概要 近年、大企業のみならず中小企業においてもサイバー攻撃の脅威にさらされている状況です。組織においてセキュリティインシデントが発生した場合には、被害とその影響範囲を最小限に抑えて事業継続を確保する必要があります。その為には、予めの対応体制と手順を整備したうえで、実際にセキュリティインシデントが発生した場合を想定して演習しておくことが重要です。 こうした背景を踏まえ、IPAは中小企業を対象としたセキュリティインシデント対応机上演習を開催していますが、より多くの組織に机上演習を実施いただけるようにするため、演習教材と演習実施のためのマニュアルを公開することとしました。セキュリティ意識向上と対策強化にご活用ください。 教材について 本教材は、ランサムウェア感染のインシデントシナリオを使用して、インシデント対応の一連の流れを机上で演習する教材(パワーポイント)とその実施マニュアルです。 教材は一
情報は“並べる”のではなく、“構造化”する─B‑H‑Dフレームが組織のリードタイムを短縮する。|nishiba
はじめに:非同期コミュニケーションの増大と組織課題リモートワークやハイブリッドワークに関係なく、オフィスワークであってもSlack・メール・Notion・Teams など、非同期コミュニケーションに頼る機会が格段に増えている。実際に、オフィスにいたとしても非同期のテキストコミュケーションが多い。 だが、こうした非同期の便利さと引き換えに、いくつかの課題が顕在化するようになった。まず挙げられるのは、メッセージの往復回数の増加だ。オフィスで雑談まじりに「これどうなってる?」と聞けば一瞬で解決したかもしれない問題が、Slack のメッセージを投げても相手が離席していてすぐには返事が来ない――それだけならまだしも、投げかけが曖昧だったり、目的が十分に説明されていなかったりすると、数時間後に「それは何のデータが欲しいんですか?」と追加質問が返り、さらに数時間後にようやく詳細を伝え、やがてまた別の質問
2025年度 新卒研修「100分で学ぶ サイバーエージェントのデータベース活用事例とMySQLパフォーマンス調査」 | CyberAgent Developers Blog
こんにちは、Service Reliability Group(SRG)の鬼海 雄太(@fat47)です。 SRGは主に弊社メディアサービスのインフラ周りを横断的にサポートしており、既存サービスの改善や新規立ち上げ、OSS貢献などを行っているグループです。 本記事では2025年度のサイバーエージェントの新卒研修で「100分で学ぶ サイバーエージェントのデータベース活用事例とMySQLパフォーマンス調査」という研修を実施した話と、その内容について簡単に紹介しています。 例年の新卒技術研修について サイバーエージェントでは毎年、新卒のエンジニア全員を対象にした技術研修が実施されており、 セキュリティ研修やAWSなどのクラウド実習、ハッカソン形式のチーム開発研修 などの研修が実施されています。 しかし、データベースに関する内容は新卒のエンジニア全員を対象にした研修では実施されておらず、各部署(子
たいしょう @taisho__ そういや胸ポケットにiPhoneをカメラが表に出る形で入れて電車乗ってたら、盗撮されてると通報されて電車から降ろされる事故に先日遭ったからみんな気をつけたほうがいいよ。 2025-04-21 15:24:57 たいしょう @taisho__ iPhoneをカメラが表に出る形で胸ポケに入れつつ、ソシャゲやってたら、警察の方が乗ってきて、そのスマホで何をしてますか?と聞かれ、はい、いま信長の野望出陣という位置ゲーをやってますと答えたところ、胸ポケットは!?といわれ、これは会社の携帯ですねと答えたところ警官の顔が曇る。 x.com/taisho__/statu… 2025-04-21 20:12:38 たいしょう @taisho__ 中身見せてくださいと言われるので、それは構いませんがこのスマホは会社貸与です警官に中身を見せたとなると多分インシデント報告しないとい
DevinとClineをDMMで導入しました〜トライアルから見えた成果の共有〜 - DMM Developers Blog
1. はじめに 2. 制約 3. トライアル成果 発見1. 技術負債の特定とリファクタリング実装の半自動化 発見2. イベントストーミングで設計した画像をもとにドメインモデルと制約の実装 発見3. 指示範囲を明確に絞れば、人より格段に早い 発見4. 開発者の学習効率を上げる Devin or Cline? 4. 25年3月時点での課題 5. 投資対効果と組織スケールの変化 AIツールの投資対効果 AIツールによって変化した組織スケールの方法 今後の展望 1. はじめに こんにちは。DMM.comでプラットフォーム開発本部の副本部長をしている石垣です。 今回は当社で実施したAIエージェント「Devin」と「Cline」の導入検証の結果について共有したいと思います。 DMMグループのクリエイター組織は、現在1,200名近くのメンバーを抱え、エンジニアだけでも1,000名近くのメンバーがいる組織
