意外と知られてない?AWS Prescriptive Guidance(AWS規範的ガイダンス)めっちゃ使えるよ | DevelopersIO
AWS Prescriptive Guidance(AWS規範的ガイダンス)について紹介されているものが少なったので、ひょっとして未だ認知度低いんじゃないか?ということで紹介したいと思います! AWS Prescriptive Guidance(AWS規範的ガイダンス) Amazon Web Services (AWS) Prescriptive Guidance provides time-tested strategies, guides, and patterns to help accelerate your cloud migration, modernization, and optimization projects. These resources were developed by AWS technology experts and the global communi
注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー - JPCERT/CC Eyes
Top > “脆弱性”の一覧 > 注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー JPCERT/CCも関わった、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」[1]が今年3月に公表されました。このガイダンスでは、被害組織同士、あるいは被害組織と専門組織間のやり取りを通じた情報共有活動や被害公表をスコープとしており、主に被害組織が情報を発信する場合を中心に解説しています。他方で、多くの組織においては、情報共有活動において「情報を受け取る」側であることが大半です。また、情報共有活動に限らず、注意喚起情報など日々多くの情報を受け取っています。 今回はこの「情報の受け取り」に係る課題、特に、“自己目的化”した注意喚起や情報共有(提供)が受け取り手側にコストを与えてしまう問題点について解説し、より効果的な注
大阪オフィスのYuiです。 ジョインブログでも書いた通り、今までは主にアプリケーションプログラマとして仕事してきました。 インフラ周りの知識は趣味でAWSを触ったりする程度だったので、クラスメソッドから内定が出てから、「とりあえず勉強しないと!」ということで技術書を読み漁りました。その期間で読んだ11冊をインフラ初心者の目線で紹介したいと思います。 インフラエンジニアの教科書 インフラエンジニアの教科書2 絵で見てわかるITインフラの仕組み 絵で見てわかるOS/ストレージ/ネットワーク インフラ設計のセオリー ネットワークはなぜつながるのか マスタリングTCP/IP 入門編 第5版 図解まるわかり セキュリティの仕組み 入門監視 Infrastructure as Code Raspberry Pi で学ぶコンピュータアーキテクチャ インフラ全般 インフラエンジニアの教科書 概要 インフラ
4月新刊情報『システム運用アンチパターン』
『システム運用アンチパターン ―エンジニアがDevOpsで解決する組織・自動化・コミュニケーション』 Jeffery D. Smith 著、田中 裕一 訳 2022年4月12日発売予定 352ページ ISBN978-4-87311-984-7 定価3,520円(税込) 上層部がDevOpsに理解のない組織で働き、組織構造を変える権限を持っていない開発者であっても、チームにDevOpsを導入するための現実的な方法を紹介します。 重厚な承認プロセス、可視化されていない運用、プロセスの最後でのみ行われるソフトウェアテスト、ノイズだらけのアラート、インシデントから学習しない習慣、時間外のデプロイ、情報のため込みなどを取り上げ、ソフトウェアシステムの開発運用が滞るチームや組織に共通してみられる陥りがちな状況や犯しがちな間違いをアンチパターンとして紹介します。そして管理職やマネージャでなく、エンジニア
一流の技術者ほど「マルチタスク」しない納得理由
多くの人が体験する過剰な「マルチタスク」 現代のビジネスシーンでありがちな脳の酷使、マルチタスク環境について少し考えてみたい。 1日の中であれもこれもと種類の違う仕事がふりかかってきて、さらに打ち合わせや会議や電話応対など、差し込み仕事がどんどん入ってきて、同時並行でタスクをこなさないといけない場面を多くの人が経験しているはずだ。 私自身はマルチタスクがとても苦手だ。マイクロソフトでは、「電話番」と呼ばれるマルチタスク業務が尋常でない期間がある。 普段はソフトウェアの開発に集中できるが、数週間に1週程度、お客さんから上がってくるインシデント(システムの問題や障害レポート)にのみ対応する期間があって、そうなると、複数のインシデントに対応しなければならず、いろいろな人から連絡が入り、開発側からのリリースもやらないといけなかったり等、マルチタスクが一気に押し寄せる。 そんな環境を乗り切るヒントを
