Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに 今回はIPA(情報処理推進機構)が無料で公開しているエンジニア向け資料をまとめました。エンジニアやIT担当者におすすめの資料を厳選しています。 今回紹介する資料の結論 安全なWebサイトの作り方 要件定義ガイド DXスキル標準 情報セキュリティ白書2024 DX白書 情報セキュリティ10大脅威 2024 簡易説明資料 情報漏えい対策のしおり AI社会実装推進調査報告書 安全なWebサイトの作り方 安全なWebサイトの作り方では、Webアプリやサイトを作る上で知っておくべきセキュリティ知識を基礎から網羅的に学ぶことができます。
開発者のためのB2Bサービスづくり徹底入門
こんにちは、普段はプロダクトマネージャをしつつエンジニア界隈にも首を突っ込んでいるku-sukeです。最近では個人や少人数チームでアプリやサービスを使ってリリースする人も増えましたね!その中でも「いままでは個人向けにサービスを作ってきたけど、法人のひとから問い合わせが来た」とか「B2Bって取引金額が大きそうだから興味がある」あとは自分で運営していなくても「B2BのSaaS企業に転職したけどB2Bわからん」という声をちらほら目にしたので、自分が知っている範囲でまとめようと思います。 🔰はじめに。B2Bってなんなん 個人開発者の人からするとこの時点で違和感があるかもですが、Business to Businessつまり事業者間取引のことです。個人の方もビジネスをしている以上は個人事業主ですので立派な事業者です。 これと対比して、個人消費者向けにビジネスする、あるいは広告など個人が使用すること
Linux Daily Topics “ロシアのトロールどもに告ぐ、この変更が元に戻ることはない” ―Linus、ロシア系メンテナーの"追放"を認める 開発中の次期カーネル「Linux 6.12」の4本目のリリース候補版となる「Linux 6.12-rc4」は、スケジュール通りに10月20日に公開されたが、その前々日となる10月18日、カーネルメンテナーのGreg Kroah-Hartman(GKH)はいつもとは雰囲気が異なるパッチをカーネル開発者のメーリングリストに投稿した。 [PATCH] MAINTAINERS: Remove some entries due to various compliance requirements. -Greg Kroah-Hartman Remove some entries due to various compliance require
技術負債は「価値の創出」を妨げる 「技術負債が事業に与える影響はさまざまな領域に波及するが、ソフトウェアに限れば、"価値あるものを作れなかった"という点に集約される」と語り始めた石垣氏。ここでの「価値」とは、売上の創出やユーザー数の増加、リテンション向上につながる機能を指す。すなわち、「価値が作れなかった」とは「事業責任者が立てた、機能やキャンペーンなどの目標を達成できなかったという状況」を意味する。 ではなぜ、多くの費用をかけても価値を創出できない事態に陥るのか。石垣氏は「期限に間に合わなかった」ケースと「作るべきでないものを作ってしまった」ケースに大別し、今回は前者に焦点を当てると示した。 数億円規模の損失をもたらし、事業へのリスクもある技術負債 価値の創出と技術負債にはさまざまな要素が関わるが、とくにソフトウェア事業における事業計画では、予算計画と開発計画が主なカギになることが多い。
福島銀行、勘定系システムをAWS上で国内初稼働
この記事は本多和幸氏と谷川耕一氏によるIT事例メディア「CaseHub.News」に掲載された「福島銀行、勘定系システムをAWS上で国内初稼働 拡張性や柔軟性確保したアーキテクチャに」(10月25日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。 福島銀行は2024年7月、AWS上で稼働する勘定系システムの本番運用を開始した。3カ月が経過した現在、安定稼働を継続しているという。アマゾンウェブサービスジャパンが10月23日に発表した。SBIホールディングスグループ各社がフューチャーアーキテクトと連携して地域金融機関向けに提供するクラウドベースの勘定系システムで、同行が国内で初めて採用した。AWS上で稼働する勘定系システムとしても国内初の事例。 新システムは、コンテナ化されたアプリケーションを運用管理する「Amazon Elastic Kubernetes Servic
