セキュリティエンジニアとして就職してからそろそろ3年経ちます。独断と偏見に基づき、IT初心者・セキュリティ初心者・セキュリティエンジニアの3つの時期に分け、費用対効果の良い勉強法を紹介していきたいと思います。 セキュリティエンジニアとは 「セキュリティエンジニア」という言葉は範囲が広いですが、私が今回記載する内容は脆弱性診断やペネトレーションテストに寄った内容となっています。インシデント対応やアナリスト業務などは専門ではないので、あくまで診断系の人が書いているということをご認識おきください。 そもそもセキュリティエンジニアにどのような職種が含まれるかはラックさんが分かりやすい資料を出しているのでそちらをご覧ください(サイバーセキュリティ仕事ファイル 1、サイバーセキュリティ仕事ファイル 2)。 IT初心者時代 セキュリティを学ぶ以前に基礎となるITを学ぶ時代を考えます。 学校教育 学生の場
兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その1) - ろば電子が詰まつてゐる
(追記)これまでの活動を時系列にまとめたTwitterのモーメントを作りました。記事はこちらで追えますので、合わせてご覧ください。 Twitter Moment: 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました はじめに 先日、「forループでalertウィンドウを出すだけ」という、いわゆるジョークプログラムへのリンクを張った3人が、兵庫県警によって1名(未成年)が補導、2人が書類送検される予定という事案が発生しました。(for文無限ループURL投稿で補導された件についてまとめてみた) この事案について、兵庫県警に対し兵庫県情報公開条例に基づいて以下の情報公開請求を行いましたので記録します。 なお本記事については、以前に同様に神奈川県警に対して情報公開請求を行った 梅酒みりん 様へお願いし、文面について利用させて頂くことを快諾頂きました。この場を借りて感謝を申し上げます
こんにちは。技術部の吉川です。 最近ではMicroservicesという言葉もかなり浸透し、そのテクニックも体系化されつつあります。 一方でMicroservicesについての話は概論や抽象的な話が多く、具体像が見えないという方もいらっしゃるのではないでしょうか。 当ブログでは1年半ほど前にMicroservicesへのとりくみについてご紹介しました。 当時社内ライブラリだったGarageはその後オープンソースとして公開され、また社内のシステムも当時と比べ飛躍的な進化を遂げています。 そういったクックパッドにおける最近のMicroservices事例を先日Microservices Casual Talksで紹介しました。 Microservicesの抽象的な話は一切割愛し、具体的な事例に終始した内容となっています。 Microservicesの基本となる考え方はわかったものの、実践方法で
1: 以下、\(^o^)/でVIPがお送りします 2015/01/06(火) 14:21:28.60 ID:Imt5AazS0.net これで今日からパソコンの大先生 5: 以下、\(^o^)/でVIPがお送りします 2015/01/06(火) 14:26:32.19 ID:Imt5AazS0.net 株式会社LIG http://liginc.co.jp/ Web制作系のIT企業のブログ あの即戦力の男菊池が就職し会社 楽しみながらWeb技術を学べる 6: 以下、\(^o^)/でVIPがお送りします 2015/01/06(火) 14:29:06.31 ID:Imt5AazS0.net 面白法人カヤック http://www.kayac.com/ 最近上場した勢いのあるWeb制作に強いIT企業 一発ネタも多いけど何かしら面白いことをやろうとする会社 ただサイコロで報酬を決めるサイコロ給はど
今だから白状すると、昔、運営していたサービスの一般ユーザーのパスワードをハッシュ化(暗号化)せずに平文でDBに保存していたことがある。 言いわけは、幾つかある。 一つは、今では当たり前のようについているパスワードリマインダーの仕組みが当時は一般的ではなかったこと。 ユーザーがパスワードを忘れた、と問い合わせしてきた時に、最も自然な方法はまさに当人が設定した「パスワード」を一言一句違わず登録メールアドレスに送信することだった。あなたのパスワードは○○○です。ああそうそう、そうだったね。こういう感じだ。 当時のユーザーはそれを不審がらなかった。 またサポートコストの問題があった、パスワードの再発行を、そのためのトークンを含んだ長いURLを、大半のユーザーが嫌がっていた。 サポート部門はOutlookExpressに表示された長すぎるURLのリンクが途中で切れててクリックできない、という苦情にい
【Webエンジニアど素人から3年生ぐらいになるまでに読むと良い本】を段階的にまとめた - Qiita
