三井物産デジタル・アセットマネジメントで、ガバナンス・コンプラエンジニアリングをしている 鈴木 (@ken5scal )です。 いきなりですが、ログ管理はどの職種どの場面でも重要です。セキュリティにおいても、古生代よりサーバー、ネットワーク機器、アプリケーションなどから出力されるログを一元的に収集し、監視や分析を行うことで、セキュリティインシデントの早期発見や対応、コンプライアンス要件の達成が可能になります。 このようなログ一元管理を実現する代表的なソリューションは、そう、皆様よくご存知のSIEM。我らが「Security Information and Event Management」であります。 私はSIEMを、新卒で入社した大手企業でSOC(Security Operation Center)として触れ、その後ユーザー企業でもOSSやAWS GuardDuty(?)などの形で利用す
こんにちは、ritou です。 最近のあれこれでIDaaSと呼ばれる機能に注目が集まっているような気がしますが、どうしてもフロントエンドでの導入部分が目に付きます。 「新規サービスで使っていこう」ならまだしも「既存のを何とかしたい」みたいな場合にフロントエンドまでごっそり変えるのなんて腰が重くなって仕方ない感じでしょう。 そこで今回は、REST APIを用いた新規導入、移行というアプローチもあるのかなという話を書いておきます。 SPAとなると当然フロントエンドの振る舞いに注目されるけど、Deviseからの...を考える人たちはこの辺りから攻めるのもアリかと思う。ちゃんと整理して考えよう。https://t.co/fwhoA6wtjx— 👹秋田の猫🐱 (@ritou) 2020年8月19日 IDaaS の REST API この辺りをみてみてはどうでしょう。 Firebase Authe
はじめにこんにちは、Finatextでエンジニアをしている @s_tajima です。 先日、 リーグオブ情シス 第一回 スーパーリーグ #LoI というオンラインイベントが実施されていました。 詳細はconnpassのページをみていただけるとよいかなと思うのですが、簡単にいうと「僕がかんがえたさいつよの情報システム」をプレゼンテーションし合うイベントです。 そこで発表されていた、さいつよの情報システムのうち、視聴者投票で1位だった吉田さんの提案した構成が、弊社で実際に稼働させているものにすごく近しいものでした。せっかくなのでどんな点が共通していたか、どんな点が異なっていたかというのを紹介してみようかなと思います! 前提条件LoIで提示されていた前提条件は 企業規模: 100~200名業種: インターネットサービス企業 (SaaS型MAツール)一人あたり月額予算: 10,000円情シス人数
2023年は「Cloud Run を触って覚える」をテーマとした ひとりアドベントカレンダー を開催しており、Cloud Run のさまざまな機能や Cloud Run でよく使う構成などをご紹介しています。 最終日、25日目は Cloud Run を中心としたサーバーレス アーキテクチャをいくつか紹介します。2023年にちなんで23個のアーキテクチャを用意しました。 Cloud Run の概要は「gihyo.jp」で解説していますので、こちらもぜひご覧ください。 Web アプリケーション + API の 3-Tier 構成 (SPA) Web アプリケーション + API の 3-Tier 構成 (SPA) SPA (Single Page Application) がフロントになり、バックエンドの API サーバーとして Cloud Run を使用するアーキテクチャです。SPA は N
日本マイクロソフト株式会社 セキュリティ技術本部 クラウドソリューションアーキテクト 村田 裕昭 ADFS と Azure AD の両方を利用されているお客様の多くは、認証基盤の統合を計画されているのではないでしょうか。単純な機能比較や既存のセキュリティポリシーの考え方から、既存の運用環境に対する最適解を導き出すことが難しい場面があると聞いています。自信をもって Azure AD を選択していただくために、ADFS から移行した後の認証基盤のあるべき姿を、代表的な活用シナリオと合わせてお伝えします。ADFS から脱却する必要性は理解しているものの、既存のアプリケーションを考慮しながらどのように IDaaS を構築すればよいか迷っている方へ最適なセッションです。 【Microsoft Japan Digital Daysについて】 Microsoft Japan Digital Days は
![[AWSマイスターシリーズ]Amazon SNSモバイルプッシュ通知](https://cdn-ak-scissors.b.st-hatena.com/image/square/84dd5d00f2f059d86367d354527afbf327c230a8/height=288;version=1;width=512/https%3A%2F%2Fcdn.slidesharecdn.com%2Fss_thumbnails%2F20130917aws-meister-regenerate-extra-snsmobilepushpublic-130917233947-phpapp02-thumbnail.jpg%3Fwidth%3D640%26height%3D640%26fit%3Dbounds)
