『吹田徳洲会病院病院長高橋氏、追加コメントを発表』
週刊現代の記事によると、吹田徳洲会病院内で提出されたインシデント・レポートは50枚以上に及んでおり、現場から”問題がある”、”信頼できない”と声をあげても十分な対応をなされない現実に、医療従事者の方々が声をあげてくれたのだと思います。 医誠会病院おいて当該医師の指示ミス(指示してない)が発端となり遺族となった私たち家族は、その勇気と行動に感謝しています。ありがとうございます。
週刊現代の記事によると、吹田徳洲会病院内で提出されたインシデント・レポートは50枚以上に及んでおり、現場から”問題がある”、”信頼できない”と声をあげても十分な対応をなされない現実に、医療従事者の方々が声をあげてくれたのだと思います。 医誠会病院おいて当該医師の指示ミス(指示してない)が発端となり遺族となった私たち家族は、その勇気と行動に感謝しています。ありがとうございます。
社内のソースコードをGitHub Enterprise にとりまとめてる話 - NTT Communications Engineers' Blog
みなさんこんにちは、社内のエンジニアが働きやすくすることを目標にする Engineer Empowerment プロジェクトの @Mahito です。 この記事は、NTT Communications Advent Calendar 2021 2日目の記事です。 今回は社内のソースコードを GitHub Enterprise にとりまとめる活動とそこで遭遇した課題と解決方法についてお話します。 背景 きっかけは「NeWork のソースコードが見たい」という私の思いつきでした。 これを私が言い出した 2020 年当時、NTT Com ではソースコード管理の方法に決まりはなく、各プロジェクトの判断でバラバラにソースコードリポジトリが導入されていました。ちなみに、私が社内で見かけただけでもソースコードのホスティング先には以下のようなものがありました。 GitHub (Team plan) Git
サーバーレスアーキテクチャーも大胆に導入! 自律・自走できる組織作りを進めるカオナビのインフラチーム - はてなニュース
タレントマネジメントシステムを提供する株式会社カオナビでは、サービスをSaaS型にシフトするにあたってAWS(Amazon Web Services)を全面的に採用し、サーバレスの基盤開発でもAWSのマネージドサービスを積極的に活用しています。 そのベースにある「運用しない運用」という言葉の意図や、計測・監視の取り組み、アプリケーション開発の経験も活用できる「自走するインフラ組織」について、インフラグループの大久保智之さんと新井健さんに聞きました。 ※この記事は株式会社カオナビによるSponsoredContentです。 AWSへの移行から技術的な挑戦を進める サーバレスを推進して温かみある手順から脱出 開発の経験も生かしたアプリケーション監視と指標 自動化の原則は自走と自律 カオナビではエンジニアを積極募集しています! AWSへの移行から技術的な挑戦を進める ── プロフィール(後掲)を
デジタル庁「運用コスト3割減」主張も実態は2~4倍増…関係者「8割は日本の自治体に不必要」なAWSを使わざるを得ない自治体の怒り(みんかぶマガジン) - Yahoo!ニュース
政府が情報管理の効率化のために整備する「ガバメントクラウド」。省庁、自治体が個別運用してきた管理システムを、クラウド上の共通サービスに移し2025年度までに運用経費を20年度比で3割減らす目標だ。しかし、これがなかなかうまくいってない。なぜなのか。元経済誌プレジデント編集長と作家の小倉健一氏が解説する。全3回の第1回目。 【動画】独占インタビュー“自民党のドン”茂木敏充幹事長「私が総理大臣になったら、日本こう変えたい」 経費削減のはずが「移行前の2~4倍のコストに!?」 2025年度末までに、全国1741の自治体が業務システムを標準化する「自治体システム標準化」が進められている。デジタル庁が整備している「ガバメントクラウド」を活用することで、システムの運用コストを下げることを目指しているが、実際にはいくつかの自治体で、移行前の2~4倍にコストが跳ね上がるという試算や見積もりが出ており、困っ
楽天モバイルの基地局が『物理的に』落ちていて連絡しようとしたが平日しか連絡を受け付けてないのでどうしよう「これはまずいやつ」
Miyahan @miyahancom 楽天モバイル、準備当初から施工がずさんなのはよく話題に出てたけど、こんな下手したら人が死ぬようなインシデントまで起きてるとは… twitter.com/togarihage/sta…
反省 被害 AWSのSESを利用され、約5万通のメールが不正に送信され、約10ドルの使用料が発生しました。また、焦ってルート権限のMFA設定時にアプリ(別のアプリ用の番号を選択し続ける)の選択を誤り、余計に焦ることになりました。 頭によぎった過去の悪夢 症状 DKIM設定成功通知: 不審なDKIM設定完了の通知を受け取りました(9月12日7時ごろ) 料金アラート: AWSからSESの使用料金が閾値に達したアラートが送信されました(9月13日9時ごろ) 不正なメール送信: 数万通の不正メールが送信され、料金が急増しました ドメインの登録と削除: 知らないドメインがAWSに登録されていました。至急登録されていたドメインを削除しました(9月13日11時ごろ) IAMユーザーでのログイン失敗: 一旦削除したのでホッとした1時間後、IAMユーザー権限でのログインができなくなり、焦りが増しました(9月