これってなんなの? 【ど素人状態=社会人になって初めてプログラミングを勉強したぜ!(特に新卒)】〜【Webエンジニアの3年生ぐらい】になるまでに読むと良い本まとめです。「どんな目的で学ぶか?」*「いつぐらいまでに読むといいか?」を段階的にまとめました。「これだけ読めばいい!」と、そんな簡単な話ではありませんが、「今いるレベルより少し上の人がどんなジャンルのことを学んでんだろ?」という方の参考になれば嬉しいです。過去の自分に向けてでもあります、自戒。これからWebエンジニアになる人、なって間もない人の参考になれば幸いですm(__)m ※続編 【Webエンジニアど素人】が【3〜4年生】くらいになったら読むといい本を目的別にまとめた ”Webエンジニアど素人から3年生ぐらいになるまでに読むと良い本”の段階的まとめ(一部外部記事あり) ど素人の方々が手を動かしながら1〜6ヶ月以内に学ぼう! ◆どの
Webサイトのパスワード認証を狙った攻撃が大きな脅威になっています。 Tサイト(プレスリリース) goo(プレスリリース) フレッツ光メンバーズクラブ(プレスリリース) eBook Japan(プレスリリース) My JR-EAST(プレスリリース) これらの事例のうちいくつか(あるいは全て)は、別のサイトで漏洩したIDとパスワードの一覧表を用いた「パスワードリスト攻撃(後述)」であると考えられています。パスワードリスト攻撃を含めて、パスワードを狙った攻撃が成立してしまう原因は、利用者のパスワード管理に問題がある場合が多く、攻撃を受けたWebサイト側には、直接の責任はないケースが多いと考えられます。 しかしながら、 大半の利用者はパスワード管理に興味がない パスワード認証を採用している理由は、コスト上の理由、すなわちサイト側の経済的な事情 インターネットが「とても危険なもの」となるとネット
パスワードの定期変更という“不自然なルール”
しばしば「パスワードは○日ごとに変更しましょう」といわれるけれど、それで本当にクラックの危険性は減るの? ペネトレーションテストの現場から検証します(編集部) ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 今回は久しぶりに、ペネトレーションテストの現場の話から始めよう。 ペネトレーショ
2018年9月15日(土) 名古屋で開催したOWASP Day 758にて発表した「今夜わかるWebアプリケーション脆弱性診断」の資料です。 脆弱性診断士スキルマッププロジェクトの話やペネトレーションテスト(Penetration testing / Red Team)、SQLインジェクション、脆弱性診断の実施手順などを紹介しています。
ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習
ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習(1/6 ページ) ビル点検の作業員に変装して、もしくは偽の名刺や社員証を作り、従業員に変装してオフィスに侵入。「Raspberry Pi」を社内ネットワークに接続することでシステムに侵入し、感染を広げて従業員の端末を乗っ取る──これは、クラウドベースの名刺管理サービスなどを手掛けるSansanが実施したセキュリティ演習で、実際に試みられたサイバー攻撃だ。 名刺管理や請求書管理サービスを手掛け、顧客や“顧客の顧客”の情報まで扱うことになるSansanにとって、セキュリティは重要事項だ。セキュリティポリシーの制定に加え、「CSIRT」「SOC」といったセキュリティ組織の整備、従業員教育、技術面など多面的な対策を施している。その一環として、攻撃者の視点に立って、どんな経路で
(Last Updated On: 2019年2月18日)入力バリデーションはセキュリティ対策として最も重要なセキュリティ対策です。なぜセキュリティ対策であるのか?を理解していない方も見かけますが「ほぼ全てのインジェクション攻撃を無効化/防止する入力バリデーション」の効果と拡張方法を見れば解るのではないでしょうか? ソフトウェア開発者が知っておくべきセキュリティの定義/標準/ガイドで紹介しているセキュリティガイドラインでは入力バリデーションが最も重要なセキュリティ対策であるとしています。 厳格な入力バリデーションを行うと、開発者が意識しなくても、非常に多くの脆弱性を利用した攻撃を防止できます。今回は比較的緩い入力バリデーション関数でも、ほとんどのインジェクション攻撃を防止できることを紹介します。 重要:セキュア/防御的プログラミングでは入力と出力のセキュリティ対策は”独立”した対策です。ど
2021年4月20日、国内約200の組織をターゲットにしたサイバー攻撃が2016年に行われていたとして、攻撃に関連するサーバーの契約に係った男を警視庁公安部が書類送検したと報じられました。捜査は現在も行われており他関係者の情報も報じられています。ここでは関連する情報をまとめます。 攻撃発信元サーバーに係った男を書類送検 書類送検されたのは中国共産党員 中国籍の男で、既に中国へ帰国。中国の大手情報通信企業勤務で日本滞在中もシステムエンジニアの職に就いていた。*1 容疑は私電磁記録不正作出・同供用。2016年9月から17年4月、5回にわたり虚偽の氏名、住所を使い国内レンタルサーバー業者と契約。サーバー利用に必要なアカウント情報を取得した疑い。 男は中国国内から契約を行い、転売サイトでアカウントを販売。Tickと呼称されるグループがそのアカウントを入手し一連の攻撃に悪用されたとされる。 捜査にあ