ごあいさつ はじめましての人ははじめまして、こんにちは!BASE BANK Divisionのフロントエンドエンジニアのがっちゃん( @gatchan0807 )です。 今回は、ここ数ヶ月の間にOIDC(OpenID Connect)という技術を使った開発を複数行い、この技術の概観を理解することができたので、OIDCの技術概要に触れつつBASE BANKの中でどのように使ったのかをご紹介しようと思います。 OIDCとは何なのか このパートでは、まずOIDCという技術について概要を紹介します。いくつかのWebページに記載されていた内容を参考にしてまとめさせて頂いているので、記事の最後に参照元のリンクを記載しておきます。 また、OIDCをはじめとした認証・認可の仕組みには様々な用語があり、自分自身も「調べれば調べるほど知らない用語が増えて、どんどんわからなくなってきた…」という経験をしたので、
Cloudflare Workers を活かしきるスタックを考えた(remix+d1 on pages-functions) + 残タスク
Cloudflare Workers を活かしきるスタックを考えた(remix+d1 on pages-functions) + 残タスク このスクラップ で試行錯誤していたまとめ。 最終形はここにアップロードした。 docs の下に、このリポジトリを生成した手順、セットアップ方法、リリース方法を書いてある。 (remix-validated-form や vitest のテストの追加でもうちょっといじるとは思う) なぜ cloudflare-workers + d1 のポテンシャルは最強で、近い未来、開発者|個人開発者の銀の弾丸になると思っているのだが、それを活かす開発スタックが知られていない(要出典)。この記事では GW の間に自分で周辺ライブラリを使い倒しながら選定していった。 2021年 は Fullstack Next.js 元年なので、有望な Next.js 系フレームワークを
ID管理ベンダーのOktaは11月9日から3日間、米国サンフランシスコで年次カンファレンス「Oktane 22」を開催。現地時間10日の基調講演で共同創業者兼CEO(最高経営責任者)のTodd McKinnon氏が登場し、従業員向けの「Okta Workforce Identity Cloud」と、2021年に買収したAuth0のテクノロジーをベースとする「Okta Customer Identity Cloud」の2つのソリューション体系を発表。今後の方向性を示した。 ID管理はセキュリティ、クラウド、DXを促進 Oktaneは3年ぶり10回目の開催になる。2009年にOktaを共同創業した(当時の社名はSaasure)McKinnon氏は、現地会場に参加した6000人とオンラインの視聴者を前に、10年間の成長を振り返った。 2013年時点の顧客数は500社、従業員数は200人だったのが
2017/06/28にドコモベンチャーズがAuth0に出資をしたというニュースが流れましたが、Auth0とはどんな会社で、どんなサービスを提供していのでしょうか? Auth0とは Auth0 Inc.は2013年に米国Microsoftに在籍していたメンバーを中心に創業した会社で、Washington州Bellevueに本社があります。創業メンバーはEugenio Pace(CEO), Matias Woloski(CTO) などMicrosoftに在籍していたメンバーのほか、Node.jsの認証フレームワークである"Passport"の開発者であった Jered Hanson, AT&T, Amazon.com, 国防総省での勤務経験のある Eugen Koganも創業メンバーです。 Auth0 統合認証プラットフォーム Auth0はWebアプリやモバイル、APIなどに対して認証・認可の
https://twitter.com/kuwahara_jsri のやってる朝活Twitterスペースで以下の記事を知りました。 もちろんこういったリスクを列挙、検討するのは重要なことなのですが、 Firebase Authentication関係ない話では あれ、仕様に関して勘違いしてる? というのがいくつかあったので、再整理していきます。リスクは列挙することには業務上あまり意味はなく、評価され、リスクを受け入れるか外すかを判断するところが重要なので。 IDaaSは脆弱性を生み出すか IDaaS を導入することにより、逆に脆弱性が生まれることもあります。(中略) Firebase Authentication は他の IDaaS と比べて設定項目が少ないという特徴があります。 もちろんここに書かれてることは間違いではありません。ただ、少し実装にフォーカスが寄りすぎていると思っています。
Next.jsとAuth0で本管理サイトを作ってみた
Next.jsとAuth0を使って読んだ本を管理するサイトを作ったので使った技術等を紹介します。 github どんなサイトか? まずは、どんなサイトを作ったのかを紹介します。読んだ本の管理を行うサービスで、主な機能は3つです。 Google Book APIに登録されている本を検索して本棚に保存できる 登録されていないなくてもアプリ内で新しく登録できる。 今まで本棚に登録した本の合計ページ数・本の高さ・本の重さを表示。1ページ当たり0.5g、0.15mmで計算します。 画面遷移 1.トップ画面 アプリのトップ画面。「アカウント作成・ログイン」ボタンを押すことでログイン画面に遷移します。 2.ログイン画面 Auth0を使ったログイン画面。認証方法は2種類あります。 Googleアカウントを使ったログイン メールを使ったログイン 3.ホーム画面 今まで読んだ本を管理する画面。最近読んだ本の表
