日々権限設計で頭を抱えてます。この苦悩が終わることは無いと思ってますが、新しい課題にぶつかっていくうちに最初のころの課題を忘れていきそうなので、現時点での自分の中でぐちゃぐちゃになっている情報をまとめようと思い、記事にしました。 所々で「メリット」「デメリット」に関連する情報がありますが、そのときそのときには色々と感じることがあっても、いざ記事にまとめるときに思い出せないものが多々ありました。フィードバックや自分の経験を思い出しながら随時更新する予定です。 TL;DR(長すぎて読みたくない) 想定する読者や前提知識 この記事での権限とは 権限の種類 ACL(Access Control List) RBAC(Role-Based Access Control) ABAC(Attribute-Based Access Control) どの権限モデルを採用するべきか 権限を適用する場面 機能
本ブログは、2021 AWS Partner Ambassadors で構成するアドベントカレンダー Japan APN Ambassador Advent Calendar 2021 の 24 日目のエントリです。 こんにちは。CX事業本部MAD事業部のYui(@MayForBlue)です。 年の瀬も迫った12/24ですが、みなさん資格勉強してますか?(挨拶 さて、IT系の資格の中でも人気の高いAWSの資格ですが、数も多いし何から取ったらいいのかわからない・・・という方も多いのではないでしょうか。 この記事ではAWSの全資格を紹介するとともに、2021 ALL AWS Certifications Engineers ホルダーとして資格取得やAWSの学習に有用なコンテンツをまとめてみました。 本ブログをご一読いただくことでAWSの資格取得の一歩を踏み出していただければ幸いです。 想定読者
原典:https://www.tumblr.com/numberonecatwinner/701567544684855296/elon-wyd 私は何年か前SpaceXのインターンをしていて、そのころSpaceXは今よりずっと小さい会社だった。イーロンが植毛をしたのよりは後で、イーロンを個人崇拝するカルトが盛り上がるのよりは前のことだ。なので知ってることをいくつか語ってみようと思う。 私がSpaceXにいたころ、イーロンは基本的には子供の王様だった。彼は会社に金と権力とPRをもたらす大切な傀儡だったが、毎日の意思決定をするのに必要な知識や(率直に言えば)成熟した人格を持っていなかったし、そのことをみんな知っていた。彼の周辺の人々の仕事は、本質的には、まともな意思決定をするよう彼をうまく操ることだった。 イーロンを管理することは会社の文化の大きな部分を占めていた。私のような底辺のインターン
マルチプラットフォームのパスワード管理ツールを提供する米LastPassは2月16日(現地時間)、無料版「LastPass Free」で利用できるデバイスタイプを1つに限定すると発表した。3月16日から、モバイル端末かデスクトップWebブラウザかの選択を迫られる。 モバイル端末にはスマートフォン、スマートウォッチ、タブレットが含まれ、デスクトップWebブラウザは現在サポートされているすべてのPC上のWebブラウザのことだ。 例えばモバイル端末を選ぶと、iPhone、Android端末、iPad、Apple WatchでLastPassが使えるが、WindowsノートやMacでは使えない。デスクトップWebブラウザを選ぶと、その逆になる。 PC(Mac)とモバイル端末の両方でパスワード管理を続けたい場合は、月額3ドルの「LastPass Premium」あるいは月額4ドルの「LastPass
7/14/20232023年7月14日よりTBS金曜ドラマ『トリリオンゲーム』の放送が始まりました。弊社エンジニアチームは、1話のハッキングシーン作成にIT・セキュリティ技術協力として携っています。本記事では、その背景と詳細を解説します。 『トリリオンゲーム』は起業家とエンジニアの成長物語で、原作からドラマに至るまで、Flatt Security様による的確な技術監修がなされています。このたび弊社は、原作と台本のシナリオに基づいて、 現実的に可能なハッキングシナリオの具体化 詳細が設定されていなかったプログラムの作成 実際のプログラム・コマンドに合わせたセリフ・演技指導 セキュリティチャンピオンシップのルール設定、画面作成支援 を行いました。 金曜ドラマ『トリリオンゲーム』|TBSテレビ 以降、作成した資料や作成の舞台裏をピックアップして紹介します。 ■ 免責事項 本記事は、ドラマ中の技術
コインハイブ事件弁護団 主任弁護人 平野敬 (電羊法律事務所) 裁判の現状 2022年1月20日、最高裁判所において、Coinhive事件は逆転無罪判決となりました。これまでの皆様のご支援に深く感謝申し上げます。2022/1/20 2021年12月9日に最終弁論が開かれることになりました。2021/10/18 報道でご存知の方も多いと思いますが、2020年2月7日、東京高等裁判所において、モロさんを被告人とする不正指令電磁的記録保管事件について罰金10万円の支払いを命じる逆転有罪判決が言い渡されました。これまで、多くの皆様に裁判費用を含むご支援をいただいてきたにもかかわらず、望む結果を出せなかったことを、弁護人として深くお詫びします。 我々は東京高等裁判所の判決を不服として、上告状を提出すべく準備を進めています。今後は最高裁判所において事件が争われることになります。 横浜地方裁判所の判決(