知られざる「ダークウェブ」の世界 ネットの“裏”で何が起きている?:ロシア語圏を新たに調査(1/2 ページ) 仮想通貨取引所のコインチェックから仮想通貨「NEM」が流出し、「ダークウェブ」と呼ばれる匿名性の高いインターネット空間上のサイトで他の仮想通貨に交換されたのは記憶に新しい。より最近の話では、4月から地上波の深夜枠で放送しているアニメ「ルパン三世PART5」に、かつて存在したダークウェブ上の闇市場である「Silk Road」をなぞらえたであろう架空のマーケットサイト「マルコポーロ」が登場していることもあり、徐々にダークウェブの存在感が高まってきている。 ダークウェブは通常のChromeなどのブラウザではアクセスできず、専用の「Torブラウザ」でアクセスできるサイト群のことだ。アクセス方法が限られており、匿名性が高いことから「犯罪の温床」として語られることはあれど、実際にダークウェブで
サマリ ハッキングAPI―Web APIを攻撃から守るためのテスト技法(2023年3月27日発売)を読んだ。本書は、Web APIに対するセキュリティテストの全体像と具体的なテスト方法を記載している。ペンテスターは、APIの検出、APIエンドポイントの分析、攻撃(テスト)を行う必要があり、そのために必要な情報がすべて記載されている。また、実習のためのツールと「やられサイト」を複数紹介し、具体的なトレーニング方法を解説している。単にツールやサイトの使い方の説明にとどまらず、本格的なペネトレーションテストの考え方を説明している。 本書の想定読者はAPIのペネトレーションテストを実施するペンテスター及びペンテスターを目指す人であるが、API開発者やウェブアプリケーション脆弱性診断員にとっても有益な内容を多く含む。 重要事項説明 本書の監修者の一人(洲崎俊氏)と評者は知人関係にある 評者が読んだ書
年収1000万円を要求するインフラエンジニアが知っておくべき最低限のLinuxディストリビューション - Qiita
はじめに なんか某所に面接に来た年収1000万円以上希望のインフラエンジニア候補に、Linuxのどのディストロ使ってるか聞いたら「ディストロってなんですか?」と聞き返して来たという話をきいたのでオラびっくらこいてQiitaに記事書き始めちまったぞ。 使ったことはなくてもいいから名前と特徴くらいは知っていて欲しいディストリビューションを列挙する。ディストロの系列ごとに書いたので、列挙順は重要度順ではない。が、2019年現在絶対に知ってないとマズイalpineだけは先頭に置いた。 busybox系 Alpine Linux 公式: https://www.alpinelinux.org/ Wikipedia: https://ja.wikipedia.org/wiki/Alpine_Linux パッケージマネージャー: apk 最小構成だと約5.6MBという圧倒的小ささで、dockerコンテナ
Linuxは基本的に「ウィルス」いわゆる、「マルウェア」に感染しにくいという話はよく聞く。 しかし、実際には完全に安全なOSなどというものはありえない。Linuxを使っていても気をつけた方がいいに決まっている。 このページではLinuxのウィルス対策の初歩の初歩をお伝えする。 Linuxとウィルス Linuxは基本的に「ウィルス」に感染しにくいと言われているのは、次の2つの理由からだ。 クライアントでの利用の場合Windowsとくらべシェア率が圧倒的に低いため狙われにくい パーミッションという概念のもと一般ユーザはシステムに書き込みができない、権限が厳格に管理されている。 しかしリスクが全くないというわけではない。実際、数は少ないが主にトロイの木馬が存在する。これらは脆弱性を放置したり、ユーザが意図しないうちにうっかりインストールしてしまった場合が多いだろう。 特にクロスプラットホームなア
マクドナルド凋落の元凶がついにわかった
赤字の原因は「期限切れ鶏肉」だけではない 2015年2月に発表された日本マクドナルドホールディングスの14年12月期連結決算は、全店売上高が前年比12%減の4463億円、最終損益は218億円の赤字だった。同社の営業赤字は41年ぶりで、01年の上場以降では初となる。 同社では赤字転落の原因を「消費期限切れ鶏肉使用問題の影響」としているが、それだけが原因ではないことは明らかだ。 前13年12月期決算でも営業利益は前年比54%減の115億円、売上高は12%減の2604億円で、この時点ですでに2年連続の減収減益だった。3期連続減収減益、上場以来初の赤字転落という極度の不振に陥った根本の原因は、辞任した原田泳幸前社長(現ベネッセホールディングス会長兼社長)時代にある。 日本マクドナルドは1971年、米国マクドナルドよりフランチャイズ権を獲得した藤田田により設立された。以後、急成長を続け、82年には全
