ウクライナ保安庁(SSU)が2022年3月28日に、ロシアとの戦争が始まって以来、フェイクニュースを拡散している10万以上の偽SNSアカウントを運用していたボットネットワークの拠点を5つ特定し、機器やSIMカードなどを押収したと発表しました。 З початку війни СБУ ліквідувала 5 ворожих ботоферм потужністю понад 100 тис. фейкових акаунтів https://ssu.gov.ua/novyny/z-pochatku-viiny-sbu-likviduvala-5-vorozhykh-botoferm-potuzhnistiu-ponad-100-tys-feikovykh-akauntiv Ukraine dismantles 5 disinformation bot farms, seizes 10,
jQuery 4.0.0 has been in the works for a long time, but it is now ready for a beta release! There’s a lot to cover, and the team is excited to see it released. We’ve got bug fixes, performance improvements, and some breaking changes. We removed support for IE<11 after all! Still, we expect disruption to be minimal. Many of the breaking changes are ones the team has wanted to make for years, but co
市民虐殺の濡れ衣をかけられるロシア
2022年4月8日 田中 宇 ウクライナの首都キエフ郊外の住宅街ブチャで市民が街頭や地下室などで殺され、米国側(米欧日)がそれをロシア軍の犯行と決めつけて非難している。ウクライナ側が流した遺体の動画などからみて、ブチャで数十人以上の市民が何者かに殺されたのは事実だろうが、この殺戮の犯人が誰であるかは未確定だ。戦闘当事者であるロシアとウクライナの両方から独立した中立な第三者組織の現地調査は行われていない。ウクライナを傀儡としてきた米国とその傘下の欧日など米国側は、ウクライナ当局の主張を鵜呑みにして「ロシア軍の犯行だ」と決めつけている。ロシア政府は「虐殺はウクライナ側が行ったもので、ロシアに濡れ衣を着せる歪曲話を、米国側がロシア敵視のために使っている」と言っている。 (Evgeny Norin: Bucha needs to be properly investigated, not used
変更履歴を記録する
Version 1.1.0 # Changelog All notable changes to this project will be documented in this file. The format is based on [Keep a Changelog](https://keepachangelog.com/en/1.1.0/), and this project adheres to [Semantic Versioning](https://semver.org/spec/v2.0.0.html). ## [Unreleased] ### Added - v1.1 Brazilian Portuguese translation. - v1.1 German Translation - v1.1 Spanish translation. - v1.1 Italian
Flutter×GCP/Firebaseで何かを作っていく(る)方に参考になればと思います。 上記の技術構成でリリースした Othellode というアプリは、 iOS/Android で公開済みなので、興味あればダウンロードしてみて下さい。 “しっかり”とは?下記のような観点を考慮することを指しています。 運用を前提とする設計やフロー整備多言語対応負荷分散セキュリティモニタリング費用バックアップロギングdevelopment/staging/production 管理これらに関する知見から、13個厳選して広く浅く書きました。 (ポイントというより感想みたいな項目もありますが..) なお、情報漏洩対策(IP制限やBasic認証)やアセットパイプライン,BQによる分析等は、今回本腰を入れてない( 必要がなかった)ため触れませんし、詳しくありません。 目次Useful Information