はじめに こんにちは!あっという間に秋が終わり、クリスマスソングが流れる季節がきましたね。 今回は、どうやら多くの人が苦しんでいると聞くレガシーシステムと向き合う話です。 弊チームでは先日、15年来のレガシーシステムを、バグ0でリプレイス&新機能の追加リリースを実施することに成功しました!既存機能の改修ではなく、既存を大きく作り替えつつI/Oも変えるというものだったので、新しい検証方法やリリース手法を組み合わせてリスクを最小限に抑える方法をとりました。 今回は、その予期せぬトラブルを未然に防ぐことができた「安全に倒し切ったリリース」についてお話します。他のプロダクトでも応用可能な方法なので、システム刷新を検討している方の参考になれば幸いです! なぜ安全に倒し切りたいか 私たちが今回触ったのは、前述の通り15年前から存在する、プロダクトの中でも最もレガシーに類される場所です。以前からパフォー
https://b.hatena.ne.jp/entry/s/news.yahoo.co.jp/articles/0305d79f0142c98855cfd29dd7284cefa1176d57 id:gomaberry ほら、もう二日前と180度違うこと言ってるでしょ。これは国民民主党がずっとヒヨリミだったの知ってる人から見たら、あらまたか。信用できないなってことです。 id:donovantree やっぱりこの人は政党の代表をやるほどの器がないんだよ。純心な若者達が選挙戦略を素直に信じて投票したのに。2日で裏切っちゃうとは。投票した人達が可哀想じゃないの。 id:dnf63bxf2fbnd3 俺は昨日はずっとTBSラジオ聞いてて、そこで玉木がインタビューで「出るのは知らなかった」って言ってたのにこれかよ。あまりにもひどすぎる嘘だな。信用できなさすぎる。 id:chiguhagu-cha
オブザーバビリティ導入の教科書〜「投資対効果は?」に負けないオブザーバビリティの導入方法〜 - Findy Tools
公開日 2024/11/12更新日 2024/11/14オブザーバビリティ導入の教科書〜「投資対効果は?」に負けないオブザーバビリティの導入方法〜 システムから出力されるあらゆる情報を計測し、システム内部の状態が常に観測・制御可能な状態を指す「オブザーバビリティ」。開発生産性の向上のほか、顧客満足度の向上や事業成長への貢献にもつながるとあって、近年注目を集めています。しかし、その重要性は理解していても、社内での導入や浸透となると難しいもの。特に、現状の監視体制で十分だと考える経営陣を説得し、新たなツール導入や体制構築に向けて動き出すのは簡単なことではありません。 そこでFindy Toolsでは、オブザーバビリティプラットフォームを提供するNew Relicの上席エヴァンジェリストの清水氏へインタビューを実施。オブザーバビリティの価値、New Relicの独自の強み、そして導入による事業貢
2024.10.24に開催した 【JTC】東京ソフトウェア QA ミートアップ10月 - 品質文化 https://japantestcommunity.connpass.com/event/331128/ の登壇資料です。 #JapanTestCommunity
「マネジメントなんてやりたくない。部下やお金や人事評価の面倒なんて見たくない」 そんな声をよく聞きます。まったくもって同意します。 しかし,「やりたくない」というのなら,マネジメントはいらないのでしょうか? Googleは,2002年にすべてのマネジメント職を廃止するという実験をしています。2008年には,マネジメント職は重要な存在ではないという意見を証明しようとして失敗しています※。 ※re:Work マネージャーより 私は,「技術職を経験しているマネジメント」の人間がもっとたくさん,自然に増えるといいと願っています。なぜなら,技術者の常識が,マネジメントに必要だからです。 問題点や失敗する可能性を隠さずオープンにするほうが健全で安全である 自分の望むことと自然界で発生することが一致しない 自分の成果を他人に批評してもらってこそ自身の知識が深まる 自分には知らないことがあることを知っ
この本の概要 解決できる問題だけに対応し,まちがっていても認めない ――なぜ,そんな“マネジメント”になってしまうのか? 5名ほどの小さなチームから500名を超える大きな組織までを見てきた著者が,「人を動かす」では得られない答えの探し方を教えます。 アウトプットは60%の力でおこなう理由 初心者を教育する仕組みをどう作るか 技術者の貢献を評価してもらうには 維持・メンテナンスの予算がとりにくいのはなぜか 「部下やお金や人事評価の面倒なんて見たくない」 けれど現実を変えたいあなたへ。 こんな方におすすめ 技術者/エンジニアのマネジメントに携わる方(特に技術者/エンジニアからマネージャーになる方) 1章 マネジメントできるのは未来だけ 1.1 解決病にかかってしまう問題 1.2 未来から逆算して考える 1.3 マネジメントの目的は「現実に変化を起こすこと」 2章 理想を描いて余裕をつくる 2.
