変化に耐え得る esa のカテゴリ設計を徹底的に考えてみた - Feedforce Developer Blog
こんにちは id:masutaka26 です。夜の散歩(意味深)に勤しむ毎日です。 フィードフォースではドキュメント共有ツールには esa と Google ドキュメント1を、コミュニケーションツールには Slack を採用しています。 情報共有はかなり活発で、2021/2/1 現在の esa 記事数は 81,324 です2。 現在のカテゴリ構成と課題 チームのスピードを上げるための大原則 チームのスピードを上げるための情報整理 1. Flow 型と Stock 型の記事を理解する 2. 基本は Flow 型の記事にする 3. 議事録カテゴリは出来るだけ作らない 4. Slack に流れていく情報も Flow 型の記事にする 5. 使い続けられる情報を Stock 記事として引き上げる 6. 整理を頑張らないことで整理の難易度が低くなった 7. esa を全ての情報の起点にする それをチー
「コンテナもサーバーレスも、AWSの各レイヤーの最新セキュリティ」というタイトルで登壇しました | DevelopersIO
こんにちは、臼田です。 みなさん、すべてのレイヤーでAWSのセキュリティ対策出来ていますか?(挨拶 今回は先日登壇したAWS コンサルティングパートナーがお伝えする最先端のクラウドセキュリティ対策 – S3のファイルは安全ですか?AWSの設定は安全ですか? –の内容について解説します。 資料 解説 コンセプト AWSにおけるセキュリティ対策も、一般的なセキュリティ対策と同じように様々なレイヤーで実施していく必要があります。 最近トレンドマイクロさんのAWS上で利用できる製品群がたくさんリリースされ、昔からよく使われているDeep Security + EC2以外にも様々なレイヤーで活用できるようになりました。 このセミナーでは特に私がめっちゃ押したいS3のファイルをマルウェアスキャンするFile Storage Security(FSS)とAWS環境のセキュリティチェックをするConfor
サイバー被害を減らしたい――。この思いの下、無償で日本のサイバーセキュリティーに貢献しているセキュリティー技術者50人ほどの集まりがあることはまだあまり知られていない。「ばらまきメール回収の会」である。 ばらまきメール(ばらまき型メール)とは、不特定多数に向けて同じ文面のなりすましメールを送り、マルウエアに感染させたりフィッシングサイトに誘導したりするサイバー攻撃だ。2014年ごろから発生するようになり、主にネットバンキングなどからの不正送金を働くマルウエアを広めている。 Emotetの脅威、再び ばらまき型メールで拡散されるマルウエアに今、日本政府も脅威を感じている。「Emotet(エモテット)だ」。国のサイバーセキュリティー戦略をかじ取りする内閣官房の内閣サイバーセキュリティセンター(NISC)が2020年7月21日に公表したばかりの「サイバーセキュリティ2020」にそれが表れている。
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog 皆さんは「No Measurement, No Improvement」という言葉をご存じでしょうか。これは「測れないものは改善できない」という意味で、熱力学者であるウィリアム・トムソン博士の言葉とされています。 下図はGoogle社のDORA(DevOps Research and Assessment)を参考にして作成しました。開発スピードとサービスの品質を改善するためには計測が必要です。計測のための4つの指標を紹介します。 四つの指標で計測し、開発スピードとサービスの品質を改善 開発スピードの分析に利用する指標は、1つ目が「Change Lead Time(開発が始まってから本番にデプロイされるまでの時間)」、2つ目が「De
プロジェクトKVについて思うこと|蝶枝ろいぜ
結局私は、どこまで行ってもブルーアーカイブが好きだったのかも知れない。 私はブルーアーカイブのファンであると同時に、isakusanのファンでもあった。彼が退社した今のブルーアーカイブが、果たしてこのゲームの根幹にある精神性まで引き継げているのかという疑問が付き纏った。 いっその事きっぱり離れた方が精神衛生上良いのではと思ったものの、2年来追い続けていたコンテンツをひと思いに切り捨てるドライさは生憎持ち合わせていなかった為、今はこうして未練タラタラで引き摺り続けている。 しかしisakusanが作るゲームなら、例えブルーアーカイブじゃなくても精神的続編、姉妹作として楽しめるかも知れない。そう考えていた。が、現実はそうは上手く行かなかった。 彼らの詳細な役職についてはここでは割愛するが、isakusanだけではなくhwansangことキム・イン、パク・ビョンリムといったブルーアーカイブの主要
元Webデザイナーのセキュリティエンジニアが警告する、CSSインジェクションの脅威 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