1.1.2 SREの目標と価値 SREの目標は、システムの信頼性を向上させることですが、それは単にシステムのダウンタイムを減らすことだけを意味するわけではありません。ユーザーがサービスを快適に利用できるよう、パフォーマンス、可用性、セキュリティ、スケーラビリティなど、様々な側面からシステムの信頼性を高めることを目指します。 SREの導入によって、以下のような価値がもたらされます。 システムの安定稼働と信頼性向上 運用コストの削減 開発スピードの向上 組織全体の信頼性向上 1.2 SREの原則 SREを実践する上で重要な原則をいくつか紹介します。これらの原則は、GoogleのSREチームが長年の経験から得た教訓に基づいており、SREを実践する上で指針となるものです。 1.2.1 モニタリングと可観測性 SREでは、システムの状態を常に把握し、問題が発生した場合には迅速に検知できるように、モニ
NTTのレッドチーム「Team V」の活動実態 「管理者権限はほぼ確実に取れる」|BUSINESS NETWORK
<サイバーセキュリティ戦記>NTTグループのプロフェッショナルたちNTTのレッドチーム「Team V」の活動実態 「管理者権限はほぼ確実に取れる」 NTTグループ サイバーセキュリティ戦記 セキュリティ サイバー攻撃を疑似的に仕掛け、ターゲット組織のサイバーセキュリティに関する弱点を見つけ出すレッドチーム。NTTグループでは、2019年からグループ内向けのレッドチーム「Team V」が活動している。NTTグループの上級セキュリティ人材を紹介する連載「<サイバーセキュリティ戦記>NTTグループのプロフェッショナルたち」の第18回に登場するのは、Team Vの精鋭メンバーの1人であるNTTセキュリティ・ジャパンの羽田大樹だ。 対象組織の社員が標的型メールに引っ掛かり、一般社員のPCが攻撃者に掌握されてしまった――。これが、NTTグループのレッドチーム「Team V」によるサイバー攻撃演習の前提
2024年2月2日、Cloudflareは同社が運用するAtlassianサーバーが2023年11月に不正アクセスの被害にあっていたとして、その対応と調査結果について公表しました。ここでは関連する情報をまとめます。 CloudflareのAtlassianサーバーに不正アクセス blog.cloudflare.com 不正アクセスの被害が確認されたのは、Cloudflareが社内Wikiやバグ管理で使用していたオンプレミスのAtlassianサーバーおよびAtlassian製品。約10日間にわたって同社システムに対して攻撃者による活動が行われていた。 攻撃者は有効となっていたMoveworks用のサービストークンを悪用し、ゲートウェイ経由で認証後にAtlassian JiraとConfluenceに対して不正アクセスを行っていた。さらにSmartsheet用アカウントを使用してCloudf
公開日 2024/06/19更新日 2024/07/25身近なBtoCサービスを支えるアーキテクチャ大解剖 技術選定のポイントと今後の展望 多くのIT企業では、ユーザーに対してより高品質で安定した体験を提供するために、システムアーキテクチャを進化させ続けています。 本特集では、日常生活の中で多くのユーザーに利用されているサービスのアーキテクチャ設計に携わるエンジニアの方々から、技術選定の背景や意図、そして現在のアーキテクチャの課題から未来への展望まで、詳しく伺いました。この記事を通じて、各企業のエンジニアたちがどのように技術的な課題を克服し、システムの柔軟性と効率を高めているのか、知見を得ていただければ幸いです。 ※ご紹介は企業名のアルファベット順となっております アソビュー株式会社 アソビュー株式会社では「遊び」という領域に対し、マーケットプレイス型EC「アソビュー!」やD2C型SaaS
AWS IAM セキュア化の取り組み
鍵がいっぱいあるよこの記事は Eureka Advent Calendar 2021 の 13日目の記事です。 はじめにこんにちは、エウレカ SREチーム のハラダです! 2020年頃から今年にかけて、 エウレカのSREチームとSecurityチームではAWS IAMのセキュア化を注力ポイントのひとつとして、継続的に取り組んできました。 本記事では、その実践から学んできたIAM管理で守るべき大原則および、具体的にどうやってセキュアな理想像に近づけてきたか、今後の方向性などを話したいと思います。 Why “IAM” so important ?そもそもなんでIAMが注力ポイントなの?と疑問に思われる方もいるでしょう。 クラウドの大きな強みである「すべてをAPI経由で操作できる」という性質ゆえに、IAMは大きなAttack Surfaceでもあります。 Gartner社の予測によると、2023