2023年1月4日、CircleCIはセキュリティインシデントが発生したことを公表し、利用者へ注意を呼びかけました。また1月13日には侵入経路を含む調査結果などをまとめたインシデントレポートを公表しました。ここでは関連する情報をまとめます。 CircleCIより流出したデータから利用者のサードパーティシステムに影響 CircleCIが不正アクセスを受け、同社のプラットフォーム上に保存された利用者のサードパーティシステム(Githubなど)の環境変数、キー、トークンを含む情報の一部が流出した。不正アクセスにより情報が流出したのはクラウドで提供されるCircleCIで、オンプレミス型のCircleCI Serverは影響を受けない。 2023年1月13日公表時点で本件の影響を受け、利用者よりサードパーティシステムへの不正アクセスが生じたと報告を受けたケースは5件未満。但しCircleCIは不正
はじめに Domain Name System(DNS)はインターネットサービスを使用する上で欠かせない基幹サービスであり、DNSが関連するセキュリティインシデントへの対処は、健全なインターネットを維持するために重要です。本ブログでは、JPCERT/CCもメンバーとして参加しているFIRSTのDNS Abuse SIGが、2023年2月に公開したDNS Abuse Techniques Matrixについて、その日本語版をJPCERT/CCが主体となり作成および公開したので紹介します。 2023年2月、FIRSTのDNS Abuse SIGが公開したDNS Abuse Techniques Matrix - DNS Abuse Techniques Matrix https://www.first.org/global/sigs/dns/DNS-Abuse-Techniques-Matri
この記事では、2023年9月29日に開催されたSRE NEXT 2023 IN TOKYOでの講演の概要に加えて、講演では触れられなかった部分の補足と、発表を終えての後記、最後にSRE NEXT全体の感想を書きました。 SRE NEXT 2020の基調講演に招いていただいたところから始まり、昨年のSRE NEXT 2022の公募セッションでも発表し、今回で3回目の発表になりました。今回の講演は、SRE NEXTの「NEXT」と価値観の一つである「Diversity」を踏まえて、自身のエンジニアと研究者の両方の経験を活かして、SREを深く実践する上で、技術論文を探して読むアプローチを提示するものです。昨今の国内のSREコミュニティでは組織的実践に主な関心が移っている状況と対比させて、コンピュータサイエンスに基づく技術的挑戦の可能性を示唆する意欲的な講演を目指したつもりです。 この講演での主要
3大クラウド(AWS,Azure,GCP)をそれぞれプロダクションで実運用した感想(その3 AWS固有の優位性について) - Qiita
3大クラウド(AWS,Azure,GCP)をそれぞれプロダクションで実運用した感想(その3 AWS固有の優位性について)AWSAzureGoogleCloud はじめに 今年のはじめに書いた3大クラウドの比較シリーズに関して長いこと続編を書いてませんでした...。 最近、知人/友人のみならず取引先からも「AWSやGCPに関して続編書かないんですか?」と言われることが増えてきたので、今回はAWSを本番運用していて感じたAWS固有の優位性について感想を述べていきます。 AWS 固有の優位性 周知の事実ではありますが、AWSは長年クラウドベンダーとして世界トップシェアを維持し続けています。 AWSをクラウド基盤として利用しているサービスを一切利用せずに1日を過ごすことは不可能なんじゃないかというレベルで日本国内では利用されています。 もはや電気/ガス/水道等の社会インフラに近い状態です。 そして
高血糖で入院した患者が抜け出してコンビニでペヤング大盛り食べて血糖1500叩き出して俺がインシデント書いた→「1500!?」「やってられないな…」
サカモトモ @hqQded2lRgSjYe8 @miz048 インシデントですか。 それは、災難でした。 対策。書くことないですよね。 身体拘束でもするしかないですもんね。 でも、虐待にあたるから。 対策は、退院ですね。自分で治療する意志がないと思われるから。 2022-08-23 12:53:38
はじめに 弊社では、最近BEC(ビジネスメール詐欺)のインシデント対応を行いました。この事案に対応する中で、マイクロソフト社(*1)やZscaler社(*2)が22年7月に相次いで報告したBECに繋がる大規模なフィッシングキャンペーンに該当していた可能性に気づきました。マイクロソフトによると標的は10,000 以上の組織であるということから、皆様の組織でもキャンペーンの標的となっている可能性や、タイトルの通りMFA(多要素認証)を実施していたとしても、不正にログインされる可能性もあり、注意喚起の意味を込めてキャンペーンに関する情報、および実際に弊社での調査について公開可能な部分を記載しています。 *1: https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm
自堕落な技術者の日記 : jsrsasignの寄付金を募ることにしてみました(やりがいって何だっけ?) - livedoor Blog(ブログ)
私はjsrsasignというJavaScriptのオープンソース暗号、PKIライブラリを個人的な趣味で開発し公開しています。ところが最近、npmパッケージのダウンロードが月間60~70万件と、異常にユーザーも増え、製品でも使われ始め、ちょっと厄介なことになっており、いろいろ悩んだ挙げ句、これが正解なのかもわかりませんが、ライブラリの維持のために寄付金を募ることにした次第です。今日は、心の吐露をつらつら書いていくことにします。 jsrsasignとは 2010年ごろ、スタンフォードの学生さんであるTom Wooさんという人のJavaScriptでRSA暗号化できるコードを見つけ、自分はPKIや電子署名を専門にしていたので「JavaScriptでRSA署名できたら面白いな」と思い、2010年6月に、ほんのRSA署名単機能のライブラリとして公開したのが jsrsasign です。当時のはしゃぎっ
sponsored セブンアールジャパンの西川氏とASRockの原口氏にコダワリを聞いてきた パソコンショップSEVENとASRockのコダワリが炸裂! Threadripper PRO 7995WX搭載BTOPC sponsored 従来よりもさらにコスパよくゲーミングPCを組みたい方へ ゲーミングマザーボード「GAMING PLUS」シリーズ完全解説&自作のオススメ構成例も紹介 sponsored スタンダードなスリムPCだが高性能! そんな注目のマシンがセールで販売中 sponsored GWにゲームどっぷりを考えているなら、今がチャンス! マウスのゲーミングPCセール中! sponsored BaaS普及を追求し続けるGMOあおぞらネット銀行と、ARIのAWS導入支援cnarisに迫る sponsored 強化ガラス製マウスパッド「ROG Moonstone」など気になるデバイスも
こんにちは、はじめまして @daimat と申します。 Microsoft Security Advent Calendar 2022 4 日目にお邪魔させてもらいます。 はじめに セキュリティに携わるみなさま、突然ですが Microsoft Defender 脅威インテリジェンス(MDTI) というプラットフォームをご存じですか? 今年の 8 月に公開されたばかりですので、まだ知らない。という方も多いと想像しますが、まずは次のページにアクセスしてみてください。 *Microsoft 365 または Microsoft アカウントが必要です。 接続するとこのような画面が表示されたと思います、これが Microsoft Defender 脅威インテリジェンスのトップ画面です。 このページの上段には脅威に関するおすすめの記事が表示されていますので、興味に応じていくつかの記事を開いてみてください
イーサリアムの開発エネルギーの凄さと他分野での再現性|中村 龍矢 | LayerX 事業部執行役員 AI・LLM事業部長
(みんな思い思いのツイートをしてましたが、私は本プロジェクトの実質PMのDanny Ryanの長年の思いが詰まった下記のツイートが気に入りました。バランスの取れたリーダーであり、フランクで良い人でした。) PoS移行の大変さを要約すると、 ・失敗したら数十兆円吹き飛ぶ可能性があり、世界中に迷惑をかけるどころではない ・完全にパブリックなネットワークであり、世界中のハッカーから常に攻撃対象(攻撃すると儲かるため) ・使われている技術は全くもって枯れておらず、実装以前に理論研究段階から必要 ・基礎研究を終えて本格的に始動してから5年近くかかった という感じです。(ここで終わりではなく、他にも色々な技術的アップデートが予定されています。)私がEthereumの研究や開発をしていたのは2018-2020年の短い時間でしたが、一部だけでも関わることができたのは貴重な体験でした。 私はEthereum
JPCERT/CCは、Internet Week 2016 ~ 2019にて「インシデント対応ハンズオン」と題し、標的型攻撃を受けた際のセキュリティインシデント(以下、インシデント)調査手法に関するハンズオンを行ってきました。受講者の方から高く評価していただいていた「インシデント対応ハンズオン」ですが、公開の要望が多かったため、この度、GitHub上でコンテンツを公開することとしました。コンテンツは以下のURLから確認できます。 Log Analysis Training https://jpcertcc.github.io/log-analysis-training 本コンテンツは実際の標的型攻撃の事例をもとに作成しており、攻撃者のネットワーク侵入時にどのような痕跡がログに残るか、また、侵入の痕跡を発見するためにどのようなログ取得設定が必要か、をシナリオに沿って理解できる内容になっていま