※この座談会は緊急事態宣言以前に実施しました。 イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共に、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第11回をお送りします。 川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO、Interop、各都道府県警のサイバーテロ対策協議会などで講演、安全なITネットワークの実現を目指してセキュリティ演習なども提供しています。 イエラエ顧問として、「川口洋の座談会シリーズ」を2019年に開始。サイバーセキュリティを巡る様々な話題を、社内外のゲスト達と共に論じ語ってきました(川口洋の座談会シリーズ)。 今回ゲストとして登場するのは、イエラエセキュリティのペネトレーション課に所属する馬場将次。Webデザイナーとしての経験から、Webに関するセキュリティへの鋭い視点を持つ馬場。
【プロフィール】田村 祐樹(たむら ゆうき) 1979年生まれ。ネバーランドカンパニーにてゲーム開発に従事。gumiにて技術担当執行役員CTOに就任し、ソーシャルゲーム開発を牽引する。 その後、ディライトワークスにてFGOをはじめとしたスマートフォンゲーム開発を担当。直近ではSmartNewsにてEMを務め、その後、不動産テックのCTOに着任。 2023年9月よりestieに参画。2024年2月に事業部CTOに就任。 エンジニアリングマネージャーの仕事といえば一言で言えば何でしょうか? マネジメント? 1on1? ミーティングにでること? 違いますね。 そう、マネージャーの仕事は「マネージャーのアウトプット=チームのアウトプット+影響を与えた他のチームのアウトプット」ですからこのアウトプットを最大化することです。 (かの有名なアンディ・グローブの定義を持ってきました) このアウトプットの影
ダブルチェックの有効性を再考する 京都大学医学部附属病院 医療安全管理部部長 松村由美 平成30年度医療安全セミナー 主催:厚生労働省四国厚生支局 サンポートホール高松 平成30年12月7日(金)13時00分 ダブルチェックとは? 説明してみよう! 2 誤薬の防止 各業務プロセスの中でのダブル チェックなど,・・・が重要である 日本看護協会 医療安全推進のための標準テキスト 論理・文脈チェック 表層チェック 3 各業務プロセス:薬剤の場合 処方 調剤 与薬 時間差 ダブルチェック 同時 ダブルチェック ダブルチェックなし または 研修医,指導医など または カンファレンス(論理・文脈チェックに向く) 業務として定めていない 処方鑑査業務 4 看護師は,同時ダブルチェックが多い ~注射薬のダブルチェックを例に~ • 方法は様々・・・ 指示簿とラベルと薬剤を二 人で一緒に同じものをみて います
Datadogの活用ノウハウを一挙に公開・それを支える全社管理者の工夫とは #datadog_japan_meetup - ZOZO TECH BLOG
こんにちは。ECプラットフォーム基盤SREブロックの高塚と巣立(@tmrekk_)です。 ZOZOTOWNはクラウド化・マイクロサービス化を進める中で、監視SaaSのDatadogを採用しました。この数年で多くの知見が蓄積され、今では様々なシーンでDatadogを活用しています。この記事ではそのノウハウを惜しみなく公開します。 ※本記事は、先日開催されたDatadog Japan Meetup 2022 Summerにて発表した内容を書き起こして再構成したものです。 当日の発表資料 speakerdeck.com 目次 当日の発表資料 目次 はじめに マイクロサービス基盤に必要な監視の要件 第1部 ZOZOTOWNにおけるDatadogの活用 1. どこで障害が起こっているのか分からない → APM 2. アラートやダッシュボードや外形監視が欲しい → Monitors, Dashboar
sponsored セブンアールジャパンの西川氏とASRockの原口氏にコダワリを聞いてきた パソコンショップSEVENとASRockのコダワリが炸裂! Threadripper PRO 7995WX搭載BTOPC sponsored 従来よりもさらにコスパよくゲーミングPCを組みたい方へ ゲーミングマザーボード「GAMING PLUS」シリーズ完全解説&自作のオススメ構成例も紹介 sponsored スタンダードなスリムPCだが高性能! そんな注目のマシンがセールで販売中 sponsored GWにゲームどっぷりを考えているなら、今がチャンス! マウスのゲーミングPCセール中! sponsored BaaS普及を追求し続けるGMOあおぞらネット銀行と、ARIのAWS導入支援cnarisに迫る sponsored 強化ガラス製マウスパッド「ROG Moonstone」など気になるデバイスも
