並び順

ブックマーク数

期間指定

  • から
  • まで

161 - 200 件 / 65695件

新着順 人気順

Securityの検索結果161 - 200 件 / 65695件

  • NTTコミュニケーションズは裏口も攻められた - Fox on Security

    NTT Comの不正アクセス事件の第2報が出ていました。内容を見るといわゆる裏口から不正侵入されていた事も書かれており、正直驚きました。 japan.zdnet.com 公式発表 当社への不正アクセスによる情報流出の可能性について(第2報) NTTコミュニケーションズは7月2日、5月28日に公表した同社設備への不正侵入と一部情報の外部流出の可能性について、新たにBYOD端末からのリモートアクセスを通じた経路での侵入も判明したと発表した。情報の外部流出の可能性についても83社分が新たに判明したとしている。 同社によると、調査で新たにVDIサーバーを経由して一部の社内ファイルサーバーへの不正アクセスが確認され、社内ファイルが閲覧された可能性があることが5月26日に判明した。リモートアクセスを利用したBYOD端末からの不正アクセスが判明し、全てのBYOD端末とシンクライアント専用端末のリモートア

      NTTコミュニケーションズは裏口も攻められた - Fox on Security
    • 開発者が知っておきたい「XSSの発生原理以外」の話 - Flatt Security Blog

      はじめに こんにちは。株式会社Flatt Securityのセキュリティエンジニアの冨士です。 本稿では、XSS(クロスサイトスクリプティング)が攻撃に用いられた時のリスクの大きさを紹介していきます。以降はクロスサイトスクリプティングをXSSと記載していきます。 XSSはセキュリティエンジニアならもちろん、開発を行っているエンジニアの多くの方が知っている脆弱性です。ですが、私はWebアプリケーションの脆弱性診断を行ってきた経験の中で多くのXSSを目にしてきましたし、依然として検出率の多い脆弱性の一つだと感じています。 その認知度や、一般的な対策方法のハードルの低さ(設計や仕様によっては対策工数が大きい場合もありますが)にも関わらずXSSの検出率が多いのは、直感的にリスクがわかりづらく、アラートをあげるだけの紹介が多いことが一つの要因ではないかと考えています。 すなわち、興味範囲が「どのよう

        開発者が知っておきたい「XSSの発生原理以外」の話 - Flatt Security Blog
      • マイクロサービスでの認証認可 - Qiita

        複数のクラウドサービスを利用している(マルチクラウド)など、単純には閉域網を構築できない環境でマイクロサービスアーキテクチャを採用する場合には、サービス間の認証認可が必要となる。この場合のサービス間の認証認可方式を決める参考となる、OSSやSaaS、Webサービスで採用方式ついて整理した。 Istio サービスメッシュの実装として有名なIstioではサービス間通信を以下のように制御できる。 Istioの認証認可では認証主体がService Identityというモデルで抽象化され、KubernatesやIstioで定義するService Accountに加えて、GCP/AWSのIAMアカウントやオンプレミスの既存IDなどをService Identityとして扱うことができる。 サービス間の認証 (Peer Authentication) は、各サービス (Pod) に設置するSideca

          マイクロサービスでの認証認可 - Qiita
        • 書籍「ゲームの歴史」について(12/終) | Colorful Pieces of Game

          このテキストは岩崎夏海・稲田豊史両氏による、先日絶版・返本になると発表があった『ゲームの歴史』の1、2、3の中で、歴史的に見て問題があり、かつ僕が指摘できるところについて記述していくテキストだ。 (12)は3巻の第22-24章とあとがきを扱ったものになり、今回で最後になる。 いつもの2倍ぐらいの長さがあるので、覚悟して読んでいただきたい。 該当の本の引用部は読みやすさを考慮してスクリーンショットからonenoteのOCRで文字の書きだしをしたものを僕が修正したものになっている。なので校正ミスで本文と若干ずれたり、誤植がある場合があるかも知れないが、そこは指摘いただければ謹んで修正させていただく。 シリーズは以下のリンクを読んでいただきたい。 『ちょっとは正しいゲームの歴史』を国会図書館に納本しましたゲームレジェンド新刊『ちょっとは正しいゲームの歴史』できました書籍「ゲームの歴史」について(