技術選定と、組織のかたちと、セキュリティ
技術選定について最近の私生活や労働を通して考えたことを、つらつらと書き下した文章(ポエム)です。 他者に伝えることではなく、頭の中におぼろげに存在する考えを言語化して客観視することを目的に書いた雑記なので、 誰かにとっては当たり前なことも、誰にも当てはまらないことも書いてあるかと思います。 またここで述べることは、こうやって書き下した時点での僕の考えに過ぎないので、明日僕は全く別の考えを持って行動しているかもしれません。 いわばこれは僕の思考のスナップショットです。 諸々、ご容赦ください。 技術選定そのもの ソフトウェアの開発においては、どこからが開発者の作るものの責務であり、どこからがその下のレイヤの責務であるかを(あるときには能動的な思考より、またあるときには受動的な思考により)明確にする、という知的活動を繰り返していくことになります。 この営みは、開発するソフトウェアに関する前提を定
シンジです。情報セキュリティの方針として参考にされることの多い「情報セキュリティ10大脅威2021」がIPAから発表されました。情報セキュリティの脅威や被害は時代背景をうつしたものが多く、パンデミックによる影響も見て取れます。そんな時代に最適解のゼロトラストアーキテクチャで、ランキングの大半がゼロトラストによってカバーできることを具体的に説明します。 ざっくり書くと、こうです。 その前にゼロトラストアーキテクチャを理解しよう シンジ自体はパンデミックよりも前から会社まで作ってこのアーキテクチャを実践してきたので、最近では数少ないゼロトラスト警察のひとりとして、ネットニュースや各所のWebサイト、オンラインイベントで「ゼロトラスト」の単語が出るもののほぼ全てを確認してきましたが、基本的に「わかってない」ので、改めておさらいしておきましょう。 情報セキュリティを実践する=IT環境をシンプルにす
AWS環境をセキュアにセットアップする方法と、その運用方法を詳細に紹介します。秘伝のタレである具体的な設定も書いてます。みんな真似していいよ! こんにちは、臼田です。 みなさん、安全にAWS使えていますか?(挨拶 今日は全てのAWSユーザーが安全にAWSを活用し、セキュアに運用できるようにナレッジを大量にダンプしたいと思います。 弊社サービスに関連させて書く部分もありますが、基本的にどのようなAWS環境でも適用できると思います。 ちょっと長い背景 クラスメソッドでは長いこと様々なAWSを利用するお客様を支援しています。私は特にセキュリティ周りについて支援させていただくことが多く、最近はAWSのセキュリティサービスが充実していることから、これらの初期導入や運用設計、あるいはインシデント対応やその後の組織としてのセキュリティ体制づくりなどいろんな関わり方をしてきました。 どのようにセキュリティ
![[安全なAWSセキュリティ運用ナレッジ2022]セキュアアカウントの使い方 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/75550513d830c21b153b85859fb4fdabd295d23d/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Fsecurity-identity_Compliance.png)
この1年くらいでgolangとGCPを使ったWebアプリケーションをフルスクラッチで開発したので、その際の技術選定の理由だったりを言語化して残しておきたいと思い、HHKBを手に取りました。 少し長くなってしまいましたが、どなたかの参考になればと思います。 どんな人が書いてるの? 立ち上げ期のスタートアップCTOをしています。雑に言うとフルスタックエンジニアです。 開発歴はざっくり、Androidアプリの開発歴が一番長くて3年、バックエンド開発(Elixir × GCP)に転身して1年ほど担当、その後、これから言語化するプロジェクトを1年くらいかけてgolangで構築したところです。 今回の範囲からは外れますが、並行してNuxt.js×TypeScriptで書かれたフロントエンド開発も行っていたので、今はその辺りも一通り習得しています。 1. 方針 表題にもある通り、少人数での爆速開発を目指
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの山川です。 多くのWebサービスにおいて、ブログ記事やドキュメントの公開・下書き共有のためにURLを発行する機能が存在していると思います。このようなURLに関して、第三者に知られたくない場合「推測不可能なURL」を発行するといったセキュリティ観点は広く知られているかと思いますが、それ以外にはどのような観点が存在しているでしょうか。 本稿では、Webサービス上で発行されるURLに関して「どういったセキュリティの観点があるか」や「脆弱性・リスクに対する対策」についていくつかのパターンを前提に解説します。 はじめに 前提 機能一覧 セキュリティ観点 パターン1: URLが推測可能かつアクセス制御に不備がある場合 連番になっている 日付が入っている 単純な値を用いて変換されたハッシュ値 パターン2: URLが推測不可