これは8年ほど前のある日のことです。 本番環境のテーブルを淡々とtruncateし続けたことがあります。 リリース前などではなく、稼働中のサービスでした。 思い出せる限り、私のエンジニア歴において最大の「やらかし」です。 「そんなミスありえないだろ…」「どんだけ迂闊なんだよ」という感想を持たれる方もいらっしゃるかと思います。 むしろ、それが正常だと思います。しかし、当時の私はやってしまった。 ただ、それでエンジニアをやめるようなこともなく、現在では人を指導する機会も増えました。 どうしたらそんな事が起きるのか? その後、どのような対応が行われたのか? 教訓はなにか? この機に記させていただきたいと思います。 量産現場の社二病社員 当時働いていた職場では、「同じような機能を持ったスマートフォンアプリ」を量産する部署がありました。 私は、そこに配属されました。 当時、新卒2年目。社二病真っ只中
さて、米国連邦政府のクラウド戦略についてのレポートその2である。その1はこちらを参照。その1を読んでいなくても支障はないが、歴史的な話をしているので先に読んでいただくと理解が捗ると思う。 前回は、どちらかというと連邦政府の取り組みがうまくいかなかった、というトーンで話をしたが、公平を期して言うならば、成功している部分もあるし、うまくいかなくても諦めず粘り強く進行している取り組みもある。こういうとき米国人というのは強くて、失敗を教訓にどんどん再トライを繰りかえし、大きなブレイクスルーに繋げてしまう。 本稿では、そのようなダイナミズムを持った取り組みとして連邦政府のクラウドセキュリティ戦略を取り上げたいと思う。今後日本政府がクラウドシフトを進めていくうえでの参考にもなれば幸いである。 連邦政府のクラウドセキュリティ政策は、大きく三つの柱から成り立っている。一つ目が「FedRAMP」と呼ばれるク
セキュリティエンジニアへの道:私のキャリアチェンジ物語 / The Road to Becoming a Security Engineer: My Story of Career Change | メルカリエンジニアリング
セキュリティエンジニアへの道:私のキャリアチェンジ物語 / The Road to Becoming a Security Engineer: My Story of Career Change * English version follows after the Japanese こんにちは。メルカリのProduct Securityチームでセキュリティエンジニアをしている@gloriaです。ブログを書くのが随分お久しぶりなのですが、前にQAと自動化テストについて記事をフォローしていた方がいらっしゃったら、当時に自動化テストエンジニアとして書いたISTQBテスト自動化エンジニア認定資格、STARWESTカンファレンス、とAQA POP TALKの記事を読んだことがあるかもしれません。 今回は、自動化テストエンジニアからセキュリティエンジニアへのキャリアチェンジについてお話して、キャリア
経営層の理解を得られず、セキュリティ予算が増やせない──中小情シスにあるあるの悩み。解決に必要なテクニックは。 苛烈さを増すサイバー攻撃。企業の規模や事業内容を問わず、日々さまざまなインシデントが報じられている。一方で、攻撃に立ち向かう企業の体制はまちまちだ。情報セキュリティ企業のNRIセキュアテクノロジーズが日本・米国・オーストラリアの約3000社を対象に実施した調査によれば、日本企業の6割強が「セキュリティ予算はIT予算の1割」と回答。米国・オーストラリアに比べて予算が少ない状況が明らかになったという。 特に、セキュリティに注力する余裕のない中小企業ではこの傾向が顕著だろう。同社のホワイトペーパー「経営層を説得するセキュリティ予算獲得術」を基に講演などを行う瀬戸達也さん(DXセキュリティプラットフォーム事業本部 GRCプラットフォーム部 シニアセキュリティコンサルタント)も「中小企業は
2024年5月29日、イセトーは社内サーバーなどがランサムウエアにより暗号化される被害が発生したと公表しました。またその後には取引先の個人情報流出の恐れがあることも明らかにしています。ここでは関連する情報をまとめます。 委託後一部データ消されず影響を受けたケースも ランサムウエアによりデータ暗号化の被害にあったのはイセトー社内で使用されているサーバー、PCの一部。被害が確認されたのは2024年5月26日。不正アクセスにつながった原因やランサムウエアの種類などの情報はいずれも特定済みではあるが公表していない。一方で同社に委託していた徳島県によれば今回の不正アクセスは8baseランサムギャングによるものであったことが明らかにされた。 6月6日時点で情報窃取について調査中であり流出の事実を確認していないとするが、ファイルサーバー等から取引先の個人情報の流出の恐れが判明していると説明している。6月
結婚を希望する18歳以上の独身で、東京都内に在住・在勤・在学する人が利用できる。利用料は無料だが会員登録が必要な他、独身証明書や本人確認書類などの提出が必須。会員登録後、価値観診断テストの一つ「EQアセスメント」の結果から、AIが自動的に相手を紹介し、お互いが会いたいと希望すれば「お見合い」フェーズに進み、面会できる お見合いはオンラインでも可能だが、この時点では個人情報は交換できない。お見合い当日には、相手との連絡手段として「クラウド電話サービス」も用意。発信者番号が通知されない状態で、5分間まで通話できる。こちらも通話料金は無料。お見合い後、お互いが合意すれば「交際」フェーズとなり、自由に連絡が取れるようになる。 交際後、双方が希望すれば「真剣交際」へと進む。真剣交際になれば、他の相手とのお見合いや交際は中止となり、新たな相手は紹介されなくなる。相手を探す最中、専門のスタッフにオンライ