          • 個人事業主として株式会社に訴訟して事実上勝訴した話 - するめごはんのIT日記

            画像提供元 photo AC様 ごきげんよう ※2022年1月22日追記 本記事を無償電子書籍にしました。 技術書典12にて頒布中です。 surumegohan.hatenablog.com 今回は掲題の通り 個人事業主(フリーランス)である私が株式会社に対して訴訟を起こし、事実上勝訴となった話を記載します。 裁判所からの和解調書の一部 この記事の最大の目的は相手方に対してどうこうではなく、世の中の個人事業主(フリーランス)が企業と契約した際のトラブルにおいて、少しでも泣き寝入りをする人を減らすためです。 しかしながら、私自身は法律の専門家ではないので、本記事中に不正確な面も含まれている可能性もあるため本記事をそのままご自身の立場等に照らし合わせることはもちろんできません。 本記事に関することで何かしら問題が発生しても責任はとれません。 また、本記事において説明の不足点があることは重々承知

              個人事業主として株式会社に訴訟して事実上勝訴した話 - するめごはんのIT日記
            • macOSのM1とx86-64におけるベンチマーク比較の考察

              世間ではAppleの新しい製品に使われるARM64 CPUであるM1の話題でもちきりだ。ただし、日本語を話す記者というのは極めて非科学的かつ無能であり、M1の現物を手にしても、末端のソフトウェアを動かして、体感で早いだの遅いだのと語るだけだ。そういう感想は居酒屋で酒を片手に漏らすべきであって、報道と呼ぶべきシロモノではない。 と思っていたら、Phoronixがやってくれた。M1とi7で動くmacOSでベンチマークをしている。 これを考察すると、M1のMac Miniは、一世代前のi7のMac Miniに比べて、メモリ性能とI/O性能が高く、演算性能は低いようだ。このことを考えると、M1の性能特性としては、動画のエンコードやソフトウェアレイトレーシングをするには不向きだが、その他の作業は遜色ないだろう。 問題は、仮想化とRosettaを組み合わせることができないという点だ。x86-64のユー

              • 社内用GitHub Actionsのセキュリティガイドラインを公開します | メルカリエンジニアリング

                この記事は、Merpay Tech Openness Month 2023 の4日目の記事です。 こんにちは。メルコインのバックエンドエンジニアの@goroです。 はじめに このGitHub Actionsのセキュリティガイドラインは、社内でGithub Actionsの利用に先駆け、社内有志によって検討されました。「GitHub Actionsを使うにあたりどういった点に留意すれば最低限の安全性を確保できるか学習してもらいたい」「定期的に本ドキュメントを見返してもらい自分たちのリポジトリーが安全な状態になっているか点検する際に役立ててもらいたい」という思いに基づいて作成されています。 今回はそんなガイドラインの一部を、社外の方々にも役立つと思い公開することにしました。 ガイドラインにおける目標 このガイドラインは事前に2段階の目標を設定して作成されています。まず第1に「常に達成したいこと

                  社内用GitHub Actionsのセキュリティガイドラインを公開します | メルカリエンジニアリング
                • 一見普通のUSBケーブルなのにキーボードで打ち込んだ内容をすべてWi-Fi経由で外部に送信してしまう「O.MGケーブル」が登場

                  一見すると普通のUSBケーブルですが、実際にPCに挿すと悪意のある挙動をしてハッキングの手助けをするというのが「O.MGケーブル」です。これまでも通常のUSBケーブルと見分けがつかないO.MGケーブルが発表されていたのですが、新たにPCのキーボードに打ち込んだ内容を保存するキーロガーを内蔵し、Wi-Fi経由で入力内容を外部に送信してしまうという新バージョンが登場しています。 O.MG Keylogger Cable https://mg.lol/blog/keylogger-cable/ This Seemingly Normal Lightning Cable Will Leak Everything You Type https://www.vice.com/en/article/k789me/omg-cables-keylogger-usbc-lightning Security R

                    一見普通のUSBケーブルなのにキーボードで打ち込んだ内容をすべてWi-Fi経由で外部に送信してしまう「O.MGケーブル」が登場
                  • 極右勢力が使っている北欧神話のシンボルについて(議事堂乱入男のタトゥーを読み解く)※今日は英文法はお休み - Hoarding Examples (英語例文等集積所)