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、映像サービスプロダクト本部の浜田(@narirow)です。 GYAO!では最近トップページの大規模な変更が行われました。本記事では映像サービスのバックオフィスを含む大規模な構成変更と、その成果として得られたスケーラビリティ・ページの表示速度の向上についてをお話しします。 GYAO!のトップページの特徴 映像サービスであるGYAO!のトップページは、豊富なラインアップの中から作品を厳選して掲載しています。有名作品をただ並べるだけではなく、レコメンデーションやターゲティングの技術を使って、閲覧者の趣向にあった作品を一覧しています。大量の画像が表示されていることに加え、縦に長いページ構成となっています。 課題と解決のアプロー
保守性と生産性を両立する分析用SQL構造化の4原則 〜 構造化プログラミングの考え方をSQLに適用する
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。Yahoo!広告のデータマーケティングソリューション(以下、DMS)を開発しているデータアナリストの薄田です。 みなさんは、中間テーブル同士が複雑に絡み合い変更しようにも影響範囲を推定できず、手がつけられない分析パイプラインの保守で苦労された経験はないでしょうか? 私のチームでは数千行におよぶ分析用SQLをリファクタリングして、保守性と生産性を両立する分析パイプラインに生まれ変わらせることができました。 この記事ではリファクタリングを通して確立した、分析用SQLを構造化するための4原則を紹介します。4原則を意識しながらSQLを書くことで、高凝集・疎結合な分析パイプラインを作ることができます。 この記事では凝集度と結合度
Engineering Manager Advent Calendar 2023 15日目の記事です。 KyashでEngineering Managerとして1年半、VP of Enginneringとして2年やってきました。 体系的な話は HIGH OUTPUT MANAGEMENT や エンジニアリング組織論への招待、エンジニアリングマネージャーのしごと といった素晴らしい書籍にまとまっているので、自分はケーススタディとしてVPoEになってからの具体的な意思決定の記録を残しておきます。EMの時の話は過去にまとめています。 KyashでEngineering Managerとしてやってきたこと / やっていくこと - Konifar's WIP Engineering Managerをやめた - Konifar's WIP 先に書いておくと、綺麗にうまくいった / いっているという話は
マイクロサービスの再考: タダ飯なんてものはない
どうも、株式会社プラハCEO兼エンジニアの松原です。 先日かとじゅんさんがツイートで紹介していたマイクロサービスに関する論文を読むついでに、適度に意訳した内容を音声入力してみました。ついでに意訳レベルなので翻訳の質は保証できないのですが、もし内容を読んでみて少しでも興味を持てた場合は実際の論文にも目を通してみると良いかもしれません。 論文のリンク: 「これ日本語でなんて言うの?」って分からなかった部分も多々あったのでより適切な単語があったら教えてほしい...! 導入 マイクロサービスには様々なプラクティスや技術を用いて以下のメリットを目指す 素早いデリバリー 高いスケーラビリティ 自律性 しかし実際にこの業界で実装されるマイクロサービスは採用するプラクティスや効果に大きな差があるため、オンラインサーベイ(51回答)と経験豊富なマイクロサービス実践者14名にインタビューを行った。 わかったこ
自己紹介VTuberの届木ウカと申します。 https://twitter.com/todoki_uka先日、VTuberでありながら多摩美術大学を卒業したことを発表して何故かKAI-YOUニュースに載ったりしました。 結婚しました左が配偶者です。(@AttaQjp) 右は僕の超ハイポリアバターです。 左が配偶者です。 右が届木ウカです。 配偶者のVRアバターは少女体です。 VRの届木ウカは性別不明のため、VRにおいては届木ウカが夫になります。 つまりウカ様は俺の嫁ではなく、ウカ様に俺の嫁が出来ました。 何を言っているのかわからねぇと思うが僕も書いてて混乱しています。 なお、環境変化に伴う活動の縮小や引退の予定は今後80年はありません。 今後ともオタクの皆様と21世紀を共に完走できるよう、届木ウカは精一杯頑張ります。よければ一緒に22世紀まで歩いていきましょう。 なぜご報告するのかしかしな
AWS×コンテナで基本的なDevSecOpsアーキテクチャをデザインしたお話 - How elegant the tech world is...!