この記事は約10分で読めます。 日本でも大きく報道され、注目度の高い「タイ13名洞窟遭難事故」。 救助活動中に死亡事故も発生し、先行きが見えない状況が続いています。 タイ北部の洞窟に少年12人とサッカー監督が閉じ込められている事件で、救助隊に参加していた元タイ海軍のダイバーが死亡した。地元チェンライ県の副知事が6日、明らかにした。 BBCニュース 今回、多くのダイバーが救助活動に参加しており、また、今後の救助の選択肢としてもダイビングが注目されています。 そこで、医師にして、洞窟(ケーブ)を潜る経験豊富なケーブダイバーとしても知られる三保仁氏に、その救助の困難さと可能性をお聞きしました。 ※以下、三保仁氏による寄稿 ケーブダイバーとして思うこと 「潜水させる方法が最もリスクが高い」 皆さんがご存じのように、タイで13名(うち12名が少年)が洞窟内に閉じ込められて遭難している事件が起きていま
イギリスの政府当局が子持ちの親御さん向けに配布した「子どものPCに入っていたら注意すべきソフトウェアリスト」が、あまりにハイレベル過ぎるということでインターネット上で話題になっています。 話題になっているのはTwitterユーザーの@G_IWさんがツイートした以下の画像。 This utter crap is being distributed through schools from the 'local authority' so presume @WalsallCouncil today. The level of disinformation is staggering. I'd be proud to find my kids learning to use any of these. Except Discord but that's nothing to do with ha
mixiのサーバOS移行のお話 - 前回補足&インストール編 - mixi engineer blog
こんにちは。新しもの好きが集まる運用部アプリ運用グループの清水です。 前回の記事では、多くの反響をいただきました。ありがとうございます。 Twitterや、はてブのほとんどのコメントを読ませていただきました。 みなさんのOSの宗派が垣間見えた気がします。 さまざまなコメントをいただいていた中で、よくある代表的なコメントについて、改めてこの場を借りてお答えしたいと思います。 2012年12月28日追記: 以下のQAにつきまして、いわゆる"ネタ"として書きましたが、誤解を招き、不適切な表現で不快な思いをされた方々へ深くお詫び申し上げます。 また、QAの一部に関わるところですが、OS標準のパッケージを否定するつもりは全くございません。 Linuxを安心して使うことができるのは、Linuxディストリビューションに携わっているデベロッパーの方々の素晴らしい活動や成果によるもの、というのが揺るぎない事
今回はオープンソースの脆弱性スキャナである OpenVAS を使ってみることにする。 脆弱性スキャナというのは、ホストに既知の脆弱性が含まれないかどうかを自動でスキャンしてくれるツール。 注意: 脆弱性スキャンはポートスキャンやペネトレーションを含むため外部のサーバには実行しないこと 使った環境は次の通り。OS は Ubuntu 16.04 LTS にした。 $ lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 16.04.3 LTS Release: 16.04 Codename: xenial $ uname -r 4.4.0-89-generic セキュリティ用途だと Kali Linux を使うことも多いみたい。 インストール Ubuntu で OpenVA
大学在学中&休学中に複数のIT系スタートアップでのインターンやベンチャーキャピタルでのリサーチバイトを経験後、フリーランスとして独立。現在は「TechCrunch Japan」などでスタートアップ企業のプロダクトや資金調達を中心としたインタビュー・執筆活動を行っている。 From DIAMOND SIGNAL スタートアップやDX(デジタルトランスフォーメーション)を進める大企業など、テクノロジーを武器に新たな産業を生み出さんとする「挑戦者」。彼ら・彼女にフォーカスして情報を届ける媒体「DIAMOND SIGNAL」から、オススメの記事を転載します。※DIAMOND SIGNALは2024年1月をもって、ダイヤモンド・オンラインと統合いたしました。すべての記事は本連載からお読みいただけます。 バックナンバー一覧 財布、カギ、自動車、部屋の中にある電化製品、ひいては自分の身体情報まで。身の回
『週刊文春』の記事は悔し過ぎる!「行政の公正性」に特に注意を払ってきた者として | 8期目の永田町から 平成29年11月~ | コラム | 高市早苗(たかいちさなえ)