                    【追記】本稿には続きがあります。そちらも併せてお読みください。 hoarding-examples.hatenablog.jp 本稿を書いたことで、改めて、英語で情報を入れている人とそうでない人の基本的な了解事項の格差(ギャップ)を知らされました。少しでも埋めたいので、当ブログはしばらくこの話題でこんな感じで続けます。受験シーズンに英文法から離れてしまって申し訳ないです。英文法の実例・解説が必要という方は、過去記事をあさってみてください。【追記ここまで】 今回は、英文法の実例とはちょっと方向性の違う内容で。 現地時間1月6日の米国会議事堂乱入についての報道で、やたらと目立っていた人物がいる。角のついた毛皮の帽子をかぶり、槍にくくりつけた星条旗を持って、顔にも星条旗の模様をペイントした男だ。とても目立つので取材陣のカメラにもよく写っていて、この日のために現地に入っていたというフリージャーナリ

                      極右勢力が使っている北欧神話のシンボルについて(議事堂乱入男のタトゥーを読み解く)※今日は英文法はお休み - Hoarding Examples (英語例文等集積所)
                    • IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた | DevelopersIO

                      コンバンハ、千葉(幸)です。 皆さんは、 PassRole と AssumeRole についてきちんと理解ができていますか?どちらも IAM ロールに関するものですね。 私はカラダ(ボディ)の調子がいい時は思い出せるのですが、雨が降っている日や、ちょっと疲れて気を抜いた時にはすぐ分からなくなってしまいます。 ということで、イメージとして脳に刻み付けることによって忘れられなくしてやろうと思いました。 そこで出来上がったのが以下です。 間違えました。以下です。 あ、でもやっぱり忘れづらいのはこちらかもしれませんね。 どうですか?もう忘れられなくなりましたね? 先にまとめ IAM ロールには以下ポリシーを設定できる アイデンティティベースポリシー Permissions boundary 信頼ポリシー AWS リソースに IAM ロールを引き渡す際には PassRole の権限が必要 PassR

                        IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた | DevelopersIO
                      • 【年末年始】2021年の「年間総合はてなブログランキング」トップ100と「はてな匿名ダイアリー」トップ50、一挙公開! - 週刊はてなブログ

                        みなさんにとって2021年はどんな一年だったでしょうか? 週刊はてなブログでは、毎週月曜日にはてなブログ・はてな匿名ダイアリーの記事を対象としてはてなブログ独自の集計を行い、「今週のはてなブログランキング」を公開。ランキングにはそのときどきの注目記事が集まっています。 今回は、その総決算として2021年にもっとも注目を集めた「年間総合はてなブログランキング」トップ100の記事と、「はてな匿名ダイアリー」トップ50の記事を発表します!*1。集計期間は2021年1月1日~同12月22日です。 # タイトル/著者とブックマーク 1 東大が無料公開している超良質なPython/Data Science/Cloud教材まとめ (*随時更新) - Digital, digital and digital by id:touya_hujitani 2 高卒新人に資産運用を説明する - やしお by id

                          【年末年始】2021年の「年間総合はてなブログランキング」トップ100と「はてな匿名ダイアリー」トップ50、一挙公開! - 週刊はてなブログ
                        • ベイエリアは東京より儲かるのか - k0kubun's blog

                          サンフランシスコベイエリアでのITエンジニアの給料は東京より高いが、税金や物価も高いと言われている *1 。ではどちらに住む方がより多くの金が手元に残るのだろうか。 僕がベイエリアに移住してからちょうど1年が経ったので、僕が東京とベイエリアそれぞれにいた頃の出費やタイトルでどのくらい家の収支に差が出るのかということをまとめてみる。なお、この記事を書いている時点で 105.60 円/ドル なので、ドル円の変換をする際はこのレートを用いる *2 。 収入 基本給 ベイエリア 東京 $153,600 913万円 GitLabは同社の世界各地での待遇計算基準を 公開 しており、地域間の差異を公平に計算するには割とよくできたベンチマークなのでここの年収をそのまま使う。計算に使われる location_factors.yml では、日本の給与はサンフランシスコの 56.3% になっている。 Calcu