はじめに 先日、僕が担当する業務でECS/Fargate利用を前提にDevSecOpsアーキテクチャをデザインし、社内のAWS勉強会にて登壇する機会をいただきました。 本ブログでも内容をかいつまんでご紹介できればと思います。 AWSによらず、コンテナを利用されている方にとって、一つのプラクティス例としてご参考になれば幸いです。 ※コンテナ自体の説明や必要性に関する内容は省略していますm(_ _)m そもそもDevOpsとは? DevSecOpsの導入意義をお伝えするた前に、まず軽くDevOpsの意義をお伝えします。 ※とは言え、この記事をご訪問されている方にとっては「何をいまさら...」な内容かもしれませんし、ググればDevOps自体の情報はたくさん見つかりますので、重要なポイントのみ述べることにします。 DevOpsとは、一言で述べれば、開発チームと運用チームが協力してビジネス価値を高め
「AWSセキュリティ成熟度モデルで自分たちのAWSセキュリティレベルを説明できるようにしてみよう」というタイトルで登壇しました | DevelopersIO
こんにちは、臼田です。 みなさん、AWSのセキュリティ対策してますか?(挨拶 今回はAWSセキュリティ成熟度モデルを活用して組織のセキュリティレベルを上げよう!というイベントで登壇した内容の解説です。(ちょっと前のイベントですが) 最近私が注目しているAWSセキュリティ成熟度モデルについての解説になります。 資料 解説 アジェンダは以下のとおりです。 セキュリティ対策頑張ってるってどうやって言えばいいんだ? AWSセキュリティ成熟度モデルとは 使い方・コツ 説明できたら次のステップ セキュリティ対策頑張ってるってどうやって言えばいいんだ? まずは課題の話から。 AWSに限らずですが、セキュリティ対策はITを扱う上で基本的なことでもあり、しかし継続的に取り組まなければいけない一筋縄ではいかない課題です。 そんな中で例えば上司から「AWSのセキュリティ対策ちゃんとやってる?」と聞かれたときにあ
安全管理の仕事って人手不足だと詰んでね?
製造や建設、運輸系の仕事には安全管理部という業務上での事故・労災の予防、対策を行う部門があるのだが 正直最近限界を感じている なぜかというと著しい人手不足だ 今までの事故トラブルから法令・業界内、社内規定があるのだが 限界ぎりぎりの人員と納期で回しているためはっきり言って全く順守されていない 規則を守らせようとするとそれを嫌った現場は他社へ流出し二度と戻ってこないし そうなると関係取引先に約束を守ることができなくなり会社は営業面では大損害と信用を失ってしまうのだ だからパトロールしても見て見ぬふりか何も問題なく書類上は回っていることになる 正直事故さえ起こらなければそれで回ってしまうので今のところ何とかなっているが ハインリッヒの法則が示す通り細かいインシデントが積み重なっておりいつ事故が発生してもおかしくない状況である だからと言って安全を優先し、足りない人員の分の仕事をやめてしまうと営
より安全にご利用いただけるようになったClassiのご報告と今後の取り組みについて | Classi(クラッシー) - 子どもの無限の可能性を解き放ち、学びの形を進化させる
1.はじめに 2020年4月(昨年)、当社サービス「Classi」に不正アクセスがあった件に関し、過去一年間、弊社はこれを重く受け止め、お客様に安全にClassiをご利用いただく事を当社事業の最優先事項とし、各種対策を年間を通じ実施してまいりました。 今年度も、昨年度から継続して、サービスのセキュリティを重視した全社的な対策を実行していく所存でございますので、以下に発生直後の対応、及び今日までに実行いたしましたセキュリティ強化対策を含めて、今後の取り組みについてご報告いたします。 現在に至るまで同様の不正アクセスは起こっておらず、セキュリティ状況についても外部企業の第三者調査の結果、他社と比較して標準水準以上に強化できていると評価いただいております。また2021年3月のISO/IEC27001に基づく情報セキュリティマネジメントシステム(ISMS)の継続審査 においても、マネジメントシステ
ElasticのクライアントライブラリがAWS OpenSearchへの接続を排除。AWSは仕方なくクライアントライブラリのフォークを発表
ElasticのクライアントライブラリがAWS OpenSearchへの接続を排除。AWSは仕方なくクライアントライブラリのフォークを発表 オープンソースの検索エンジンElasticsearchは、ログ解析による運用監視やセキュリティインシデントの発見、データ分析などに使われている人気のソフトウェアです。 その開発元であるElasticは、Elasticsearchのクライアントライブラリに対して変更を加え、AWSが提供しているElasticsearch互換のサービス「Amazon Elasticsearch Service」に対して接続を拒否する機能を追加しました。 今後、Elasticsearchのクライアントライブラリを用いたアプリケーションはAWSのElasticsearch Serviceを使えなくなってしまいます。 そこでAWSはElasticsearchクライアントライブラリ