[Auth0] IPAの「クラウドサービス安全利用の手引き」で参考になりそうなAuth0の参考情報をまとめてみた | DevelopersIO
Auth0を始めとした様々な便利なSaaSがありますが、いざ業務で使おうとすると、社内・組織の承認が必要なるでしょう。 そんなときに便利なのが、IPAが公開しているクラウドサービス安全利用の手引きです。 中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構 付録6: クラウドサービス安全利用の手引き 本記事では、上記のクラウドサービス安全利用の手引きを参考にして、Auth0の関連リンクを紹介していきます。 まずは下記でAuth0の構成を見てから、Auth0の各ドキュメントを読むと用語が分かりやすいと思います。 おすすめの方 Auth0を使うにあたって、社内承認に必要な参考情報を知りたい方 はじめに 本記事の内容を参考にすれば、100%OKというわけではありません あくまでも参考情報であり、会社や組織などで最終判断をしてください Auth0の利用に関する文章を読
![[Auth0] IPAの「クラウドサービス安全利用の手引き」で参考になりそうなAuth0の参考情報をまとめてみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/247159e9ae832fc63863b32c15dc936cd0630df3/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F03%2Fauth0-eyecatch.001.png)
Mac OS XでAndroidをセットアップする方法 - builder by ZDNet Japan
クラウド活用 虎の巻 多くの構築・運用の実体験からの知見 知っておきたいAWS活用のポイント 企業のリスクマネージメント対策に M365のコンプライアンスソリューションで 内部不正のリスクに備えよう コスト・運用の壁を崩す! DX時代のゼロトラストセキュリティ戦略へ 中堅・中小企業に向けた手が届くEDR 性能の大幅向上を実現! 最新AMDプロセッサを採用した最先端H/W ユーザーの求める幅広いラインナップを実現 デジタルを当たり前と言えるか? 現状を非効率を変える機会と捉え行動する これが今、成長できる企業の共通項 いまあるデータで身近な業務をDX 小さくはじめて大きく育てる デザインシンキングからはじめるアプローチ 部分最適だけではダメ DX実現のための最初の一歩 業務プロセスのデジタル化をサポート 未来のセキュリティイノベーターへ 初のオンライン開催となったSecHack365 20年
IDaaSベンダのOkta、月間1万5000アクティブユーザーまで無償の「Okta Starter Developer Edition」提供開始。多要素認証にも対応、開発者向け施策を拡大
IDaaSベンダのOkta、月間1万5000アクティブユーザーまで無償の「Okta Starter Developer Edition」提供開始。多要素認証にも対応、開発者向け施策を拡大 代表的なIDaaSベンダの1つであるOktaは、開発者向け施策拡大の一環として無償利用の範囲を拡大した「Okta Starter Developer Edition」の提供開始を発表しました。 Today at #Oktane21, we announced our new reimagined developer experience. Developers need tools that put security at the forefront while seamlessly integrating with any hybrid, cloud, or multi-cloud environmen
データプラットフォーム統合プロジェクトの紹介 - KADOKAWA Connected Engineering Blog
KADOKAWA Connected / ドワンゴの @saka1 です。 少し前までは株式会社ドワンゴのWebバックエンドエンジニア的な仕事をしていたのですが、最近は出向1してKADOKAWAグループのDXを推進する戦略子会社である株式会社KADOKAWA Connected(以下KDX)でデータ分析周りのお仕事をしています。この世界はジョブチェンジが激しいですね。 しばらく開発に関与していたドワンゴ・KADOKAWA向け新データプラットフォームの初期リリースに成功したので、この記事ではその話を書きます。KDXのデータエンジニアリングに関する取り組みのほんの一端ではあるのですが、なんとなく雰囲気が伝わればいいなと思っています。 この記事は全体概要編のようなものです。 移行プロジェクトとしての事例紹介を中心にして書きました。プロジェクトの置かれたコンテキストや、出てくる課題にどう判断をつけ
DDDにおける認証の実装場所