Palo Alto Networksは2024年11月1日(現地時間)、同社のエンドポイントセキュリティ対策製品「Cortex XDR」を標的としたサイバー攻撃の調査結果を発表した。 サイバー攻撃者らがCortex XDRの防御を回避しようと試みた事例が報告されており、攻撃者の活動内容や使用されたツールの詳細が明らかにされている。 攻撃者はどのようにしてエンドポイント防御の突破を試みるのか? Palo Alto Networksの調査によると、脅威アクターが初期アクセスブローカーから「Atera RMM」経由でネットワークへのアクセス権を購入し、不正な仮想システムを構築してCortex XDRエージェントをインストールしていたことが分かった。 この動向は、BYOVD(Bring Your Own Vulnerable Driver)技術を活用したアンチウイルス/エンドポイント検出応答(AV
サイバーセキュリティインシデントはここ数年、増加し続けており、毎日のように被害が公表されている。 本稿では、IIJがこれまでに調査・支援してきたインシデントのなかから留意すべきポイントや有益な知見を抽出して紹介する。 ここ数年、ニュースでも大きく取り上げられており、経営上の大きな問題になっているのがランサムウェア被害です。 IIJへの被害相談でも(暗号化まで行なわれた)ランサムウェア被害、もしくは(ネットワーク内に侵入されたものの)ランサムウェア展開前に気付いて暗号化は免れたというケースが多くを占めています。以前は前者のケースがほとんどでしたが、最近では後者のケースも増えています。これはセキュリティ監視を強化した効果と見られます。 警察庁が公開している「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、感染経路の81パーセントはVPN機器とリモートデスクトップが占めており
www.itmedia.co.jp KDDIは11月7日、セキュリティ企業のラックに対し、普通株式の公開買付(TOB)を実施し、完全子会社化すると発表した。買付価格は1株あたり1160円、買付総額は約246億円におよぶという。 昨日のSCSKによるネットワンシステムズの買収も驚いたが、こちらの件も驚いた。これはもうブームになりつつあるのではないか。専業で手を動かせる中小規模の会社はどんどん大型の資本に吸い込まれていく気がする。 それだけ、人の手を確保するのが競争になっている。競争に買ったところで単価は値上がりするだけなので、もう企業ごと押さえた方がいい。それはその通りである。この件はセキュリティー技術、である。 何かデジタルで新しく構築する際には、必ずセキュリティー的な担保が必要となってくる。そこをサボればどうなるか。安く仕上げることはできるかもしれないが、その後何かあった時のリスクが顕在
こんにちは。サーバーサイドエンジニアの @atolix_です。 今回はメドピアで運用しているアプリケーションのkakariの監査ログをDB管理からS3管理に移行したので、その方法と手順について紹介したいと思います。 kakari.medpeer.jp 背景 従来kakariではAuditedを用いて、監査ログを専用のauditsテーブルに保管する処理を行っていました。 github.com # application_record.rb class ApplicationRecord < ActiveRecord::Base ... include Auditable # auditable.rb module Auditable extend ActiveSupport::Concern included do audited ... end しかしレコードの変更の度にauditsテーブ
2024年10月、米国ディズニー元従業員の男が同社への不正アクセスの疑いで逮捕されました。男はレストランのメニュー作成システムの担当者で、メニューシステムを停止させたり、アレルギー情報の改ざんなど危険な行為にも及んでいたとされます。ここでは訴状に記載された内容を主に、関連する情報についてまとめます。 元従業員によるシステム破壊 訴状や報道*1によれば、FBIが逮捕した男は、米国ディズニーの元従業員。米国ディズニーワールドの全レストランのメニュー作成や公開を担当しており、解雇前はメニュープロダクションマネージャーという役職についていた。 男は2024年6月の解雇後から約3か月にわたり同社サーバーに繰り返し侵入し、メニューの改ざん(アレルギー情報を含む)や当該行為の影響を受けシステム停止が発生したほか、同僚や上司の従業員アカウントを強制ロックさせたり、ある従業員の自宅に訪問を行うなどの行為を行
モニタリング品質改善でMTTA(平均確認時間)を90%短縮した話 - ぐるなびをちょっと良くするエンジニアブログ