今日、明日には書店に並ぶ『週刊文春』の記事が永田町で出回っており、一読しましたが、怒り心頭です。 タイトルは、「NTT接待文書入手 総務大臣、副大臣もズブズブの宴」として、私や野田聖子元大臣の顔写真を掲載。 記事中には、「NTTの総務大臣、副大臣への接待」という表が出ていて、野田聖子大臣2回、高市早苗大臣2回、各大臣とともに働いて下さった副大臣2名が各1回の接待を受けたとされています。 私は、「接待」は受けていない旨、取材者に対して、明確に文書で回答しました。当方の支払の領収証や当該店舗の料理代金が分かる資料も添付して送付しました。 しかも、記事中に「(NTTグループの)通信事業の許認可に直接関わる総務大臣、副大臣、政務官の政務三役、およびその経験者をターゲットに接待を繰り返していたのです」とまで、書かれています。 大臣も副大臣も「通信事業の許認可に直接関わる」ことなど、ありません。そもそ
先日twitterを見ていたら、こんなつぶやきを拝見して、個人的に侵入テスト申請には色々思い入れのある身であるため、ビックリした「とある診断員」です。 あれ?AWSの侵入テスト申請いらなくなりました? pic.twitter.com/Z6ULU10SMy— 三ツ矢 ◎=3 (@328__) March 1, 2019 このブログでもとりあげましたが、今までAWSはペネトレーションテストや脆弱性診断などを実施する際に、AWS側への事前の申請が必要だったのですが、今回ポリシーの変更があったらしくどうやら不要になったようです。 ということで、私も自分で確認をしてみました。 Penetration Testing - Amazon Web Services (AWS) 現在日本語版サイトは、翻訳が間に合ってないようでまだ更新されてないようですが(2019/3/5確認)、英語版の方は記載内容がガラリ
GitHubのブログおよび国内の報道によると、GitHubに対して大規模な不正ログインが試みられたようです。 GitHubは米国時間の2013年11月19日、ブルートフォース攻撃を受けたことを明らかにした。攻撃の時期や被害を受けたアカウント数は公にしていないが、今回の攻撃を踏まえ、より強固なパスワードや二要素認証などを利用するようユーザーに呼び掛けている。 GitHubにブルートフォース攻撃、一部のパスワードが破られるより引用 私もGitHubアカウントがありますのでSecurity Historyページを確認したところ、不正ログインの試行が確認されました。IPアドレスは、ベネズエラ、タイ、ブラジルのものです。 GitHubアカウントをお持ちの方は、念のためSecurity Historyを確認することを推奨します。 今回の不正ログインの特徴は以下のようなものです。 少数の「弱いパスワード
国勢調査オンラインはトップページを http: で案内してるし、使っている証明書はOV SSL証明書だしちょっと問題あり - いろいろやってみるにっき
<20190814追記> EV SSL証明書についてはブラウザ側の扱いが変わりつつあり、当エントリは古い情報ということで下記エントリを参照頂きたい。 </追記終わり> 【追記 2015/09/15 10:50】書き方が悪かったようで、go.jpなんだからEV SSL証明書じゃなくていいだろというコメントが付く。意図を説明しておく。 EV SSL証明書を使うと、下記のようにブラウザのURL欄を見れば正規のサイトであることが一目瞭然。そのため毎回細かくURLを確認する必要が無い。幅広い利用者がいる今回の国勢調査オンラインの場合、利用者にリテラシを求めるより、見て分かるほうが一定のセキュリティを担保しやすい(フィッシングサイトに引っ掛からない)と考える。 スクリーンショットは【20140614加筆・訂正】三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意!」そっくりらしいのだが、なん
セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン・サービスのまとめ - FFRIエンジニアブログ
はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。先日は「セキュリティエンジニアを目指す人に知っておいてほしい組織」を公開しました。今回は、セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン、サービスについてまとめました。こちらも、セキュリティエンジニアとして働いていると日常的に会話に出てくるものばかりです。これからセキュリティを学ぼうという方の参考になれば幸いです。なお、記載した情報はすべて執筆時点 (2023 年 7 月) のものです。 はじめに 制度・ガイドライン セキュリティ設定共通化手順 (SCAP) 共通脆弱性識別子 (CVE) 共通脆弱性評価システム (CVSS) ISMS適合性評価制度 政府情報システムのためのセキュリティ評価制度 (ISMAP) CSIRT Services Framework PSIRT Services Framewo
