ何を読んだの? 色々読んでどうだった? 1. 自分の発言に根拠と自信を持てる 2. 未経験の技術テーマでも取り扱いやすくなる 3.トレンドやビッグテーマが分かる おすすめのガイドライン類は? なんで読み始めたの? 今更の自己紹介ですが、私は所属組織の中で3 Line of Defenseにおける2nd Lineにおり、セキュリティの戦略立案、強化施策の推進、あるいは新しい技術を利用する際のルール作りを主に担っています。 プログラム開発、サーバ、ネットワーク、クラウド、API、コンテナ、AI、様々な技術テーマがある中で、そのすべてにセキュリティは強く関わります。そして、セキュリティ担当は、現場から上記の
Sansan株式会社が提供するキャリアプロフィール「Eight」、朝日インタラクティブ株式会社が運営する中小企業向けウェブメディア「ツギノジダイ」の共催イベント「日本を変える 中小企業リーダーズサミット2023」より、日本ハッカー協会の代表理事・杉浦隆幸氏の講演の模様をお届けします。本記事では、中小企業が取るべきセキュリティ戦略の基本や、中小企業で大企業並みの「ゼロトラスト」を実現する方法などが語られました。 中小企業のセキュリティ年間予算は「100万円以下」 司会者:「ハッカーが教える、妥協しない高コスパなセキュリティ対策」と題し、一般社団法人日本ハッカー協会代表理事・杉浦隆幸さんよりご講演いただきます。それでは杉浦さん、よろしくお願いいたします。みなさん盛大な拍手でお迎えください。 (会場拍手) 杉浦隆幸氏:今日は「ハッカーが教える、妥協しない高コスパなセキュリティ対策」ということで、
「情報セキュリティ10大脅威 2024」簡易説明資料(スライド形式) 情報セキュリティ10大脅威 2024 [組織編](3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](一般利用者向け)(6月中旬公開予定) 情報セキュリティ10大脅威 2024 [組織編](英語版)(7月下旬公開予定) 「情報セキュリティ10大脅威 2024」簡易説明資料(脅威個別版) 情報セキュリティ10大脅威 2024 [組織編](脅威個別版)(3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](脅威個別版)(3月下旬公開予定) 10大脅威の引用について 資料に含まれるデータやグラフ・図表・イラスト等を、作成される資料に引用・抜粋してご利用いただいて構いません。 ご利用に際しまして、当機構より以下をお願いしており
定期的に更新・追加していきます。 セキュリティガイドライン、フレームワーク集 サイバーセキュリティガイドラインやフレームワーク等を参照することは、自組織でのセキュリティステータスを把握し、実際にセキュリティ施策を打つうえで非常に重要となります。 ただ、これらの文書の要件を満たすような施策を実施するためには、 1. 自組織が適用(組織・技術的に対策)したい各種ガイドラインやフレームワーク等を選定する 2. これら文書における抽象的な要件を具体的な要件へ落とし込む 3. 具体的な要件を満たすために最適なセキュリティ策を実施する のような流れを踏む必要があります。 2、3についてはセキュリティ策や技術動向に精通したセキュリティ専門家による対応が求められますが、1については自組織が目指す目的に依存するため専門家の手を借りずともある程度は対応することができます。 また、業界や技術等の軸で存在感のある
NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは?
