システム運用アンチパターン
上層部がDevOpsに理解のない組織で働き、組織構造を変える権限を持っていない開発者であっても、チームにDevOpsを導入するための現実的な方法を紹介します。 重厚な承認プロセス、可視化されていない運用、プロセスの最後でのみ行われるソフトウェアテスト、ノイズだらけのアラート、インシデントから学習しない習慣、時間外のデプロイ、情報のため込みなどを取り上げ、ソフトウェアシステムの開発運用が滞るチームや組織に共通してみられる陥りがちな状況や犯しがちな間違いをアンチパターンとして紹介します。そして管理職やマネージャでなく、エンジニアが実行し、繰り返すことで改善できる具体的な行動を解説します。 組織で必要とされる変化を、エンジニアが行動することで実現する本書は、ソフトウェアシステムをよりよく開発運用したいエンジニア必携の一冊です。 目 次 序文 本書について 1章 DevOpsを構成するもの 1.1
私のセキュリティ情報収集法を整理してみた(2022年版) - Fox on Security
新年あけましておめでとうございます。毎年年頭に更新している「私の情報収集法」を今年も公開します。何かの参考になれば幸いです。 インプットで参照している情報源(海外) 海外からの攻撃が主流となる中、海外情報をいち早く把握する事の重要性が増しています。去年に引き続き、今年も絶対外したくない海外サイトからご紹介します。 サイト キタきつね寸評 1位 morningstar SECURITY 不動の1位です。ジャンルの広さ、情報の更新頻度、関連ソースの網羅性など、英語系のセキュリティニュースとしては群を抜いた、最良のまとめサイトです。 私は「Daily Security News(最も人気のあるセキュリティニュース)」(一番上)と「Security Blogs(セキュリティブログ)」(下から3つ目)を主にチェックしていますが、人によって興味が違うかと思いますので、「Malware/APT」「Exp
45歳以上の大企業社員のリストラが話題になっていた。 最近の大企業のリストラ ・味の素:50歳以上 100人 ・カシオ:45歳以上 200人 ・エーザイ:45歳以上 100人 ・ファイザー:50歳以上 200人 ・LIXIL:50歳以上 人数定めず ・KIRIN:45歳以上 人数定めず 全て2019年のニュース 45才以上が対象者なのは共通 pic.twitter.com/NvUGOH0sR6— スイッチ (@Ebisu0808Fumiko) December 1, 2019 新卒で入った会社で粉骨砕身働いて、40にして惑わず、「さァこれから会社で頑張ろう」といったタイミングでリストラされるのはいたたまれないだろう。 40代の社員がリストラされるのは利益に比べて賃金が高すぎるためだが、人の能力は働いた期間に比例して伸びていくわけではない。 どの部署に配属され、どんなキャリアを歩み、どんな専
1. Chrome でEV証明書の組織名表示がなくなる ついにGoogleからChromeのURLバーからEV表示を削除する正式なアナウンスが出ました。 Upcoming Change to Chrome's Identity Indicators EV UI Moving to Page Info 現在(2019年8月) StableのChrome76では、以下の様にURLバー左側にEV証明書を利用していることを示す「組織名+国名」表示が付いています。 Chrome76のEV表示 2019年9月10日Stableリリース予定のChrome77からはEV表示がURLバーから削除され、鍵アイコンをクリックして表示されるPage Infoに「組織名+国名」が表示されるようになります。 Googleのアナウンスでは、 "on certain websites" と書いてあることから一気にではなく
AWS認定トレーニング講師の平野@おんせん県おおいたです。 みんな、温泉入ってますかー? (挨拶 2021年3月に公開した「AWSの勉強を始めるためのリンク集」ですが、今回新しい情報を追加して大幅リニューアルしました。 ひき続きご活用いただければと思います。 目次 1. 雰囲気を知る 2. やってみる 3. 楽しむ 4. 書籍を買う 5. 深める 6. 調べる 7. さらなる成長のために 8. 楽しく学び続けるヒント 1. 雰囲気を知る AWSを始める皆さんに、まず体験いただきたいのが「雰囲気を知る」ことです。AWSの背景や、AWSを活用するさいの考え方、どんなメリットがあるか等々、個別のサービスを学ぶ前に押さえておくことで、AWSを理解しやすくなりますし、ワクワクしていただけるかと思っています。 AWS Summit 講演ビデオ まずは、4つのビデオを紹介します。これらは AWS Sum
![[初心者向け]AWSの勉強を始めるためのリンク集(2023.5更新) | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/610a3e784035c62a4897be14d5731115ca3690b2/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Fawsbeginner.jpg)
先日、NTT東日本グループが従業員に対し、個人所有のPC等に会社指定の検閲ソフトを導入させてプライベートなデータの検査や、会社が指定したソフトウェアを利用できないようシステムに細工するセキュリティ向上施策を実施していたことが明らかになりSNSで話題になりました。 ntt-workers.net (16.11.18 N関労東 秋闘要求書を提出 の項) さらにその後、ITmedia が取材を行ない、同社は内容を否定しました。 nlab.itmedia.co.jp しかし上記の記事には「いや、やっぱり検閲してんじゃん」、「(SNSで言われていたことは)だいたいあってる」などと多くのコメントが多く寄せられている通り、なにが「事実と異なる」のかいまいち見えません。そこで本エントリでは同社の社員に配布された資料や労働組合の提言を参考に何が行われているのか、さらにいくつかの判例を参考にそれは問題ではない
Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
私のセキュリティ情報収集法を整理してみた(2023年版) - Fox on Security