こんにちは。株式会社プラハCEOの松原です。 DDDに基づいて開発しているアプリケーションの「認証」ってどこで実装するのが良いのだろう? 対象読者 何となくDDDに関する本を読んで理解した気がする 試しにDDDに基づいてアプリケーションを実装し始めた 認証の実装をどこに書くべきかわからず詰まった 結論(オニオンアーキテクチャの場合) 実装はUI層かInfrastructure層 自分ならInfrastructure層 認証後のインターフェースはアプリケーション層 コンテキストは1つにまとめている前提(認証コンテキストを作らない場合の置き場所) UI層って何やねん DDDとの相性の良さからよく併用されるオニオンアーキテクチャの図を見ると、以下3つの層が一番外側に位置しています: UI(User Interface) Infrastructure Tests (図はこちらから引用) UIと言え
「上司から『認証は簡単な仕組みだから自社開発できるでしょ?』『SaaSを使う必要あるの?』と問われ、Auth0(オースゼロ)の導入に苦戦しました」――。NTTドコモの兼岡弘幸氏(サービスデザイン部 クラウドアプリ開発担当 主査)は、Auth0日本法人がこのほど開いたイベント「Auth0 Day 2019」でこう語った。 ドコモは現在、3月にリリースしたドローン管理プラットフォーム「docomo sky」の会員ログイン基盤に「Auth0」を活用している。Auth0は、ログインに必要な認証機能や、二段階認証、不正アクセス検知などのセキュリティ機能を、ベンダーの米Auth0がクラウド経由で提供するサービス。SaaSの一種で、いわゆる「IDaaS」(Identity as a Service)にも該当する。 IDaaSを活用すると、開発の高速化、ID管理の効率化、セキュリティ強化などが見込まれるた
「二段階認証…?」と言わないためのMFA入門 --- あるいはIDシステム地獄への案内 - ブログなんだよもん
はじめに さて、7 Payの社長が2段階認証知らなかった問題が良い感じに炎上していますね。 個人的には常に知っておく必要が絶対あるかというと専門分野の問題があるから議論の余地あるとして、セキュリティの問題で会見するなら部下にちゃんとレクさせろよ、とは思う。 7 PayとMFAの話は下記の動画でも話したんですが、7 Pay云々は忘れて「そもそもMFAってなに?」ってところをもう少し整理してまとめていきたいと思います。 www.youtube.com 認証と認可 まずはおきまりの「認証(Authentication)」と「認可(Authorization)」の違いです。 日本語で書いても英語で書いてもややこしいのですが、「認証」とは「Identify」すなわち誰であるかの確認です。対して「認可」は「Access Control」すなわち誰に何をさせる事を許可するか、という事です。 基本的にはM
Leaner Technologies でエンジニアをしている @corocn です。 社内では IDaaS 利用していきたいねという機運が高まっているのですが、toB で SAML 対応の IDaaS について比較検討してみて難しいな〜と思ったところをまとめてみました。 前提 BtoB SaaS では、初期のプロダクトの領域を起点に事業領域を隣接する領域に広げていくことが多いですよね。バックオフィス向けの SaaS を開発しているメガベンチャーを見ているとそう感じます。 新しく立ち上げたプロダクトを既存のユーザーさんにも提供したい。そうなると、必然的に複数のプロダクトに対して共通で ID 基盤を持ちたくなるはず。認証ドメインを分離しようとすると、自前で作るか、KeyCloack などの OSS をベースに運用するか、IDaaS の利用を検討することになるでしょう。 最初は認証基盤も含めて
技術書典8で頒布予定でした。 ## 概要 ユーザーのIDを管理するのはWebサービスを展開する上で必要になりますが、独自で実装するにはハードルが高いです。外部のサービスを利用することでユーザーのサインアップとサインインを比較的簡単に実現できます。この本ではCognito User Pools、Auth0、Firebase Authenticationを中心にサービスの紹介と比較をします。 ## 本書の目的 「認証サービスCognito Auth0 Firebaseを比べる」を手にとっていただき、ありがとうございます。筆者はこれまで、CognitoUserPoolsを利用してオンプレミスで実装されていた認証システムの移行や、Keycloakを利用したシステムの構築を担当してきました。そのなかで、認証の機能を提供するサービスは数多くあるにもかかわらず、サービスを比較するような情報があまりないと
最新Web技術による「デジタルツイン」構築プラットフォーム『Re:Earth』をオープンソースソフトウェアとして開発 - 東京大学大学院 情報学環・学際情報学府
国立大学法人東京大学(総長:藤井輝夫)大学院情報学環渡邉英徳研究室(以下、東京大学渡邉英徳研究室)は、株式会社ユーカリヤ(代表取締役:田村賢哉)と共同で汎用的WebGISプラットフォーム『Re:Earth(リアース)』を開発し、オープンソース・ソフトウェアとして公開しました。 『Re:Earth』 公式サイト:https://community.reearth.io Githubリポジトリ:https://github.com/reearth/reearth ライセンス:Apache License 2.0 Code of Conducts(行動規範):https://github.com/reearth/reearth/blob/main/CODE_OF_CONDUCT.md 【成果報告イベント】 <オンライン開催> 最新Web技術による拡張可能なWebGIS「Re:Earth」OSS化