GMOペパボ株式会社で執行役員 技術部長 兼 VPoE(VP of Engineering)を務める柴田博志(@hsbt)と申します。CTOの栗林健太郎さん(@kentaro)と共にGMOペパボのエンジニアをまとめています。 技術的負債、どこの組織にもありますよね。どうやって返済していますか? 会社として技術的負債にどう立ち向かうべきか、そのコツは人のマネジメントにあると考えています。今回はflexy読者の皆様と技術的負債を考えていこうと思います。 技術的負債とは: 技術的負債とは、開発の中で先送りにされる、ドキュメンテーション不足、保守コストのかかるテストコードや不必要に複雑なコードなどを指します。技術的負債が蓄積してしまうと、将来的に重大な問題を引き起こしたり、対応コストが雪だるま式に増えてしまいます。すべてのコードに技術的負債が発生する可能性があり、組織はどこかのタイミングで技術的負
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、サイバー攻撃によって侵入されることを前提とした、企業側の打ち手について解説します。 今のサイバーセキュリティは「侵入されること」が前提 鈴木暢氏:みなさま、こんにちは。このセッションでは「ログの監視分析とSOCサービス、組み合わせの勘どころ」と題して、ログの分析・監視環境をどのように構成すべきかという情報提供と、ALogを活用した弊社のマネジメントセキュ
「偽造マイナンバー」による詐欺事件が増加 ある都議会議員が「スマートフォンを乗っ取られた」という注意喚起的なポストをXに投稿した。所持していたスマートフォンの契約キャリアを切り替えられ、身に覚えのない支払いやパスワード変更通知を受け取ったという内容だ。一連のポストによると、家族も同じ被害に遭い、ショップや当局への相談・通報などを行ったという。 本人が関知しないところで通信事業者を変更ができてしまった理由として、一体何が考えられるだろうか。 現在、スマートフォンやSIMの契約は、本人以外が行うことは非常に困難となっている。原則として店頭などで本人確認ができない限り、新規の契約はできないようになっているのだ。 その本人確認にマイナンバーカードを使うことが増えているのだが、今回の事件では「偽造したマイナンバーカードが利用されたのでは?」という推理や主張がソーシャルメディアで話されている。 実際、
AI人類殲滅のシナリオを世界の権威に聞いたら想像以上に怖かった2021.06.19 15:0037,378 George Dvorsky - Gizmodo US [原文] ( satomi ) みんないつかは人知を超えた機械に滅ぼされてしまう。 ここ20年くらいその思いが抜けなくて再三書いて「またか!」と言われてるわけですが、これって避けては通れない話かと…。 反論を眺めていると意外と多いのが「お利口なコンピュータには人類滅ぼす手段も動機もない」というもの。「AIが超知能に達することはない」、「悪の手に渡ったらどっちみち終わるし止めることも防ぐこともできない」というのならまだしもそれは考えが甘いって思っちゃうんですよね。 人間の制御と理解を超えるAI知能レベルが人間並みかそれを遥かに超えるシステムがあるとします。能力を劇的に高めた人間の脳(動物の脳でもいいです)は遺伝子工学、ナノテクノロ
マイクロソフト、Linux用のマルウェア対策ソフト「Microsoft Defender ATP for Linux」パブリックプレビュー
マイクロソフト、Linux用のマルウェア対策ソフト「Microsoft Defender ATP for Linux」パブリックプレビュー マイクロソフトは、Linuxに対応したマルウェア対策ソフトウェア「Microsoft Defender ATP for Linux」のパブリックプレビューを発表しました。 同社はWindows用のMicrosoft Defender ATPに加え、Microsoft Defender ATP for Macもすでに提供しています。新たにLinux対応を行うことで、Windows、Mac、Linuxという主要なデスクトップOSのエンドポイントセキュリティをカバーすることになります。 下記はLinux対応の発表文からの引用です。 Today, we’re announcing another step in our journey to offer sec
「ゼロトラスト」提唱者、ジョン・キンダーバーグ氏が語る誤解と本質――「ゼロトラストの第一歩は『何を守るべきか』を明確にすること」