こんにちは。ぐるなびでSREをしている江島です。 普段はコンテナ基盤の運用やサービスの品質向上に向けたSRE活動といった業務を行っています。 9月6日に開催された「Cloud Operator Days Tokyo 2024」で登壇し、「モニタリング品質向上」をテーマに発表を行いました。今回の記事では、その内容を掘り下げ、具体的な方法や実践的なアプローチについて解説していきます。 Cloud Operator Days Tokyo(CODT) とは 「Cloud Operator Days Tokyo (CODT)」は、クラウドシステムの運用者に焦点を当て、日本のオペレーターの底力を高めることを目的とする技術イベントです。 運用の自動化やパブリッククラウドの運用、オブザーバビリティなどクラウドにまつわる様々なテーマでのセッションが行われていました。 モニタリング品質向上の背景 今回は「モニ
ローカル5G網と公衆モバイル網への接続を切り替え可能なSIMアプレットの開発 - NTT Communications Engineers' Blog
本記事では、「ローカル5G網への接続と公衆モバイル網への接続を切り替え可能なSIMアプレット」について説明します。 SIMアプレットはSIMカード上に搭載するアプレットです。SIMアプレットとは何か、どのような機能を実装することで技術開発を実現したのかといったことをご紹介します。 目次 目次 はじめに 背景 SIMカード SIMアプレット 動作例 開発環境 SIMアプレットの活用事例 新たなSIMアプレットの開発 動機 開発技術の構成要素: プロファイル切替機能 開発技術の構成要素: エリア判定機能 各切り替え時のシーケンス 開発技術の検証 検証概要 検証結果 バグの修正 課題への対処 発信活動 おわりに はじめに こんにちは、イノベーションセンターの山田です。 私が所属するプロジェクトでは、NTT Communications株式会社 (以下、NTT Com) の有するアプレット領域分割
長男がマイクラを辞めて新しい事に挑戦するからサーバーを停止した。まさか小学生でLinuxを使い始めるなんて想像できなかった→インシデント起きてるwww
Manami Taira @mana_cat Microsoft で Virtualization Specialist をしています /プライベートでは夫&子3人と暮らしています。 熊本出身。趣味📷 この発言は個人の見解です。 mana-cat.com Manami Taira @mana_cat 長男のマイクラサーバー停止を見届けた。 まさかマイクラがきっかけで小学生でLinuxを使い始めるなんて想像できなかった。 長男は中学生になって、新しい事にチャレンジしている。 めでたしめでたし。 「あれ、サーバーに繋がらない」 と9歳の次男から問い合わせきたんだけど、 使ってたんか〜い。笑 2024-10-27 19:20:56 Manami Taira @mana_cat サーバー以外にもMinecraft Realmがあるから、そこで次男が引き継いで管理している。 なかなかにカオスな世界
動向が気になるニュースが流れてきました。京都大学で2024年11月に開催される学園祭のポータルサイトが不正アクセスを受け、データが削除されたことが発表されました。なお、削除されたデータはバックアップを取得していたとのことです。 筆者はこのインシデント聞いたとき、サイバー攻撃が本当に"見境がなくなっている"と感じました。かつては中小企業のセキュリティ対策が進まない理由として、社長が「ウチに重要な情報などないので、ハッカーが狙うことはない」と考えている時代もありました。 しかし昨今は、例え学園祭のポータルサイトという、一部の人だけが知っているようなシステムすらもサイバー攻撃の標的になってしまうのです。脆弱(ぜいじゃく)なシステムを運用していても、サイバー攻撃者に見つからなければ攻撃を受けないという甘えはもう通用せず、インターネットにつながった瞬間から、全てのシステムが標的になっていると考えた方
Tebiki株式会社でQAエンジニアとCREを担当している中西です。CREを導入し、半年以上が経過しました。 CREとして活動している私は、ユーザーからの問い合わせの早期解決という点で、開発チームやカスタマーサクセスチームに貢献できている感覚を持っています。私の感覚にギャップがあるかどうか、CREをもっと良くするために必要なことは何かを知るために、CREと協力することが多い職種の方々にインタビューを実施しました。 インタビューに協力して頂いた方々はこちらの方々です。 日笠 陽仁/テックリード テックリードとして、設計や実装の品質を支援。現在は、技術的負債の解消に先陣をきって取り組み中。調査の難易度が高い、もしくは緊急性が高い問い合わせ発生時には、CREと一緒に調査も行う。 中村 翔平/チームリーダー スクラムチームに足りない能力を見極めて補完できるようにプロダクトオーナー、プロダクトデザイ