Home Home Guides Data types Tools Curated recipes FAQ Contributors オブザーバビリティとは¶ 概要¶ オブザーバビリティとは、観測対象のシステムからのシグナルに基づいて、継続的にアクション可能な洞察を生成および発見する機能です。つまり、オブザーバビリティを使用すると、システムの状態を外部出力から理解し、(修正)アクションを実行できます。 対処する問題¶ コンピュータシステムは、CPU 時間、メモリ、ディスク領域などの低レベルのシグナルや、API 応答時間、エラー、トランザクション毎秒などの高レベルかつビジネス上のシグナルを観測することで測定されます。 システムの可観測性は、その運用と開発コストに大きな影響を与えます。観測可能なシステムは、操作者に意味のある実行可能なデータを提供し、(インシデント応答の高速化、開発者生産性の向
OSINTツール「GreyNoise」を使ってみる - セキュリティ猫の備忘録
こんにちは、セキュリティ猫です。 久しぶりに(ホントに久しぶりに)何かを書きたい欲が出てきたので、自分でも使い方の整理・機能の確認の意味を込めてツールの使い方を扱うことにしました。 今回は、調査で便利なツール「GreyNoise」について紹介していこうと思います。 GreyNoise はじめに 【注意事項】 GreyNoiseとは? 機能 IPルックアップ GREYNOISEクエリ言語 (GNQL) タグトレンド その他の機能 主な使い方 まとめ はじめに 【注意事項】 本記事内で、GreyNoiseの使い方や調査方法について記載しています。本内容は脅威から守るために利用しているものであり、決して悪用することはしないでください。 GreyNoiseを利用することで外部組織の情報を得ることができます。しかしながら、ここで得られた情報をもとにアクセスは行わないでください。アクセスを行う場合は自
7日の事態発覚から発表が10日以上開いた理由について、同事務局は「7日より漏えいの対象者に事実関係の説明とおわびの連絡を進めており、全員への連絡を18日までに終えたため公表に至った」とコメントした。 再発防止策として、今後Web上に掲載する資料を作成する際は、公表用ファイルとは別に作業用ファイルを設けて内容を作成し、複数人での公表用ファイルの内容確認を徹底するという。 関連記事 2021年、上場企業が漏えいした個人情報は574万人分 事故件数や社数は過去最多に 「2021年に上場企業が漏えいした個人情報は574万人分に達した」──東京商工リサーチはそんな調査結果を発表した。個人情報の漏えいや紛失事故を公表した上場企業(その子会社を含む)は120社、事故件数は137件で、過去最多となった。 2021年セキュリティ事件まとめ 22年にも注意すべき脅威とは? 2021年のITニュースを振り返って
2020年4月13日、Classi(以下Classi社と記載)は同社のクラウドサービス「Classi」が不正アクセスを受け、IDや暗号化されたパスワード文字列などが閲覧された可能性があると発表しました。ここでは関連する情報をまとめます。 corp.classi.jp 2時間で122万人のIDなどが閲覧された可能性 不正アクセスの概要 Classiへの不正アクセスは4月5日 日曜日の昼過ぎから夕方にかけ発生。発生時間は2時間14分。 社内のデータベースで異常発生が検知されたことが発端。データベースが直接被害を受けていたのかは報じられていない。 Classi社の発表に「外部専門会社の協力を得て不審ファイルや通信ログを解析したところ」とあり、Classi上に何らかのファイルが蔵置されていた可能性がある。 第三者に閲覧された可能性のある情報は次の通り。 閲覧された可能性のある情報 Classi社は
Slack、1月の大規模障害の原因を説明。「AWS Transit Gateway」がトラフィックの急上昇に対応できず、AWSはアルゴリズムを見直すと
