新卒エンジニア研修 2019 Vol.1 こんにちは!5月から始まった新卒・ペパカレ(いわゆる第二新卒)を対象としたエンジニア研修も約2ヶ月が経過しました。そこで今回は振り返りとして、研修内容とこれまでに学んだことや気づいたことを、新卒・ペパカレメンバーが紹介します。 研修内容について 配属先で必要になるWeb開発の基礎スキル習得を目標に、以下の研修を3ヶ月に渡って実施しています。 Webアプリケーション開発研修 セキュリティ研修 フロントエンド研修 インフラ研修 社内エンジニア・デザイナーによる座学 読書会 今回は6月までに行った内容について、それぞれ紹介していきます。 Webアプリケーション開発研修 まずはじめに、Rails Tutorialを教材に、Railsを利用したWebアプリケーション開発の基礎を学びます。研修メンバー全員がRails Tutorialを完走することを目標に、講
IoTセキュリティチェックリスト
いわゆる IoT や IoT デバイスと呼ばれている、物理的な実体をもつ物の状態に関する情報を収集したり、収集された情報などをもとに物の状態を変える制御を行うための分散システムは近年、注目されており、今後も増加傾向が続くとされています。 そのような IoT デバイスは、常時ネットワークに接続されており、多数の同じIoTデバイスがネットワーク上に接続されているケースが多く、個々のIoTデバイスのセキュリティ管理の徹底が難しいことが多いと考えられます。また、IoT デバイスの中には、新機能の作り込みに注意を奪われるあまり、セキュリティ的な耐性に関する設計が忘れ去られているものが少なくありません。 利用者においても、IoTデバイスを使ってシステムを構築する際に、必要なセキュリティ的耐性を備えていることを確認した上で、システムを構成する製品を選定することが重要になります。不適切な製品を選べば、サイ
Mercari Advent Calendar 2020 の15日目は、メルカリ Product Security チームの Gloria Chow がお送りします。 こんにちは、Product Securityチームの@gloriaです。以前、オープンソースとして公開しているTestdeckという、マイクロサービスの自動化テストのための社内ツールについて記事を書きました。 今回は、2020年のAdvent Calendarの記事として、DevSecOpsについてお話をしたいと思います。近年、耳にする機会の多い話題の一つなので既にご存じの方もいらっしゃるかもしれませんが、DevSecOpsの基本的なコンセプト、注目されている理由、よくあるチャレンジとメルカリにおけるDevSecOpsの実践事例を紹介したいと思います。 DevSecOpsとは? DevSecOps以前から提唱されているDev
(書籍レビュー)大企業のWebサイトの脆弱性発見事例が学べる「リアルワールドバグハンティング」 - 虎の穴開発室ブログ
あけましておめでとうございます。CTOの野田です。 オライリー社の「リアルワールドバグハンティング」(https://www.oreilly.co.jp/books/9784873119212/)を読みましたのでその感想になります。 本を読んだきっかけ この本は発売されたのが2020年09月と発売してから暫く経っていますが、オライリー新刊のタイトルを必ずチェックしている私の視界には当時入ってきませんでした。 表紙がカマキリなこと、「リアルワールド」「ハンティング」というタイトルから本当にリアル世界で虫をとる本かと思って手にとっていませんでした(最近DIYや健康の本もオライリーは出しているのでありえない話ではないと当時思っていました) 最近セキュリティ系の本を探していたときに改めてアンテナにひっかかったので今回を機会に読み始めました。 全体的な本の概要 実際の企業で起きたバグの内容とその報奨
DeNAでのセキュリティチェックから分かるゲーム開発で作りがちなチートの穴 | BLOG - DeNA Engineering
こんにちは、技術統括部セキュリティ部セキュリティ技術グループの小川です。 今回は Shibuya.gamesec #2 にて発表した内容について、ブログ上で紹介していきたいと思います。ゲーム開発者の方がどのようなことに気を付けて開発をすると良いか、参考になれば幸いです。 DeNA におけるリリース前のチート・脆弱性診断 DeNA ではサービスの新規リリースやアップデートを行う前に、セキュリティ部がコードレビュー等を含むチート・脆弱性診断を行っています。公開する前に「その内容を世の中に出して安全か」を確認し、危険な箇所があれば指摘、安全な状態にしてからリリースをしています。 ここでは、このセキュリティチェックで過去発見・修正した脆弱性について集計し、どのような脆弱性がありがちかに触れていきます。集計対象はゲームアプリ・サーバーに関する脆弱性に限ります。しかし、一般的な統計情報として利用するた
セキュリティチェックが捗る!AWS Security Hubで全リージョンのセキュリティ基準の結果を集約して見れるようになりました! | DevelopersIO