オープンソースのプログラミング言語であるPHPの開発者らが使用していたGitサーバーに何者かが侵入し、PHPのソースコードにバックドアをしかけていたことが判明しました。ハッカーは悪意のあるコミットをプッシュする際、PHPの開発者であるラスマス・ラードフ氏らになりすましていました。 php.internals: Changes to Git commit workflow https://news-web.php.net/php.internals/113838 PHP's Git server hacked to add backdoors to PHP source code https://www.bleepingcomputer.com/news/security/phps-git-server-hacked-to-add-backdoors-to-php-source-code/
Microsoftは1月9日(現地時間)に月例アップデートとして更新プログラム「KB5034441」をリリースしたが、11日時点で、複数のユーザーからこの更新プログラムのインストールがエラーにより失敗するという現象が報告されている。この問題が発生した場合、Windows Updateの画面にエラーコード「0x80070643」が表示され、アップデートを継続することができない。 更新プログラム「KB5034441」の概要 KB5034441は、WinRE(Windows 回復環境)を使用してBitLockerのセキュリティ機能をバイパスできる脆弱性「CVE-2024-20666」に対処するためのセキュリティ更新プログラム。2024年1月の月例アップデートに含まれているため、自動アップデートが有効な環境ではWindows Updateによって自動的にインストールされる。 Microsoftでは
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの梅内(@Sz4rny)です。 本稿では、弊社がこれまでに実施してきたFirebase診断の事例や筆者独自の調査をもとに、Firebaseを活用して開発されたサービスにおいて発生しやすい脆弱性の概要やそれにより引き起こされるリスクおよびその対策を深刻度や発生頻度の評価を踏まえつつお伝えします。本稿を通じて、Firebaseを活用したサービスにおいて発生しやすい脆弱性にはどのようなものがあるのか、また、そのような脆弱性を埋め込むことなくセキュアなサービス実装を実現するためにはどのような観点に気をつければよいのかについて理解を深めていただけますと幸いです。 なお、本稿では「Firebase活用時に限って発生しうる脆弱性(例:Firestoreのセキュリティルールにおけるバリデーション不備)」と「Firebaseを活
Zero Touch Productionとは何か
GoogleのSREとSecurityによるBuilding Secure Reliable Systems という本の中で「Zero Touch Production (ZTP) 」という考え方が紹介されていた.これはインフラの権限管理やインフラの構築そのものの指針となる概念であり,自分がそうあるべきだとずっと思ってきた考え方でもある.これはどのような考え方なのか?をこれまでの歴史を踏まえて具体的なツールや事例とともにまとめておく. Zero Touch Production Building Secure Reliable Systems においてZero Touch Production (ZTP) は以下のように定義されている. The SRE organization at Google is working to build upon the concept of least
NTTのレッドチーム「Team V」の活動実態 「管理者権限はほぼ確実に取れる」|BUSINESS NETWORK
<サイバーセキュリティ戦記>NTTグループのプロフェッショナルたちNTTのレッドチーム「Team V」の活動実態 「管理者権限はほぼ確実に取れる」 NTTグループ サイバーセキュリティ戦記 セキュリティ サイバー攻撃を疑似的に仕掛け、ターゲット組織のサイバーセキュリティに関する弱点を見つけ出すレッドチーム。NTTグループでは、2019年からグループ内向けのレッドチーム「Team V」が活動している。NTTグループの上級セキュリティ人材を紹介する連載「<サイバーセキュリティ戦記>NTTグループのプロフェッショナルたち」の第18回に登場するのは、Team Vの精鋭メンバーの1人であるNTTセキュリティ・ジャパンの羽田大樹だ。 対象組織の社員が標的型メールに引っ掛かり、一般社員のPCが攻撃者に掌握されてしまった――。これが、NTTグループのレッドチーム「Team V」によるサイバー攻撃演習の前提