Slack、1月の大規模障害の原因を説明。「AWS Transit Gateway」がトラフィックの急上昇に対応できず、AWSはアルゴリズムを見直すと AWSのネットワーク基盤の一部が飽和していた 1月4日、サービス内部のエラー率上昇によって始まったSlackの障害は、太平洋標準時の午前6時ごろからはSlackのWeb層の負荷が高まり、パケットロスを発生しはじめるなど徐々に深刻化。7時頃にはついにサービス停止にまで発展してしまいます。 負荷の解消のためにWeb層をスケールアウトさせるなどの対処を行い、なんとかサービスが復旧し始めたころに、AWSから障害の引き金となった現象についての報告が次のようになされたとのこと。 「Slack’s Outage on January 4th 2021」から引用します。 By the time Slack had recovered, engineers
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
VSCodeの操作ミスでGCP Cloud Composerの裏側k8sをお掃除した話 - Qiita
tl;dr 筆者はvim派でVSCode初心者。でも勧められたので数カ月ぶりに起動してみた。 Pluginを色々入れていたので、サイドバーにはたくさんのアイコン。なにこれ楽しい。 Cloud Codeタブを触っていたら…指先が震えてトラックパッド誤操作。「Delete Cluster」を押してしまう。 その時たまたま偶然、GCPのオーナー権限を持つIAMで認証していた。 盛大にやらかして復旧が手間だったが、いくつかの理由で障害として顕在化しなかった。 というお話 何をやらかしたのか やらかし当時、筆者はGCPでデータ処理基盤の開発を行っていました。vimとzshが大好きで、開発のすべてをこの2つで済ませてましたが、同僚にVSCodeを猛プッシュされたので使ってみることにしました。 VSCodeは数ヶ月前にインストールしたもののそのときは結局使わず。数ヶ月ぶりの起動でした。 インストール時に
マンガでわかる ソフトウェア開発 データ分析 データ分析事始め データ分析FAQ (参考)アジャイルメトリクスFAQ 1 独立行政法人情報処理推進機構 超合本版38編 データ分析事始め 目次 データ分析基礎編 01 データ分析ってなんなの? データ分析 02 信頼幅の線、気になる 信頼幅 03 箱ひげ図のひげ、かわゆくない 箱ひげ図 04 散布図はぜんぜんばらばら 散布図と箱ひげ図 05 どれが本命なの? 中央値と平均値 分析データ観察編 01 生産性は性癖が出る? 生産性 02 バグを愛したソース 信頼性(不具合密度) 03 改修・保守が好き過ぎる 開発プロダクトの種別 04 規模はアンバランスでアンビバレント ソフトウェア規模 05 開発期間は短くて長くて短い 開発期間(工期) 06 ウォーターフォールってつおい? ウォーターフォール型開発 07 ここはツールでしょ 開発ツール 08
youtu.be こんにちは。freee 基盤チーム Advent Calendar 2023 12/6の記事は、PSIRTのWaTTsonがお届けします。セキュリティの仕事をやっている新卒2年目です。 freeeでは会計や人事労務といった領域のプロダクトを提供していて、顧客となる企業の財務情報や給与情報のような、非常に機微な情報を扱うことがあります。このため、情報セキュリティには特に気をつけて対策をとる必要があります。 freeeのセキュリティに関する施策方針については、セキュリティホワイトペーパーにまとめて公開しています。この中で、データの取り扱いについては「セキュリティレベル」を定めてそれに応じた保護策をとる旨が記載されています。 データの取り扱いとセキュリティレベル プロダクトを作る際、機微な情報は適当に定めた信頼境界から外に出さないように運用して、情報漏洩などの被害が起きないよう
ぼくは書籍が大好きで、毎月10冊は読むようにしています。年間にすると120冊になりますね。それなりに激務な業界で働いていますので、ゆったりと読書をする時間が無いのも事実なのですが、だからといって書籍を読まないでいると智慧を手に入れる機会がなくなります。書籍には、執筆者の頭の中にある智慧が記されていますので、その智慧を拝借するには書籍を読むのが一番時間効率が良いのです。 ただし、ぼくが書籍を読む理由はそれだけではありません。読書量と年収は正の相関にあるのを知っているからです。たまたま書籍が好きだということと、戦略的に読書量を増やしているのとが重なり、年間120冊に落ち着いているというのが現状です。 出典:総務省統計局「家計調査」(2018)より 年間120冊の内訳 年間120冊の書籍を読んでいますが、ジャンルは幅広いです。仕事がら専門書だけではなく、会計知識や法律知識、業務知識系や組織運営理
経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在 - まるちゃんの情報セキュリティ気まぐれ日記