婚活マッチングアプリ「Omiai」で、171万件もの会員情報流出が判明した。流出したデータには運転免許証やパスポート画像などが含まれる。氏名や住所に加えユーザーの顔写真情報まで流出したのは深刻な問題だ。運営するネットマーケティングは再発防止策を講じたものの、流出したデータによる二次被害を防ぐ手立ては見つかっていない。 婚活マッチングアプリ「Omiai」を運営するネットマーケティングは2021年5月21日、不正アクセスによるデータ流出に関するおわびを公表した。Omiaiは2020年10月時点で累計会員数が600万人を超える大手のサービスだ。 この事件はすぐさま新聞各紙やテレビ、インターネットのニュースサイトなどで報じられ、大きな話題になった。その理由の一つは、流出したデータが氏名や住所、生年月日などアカウント数で171万1756件と大規模だったこと、さらには恋人探しや婚活など、利用者にとって
糖類の上 @tinouye ITや音楽系の執筆、翻訳等承ります。 IT/セキュリティ周りが専門。日経系で書評書いたり、CDや演奏会の解説書いたり人文系全般も。古楽と現代音楽、現代美術が関心領域。猫成分が多め。 Renaissance, baroque, contemporary music & art. IT/Security pro. 糖類の上 @tinouye 10年以上前からずっと気になっている画題。 赤ん坊をこういう産着でぐるぐる巻にしている絵は山程あるけれど、ネコに同様の着せ方をして餌(たいていおかゆ)を与える絵が何点もあるのは、どういう寓意や比喩があるのかと思うのだけど、どなたか知っている人おしえてほしい。 pic.twitter.com/ZIBKGcQ4RD 2022-01-21 19:40:20
ドワンゴは6月10日、8日から続く大規模障害を巡り、今後の方針を発表した。10日午後6時時点で「サイバー攻撃の影響を受けずにニコニコのシステム全体を再構築するための対応を進めている」という。復旧予定やサイバー攻撃の詳細については「今週中に、役員の栗田穣崇およびCTO鈴木圭一が、復旧までの見込みおよびその時点までの調査で分かった情報を説明する予定」としている。 会員費の払い戻しなど、個々のサービスへの質問については「影響の調査を行っている段階のため」として回答を控えたが「誠実に対応させていただきますので続報をお待ちください」とした。 今回の攻撃を巡っては、ニコニコ以外にもKADOKAWAが提供する複数のサービスがダウンしており、KADOKAWAの公式サイトも表示できない状態が続いている。 関連記事 「#がんばれニコニコ」拡散 サイバー攻撃でダウン中、ユーザーが復旧を応援 「ニコニコ」でサイバ
はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。セキュリティエンジニア同士の会話では、「"シサ"が最近またレポート出していて…」とか「"アイピーエー"から注意喚起出てたね」といった、初学者には謎の単語がたくさん出てきます。本記事では、そういった会話に出てくる単語のうち、国内外のセキュリティ関連の主な組織についてまとめました。セキュリティに興味があれば、ここに挙げた組織と、その組織が関わる政策や活動について、事前に抑えておいて損はありません。これからセキュリティを学ぼうという方の参考になれば幸いです。 なお、記載した情報はすべて執筆時点 (2023 年 6 月) のものです。 【2023/06/30 追記】NISC および ENISA の日本語名称を修正、CISA の読み方について修正・追記、NCSC について追記しました。 はじめに 中央省庁 内閣サイバーセキュリティセンタ
徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」:@ITセキュリティセミナー サイバーセキュリティの世界で取り上げるべきトピックは多々あるが、「基本的な守りを固める」ことも重要だ。2019年6月26日に行われた「@ITセキュリティセミナーロードショー」の中から、その際に役立つセッションの模様をレポートする。 2019年初め、ファイル共有サイト「宅ふぁいる便」で会員情報の漏えいが発生した事件では、世間に大きな驚きが走った。漏えいの事実自体もさることながら、保存されていたパスワード情報が「暗号化されていなかった」ためであり、特にインターネット上では「今どき、パスワードを暗号化していないなんて」と厳しい批判が相次いだ。 複数の調査や報道によると、パスワードを平文で保存しているサイトは宅ふぁいる便に限らない。その後FacebookやGoogle、Twit