aws cliを使う際、AWS CLI Command Reference or --help で確認 > コピペ > コマンド実行みたいな作業をしていませんか...? これって割と面倒な作業ですよね。 そこで、本日はaws cliの実行が楽になる、自動プロンプト機能 という機能を紹介したいと思います。 自動プロンプト機能とは aws cli実行に関するヘルプドキュメントや豊富な補完機能などを提供してくれます。 v2から提供されている機能のようです。 提供機能 ざっと提供機能は以下のような内容です。 コマンド補完 パラメータ補完 リソース補完 短縮構文補完 ファイル補完 リージョン補完 プロファイル補完 あいまい検索 履歴 各機能の詳細な仕様の解説はここでは割愛しますので、詳しくは 公式 をご参照ください。 モードについて 2種類のモードがあります。 フルモード 部分モード 1. フルモー
国連パレスチナ難民救済事業機関(UNRWA)の職員が昨年10月7日のイスラム組織ハマスによるイスラエル奇襲攻撃に関与したとされる疑惑で、教師を含む約190人の職員がハマスもしくはガザの過激派「イスラム聖戦」のメンバーだった可能性がある。2023年11月撮影(2024年 ロイター/Amr Abdallah Dalsh/File Photo/File Photo) [エルサレム/ジュネーブ 29日 ロイター] - 国連パレスチナ難民救済事業機関(UNRWA)の職員が昨年10月7日のイスラム組織ハマスによるイスラエル奇襲攻撃に関与したとされる疑惑で、教師を含む約190人の職員がハマスもしくはガザの過激派「イスラム聖戦」のメンバーだった可能性がある。イスラエル情報当局の文書で明らかになった。 ロイターは6ページからなる文書を確認した。文書には10月7日のハマスの奇襲に関与したとされる11人の名前と
Sections What is time Representing time Where do we usually find time on Unix System time, hardware time, internal timers Syncing time with external sources What depends on time Human perception of time What is time Time is relative Measuring time and standards Coordinating time Time zones DST Time, a word that is entangled in everything in our lives, something we’re intimately familiar with. Keep
『GitHub CI/CD実践ガイド』でGitHub ActionsとCI/CDを体系的に学ぼう - 憂鬱な世界にネコパンチ!
『GitHub CI/CD実践ガイド――持続可能なソフトウェア開発を支えるGitHub Actionsの設計と運用』という書籍を最近出版したので紹介します。本書ではGitHub Actionsの実装と、CI/CDの設計・運用を体系的に学べます。一粒で二度美味しい書籍です。筆者個人としては「実践Terraform」以来、4年半ぶりの商業出版になります。 gihyo.jp どんな本? GitHub利用者にとって、もっとも導入が容易なCI/CD向けのソリューションはGitHub Actionsです。GitHub Actionsの活用事例は多く、検索すればたくさん情報が出てきます。ただ断片的な情報には事欠かない反面、体系的に学習する方法は意外とありません。CI/CD自体がソフトウェア開発の主役になることもまずないため、なんとなく運用している人が大半でしょう。そこで執筆したのが『GitHub CI/
VSCode拡張機能『Infracost』を使って TerraformテンプレートからAWS利用費を試算してみた | DevelopersIO
VSCode拡張機能版Infracostを利用するとTerraformテンプレートを書いているだけで簡易的なAWS利用費の見積もりができます。無料で始められるのでまずはインストールしてみてください。 あしざわです。 皆さんは、これから作成するAWS環境の利用費の見積もり、どうやっていますか? 最近アップロードされたAWS Dev Day 2023 Tokyoのアーカイブ動画を見ていたところ、『Infracost』というIaCテンプレートベースでAM利用費の見積もりができるツールの存在を知りました。 主にTerraformユーザーの方向けになりますが、誰でも無料で始められ導入も簡単かつ便利なツールなのでぜひ皆さんにも使ってほしいと思いブログを書きました。 まとめ InfracostはTerraformテンプレート(.tfファイル)からインフラコストを試算できるツール 無料のInfracost
Google Cloud案件を1年半程度経験してみてAWSと比較しながら違いを整理してみた - NRIネットコムBlog