                            ベイエリアは東京より儲かるのか - k0kubun's blog
                          • 60歳が近づいてきたので会社の定年制度を廃止した。自分で。|ただただし

                            はじめに - 秘密のミッションfreeeのような若い会社にも定年制度があると知ったら、驚かれるかも知れません。しかし、上場を期に整備された就業規則には、以下のような条文が存在していました。 第21条(定年) 従業員の定年は満60歳とし、定年に達した日の属する賃金締切日をもって退職とする。 定年に達した従業員のうち、本人が引き続き勤務を希望する者については、定年に達した日の属する賃金締切日の翌日から1年間、嘱託として再雇用することとし、その後最⻑で満65歳に達する日の属する賃金締切日まで同様とする。 freee株式会社 就業規則より日本の伝統的な企業にはたいていある、典型的な定年に関する条文です。今日は、この条文を抹殺すべく(?)freeeに入社し、みごと公約を果たしたというお話をします。 というわけでこんにちは。freeeのPSIRT (Product Security Incident

                              60歳が近づいてきたので会社の定年制度を廃止した。自分で。|ただただし
                            • 在宅勤務のラーメンが獣臭い

                              中小企業たる弊社もようやく今週から在宅勤務になったので、自炊生活を楽しみながら仕事するかと思い、朝の空いている時間にスーパーへ行った。 うどんやそばの麺が冷蔵で売っているコーナーでちょっといい袋ラーメンを買い、チャーシューでもたっぷり入れてやるかと思って探すと、あまりの高さに驚いた。普段はラーメン屋に食べに行くだけなので知らなかったが、既製品のチャーシューを単品で買うと、これほど高いものだとは。 これは高すぎる、かといって肉なしのラーメンも寂しいと思い、肉コーナーに行って豚バラ肉を200g買ってきた。同じ豚肉なのだから、ラーメンの汁に入れてしまえば、チャーシューとほとんど味は変わらないだろう、量が多いだけお得だ、という計算だった。 麺と一緒に豚肉を1パック全部茹でて、最後にスープと混ぜて、肉を頬張ったのだが、あまりの獣臭さにゴフッ、ゴフッ!!と咳き込んでしまい、鼻から麺が出た。 肉は臭すぎ

                                在宅勤務のラーメンが獣臭い
                              • 時雨堂 WebRTC 入門 (講師資料) v2023-05

                                learning-webrtc_2023-05.md 時雨堂 WebRTC 入門 (講師資料) v2023-05 これは時雨堂が開催しているオンラインイベントである WebRTC 入門の 講師用 の資料であり、 参加者用の資料ではありません。 時雨堂 WebRTC 入門 オンラインイベント 概要 ChatGPT がある今、学ぼうと思えば好きなだけ学べる時代がきています。 ただ「正しい情報」をなんとなく知っている事はとても重要だと考えています。 進め方 今回の WebRTC 入門はまず最後まで大まかに話をしていきます。 その後、残り時間を利用して、細かく話をしていきます。 資料表示用の画面と iPad を画面共有してホワイトボード的な使い方をしていきます。 お願い 是非 Discord にメモを残していってください。 後から振り返るとき、参加者の皆に有用だと思います。 ライセンス Creat

                                  時雨堂 WebRTC 入門 (講師資料) v2023-05
                                • セキュアなAWS環境の設計についての解説【2024年版】 - サーバーワークスエンジニアブログ

                                  こんにちは!イーゴリです。 AWS にとって、クラウドのセキュリティは最優先事項です。(AWS公式ページ) AWS環境のセキュリティ対策としてAWSサービスを解説するよりも、まずはAWS環境の最適な設計について考える必要があります。AWS Well-Architected Frameworkを考慮しながらの設計を推奨します。AWS Well-Architected Frameworkを全部詳しく読むことをおすすめしますが、この記事では個人的に一番重要だと思う点について記載します。 とてもざっくり説明しますと、AWS Well-Architected Frameworkとは、クラウドシステムの最適な設計方法を提供するAWSのガイドラインで、6つの柱があります。この記事では基本的に「セキュリティ」の柱を技術的観点から見てみたいと思います。 AWS Well-Architected Framew