【2024年7月16日追記】記事公開時、タイトルや本文にてジョン・キンダーバグ氏と掲載していましたが、正しくはジョン・キンダーバーグ氏でした。読者ならびに関係者の方々にご迷惑をおかけしたことを深くお詫び申し上げるとともに、以下のように訂正いたします。 【誤】ジョン・キンダーバグ氏 【正】ジョン・キンダーバーグ氏 昨今、サイバーセキュリティの取り組みを議論する際に必ずといってよいほど言及されるキーワードが「ゼロトラスト」だろう。IT系の展示会に足を運んでも、あちこちのブースで「ゼロトラストソリューションを紹介」といった宣伝文句が並ぶ。IT業界、セキュリティ業界ではよくあることだが、一度何かのキーワードが注目を浴びると、ベンダーそれぞれ都合の良いように使われてしまいがちだ。ゼロトラストも例外ではない。 確かにゼロトラストの実現には、さまざまな技術や製品が必要だが、それは決して本質ではない。ゼロ
オリジナルグッズ作成・販売サービス「SUZURI」に関わるエンジニアメンバーや事業部長が登壇し、SUZURIの開発の今や、現在の課題・今後の取り組みについて話す「43万人超のクリエイターの表現活動を支える!ECプラットフォームSUZURIの開発の裏側」。ここで技術部の近藤氏が登壇。生産性をすることになった背景と、具体的な測定方法を紹介します。 自己紹介 近藤宇智朗氏(以下、近藤):では、お願いします。「生産性を可視化したい」と題して発表します。ということで、自己紹介します。私は技術部に所属している、近藤といいます。ふだん、インターネットなどでは“うづら”と呼ばれているので、お気軽にうづらと呼んでください。現在、技術基盤チーム兼データ基盤チームという感じで働いていて、SUZURIの事業部には直接所属していませんが、お手伝いという感じで今回はお話しします。 ちなみに、福岡市のエンジニアカフェと
[AWS利用者必読] アクセスキー漏洩による不正利用について | DevelopersIO
AWSアクセスキーセキュリティ意識向上委員会って何? 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵入を受け、 多額の利用費発生・情報漏洩疑いなど重大なセキュリティ事案が発生するケースが実際に多々起きています。 そこで、アクセスキー運用に関する安全向上の取組みをブログでご紹介する企画をはじめました。 アクセスキーを利用する場合は利用する上でのリスクを正しく理解し、 セキュリティ対策を事前に適用した上で適切にご利用ください。 【はじめに】 昨今、アクセスキーの漏洩を契機とした不正利用の発生が多発しております。AWS 利用のお客様へのビジネスリスクが非常に大きく、弊社としても憂慮する状況です。 そのため、以下をお読み頂き AWS 利用のお客様は環境の見直しをお願い致します。 【この記事で伝えたいこと】 多額の費用発生リスクをなくすために、可能な限りアクセスキーの利用を
![[AWS利用者必読] アクセスキー漏洩による不正利用について | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3a9299c22c271be79f273b6db38d8ba6bc81bd1c/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F05%2F8823428add162ea6925215296ff8c67f.png)
ヘチマ味 @Hetimaaji マスクつけるのに慣れてきた人は注意して下さい。他人が怪我をする恐れがあります。 本日マスクに慣れすぎて、うっかりそのまま食事をとろうとした所、それを見て吹き出した同僚の鼻からカップ麺が飛び出し、後輩が笑い転げて椅子から転落し橈骨遠位端骨折しました。 今インシデントレポート書いてます ヘチマ味 @Hetimaaji 後輩ですが不全骨折だったので手術の心配は無いそうです。 レポートですが、院外秘なので載せる事は出来ません。が内容は敬語に直しただけで、後は対策部分に「鼻から麺を出さない」と書きたくなるのを精神力で抑えて「食事中に騒がない」と小学生の目標を書きました。 いやだって対策とかどうしろと
より筋肉質なチームにするために、開発者が見るべき21のDevOpsアウトプット指標 - Qiita
1. はじめに システム開発にまつわるチームや組織の活動は、指標なんかで測れるわけないやろ~、という声は根強いです。ましてや、それが人の評価になろうものなら、感情的な反発さえありえます。Martin Fowlerもこちらよりです。 一方で、何らかの指標で測れるはずじゃないの?という声も根強い気がします。測れんかったら、良くなったかどうか、どうやって判断すんねん、という意見ですね。DORA Metricsを擁するGoogleはこちらよりですかね。 私はどちらなのかというと、後者で、測れるものは測りたいタイプです。もちろん、すべてが正しく測れるなどとは思っていません。そもそも定性的な指標と定量的な指標のバランスが大事であり、定量的な指標でさえも、現実世界では正確性と計測コストはトレードオフだと思ってます。 しかし、ではじゃあ、具体的にどうすればいいのか?それをまとめてみましたので、ご覧ください
Google社員がYouTubeの管理者権限で未公開動画にアクセスして事前に情報を流出させていたと判明、任天堂や著名人が被害に