自堕落な技術者の日記 : jsrsasignの寄付金を募ることにしてみました(やりがいって何だっけ?) - livedoor Blog(ブログ)
私はjsrsasignというJavaScriptのオープンソース暗号、PKIライブラリを個人的な趣味で開発し公開しています。ところが最近、npmパッケージのダウンロードが月間60~70万件と、異常にユーザーも増え、製品でも使われ始め、ちょっと厄介なことになっており、いろいろ悩んだ挙げ句、これが正解なのかもわかりませんが、ライブラリの維持のために寄付金を募ることにした次第です。今日は、心の吐露をつらつら書いていくことにします。 jsrsasignとは 2010年ごろ、スタンフォードの学生さんであるTom Wooさんという人のJavaScriptでRSA暗号化できるコードを見つけ、自分はPKIや電子署名を専門にしていたので「JavaScriptでRSA署名できたら面白いな」と思い、2010年6月に、ほんのRSA署名単機能のライブラリとして公開したのが jsrsasign です。当時のはしゃぎっ
GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手口が横行し、10万を超す感染リポジトリが見つかっているとしてサイバーセキュリティ企業が注意を呼びかけている。攻撃は今も続いており、何も知らない開発者がこうしたリポジトリを使えば、マルウェアに感染してパスワードなどの情報が流出する恐れがある。 サプライチェーンのセキュリティ対策を手掛ける米Apiiroによると、GitHubのリポジトリを狙う「リポコンフュージョン(取り違え)攻撃」は2023年11月ごろから激化したという。 攻撃者は、開発者をだまして悪質なコードやファイルをダウンロードさせる目的で、正規のリポジトリのクローンを作成。そこにマルウェアを呼び出すコードを仕込み、同一の名称でGitHubにアップロードする。次に自動化の仕組みを使ってそれぞれを何千回もフォークさせ、Web上のフォーラムなどで宣伝しているという。
ランサムウェアグループ、ロシア政府支持を一時表明 ロシアを標的としたサイバー攻撃に「持てるリソースを全て注ぎ込み報復」
ランサムウェア「Conti」を開発する犯罪グループが、ロシアとウクライナの情勢についてロシア政府を支持する声明を発表したと、ITセキュリティ系のニュースサイトBleepingComputerが2月25日(米国時間)に報じた。 Contiの犯罪グループは同日「ロシア政府の全面支持を公式に表明する。ロシアに対してサイバー攻撃や戦争活動を仕掛けようとする者がいれば、その敵の重要なインフラに対し、持てるリソースの全てを注ぎ込み報復する」と声明を出した。 BleepingComputerによれば、同グループはその約1時間後にメッセージを変更。「どの政府とも同盟を結ぶことはなく、現在進行している戦争を非難する」としたが「米国のサイバー攻撃によって、ロシアやロシア語圏の重要なインフラ、平和な市民の生活と安全が脅かされる場合、全力で報復する」とした。 同グループはロシアに拠点を持つとされている。Conti
完全無料!JavaScriptのWeb開発手法を学習できるYouTube動画コースの厳選まとめ! - paiza times
どうも、まさとらん(@0310lan)です! 今回は、JavaScriptをベースにしたWeb開発手法のトレンドを無料で学習できる海外のYouTube動画コースをご紹介します! フロントエンドからバックエンドまでクオリティの高い動画コースを厳選しており、GitやFirebaseなどの予備知識も含めて多彩なコースをまとめました。 英語だから…と言って見ないのは非常にもったいないレベルの動画ばかりなので、ソースコードの動きをよく見ながらぜひ挑戦してみてください。 なお、JavaScriptの基本はpaizaラーニングの「JavaScript入門編」で学ぶことができますので合わせてチェックしてみてください! ■Web開発の基礎を学ぶ まずはWeb開発を始める前に抑えておきたい基本的な知識を学習できる動画コースから見ていきましょう! 主に、HTML / CSS / JavaScriptの3点を重点
Cloudflare Zero Trustを導入してみた - POC環境構築編 - メモのページ - チラシの裏メモ 3枚目
ゼロトラスト ネットワーク(ZTN)の学習用環境として、Cloudflare Zero Trustを自宅に導入してみた。 今回はCloudflare Zero Trust導入手順のメモ。 2023/7/8追記 ポリシーの設定やOktaとの連携等の記事は、当記事内下部の「Cloudflare Zero Trust関連の記事」のリンク先を参照。 Cloudflare Zero Trustとは CDN事業者として知られているClaudflare社が提供するゼロトラスト セキュリティソリューションである。 SWG(Secure Web Gateway)と呼ばれるクラウド型のプロキシサービス、IPアドレスの匿名化、アンチウイルス・アンチマルウェア、URLフィルタリング、アプリケーションフィルター等のサービスを提供する。 Cloudflare Zero Trustと競合する主なゼロトラストネットワーク