こんにちは、臼田です。 みなさん、AWSのセキュリティチェックやってますか?(挨拶 やったーついにキタ━━━━(゚∀゚)━━━━!! AWS Security Hubのセキュリティ基準が全リージョンまとめて一括でチェック出来るようになりました!こんな感じ! 右上のリージョンはAll Linked Regionsとなっていて、セキュリティスコアのコントロール単位のパーセンテージと項目単位の失敗割合も全リージョンから集まってきた値になりました! AWSのWhat's Newは以下です。 AWS Security Hub launches cross-Region security scores and compliance statuses もう少し背景から詳しく説明していきます。 背景 AWS Security HubはAWS上で最強のセキュリティチェックができるサービスです。「セキュリティ
社内導入の前のセキュリティチェックにご利用いただける、クラウドサービスの基本情報、規約関連、セキュリティ関連機能をまとめたデータベースです。
プログラミングのなんとか安全まとめ
プログラミングのなんとか安全まとめ 安全とは 安全の正確な定義は難しいですが、ここでは「特定のリスクが十分に低減されている状態」について考えたいと思います。 人間社会を例に考えてみると、我々の生活は常に犯罪や災害、疫病などの危険にさらされています。しかし通常の生活において、これらのリスクを強く意識することはありません。それは行政(警察や消防や法制度など)の社会システムが、リスクを十分に低減する処置をとっているからです。 ソフトウエアにおける安全も基本的に同質であり、言語やフレームワーク、開発プロセスによって、リスクを管理することで安全の実現を目指します。 リスク管理は何らかの制限を伴いますので、何を自由とし、リスクとするかは、エコシステム毎に異なります。例えば銃器は、国によって所有に対する規制の強弱が分かれています。しかし認可されている国の治安が、必ずしも悪いわけではありません。社会がその
[DevSecOps] コンテナ時代のアンチウィルス対策はどうすればいいのか調べてみた|Anno Takahiro
エンタープライズ企業が新しいクラウドサービスを導入する時には、自社のセキュリティ基準を満たせていることを確認するのが通例である。「セキュリティチェックシート」と呼ばれるエクセルシートを利用して一点一点チェックしていくことが多い。(この質問票で聞かれる内容が個社ごとにばらばらで、システム導入時に双方の負担になってしまっているのを標準化してなんとかできないかと思うことはあるが、この記事ではそこには触れない。) よくあるのが、「アンチウィルスソフトウェアをサーバーにインストールしていること」というチェック項目だ。明快な質問のように見えるが具体で実現するためには色々考えなければいけないことがある。標準的なサーバー構成、つまり、ハードウェアがあって、その中でOSが稼働していて、その上でアプリケーションが動いているというシンプルな構成であれば良いのだが、クラウドインフラを使い倒すようになった今ではマイ
![[DevSecOps] コンテナ時代のアンチウィルス対策はどうすればいいのか調べてみた|Anno Takahiro](https://cdn-ak-scissors.b.st-hatena.com/image/square/d40f582c13ec7b50a24702f677080474932e9b61/height=288;version=1;width=512/https%3A%2F%2Fassets.st-note.com%2Fproduction%2Fuploads%2Fimages%2F24412229%2Frectangle_large_type_2_8c36b95904fe1cfb50326f80f7e5b1fb.jpeg%3Ffit%3Dbounds%26quality%3D85%26width%3D1280)
竹下 郁子 [編集部] and 小林 優多郎 [Tech Insider 編集チーフ] Feb. 16, 2023, 12:00 PM 深掘り 77,444 世界中の注目を集める、対話型・生成系AIの「ChatGPT」。 「プログラミングしてもらった」「長文ドキュメントを要約してもらった」「メールの返答例をつくってもらった」など、さまざまな活用例の投稿がSNSに溢れている。 ChatGPTが人類の生産性向上に大きな可能性を秘めたツールであることに異論はないが、一方でアマゾンやマイクロソフトのように従業員の使用に対し警鐘を鳴らす企業もある。 日本のIT企業は、どうだろうか? 国内のIT・デジタル企業14社にアンケートを実施した。 インターネットサービス業 DMM.com GMOインターネットグループ LINE(事業会社、ホールディングスのZHDとは別) MIXI(ミクシィ) note メルカ
Tebiki 社の CTO をしている渋谷です(会社名が変わりました)。「現場向け動画 DX」を実現するための SaaS『tebiki』を開発しています。 今回は「スタートアップでも AeyeScan を使えば、継続的に脆弱性を診断できるようになるよ」という話について書いてみたいと思います。 (※近年特に注目されている SaaS などの Web アプリケーションに対する脆弱性診断の話です) スタートアップでもセキュリティは最重要スタートアップではとにかくサービスの PMF を目指すことを優先すべきで多少の脆弱性は後でどうにかすればよい、という意見をたまに見かけます。BtoB 向けの SaaS スタートアップを3年間やってきた一人としては、それは全くの嘘で、やはりセキュリティが最も重要だと考えています。 なぜなら「情報漏えいは会社の倒産リスクに直結する」からです。 仮に脆弱性を突かれて情報が