この記事は、6月から始まっている #LXベッテク月間 38日目の記事です。 前日の記事は@akino_1027さんの「複数プロダクトに散らばったデータ統合に苦労した話」でした。 tech.layerx.co.jp Oui。CTO室およびFintech事業部で色々やってる @ken5scal です。本記事はSlackの障害中に書いています。 突然ですが、皆さんは当社のイネーブル担当として入社した名村さん(執行役員)がスピーカーとして登場したエピソードを聞いていただけましたでしょうか Podcastエピソード -> LayerX NOW!:Apple Podcast内の#51 Suguruさんを迎えて、LayerXが目指す「縦で突き抜けて横でイネーブルメントしていく組織」【メンバー:suguru×mosa×y_matsuwitter】 入社ブログはこちら -> 名村卓がLayerXへ「自分の
シンジです。そんなこと言ったらなんにも使えないじゃ無いか!というのはその通りなのですが、cloudpack - CTO鈴木は「自社のADからSSO(シングルサインオン)できないサービスは原則採用しないもん!」というポリシーを持っています。これって実際のところどうでしょうか?今回はcloudpackがどうやってSaaSを採用するかという内部資料の一部を特別に公開して、SaaSの選び方について考えてみます。 cloudpackは原則、AWSなどへのログインにパスワードを使いませんこちらは、「最強のセキュリティでAWSマネジメントコンソールにアクセスする方法」でご紹介した通りなので詳細は割愛しますが、社内ではパスワードを使うシチュエーションは、「パソコン/Macにログインするときと、SSOするときのみ」です。どちらにしてもADのユーザーIDとパスワードしか使いません。まさしくSSOです。SAML
TL;DR はじめに BeyondCorp << ゼロトラスト ゼロトラストセキュリティ リモート接続のセキュリティ3要素 Authentication/認証 Device Trust/機器認証 Encryption/暗号化 VPNの問題点 キャパシティ/パフォーマンス 適切な制御の難しさ 一貫したセキュリティポリシーの適用が困難 ゼロトラストによるセキュアな通信 ゼロトラストの企業ネットワーク コンテキスト認識アクセスコントロール ゼロトラストによるVPNの問題点の解決 ゼロトラストの課題と展望 まとめ 参考 TL;DR BeyondCorpはゼロトラストの実装の一つ。ゼロトラストは超乱暴に言えばポストVPN 社内も信用出来ないとして社外と同じ方式でNWを組む HTTPSによる暗号化と次世代認証基盤を使ったCAACによるアクセスコントロール FWによる境界からIDによる境界へのパラダイム
Auth0をシングルページアプリケーションに組み込む方法がより簡単になりました! #Auth0JP | DevelopersIO
Auth0のシングルページアプリケーション組み込み用モジュール「auth0-spa-js」がリリースされました。非常に簡単にAuth0を組み込むことができるようになりました。 auth0-spa-js が正式リリース! 認証基盤サービス(IDaaS)であるAuth0。最近は国内でもかなり認知度が上がってきたように思います。 Auth0をシングルページアプリケーションに組み込む方法は、今まで auth0.js を使う方法が一般的でしたが、つい先日シングルページアプリケーションでの利用に特化したモジュール auth0-spa-js が正式リリースされました。 auth0/auth0-spa-js: Auth0 authentication for Single Page Applications (SPA) with PKCE どこが簡単になったの? Auth0のReactサンプルアプリケーシ
SAML認証はどのように機能するのか - Qiita
クラウドベースのSaaSアプリケーションなどにシングルサインオンをしたいという場合、SAML (Security Assertion Markup Languag)認証を用いることが一般的です。SAML認証はどのように機能するのかを、クラウド認証プラットフォーム Auth0を利用してSAML認証を簡単に実装するかをチュートリアルを使用して解説します。 Auth0 統合認証プラットフォーム Auth0はWebアプリやモバイル、APIなどに対して認証・認可のサービスをクラウドで提供している、いわゆるIDaaS (Identity as a Service)ベンダーです。企業がもつWebアプリケーションやAPI, Native Mobile Appなどでユーザー認証や認可、セキュリティを組み込みたいけれでも実装が難しい・・・という方にオススメのソリューションを提供しています。 SAML認証チュー