本記事は 【Advent Calendar 2023】 15日目の記事です。 🎄 14日目 ▶▶ 本記事 ▶▶ 16日目 🎅 はじめに 想定している読者 一覧 まとめてみて 参考 はじめに クラウド事業推進部の小野内です。昨年5月にキャリア入社してから早1年半以上が経ちました。 入社以降、AWS、Google Cloud のデータ分析基盤の開発・運用に関わっておりますが、現在はGoogle Cloud メインでやってます。 試行錯誤の毎日ですが、Google Cloud案件をどんどん盛り上げていきたい所存です。 1年ほど前の投稿記事では、 Google Cloudの学び方について触れましたが、本記事ではGoogle Cloud案件を1年半程度経験してみて、 AWSと比較しながら、Google Cloudの主要なサービスについて、違いを整理しました。 想定している読者 AWS案件に半年以
米ニューヨークの国連本部で開かれた国連安全保障理事会でビデオ演説したウクライナのウォロディミル・ゼレンスキー大統領(2022年4月5日撮影)。(c)TIMOTHY A. CLARY / AFP 【4月6日 AFP】(更新)ウクライナのウォロディミル・ゼレンスキー(Volodymyr Zelensky)大統領は5日、米ニューヨークの国連(UN)本部で開かれた国連安全保障理事会(UN Security Council)会合でビデオ演説し、ロシアのウクライナ侵攻に対して「即座に行動」しないなら、国連は「解体」すべきだと訴えた。 ゼレンスキー氏は、ロシアを安保理から排除し、同国が「自らの侵略や戦争に関する(安保理の)決定を阻止できないようにする」べきだと主張。それができないなら「次の選択肢は丸ごと解体することだ」と断じた。 「皆さんは国連を閉鎖する用意があるのか」と問い掛けた上で、「その答えがノー
IETFのOAuth WGでは、今あるOAuth2.0関連の仕様を整理し、一つの仕様としてまとめなおし OAuth2.1 として標準化するとりくみが進められています。 今回は、簡単にOAuth2.1について紹介します。 OAuth 2.0 OAuth 2.0は2012年10月に「RFC6749 The OAuth 2.0 Authorization Framework」として標準化されています。その後、OAuth2.0の改善は続けられ、セキュリティ向上のために利用すべき機能(PKCE)などが追加されているほか、逆に非推奨になっている機能(Implicit Grant)などがあります。 IETFのOAuth WGではOAuth2.0を安全に利用するためのベストカレントプラクティスを「OAuth 2.0 Security Best Current Practice」としてまとめています。 この
AWS IAM セキュア化の取り組み
鍵がいっぱいあるよこの記事は Eureka Advent Calendar 2021 の 13日目の記事です。 はじめにこんにちは、エウレカ SREチーム のハラダです! 2020年頃から今年にかけて、 エウレカのSREチームとSecurityチームではAWS IAMのセキュア化を注力ポイントのひとつとして、継続的に取り組んできました。 本記事では、その実践から学んできたIAM管理で守るべき大原則および、具体的にどうやってセキュアな理想像に近づけてきたか、今後の方向性などを話したいと思います。 Why “IAM” so important ?そもそもなんでIAMが注力ポイントなの?と疑問に思われる方もいるでしょう。 クラウドの大きな強みである「すべてをAPI経由で操作できる」という性質ゆえに、IAMは大きなAttack Surfaceでもあります。 Gartner社の予測によると、2023
「現時点で完全回復の予定なし」 Google Cloudのパリリージョンで障害 データセンター浸水 発生から27時間
クラウドサービス「Google Cloud」のパリリージョン(europe-west9)で、4月26日午前11時ごろ(日本時間)から障害が発生している。データセンターに水が浸入したといい、一部のサービスを除いて27日午後3時41分時点で障害が続いている。障害は長引く見込みで「現時点では、リージョンの運用が完全に回復する予定はない」(米Google Cloud)としている。 仮想マシンを立ち上げる「Google Compute Engine」(GCE)、ストレージサービス「Google Cloud Storage」(GCS)、音声認識サービス「Speech-to-Text」など複数のサービスが影響を受けた。このうちGCSなど4サービスはリージョン全体で復旧済み。GCEなど3サービスはリージョン内の一部ゾーンで復旧したという。 ただし、他のサービスは障害の影響が続いている。Google Clo
標的型攻撃で悪用されたInternet Explorerの未修正の脆弱性CVE-2020-0674についてまとめてみた - piyolog