Intro 4 月末にリリースされる Chrome 136 からは、一部のケースで「閲覧履歴があってもリンクの色が変わらない」状態が発生する。 もしこの挙動に依存して閲覧をしているユーザがいれば、多少不便に感じるかもしれない。 しかし、これは長年問題視されてきた、ユーザのプライバシー保護のための更新だ。 ユーザ側でも、「サイトが壊れたのでは?」と思う人もいるだろうため、前半は技術用語を少なめに解説し、エンジニア向けの解説は後半で行う。 従来の挙動 例えば、Wikipedia では、リンクをクリックして閲覧先を確認すると、閲覧済みのリンクの色が変わる。 これは、ブラウザに保存された閲覧履歴に該当するリンクの色を、訪問済みとして変えるブラウザの機能だ。 多くのリンクがある場合、確認済みかどうかがわかるために、便利に使われることもあるだろう。 (最近では、閲覧済みでもリンクの色を変えないように実
REST API 設計指針・セキュリティ編
過去2回の記事でREST API 設計指針をまとめてきました。 REST API 設計指針・認証認可編 REST API 設計指針・通信、パラメーター編 今日は第三回かつ最終回のセキュリティ編です。セキュリティは非常に幅広い概念であり、考慮すべきことは山盛りですが、まずは基本的な考え方から。 加害者と被害者の逆転現象 悪意のある第三者からの攻撃などにより何某かのインシデントが発生して、サービスが停止したり、情報漏洩が起きてしまった場合、サービス事業者はステークホルダーにお詫び、時には直接的な金額による賠償を行うことになります。本来システムを攻撃された被害者側ですが、加害者であるかのような扱いをされるケースがあります。一方インシデントの種別によっては世の中が同情的になるケースもあります。この違いについてですが、一般的によく用いられる対策をとっていたかどうかが大きな分岐点となります。 攻撃され
2025年3月21日、「rose87168」と名乗るハッカーがOracleのクラウドサービス「Oracle Cloud」のシングルサインオン(SSO)ログインサーバーから約600万件の顧客データを盗み出して販売しました。これに対し、Oracleは当初「不正アクセスは発生していない」との声明を発表していましたが、Oracleは2025年4月に、不正アクセスの事実を認め、顧客に対してその事実を報告したことが伝えられました。 Oracle (ORCL) Tells Clients of Second Recent Hack, Log-in Data Stolen - Bloomberg https://www.bloomberg.com/news/articles/2025-04-02/oracle-tells-clients-of-second-recent-hack-log-in-data-
マルチテナントなWebサービスでデータベースをBigQueryからPostgreSQLに移行してRow Level Securityを導入した - エムスリーテックブログ
こんにちは。AI・機械学習チームの高田です。 マルチテナント構成のWebサービスでは、データの分離とセキュリティを確保することが非常に重要です。マルチテナント構成とは、1つのシステムやアプリケーションを複数の顧客(テナント)で共有する設計アプローチを指します。 今回は、当社のあるプロダクトで行った2つの改善施策について紹介します。 BigQueryからPostgreSQLへの移行: より効率的なデータアクセスとコスト削減 Row Level Security(RLS)の導入: データベースレベルでのセキュリティ強化 これらの施策により、セキュリティ向上とコスト削減の両方を実現できた事例を解説していきます。 なぜ移行したのか テナントID分離型を採用 移行前のアーキテクチャ 移行後のアーキテクチャ PostgreSQLテーブル構築のためのバッチ処理の実装 PostgreSQLクエリの最適化
Intro 我々は、インターネット上において「信頼」できるサービスを、「安全」に使うことに、「安心」を求める。 プライバシーは守られ、不正な取引には加担せず、詐欺被害も受けたくない。 技術的に言えば、通信は暗号化し、個人は匿名化し、データは秘匿し、それによって Secure で Safety で Trustworthy な Web が手に入る。 それを突き詰めた先に、「自由」で理想的なインターネットがある。 本当だろうか? Eve とは誰か Alice と Bob の通信の間にいる Eve は、暗号化されていない通信を覗くことができる。 スノーデンによって告発された PRISM は、「Eve が一人の攻撃者とは限らず、国家そのものであり得る」ことを明るみにした。広域盗聴による監視活動は、国民の安全を守るためという大義のもと実施された。もしかしたら、それによって未然に防がれたテロなども、あっ
GitHub のセキュリティ改善