                                    セキュアなAWS環境の設計についての解説【2024年版】 - サーバーワークスエンジニアブログ
                                  • ランサムウェアがシャットダウンされたPCをリモートから Wake-On-Lan(WOL)で強制起動させ暗号化する手口の話→ソースコードでの解説が凄い

                                    📕「マルウエアの教科書」著者 | 吉川孝志 | 増補改訂版🌟発売中 @MalwareBibleJP 【登録不要&無料公開】ランサムウェア攻撃グループ同士の繋がりやリブランドなどをまとめた一覧図(マップ)の最新版(PDF)を公開しました。 ぜひご自由にダウンロードしご活用ください。 前回バージョンの公開が2023年末でしたので、実に半年ぶりの更新になってしまいましたが、マップのサイズを2倍に拡大し、新たに50以上の攻撃グループに関する関連情報を新規追加・更新するなど、様々な改良を加え大幅アップデートしました。 ⚫︎「ランサムウェア/ 攻撃グループの変遷と繋がり − MBSD Ransomware Map Rev.2.20」 ⭐️新規&変更点: ●全体のレイアウトとサイズを大幅に見直し、情報をより見やすく整理しました。 ●攻撃グループ同士の関連性が一目でわかるようにデザインを視覚的に刷新。

                                      ランサムウェアがシャットダウンされたPCをリモートから Wake-On-Lan(WOL)で強制起動させ暗号化する手口の話→ソースコードでの解説が凄い
                                    • サイボウズ青野社長のマイナンバーカード批判に指摘する

                                      元記事はこれです https://note.com/yoshiaono/n/n4cd37820faf0 ・そもそもマイナンバーカードの目的がよくわからない。身分証明のためなら運転免許証や健康保険証でよくね?そもそも何が問題なの? 身分証明だけなら運転免許証で良いが(健康保険証は顔写真が無い)、誰でも取得出来る顔写真付き身分証明書は必要(追記) マイナンバーカードのICチップによる身分証明と正しいマイナンバーの検証が同時に確認できるのが肝 ・カードに書かれたマイナンバーが漏れるとまずいらしい。漏れるとまずいのに印刷するの?みんなで便利に使うための番号じゃないの? ここは政府の雑な説明がほぼ悪いのだが、青野社長レベルで「漏れるとまずいらしい」という認識なのか… 「みんなで便利に使うための番号じゃないの?」その議論もあったがマイナンバー法で目的外利用が厳しく制限された。アメリカでのSocial

                                        サイボウズ青野社長のマイナンバーカード批判に指摘する
                                      • sudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedit) - SIOS SECURITY BLOG

                                        OSSに関するセキュリティ・ツールの使い方・脆弱性等を紹介しています。 SELinux/Capability/AntiVirus/SCAP/SIEM/Threat Intelligence等。 OSS脆弱性ブログ01/27/2021にsudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedit)が公開されています。どのローカルユーザでもパスワード認証を経ずに特権昇格が出来るため、一度ローカルユーザのターミナルを開くことが出来れば権限昇格できてしまうという強烈なものです。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。 【01/27/2021 10:30更新】Amazon Linuxのリンク(ALSA-2021-1478)も加えました。また、詳細情報を追記しました。 【01/27/2021 14:30更新】O

                                          sudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedit) - SIOS SECURITY BLOG
                                        • パスワード管理/MFA管理の戦略

                                          自分のパスワードやMFA(多要素認証)の管理方法についてまとめた記事です。 パスワード管理とTOTP(Time-based One-time Password)の管理として1Passwordを使い、MFA(多要素認証)の2要素目としてYubiKeyを2枚使っています。 パスワード管理とMFA管理を安全で使いやすくするのはかなり複雑で難しいため、完璧にやるのが難しいです。 そのため、その難しさから二要素認証を設定するべきアカウントも手間などから設定を省いてしまったり、管理方法に一貫性がありませんでした。 この記事では、パスワード管理/MFA管理の戦略を決めることで、どのサイトのどのアカウントのパスワード管理をあまり頭を使わなくてもできるようにするのが目的です。利便性と安全性のバランスを意識はしていますが、この記事のやり方が正解ではないので、各自の目的に合わせて読み替えると良いと思います。 用