こんにちは、Assured事業部の岩松です。先日、Visionalグループとしてクラウドリスク評価「Assured(アシュアード)」を正式にリリースしました。本記事ではこの新規事業がどのように仮説検証を進めてきたのか、技術観点でどのような取り組みをしてきたのかご紹介します。ここで紹介する技術や仕組みは、新規事業という文脈において「やらなくても良いのではないか」「悪手なのではないか」と感じられるものもあるかもしれません。 Startups are very counterintuitive. ~ Before the Startup 「スタートアップは極めて直感に反する」というY Combinator創業者Paul Grahamの言葉通り、スタートアップもしくは急成長を目指す新規事業においては、一見うまくいかないと判断される反直感的な選択が正しい場合も多いのではないかと考えています。そこで「
生成系AIがもたらす開発ワークフローの変化
GitHub Copilotのような生成系AIコーディングツールの急速な進歩が、ソフトウェア開発現場に打ち寄せる次の波を加速させています。この記事では今、皆さんが知っておくべきことをご紹介します。 コンピューターを計算のためだけに使っていた時代、エンジニアのDouglas Engelbartは、コンピューターを「人類の最も複雑な問題を解決するコラボレーションツール」として捉え直し、「すべてのデモの母」を実施しました。デモの冒頭で、彼は聴衆に「自分の行動に即座に反応するコンピューターがあれば、どれだけの価値を得られるだろうか」と問いかけました。 それと同じ質問を、生成系AIモデルにも投げかけることができます。新しいアイデアのブレインストーミングを行ったり、大きな構想を小さなタスクに分けたり、問題に対する新たな解決策を提案してくれる、反応性に優れた生成系AIコーディングツールがあれば、どれだけ
AWS App Mesh を使用した Amazon ECS でのカナリアデプロイパイプラインの作成 | Amazon Web Services
Amazon Web Services ブログ AWS App Mesh を使用した Amazon ECS でのカナリアデプロイパイプラインの作成 この記事は Create a pipeline with canary deployments for Amazon ECS using AWS App Mesh を翻訳したものです。 この記事では Amazon Elastic Container Service (Amazon ECS) で実行されるアプリケーションのカナリアデプロイ戦略を、AWS App Meshと組み合わせて実装する方法を説明します。ALB の加重ターゲットグループを使用した AWS CodeDeploy でのカナリアデプロイを行う場合はこちらの記事を参照してください。 Amazon ECS や Amazon EKS などのコンテナオーケストレータを利用することで、世界中
AWSセキュリティ成熟度モデルを活用することで自分たちのAWSセキュリティの現在地を確認できます。AWSセキュリティ成熟度モデルとはどんなものなのか、どうやって活用すべきかをコツも含めて解説します。 こんにちは、臼田です。 みなさん、AWSのセキュリティ対策できてますか?(挨拶 といっても具体的にどれくらいできているかって判断するのが難しいですよね。 今回はAWSから提供されているAWSセキュリティ成熟度モデル(AWS Security Maturity Model)を活用した、どれくらいできているのかを確認する方法を紹介します。こんな感じになります。 ぱっと見いい感じじゃないですか?これはちょっと作り込んでありますが、ベースはAWSセキュリティ成熟度モデルを活用しています。まずはAWSセキュリティ成熟度モデルがなんなのか、というところから説明していきます。 AWSセキュリティ成熟度モデル
「AWS Control Towerを利用したマルチアカウント管理とセキュリティ統制」JAWS DAYS 2021登壇資料 #jawsug #jawsdays #jawsdays2021 #jawsdays2021_C | DevelopersIO
「AWS Control Towerを利用したマルチアカウント管理とセキュリティ統制」JAWS DAYS 2021登壇資料 #jawsug #jawsdays #jawsdays2021 #jawsdays2021_C 「AWS Control Towerを利用したマルチアカウント管理とセキュリティ統制」というテーマでJAWS DAYS 2021に登壇したのでその内容をまとめます。 こんにちは、臼田です。 みなさん、JAWS-UG楽しんでますか?(挨拶 今回は年に1回のJAWS最大のお祭りであるJAWS DAYS 2021に登壇したのでその資料を共有しつつ解説とかしていきます。 動画 資料 解説 コンセプト 最近AWS Control Towerについて取り組むことが増えてきたのと、活用できるようになってきたので、ガンガンアピールしたいのでテーマにしました。 概要 マルチアカウント戦略のた