人気漫画『トリリオンゲーム』はこうして描かれた!作画・池上遼一先生インタビュー - #FlattSecurityMagazine
原作・稲垣理一郎先生と作画・池上遼一先生のタッグによる人気漫画『トリリオンゲーム』。主人公のハル(天王寺陽)と相棒のガク(平学)の二人が100兆円企業を作ることを目指して奮闘する、スタートアップを舞台にした作品です。 2020年12月に「ビッグコミックスペリオール」で連載がスタートしてから、その破天荒なストーリーとコミカルな作風が話題を呼び、2022年には「マンガ大賞2022」にノミネート。2023年7月14日(金)からは、TBS系金曜ドラマとして、ドラマ版の放送もスタートします。 www.tbs.co.jp 作中にはCTF(ハッキングコンテスト)やプロダクト開発に関するシーンも多数登場。原作漫画の技術監修、ドラマのIT・セキュリティ技術監修を、サイバーセキュリティスタートアップのFlatt Securityが務めており、フィクションながらもリアリティのある表現がなされています。 prti
5分で分かるゼロトラスト
「ゼロトラスト(セキュリティ)」はITのセキュリティに関する概念の一つです。それまでの主流だった「境界型セキュリティ」に代わる考え方として登場してきました。 「ゼロトラスト標準」みたいなものが定義されているわけでもないので、使う人によってゼロトラストの解釈には幅があります。セキュリティ製品を提供している会社なら、情報に濃淡を付けて自社製品にとって都合の良い側面を伝えてくるかもしれません。 また、ゼロトラストの実装方法に正解はなく、ゼロトラストを満たしてくれる単一の製品も存在しません。企業ごとに現状とあるべき姿を鑑みながら実装を考え、ゼロトラストを思考していく必要があります。数年たてば実装方法も幾つかに収束していくのかもしれませんが、今はまだまだ開拓する要素も多く、手を出しにくい時かもしれません。 まずは「境界型セキュリティ」をおさらいします。そして「ゼロトラスト」のさまざまな側面を見て理解
セキュリティインシデント疑似体験調査ワークショップに参加すべき3つの理由 - Techtouch Developers Blog
はじめに こんにちは。最近はテックタッチの同僚とボルダリング同好会のようなものを作ってワイワイしてます!SRE の izzii です。 7月27日、社内の有志を集めて AWS ジャパン主催のセキュリティインシデント疑似体験 調査ワークショップに参加しました。このイベントは、AWS 環境上の典型的なセキュリティインシデントを再現したログを用いて、CTF (Capture The Flag、旗取りゲーム) 形式で AWS のセキュリティで気をつけるべきことを学べるイベントです。 テックタッチからは、izzii (SRE), roki (SRE), canalun (フロントエンド), kacchan (コーポレートセキュリティ) が参加し、その4名で構成されたチーム 「gokigen」 は約40チーム中で3位に入賞することができました!(記事のトップ画像はその時のキャプチャです ※AWS 様に
シンジです。情報セキュリティの方針として参考にされることの多い「情報セキュリティ10大脅威2021」がIPAから発表されました。情報セキュリティの脅威や被害は時代背景をうつしたものが多く、パンデミックによる影響も見て取れます。そんな時代に最適解のゼロトラストアーキテクチャで、ランキングの大半がゼロトラストによってカバーできることを具体的に説明します。 ざっくり書くと、こうです。 その前にゼロトラストアーキテクチャを理解しよう シンジ自体はパンデミックよりも前から会社まで作ってこのアーキテクチャを実践してきたので、最近では数少ないゼロトラスト警察のひとりとして、ネットニュースや各所のWebサイト、オンラインイベントで「ゼロトラスト」の単語が出るもののほぼ全てを確認してきましたが、基本的に「わかってない」ので、改めておさらいしておきましょう。 情報セキュリティを実践する=IT環境をシンプルにす
米Googleは4月11日(現地時間)、日本に届く新たな2本の海底ケーブル「Proa」と「Taihei」の構築に、10億ドル(1500億円)を投資すると発表した。日本のNEC、KDDI、アルテリア・ネットワークスなどと協力する。 上の画像の複数のケーブルは、Googleが2022年に岸田総理大臣に提言した「日本デジタル未来構想」の一環で、米国と日本の間に新たな光ファイバーケーブルを配設することで、領土間のデジタル接続の信頼性と可用性を高めるとしている。 NECの協力で構築するTaiheiは、日本語の「平和」と「太平洋」の「太平」から名付けられた、日本とハワイを結ぶ海底ケーブル。フィジーと米国本土を結ぶ「Tabua」(フィジーの神聖なクジラの歯にちなんだ名前)がハワイまで延伸されることで、米国大陸と日本は海底ケーブルで結ばれることになる。 関連記事 Googleが東京にITセキュリティ研究拠