                                            パスワード管理/MFA管理の戦略
                                          • Appleが、PowerPCとインテルを見捨てた理由

                                            Tediumより。 AppleがPowerPCからIntel CPUに移行した時を振り返り、なぜ今、インテルが15年前のPowerPCと同じ立場にあるのかを考えてみよう。 アーニー・スミス Today in Tedium: おそらく、今日私が状況を説明しようとしている待望の瞬間は、ある意味で完全に避けられないでしょう。何年もの間、AppleはARMプロセッサ・アーキテクチャの知識を利用してデスクトップやノートパソコンにARMを持ち込むという噂がありました。来週の仮想ワールドワイド・デベロッパーズ・カンファレンスで、iPhoneの巨人がまさにそれを行うことを期待されています。もちろん、多くの人は失敗したパートナー、つまりAppleの垂直統合への動きにつながったビジネスの失恋相手であるインテルに焦点を当てることでしょう。しかし、私は、インテルがAppleを買収する途中で打ち負かしたプラットフォ

                                              Appleが、PowerPCとインテルを見捨てた理由
                                            • OS Xの終焉

                                              STRATECHERYより。 2002年5月6日、スティーブ・ジョブズはWWDCでClassic Mac OSの葬儀を行いました。 18年後の昨日、OS Xはついに自ら終焉を迎えました。macOSの次のバージョンは10.16ではなく11.0です。 葬儀はありませんでした。 OS Xファミリー OS Xは、テクノロジーの中でも最も魅力的な系統樹を持っています。その重要性を理解するには、それぞれの先人を理解する必要があります。 Unix: Unixは、AT&Tのベル研究所(その著作権はノベルが所有)に由来する特異なオペレーティング・システムを指しますが、米国政府との和解のおかげで(電気通信の巨人を大目に見ることになり、広く批判されました)、Unixは特に大学に広くライセンスされています。結果として最も人気のある亜種の1つは、カリフォルニア大学バークレー校で開発されたBerkeley Softw

                                                OS Xの終焉
                                              • 本番環境で実践したいAWSセキュリティのベストプラクティス26選

                                                本文の内容は、2022年8月29日にAlejandro Villanuevaが投稿したブログ(https://sysdig.com/blog/26-aws-security-best-practices/)を元に日本語に翻訳・再構成した内容となっております。 Well-architected フレームワークの最も重要な柱の1つは、セキュリティです。したがって、AWSセキュリティベストプラクティスに従って、不測なセキュリティの事態を防止することが重要です。 さて、あなたは問題を解決するために、ソリューションを構築してホストする目的でAWSに着目しました。アカウントを作成し、コーヒーを淹れてワークステーションに座り、設計、コーディング、ビルド、デプロイをする準備はすべて整いました。しかし、そうではありません。 ソリューションの運用性、安全性、信頼性、パフォーマンス、費用対効果を高めるには、多く

                                                  本番環境で実践したいAWSセキュリティのベストプラクティス26選
                                                • OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を

                                                  OpenSSLに重大度「CRITICAL(致命的)」の脆弱(ぜいじゃく)性が発見されました。脆弱性への対応は迅速に行われており、日本時間の2022年11月1日22時~2022年11月2日4時の間に修正版の「OpenSSL 3.0.7」が公開予定です。OpenSSLに重大度「CRITICAL」の脆弱性が発見されたのは、2014年に報告されて世界中を騒がせた「Heartbleed」に続いて史上2回目。修正版のリリース後には、速やかにアップデートを適用する必要があります。【2022年11月2日追記】その後の分析の結果、OpenSSL 3.0.7で修正された脆弱性の重大度は「HIGH(CRITICALの1段階下)」に修正されました。 Forthcoming OpenSSL Releases https://mta.openssl.org/pipermail/openssl-announce/202

                                                    OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を
                                                  • 「認証」を整理する | IIJ Engineers Blog