🐳この記事は「ログラスサマーアドベントカレンダー2023」の28日目の記事です。 次はデザイナーチームの高瀬さんです。 こんにちは、ログラスの松岡です。 ログラスのプロダクトチームでは、ドメイン駆動設計とアジャイルプラクティス(スクラム、エクストリームプログラミング等)を併用していました。 その中で、「アジャイル・フルーエンシーモデル」(以下、省略時には「フルーエンシーモデル」と表記)という概念が多くのプラクティスを取りまとめ、全体感を把握してチームの成長余地を考えるのに役立つものなので、この記事で紹介したいと思います。 アジャイル・フルーエンシーモデルの面白いポイント 面白いポイントはいくつもあるのですが、この記事で紹介するポイントは二つあります。 ポイント①: 技術的負債への対策が組み込まれている 一つは、「技術的卓越性によってアジャイルの持続可能性(サステナビリティ)を高めるという
※この投稿は米国時間 2021 年 6 月 19 日に、Google Cloud blog に投稿されたものの抄訳です。 Google の顧客信頼性エンジニアは、Google Cloud のお客様の組織で実践を支援するよう選任された、Google サイト信頼性エンジニア(SRE)です。その仕事の一つに、運用の成熟度を高めるために行う経営陣や SRE チームへのアドバイスがあります。Google はそのディスカッションの多くで、「今やっていることは『SRE の仕事』でしょうか?」あるいは、もう少し実存的不安の響きがする「自分たちを SRE と呼んでもいいでしょうか?」という質問を何度も受けています。 この質問には、すでに、SRE ワークブックの実践リストで答えています。しかし、このリストは「SRE とは何か」については詳しいですが、その理由について詳しく述べていないため、SRE とは何かとい
開発/Stg環境のための本番DBマスキングと継続的リストアの仕組みを作りました | ランサーズ(Lancers)エンジニアブログ
SREチームの安達(@adachin0817)です。今回はMENTA、Lancers Creative、Lancers Agencyでマスキングした本番環境のデータをStgや開発環境のMySQLコンテナへ毎週リストアする仕組みを実装しました。実際にここらへんは運用をしていく中で一苦労されている方も多いのではないでしょうか。それではまず背景と、実装するに当たっての活動含めてご紹介できればと思います。 背景 今回はMENTAを例にしています。各サービスの開発環境はDockerを利用しており、本番とStg環境はTerraformで管理しています。カラム追加ではマイグレーションを実行することでサンプルのスキーマファイルを投入して開発をしているのですが、たまに開発環境で動いていたソースがStgや本番で動かないといったことで開発効率が下がることが見受けられます。開発メンバーにとってはより本番環境に近い
データエンジニア / Analytics Engineer向けの権限管理のためのTerraform紹介 - yasuhisa's blog
これは何? 背景: 権限管理とTerraform 権限管理の対象 誰に権限を付与するのか どのスコープで権限を付与するのか どの強さで権限を付与するのか Terraformについて Terraformの概要: 権限管理でTerraformを使うと何がうれしいのか 例: roles/bigquery.jobUserを付与してみる コラム: どこでTerraformを実行するか Terraformでの権限管理の例 例: データセットの作成 例: データセットに対する権限付与 サービスアカウントの管理 iam_member関連の注意点: AdditiveとAuthorativeを意識する Terraformで管理されていなかったリソースをTerraform管理下に置く: terraform import Terraformの登場人物 terraform planやterraform applyの
あけましておめでとうございます。 今年も細々とながら発信を続けていこうと思いますので、どうかよろしくお願いします。 今回はセキュリティ情報 (公開情報) の集め方について、私がどのようにしているのかご紹介します。 これがベストというわけではなく、このとおりやればいいというわけでもなく、あくまでひとつのケースとしてお考えください。 ※「誰それをフォローするといいよ!」といった個別具体的な情報源の紹介はしません。 最後にご紹介する他のリサーチャの方の中には情報源のリストを公開されている方もいらっしゃるので、ニーズに合いそうならそれらの情報源を利用されるとよいと思います。 なぜ情報収集をするのか どんな情報を集めるか 具体的な情報収集の方法について RSS リーダー Inoreader RSS を配信していないサイトの対策 Twitter TweetDeck 英語について 情報収集の注意点 他の