先日 tj-actions/changed-files などの人気の GitHub Actions のセキュリティインシデントがありました (CVE-2025-30066)。 自分は OSS の開発者として様々な OSS を公開しており、こういったセキュリティインシデントは他人事ではありません。 そこでこの 1 ヶ月弱セキュリティ周りを見直し、かなり改善することが出来ました。 本記事では GitHub のセキュリティを改善する方法について紹介します。 主なターゲットしては自分のような OSS の開発者ですが、 GitHub を使っている方全てに参考になる内容かなと思います。 皆さんが本記事を参考にセキュリティを改善し、セキュリティインシデントを未然に防ぐことが出来れば幸いです。 先日登壇した GitHub Actions 関連の資料 先日 2025-03-11 に GitHub Actio
Oracleが自社クラウドで発生した深刻なセキュリティインシデントを顧客から隠そうとしてInternet Archiveに削除要求していることが暴露される
2025年3月21日に、「rose87168」と名乗るハッカーがアメリカのソフトウェア企業・Oracleのクラウドサービス「Oracle Cloud」のシングルサインオン(SSO)ログインサーバーから約600万件の顧客データを盗み出して販売しました。これに対してOracleは「不正アクセスは発生していない」との声明を発表していますが、その一方でOracleはrose87168が「侵入の証拠」と主張するページをInternet Archiveに削除するよう要請していることが報じられました。 Oracle attempt to hide serious cybersecurity incident from customers in Oracle SaaS service | by Kevin Beaumont | Mar, 2025 | DoublePulsar https://double
約1カ月でデータサイエンスの基礎を習得 無料で学べるオンライン講座「データサイエンス入門」を総務省が開講
同講座は2015年3月に開講したもので、定期的に実施されている。総務省によると、これまで延べ約21万5000人が受講しているという。今回は2024年6月に実施した講座を再び開講する形だ。開講期間は、2025年6月17日~8月19日の予定。講座では、講義動画を視聴し、確認テストによって理解度を確認する。4週間にわたる全講義を終えると、最終課題がある。各週の確認テストと、最終課題の得点率によって修了証が取得できる。 受講するには、Webサイトで登録する必要がある。登録料や受講料は無料だが、受講登録は2025年7月28日までなので注意が必要だ。 関連記事 【Windows 10→11移行】「復元するデバイスを選択」でどこまで移行できるか試してみた Windows 10のサポート終了が迫ってきている。そろそろWindows 11へ移行しなければと思うものの、Windows 11への引っ越しは面倒と
はじめに はじめまして。QAエンジニアの佐藤です。 最近、社員数が増え始め、”佐藤”さんが増えてきました。 私が所属している開発チームでユニークなあだ名をつけていただいたものの、日常で呼ばれたことはありません。 あだ名って難しいですよね。 今回は、私が入社して2ヶ月目から取り組み始めたお問い合わせ対応の改善についてお話します。 当初からお問い合わせフローを検討していたのではなく、インシデントフローの改善に着手する中で、別途お問い合わせフローも検討したいと思うようになったことがきっかけでした。 お問い合わせ対応はフローが決まっていない状態だったので、まずは運用に乗せられるか不安もあったため小さく始めることを意識しながら検討を始めました。 課題の整理 まずは現状の把握と課題の整理を行いました。 PdM(プロダクトマネージャー)にヒアリングしてわかったことは以下のとおりです。 ユーザーからのお問
Googleが提案する「Product-Focused Reliability」という考え方 - dackdive's blog
という記事の存在を知り、読んだところ非常に面白かったので内容のメモ。 自分がこの記事を知るきっかけになったのは X のこちらのポスト だが、X を検索すると記事自体は1年以上前からあったぽい。 (記事には公開日は明記されていない) なかなかに文量が多く、かつSREの知識が十分ではない自分にはところどころ理解が難しい部分があった。 NotebookLM に頼りつつ内容をまとめているが、間違いを含んでいるかもしれない。 先にまとめ 重要だと思ったポイント 従来のサービスベースでのSLOには限界がある。サービスはユーザーニーズやビジネスゴールの部分的な解決策に過ぎず、UIとの間に複数のレイヤーが存在するためプロダクト全体をカバーできない これらの限界を克服するために、Google SREチームはプロダクトとエンドユーザーのニーズに焦点を当てた「プロダクトサポートモデル」を導入している。このモデル
JAWS DAYS 2025で「AWSのセキュリティ運用の自動化」について登壇しました - NRIネットコムBlog