2024年5月30日にGoogleの内部文書が大量流出し、Googleはこの文書が本物であることを認めています。この内部文書にはGoogleの検索アルゴリズムについての記述のほかに、6年間にわたるプライバシーとセキュリティに関するインシデントのレポートが含まれており、Googleの従業員がYouTubeの管理者権限を使って公開されていない情報を悪用したり外部に持ち出したりしていたことが明らかになりました。 Google Contractor Used Admin Access to Leak Info From Private Nintendo YouTube Video https://www.404media.co/google-contractor-used-admin-access-to-leak-private-nintendo-youtube-video/ How YouTub
初Zennです。 はじめてZennを使ってみました。いつもはTwitterにいるmipsparcです。鉄道と関連技術が好きで、本職ではPHPを書いています。別途ブログもあります https://mipsparc.wordpress.com/ 今年6月、TABICA(7/26に改称し、新名称「aini」、運営会社 株式会社ガイアックス)というイベント募集仲介サービスに、個人情報を自由に取得できる脆弱性を見つけて報告したところ、速やかに修正されて報奨金をいただいた話をします。 GraphQLは知ってますか? はじめに、GraphQLはご存知でしょうか。普通のHTTP API(RESTともいいますが)では、リクエストするエンドポイントが用途ごとに決まっているのが普通でしょう。たとえば /userdata にアクセスすると、JSONなどの形式でユーザーデータの決まった内容が帰ってくるものです。
バグ報告が来た時にデキるエンジニアの動き方
❗❗問題発生❗❗ 作った機能のバグの発見報告が上がってきました。 この時点で何となく 「ヤバさ」 と 「あたり」 を自分の中でつけます 売上に響くやばい? 条件がある?全員? ボタンが押せないならクライアントだし、API飛んで成功してないならサーバ?届いてないならネットワークもあるか。 モバイル、Webどっち?両方? そもそもどこの環境?開発中のもの? 購入ボタンってどこのこと?特定のアイテム?それとも全部? 購入できてないってどういうこと?DBはどうなってる? まずは 👀 をつける これは 「見ていますよ」 という表現です。 もしくはリプライで 「見ます!」 と宣言するのも良いですね。 これにより投稿者は 「対応してくれるな」 と安心できます。 必要な情報をもらう 発生している環境 発生時間 アカウント名+ログイン情報 スクリーンショット・録画 この時点で試せることは色々試してもらいま
ぼくのかんがえたさいきょうのDevOps実現構成
はじめに 昨年、AWS のインフラを運用・監視する上で使いやすいと思ったサービスを組み合わせて構成図を紹介した記事、「【AWS】ぼくのかんがえたさいきょうの運用・監視構成」が投稿したその日の Qiita のトレンド 1 位になり、はてなブックマークのテクノロジー分野でトップを飾りました。(たくさんの方に見ていただき感謝してます!) 本記事では「ぼくのかんがえたさいきょうの運用・監視構成」の続編として「ぼくのかんがえたさいきょうの DevOps 実現構成」を紹介させていただきます。あくまでも「ぼくのかんがえた」なので私個人の意見として受け入れていただけると助かります。 前回の記事でもお伝えいたしましたが、各個人・企業によって環境は違うと思いますし、使いやすいサービスは人それぞれだと思うので、これが正解という訳ではありません。一個人の意見として参考にしてただければ幸いです。 また、こちらの記事
English お知らせ 2023年5月19日 富士通株式会社 情報セキュリティ対策の強化およびシステム品質改善に向けた当社の取り組みについて 当社および当社グループ会社の度重なる情報セキュリティインシデントやシステム品質に関する問題により、お客様をはじめ関係者の皆様に多大なるご心配、ご迷惑をおかけしていることについて、あらためて深くお詫び申し上げます。 情報セキュリティに関しましては、2021年に検知したプロジェクト情報共有ツール「ProjectWEB」への不正アクセスをはじめ、2022年に発覚したクラウドサービス「FJcloud-V/ニフクラ」や「FENICSインターネットサービス」等での情報セキュリティインシデントにより、多くのお客様や関係者の皆様に多大なるご迷惑をおかけいたしました。また、システムの品質に関しましては、今般の「Fujitsu MICJETコンビニ交付」に関連した一連
“そうはならんやろコード”はなぜ生まれるのか セキュリティ専門家・徳丸氏に聞く「脆弱性だらけのWebアプリ」の背景
ITmedia NEWSでセキュリティインシデントを日々伝えていると、記事に対して「そんなずさんな情報管理があり得るのか!」という驚きの声が寄せられることがある。 例えば、法令を順守していれば被害を防げたかもしれない場合や、明らかな手抜きがあった場合には「そうはならないだろう」「それはダメだろう」というツッコミもよく入る。ITmedia NEWSの読者が高いITリテラシーを持っていることの現れともいえるかもしれない。 しかし、もう少し踏み込んでみることをすすめるのが、情報セキュリティの専門家・徳丸浩さんだ。 「みなさん『それはダメだよ』と思うことはありますよね。でも『これが現実なんですよ』ということが大事だと思うんですよね。例えば、自分が作れば大丈夫という場合でも、ソフトウェアを発注して完成品を受け取ってみたら問題があったなんてことは十分あることです」 “そうはならんやろコード”はどうやっ