以前、Instagram API仕様変更・終了・廃止関連の情報まとめ。インスタの写真をWebサイトで直接表示していた方は要注意!という記事を書いたことがありました。 この記事、Arrownの歴代記事の中でもかなりのバズを生み出してくれたのですが、今回のブログ記事は、1年越しの続編の記事になります!(遅い!笑) Instagram API仕様変更・終了・廃止関連の情報まとめ。インスタの写真をWebサイトで直接表示していた方は要注意! でご紹介させていただいたように、2018年4月、それまで提供されていたInstagram APIの一部機能が終了したことにより、Webサイトに埋め込んでいたInstagramの写真が突然表示されなくなってしまったということがありました。 昨年2018年の段階では、Instagramを運営するFaceBook社側からは、「Instagram APIの代替方法につい
はじめに フロントエンドエンジニアを目指してプログラミングを学習しています。 トンテキと申します。 プログラミング学習のアウトプットとして自作のWebサービス-SHAKYO-を制作、公開しました。 この記事では-SHAKYO-の概要や制作過程について説明します。 URL リンク先はこちら- SHAKYO - 目的 ・フルスクラッチ開発を行うことでWebアプリの基本的な構成、動作を知る ・自作のWebアプリで同じ初学者の方の役に立つサービスを提供したい スペック 使用言語 / HTML5/ CSS3 / Javascript / PHP DBMS / MySQL 開発環境 / MacOS Mojave 10.14.6 バージョン管理 / SourceTree(3.0.15) 本番環境 / xserver 主な機能 ユーザー管理機能 ・ユーザー登録機能 ・ユーザーログイン機能 ・ユーザー編集機
Jeffrey Paul Your Computer Isn't Yours (ja) ( 928 words, approximately 5 minutes reading time. ) View the original in English Translation provided courtesy of Hitoshi Nakashima. 2020-11-16 現在、この記事は何度か更新されている。ページの下の方を見て欲しい。 きたよ。ついに起こった。気がついたかい? もちろん、リチャード・ストールマンが 1997 年に予言した世界のことを言ってる。コリイ・ドクトロウが警告したものでもある。 最近のバージョンの macOS では、君はコンピューターの利用ログを記録されていて、ログデータを送信されることなしには、電源を入れてコンピューターを使うことも、テキストエディターや電子書
Black Hat USA 2019: 今注目すべき Web セキュリティ関連トピックの解説 - Flatt Security Blog
はじめに BlackHat USA 2019 株式会社 Flatt Security でセキュリティエンジニアをしている米内(@lmt_swallow)です。私は 2019/8/3 から 2019/8/8 で開催された Black Hat USA 2019 と、続いて開催された DEFCON 27 に参加してきました。本記事では、特に Black Hat USA 2019 で印象的だった以下の 4 つの発表について、簡単な紹介と解説をしたいと思います。 HTTP Desync Attacks: Smashing into the Cell Next Door API-Induced SSRF: How Apple Pay Scattered Vulnerabilities Across the Web Denial of Service with a Fistful of Packets:
どうして俺の回線が何百ギガもアップロードしてるの?と思った時に読む話【二回目】 - 朝日ネット 技術者ブログ
こんにちは、朝日ネットでISPのインフラ保守を行っているa-fujisakiと申します。セキュリティ担当の一人としてお客様の所有されている機器がインターネット越しに悪用される事を防ぐ仕事をしています。 本記事では 前回 に引き続き、ネットに接続した機器が身に覚えのないアップロードを何百ギガと繰り返している、一旦電源を落として再接続しても改善しないといった症状が発生している場合の理由と対策について解説します。 電源を落とすと一旦改善するケースは、 過去記事 で解説しています。 各種の症状について頻度を★マークで示しております。 リモートデスクトップ乗っ取られ被害 ゲートウェイ乗っ取られ被害 telnet経由での乗っ取られ被害 NASの運用による乗っ取られ被害 なぜ大企業でも有名人でもない私の機器が被害に逢うの? このような被害にあわないために 採用情報 リモートデスクトップ乗っ取られ被害 リ
2023年セキュリティトレンド大予想と2022年の総括【9社の開発・セキュリティエンジニアに聞く(後編)】 - #FlattSecurityMagazine