                                                    英語の「Authentication」を整理する ここからは先ほどの分類で言うところの「ユーザ認証」としての「認証」、つまり英語の「Authentication」に該当する「認証」について、さらに整理を進めていきます。 先ほど、「ユーザ認証」を「システムを利用しようとしているユーザを、システムに登録済みのユーザかどうか識別し、ユーザが主張する身元を検証するプロセス」と説明しました。「ユーザの識別」と「身元の検証」はユーザ認証に欠かせませんが、実際は他にも「ユーザの有効/無効状態の確認」や「検証に成功した場合の身元の保証(アクセストークンの発行等)」などの処理も一般的にユーザ認証のプロセスには含まれます。 ここで冒頭の「○○認証」を振り返りましょう。パスワード認証、SMS認証、指紋認証、顔認証は実はここで言うユーザ認証には該当せず、ユーザ認証中の一処理である「身元の検証」を担っていることがお

                                                      「認証」を整理する | IIJ Engineers Blog
                                                    • IPA高度資格「情報処理安全確保支援士」暗記すべき用語を体系整理 - Qiita

                                                      はじめに ◆この記事は何? IPA高度資格「情報処理安全確保支援士」のシラバスに掲載されている用語の備忘録です ◆対象は? 情報処理安全確保支援士の試験勉強をされる方 ◆この記事のねらい 試験範囲の用語の階層を整理します 試験勉強の一助となれば幸いです ◆この記事について シラバスの用語を参考書等を読みながら自分なりに整理した私の暗記用のノートです シラバスver4.0 試験に向けて高頻度で更新しています ご助言、誤り等あればご指摘いただけると幸いです 試験範囲全体 試験範囲の分解 暗号 認証 ネットワークセキュリティ データベースセキュリティ クライアントセキュリティ httpセキュリティ メールセキュリティ 攻撃と対策 注目技術 ※参考文献の目次をベースに、試験範囲を分解 暗号技術 共通鍵暗号方式 ブロック暗号 ECBモード CBCモード CTRモード(Counterモード) ストリー

                                                        IPA高度資格「情報処理安全確保支援士」暗記すべき用語を体系整理 - Qiita
                                                      • 読んでみたら最高だった「クラウド系オススメ技術同人誌」を7冊紹介します #技術書典 - 憂鬱な世界にネコパンチ!

                                                        2020年4月5日に閉幕した技術書典 応援祭では、たくさんの技術同人誌が頒布されました。 本記事ではAWS・コンテナ・CICDをテーマにしたオススメの技術同人誌を紹介します。 個人的な趣味趣向から、特定領域について広く網羅している本ばかりになりました。 なお本記事で紹介している本はすべてBOOTHから購入できます。 リンクも貼ってあるので、気になる本はぜひ買いましょう。 どの本も1000円か1500円でとってもお安いので、全部買ってもいいぐらいですよ! クラウド破産を回避するAWS実践ガイド いきなり自著の紹介からスタートしますが、『クラウド破産を回避するAWS実践ガイド』ではAWSアカウントのセキュリティについて解説しています。「AWSなんか怖い…」を「AWSなど恐るるに足らず!」に変える本です。AWSは気になってるけど勇気が出ないという人・AWSアカウントは持ってるけどセキュリティが放

                                                          読んでみたら最高だった「クラウド系オススメ技術同人誌」を7冊紹介します #技術書典 - 憂鬱な世界にネコパンチ!
                                                        • About · Container Security Book

                                                          Container Security Book ⚠️この文書は製作中のものです About これから Linux コンテナのセキュリティを学びたい人のための文書です。 普段からコンテナを扱っているが、コンテナの基礎技術やセキュリティについては分からないという人が、それらを理解できる足がかりになるように書かれています。 誤字脱字や間違いなどあれば https://github.com/mrtc0/container-security-book に Issue もしくは Pull Request を立ててください。 ご意見、ご感想等は Twitter ハッシュタグ #container_security でツイートをお願いします。 License この書籍に記述されているすべてのソースコードは MIT ライセンスとします。 また、文章は Creative Commons Attribution

                                                          • 情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

                                                            「情報セキュリティ10大脅威 2024」簡易説明資料(スライド形式) 情報セキュリティ10大脅威 2024 [組織編] 104ページ(PDF:3.7 MB) 情報セキュリティ10大脅威 2024 [個人編] 94ページ(PDF:3.7 MB) 情報セキュリティ10大脅威 2024 [個人編](一般利用者向け) 72ページ(PDF:3.9 MB) 情報セキュリティ10大脅威 2024 [組織編](英語版) 104ページ(PDF:4.2 MB) 「情報セキュリティ10大脅威 2024」簡易説明資料(脅威個別版) 情報セキュリティ10大脅威 2024 [組織編](脅威個別版)(ZIP:6.8 MB) 情報セキュリティ10大脅威 2024 [個人編](脅威個別版)(ZIP:6.4 MB) 10大脅威の引用について 資料に含まれるデータやグラフ・図表・イラスト等を、作成される資料に引用・抜粋してご利