はじめに 登壇内容 セキュリティ・ガバナンス運用の課題 セキュリティ運用の自動化例 FW系リソースの自動更新 AWSサービスのみで作成する完全自動化パターン チャットツール起点とした自動化パターン AWSサービスのみで作成する自動化パターン 更新したFWはどのように管理するのか GuardDuty Malware Protection for S3を最大限活用するための自動化 Configを活用した自動修復機能とそのポイント ケース1:とにかく堅牢な環境を作成する ケース2:コストが増加しにくい環境を作成する ケース3:マルチアカウント環境で運用 まとめ はじめに こんにちは、大林です。2025年3月1日に開催されたJAWS DAYS 2025 に「AWSアカウントのセキュリティ自動化、どこまで進める? 最適な設計と実践ポイント」というタイトルで登壇してきました。聴講してくださった方々、本
生成 AI をもっと気軽に、安全に使うための「chakoshi」をリリースした話 - NTT Communications Engineers' Blog
chakoshi とは なぜ生成 AI の安全性が求められるのか 生成 AI の安全性の現状 生成 AI の安全性対策案 日本語に特化した入出力チェックができる chakoshi chakoshi の特徴について 日本語の性能が高い カスタマイズ性が高い 終わりに 初めまして。イノベーションセンターの山本(@yyo616)です。普段は生成 AI に関連する新規プロダクトの開発や技術検証をしています。先日、生成 AI の安全性向上サービス「chakoshi」と、生成 AI の回答精度を高めるためのドキュメント変換サービス「rokadoc」のベータ版をリリースしました。そこで本記事では chakoshi の方に焦点を当てて紹介させていただきます。rokadoc については、こちらの記事をご覧ください。 chakoshi とは chakoshi は「AI をもっと気軽に、安全に」活用するためのサ
先日起きた tj-actions や reviewdog のセキュリティインシデントのレポートを読みました。 その内容を個人的な検証結果や感想を挟みつつかいつまんで書きたいと思います。 詳細は原文を読んでください。 なお、侵害された repository 及び tag は全て修正され、盗まれた Personal Access Token (PAT) も revoke されているはずです。 攻撃の流れ tj-actions/changed-files が侵害されるまでに複数の PAT の流出及びリポジトリの侵害が連鎖的に起こっています。 つまり tj-actions/changed-files が直接的にいきなり侵害されたというより、複数のリポジトリをいわば踏み台のようにして侵害したという感じでしょうか。 攻撃者は PAT が盗まれたりした GitHub Account とは別に複数の Gi
2024年6月のサイバー攻撃によって大規模障害が発生し、約2カ月間サービスを停止する事態に陥ったニコニコ。アマゾン ウェブ サービス ジャパンが25年6月25~26日に幕張メッセで開催予定の年次イベント「AWS Summit Japan 2025」では、運営会社のドワンゴが登壇し、ニコニコのセキュリティに関する講演を行う。 タイトルは「ニコニコの大規模セキュリティ改革」。イベント公式サイトの講演概要によれば「AWS製品を活用したセキュリティ監視基盤の構築と、AWSのセキュリティ専門チームと連携したインシデントの対応体制」について解説するという。ただしサイバー攻撃についてどの程度触れるかは言及されていない。 ドワンゴは2024年のAWS Summit Japanにも、サイバー攻撃を受けた直後ながら登壇。「ユーザー・関係者の皆さまには、ご不便をおかけしており、心からおわび申し上げます」と述べた
日本人バグハンター11人に聞いた!バグバウンティの魅力や面白さについて #BBJP_Podcast - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、ポッドキャスト「Bug Bounty JP Podcast」の企画として、日本人バグハンターの11人に伺ったバグバウンティの魅力や面白さについて紹介します。 1. 始めに 免責事項 想定読者 「Bug Bounty JP Podcast」 2. バグバウンティとは 用語の整理 3. 日本人バグハンター11人 morioka12 さん (@scgajge12) mokusou さん (@Mokusou4) RyotaK さん (@ryotkak) Masato Kinugawa さん (@kinugawamasato) niwasaki さん (@iwasakinoriaki) nakyamad さん (@nakyamad_jp) ななおくさん (@ooooooo_q) kuzushiki さん (@kuzu7shiki) ta
データベース丸見えのインシデント発見者になってしまった話。Supabaseをフロントエンドだけで実装する際はSELECTの扱いに注意!