大規模なクラウド環境における脅威検知の取り組み | CyberAgent Developers Blog
こんにちは。システムセキュリティ推進グループの花塚です。本記事は、AWSにおける脅威検知のために取り組んだ内容について紹介します。 AWS上で脅威検知といえば、GuardDutyなどのサービスを使って実装するのが一般的だと思いますが、仕組みは構築できても以下のような悩みを持たれることはありませんでしょうか。 仕組みは完成したけど、結局アラートが対応されずに放置されている 限られた人的リソースの中で大量のアラートを捌ききれない 仕組みは構築できても、上記のような運用面に関する難しさを感じる事は少なくないと思います。そこで、この記事では、構築した仕組みとその仕組みを生かすまでの運用方法の変遷について詳しくご紹介します。 大規模なクラウド環境に対して、セキュリティをスケールさせたい方にとって少しでも参考になれば幸いです。 目次 背景 構築した仕組み 運用とその変遷 最後に 背景 話を進める前に、
2021年7月2日、米フロリダ州のIT企業のKaseyaは同社のRMM(リモート監視・管理)製品である「Kaseya VSA」をオンプレミスで利用している顧客に対してサイバー攻撃が発生していると公表しました。同製品を運用する顧客の多くはMSP事業者で、MSPサービスを利用する多数の中小企業などに影響が及びました。ここでは関連する情報をまとめます。 1.最大1500組織にランサムウエアの影響か Kaseya VSAの未修正の脆弱性が悪用され、VSAのシステム管理対象の端末に対してランサムウエアに感染するPowerShellスクリプトが配られ実行された。 Kaseya VSAはマネージドサービスプロバイダーに導入されるケースが多く、MSP事業者が攻撃を受けたことによりサービスを利用する多数の組織に被害が及んだ。一方で、Kaseyaが把握している当該事案のターゲットとなったMSP事業者数は50~
AWS Organizations における組織単位のベストプラクティス | Amazon Web Services
Amazon Web Services ブログ AWS Organizations における組織単位のベストプラクティス AWS のお客様は、新しいビジネスのイノベーションを生み出す際に、迅速かつ安全に行動できることを求めています。マルチアカウントフレームワークは、お客様に合ったAWS 環境を計画するのに役立つガイダンスを提供します。このフレームワークは、変化するビジネスニーズに合わせて環境の拡張と適応能力を維持しながら、セキュリティのニーズを満たすように設計されています。適切に設計されたマルチアカウントの AWS 環境の基礎は AWS Organizations です。これは、複数のアカウントを一元的に管理および管理できる AWS サービスです。 この記事では、AWS環境の構築を検討する際に役立つAWS のベストプラクティスに基づいたアーキテクチャについて詳細に説明します。推奨される組織
GitHubのIssueやPull requestsにアップロードした画像の削除 - coincheck tech blog
はじめに サイバーセキュリティ推進部の吉田です。普段は、CSIRTメンバーとしてAWS環境や各種端末のモニタリング、セキュリティインシデント対応、社内からのサイバーセキュリティに関する相談対応などの業務を行っています。 2023/05/10 追記 GitHubのアップデートによって、プライベートリポジトリのIssueやPull Requestsに新たにアップロードされたファイルは、権限を持たない外部からは参照できなくなったようです。詳細につきましては、以下のGitHubのブログをご確認ください。 https://github.blog/changelog/2023-05-09-more-secure-private-attachments/ 概要 GitHubのIssueやPull requestsに添付した画像はWebにアップロードされ、パブリックなURLが割り当てられます。このURLは
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoftは、米国時間1月25日に同社のWANに発生した大規模障害に関する詳細を公表した。この障害では、世界中の顧客が「Azure」や「Microsoft 365」、「Power Platform」などのサービスにアクセスできなくなった。 影響が数時間に及んだ今回の障害では、「Microsoft Teams」「Exchange Online」「Outlook」「SharePoint Online」「OneDrive for Business」「Microsoft Graph」「Power BI」「Microsoft 365 Admin Portal」「Microsoft Intune」「Microsoft Defender fo