9社のSaaS・OSS開発の現場で活躍する開発エンジニア・セキュリティエンジニアの方々に、2022年のセキュリティ分野での取り組みや2023年に取り組みたいことなどを聞いた2週連続企画の後編です。後編では、5社からのコメントをご紹介します。 今回コメントをいただいた方々(社名五十音順・順不同) 後編(本記事) サイボウズ 開発本部 PSIRT SmartHR セキュリティグループ 岩田季之さん メルカリ Security Engineering Team Manager Simon Girouxさん Ubie 水谷正慶さん LayerX 鈴木研吾さん 前編 Aqua Security Open Source Team 福田鉄平さん カンム 金澤康道さん グラファー 森田浩平さん Finatextホールディングス 取締役CTO/CISO 田島悟史さん ▼前編記事 flatt.tech 今回
PPAPはセキュリティ対策としての効果が薄いばかりか、生産性の低下を引き起こすと指摘されている。約9割のメール通信サービスが対応している機能を使えば、PPAPの矛盾を解消し、安全かつ楽に添付ファイルを送信できるという。 脱PPAP論の上原 哲太郎教授と問題解決の方向性を議論 セキュリティ効果が薄く業務効率を下げるといわれる「PPAP」(暗号化ZIP添付メール)だが、「周りが続けているからやめられない」という本音も漏れ聞こえる──メール誤送信防止サービスを提供するクオリティアは2022年8月、脱PPAP論で知られる立命館大学教授の上原 哲太郎氏を招いてオンラインセミナー「上原哲太郎氏×老舗メールセキュリティベンダーのガチンコ対談 ~『脱PPAP』対策:コスト・慣習の壁を打ち破る現実的な進め方~」を開催した。PPAPの弊害とともに、メールサーバの多くが対応する機能を生かした脱PPAPアプローチ
コンテナレジストリの可用性を高める取り組み - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、Necoチームの池添です。 みなさんKubernetes向けのコンテナレジストリにはどこのサービスを利用していますか?そのサービスの調子が悪くて困ったりしたことはありませんか? 今回はコンテナレジストリをKubernetesクラスタ上にセルフホストし、システムの可用性を高める取り組みについて紹介したいと思います。 セルフホストコンテナレジストリがなぜ必要か コンテナレジストリには、Docker Hub, Red Hat Quay, GitHub Container Registry (GHCR), さらには各種パブリッククラウドベンダーによるものなど、数多くのサービスが存在します。 これらのコンテナレジストリのいずれかひとつに頼っていると、そこが単一障害点になってしまいます。 コンテナレジストリがダウンすると新しいコンテナを立ち上げる事ができなくなり、障害につながる場合もありま
[2021年版]AWS Security HubによるAWSセキュリティ運用を考える | DevelopersIO
AWS Security Hubの特徴と運用方法についてまとめました。幅広いAWSサービスのセキュリティとベストプラクティスを守ることができるのでガンガン活用しましょう。 こんにちは、臼田です。 みなさん、AWSのセキュリティ運用してますか?(挨拶 AWS Security HubはAWS上のセキュリティイベント集約とセキュリティチェックを行うサービスです。今回はこのサービスにフォーカスしたセキュリティ運用を考えてみます。 ちなみにAmazon GuardDutyについても同じようにセキュリティ運用についてまとめたので以下もご確認ください。 AWSセキュリティ全体像 フォーカスしていく前に全体の整理をします。以下にざっくりとAWSにおけるセキュリティの要素について書き出してみます。 AWSレイヤー IAM管理 ネットワークセキュリティ 設定管理 OS/アプリレイヤー 不正プログラム対策 脆
【Team & Project】LINEのSecurity consultation and risk assessmentに関わる業務を担当しているチームを紹介します
【Team & Project】LINEのSecurity consultation and risk assessmentに関わる業務を担当しているチームを紹介します LINEの開発組織のそれぞれの部門やプロジェクトについて、その役割や体制、技術スタック、今後の課題やロードマップなどを具体的に紹介していく「Team & Project」シリーズ。 今回は、LINE全体のサービスの企画段階におけるセキュリティ観点の検討、セキュリティコンサル、セキュリティリスクアセスメントの業務を担当しているApplication Securityチームを紹介します。 Application SecurityチームのLunde Robin、Oh Sehunに話を聞きました。 Application Securityチームのzoom会議の様子 ―― まず、自己紹介をお願いします。 Robin: LINEでSe