2025年4月13日追記: Xで共有されてご覧になっている方が増えているようなので追加で補足しておきます。この問題はRLSの設定ミスによって発生していたものであり、Supabase自体には問題ありません 。現時点での僕の考えでは フロントエンドだけで実装するのは「意外と使えるシーンが限られる」 です。ユーザー自身の管理画面などで使う程度に留めておくと良いでしょう。特に不特定多数のユーザーが閲覧するようなユーザー交流型サービスには全く向きません。これは実際にSupabaseを使って開発してみると理解できると思います。全てのユーザーが閲覧できるようにするにはRLSで無条件なtrue設定にする必要があり、publicスキーマにコピーしたユーザー情報も必然的に無条件なtrueにする必要があるため、適切なDB構造をしてなければメールアドレスも漏れてしまうのです。無条件なtrue設定にする = HTT
GoogleのAIチャットボット「Gemini」の高度な機能とサイバーセキュリティの知識およびツールを組み合わせた実験的サイバーセキュリティモデル「Sec-Gemini v1」が2025年4月4日に発表されました。GoogleはSec-Gemini v1を研究目的で無料提供することで、サイバーセキュリテコミュニティ全体での強力な連携と防御力の向上を目指しています。 Google Online Security Blog: Google announces Sec-Gemini v1, a new experimental cybersecurity model https://security.googleblog.com/2025/04/google-launches-sec-gemini-v1-new.html Googleはインターネットのセキュリティと安全性に関するセキュリティブロ
Amazon RDSの監査ログを保全する信頼性の高いソフトウェアの設計と実装について - Pepabo Tech Portal
はじめに 背景 信頼性 監査プロセス コスト 要件 機能要件 非機能要件 設計 システムの構成要素 なぜECSを選んだのか 監査ログ保全における適切なリソース管理 私達のユースケースに合わせたオブジェクトキー 実装と検証を繰り返しフィードバックループをまわす ログが途中で途切れる 並行運用 転送量のコスト増加 ECS Fargateのキャパシティ不足 ログの整合性をチェック ログローテーションサイズの変更 オンコールドキュメントを作成 成果 Future Works まとめ harukin drumato はじめに こんにちは。技術部技術基盤グループのharukin,drumatoです。 カラーミーでは従来Data Firehose(旧Kinesis Data Firehose)を用いて、Amazon RDSの監査ログをS3に保存する仕組みを運用していました。 しかし、運用していく中で継続
Datadogのメトリクス収集をAPIポーリングからCloudWatch Metric Streamsへ移行した話 - LayerX エンジニアブログ
こんにちは!バクラク事業部 Platform Engineering部 SREグループの id:sadayoshi_tadaです。 みなさんは監視ツールとして何を使われていますか?バクラクでは、監視にDatadogを使用しています。この記事ではDatadogのメトリクス収集の課題とそれに対する改善について書きます。 Datadogに収集するメトリクスにおける課題 CloudWatch Metric Streamsとは CloudWatch Metric Streamsで収集するメトリクスのフィルタリング Kinesis Data Firehoseを経由したDatadogへのメトリクス転送実装 CloudWatch Metric Streamsへの切替時の考慮点 切り替え後の変化と課題 まとめ 最後に Datadogに収集するメトリクスにおける課題 バクラクではサービスの実行基盤としてAWS
「Oracle Cloud」のSSOログインサーバの侵害を巡る問題が深刻化している。コンピュータ情報サイト「Bleeping Computer」が2025年3月21日(現地時間、以下同)に報じたこのインシデントは、脅威アクター「rose87168」が600万件の認証データおよび暗号化されたパスワードを窃取したと主張し、ハッキングフォーラムで販売を試みたことから始まっている。Oracleは一貫して侵害は発生していないとの立場を取っているが、後に明らかになった情報によってその主張の正当性に疑問が生じている。 Oracle Cloudのインシデント セキュリティメディアがOracleの隠蔽工作を主張 Bleeping Computerはさらに複数の企業が流出したデータの正当性を認めたことを2025年3月26日に報じている。脅威アクターは、影響を受けた企業や政府機関のドメインリストやLDAPデータ