はじめに 近年、サイバーセキュリティに対する意識の高まりを感じている。 国会では「セキュリティ・クリアランス制度」なるものの検討が進んでおり、誰もが知っているような上場企業であれば当たり前のようにサイバーセキュリティ対策を専門で行う部門が設置されるようになってきた。 筆者が実際にクライアントと会話していても、以前のように「サイバーセキュリティ対策の必要性がわからない」というケースは減ってきており、「サイバーセキュリティ対策をとりあえずやりたい」という経営層が増えているようにも感じる。 そして、需要が高まれば供給側の企業も増えるのが資本主義の性(さが)である。 大手SIerやコンサルティング会社はこぞってサイバーセキュリティ分野への増員に力を入れている。 サイバーセキュリティ分野を得意としたベンチャー企業の上場事例も多数見受けられる。 そんな中、近年急速に拡大しているビジネスが24時間365
実践的Djangoプロジェクトの設計―開発・運用が楽になる設定ファイルを書こう! アンチパターンとベストプラクティス|ハイクラス転職・求人情報サイト AMBI(アンビ)
ハイクラス求人TOPIT記事一覧実践的Djangoプロジェクトの設計―開発・運用が楽になる設定ファイルを書こう! アンチパターンとベストプラクティス 実践的Djangoプロジェクトの設計―開発・運用が楽になる設定ファイルを書こう! アンチパターンとベストプラクティス Pythonで広く利用されているWebアプリケーションのフレームワークにDjangoがあります。Djangoで開発を始める際に、プロジェクトの設定ファイルをどのように記述すれば運用が楽になるのか。『Python実践レシピ』の著書もある筒井隆次(ryu22e)さんによる寄稿です。 Djangoは、Python製のWebアプリケーションフレームワークです。もともとニュースサイトを管理する目的で開発が始まり、2005年7月にOSSとしてリリースされました。 Python Software Foundation(PSF)による調査「P
徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書について 令和3年10月31日の未明、つるぎ町立半田病院がサイバー攻撃を受け、電子カルテをはじめとする院内システムがランサムウェアと呼ばれる身代金要求型コンピュータウイルスに感染し、カルテが閲覧できなくなるなどの大きな被害が生じました。令和4年1月4日の通常診療再開までの間、患者さんをはじめ関係者の皆さまには多大なご迷惑とご心配をおかけいたしましたこと、改めて深くお詫び申し上げます。 事件発生後、当院の職員は一丸となって早期復旧を目指しました。全容解明や情報漏えい有無の特定よりも、まずは病院としての機能を一日も早く取り戻すために、患者さんのデータをいかに復元させるか、端末を利用できる状況にどのように戻すかに焦点を当てインシデント対応を行っていきました。幸いにして、調査復旧を請け負った事業者の作業、電子カルテ業者の仮シ
AWS re:Invent 2020の会期中に発表された新サービス/アップデートのまとめです。 今年も、後から出来るだけ素早く簡単に振り返ることができるようにまとめました! 凡例 (無印) 新サービス (Update) 既存サービスのアップデート (APN) パートナー制度に関連したリリース/アップデート 12/1 (火) 今年の開幕は「Amazon EC2 Mac instances」でした。 Amazon EC2 Mac instances macOS用のAmazon Elastic Compute Cloud (EC2) Macインスタンス EC2 Macインスタンスを使用すると、iPhone、iPad、Mac、Apple Watch、Apple TV、Safari用のアプリ開発者は、macOS環境を数分でプロビジョニングしてアクセスし、必要に応じて容量を動的に拡張し、AWSの従量課
Zoom、Cisco WebEX、TeamsをCASBでセキュリティで比較。結局Zoomは何が駄目?(大元隆志) - エキスパート - Yahoo!ニュース
未だに多くの人が関心を寄せるZoomのセキュリティ。Zoomのようなクラウドサービス導入を検討する際にリスクアセスメントを迅速に行うCASBというツールが有るので、CASBを用いて比較を行った。 ■多くの企業がクラウドのセキュリティ評価に課題を抱えている 新型コロナウィルスによる「緊急事態宣言」発令によって多くの企業が急速にテレワーク環境の整備に追われている。テレワーク実現にあたって直ぐに利用を開始できるクラウドサービスの利用を検討する企業が多い。こういったクラウドサービスの利用に伴い情報システム部門を悩ませているのが「クラウドサービスのセキュリティ評価」だ。クラウドサービスは各クラウドサービス事業者が構築したシステムをサービスとして利用することになるため、セキュリティのレベルは各社統一されておらず、自社のセキュリティ基準を満たしているかを判断することが求められる。 こういったクラウドサー