sponsored イラスト感覚で光が“描ける” パナソニックのマイクロLEDを活用した次世代照明がすごい sponsored Core i7-14700KF搭載「LEVEL-R779-LC147KF-TTX」をチェック 性能・コスパで考える、超快適ゲーミングに最適なRTX 4070 SUPERのBTOゲーミングPCがコチラ! sponsored 大きくて組みやすい、自作erのかゆいところに手が届く細かな配慮にも注目 PC自作慣れしてなくても組みやすいピラーレスケース「CORSAIR 6500X」、iCUE LINKでより簡単に! sponsored JN-PCY238FHDR180-Hシリーズをレビュー 色鮮やかな180Hz駆動ディスプレーが約2万円台!ゲーム環境にパステルカラーはいかが? sponsored アプリの乱立、情報システム部の負荷増、セキュリティインシデントを防ぐ kint
失敗して攻め続けるために - freeeのエンジニアが障害対応で実践していること - freee Developers Hub
2015年10月入社でコアエンジンチームの@kompiroと申します。普段は下記の3つの業務に従事しています。 お客様が自社の情報を把握するためのデータアグリゲーション機能の開発 マイクロサービスに切り出したデータアグリゲーション機能をEKSに移行 チーム横断で開発者のみんなが開発しやすい環境の構築 そんな私ですが、最近しくじり開拓者のつどいという社内イベントを開催しています。これは障害対応の一環として始めたイベントです。今日はしくじり開拓者のつどいというイベントをみなさまに紹介するとともに、背景となる障害に対する考え方と障害対応の流れを解説します! freeeの開発文化と障害対応 freeeの開発文化 こちら弊社の紹介スライドからの引用です。 freeeのエンジニアチームが大切にする開発文化が言語化されたものが 失敗して攻めよう 何でもやれる、何でもやる 必殺技 カッとしてシュッとやる
「DevOps」とは?〜超基本から実践のポイントを解説〜|インシデント管理プラットフォーム│PagerDuty
変化の激しい市場に対応するための開発手法として、アジャイル開発を導入する企業が増えるとともに、「DevOps」への注目が高まっています。しかし一方で「DevOpsという言葉は聞いたことはあるけれど、実際にはよくわからない」という方もいらっしゃるのではないでしょうか。DevOpsは「開発担当者と運用担当者が密に連携することで、柔軟でスピーディーな開発を実現する」というソフトウェア開発手法の一つです。DevOpsは単なるトレンドではなく、現代のソフトウェア開発において非常に重要な考え方でもあります。本記事では、DevOpsを一から理解したいという方にもわかるように、DevOps誕生の歴史を簡単に紐解きながら、DevOpsの考え方をご紹介します。また、アジャイル開発との違いやDevOps導入のメリット、実践のポイントなどをDevOpsを実践する3社の事例を交えて解説します。 「DevOps」とは
兵庫県尼崎市でUSBメモリ紛失のインシデントが発生し、大きな話題を集めました。インシデント自体も問題ですが、記者会見の場でパスワードの詳細が漏れてしまうなどセキュリティ管理の甘さが取り沙汰されています。ここからどのような教訓が得られるのでしょうか。
テレワークかどうかは、もはや関係ない? 三菱重工のインシデント報告から学べる「IT管理者あるある」な反省点:半径300メートルのIT(1/2 ページ) テレワークが普及する中、セキュリティ対策に追われる組織や企業は多いのではないでしょうか。三菱重工が公開したインシデントレポートは、まさにテレワーク「あるある」の状況で起こった攻撃を明らかにしています。しかし、その中で挙がった要因の一つは、テレワーク以前にどうにかできたはずで、多くの組織で放置されがちなものでした。 ほぼ全ての企業がPCとネットワークを活用し、何らかのITシステムを使っています。インターネットに接続する可能性があれば、そこにはインシデントが発生する可能性も存在します。 最近ではサイバー攻撃を受けることも当たり前になりつつありますが、インシデントが発生したあとにしっかりとその被害状況に関してのレポートも公開されるようになりました
医療機関でのサイバーセキュリティ対策が義務化~急増する被害の現状と実施すべき対応策とは~|医師のキャリア情報サイト【エピロギ】
昨今、サイバー攻撃の被害が増加していて、中でも医療機関をターゲットとした被害事例が相次いでいます。医療機関がサイバー攻撃を受けた場合、診療の一時停止や患者情報の漏洩など、医療機関の経営はもちろんのこと、地域医療にも大きな影響が及びます。 こうした事態を受け、2023年4月1日、医療法施行規則改正により医療機関や助産所の管理者に対してサイバーセキュリティ確保(対策)が義務化されました。これに対応して、「医療情報システムの安全管理に関するガイドライン」も更新されました。ここでは改めてサイバー攻撃の現状を整理し、医療機関と医師個人が取るべき対策を確認します。 1.身代金を要求するランサムウェアの被害が急増 近年、電子カルテや診療予約システムなど医療機関におけるIT化が進められています。医療機関のIT化は、多職種間での情報共有や医療の効率化、質の向上に大きく役立つ一方で、セキュリティ上のリスクも高