インターンと新卒2年目で話した、半年間のインターンで得た成長と、テレワークのインターンの良さと難しさの話 - ドワンゴ教育サービス開発者ブログ
インターンを探している皆様、もしくはインターンを募集している皆様、こんにちは。Webフロントセクションのsokunoです。この記事では、教育事業本部のサービス開発部に長期インターンとして配属されているお二人の学生と「半年間ドワンゴでインターンをやってみてどうだったか」というテーマで対談しましたので、紹介いたします。インターンを探している方は雰囲気を掴むために、インターンを企画する方は運営のヒントに役立てていただけると嬉しいです。ライブ感が強めに仕上がっており、普段のこの開発者ブログの記事とは毛色が違うかもしれませんが、ぜひお付き合いください。 対談者紹介 Seiさん 福家さん sokuno 対談 このインターンはどうやって見つけましたか? ドワンゴに入ってみて キャッチアップと当初の不安 7ヶ月経って成長した実感はありますか? 学業との両立について インターン中の1週間のスケジュール例 勤
大阪・関西万博のウズベキスタン館は4月24日、来場登録者へのQRコード配信に不備があり、個人情報の一部が流出したと発表した。氏名やメールアドレスなどの情報を含むQRコードについて、誤って他人を配信するケースがあったという。流出した可能性のある登録者は200人未満としている。 1通のメールに複数のQRコードを添付していたケースがあり、読み取った人は誰でも姓・名・メールアドレスを閲覧できる状態だった。同館は、オンライン登録システムへのアクセス集中が原因だった可能性があるとみており、「登録受付開始から2時間足らずで、1万人超という想定を上回る申し込みがあった」と説明している。 同館の関係者は、日本時間の24日午前10時に事態を把握。ウズベキスタン現地のIT部門に連絡し、2時間以内にオンライン登録システムを停止した。発行されたQRコードは全て無効化し、コードに含まれていた個人情報もシステムから削除
MITREがCVEプログラム停止の恐れについて警告、16日に米政府との契約が切れること受け | Codebook|Security News
Codebook|Security News > Articles > Threat Report > MITREがCVEプログラム停止の恐れについて警告、16日に米政府との契約が切れること受け The Record – April 16th, 2025 MITRE Corporationによると、米政府による資金提供の先行きが不透明であることから、CVEプログラムの中断や「劣化」が生じる可能性が考えられるという。同団体の国土安全保障センターでVPを務めるYosry Barsoum氏が、CVE理事会に宛てた書簡の中で明かした。 2025年4月15日付け(現地時間)のこの書簡はCVE理事会のメンバーに対し、MITREと米政府との間で交わされたCVEの管理に関する契約が4月16日で終了となる旨を伝えるもの。Barsoum氏は、「2025年4月16日(水)に、MITREがCVEおよびCWEなどほ
トップの動向を押さえなさい――。駆け出しの頃、先輩記者からニュースを追う姿勢をこう教わった。技術分野の話であれ業界の話であれ、トップの取り組みは2位や3位の取り組みだけでなく、その技術分野全体、業界全体にも影響を及ぼすことがある。だから何はともあれトップの動向をしっかりつかんで報じるべきだ、という理屈である。 当たり前といえば当たり前の教えだが、新人記者には走る方向を定めてもらっただけでもずいぶん助かった。教えに忠実なのか、それから20年以上たった今でもいろいろなトップの動向が気になっている。そうした中、2025年2月にピンときた出来事があった。小池百合子都知事が施政方針演説において、次のように発言したことだ。 「都民の重要な情報やインフラを守るため、様々な攻撃を想定した対応や訓練を重ねるほか、一元的に対処するセキュリティセンターを立ち上げてまいります。オール東京の対策強化に繋げ、デジタル
サブドメインのおくりびと 〜食べログのサブドメイン、ひとつ廃止します〜 - Tabelog Tech Blog