AWSを活用する複数社が集まり、事例を共有する祭典「AWSマルチアカウント事例祭り」。第2回の今回は、ニフティ株式会社の石川氏が自社へのAWS導入と管理方法について話しました。 ニフティがAWSをどう管理しているか 石川貴之氏(以下、石川):「AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと」という題でお話しします。まずは自己紹介です。 ニフティ株式会社の基幹システムグループにいる石川貴之です。担当業務はAWS/GCPの管理、Atlassian製品の管理、Webサービスのバックエンドを担当しています。 少しだけ会社紹介もしたいと思います。ニフティ株式会社は@nifty光を始めとする、ネットワークサービス事業と、@niftyニュースのようなWebサービス事業。グループ会社で、不動産などの行動支援プラットフォーム事業を営んでおります。「ニフティなんだからニフク
ritou です。 前の記事でちょっと確認済みメアドについての記載をしたあと、Twitterでちょっとやりとりしたり個別にDMで質問が来たりしたのでまとめます。 まとめ "確認済みメアド" のユースケースはいくつかある 新規登録時に自サービスで確認処理を行わずに利用 未登録ユーザーがソーシャルログインしてきた時に既存ユーザーとの紐付け IdPからもらった確認済みメアドをそのまま使っていい場合とそうじゃない場合がある 自サービスで提供しているメールアドレスかどうかで変わる部分を許容するかどうか email_provided のようなclaim があると便利かもしれない 確認済みメアドのユースケース 新規登録時の確認処理をスキップ これはID連携、ソーシャルログインのメリットとしてずっと言われているものです。 IdPで確認済みなのでRPは確認せずに信用して使おう というお話です。 よく知られて
IDaaS(Identity as a Service)という言葉を耳にする機会が増えている。本来は複雑な手間やコストがかかる認証基盤の構築をクラウドサービスとして提供してくれるため、サーバー管理のコスト削減だけでなく、ライブラリの追加などにより工数が削減できるなど開発者にとってもメリットは大きい。日本においてもIDaaSを提供する企業が多く参入している中で、今注目を集めているのがAuth0だ。今回は、同社で認証アーキテクト責任者を務めるヴィットーリオ・ベルトッチ(Vittorio Bertocci)氏へ、盛り上がりをみせるIDaaSの現状やコロナ禍による影響などを尋ねた。 IDaaSはなぜ注目を集めるのか Auth0は、2013年に創業された認証基盤サービスを提供する企業であり、既に日本を含む世界中で9,000社以上の導入実績を持っているという。そのような同社で首席アーキテクト責任者を務
CISSP 勉強ノート
目次の表示 1. 情報セキュリティ環境 1-1. 職業倫理の理解、遵守、推進 職業倫理 (ISC)2 倫理規約 組織の倫理規約 エンロン事件とSOX法の策定 SOC (System and Organization Controls) レポート 1-2. セキュリティ概念の理解と適用 機密性、完全性、可用性 真正性、否認防止、プライバシー、安全性 デューケアとデューデリジェンス 1-3. セキュリティガバナンス原則の評価と適用 セキュリティ機能のビジネス戦略、目標、使命、目的との連携 組織のガバナンスプロセス 組織の役割と責任 1-4. 法的環境 法的環境 契約上の要件、法的要素、業界標準および規制要件 プライバシー保護 プライバシーシールド 忘れられる権利 データポータビリティ データのローカリゼーション 国と地域の例 米国の法律 [追加] サイバー犯罪とデータ侵害 知的財産保護 輸入と
バランスシートで考える技術的負債
はじめに エンジニアリングの課題としてよく話題になるのが技術的負債という言葉です。プロダクトを開発していった結果、その一部に満足のいかない部分が生まれ、それによって開発効率が落ちてしまうようなものを技術的負債と呼んでいると思います。つまり作り出した物が負債となってしまったという解釈が多いのではないかと思うのですが、私は作り出していないために生まれる技術的負債もあるのではないかと思っています。 この記事では、技術的負債を言葉の由来でもある会計的な視点から見てみることで、技術的負債の本質を解き明かし、どのように計画的な技術的負債の運用を行うかについて考察します。なお、私に会計的な専門知識はないのと、簡単化のために、あくまで会計風の表現で技術的負債を表してみたものと思ってください。 バランスシートで考えるプロダクト開発 技術的負債について触れる前に、まず、プロダクト開発を会計的に表現するとどうな
こんにちは、セキュリティエンジニアの岩田です。今回は「擬似サイバー攻撃演習」と銘打って行った社内の演習についてご紹介します。 擬似サイバー攻撃演習とは? 実際のサイバー攻撃をシミュレーションして実施することで、現在行なっているセキュリティ対策が有効に機能しているかを検証するための演習です。「レッドチーム演習」や「脅威ベースのペネトレーションテスト(TLPT)」などと呼ばれるものと同様の試みですが、誰にでもより直感的に内容が伝わるようにこの名称にしました。 今回は2要素認証を回避するフィッシング攻撃によって実環境のID管理サービス(IDaaS)のアカウントを乗っ取って侵入し、機密情報を盗み出す攻撃シナリオで演習を行いました。 具体的には、攻撃者がフィッシングメールをユーザーに送ってフィッシングサイトに誘導し、ユーザーからのフィッシングサイトへのリクエスト内容をそのまま実際のサイトに転送するこ