さくらインターネットの田中氏は「クラウドサービスの利用が業務委託やアウトソーシングの延長として考えられていることも問題です。アウトソーシングサービスなど外注先に何かを委託する時に使われていたチェックシートを、クラウドサービスの利用でも使われていることにも疑問を感じます」と指摘する。 加えて、サービス事業者側のコスト問題もある。田中氏は「システム開発を外注する場合は1人月で数十万レベルの単価になりますが、クラウドサービスは1ユーザー当たり月額数百円、高くても数千円程度でしょう。チェックシートの個別対応コストを考えると、サービス事業者としては複雑なところです」ともコメントする。 田中氏のコメントに対して、青野氏は次のように意見する。 「結局、ユーザー企業からバラバラのフォーマットで届くセキュリティチェックシートの対応コストを誰が支払っているかというと、最終的には利用者が払うわけです。ユーザー企
Microsoftはこのほど、「Token tactics: How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog」において、認証に用いられるトークンの盗難が急増していると伝えた。組織が多要素認証(MFA: Multi-Factor Authentication)の適用範囲を拡大するにつれ、サイバー攻撃者は企業のリソースを侵害できるよう、より洗練された手法に移行してきていると警告している。 Token tactics: How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog サイバー攻撃の手口として、トークン盗難が増加していることがMicrosoft Detection
DevOpsとは? ロカオプサービスは、お知らせ でもご案内しております通り、2~3日に1回は、機能追加や、機能修正を行いリリースしております。その背景には、DevOpsという開発手法が関係しています。 DevOpsとは、Development (開発) と、Operations (運用) を合わせた語であり、ソフトウェアの開発と運用のサイクルを短い期間のサイクルで回していくことで、より迅速に新たな機能をリリースすることに重点をおいた開発手法です。 従来のソフトウェア開発は、1つの機能がリリースされるまで、およそ数ヶ月から数年開発サイクルとして要していました。しかしながら、最近ではお客様の声がよりダイレクトに届くようになり、また、ソフトウェアに対する要望 / 要求も日々移り変わっています。 そのため、お客様の声をより早くソフトウェアに反映し、それをより早くリリースするため、弊社ではDevO
【独自】収容所にいた人物“新証言”広域強盗・自治体の情報悪用か『闇名簿』対策は?[2023/03/14 23:30] 『ルフィ』を名乗る人物が指示役とされる一連の強盗事件で、“闇リスト”が使われていたとみられています。 4年前、渡邉優樹容疑者らが関わったとされる特殊詐欺の拠点にも、闇リストが散らばっていました。過去にフィリピンの収容所で渡邉優樹容疑者ら4人と生活を共にしていたという人物に接触しました。この人物によると、一連の事件の指示は4人だけで行っていて、闇リストをかき集めていたといいます。 収容所で“4人”と生活した人物:「(Q.リストは結構な数ある)そう。金あれば何でもできる。(Q.情報はどのくらい分厚い)段ボール。あの4人クラスの人間になると、業者から『買いませんか』と来る。カード情報、名前、生年月日、アドレス、部屋番号、パスワード、全部」 リストの中身は、民間企業から流出したもの
こんにちは。 Software Engineerのsota1235です。 今回は10Xのセキュリティチームこれまでとこれからについてお話ししようと思います。 隠していたわけではないのですが、 採用資料や対外発表等で特にアピールもしておらず、結果的にステルス活動みたいになっていたので本邦初公開の内容ばかりです。 この記事では 10XおよびStailerにおけるセキュリティの重要性 セキュリティ観点で見る今までの10XとIssue なぜセキュリティチームを作るという判断をしたのか 今までどんな取り組みをしてきたのか 等々をお伝えできればと思っています。 10XおよびStailerにおけるセキュリティの重要性 10Xの提供するStailerはいわゆるB to B to Cのサービスです。 to Cは商品を求めてアプリやWebサイトを訪れるお客さまに対してセキュリティ観点で次の価値を提供する必要が
honeylab.hatenablog.jp 前回に引き続き、システムをすこし紹介します。 PCEMiniでは内蔵ストレージはeMMCが使われています。 これは、SDカードの前身であったMMCの拡張のようなもので、 シリアルもしくは少数のパラレルI/Oでアクセスし、 LinuxからはMMCカードと同じように見えます。 また、u-bootのMMCサブシステムからも認識されています。 Partition Map for MMC device 2 -- Partition Type: DOS Partition Start Sector Num Sectors Type 1 6287360 1396736 b 2 73728 16384 6 3 1 6197248 5 Extd 5 90112 4096 83 6 94208 16384 83 7 110592 204800 83 8 31539