初めに 本記事 『ゼロから始めるシステム障害対応フロー』 の内容について タイトルの「ゼロから始める」には二つの意味があります。プロダクトのリリースを間近に迎える中、チーム内での障害対応体制の枠組みがなかったこと。そして体制づくりを担当することとなった私の知識・知見が(ほぼ)ゼロだったこと。この二つです。 この状態から、リリース前〜リリース後の約2月間でなんとか形にすることができました。本記事ではその過程でぶつかった問題とそれに対する課題、それらにどう対応したのか、何を学んだのか、の紹介。 そして、障害対応体制の策定・構築や改善の流れの中で私が起こした失敗から、人としてリーダーとして何を心がけなければいけなかったのかの反省を共有させてもらいたいと思います。 本記事は以下の構成です。 0. 始まり ※ スクラムチームでの話。スクラムチームの登場人物は以下の三つ PO:プロダクトオーナー(Pd
テレワークかどうかは、もはや関係ない? 三菱重工のインシデント報告から学べる「IT管理者あるある」な反省点:半径300メートルのIT(2/2 ページ) レポートに記された「IT側にもあった落ち度」こそ、誰もが見直すべき理由 そしてもっとも注目すべきは、今回明らかになったSNS以外の要因です。その一つは、多くの人にとって覚えがありそうな“ITを管理する側の落ち度”でした。 影響範囲が当該従業員の社有PCから他機器に広がった要因として、同地区の一部のサーバのローカル特権アカウントに対し、同じパスワードが設定されていたことが考えられます。 (特権アカウントを悪用され他機器にログインされたものと考えております。)これらに対し、ローカル特権アカウントのパスワードを全て異なるものに変更する対策を実施済みです。 これは、ウイルスに感染した社用PC内から読み取られたパスワードと、サーバの特権アカウント(a
オラクルのクラウドで数十億件の個人データが露出の可能性 | Forbes JAPAN 公式サイト(フォーブス ジャパン)
オラクルのアドテクノロジー部門が、セキュリティが脆弱なサーバ経由で、全インターネットのトラフィックの約1%に相当する数十億件のデータを露出させていたことが明るみに出た。 6月19日にTechCrunchのZach Whittakerが報じたところによると、オラクルは各国のインターネット利用者の数十億件に及ぶデータを、セキュリティが脆弱なサーバでパスワードをかけずに保管していたという。 オラクルは近年、アドテクノロジー分野に盛んな投資を行っており、2014年にスタートアップ企業BlueKaiを4億ドル(約427億円)を超える金額で買収していた。 オラクルのアプリケーション開発部門のSteve Mirandaは、BlueKaiを同社のマーケティングクラウドに組み入れることで、マーケッターが既存顧客や新規顧客に正確で、パーソナライズされたターゲティング広告を打てるようになると説明していた。 Bl
エンジニアの「生産性」を、どのように測れば良いのだろうか? 2014年に創業し、建設・建築現場で使えるクラウド型のプロジェクト管理サービス「ANDPAD」を提供する株式会社アンドパッド。 2020年には合計約60億円の資金調達を行い、2022年4月時点でおよそ600名の従業員を有するなど、急成長を続けている。 同社のアカウント基盤チームでは、エンジニアのパフォーマンスを解析するSaaS「Findy Teams」を活用し、組織の生産性を可視化。チームの課題を特定した上で複数の施策を実施した結果、「平均プルリクエスト クローズ時間」の指標が、120時間から23時間ほどに激減したという。 この取り組みの中心となったテックリードの柴﨑 優季さんは、改善を行うにあたり「指標だけではなくチームの観察からボトルネックを特定する」「敢えて大きな課題から取り組まない」「自分一人がチームを変えるのではなく、チ
![エンジニアの「生産性」どう測る? 開発サイクル改善の次の一手に挑むアンドパッドの挑戦 | SELECK [セレック]](https://cdn-ak-scissors.b.st-hatena.com/image/square/fb26aea0e63f694bb12bb986be86be62f44662bb/height=288;version=1;width=512/https%3A%2F%2Fdpd29bjwmgbr8.cloudfront.net%2Fwp-content%2Fuploads%2F2022%2F06%2F06104511%2F8756cab8425c62d97a74231f915548b9.jpg)
詳解 インシデントレスポンス
インシデント対応には、様々な専門分野の知識が必要です。優れたインシデント対応担当者は、ログ分析、メモリフォレンジック、ディスクフォレンジック、マルウェア解析、ネットワークセキュリティ監視、スクリプトやコマンドライン技術などに精通している必要があり、様々な分野のトレーニングを継続的に受ける必要があります。 本書は、セキュリティ侵害を試みる攻撃者の活動に対し、日常的に予防・検知・対応を行う実務家によって書かれた、実務家のための書籍です。それぞれの専門分野のエッセンスを凝縮し、読者の環境ですぐに応用できるインシデント対応の効果的な技術を紹介します。侵害や情報漏洩がより速いペースで発生し、これまでとは異なる動的なアプローチを必要とする現代の脅威に合わせた最新技術を解説していきます。インシデント対応の理解を深めたいIT専門家、初めてインシデント対応を学ぶ学生、クイックリファレンスガイドを探しているセ