Microsoft Defender、最も優れたウイルス対策ソフトの1つに選ばれる 2021 11/27 インターネット接続機器の増加とともに、ウイルスなどによるユーザーへの攻撃も増えており、ウイルス対策ソフトを別途購入してPCにインストールしている人も多いことでしょう。 しかしながら、2021年10月におこなわれたWindows向けウイルス対策ソフト評価によると、デフォルトでインストールされているMicrosoft Defenderが最も優れたソフトの1つであるとのことです。 Microsoft Defenderが最も優れたウイルス対策ソフトの1つに選ばれる この評価は独立したITセキュリティ機関であるAV-TESTによっておこなわれました。 ゼロデイマルウェア、サイバー攻撃、感染した電子メールなどに対するウイルス対策ソフトの防御力に加え、動作速度やユーザビリティといった観点でも評価がお
Microsoft では、コントロール プレーンとして ID を利用した多層防御原則により、実績のあるゼロ トラスト セキュリティへのアプローチを成功させてきました。 組織はスケール、コスト削減、セキュリティを追求し、ハイブリッド ワークロード環境を受け入れ続けています。 Microsoft Entra ID は、ID 管理の戦略において非常に重要な役割を果たします。 最近では、ID とセキュリティの侵害に関するニュースにより、企業の IT 部門は、ID セキュリティ態勢を、防御的セキュリティ成功の指標として捉えるようになりました。 さらに組織はオンプレミスとクラウドのアプリケーションを組み合わせて使用する必要があり、ユーザーはそれらのアプリケーションに、オンプレミスとクラウド専用の両方のアカウントでアクセスします。 オンプレミスとクラウドの両方でユーザー、アプリケーション、デバイスを管理
Amazon S3 セキュリティベストプラクティスの実践(権限管理のポリシー) – 前編 | Amazon Web Services
Amazon Web Services ブログ Amazon S3 セキュリティベストプラクティスの実践(権限管理のポリシー) – 前編 はじめに AWS では、サービス毎にセキュリティのベストプラクティスを公式ドキュメントとして提供しています。本記事では AWS を利用したシステムのセキュリティの検討や実装に関わる皆様を対象に、AWS の代表的なストレージサービスである Amazon Simple Storage Service (S3) を題材にとりあげて、公式ドキュメントで紹介しているベストプラクティスの実装方法をできるだけ具体的に解説したいと思います。 IT セキュリティにおいては、一つの脆弱性や悪意がセキュリティ事故に直結しないようにシステムを多層的に保護する事が重要です。AWS においても、サービスが提供する機能を適所でご利用いただければ多層化されたセキュリティ保護策を、クラウ
技術書の出版を手掛けるラムダノート(東京都荒川区)が販売している、IPv6の解説書「プロフェッショナルIPv6 第2版」電子版の無償配布が12月20日に始まった。著者であり、通信技術やプログラミングなどを解説するWebサイト「Geekなぺーじ」も運営している小川晃通さんは、IPv6についてまとまった情報を必要としている人に届けたいとしている。 第2版は、2018年に発行した初版に比べて30ページ以上増量。5部構成に分けており、第1部の「インターネットとIPv6の概要」でインターネットの仕組みなど、前提知識を理解する部分から話を始め、そこからより詳細な解説に入っていく。カラーの図を初版よりも増やしており、IPv6の情報に初めて触れる人たちにも読みやすいように改訂したという。 初版の執筆や公開に当たっては、日本レジストリサービス(JPRS)、BBIX、NTTコミュニケーションズ、日本ネットワー
みんなベストプラクティスできてる?「AWSセキュリティのベストプラクティスに関する利用実態調査レポート」まとめ | DevelopersIO
みんなベストプラクティスできてる?「AWSセキュリティのベストプラクティスに関する利用実態調査レポート」まとめ 「Security-JAWS Insights AWSセキュリティのベストプラクティスに関する利用実態調査レポート」の解説です。みんなベストプラクティスを実践できているのか、知ることができます。 こんにちは、臼田です。 みなさん、AWSのセキュリティベストプラクティス実践できてますか?(挨拶 今回は、Security-JAWS運営メンバーが調査を実施し、レポートとしてまとめた「Security-JAWS Insights AWSセキュリティのベストプラクティスに関する利用実態調査レポート」の内容を解説するとともに、僕自身の提言をまとめます。 これを読んで頂くと、「周りのみんなはAWSのベストプラクティスどれくらいできているの?」「自分たちは十分にベストプラクティスに沿えているのか