ダイキン工業は開発案件における再々委託先の作業者が取引先情報を私用目的でダウンロードしたと発表した。同社は2023年12月24日、取引先情報が不正にダウンロードされたことを検知した。ダウンロードされた取引先情報には、取引先担当者の氏名と住所、電話番号、振込先情報など、個人情報が約2万2000件含まれていた。 ダウンロードしたのは、同社から開発委託を受けたダイキン情報システムが発注したNEC(再委託先)の委託先事業者(再々委託先)の作業者。不正なダウンロードを把握した後、当該作業者の情報機器は全て回収し、詳細に調査した結果、第三者への漏洩の痕跡がないことを確認したという。 今回の件を受け、個人情報へのアクセス権限の設定を見直し、社内のネットワークセキュリティー対策や委託先の選定基準のセキュリティーチェックの強化に取り組むとしている。 https://www.daikin.co.jp/tais
私にお寄せいただいているご指摘・ご質問について
2021.09.28 自民党総裁選も、残りわずかとなりました。17日に選挙が始まって以降、テレビやインターネットの討論会のほかオンライン集会や現場視察など、党員・党友をはじめ国民の皆さんに私の考えを伝え、そして現場の課題などをお聞きしてきました。 インターネットを中心に、私への指摘や質問が多くありますが、事実に基づいていないものも多くあります。先日自民党で配信されたインターネット番組で、現在多く寄せられているご指摘やご質問に回答しました。 その内容を、スタッフが読みやすく編集してくれたので掲載します。また、番組内で答えられなかった質問も一部追加しています。ご一読ください。 【総裁選CafeSta】河野太郎候補特番#01 「 河野太郎がご批判に正面から答えます」より (一部変更して抜粋) 聞き手:鈴木憲和衆議院議員 鈴木:皆さんこんにちは。今日はカフェスタということで、河野太郎候補が色々なご
OpenAIが開発した対話型サービス「ChatGPT」が話題を集めています。チャットをするように自然な対話で質問に答えてくれるので、思わずいろいろなことを聞いてみた人も多いのではないでしょうか。 そこで、ITmedia Mobileでは、モバイルに関連する質問を投げかけてみることにしました。ChatGPTの返答は100%正しいとは限らず、誤った情報を返すこともありますが、新たな気付きを与えてくれるかもしれません。 今回質問したのは「iPhoneとAndroid、どちらがオススメですか?」です。 ChatGPTの回答は以下の通りです(原文ママ)。 iPhoneとAndroidのどちらがオススメかは、その人の好みやニーズによって異なります。 iPhoneは、高品質なデザイン、安定性、セキュリティ性に優れ、iTunesやiCloudといったAppleのエコシステムとの連携が非常にスムーズです。ま
個人的にTypeScriptプロジェクトで使って良かったと感じたライブラリやツール、役立ったノウハウ・情報源へのリンクをまとめていきます。随時更新します。 記事更新時に通知を受け取りたい方はこの投稿を「ストック」してください。 追加された内容は更新履歴をご覧ください。 書籍 『実践TypeScript ~BFFとNext.js&Nuxt.jsの型定義~』 - JavaScriptからTypeScriptに来た人が読むと、JSとTSの差分を学ぶことができる本。 『JavaScript Primer: ECMAScript 2019時代のJavaScript入門書』 - すでにプログラミング経験がある人が読むとJavaScriptの文法や機能を中心に学ぶことができる本。TypeScriptを書くにもJavaScriptの知識が必要不可欠なので、雰囲気でJSを書いてきた人やちゃんとおさらいしたい
[レポート] AWS Well-Architected best practices for DevOps on AWS #DOP207 #reinvent | DevelopersIO
[レポート] AWS Well-Architected best practices for DevOps on AWS #DOP207 #reinvent こんにちは、つくぼし(tsukuboshi0755)です! re:Invent2022のセッション AWS Well-Architected best practices for DevOps on AWS を視聴したので、レポートしたいと思います。 セッションの概要 In this session, learn about all of the components required to align your DevOps practices to the pillars of the AWS Well-Architected Framework. Review organization adoption, development
![[レポート] AWS Well-Architected best practices for DevOps on AWS #DOP207 #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/e4cafbaaf61ae0e896e83da659ab2ddaa2d28c88/height=288;version=1;width=512/https%3A%2F%2Fd1tlzifd8jdoy4.cloudfront.net%2Fwp-content%2Fuploads%2F2022%2F11%2Feyecatch_reinvent2022_session-report.png)