HOME NRIセキュア ブログ NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは? 2024年2月26日、NIST(米国立標準技術研究所)は、「NIST サイバーセキュリティフレームワーク(NIST Cybersecurity Framework:NIST CSF)」のバージョン2.0を正式に公開した。2014年4月に初版であるNIST CSF 1.0が公表されて以来、約10年ぶりの大幅改訂である。 本記事では、NIST CSF 2.0における主な改訂のポイントと、特にインパクトの大きい6つ目の新機能「GV(統治)」について解説する。 ▶「経営層が納得するセキュリティ報告」を読む はじめに 2020年代に入り、新たな生活様式の変化に起因する脅威の発生、世界各国での深刻かつ大規模なサイバー攻撃の急増、生成AIなど新技術の普及に伴うリス
apnews.com 2025年にはサイバーセキュリティ分野での未採用の職が350万になるよという、昨今の米国 IT 業界におけるレイオフ事情を知るとホントかよという話である。なんでそんなことになるのか? 過去2年間、テクノロジー企業では30万人が雇用を失ったというが、サイバーセキュリティ分野は失業率ゼロを維持する稀有な雇用市場らしい。というか、今やあらゆる IT 部門がサイバーセキュリティ部門でもある。 brothke.medium.com 『コンピュータ・セキュリティ入門』(asin:0071248005)の邦訳もある、サイバーセキュリティ分野のベテラン Ben Rothke がこの問題を分析している。 彼によると、ゼネラリスト、中間管理職、CISO(最高情報セキュリティ責任者)、自称サイバー分野の専門家の成り手は不足していないという。実際にサイバーセキュリティ部門で足りていないのは、
総務省|報道資料|LINEヤフー株式会社に対する通信の秘密の保護及び サイバーセキュリティの確保の徹底に向けた措置(指導)
総務省は、LINEヤフー株式会社(代表取締役社長CEO 出澤 剛)に対し令和6年3月5日付けで行政指導を実施し、同年4月1日、同社から再発防止等に向けた取組に関する報告書の提出を受けました。同報告書を踏まえ、総務省は、同行政指導において求めた措置の早期実施等を求めるとともに、その実施状況や実施計画を報告するよう、本日、文書による行政指導を行いました。 総務省は、LINEヤフー株式会社(代表取締役社長CEO 出澤 剛、法人番号 4010401039979、本社 東京都千代田区。以下「LINEヤフー社」という。)に対し、令和6年3月5日付けの「通信の秘密の保護及びサイバーセキュリティの確保の徹底について(指導)」(総基用第46号)による行政指導を実施し、同年4月1日、同社から再発防止等に向けた取組に関する報告書の提出を受けました。 同報告書によれば、一定の応急的な対策については実施済みとのこと
セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン・サービスのまとめ - FFRIエンジニアブログ
はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。先日は「セキュリティエンジニアを目指す人に知っておいてほしい組織」を公開しました。今回は、セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン、サービスについてまとめました。こちらも、セキュリティエンジニアとして働いていると日常的に会話に出てくるものばかりです。これからセキュリティを学ぼうという方の参考になれば幸いです。なお、記載した情報はすべて執筆時点 (2023 年 7 月) のものです。 はじめに 制度・ガイドライン セキュリティ設定共通化手順 (SCAP) 共通脆弱性識別子 (CVE) 共通脆弱性評価システム (CVSS) ISMS適合性評価制度 政府情報システムのためのセキュリティ評価制度 (ISMAP) CSIRT Services Framework PSIRT Services Framewo
「AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた」というタイトルでAWS Summit Japan 2024のCommunity Stageで登壇しました #AWSSummit | DevelopersIO
AWS Summit JapanのCommunity Stageで登壇した「AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた」の解説です。 こんにちは、臼田です。 みなさん、AWSセキュリティの勉強してますか?(挨拶 今回はAWS Summit JapanのCommunity Stageで登壇した内容の解説です。 資料 解説 AWSとセキュリティの勉強をしていく時、嬉しいことにAWS関連の情報はたくさんあります。しかし、どの情報から勉強していくか迷いますよね?そこで、AWS Security Heroである私がオススメする「日本語で」学習するための良いAWSセキュリティのコンテンツたちを紹介します。 紹介するコンテンツは、最近実施しているAWSセキュリティ初心者がステップアップしていくことを目的としたmini Security-JAWSにてまとめたmini S