総合スーパー「ゆめタウン」を展開するイズミ(広島県広島市)は、社内システムがランサムウェア攻撃を受けたと発表した。2月22日現在も復旧しきれておらず、配達サービスや各店舗のチラシ配布など一部サービスを休止している。食品売り場でも一部品薄状態が続いているという。同社は「5月1日の完全復旧を目指す」と説明している。 ランサムウェア被害があったのは2月15日。システム障害が発生したため、原因を調べたところ、ランサムウェアによって複数のサーバが暗号化されていることが分かったという。22日時点では個人情報の漏えいは確認できておらず、調査を継続中。同社はクレジット払いサービス「ゆめカードクレジット」を提供しているが、被害に遭ったシステムとは別システムで運用しているため、カード情報は漏えいしていないとしている。 攻撃の影響で停止しているサービスは、クレジットカード「ゆめカード」の新規入会・会員サイトや、
by Tumisu 現地の人の家の部屋を借りるような民泊サービスが増加するにつれ、「部屋に隠しカメラが仕掛けてあった」といった報告が増加しています。民泊サービス以外でも、ホテルや初めて訪れた家・部屋にカメラが仕込まれている可能性はゼロではなく、気になる点です。そこで、ITセキュリティ教育を目的とするSANS Internet Storm Centerのヨハンズ・ウルリッヒ氏が隠しカメラを見つけ出すポイントをまとめています。 InfoSec Handlers Diary Blog - How to Find Hidden Cameras in your AirBNB https://isc.sans.edu/diary/How+to+Find+Hidden+Cameras+in+your+AirBNB/24834 部屋に入った時にまず確認すべきなのは、「奇妙な場所に配置されているものはないか
CISSP 勉強ノート
目次の表示 1. 情報セキュリティ環境 1-1. 職業倫理の理解、遵守、推進 職業倫理 (ISC)2 倫理規約 組織の倫理規約 エンロン事件とSOX法の策定 SOC (System and Organization Controls) レポート 1-2. セキュリティ概念の理解と適用 機密性、完全性、可用性 真正性、否認防止、プライバシー、安全性 デューケアとデューデリジェンス 1-3. セキュリティガバナンス原則の評価と適用 セキュリティ機能のビジネス戦略、目標、使命、目的との連携 組織のガバナンスプロセス 組織の役割と責任 1-4. 法的環境 法的環境 契約上の要件、法的要素、業界標準および規制要件 プライバシー保護 プライバシーシールド 忘れられる権利 データポータビリティ データのローカリゼーション 国と地域の例 米国の法律 [追加] サイバー犯罪とデータ侵害 知的財産保護 輸入と
データ基盤チームに所属しているデータエンジニアの吉田(id:syou6162)です。10X社内のデータマネジメントの仕事をしています。 10X社内では2022年10月にデータマネジメント成熟度アセスメントを実施していましたが、それから約一年半が経過し、データマネジメント上の課題が進捗 / 変化した箇所が出てきました。そこで、最近の成果を振り返りつつ今後のデータマネジメントの方針を改めて見直すため、データマネジメント成熟度アセスメントを再度行なうことにしました。本エントリではその内容についてまとめます。 前回のデータマネジメント成熟度アセスメントへの取り組み 今回のデータマネジメント成熟度アセスメントのやり方 成熟度アセスメントの実際の結果 前回実施時との差分が大きかった項目 データセキュリティ データ品質 メタデータ 優先度が高かったにも関わらずあまり進まなかった項目 まとめ 前回のデータ
「DevSecOps勉強会」は、アプリケーションセキュリティに関する知見やノウハウを共有する場。ここでは、yamoryでセキュリティリサーチャーを担当しているYoshizawa氏が、アメリカ国立標準技術研究所が集めたデータベース「NVD(National Vulnerability Database)」との正しい付き合い方を紹介します。 NVDとはなにか Yoshizawa氏: yamoryのセキュリティリサーチャーのYoshizawaと申します。本日は「NVDは大変便利ですが、はたして本当に信じていいのでしょうか?」というタイトルで発表したいと思います。よろしくお願いします。 はじめに、みなさんは脆弱性ウォッチ、脆弱性モニタリングはされていますでしょうか? セキュリティの勉強会に参加されている方々なので、脆弱性を気にされている方も多いのではないかなと思いますが、脆弱性を確認する際に日々し
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます フロリダ州レイクシティはランサムウェアの攻撃を受け、米国時間6月24日に50万ドル(約5400万円)近くにもなる莫大な身代金を支払う決定を下した。その後、同市はIT部門の従業員1名を解雇したという。 その従業員の名前は明らかにされていないが、現地のメディアが同市の市長に問い合わせたところ、28日付けでの解雇が確認されたという。 また、同市では、今後こういった問題が引き起こされないようにするために、IT部門全体の改革を計画しているという。 同市のITネットワークがマルウェアに攻撃されたのは6月10日のことだった。「Triple threat」(三段攻撃)と呼ばれるこの攻撃により、同市のサーバーと電話回線、電子メールが人質に取られる状況に陥