macOS 10.15 Catalinaでは強化されたセキュリティ機能によりユーザビリティが損なわれているだけでなく、ネットワーク状況によりアプリの起動が遅れシステムが数秒フリーズする。
先月末、Tumblrの共同創業者で現在はポッドキャスト・クライアントOvercastを開発するMarco Armentさんと、Ars TechnicaでOS X/macOSのレビューを15年にわたって担当したJohn SiracusaさんのポッドキャストATP(Accidental Tech Podcast)をきっかけに開発者の間でmacOS 10.15 Catalinaは非常に遅い(Lagが発生する)と話題になっています。 The macOS security team needs to ask themselves hard questions about their implementation choices when very smart people are disabling huge parts of their OS security layer just to get
【泣く子続出】 ラグビーW杯会場で食べ物が足りない!飲食物持ち込み禁止なのに食べ物在庫がなくあるのはビールばかり : 痛いニュース(ノ∀`)
【泣く子続出】 ラグビーW杯会場で食べ物が足りない!飲食物持ち込み禁止なのに食べ物在庫がなくあるのはビールばかり 1 名前:みつを ★:2019/09/22(日) 01:05:04.56 ID:PLnlo9Qa9 ツイッターでラグビーW杯の売店で働く人の壮絶な告発ツイートが話題になっている。 そのツイートによると、日産スタジアムのニュージーランド対南アフリカ戦で壮絶な食糧不足による騒動が起きたという。何万人もの観客が充分な食料を得られず、特に子どもはお腹が空いて泣きだす子が続出。また、売店の店員は英語が話せない人も多く、事情のわからない外国人の客が戸惑い怒り出す人も多かったという。 W杯の会場では、厳しい飲食物持ち込み禁止の制限があり、子どものおやつでさえ入り口で没収していたので、観客は売店の食料がなくなると食べ物を得る機会が全くなかった。 さらにその売り子の方によると、運営側はハイネケン
2020年8月くらいのAWS最新情報ブログとかをキャッチアップする – AWSトレンドチェック勉強会用資料 | DevelopersIO
こんにちは、臼田です。 みなさん、AWSの最新情報はキャッチアップできていますか?(挨拶 社内で行っているAWSトレンドチェック勉強会の資料をブログにしました。 AWSトレンドチェック勉強会とは、「日々たくさん出るAWSの最新情報とかをブログでキャッチアップして、みんなでトレンディになろう」をテーマに実施している社内勉強会です。 このブログサイトであるDevelopers.IOには日々ありとあらゆるブログが投稿されますが、その中でもAWSのアップデートを中心に私の独断と偏見で面白いと思ったもの(あと自分のブログの宣伝)をピックアップして、だいたい月1で簡単に紹介しています。 もともと社内用のものなので、ゆるゆると眺めてください。なおいっぱいあります。最近はAWSのアップデート以外もいっぱい拾っています。 ちなみにAWSの最新情報をキャッチアップするだけなら週間AWSがおすすめですが、Dev
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
新卒エンジニア研修 2019 Vol.1 - Pepabo Tech Portal
DevSecOpsとは何か — 導入する組織が増加している理由 | メルカリエンジニアリング
クラウドサービスセキュリティチェックDB | マネーフォワード Admina
ChatGPTを日本企業はどう使う?「禁止」ドコモ、「模索」楽天、「自社開発」LINE…14社調査
スタートアップがAeyeScanでセキュリティ診断を自動化した話
新規事業における逆説的な技術選定とモノづくり
AWSセキュリティ成熟度モデルによるセキュリティ現在地確認のススメ | DevelopersIO
Instagram Graph APIの基本的な使い方・Webサイトにインスタの写真を埋め込みする方法
自作Webサービス -SHAKYO- FWを使用せず素のPHPで制作しました - Qiita
Jeffrey Paul: Your Computer Isn't Yours (ja)
添付ファイルの暗号化はもはや必要ない 脱PPAPの真実と代替案
サイボウズ青野氏とさくら田中氏対談 禁断の「チェックシート問題」について
多要素認証(MFA)を回避するサイバー攻撃が流行、Microsoftが警告
【セキュリティ】DevSecOpsとは?プロダクト開発を行っていく上で欠かせない開発手法について解説します - ロカオプメディア
【独自】収容所にいた人物“新証言”広域強盗・自治体の情報悪用か『闇名簿』対策は?
10X セキュリティチームが立ち上がってから半年以上経過しました - 10X Product Blog
PCエンジンminiのファイルシステムとコピープロテクト - honeylab's blog
ダイキンから情報流出2万件超 再々委託先が私的にアクセス
ChatGPTに「iPhoneとAndroidどちらがオススメなのか」聞いてみた
厳選TypeScript 〜おすすめしたいライブラリ、ツール、ノウハウ、情報源のリンク集〜 - Qiita