Next.js の "use cache" ディレクティブによるキャッシュ制御 2024.11.02 Next.js の App Router はデフォルトでキャッシュされる設計でリリースされました。一方でデフォルトでキャッシュされることに対して不満を持つ開発者も多かったように思います。このようなフィードバックを受けて、Next.js 15 ではいくつかのキャッシュ戦略が変更されました。さらに現在 canary チャンネルで提供されている dynamicIO フラグを有効にすることで、"use cache" ディレクティブを用いてキャッシュを制御できるようになります。 Next.js の App Router では最もパフォーマンスの高いオプションで提供されるために、デフォルトでキャッシュが有効になっており、必要に応じてオプトアウトする設計でリリースされました。例えば global fet
とろわ🐹 @nohiyarihatto @Namichang わたしは飲んでへんけど、最近何かに目覚めて豆乳にハマってる息子いわく、そんなに変わらんらしいから大丈夫っぽい☺️ なおアレルゲン表示調べたら 白桃…大豆、桃 いちご…大豆、りんご 突然の🍎 2024-11-11 23:37:07
Last Updated on 2024-11-05 13:28 by admin OWASPは2024年10月31日、生成AI(GenAI)に関する3つの新しいセキュリティガイダンスを発表しました。このプロジェクトには世界110社以上から500人以上の専門家が参加し、5,500人以上のコミュニティメンバーを持つ規模に成長しています。 主な対策ガイドライン ガイドでは4つの主要なディープフェイクシナリオを想定し、それぞれに対する具体的な対策を提示しています: 経営者になりすました金融詐欺 不正アクセスのためのソーシャルエンジニアリング 評判や市場操作のための誤情報拡散 採用面接での成りすまし from:OWASP Beefs Up GenAI Security Guidance Amid Growing Deepfakes 【編集部解説】 ディープフェイク対策に関する今回のOWASPの発表
SLSA (Supply-chain Levels for Software Artifacts) について - SIOS SECURITY BLOG
SLSA (Supply-chain Levels for Software Artifacts) についてSBOMとの関係を調べるうちにいくつかわかったこと・翻訳などをまとめておきます。 SLSAとは SLSAとはGoogleが提唱しているソフトウェアのサプライチェーンにおける完全性を確保するためのセキュリティフレームワークです。SLSAの主な目的は、ソフトウェアの開発から顧客が使用までの一連の流れであるサプライチェーンを保護し、改ざんやインシデントからソフトウェアを保護することです。SLSAのフレームワークは、成熟度によってレベル1から4に分類されており、各段階ごとにソフトウェア・サプライチェーンの安全性を強化する事項が定められています。 SLSAが必要な理由 ここら辺はGoogleの「What is SLSA?」の翻訳+抜書きになりますので先にご承知おきください。 ソフトウェア開発に
ニデック(旧:日本電産)の子会社であるニデックプレシジョン(東京都板橋区)は10月17日、ベトナム拠点(以下NPCV)が8月に受けた不正アクセス被害に関する調査結果を発表した。外部の悪質な犯罪集団にサーバ上のドキュメントなどを盗まれ、約5万件のファイルが闇サイトで公開されたという。 NPCVは8月5日、犯罪集団による不正アクセスを受けて、社内サーバ内のドキュメントやファイルが漏えい。その後、犯罪集団から身代金の支払いを求める恐喝を受けたが、支払いを拒否していた。被害状況の調査を進めたところ、NPCVの保有していた情報が5万694件分のファイルとして、闇サイトで公開されていたことが分かった。 公開されたファイルの種類は、NPCVの社内文書や取引先の書簡、グリーン調達、労働安全衛生と方針(業務・サプライチェーンなど)関連文書、取引書類(注文書、インボイス、領収書)、契約書など。また、これらのフ
大惨敗の石破首相、たった1ヵ月で「退陣危機」へ…あの「腹出し集合写真」が予言していた「絶望的な人望のなさ」が命取りになった(御田寺 圭) @gendai_biz
大惨敗の石破首相、たった1ヵ月で「退陣危機」へ…あの「腹出し集合写真」が予言していた「絶望的な人望のなさ」が命取りになった 総選挙で石破自民党が喫した、歴史的大敗――その原因が「石破失脚をねらった陰謀・クーデター」の類いではないとしたら、自民党内の「石破首相のために」という“熱量”が小さかったからではないか。 前編記事【石破自民が無惨なボロ負け、「誰も気付かなかった本当の原因」とは…麻生太郎の陰謀でも、高市早苗のクーデターでもなかった】に続いて考察してゆく。 だれも「まずいですよ」と言ってくれない いま思えば、石破氏が総理に就任したときに撮影したあの集合写真の騒動も、人望のなさとそれに起因する周囲の熱量の小ささによって重大なインシデントが起こることを暗示する、ある種の「伏線」だったように見える。 皆さんも覚えているはずだ、内閣発足時に撮られた写真の騒動を。石破氏はサイズ感が合ってないダボダ