カネも思い出もすべてを奪われる…米国で被害が急増中の「Apple ID泥棒」の卑劣すぎる手口【2023編集部セレクション】 鉄壁のセキュリティの「最大の弱点」を悪用している
被害者たちは、外出先でiPhoneを盗まれ、わずか数分後にはアカウントから閉め出される。次いで自宅のMacはログインができなくなり、24時間以内に数百万円という預金が口座から消える――。そんな事例をウォール・ストリート・ジャーナル紙が報じている。 被害のきっかけは、iPhoneの4桁または6桁の簡易的なパスコードを盗み見られたことだ。これによって、より強力なパスワードを設定したはずのApple IDのセキュリティが同時に無力化されてしまった。 同紙が今年2月に「脆弱性」として報じ、さまざまなテックメディアで取り上げられ大きな反響を呼んでいる。Appleは現時点で対策措置を発表していない。 被害はiPhoneからほかのApple製品に広がる… これはiPhoneの6桁のパスコードさえわかれば、Apple IDのアカウントを丸ごと乗っ取れる状態であることを意味する。 Apple IDとは、多く
PHPの脆弱性(CVE-2024-4577)を狙う攻撃について | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 近年、インターネット境界に設置された装置の脆弱性の悪用を伴うネットワーク貫通型攻撃が脅威となっています。IPA は、昨年8月に公開した「インターネット境界に設置された装置に対するサイバー攻撃について ~ネットワーク貫通型攻撃に注意しましょう~」脚注1、今年4月に公開した「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ~Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃~」脚注2 で注意を呼び掛けています。 そのような中、IPA では、The PHP Group が提供する PHP の脆弱性 (CVE-2024-4577) を悪用した攻撃による被害を確認しています。具体的には、国内の複数組織においてこの脆弱性が悪用され
Googleフォームの設定ミスによる情報漏えいが多発~あなたのフォームは大丈夫? 原因となる設定について解説~ - ラック・セキュリティごった煮ブログ
デジタルペンテスト部の山崎です。 4月から「セキュリティ診断」の部署が「ペネトレーションテスト(ペンテスト)」の部署に吸収合併されまして、ペンテストのペの字も知らない私も晴れてペンテスターと名乗れる日がやってまいりました!(そんな日は来ていない😇) そんなわけで、新しい部署が開設しているブログのネタを探す日々を送っていたのですが、最近、Googleフォームの設定ミスによる情報漏えい事故が増えてきているようです。 どのような設定が問題となっているのでしょうか? 同じような事故を起こさないよう、設定項目について見ていきたいと思います。 情報漏えいの原因となりうるGoogleフォームの設定について Googleフォームから情報漏えいとなっている事例を見てみると、大きく分けて以下の2パターンのいずれかが原因となっているようです。 1.表示設定で「結果の概要を表示する」が有効に設定されている ある
WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か困ったことがいままでありません。 ただ、ふと考えてみると「情報漏洩やサイバー攻撃が発生した際などの有事にどのような行動をとるべきか」という観点ではあまり自信がないなと感じました。社内でもそのような場合の指針が整っているわけではないです。 徳丸先生は、一般的な開発者には最低限どのレベルのセキュリティ知識を求められていますか? 回答の難しい質問ですが、ここは本音をさらけ出したいと思います。 私が「安全なWebアプリケーションの作り方(通称徳丸本)」を出したのが2011年3月でして、それから13年以
セキュリティ対策テストで職員のほぼ全員が引っかかって開封してしまった「卑怯すぎるファイル名」に同情の声「訓練でよかったな」
きんむいーにゃ @NTR66802653 セキュリティ対策テストで「給与変更のお知らせ」という添付ファイルついたメール送ってくるの卑怯すぎだろ 職員のほぼ全員が開封してしまった 2024-02-09 18:34:42
「AWSセキュリティ成熟度モデルで自分たちのAWSセキュリティレベルを説明できるようにしてみよう」というタイトルで登壇しました | DevelopersIO
こんにちは、臼田です。 みなさん、AWSのセキュリティ対策してますか?(挨拶 今回はAWSセキュリティ成熟度モデルを活用して組織のセキュリティレベルを上げよう!というイベントで登壇した内容の解説です。(ちょっと前のイベントですが) 最近私が注目しているAWSセキュリティ成熟度モデルについての解説になります。 資料 解説 アジェンダは以下のとおりです。 セキュリティ対策頑張ってるってどうやって言えばいいんだ? AWSセキュリティ成熟度モデルとは 使い方・コツ 説明できたら次のステップ セキュリティ対策頑張ってるってどうやって言えばいいんだ? まずは課題の話から。 AWSに限らずですが、セキュリティ対策はITを扱う上で基本的なことでもあり、しかし継続的に取り組まなければいけない一筋縄ではいかない課題です。 そんな中で例えば上司から「AWSのセキュリティ対策ちゃんとやってる?」と聞かれたときにあ