2020年1月17日、MicrosoftはInternet Explorerに深刻な脆弱性が存在し発表時点でまだ修正中であることを明らかにしました。ここでは関連する情報をまとめます。 1.概要編 ① いま何が起きているの?(1月17日時点) サポートされている全てのInternet Explorerに深刻な脆弱性。脆弱性はCVE-2020-0674が採番。1月11日時点のCVSSスコア(現状値)は7.1。 17日時点で修正中であり更新プログラムが公開されていない。限定的ながらこの脆弱性を悪用する攻撃が確認されている。 2020年1月14日にサポート期限を迎えたばかりのWindows 7も影響を受ける。更新プログラムの提供は明記がないが、Microsoftが発表した対象のリストに含まれている。 ② この脆弱性の影響を受けるとどうなるの? リモートから任意のコード実行が可能な脆弱性が存在し、悪
class: middle, center <img src="./assets/logo.svg" align="center" width="200" /> Deno の これまで と これから --- アジェンダ - Deno とは - Deno のこれまでのロードマップ - Deno のこれからのロードマップ --- # 話す人 <img src="./assets/hinosawa.jpg" align="right" width="300" /> 日野澤歓也 twitter @kt3k - GREE (2012 - 2013) - Recruit (2015 - 2019) - Deno Land (2021 -) <small>2018年から Deno にコントリビュートを開始。2020年作者に誘われ Deno Land に転職。現在はフルタイムで Deno と Deno D
English Version is here --- 実施: セキュリティ・キャンプ全国大会2022 発表者: Hiroki SUEZAWA (@rung) 演習レポジトリ: https://github.com/rung/training-devenv-security スライド内容 : この10年で、ソフトウェアを開発する環境は大きく変化してきました。DevOpsカルチャーの浸透や、Cloud基盤の利用の増加を受け、ソフトウェアはCI/CDパイプラインを通じてデプロイされるようになりました。また、開発はオフィス内だけでなく、会社の外でも実施されるようになりました。 本スライドでは、現代のプロダクション環境を攻撃および保護するためにはどのような手法を用いることができるのか、主にマルウェアなどを用いたクライアントサイドへの攻撃や、サプライチェーン攻撃の視点から、総合的に攻撃手法および対策
ロシアが世界中で選挙妨害、米情報分析を100カ国超に通知
10月20日、米政府はロシア政府がスパイやソーシャルメディア、国営メディアを活用し、世界中の民主的選挙の正当性に対する国民の信頼を損なわせているとする情報機関の分析報告書を公表した。既に100カ国超に通知した。写真はロシア国営テレビRTの車両。2018年6月撮影(2023年 ロイター/Gleb Garanich) [ワシントン 20日 ロイター] - 米政府は20日、ロシア政府がスパイやソーシャルメディア、国営メディアを活用し、世界中の民主的選挙の正当性に対する国民の信頼を損なわせているとする情報機関の分析報告書を公表した。既に100カ国超に通知した。
連日さまざまなサイバーセキュリティ犯罪のニュースが報じられる中、いまだに日本のセキュリティレベルは高いとは言えない状況にあります。一方で、企業がサイバーセキュリティ対策を進める上では、人材不足や経営層の意識・関心、コスト、導入による利便性の低下など、さまざまな壁が立ちはだかっています。 そこで今回は、株式会社網屋が主催する「Security BLAZE 2023」より、サイバーセキュリティのエキスパートによる講演をお届けします。本記事では、サイバー攻撃によって侵入されることを前提とした、企業側の打ち手について解説します。 今のサイバーセキュリティは「侵入されること」が前提 鈴木暢氏:みなさま、こんにちは。このセッションでは「ログの監視分析とSOCサービス、組み合わせの勘どころ」と題して、ログの分析・監視環境をどのように構成すべきかという情報提供と、ALogを活用した弊社のマネジメントセキュ
多くのネットサービスでは、アカウントに新たなデバイスからログインがあったり通常とは違う操作が行われたりした際に安全にアカウントを保つためのセキュリティ機能として、ワンタイムパスワードをスマートフォンなどに送信して本人確認する2段階認証が実装されています。「2段階認証を設定してあるから自分のアカウントは安全だ」と思っている人も多いかもしれませんが、オンラインの地下マーケットでは「2段階認証を突破するためのボット」が拡大していると海外メディアのMotherboardが報じています。 The Booming Underground Market for Bots That Steal Your 2FA Codes https://www.vice.com/en/article/y3vz5k/booming-underground-market-bots-2fa-otp-paypal-amazon