2020年3月26日、TrustwaveはUSBデバイスを用いたサイバー攻撃の事例を解説する記事を公開しました。またFBIは郵送で届く不審なUSBデバイスについて注意喚起を行いました。ここでは関連する情報をまとめます。 届いたのはUSBメモリ? 今回の手口は米家電量販店(BestBuy)からの50ドルのギフトカードのプレゼントに見せかけた郵送物で確認された。 日頃の利用への感謝を記した手紙で、USBメモリ(に見えるデバイス)が同梱。ギフトカードが使用できる商品をメモリ中のリストから選ぶよう指示する内容。 ZDnetの記者によれば、米国内のホスピタリティ企業で確認されたもので受け取った側がこれに気付き結果的に攻撃は失敗したという。 届いた郵送物、2020年2月12日付(Trustwave記事より) 差し込むとマルウェア感染 TrustwaveがこのUSBデバイスを差し込んだ後に起こる事象につ
ピボットを経てグローバル戦略へ、そして1兆円企業に…Treasure Data CEO・太田一樹の「忘れられない30分間」
データの収集・分析・連携ができるCDP(カスタマーデータプラットフォーム)を手掛けるTreasure Dataは、グローバルでも急成長中の注目SaaS企業。2018年にはArm社へイグジットしましたが、その後、今年になって創業者たちが「出戻り」の形で経営陣につき、さらなる飛躍を目指すというニュースは、業界に驚きをもたらしました。 今でこそCDPとして名高いTreasure Dataも、実はARR 30億円の段階でピボットし、現在の姿へと変わった経緯がありました。その背景にあったストーリー、ピボット後にARR 100億円を突破するため必要だったこと、そしてカムバックの理由まで、共同創業者でCEOを務める太田一樹さんに伺います。 聞き手は、ALL STAR SAAS FUNDマネージング・パートナーの前田ヒロです。 3年でARR10億、しかしテックジャイアントの参戦で…──早速ですが、ARR3
OSCP: ペネトレーションテストの実践的な資格を取った話 - ommadawn46's blog
はじめに 本記事は Recruit Engineers Advent Calendar 2020 の6日目にあたる記事です。 先日、Offensive Security Certified Professional (OSCP) という倫理的ハッキング技術に関する資格を取得しました。最近、日本でもこの資格の人気が高まっているような印象を受けますが、OSCPに関する日本語の情報はまだまだ少ないようです。今後受ける人の参考になればと思い、本記事ではOSCPに関する以下の事項についてお話したいと思います。 PWKコースとOSCP試験がどういう内容で、どんな人におすすめか 受ける前にどんな準備をすれば良いか 実際にPWK / OSCPを進める際に役に立つ情報 筆者のOSCP受験記 この記事では、まず「OSCPとは何か」を知りたい人のために一般的な説明をしています。その後、「OSCPを受けようか悩ん
依頼主と共に綿密な計画を立て、実施を決定したレッドチームの物理侵入テスト。まさかテスト担当者が現行犯逮捕され、計10万ドル(約1,000万円)もの保釈金を支払うはめになるとは――。 2020年8月5日、6日にオンライン開催されたセキュリティカンファレンス「Black Hat USA 2020」の講演で、昨年9月に発生した“レッドチーム逮捕事件”の経緯と顛末について、当事者であるCoalfire(コールファイア)社のセキュリティ専門家2人が詳細に語った。 この事件は州政府/郡政府の独立性が高い米国固有の事情がからんだレアケースにも見えるが、セキュリティテストにおいて双方の見解や視点、感情の行き違いから大ごとに発展するケースは国や文化を問わないものだ。講演から事件を振り返り、今後同じ状況に陥らないためにも何ができるかを考えたい。 州政府から裁判所への物理侵入テストの依頼を受ける Coalfir
これってなんなの? 【ど素人状態=社会人になって初めてプログラミングを勉強したぜ!(特に新卒)】〜【Webエンジニアの3年生ぐらい】になるまでに読むと良い本まとめです。「どんな目的で学ぶか?」*「いつぐらいまでに読むといいか?」を段階的にまとめました。「これだけ読めばいい!」と、そんな簡単な話ではありませんが、「今いるレベルより少し上の人がどんなジャンルのことを学んでんだろ?」という方の参考になれば嬉しいです。過去の自分に向けてでもあります、自戒。これからWebエンジニアになる人、なって間もない人の参考になれば幸いですm(__)m ※続編 【Webエンジニアど素人】が【3〜4年生】くらいになったら読むといい本を目的別にまとめた ”Webエンジニアど素人から3年生ぐらいになるまでに読むと良い本”の段階的まとめ(一部外部記事あり) ど素人の方々が手を動かしながら1〜6ヶ月以内に学ぼう! ◆どの