コンピュータ情報サイト「Bleeping Computer」は2024年10月17日(現地時間、以下同)、Microsoftが同年9月2~19日にわたりセキュリティログを紛失していたことを企業顧客に警告したと報じた。 この問題はバグが原因とされており、不正なアクティビティーの検出に重要なログデータが一部欠落する事態に陥っていることが分かった。失われたログにはネットワークの不審なトラフィックやログイン試行など、セキュリティにおいて重要なデータが含まれていたという。 約1カ月のセキュリティログを紛失 影響が出るMicrosoft製品は? この欠落によってサイバー攻撃が検出されず、企業が脅威にさらされる可能性がある。Microsoftが顧客に提供した事後インシデントレビュー(PIR)によると、ログ記録の問題はさらに悪化し、一部のサービスで2024年10月3日まで続いていたことが確認されている。
KPI集計のために秒単位の正確性でAuroraのスナップショットを作成する仕組みを構築した話 - Nealle Developer's Blog
こんにちはSREチームの森原です。テックブログ投稿は今回が初めてですが、今後は高頻度で投稿する予定です! 今回は、タイトルそのままですが「KPI集計のために秒単位の正確性でAuroraのスナップショットを作成する仕組み」を作ったのでご紹介します。 背景 ニーリーでは毎月特定の日時のDBのスナップショットをKPIの集計に使用しています。以前はAWS Backupを用いて毎月のスナップショットを作成していましたが、こんな課題がありました。 作成時刻に最大1時間のズレが起きる AWS Backupのバックアップウィンドウによるもの 手動のオペレーションがありセキュリティ的によろしくない 自動取得している日時以外にも取りたいことがあるが、手作業でスナップショットを作成する必要がある この課題を解決するために、秒単位で時間指定したスナップショットを作成できる&手動トリガーもできる仕組みを構築すること
ETW Forensics - Event Tracing for Windowsを活用したインシデントレスポンス - - JPCERT/CC Eyes
Windows OSのログと言えば、イベントログのことを思い浮かべる人が多いかもしれません。マルウェア感染などのインシデント調査時は、Windows OSのイベントログを調査して、インシデントの解明につながる痕跡を探すことが一般的です。ただし、イベントログはWindows OS上の不審な挙動を検知するために設計されたものではないため、インシデント調査時に欲しい情報が見つかるとは限りません。そのため、監査ログを有効化したり、Sysmonをインストールしてより多くの情報を得るように工夫する必要があります。 Windows OSではイベントログ以外にも、OS内の不審な挙動を検知することができる、Event Tracing for Windows(ETW)と呼ばれる機能が存在します。これは、カーネルやプロセスが発生するイベントを管理するための仕組みで、アプリケーションのデバッグなどに用いられます。
Zaraz はCloudflare 版の GTM 要約すると Google Tag Manager の Cloudflare 版。クライアントだけではなく、Cloudflare CDN を通る時の CDN Edge でも動く。 メジャーなサードパーティスクリプトはCloudflare謹製のものがあるが、基本的には GTM にあるものをそのまま移せるようなものではなく、専用に実装されないといけない。 詳しい使い方はこちら Zaraz の目的 なんでわざわざ普及したGTMではなくこんなものを?という疑問があると思う。とくに初見だとこれがなんなのか本当にわからないはず。自分もサードパーティスクリプトの開発者を経験したからこそ分かる部分と、まだわかってない部分がある。 とりあえず次のブログでZarazの買収意図が書いてある。 あなたがサードパーティのスクリプト開発者で、スクリプトを適切に保護してい
ガートナージャパン(以下、ガートナー)は2024年10月28日、2025年に企業にとって重要なインパクトを持つ「戦略的テクノロジーのトップトレンド」を発表した。 2025年に重要なインパクトを与える「ITトップトレンド10」 ブームになって久しいAI以外にも、企業のIT戦略に大きなインパクトをもたらしそうな10項目が並ぶ。さっそく見てみよう。 なお、紹介の順序は順不同で、項目の重要度を表しているわけではないという。 1、エージェント型AI (Agentic AI) 「エージェント型AI」は、ユーザーが設定した目標を達成するために自律的に計画を策定し、行動を起こす。これによって、人間の作業負荷を軽減し、仕事を補強する仮想労働力となる可能性がある。人間は、こうしたエージェントによって自らの能力をより高められる。2028年までに、日常業務における意思決定のうちの少なくとも15%が、エージェント型