Terraform担当大臣 - laiso
“Platform Engineering”という私的よく見かけるが意味を調べたことのない用語No.1のトピックについて書かれた本がO'Reillyからearly releaseされているので読んでる。まだ第一部しか公開されてない。 learning.oreilly.com その中に出てくるアプリケーションチームがTerraformコードを管理することで起きがちな問題について共感したので紹介する アプリケーションエンジニアリングチームがIaaSクラウドのあらゆるものを求めるようになったとき、多くの企業は、各チームに独自のクラウドインフラストラクチャを独自の構成でプロビジョニングする権限と責任を与えることが、摩擦の少ない方法だと判断しました。 実際には、これは、構成管理とインフラストラクチャプロビジョニングに精通した、兼業のクラウドエンジニアリングチームになることを意味していました。 繰り返
エリート DevOps チームであることを Four Keys プロジェクトで確認する | Google Cloud 公式ブログ
※この投稿は米国時間 2020 年 9 月 23 日に、Google Cloud blog に投稿されたものの抄訳です。 DevOps Research and Assessment(DORA)チームが実施した 6 年間の研究から、ソフトウェア開発チームのパフォーマンスを示す 4 つの指標が確立されました。 デプロイの頻度 - 組織による正常な本番環境へのリリースの頻度 変更のリードタイム - commit から本番環境稼働までの所要時間 変更障害率 - デプロイが原因で本番環境で障害が発生する割合(%) サービス復元時間 - 組織が本番環境での障害から回復するのにかかる時間 概要レベルでは、デプロイの頻度と変更のリード時間は速度の指標であり、変更障害率とサービス復元時間は安定性の指標です。チームはこれらの値を測定し、継続的に改善を繰り返すことで、ビジネス成果を大幅に向上させることができま
はじめに この記事は、本番環境などでやらかしちゃった人 Advent Calendar 2023の11日目です。 どうも、@_tinojiと申します。実に4年ぶりにアドベントカレンダーに参加しました。 正規表現で1文字消し忘れて、なんぴとたりともサービスにログインできない状態にしてしまったという話をします。正規表現にはまじで気をつけましょうという教訓になれば・・・ 犠牲となったログイン画面 とあるtoBなWebサービスを開発していたときの話です。法人のユーザーが使う管理画面的なイメージです。 当然ログイン機能があって、至って普通なログインなのですが1つだけ特徴がありまして、ログイン画面のURLをアカウントごとに変えています。https://example.com/<uuid>/loginみたいな感じですね。 あまり見ない形式ではありつつも、個別のUUIDを特定されない限りログイン画面に対し
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWSを不正利用された際の反省と教訓 - Qiita
資料生成AI「Napkin」でデカめの資料を作ってみたので知見を共有する
Cloudflareの社内サーバーへの不正アクセスについてまとめてみた - piyolog
身近なBtoCサービスを支えるアーキテクチャ大解剖 技術選定のポイントと今後の展望 - Findy Tools
GMOペパボ柴田博志が教える。経営者も理解しておくべき「技術的負債」 - FLEXY(フレキシー)
企業がサイバー攻撃を「防げる」という考え方は時代遅れ 攻撃を受けて「侵入される」前提のセキュリティ対策
「偽造マイナンバー」で増えるSIMハイジャック、個人情報を守るために“やるべきこと”
AI人類殲滅のシナリオを世界の権威に聞いたら想像以上に怖かった
“生産性向上に投資するため”のデータの可視化 生産性測定から組織の仕組み作りをサポート
"マスク慣れ"が原因で後輩が骨折…マスクが引き起こす思わぬ被害に注意「会社の伝説になりそう」「じわじわくる」
GraphQL採用サービスで任意カラムを取得できる脆弱性を見つけた話
情報セキュリティ対策の強化およびシステム品質改善に向けた当社の取り組みについて : 富士通
多数の組織がランサムウエアに感染したサプライチェーン攻撃についてまとめてみた - piyolog
マイクロソフト、1月25日に発生した大規模障害の原因を説明
【サイバーセキュリティ】SOCによる24時間365日監視は本当に必要なのか再考してみる - Qiita
コンピュータウイルス感染事案有識者会議調査報告書について つるぎ町立半田病院
AWS re:Invent 2020で発表された新サービス/アップデートまとめ - Qiita
正規表現ミスって一晩誰もサービスにログインできなくしてしまった話 - Qiita