各サービスに加え、サポート費用、消費税諸々含め300万以上の課金が発生しました。 幸い今回の事象はラックの検証環境上で発生した事象のため、お客様への影響はなかったものの、これが「もしお客様環境で起きていたら......」と考えると背筋が凍ります。 事象の原因 今回上記(A)(B)の仕組みを定期的に実行する想定で各々EventBridgeルールの設定をしましたが、(B)のEventBridgeルールの設定に考慮漏れがありました。 具体的には、以下のように記載をしていました。 EventBridgeルールの作成時、イベントパターンのフォームから生成したJSONとなります。 ※ S3にオブジェクトが配置されたら後続処理を実施するというテンプレートを使用しました。 テンプレートの内容を深く理解せず、そのまま流用したことが本事象の発端となっていました。 ※ ただ、EventBridgeでは、ルールが
AWS Systems Manager(SSM) の数多い機能群を攻略するための図を書いてみた 2021 | DevelopersIO
まずまとめ できた図がこちら AWS Systems Manager(SSM) を理解しようとする上で厄介なのは、 「インスタンス管理(左部分)」で使う機能群、それぞれに関連性があること だと思っています。 なので以降の説明は、 図の左半分 インスタンス管理 の説明が大半です。 さっそく インスタンス管理で使える機能を上から舐めていきましょう。 #1 なにはともあれマネージドインスタンス なにはともあれ EC2インスタンスを マネージドインスタンス 化するところから始まります。 マネージドインスタンスにするために、ざっくりいうと 3つの作業が必要です。 SSM エージェント をインストールすること 適切なIAMインスタンスプロファイル※ をアタッチしていること SSM関連エンドポイント※ へのアウトバウンド方向の通信ができること ※ 詳細は以下参照 EC2 インスタンスが AWS Syst
merpay Tech Talk は、エンジニアたちが集まり、技術的な知見を共有しあうことを目的とした勉強会です。今回は、「全員品質」を目指すメルペイのQAエンジニアたちが日々の取り組みについて話しました。櫻井氏は、Credit Designチームにおける技術解消のための取り組みと、それにより生まれた新しい文化・習慣について発表しました。 「メルペイスマート払い」の開発を担うCredit Design 櫻井みづき氏(以下、櫻井):メルペイでQAエンジニアをしている櫻井みづきです。今日は「より良いサービスを継続的に届けるための新しい習慣ができるまで」というテーマでお話していきたいと思います。 まず本日のアジェンダです。今日は3つのことを中心にお話しします。今日のテーマを話すのにあたって、Credit Designというチームでの取り組みについて紹介していきたいと考えています。なのでCredi
さくらインターネットで活躍中の id:y_uukiを訪問 | はてな卒業生訪問企画 [#9] - Hatena Developer Blog
こんにちは、エンジニアリングマネージャーの id:onk です。 Hatena Developer Blogの連載企画「卒業生訪問インタビュー」では、創業からはてなの開発に関わってきた取締役の id:onishi、CTOの id:motemen、エンジニアリングマネージャーの id:onkが、いま会いたい元はてなスタッフを訪問してお話を伺っていきます。 id:onkが担当する第9回のゲストは、さくらインターネット株式会社の組織内研究所であるさくらインターネット研究所の上級研究員で、SRE (Site Reliability Engineering)の研究者としても活躍する id:y_uuki さんこと、坪内佑樹さんです。 2013年にはてなに新卒でWebオペレーションエンジニアとして入社後、サーバー監視サービス「Mackerel」をはじめとするサービス開発やはてなのインフラ開発・運用にSR
![さくらインターネットで活躍中の id:y_uukiを訪問 | はてな卒業生訪問企画 [#9] - Hatena Developer Blog](https://cdn-ak-scissors.b.st-hatena.com/image/square/5b5961cfe7e9736ef0e88bc0290b1599481d2626/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fh%2Fhatenatech%2F20240319%2F20240319125826.jpg)