SAST(静的アプリケーション・セキュリティ・テスト):気になる情報セキュリティ用語 - 叡智の三猿
SAST(静的アプリケーション・セキュリティ・テスト)は、アプリケーションのソースコード、バイナリ、オブジェクトコードを解析します。 SASTを実行することで、SQL インジェクション、バッファーオーバーフローなどセキュリティリスクを検知します。 ソフトウエアの開発プロセスに組み込むことで、脆弱性を早期に発見します。それにより、後々の修正や情報セキュリティインシデントのリスクを減少させます。 脆弱性を検出する類似した手法としては、DAST(動的アプリケーション・セキュリティ・テスト)もあります。 こちらは、実行中のアプリケーションを解析します。 人気の高いSAST 用テストツール Klocwork:C、C++、C#、Java、JavaScript、Python に対応した静的コード分析ツール Checkmarx:複数のプログラミング言語に対応したツール 情報セキュリティにおける脅威と脆ぜい
IBMは2024年10月1日(現地時間)、クラウドインシデントを分析し、保護するための重要な洞察と実践的なストラテジーをまとめた「2024 IBM X-Force Cloud Threat Landscape Report」を公開した。 同レポートでは脅威インテリジェンスやインシデント対応を基に攻撃者がクラウドインフラストラクチャをどのように侵害するかについての詳細に分析している。 クラウドを狙ったサイバー攻撃で最も注意すべきものとは? 主な調査結果は以下の通りだ。 クラウド関連のインシデントの33%がフィッシング攻撃に関連しており、攻撃者はフィッシングを通じて中間者攻撃(AITM)を実施し、認証情報を収集している クラウドインフラへの攻撃の39%がビジネスメール詐欺(BEC)攻撃であり、攻撃者は企業のメールアカウントを乗っ取って不正行為を実行している ダークWeb市場でのクラウド認証情報
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
見積もりやリカバリーの「失敗」は必ず起こる このような事態が発生するのはなぜだろうか。石垣氏は以下の2点を挙げる。 「失敗は見積りの失敗」であるという認識の欠如 隠された失敗が明るみになり、「詰んでいる」状態であること 1.について石垣氏は、マーティン・ファウラー氏による言葉を引用しつつ、「プロジェクトが失敗するのは、そもそもの見積もりが失敗しているためだ」と話す。さらには「見積もり時点での計画工数が大きくなるほど、実績との乖離が大きくなる傾向がある」というIPAのデータも示した。 そのうえで石垣氏は、「見積もりが失敗するのは、プロジェクト初期の段階で多くの約束事を決めてしまうためだ」と指摘する。有名な図である「不確実性のコーン」が示すように、プロジェクトの初期は不確実性が非常に高いため、焦ってリカバリー策を講じたところで見積もりのズレは取り戻せないのだ。 初動のズレは「見積もりの失敗」で
Last Updated on 2024-10-22 08:07 by admin 中国の国家支援ハッカーグループAPT41が、2023年から2024年にかけて、イタリア、スペイン、台湾、タイ、トルコ、イギリスの6カ国で、海運・物流、メディア・エンターテインメント、テクノロジー、自動車産業を標的とした持続的なサイバー攻撃キャンペーンを展開した。 GoogleのMandiant社とThreat Analysis Group(TAG)の調査によると、APT41は被害組織のネットワークに長期間にわたって不正アクセスし、機密データを抽出した。攻撃者はANTSWORDやBLUEBEAMなどのWebシェル、DUSTPANやDUSTTRAPなどのカスタムドロッパー、SQLULDR2やPINEGROVEなどの公開ツールを使用して、持続性の確保、追加ペイロードの配信、データ窃取を行った。 DUSTTRAPマ
高まるデータ損失リスク、でも「バックアップソフト不要」とする企業の言い分とは:企業におけるバックアップの実施状況(2024年)/前編 企業活動を支えるデータを守るためにはバックアップが欠かせない。災害や障害に対応するBCPはもちろん、データを暗号化してしまうランサムウェア攻撃でもバックアップをとらずに対策することは難しい。企業はバックアップツールをどの程度採用しているのだろうか。 データのバックアップと迅速な復旧体制の構築は企業活動にとって欠かせない重要施策だ。なぜなら自然災害やサイバー攻撃などに対応するにはバックアップが有効だからだ。 2024年9月に更新されたBusiness Research Insightsの「データバックアップとリカバリの市場規模 2031 年までの地域予測」によると、世界のデータバックアップ及びリカバリ市場規模は、2022年に5億7450万ドルだったのが、203