はじめに こんにちは。食べログシステム開発本部 ウェブ開発1部 システム運用改善チームの@4palaceです。 今回は、私の所属するシステム運用改善チームで取り組んだサブドメインの廃止について事例を紹介します。 取り組みを通じて得られた学びなどを紹介します。 同じような課題に取り組むエンジニアにとって参考になれば幸いです。 目次 はじめに 食べログにおける不要なSSLサブドメインとは なぜSSLサブドメインが生まれたのか なぜいらなくなったのか あると何が困るのか 安全にサブドメインをクローズする 重要な機能が利用できない状態にならないこと 食べログのビジネスを止めないこと 移行前の準備と検証 対象の総量を把握 アクセス種別ごとの工夫 1. アクセス元が食べログサイト内部のプログラム 2. アクセス元が食べログアプリ 3. アクセス元がログイン連携先や決済の提供サービス 4. アクセス元が
6つのステップは2つの段階に分かれる。まずは、生成AIの利用を始める前の「AI戦略策定」「AIプランニング」「AI準備」だ。 生成AIの利用を開始した後は「AIガバナンス」「AI管理」「AI保護」の3ステップをサイクルで回す必要がある。図1の6ステップの内容をまとめると次のようになる。 ステップ1 「AI戦略策定」 ここで重要なことはユースケースの特定の他、目標や目的、定量化可能な指標の設定、社内の評価、自動化可能な箇所の探索、SaaS/PaaS/IaaSのどれを選ぶか、自社における「Responsible AI」(責任あるAI)の定義、著作権に関する検討といった事項だ。従業員にどのように生成AIを利用してもらうべきなのかを見極めることが目的だ。 ステップ2 「AIプランニング」 ユースケースに基づいたAIスキルの評価と小規模な概念実証(PoC)、Responsible AIの実装、組織へ
株式会社ヘンリーでオブザーバビリティを担当しているsumirenです。 先日のHoneycombでスパンを削減する - 株式会社ヘンリー エンジニアブログ という記事で、スパン削減にはトレースカットとトレース横断の2つのアプローチがある話をしたうえで、トレース横断での削減について紹介しました。 この記事ではトレースカットでの削減についてヘンリーでの事例を紹介します。 スパン削減の戦略(再掲) 前の記事でも紹介したとおり、スパン削減には大きく2つの方向性があります。(アプリケーションを直す以外) トレースカットでのアプローチ トレースカットでサンプリングする 例:正常なトレースは1%だけサンプルする、無料ユーザーのトレースは1%だけサンプルするなど トレース横断的なアプローチ スパン種類ごとにドロップの条件をつける 例:SET TRANSACTIONのスパンは正常かつ高速ならドロップする こ
【80人定員に150人超が応募!】セキュリティ診断AIエージェント「Takumi」最速体験会の熱気をレポート - #FlattSecurityMagazine
こんにちは、GMO Flatt Securityの小島です。 2025年4月7日(月)、GMO Flatt Securityは、セキュリティ診断AIエージェント『Takumi』のリリースを記念し、品川区大崎のファインディ株式会社様のイベントスペースにて、『セキュリティ診断AIエージェント「Takumi」世界最速体験会』を開催いたしました。 この記事はそのイベントレポートとして、ご参加いただいた方のXの投稿とイベントの写真を交えながらイベントを振り返っていきたいと思います。 セキュリティ診断AIエージェント「Takumi」について セキュリティ診断AIエージェント「Takumi」は、Slackでいつでもセキュリティ診断を頼めるAIです。ソースコードや仕様を理解し、自律的に診断します。 例えば、以下のようなセキュリティ業務を自律的にこなすことができます。 Dependabotのトリアージ CV
はてなブックマークのブックマーク数が多い順に記事を紹介する「はてなブックマーク数ランキング」。4月14日(月)~4月20日(日)〔2025年4月第3週〕のトップ30です*1。 順位 タイトル 1位 【2025年版】旅行中に着る服の考察と実践 - メンズ編 - SANOGRAPHIX Blog 2位 【有料級】耳コピ20年やってるワイが本気で教える耳コピのやり方|OzaShin 3位 描く人へ - こうの史代 / 読切 描く人へ | ゼノン編集部 4位 大阪万博の初日に行った感想|ハンセイ 5位 話題の論文「AI 2027」についての考察 6位 現在進行形でドイツに住んでるけどドイツだけは絶対にやめとけ。割とスト.. 7位 27年間失踪していた母親をTikTokで見つけました|Alien0124s 8位 ASCII.jp:天才エンジニア・イリヤスフィール氏、突如ローカル環境で動かすとんでもな