監視・通知の仕組みの全体像また、弊社では Terraform を用いて IaC ( Infrastructure as Code ) を実現して、各AWSアカウント環境の状態をコードで一元管理していますが、 Datadog の監視項目も Provider が用意されているため、Terraform で管理をすることが可能です。現状はすべての Datadog の監視項目がコード化されているわけではないですが、こちらは随時対応を行っていきたいと思っています。 外形監視外形監視は、WebサイトやAPIエンドポイントが正常に動作していることを、定期的に特定のURLに対して問い合わせをして、期待されたステータスコードや要素を返すことを監視することを目的とします。 弊社では Datadog の Synthetic Monitoring という機能を利用して監視を行っていますが、この機能の特徴としては W
Online Hacker Simulator
C:\GOV\TopSECRET │ .compile-cache │ .htaccess │ boot.md │ kernel.bin │ boot.ini ├─application │ │ encryptor.bin │ │ filters.bin │ │ routes.exe │ │ └─security │ │ vuln_go.exe │ │ penetrate.log │ ├─config │ │ │ _controller.md │ │ │ application.exe │ │ │ auth.bin │ │ │ cache_log.crt │ │ │ dtbs.exe │ │ │ session.bin │ │ └─admin │ │ application.exe │ │ error.bin │ │ session.exe │ ├─controll
マイクロソフト、Linux用のマルウェア対策ソフト「Microsoft Defender ATP for Linux」パブリックプレビュー
マイクロソフト、Linux用のマルウェア対策ソフト「Microsoft Defender ATP for Linux」パブリックプレビュー マイクロソフトは、Linuxに対応したマルウェア対策ソフトウェア「Microsoft Defender ATP for Linux」のパブリックプレビューを発表しました。 同社はWindows用のMicrosoft Defender ATPに加え、Microsoft Defender ATP for Macもすでに提供しています。新たにLinux対応を行うことで、Windows、Mac、Linuxという主要なデスクトップOSのエンドポイントセキュリティをカバーすることになります。 下記はLinux対応の発表文からの引用です。 Today, we’re announcing another step in our journey to offer sec
お名前.com Naviの不具合によるCoincheckとbitbankのドメイン名ハイジャックについてまとめてみた - piyolog
2020年6月2日にCoincheckはお名前.comの社有アカウントが不正アクセスを受けたと発表しました。またその翌日6月3日、GMOインターネットはお名前.comのサービス不具合を悪用した会員情報の改ざん被害が発生していると発表しました。この記事は公開時点(6/4 16時)では2社発表の関連を推測として記載していましたが、同被害を受けて4日に発表を行ったbitbankがこの2社の発表を取り上げ、同事象であると説明したことから一連の出来事として整理します。 登録アドレスを書き換えアカウント奪取 今回のドメイン名ハイジャックは大まかに次の手口だったとみられる。(お名前.comアカウントの不正アクセスの流れは一部推測) 今回のドメイン名ハイジャックの概要(推測含む) 攻撃者がお名前.com Naviの不具合(脆弱性)を悪用し、アカウント奪取後にドメイン登録情報(whois DB)を変更した。
Renovate の大量の Pull Request を処理する技術 - スタディサプリ Product Team Blog
こんにちは。 SRE の @suzuki-shunsuke です。 Terraform Monorepo に対する Renovate の大量の Pull Request を処理するための技術について紹介します。 背景 過去ブログで何度か紹介しているように、弊プロダクトでは Terraform の Monorepo を管理しています。 先日、 CI を AWS CodeBuild から GitHub Actions + tfaction に移行しました。 blog.studysapuri.jp working directory (state) の数は 400 近くあり、 working directory ごとに以下のような tool のバージョンを管理しています。 Terraform Terraform Provider tflint tflint plugin tfsec etc これ