ライブCDといってもオーディオCDのことではなく、CDからブートするLinuxのことです. この部屋では数多くあるライブCDの中からこれというものを紹介しています. さまざまな用途に特化したライブCDの世界をお楽しみください. なお、ここで紹介しているライブCDは、日本語が使えないものは日本語化しましたが、 完璧を期したものではなく、ものによっては甚だ不完全なものもあります. それも技術力のなさとものぐさからくることなのでご了承ください. なお、ここはリンクフリーです. ダウンロードの制限事項(重要) 1人当たり最大5接続とします. →詳しくはこちら... ニュース 2008.10.2 サーバーが復旧 ルーターを交換してサーバーが使用できるようになりしました. 長い間不便をおかけしました.m(__)m ニュース 2008.9.28 Eee PC用ディストリビュ
2023年の話題&ベストセラーをまとめて紹介! Udemyで今年最大級のセール開催、生成AIなど対象講座が1,200円より - はてなニュース
世界中を席巻した生成AIは、ブームに終わることなく着実に社会のさまざまな場面で利用が進んでいます。特にChatGPTを始めとするテキスト生成はビジネスシーンですぐに適用可能なケースも多く、使いこなす人とそうでない人には大きな差が生じつつあります。 使いこなすノウハウにも一定の知見が貯まっており、定番となるセオリーが整理されています。正しく学ぶことができれば一気にキャッチアップできるでしょう。Udemyの講座でも、ChatGPTを使いこなすプロンプトの作法や、アプリケーションにLLM(大規模言語モデル)を組み込むノウハウ、AIをより深く知る数学知識などに人気があります。 この記事では、2023年11月17日(金)に始まるブラックフライデーセール(24日まで)、そして26日(日)から2日間のサイバーセールの対象になる人気講座から、エンジニアリングやビジネスシーンにおいて読者の成長を助けてくれる
政府情報システムにおける 脆弱性診断導入ガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-221 〔キーワード〕 セキュリティ、脆弱性、脆弱性診断 〔概要〕 政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及 びガイダンスを提供する。 改定履歴 改定年月日 改定箇所 改定内容 2022年6月30日 - 初版決定 1 目次 1 はじめに ......................................................... 2 1.1 目的とスコープ .............................................. 2 1.2 適用対象 .................................................... 3 1.3 位置づけ ...
Googleフォームの設定ミスによる情報漏えいが多発~あなたのフォームは大丈夫? 原因となる設定について解説~ - ラック・セキュリティごった煮ブログ
デジタルペンテスト部の山崎です。 4月から「セキュリティ診断」の部署が「ペネトレーションテスト(ペンテスト)」の部署に吸収合併されまして、ペンテストのペの字も知らない私も晴れてペンテスターと名乗れる日がやってまいりました!(そんな日は来ていない😇) そんなわけで、新しい部署が開設しているブログのネタを探す日々を送っていたのですが、最近、Googleフォームの設定ミスによる情報漏えい事故が増えてきているようです。 どのような設定が問題となっているのでしょうか? 同じような事故を起こさないよう、設定項目について見ていきたいと思います。 情報漏えいの原因となりうるGoogleフォームの設定について Googleフォームから情報漏えいとなっている事例を見てみると、大きく分けて以下の2パターンのいずれかが原因となっているようです。 1.表示設定で「結果の概要を表示する」が有効に設定されている ある
タダです。 日常的に AWS サービスごとの情報を公式のドキュメントや Q&A を確認することが多いです。その他にも AWS を使うにあたって様々なサポートページが提供されているのですが、今回は目的別で AWS の様々なサポートページをまとめていきます。なお、随時アップデートがあれば記事自体を更新していければと考えています。 目的 サービス毎の概要を解説した資料を知りたい チュートリアルの情報が欲しい ハンズオンで AWS のことを学びたい サービス毎にナレッジを知りたい アーキテクチャのベストプラクティスやガイダンスを知りたい サービス毎のステータスを知りたい サーバーレスの構成例を知りたい プロジェクト責任者向けサーバーレスの効果について アーキテクト向けサーバーレス構成例 開発者向けサーバーレス開発のステップアップガイド AWS サポートを利用したい 負荷試験や侵入試験を行いたい 負