クラウドコンピューティングに関して勉強する機会があったので、せっかくなので内容をまとめてアップします。 1.Active Directory アクティブディレクトリ。ユーザーアカウントやパスワード、PCの設定などをWindowsサーバーで一括設定・管理できる機能。セキュリティ管理や資産管理、PCの自動設定に主に使われる。 アクティブディレクトリをクラウドコンピューティングに利用できると、スマートフォンやタブレットPCを外部利用する際も、既存のディレクトリサービスをそのまま使用することで、セキュリティ設定などのユーザー管理が可能になる。また、移動プロファイルを利用することで、ログオンしているユーザーのデスクトップやマイドキュメントのデータを自動的にサーバーにバックアップコピーできる。 参考:クラウド時代のActive Directory − 概要編|Windowsネットワークの小技ブログ
初めての方、初めまして。そうでもない方、お久しぶりです。 タケダノです。 技術は発想と一緒に進歩していくのです。 re:MARSに絡めて、ジェフ・ベゾスさんの暖炉に刻まれた話が取り上げられていましたね。 ドリーマーとビルダーが存在するという話 私は、この記事を読んで、二人のスティーブが立ち上げた会社を思い浮かべました。 企業研究をすると必ず出て来るリンゴの会社を作ったのはドリーマーのスティーブなのか、ビルダーのスティーブなのか。 技術の進歩には発想が必要で、逆に発想だけでも技術は進歩しません。 2013年新しい技術Auth0を立ち上げたのは1人のアルゼンチン人ユヘニオ・ペースさんとその仲間、当時マイクロソフトで認証基盤を作っていたチームメンバーです。ユヘニオさんは認証基盤に関する本も出版されています。 認証しないWeb環境は無い これまで、認証基盤は、それぞれが保有するサーバー環境にデプロ
IDaaSの比較 (Cognito, Firebase Authentication, Auth0) - Qiita
概要 外部サイトとの連携認証を簡単につけたいが3つあってよくわからないので比較する。Firebaseが良さそう。 要件 Facebook, Twitter両方と一つのユーザを紐づけたい Facebook, Twitterのアクセストークンもほしい。 連携認証なしのメールアドレスでもログインしたい 特定の外部サイトだけの連携解除もしたい。 無料 (できれば) ログイン画面は用意してほしい (できれば) SPA (Angular) 現在はAWSをメインで使用している 調査結果 (欠点がなければそれ使うだけなので長所とか書く必要ないよね) Cognito User Pools (Cognito ID Poolは別物なので注意。そちらは連携認証に対してIAMを振れるものらしい?) なんだか設定をごちゃごちゃ聞かれてめんどくさい。 Twitterがない。 複数のSNSに紐付ける際はそれなりに実装が必
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ログ一元管理の本質とSIEMの限界 - データ基盤への道 - LayerX エンジニアブログ
認証機能を独自実装する代わりにIDaaSのREST APIを使うアプローチ - r-weblife
LoIのさいつよの情報システムを実践していますという話
Cloud Run で作るサーバーレス アーキテクチャ 23 連発 - これのときはこう!
[AWSマイスターシリーズ]Amazon SNSモバイルプッシュ通知
OIDCって何なんだー?から、実際に使うまで - BASEプロダクトチームブログ
Okta、新ID基盤「Customer Identity Cloud」を発表--IdaaSをさらに拡大
認証プラットフォーム Auth0 とは? - Qiita
「Firebase Authentication 7つの落とし穴」のリスクを再整理する
2021年IPA10大脅威とゼロトラスト | ロードバランスすだちくん
[安全なAWSセキュリティ運用ナレッジ2022]セキュアアカウントの使い方 | DevelopersIO
少人数での爆速開発を目指してgolang×GCPの技術選定をした話
「推測不可能性」だけで安心?セキュアなURL生成について考える - Flatt Security Blog
ドコモの「IDaaS」導入秘話 「認証の仕組みは簡単」「自社開発できるでしょ?」と説く上司との戦い
BtoB SaaSにおけるIDaaSの選択が難しい
認証サービスCognito・Auth0・Firebaseを比べる - s-takayanagi - BOOTH
オンボーディング関連のシステム作業の時間を87.5%削るまでの軌跡 - LayerX エンジニアブログ
パスワードを入力させるSaaSは全て脆弱という考え方 - ロードバランスすだちくん
BeyondCorp? ゼロトラスト? VPNを超えていけ! - ブログなんだよもん
利用者にAdmin権限委譲しても大丈夫 ニフティがAWS導入時から行ってきたマルチアカウント管理法
OIDCを用いたID連携における "確認済みメールアドレス" の使い方と注意点
Auth0認証アーキテクト責任者がIDaaSの今を語る
同僚に2要素認証を回避するフィッシング攻撃(の演習)をしてみた - SmartHR Tech Blog
SEなら知っておきたいクラウドコンピューティング用語集100個(前編)
Auth0 – 認証基盤の技術と発想 | DevelopersIO