`COPY --chmod` reduced the size of my container image by 35%
$ podman history vamc19/nomad:latest ID CREATED CREATED BY SIZE COMMENT ... <missing> 36 minutes ago /bin/sh -c apt-get update && apt-get insta... 94.4 MB 374515aec770 36 minutes ago /bin/sh -c # (nop) COPY file:6dbfa42743cc65... 87.7 MB 22cd380ad224 36 minutes ago /bin/sh -c # (nop) LABEL maintainer="Vamsi"... 0 B FROM docker.io/library/ubuntu:21.10 ... The layer created by COPY is 87.7MB, which
[激アツアップデート]ALBだけでカナリアリリース(重み付け)ができるようになりました! | DevelopersIO
AWSエンジニアは朝5時に起きるらしいと聞いていましたが、まさか自分がそっち側に回るとは思ってもいなかったもこ@札幌オフィスです。 とうとうきてしまいました! とうとう、ALB一つだけでターゲットグループの重み付けが出来るようになってしまいました!!!! Application Load Balancer simplifies deployments with support for weighted target groups New – Application Load Balancer Simplifies Deployment with Weighted Target Groups 従来までのBlue/Green(カナリアリリース) デプロイ方法 重み付けをしてトラフィックの数パーセントを新しい環境に流すような場合は、複数のロードバランサーを用意した環境で、Route53にて重み付
![[激アツアップデート]ALBだけでカナリアリリース(重み付け)ができるようになりました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/876809e40a16193d45c580a01a3f67fc9a50a044/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Felastic-load-balancing.png)
「ゼロトラスト」提唱者、ジョン・キンダーバーグ氏が語る誤解と本質――「ゼロトラストの第一歩は『何を守るべきか』を明確にすること」
【2024年7月16日追記】記事公開時、タイトルや本文にてジョン・キンダーバグ氏と掲載していましたが、正しくはジョン・キンダーバーグ氏でした。読者ならびに関係者の方々にご迷惑をおかけしたことを深くお詫び申し上げるとともに、以下のように訂正いたします。 【誤】ジョン・キンダーバグ氏 【正】ジョン・キンダーバーグ氏 昨今、サイバーセキュリティの取り組みを議論する際に必ずといってよいほど言及されるキーワードが「ゼロトラスト」だろう。IT系の展示会に足を運んでも、あちこちのブースで「ゼロトラストソリューションを紹介」といった宣伝文句が並ぶ。IT業界、セキュリティ業界ではよくあることだが、一度何かのキーワードが注目を浴びると、ベンダーそれぞれ都合の良いように使われてしまいがちだ。ゼロトラストも例外ではない。 確かにゼロトラストの実現には、さまざまな技術や製品が必要だが、それは決して本質ではない。ゼロ
WindowsがまたLinuxを取り込む。マイクロソフト、Linuxカーネルが備える拡張機能「eBPF」互換機能をWindowsにもオープンソースで実装へ
マイクロソフトは、Linuxカーネルが備えている拡張機能である「eBPF」の互換機能を、Windows 10とWindows Server 2016以降で実現するオープンソース「eBPF for Windows」を発表しました。 カーネルのコードを書き換えずに機能を拡張できるeBPF eBPFとは、Linuxカーネルを変更することなく、カーネルの持つさまざまな機能をフックすることにより、カーネルに対してある種の機能拡張を実現するものです。下記は、eBPFのWebサイトにある説明を引用したもの。 eBPF is a revolutionary technology that can run sandboxed programs in the Linux kernel without changing kernel source code or loading kernel modules.