ネット広告に携わる人が知っておいた方がいいと思う用語251選。 | アドマン3.0=人事になりました。 ちょっとこういうのあったらいいな、と思ったので、思いつきで浮かんだ言葉を上げてみました。 これでMECEなわけではないと思いますが(というか、私の経験なり主観が大きく影響しています)、それぞれのコトバの定義なり自分の主張なりを、把握しておくのは意味があると思います。 できれば80%くらい? とはいえ「このコトバは入れないとまずいだろ?」と思うものがあれば、ご意見下さい。忘れているものが多々あるはずなので。 ============================================================ 1 : ROI 2 : Overture 3 : CTR 4 : エンゲージメント 5 : UU 6 : ランディングページ 7 : 物語マーケティング 8 : バ
(その4)兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その3) 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その2) 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その1) 目次 はじめに:前提知識 「無限アラート事件」という呼び名は正しいのか(集合論) 進捗報告 よくある質問 CoinHive事件は(控訴されたけど)無罪が出たから、少しは安心できる? 前回の記事で、都道府県警の上は警察庁って書いてたけど、運営上は各都道府県だよ? 警察庁の責任 検挙数とノルマ 警察庁通達 丁情対発第108号・丁情解発第27号 その他の通達 兵庫県警の責任について 私への連絡先 【PR】淡路島観光 はじめに:前提知識 CoinHive事件に皆さん夢中になっているので、誤解
高い壁を作るだけがセキュリティ対策ではない。攻撃者の心理を考え、彼らに選ばれないシステム作りも大きな効果が望めるのではないだろうか。本連載では視点を変え、攻撃者に選ばれないためにできる、ほんのちょっとした対策を取り上げる。(編集部) 対策をもう一歩進めるための新たな視点を持とう システムは動くだけではなく、セキュリティ対策がなされていなければいけないといわれ始めて久しい。セキュリティという言葉を聞くと、物理的なものだけではなく、ネットワークセキュリティを連想するほどの認知度も得ているのではないだろうか。 個人宅のネットワーク環境にもファイアウォール機能を搭載したルータがあり、PC1台1台にアンチウイルスソフトがインストールされている。いまとなっては珍しくなく、むしろ当たり前とも思えるようになった。 一方、ネットワークに存在する脅威というと、ウイルス、ワーム、ボット、サイトの改ざん、個人情報
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティエンジニアを3年続けて分かったおすすめ勉強法
クックパッドにおける最近のMicroservices事例 - クックパッド開発者ブログ
パソコンの大先生に役立つ便利なWebサイト紹介する : IT速報
パラノイアのプログラマと第6感 - megamouthの葬列
パスワード攻撃に対抗するWebサイト側セキュリティ強化策
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
ほぼ全てのインジェクション攻撃を無効化/防止する入力バリデーション 〜 ただし出力対策も必須です 〜
国内約200組織へ行われたサイバー攻撃と関係者の書類送検についてまとめてみた - piyolog
知られざる「ダークウェブ」の世界 ネットの“裏”で何が起きている?
[書評] ハッキングAPI ―Web APIを攻撃から守るためのテスト技法
【初心者向け基本解説】Linuxのウィルスとその対策方法
タイ洞窟遭難事故についてケーブダイバーとして思うこと ~ダイビングによる救助の困難さと可能性~
政府当局が配布した「子どものPCに入っていたら注意すべきソフトウェアリスト」がハイレベル過ぎると話題に
オープンソースの脆弱性スキャナ OpenVAS を使ってみる - CUBE SUGAR CONTAINER
「全ての開発者にセキュリティ知識を」演習まで完全オンラインの学習サービス公開
AWS、侵入テスト申請やめるってよ - とある診断員の備忘録
GitHubに大規模な不正ログイン試行 | 徳丸浩の日記
差し込むとマルウェア感染するUSBデバイスが届いた事例についてまとめてみた - piyolog
依頼を受けた侵入テストで逮捕、起訴? ハッカーが語る体験談 (1/2)
【Webエンジニアど素人から3年生ぐらいになるまでに読むと良い本】を段階的にまとめた - Qiita
ライブCDの部屋
政府情報システムにおける 脆弱性診断導入ガイドライン
AWS 利用を促進する各種サポートページの紹介 - 継続は力なり
『ネット広告に携わる人が知っておいた方がいいと思う用語251選。』
(その5)兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました - ろば電子が詰まつてゐる
たった2行でできるWebサーバ防御の「心理戦」 − @IT