OSINTツール「GreyNoise」を使ってみる - セキュリティ猫の備忘録
こんにちは、セキュリティ猫です。 久しぶりに(ホントに久しぶりに)何かを書きたい欲が出てきたので、自分でも使い方の整理・機能の確認の意味を込めてツールの使い方を扱うことにしました。 今回は、調査で便利なツール「GreyNoise」について紹介していこうと思います。 GreyNoise はじめに 【注意事項】 GreyNoiseとは? 機能 IPルックアップ GREYNOISEクエリ言語 (GNQL) タグトレンド その他の機能 主な使い方 まとめ はじめに 【注意事項】 本記事内で、GreyNoiseの使い方や調査方法について記載しています。本内容は脅威から守るために利用しているものであり、決して悪用することはしないでください。 GreyNoiseを利用することで外部組織の情報を得ることができます。しかしながら、ここで得られた情報をもとにアクセスは行わないでください。アクセスを行う場合は自
「LINEのセキュリティ」は大問題 TikTokと同じ道をたどるのか:世界を読み解くニュース・サロン(1/5 ページ) 日本人の8割、約9600万人が利用している無料メッセージングアプリの「LINE」。新しいコミュニケーションツールとして2012年ごろから一気に市民権を獲得。写真やファイルを簡単に送れる機能や、キャラクターのスタンプなどが人気を博して、瞬く間に日本人の生活に不可欠なアプリとなった。 クラウド型ビジネスチャットツール「LINE WORKS」などで、深くLINEと付き合っている企業も少なくないだろう。 民間企業は言うまでもなく、中央省庁や地方自治体もLINEアカウントを開設している。例えば、コロナ禍では、経済産業省がLINEで「経済産業省 新型コロナ 事業者サポート」を設置して企業を支援。厚生労働省は海外から日本に入国する人に向けて「帰国者フォローアップ窓口」をLINEで設置し
サーバーセキュリティ構成の話 - Chienomi
序 最近、安易に建てられた危険なサーバーが増えているため、サーバーセキュリティを鑑みた基本的な設定や構成はどういうものかという話をする。 本記事では具体的な設定や構築を説明するが、環境や前提、用途などもあるため、これを真似すれば安全ということではない。 セキュリティは銀の弾丸があるわけではなく、全ての要素を合わせて考えたア上での最適を導かねばならない。それがセキュリティの難しいところでもある。 本記事はセキュリティが未熟だと自認する人にとっては参考になる内容だと思うが、どちらかというと、本記事の内容が当たり前に「すでに理解できている内容」になっていない人は、サーバーを建てるべきではない(危険な未熟の段階である)ということが重要であり、各々が自身の技量を測る指標として使ってもらえればと思う。 宣誓の儀 「サーバーを破られるということは、すなわち犯罪に加担するということである」 この言葉をしっ
偽のセキュリティ警告画面(サポート詐欺)が表示される仕組み - NTT Communications Engineers' Blog
みなさんこんにちは、イノベーションセンターの益本(@masaomi346)です。 Network Analytics for Security (以下、NA4Sec) プロジェクトのメンバーとして、脅威インテリジェンス(潜在的な脅威について収集されたデータを収集・分析したもの)の分析をしています。 最近、広告から偽のセキュリティ警告画面に飛ばされる事例が目立っています。 本記事では、偽のセキュリティ警告画面が表示される仕組みについて、実際に使われているツールを使って紹介していきます。 ぜひ最後まで読んでみてください。 NA4Secについて 「NTTはインターネットを安心・安全にする社会的責務がある」を理念として、インターネットにおける攻撃インフラの解明・撲滅を目指した活動をしているプロジェクトです。 NTT Comグループにおける脅威インテリジェンスチームとしての側面も持ち合わせており、有
最小限で基礎的なセキュリティガイダンスである「AWS Startup Security Baseline (AWS SSB)」を紹介します | DevelopersIO
最小限で基礎的なセキュリティガイダンスである「AWS Startup Security Baseline (AWS SSB)」を紹介します いわさです。 SaaS on AWS では大きく 4 つのフェーズ(設計・構築・ローンチ・最適化)で役立てる事ができるコンテンツが提供されています。 設計フェーズでは技術面からコンプライアンスに準拠したりセキュリティベースラインを考える必要があります。 これらについてベストプラクティスが提案されている動画コンテンツがあります。 その中で初期段階で実施出来ることとして次のステップが紹介されていました。 セキュリティ周りは Well-Architected Framework や Security Hub の適用から始めることも多いと思いますが、様々な制約からすぐの導入が難しい場合もあります。 そんな方に本日は上記の中の AWS Startup Secur