「セキュリティコンテストは本当にあるの?」「具体的な技術的設定は?」ドラマ『トリリオンゲーム』第1話 技術監修の裏側を解説します! - #FlattSecurityMagazine
こんにちは!株式会社Flatt Security 執行役員 CCOの豊田恵二郎( @toyojuni )です。 弊社は漫画『トリリオンゲーム』(原作:稲垣理一郎、作画:池上遼一)の連載開始時より技術監修を担当しており、先ほど第1話が放送されたTBS系金曜ドラマ『トリリオンゲーム』においてもIT・セキュリティ技術監修として携わっています! 同作には様々な魅力がありますが、ドラマでは佐野勇斗さんが演じるガクがサイバーセキュリティの技術力を披露するシーン抜きには語れないでしょう。 そのようなシーンに関して、ドラマを視聴した皆様は「セクチャンのようなコンテストは本当にあるのだろうか」「どのような技術的設定になっているのだろう」と気になった方も多いはず。今回は、原作監修時のエピソードも交えながら、ドラマ『トリリオンゲーム』1話の元となった原作各シーンの技術的要素について解説していきます! ▼『トリリ
トレーニングを通じて、安全なコミュニケーションやビジネスデータの取り扱い、デバイスのセキュリティ、フィッシング攻撃やソーシャルエンジニアリングへの認識、物理的なセキュリティリスク、顧客データの保護、会社リソースの使用などについて学べるとしている。 8月に行われたホワイトハウスのサイバーサミットの中で、民間部門と公共部門が協力してITセキュリティを改善していくための方法として、同社のアンディー・ジャシーCEOがこのトレーニング動画を公開すると発表していた。 関連記事 14時間分の機械学習教材も GMOペパボ、エンジニアの研修資料を公開 GMOペパボが、新人エンジニアの研修資料を今年も無償公開。今年は機械学習教材を一新した。 リクルート、新人エンジニア向け社内研修資料を公開 AWS入門やマネジメント手法など20講座以上 リクルートが、新人エンジニア向けの社内研修資料を無償公開した。Webブラウ
パスワード管理「LastPass」で顧客データの盗難 手口に使われた“2段階攻撃”とは? 弱点はエンジニアの自宅PC
パスワード一元管理ツールを提供するLastPassが2022年、2段階の攻撃を受けて顧客のパスワードなどの情報を盗まれた事件で、不正侵入に使われた手口の詳細を明らかにした。 攻撃者はまず、盗んだ情報や外部から入手した情報を悪用し、エンジニアの自宅PCを侵害して入手したパスワードで多要素認証を突破。これを踏み台としてLastPassに2段階目の攻撃を仕掛けて暗号化されたクラウドストレージに侵入し、顧客データを盗み出していた。 同社のブログによると、最初の攻撃が発覚したのは22年8月だった。社内の開発環境で異常な挙動を検出。調査した結果、開発者のアカウントが侵害されており、開発環境に不正アクセスされ、ソースコードや技術情報が盗まれていたことが分かった。 翌月には、米大手セキュリティ企業Mandiantの協力を得て8月の事案に関する調査を完了したと説明。不正アクセスされた開発環境は、本番環境とは
米国がアップルと組んでサイバー攻撃 ロシア主張
【6月3日 AFP】ロシア連邦保安局(FSB)は1日、米国家安全保障局(NSA)が米電子機器大手アップル(Apple)と「緊密に連携」して同社製品数千台をマルウエアに感染させ、各国のロシア大使館職員の電話番号を流出させたと非難した。 また、ロシアのITセキュリティー大手カスペルスキー(Kaspersky Lab)は、同社の研究チームがiPhone(アイフォーン)からこれまで知られていなかったマルウエアを検出したと発表。職員数十人が標的にされたとしている。 同社を創設したユージン・カスペルスキー(Eugene Kaspersky)氏は上記のiOS端末について、スパイウエアをインストールするための悪意あるファイルが添付された「見えないiMessage」を受信したと説明した。このスパイウエアがインストールされると、録音音声やインスタントメッセンジャーからの写真、位置情報などの個人情報が「ひそかに
「もしサイバー攻撃を受けたら?」を考えたことはありますか ITセキュリティの新常識「サイバーレジリエンス」を理解する
「もしサイバー攻撃を受けたら?」を考えたことはありますか ITセキュリティの新常識「サイバーレジリエンス」を理解する(1/2 ページ) ITセキュリティの世界では、新しい言葉が常に生まれています。最近、特に注目されているのは「サイバーレジリエンス」。もしかすると、皆さんも聞いたことがあるかもしれません。今回はそのサイバーレジリエンスの概略を知り、セキュリティ観をアップデートできるようにしたいと思います。 激化する攻撃、その中で生まれた「サイバーレジリエンス」 かつて、サイバーセキュリティといえば「マルウェア感染からどう身を守るか?」ということが注目されてきました。マルウェアに感染せぬよう、常にマルウェア対策のためのパターンファイルをアップデートし、不正と認識されている特徴と一致したファイルを弾き、感染させない──という手法が取られてきました。 しかし、マルウェアはごく一部のコードを変え、亜