新年あけましておめでとうございます。毎年この時期に更新している「私の情報収集法(2023年版)」を今年も公開します。 ■インプットで参照している情報源(海外) ランサムウェア攻撃やフィッシング攻撃等、サイバー攻撃インシデントの多くでは、出し子、買い子、送り子といった犯罪活動の協力者などを除き、日本の警察に逮捕された容疑者はそれほど多くない事が、ニュース等の報道を見ていると分かるかと思います。海外から日本の組織が攻撃を受けているケースが多いと推定される中、自己防衛が重要であり、最近は脅威インテリジェンスを活用して攻撃の初期段階、初期兆候を重要視する企業も増えてきています。海外の主要セキュリティサイトの情報をいち早く把握する事で、脅威インテリジェンス並とまでは言えないかも知れませんが、国内サイトで報じられるまでの時差を稼ぐ事が可能になるケースもあり、当ブログでも有力海外ソースの発信情報をチェッ
パスワードはおしまい! 認証はパスキーでやろう
はじめに パスワードは古来より認証に良く使われる方法ですが、その運用の難しさからセキュリティの懸念とその対策としての運用の複雑さ(複雑で長い文字列、90日でパスワード変更など)が要求される大きく問題をもった仕組みです。 その根本的な解決策としてFIDO Allianceを中心に推進されている 「パスワードレス」 が注目されています。これはPINや生体認証とデバイス認証を使ったMFAからなっており、フィッシングやパスワード流出に強い上に、ユーザも複雑なパスワードを覚えなくて良い、という大きなメリットがあります。最近はこの流れでPassKeyというものが登場し、Apple/MS/Googleのプラットフォーマが対応したことで、本格運用に乗せれるフェーズになってきました。というわけで以下に解説動画を作ったのですが、動画中で時間の都合で触れきれなかったところや、JavaScriptによる実装のサン
[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで] というタイトルでDevelopersIO 2021 Decadeに登壇しました #devio2021 | DevelopersIO
[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで] というタイトルでDevelopersIO 2021 Decadeに登壇しました #devio2021 DevelopersIO 2021 Decadeで登壇した動画や資料を掲載、解説をしています。AWSのセキュリティについて網羅的に扱っています。ちょー長いのでご注意を。 こんにちは、臼田です。 みなさん、AWSのセキュリティ対策してますか?(挨拶 ついにやってまいりました、DevelopersIO 2021 Decade!私は「[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで]」というテーマで登壇しました。 動画と資料と解説をこのブログでやっていきます。 動画 資料 解説 動画はちょっぱやで喋っているので、解説は丁寧めにやっていきます。 タイトル付けの背景 今回何喋ろうかなーって思ってたら、2年前のDeve
![[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで] というタイトルでDevelopersIO 2021 Decadeに登壇しました #devio2021 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/675b9f7ba022b69269412062d62e4128f16d5b33/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F10%2F2021_aws_security_all_1200_630.jpg)
AWSのインフラを運用・監視する上で使いやすいと思ったサービスを組み合わせて構成図を作成しました。それぞれのサービスの簡単な説明と類似サービスの紹介、また構成の詳細について説明していきます。 (開発で使用するようなサービスも紹介しますが、あくまでも運用・監視だけの構成です。) 各個人・企業によって環境は違うと思いますし、使いやすいと思うサービスは人それぞれだと思うので、これが正解という訳ではありませんが、参考にしてただければ幸いです。 参考になった教材を紹介した記事も作成しました。是非読んでみてください! 【AWS】さいきょうの運用・監視構成を作成するのに参考になった書籍 インフラエンジニア1年生がプログラミングを勉強するのに使った教材 全体図 こちらがAWSにおける"ぼくのかんがえたさいきょうの"運用・監視構成です。複雑で分かりづらいかと思うので、詳細に説明していきます。最後まで読めばこ
12年勤めたNTTを退職しました - じんめんメモ
修士卒で入社し、12年と4ヶ月間勤めたNTT研究所を退職しました。昨年話題になった id:kumagi や id:hichihara の近くの部署です。自他ともにあんまり転職しそうにない人だと認めていた私がなぜ転職することに決めたのか、自身の振り返りの意味も込めた退職エントリです。 振り返り 入社まで 高校生のときに趣味でプログラミングを始め、早々に進路は情報系で行くことを決意していました。大学は東京工業大学の5類・情報工学科に進学し、画像処理全般に興味があったため研究室ではコンピュータグラフィックス分野の研究をしていました。就活については、今ほどソフトウェアエンジニアのポジションが明確でなかった時代と記憶しています。いくつか受けた中で運良く内定がもらえてプログラミングもできそうなNTT研究所に就職することに決めました。 入社直後 当時は研究所全体にフレッツ光ネクスト開発の大きな流れがあり
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
大企業がリストラされるような社員を育ててしまう理由を考える - 俺の遺言を聴いてほしい
Google Chrome EV表示の終焉 - ぼちぼち日記
[初心者向け]AWSの勉強を始めるためのリンク集(2023.5更新) | DevelopersIO
やっぱりNTT東日本の「個人PC等点検」はやっちゃダメだと思う - miyalog
令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
【AWS】ぼくのかんがえたさいきょうの運用・監視構成 - Qiita