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、サイバー攻撃によって侵入されることを前提とした、企業側の打ち手について解説します。 今のサイバーセキュリティは「侵入されること」が前提 鈴木暢氏:みなさま、こんにちは。このセッションでは「ログの監視分析とSOCサービス、組み合わせの勘どころ」と題して、ログの分析・監視環境をどのように構成すべきかという情報提供と、ALogを活用した弊社のマネジメントセキュ
遠隔でシステムを操作するツールである「SSH」への攻撃をわざと行わせて行動を観察する「ハニーポット」を30日間にわたって設置した結果をセキュリティエンジニアのソフィアン・ハムラウイ氏が公開しています。 What You Get After Running an SSH Honeypot for 30 Days https://blog.sofiane.cc/ssh_honeypot/ ハムラウイ氏はカーネルが「6.8.0-31-generic」でOSが「Ubuntu 24.04 LTS x86_64」のマシンを用意し、ハニーポットとして使用しました。 30日に行われたログイン試行は合計1万1599回で、1日あたり平均386回ログインが試されている事がわかります。 ログインを試す際に使用されたユーザー名のランキングには「root」や「admin」「ubuntu」「support」など、標準で
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティエンジニアを3年続けて分かったおすすめ勉強法
登大遊氏が憂う、日本のクラウド、セキュリティ、人材不足、“けしからん”文系的支配
総務省 | 安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト
コンピュータサイエンスで1冊ずつ本を上げるとしたら何になりますか?就職前にバイブル的な本を勉強したいと思いました。 -コンピュータアーキテクチャ -データベース -os -アルゴリズムとデータ構造 -セキュリティ -ネットワーク -プログラミング -仮想化技術 | mond
%2520-%2520%25E9%2585%258D%25E5%25B8%2583%25E8%25B3%2587%25E6%2596%2599%25E3%2581%259D%25E3%2581%25AE1%2520-%2520%25E7%25A7%2598%25E5%25AF%2586%25E3%2581%25AE%2520NTT%2520%25E9%259B%25BB%25E8%25A9%25B1%25E5%25B1%2580%25E3%2580%2581%25E3%2583%2595%25E3%2583%25AC%25E3%2583%2583%25E3%2583%2584%25E5%2585%2589%25E3%2580%2581%25E3%2582%25A4%25E3%2583%25B3%25E3%2582%25BF%25E3%2583%25BC%25E3%2583%258D%25E3%2583%2583%25E3%2583%2588%25E5%2585%25A5%25E9%2596%2580.pdf)
2023/06/10 総務省「西日本横断サイバーセキュリティ・グランプリ」 講演第 1 部 (登 大遊) — 参加者向け配布資料その 1 秘密の NTT 電話局、 フレッツ光、 およびインターネット入門 (1)
「それは、本当に安全なんですか?」 セキュリティ専門家が「GitHub Copilot」の全社一斉導入時に考えたあれこれ
KADOKAWAグループ、セキュリティエンジニア募集中 最大年収800万円 「0→1を経験」
偽セキュリティ警告(サポート詐欺)対策特集ページ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
ヨドバシの中の人が語る、開発中のヨドバシAPIが目指す機能、仕組み、そしてセキュリティ(前編)
【雑記】セキュリティガイドライン類 約300時間 読み漁ってみた - 2LoD.sec
セキュリティ対策として「閉域網を使っているので安全」は間違い ハッカーが教える、制限されたネットワークの「穴」
情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
サイバーセキュリティ情報インプット集 第1.0版 - Qiita
IPA、「情報セキュリティ10大脅威 2024」の解説および対策のための資料公開
なぜサイバーセキュリティ分野で人材が不足しており、職が埋まらないのか? - YAMDAS現更新履歴
WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か困ったことがいままでありません。 ただ、ふと考えてみると「情報漏洩やサイバー攻撃が発生した際などの有事にどのような行動をとるべきか」という観点ではあまり自信がないなと感じました。社内でもそのような場合の指針が
IPA、「情報セキュリティ白書2023」を7月25日発売。PDF版は無料公開予定
「LINEのセキュリティ」は大問題 TikTokと同じ道をたどるのか
企業がサイバー攻撃を「防げる」という考え方は時代遅れ 攻撃を受けて「侵入される」前提のセキュリティ対策
Microsoft、Windows 10サポート終了後のセキュリティ更新を有償提供へ。組織向けに最長3年間 - PC Watch
わざとシステムを攻撃させて攻撃手法を観測する「ハニーポット」を30日間設置した結果をセキュリティエンジニアが公開