宮城県が津波浸水想定の1次データの公開に難色を示している問題を、251万ダウンロードを誇り「国内最速」と評されるスマホ防災アプリの事業者はどう見るのか。「特務機関NERV(ネルフ)防災」を運営する東京のITセキュリティー会社「ゲヒルン」の石森大貴社長(32)が河北新報社の取材に応じ、県の対応を「オ…
アクセサリーパーツを販売する「Parts Club」など、アクセサリー関連事業を手掛けるエンドレス(東京都台東区)は4月24日、自社のサーバがランサムウェア「LockBit」に感染したと発表した。原因について、セキュリティソリューションを導入したスターティア(東京都新宿区)のミスによるものだと説明している。 「FortiGate(統合型セキュリティアプライアンス)の設置を昨年に依頼しましたスターティア株式会社が、設置の際に使用していたtestアカウントを削除せずそのまま放置し、悪意のある第三者がtestアカウントを使用して弊社のサーバーに侵入した」(原文ママ) サーバに顧客情報は保存しておらず、社内情報のみを保存していた。発表時点では、情報の流出も確認していないとしている。サーバはネットワークから遮断しており、全部署もPCも検査中。今後は外部の助力を得ながら情報漏えいの有無を確認するという
自社サイトの情報をもとにAIチャットボットが顧客対応する「SiteGPT」 ChatGPTがそんなにすごいなら、インプットした自社の情報をもとに顧客対応もしてもらいたい。そんなとき、もちろん開発を行い、徹底的にカスタマイズする手もあるが、サクッと搭載して、即日ローンチしたいなら、「SiteGPT」が面白い。 難しい設定やチューニングは不要で、自分の会社のウェブサイトのURLを登録するだけで、自動的に内容を学習してくれるのだ。そして、AIチャットボットがその内容をもとに回答してくれる。 筆者が経営する飲食店に導入してみたところ、とても便利。ChatGPTは原価BARのことを知らなかったのだが、しっかりとお店の仕組みや営業時間、立地などを回答してくれる。 英語で聞けば英語で返してくれるので、増加中のインバウンド需要にも対応できそう。しかも、自分のいるところからの移動ルートなど、ウェブサイトには
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
アプリケーションにおける権限設計の課題 - kenfdev’s blog
AWS全資格の概要と主な学習コンテンツをまとめてみた | DevelopersIO
SpaceX元インターンが語るイーロン・マスク(和訳)
パスワード管理「LastPass」の無料版、3月にスマホかデスクトップかの選択必須に
TBS金曜ドラマ『トリリオンゲーム』のハッキングシーン舞台裏 - 株式会社リチェルカセキュリティ
【寄稿】コインハイブ事件 意見書ご協力のお願い - 一般社団法人日本ハッカー協会
婚活アプリ「Omiai」、運転免許証やパスポートの画像が171万件も流出した経緯
「ぐるぐる巻きのネコにおかゆを与える様子」を描いた絵画はたくさんあるけど、どういう意味があるのか?
ニコニコ、システム全体を再構築へ サイバー攻撃の影響で 復旧の見込みは「今週中に告知」
セキュリティエンジニアを目指す人に知っておいてほしい組織 - FFRIエンジニアブログ
徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」
GitHubに大量の悪質リポジトリ、その数“10万超” 感染するとパスワード流出の恐れ
2021年IPA10大脅威とゼロトラスト | ロードバランスすだちくん
Google、日本とハワイを直結する海底ケーブル他の構築に1500億円投資
Microsoft Defender、最も優れたウイルス対策ソフトの1つに選ばれる - iPhone Mania
Microsoft Entra セキュリティ運用ガイド - Microsoft Entra
「超すごいIPv6本」電子版を無償配布 JPRSやNTTコムなども協賛
地方スーパーにランサム攻撃、復旧は5月の見込み メールシステムも停止、連絡手段は電話・ファクス・郵送のみに
ホテルや部屋に隠しカメラが仕掛けられていないか確認するポイント
データマネジメント成熟度アセスメントを実施しました(2024年版) - 10X Product Blog
米国の脆弱性データベースをwatchせよ セキュリティリサーチャーが教える正しい脆弱性調査のやり方
ランサムウェアに屈した地方自治体がIT担当職員を解雇--フロリダ州レイク・シティ
Amazonが従業員向けITセキュリティトレーニングを無償公開 日本語対応
宮城県の対応「オープンデータ化に逆行」 防災アプリ「NERV」石森さん | 河北新報オンライン
アクセサリー販売事業者がランサムウェア感染 “委託先名指し”で原因説明 「Parts Club」など運営
仕事がラクになる5つの「Powered by ChatGPT」サービスを使ってみた