※本記事は2022年1月26日に公開された記事の翻訳版です。 筆者:Dylan Lau (@aidiruu), Platform DXチーム Zero Touch Production (ZTP)は、本番環境に加えられるすべての変更が、自動化、安全なプロキシ、または監査可能なBreak-glass(緊急アクセス)システムによっておこなわれるという概念です。人為的ミスに起因する本番環境での障害には、次のようなさまざまな種類があります。 構成エラー スクリプトエラー 間違った環境でのコマンド実行 ZTPはこれらのエラーによる障害発生のリスクを軽減できます。メルカリでは、ZTP環境への移行に取り組んでいます。最初のステップは、一時的な役割付与システムであるCarrierを実装することです。 この記事では、以下について説明します。 ZTPの重要性 ZTPを実装するプロセスとCarrierを始めた理
1. はじめに システム運用管理部の河石です。情報システム部門、コーポレートIT部門と呼ばれるところにあたり、社内システムの構築、運用を行っています。 この記事ではコインチェックの2020年11月時点で導入しているセキュリティ製品を用いたゼロトラストモデルの実装、運用を整理した内容になります。少しでも参考になるものがあればと公開したいと思います。 読んでいただくにあたって、まずコインチェックの環境を書きます。 1.1 組織について 現在コインチェックでは正社員、派遣社員、業務委託などを含めて200人ほどの従業員がいます。20代が2割、30代が5割と比較的若い人が多い会社になっています。 社内システムに関わる部門はシステム運用管理部の他にサイバーセキュリティ部門、リスク管理部門があります。 システム運用管理部は5人で活動しており、セキュリティ製品の具体的な設定や運用を行っています。設定内容は
2023年2月10日開催のEMS勉強会での資料です
TL;DR 主要ブラウザのサポートによって DoH の普及がますます進みそう DoH はユーザのプライバシー向上に寄与するが、一方でセキュリティ面など懸念材料も多い 一般ユーザにはまずは使ってみることをオススメする (個人の意見です) 企業内では現状はブロックすることをオススメする (個人の意見です) 目次 TL;DR 目次 動向整理 DoH 推進派 DoH 反対派 (おまけ) DoH サポート状況まとめ Browser vendors Firefox (Mozilla) Chrome (Google) Windows (Microsoft) Application / Tool 1.1.1.1 (Cloudflare) cloudflared DOH Proxy Curl goDoH DoHC2 DNSBotnet Publicly available servers Spec Time
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ばらまき型メールから日本を守る、知られざる善意の50人
ヤフーでは開発迅速性と品質のバランスをどう取ってるか(2022年)
エンジニアリングマネージャーのやるべきこと! - estie inside blog
医療事故調査制度についてチーム医療:ダブルチェックの有効性を再考する(pdf)
ついに「都市の3Dマップ」も! Googleマップの新機能をチェックする (1/5)
【懺悔】稼働中の本番DBで殆どのテーブルをtruncateしてしまった話 - Qiita
米国連邦政府におけるクラウド戦略 - クラウドセキュリティをどう担保するか|ミック
中小情シスに捧ぐ「セキュリティに理解がない上層部」説得のいろは 予算獲得の勘所
イセトーのランサムウエア感染についてまとめてみた - piyolog
東京都、婚活マッチングサービス「TOKYOふたりSTORY」提供開始 利用は無料
アジャイル・フルーエンシーモデルでアジャイルに技術的負債対策を組み込む
これでよいのか: SRE チームの成熟度評価について考える | Google Cloud 公式ブログ
セキュリティ情報の集め方 ~しなもんの場合~ - 午前7時のしなもんぶろぐ
PHS終了、代わりとして期待の「sXGP」とは (1/4)
尼崎市のUSBメモリ紛失事件 “アンチパターン盛り合わせ”から学べること
テレワークかどうかは、もはや関係ない? 三菱重工のインシデント報告から学べる「IT管理者あるある」な反省点
ゼロから始めるシステム障害対応フロー - Qiita
テレワークかどうかは、もはや関係ない? 三菱重工のインシデント報告から学べる「IT管理者あるある」な反省点
エンジニアの「生産性」どう測る? 開発サイクル改善の次の一手に挑むアンドパッドの挑戦 | SELECK [セレック]
AWS Lambdaで300万円以上課金されてしまった怖い話 | LAC WATCH
チーム内にもあった“ヤバい”空気感 メルペイチームが技術的負債をゼロにするためにやったこと
Zero Touch Productionへの移行 | メルカリエンジニアリング
コインチェックにおけるゼロトラストモデル - coincheck tech blog
Microsoft Defender for Endpointによるインシデント調査
DNS over HTTPS (DoH) の動向 - セキュリティは楽しいかね? Part 2