国民に「マイナンバー」の共通番号法案を閣議決定、2015年から利用開始目指す (shimarnyのブログ) 内閣官房情報セキュリティセンター/NISC (Wiki (PukiWiki/TrackBack 0.3)) Twitter Trackbacks () 君は生き残ることができるか? (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 公認会計士試験の最新情報について (公認会計士試験ガイド★講座 対策 受験 求人 事務所 問題集 合格 資格 学校) 短答式合格率4.6%に! (■CFOのための最新情報■) 世間が反対するDPI広告を擁護する (んがぺのちょっとした政治・経済の話) 米国防総省、米軍サイバー対策を統括する司令部を設立 (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 総務省 (時の流れ) クラウド・コ
2024年4月4日、HOYAは同社グループにおいて3月30日にシステム障害が発生しており、その原因について不正アクセスに起因する可能性が高いと公表しました。HOYAは国内トップのレンズメーカーで、障害により取引先である眼鏡チェーン各社にも一部販売見合わせなどの影響が出ています。ここでは関連する情報をまとめます。 複数事業所でシステム障害 海外の事業所で不審な挙動がシステムで確認され調査した結果、HOYAグループ国内外の事業所においてシステム障害が発生していることが判明。直ちに障害発生が確認されたサーバーの隔離などの対応を実施。 外部専門家を交えた調査の結果、何者かによる同社サーバーに対する不正アクセスに起因し生じた可能性が高いと同社は判断。機密情報、個人情報などの流出の可能性について調査を進めており、結果が判明するまでには相当の日数を要する見込みとしている。外部からはランサムウエア被害の可
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
感謝しています 週刊現代の記事によると、吹田徳洲会病院内で提出されたインシデント・レポートは50枚以上に及んでおり、現場から”問題がある”、”信頼できない”と声をあげても十分な対応をなされない現実に、医療従事者の方々が声をあげてくれたのだと思います。 医誠会病院おいて当該医師の指示ミス(指示してない)が発端となり遺族となった私たち家族は、その勇気と行動に感謝しています。ありがとうございます。 週刊現代記事はこちらから 追加コメント、驚愕の言い訳説明 追加コメントは、週刊現代で列挙された以下について書かれています。 ①転倒で搬送された患者の骨折に気づかなかった案件 ②緊急搬送された患者にアドレナリン静脈注射指示を出した件について ③口腔内縫合の際、看護師の指を数回突き刺した件について④カリウム製剤の大量投与指示について ⑤仮眠室での飲酒について それぞれに説明がついていますが、(救急専門医の
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
インフラ未経験の私が内定から入社までに読んだ技術書11冊 | DevelopersIO
CircleCIへの不正アクセスについてまとめてみた - piyolog
DNSの不正使用手法をまとめた技術ドキュメントの公開 - JPCERT/CC Eyes
エンジニアのためのSRE論文への招待 - SRE NEXT 2023 - ゆううきブログ
MFA(多要素認証)を突破するフィッシング攻撃の調査 | セキュリティ研究センターブログ
au通信障害 iPhoneとAndroidで違いが出た理由 (1/4)
マイクロソフトが脅威インテリジェンスを外販してるってよ - Qiita
ログ分析トレーニング用コンテンツの公開 - JPCERT/CC Eyes
GYAO!トップページの表示パフォーマンス改善 〜 GraphQLアーキテクチャへの移行
マネジメントとしての意思決定振り返り - Konifar's WIP
【ご報告】VTuberだけど結婚しました|届木ウカ
AWS Observability Best Practices
個人情報保護委員会が個人情報を漏えい パブリックコメント参加者の氏名や所属先を誤掲載
国内高校の半数が利用するClassiの不正アクセスについてまとめてみた - piyolog
月6万円の過酷労働、病気で半身不随 日本恨んだ実習生:朝日新聞デジタル
IPAマンガでわかるソフトウェア開発データ分析38編.pdf
credentialをSlackに書くな高校校歌 - freee Developers Hub
年間120冊読んでたどり着いた結論:ITエンジニアの高年収戦略:エンジニアライフ
HOYAのシステム障害についてまとめてみた - piyolog
アベノマスクの配達、まだ2割 「5月中に全戸」困難に:朝日新聞デジタル
『吹田徳洲会病院病院長高橋氏、追加コメントを発表』