10ヶ月ぶりの更新です。 突然ではありますが、エンジニアになったばかりの時にNext.jsで構築した技術ブログをRemixでリプレイスしました。 Next.js全盛の今Next.jsを使うのをやめて、Remixにリプレイスした理由ですが、Remixを今後の自分の技術スタックの軸にしたいと考えたからです。 Remixについて Remix is a full stack web framework that lets you focus on the user interface and work back through web standards to deliver a fast, slick, and resilient user experience. 引用: https://remix.run ReactベースのフルスタックフレームワークGETリクエストはloaderで、GET以外
新手のランサムウェア集団、フランスパンと暗号資産で身代金の支払いを要求(Forbes JAPAN) - Yahoo!ニュース
サイバー犯罪絡みで本当に驚かされることは最近ほとんどなく、ランサムウェアとなればなおさら少ない。だが、新手のランサムウェア集団が被害者にフランスパンの一種、バゲットでの身代金支払いを求めたのには少し意表を突かれたことを認める。しかし、どう考えてもからかっているとしか思えない言葉に騙されてはいけない。ランサムウェア集団のHellcat(ヘルキャット)はいたって真剣で、暗号資産(仮想通貨)のMonero(モネロ)でも12万5000ドル(約1900万円)を要求している。結局のところ、この話で笑えることはあまりない。 これまでに判明していることは以下の通りだ。 ■40GB分のデータ流出 Hellcatという新手のランサムウェア集団については、Grepという広報担当者がいること以外、ほとんど知られていない。電気・産業機器を製造するフランスの多国籍企業、Schneider Electric(シュナイダ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA(情報処理推進機構)が公開している資料が有益すぎる - Qiita
“ロシアのトロールどもに告ぐ、この変更が元に戻ることはない” ―Linus、ロシア系メンテナーの"追放"を認める | gihyo.jp
DMM.comの施策から見る、事業をむしばむ「技術負債」への処方箋──リファクタリングの「言語化」でインシデントを予防
安全に倒し切るリリースをするために:15年来のレガシーシステムのフルリプレイス挑戦記
国民民主玉木は石丸の件でウソをついていたのか?(segawashinとyas-mal
インシデント対応の 実践と品質文化の醸成
著者の一言:マネジメントは嫌いですけど
マネジメントは嫌いですけど
攻撃者はどうやってEDRの検知を回避するのか? Palo Alto Networks調査で判明
インシデント対応の現場から | 広報誌(IIJ.news) | インターネットイニシアティブ(IIJ)
KDDIがラックを買収した件 - orangeitems thinks that...
監査ログの保管先をRDBからS3に移行する - メドピア開発者ブログ
解雇された米国ディズニー元従業員による不正アクセスについてまとめてみた - piyolog
半数以上が「最新のパッチを適用済み」なのに、サイバー被害に遭うワケ
他職種からみたTebiki CREの活動成果
Next.js の "use cache" ディレクティブによるキャッシュ制御
とあるスーパーの豆乳売り場でインシデント発生してた「元スーパー店員としても元食品メーカーとしても主婦としても、アカン案件」
OWASP発表:ディープフェイク面談が急増 – 生成AI時代の新たな脅威と対策ガイドライン - イノベトピア
「闇サイトで5万件のファイル公開された」──ニデック子会社、不正アクセスの被害状況を報告
Microsoftがセキュリティログを紛失 複数の製品に影響
Cloudflare版GTMのZarazの挙動確認&自前プラグインを実装
2025年の戦略的IT「トップトレンド10」は? ガートナーが発表
IBMがクラウドセキュリティ調査を公開 最も警戒が必要な攻撃は何か?
"君は見ているが観察していない"で考えるインシデントマネジメント
DMM.comの施策から見る、事業をむしばむ「技術負債」への処方箋──リファクタリングの「言語化」でインシデントを予防
APT41:中国ハッカー集団が6カ国で大規模サイバー攻撃 – 海運・物流など標的に - イノベトピア
高まるデータ損失リスク、でも「バックアップソフト不要」とする企業の言い分とは
Next.jsをやめて、Remixで技術ブログを作り替えた話 | カルキチブログ