ランサムウェアをはじめとしたサイバー脅威が高度化・複雑化し、世間でも大きな話題を集めている。組織がランサムウェア被害に遭う可能性が「万が一」ではなくなっている今、インシデントを適切に対応するためにはCSIRTのような専任組織を立ち上げ、しっかりと運用することがますます重要になっている。 一方で企業の中には「CSIRTをはじめとしたインシデント対応に特化した組織を立ち上げられていない」「CSIRTを構築したもののうまく運用できていない」「セキュリティ業務を統括する責任者がいない」「責任者にどのように旗を振ってもらえばいいか分からない」などセキュリティ対策に当たる組織の構築・運用において悩みを抱えるところも多い。 そこで「ITmedia エンタープライズ」では現役のCSIRT担当者を招き、2024年のサイバーセキュリティ状況や気になったトピックを振り返りつつ、それらが自社のCSIRTに与えた影
インフォスティーラー(情報窃取型マルウェア)が流行しています。このマルウェアは基本的な対策だけでは防ぐのがなかなか難しい厄介なものです。特に従業員のWebブラウザの利用次第で感染を拡大させるリスクも……。詳細を解説します。 従業員がマルウェアやフィッシングメールに引っ掛かっても、責任は個人ではなく組織にあります。「人はだまされる」という前提での対策が必要であり、個人に責任を押し付けることはあってはなりません。 その上で、従業員個人は、組織が定めたルールに従い、できる限りの対策を講じる必要があると思っています。今回はここ最近注目が集まる、インフォスティーラー(情報窃取型マルウェア)への対策を考えていきたいと思います。 基本的な対策では足りない? 流行中のインフォスティーラーの脅威 インフォスティーラーとはマルウェアの一種で、狙うのは「認証情報」そのものです。これまでもID/パスワードのセット
IPA、ランサムウェア感染時の対応を訓練するツールを公開
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 情報処理推進機構(IPA)は4月15日、ランサムウェア感染のインシデントシナリオを使って一連の対応の流れを机上演習できるツールを公開した。中小企業向けと医療機関向けの2種類を用意している。 ツールは、「PowerPoint」形式の教材と実施マニュアルで構成され、IPAのウェブサイトからZIP形式のファイルをダウンロードし、任意の場所で解凍して利用する。教材は、過去のランサムウェア被害事例を参考に制作したシナリオを基に、IPAの「中小企業のためのセキュリティインシデント対応手引き」に沿った座学パートと、ランサムウェア感染での対応を受講者がグループでディスカッションをしながら方針や方法を検討し、発表する演習パートとなっている。実施マニュアル
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティインシデント対応机上演習教材 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
胸ポケットにスマホをカメラが表に出る形で入れて電車に乗っていたら、盗撮だと通報されて職質された話
閲覧履歴があってもリンクの色が変わらないケースについて | blog.jxck.io
Oracleがログインデータが流出したセキュリティインシデントを公式に認める
Web における Security, Safety, Trust の相対性 | blog.jxck.io
最小コストで始める Slackを活用したお問い合わせ対応 - tebiki_techblog
tj-actions のインシデントレポートを読んだ
AWS年次イベントで「ニコニコの大規模セキュリティ改革」講演 ドワンゴ登壇
Googleがサイバーセキュリティ特化のAIモデル「Sec-Gemini v1」を発表
Oracle CloudのSSOログインサーバへの侵害で新報道 「Oracleが隠蔽を図った」と主張
IPA、「企業組織向けサイバーセキュリティ相談窓口」開設。インシデント発生時の相談など受け付け
大阪万博・ウズベキスタン館で個人情報流出 入場用QRコードを誤送信
東京都の新たな取り組み「サイバーセキュリティセンター」に期待
生成AI活用を「セキュリティファースト」で進めるための6つのステップ
エンドポイントカットのトレースサンプリングを提案したい - 株式会社ヘンリー エンジニアブログ
今週のはてなブックマーク数ランキング(2025年4月第3週) - はてなブックマーク開発ブログ
IPA、中小企業や医療機関向けにランサムウェア攻撃を想定したセキュリティインシデント対応の演習用教材を公開
それぞれのCSIRT組織 各社はどんな体制で、どんな活動をしてきたか?
IPA、ランサムウェア感染時の対応を学習できる「セキュリティインシデント対応机上演習」の教材を公開
Webブラウザ利用者が知らずに犯してしまう「ルール違反」とは?