[2022年最新版]Lambdaの裏側教えます!!A closer look at AWS Lambda (SVS404-R) #reinvent | DevelopersIO
[2022年最新版]Lambdaの裏側教えます!!A closer look at AWS Lambda (SVS404-R) #reinvent Lambdaファン必見 Worker ManagerをAssignmentサービスに置き換えた話、SnapStartの裏側でSparse filesystemを利用している話など、Lambdaの裏側がどうアップデートされたのかが分かります CX事業本部@大阪の岩田です。今年のre:inventは現地参加できなかったのですが、毎年楽しみにしていたLambdaの裏側を解説するセッションSVS404(番号は年によって微妙に違います)の動画がYoutubeにアップされていたので、さっそく視聴しました。これまで言及されてきた内容に加えて新たな解説も増えているので改めてレポートをブログにまとめます。 セッション動画 セッション動画はこちらから確認可能です
![[2022年最新版]Lambdaの裏側教えます!!A closer look at AWS Lambda (SVS404-R) #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/7fee36677e7512f1c68bcfe30d484a5033aecc91/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F11%2Feyecatch_reinvent2022_session-report.png)
Docker is Updating and Extending Our Product Subscriptions | Docker
Editor’s Note: Be sure to check out the Pricing page for the latest Docker Desktop packages and features! Docker is used by millions of developers to build, share, and run any app, anywhere, and 55% of professional developers use Docker every day at work. In these work environments, the increase in outside attacks on software supply chains is accelerating developer demand for Docker’s trusted cont
2024年7月4日、ハッキングフォーラム上に約100億件ものパスワード情報を含むファイルが投稿されました。セキュリティメディアのCybernewsは「史上最大のパスワード漏えい」として、今回のデータ漏えいについて報じています。 RockYou2024: 10 billion passwords leaked in the largest compilation of all time | Cybernews https://cybernews.com/security/rockyou2024-largest-password-compilation-leak/ This is likely the biggest password leak ever: nearly 10 billion credentials exposed | Mashable https://mashable.com
標的型攻撃などにより組織内にマルウエアが侵入するリスクが高まっている。侵入したマルウエアが外部との通信を開始したとき、その通信をセキュリティー機器で検知すれば被害を抑えやすい。 ただそうした機能を持つセキュリティー機器は非常に高価だ。安価で入手できて消費電力が小さく小型なコンピューター「ラズパイ」を使って構築できないだろうか。 ラズパイとは、英Raspberry Pi財団が開発している「Raspberry Pi」のこと。もともとは子供たちが気軽に勉強できるように開発されたが、子供に限らず大人にも広く利用されている。複数の種類があり、例えばクアッドコアCPU(Arm)と8GBメモリーを搭載した「Raspberry Pi 4 Model B(以下、Raspberry Pi 4B)」なら1万円ほどで購入できる。 今回の実験では、このRaspberry Pi 4Bを使って侵入検知装置を構築し、実際
Downfall
Downfall attacks target a critical weakness found in billions of modern processors used in personal and cloud computers. This vulnerability, identified as CVE-2022-40982, enables a user to access and steal data from other users who share the same computer. For instance, a malicious app obtained from an app store could use the Downfall attack to steal sensitive information like passwords, encryptio
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ウクライナ政府が「偽情報を流していた10万の偽アカウントを操る5つのボットファーム」を押収したと発表
jQuery 4.0.0 BETA! | Official jQuery Blog
Flutter×GCP/Firebaseでしっかり作る時のポイント13個。
ハッカーがPHPの開発者になりすましてソースコードにバックドアを仕込んでいたことが判明
Windows 10で更新プログラム「KB5034441」に失敗する現象が発生中
Firebase利用時に発生しやすい脆弱性とその対策10選 - Flatt Security Blog
AWS CLI(v2)の自動プロンプト機能が便利だった
ガザ国連職員約190人、ハマスなどと関連の疑い=イスラエル当局
Time on Unix
国連、即時行動なければ「解体を」 ウクライナ大統領、安保理で訴え
OAuth 2.1 の標準化が進められています - Qiita
Deno のこれまでとこれから JSConf JP 2021
開発環境のセキュリティおよびCI/CDパイプラインのセキュア化
企業がサイバー攻撃を「防げる」という考え方は時代遅れ 攻撃を受けて「侵入される」前提のセキュリティ対策
AmazonやPayPalの「2段階認証」を突破するための音声ボットがハッカーに販売されている
次世代デジタル保険を支える監視・通知の技術
100億件ものパスワード情報がインターネット上で流出、「史上最大のパスワード漏えい」との指摘も
1.5万円でラズパイを使った侵入検知装置、1Gbpsの通信でも検知できるか