                                                              情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
                                                            • セキュリティ資格一覧|セキュリティ資格の解説とその取得メリット・選択ポイント(上)

                                                              サイバー攻撃が高度化し被害が深刻化するにつれ、その防御には専門的なスキルが不可欠となっています。セキュリティ担当者の深い知識と豊富な実務経験が求められているのです。 そのスキルを証明するものにセキュリティ資格があります。セキュリティ資格の種類も多数あり、受験者の増加傾向も見られるようになってきました。これらセキュリティ資格には、どのような職種向けに、どのようなものがあるのでしょうか。また、取得することで、個人や企業にどのようなメリットがあるのでしょうか。 ここでは、主にセキュリティ資格の取得メリットと選択ポイントを2回に分けて紹介します。 セキュリティ資格は多くの種類があり、その数も増えつつあります。国が制度として実施しているものもあれば、ベンダーが展開しているセキュリティ資格もあります。中間に位置するものとして、団体が提供するセキュリティ資格もあります。 さらに、日本国内のみならず、海外

                                                                セキュリティ資格一覧|セキュリティ資格の解説とその取得メリット・選択ポイント(上)
                                                              • AWS,Azure,GCPの3大クラウドのアーキテクト試験に合格してみての個人的比較 - Qiita

                                                                3大クラウドと呼ばれてる(はず)のAWS、Azure,GCPについて、それぞれ一番中心となるだろうアーキテクト試験を取得してきたので、個人的な感想や比較を書きたいと思います。 AWS Solution Architect Professional Azure Solutions Architect Expert GCP Professional Cloud Architect 3つを受けてみると、各社の色が現れていて面白かったです。 以下、個人的かつ定性的な評価となります。 ※3大クラウドのDevOps試験についてはこちらに記事書きましたので良かったらどうぞ https://qiita.com/yomon8/items/4c223b51a04d0b1feeeb 3試験で共通していること IaaSが半分、残りをPaaSをSaaSを組み合わせたような出題分野で、所謂インフラ寄りですね。開発知識

                                                                  AWS,Azure,GCPの3大クラウドのアーキテクト試験に合格してみての個人的比較 - Qiita
                                                                • IT技術書を執筆して、FIRE生活を実現するまで。30冊以上の本を書いて見えてきた「自分らしい生き方」 - Findy Engineer Lab

                                                                  はじめに はじめまして、IPUSIRON(@ipusiron)と申します。現在はIT技術書の執筆を本業としつつ、FIRE生活を過ごしています。 最初の本が出たのが2001年です。途中で学生や会社員だった時期もありますが、20年以上執筆し続けていることになります。その間、30冊を超える本を執筆してきました。 このたび、「IT技術書を執筆して、FIREをどう実現したのか」というテーマのコラムを寄稿する機会をいただきました。これまでのキャリアを振り返りつつ、次に示す内容を紹介します。 IT技術書の執筆活動を続けてきた中で、印象深い出来事 IT技術書を執筆するということ IT技術書を執筆して、FIREを実現した理由や経緯 自らのキャリアを振り返って、他のエンジニアの方々に伝えたいこと Xでは、読書や執筆に関することを日々発信していますので、気軽にフォローしてください。 はじめに IT技術書の執筆活

                                                                    IT技術書を執筆して、FIRE生活を実現するまで。30冊以上の本を書いて見えてきた「自分らしい生き方」 - Findy Engineer Lab
                                                                  • Wiresharkによるパケット解析講座 8:HTTPSトラフィックの復号

                                                                    This post is also available in: English (英語) 概要 本シリーズは、疑わしいネットワークアクティビティの調査やネットワークトラフィックのパケットキャプチャ(pcap)の確認を業務で行っておられるセキュリティ専門家を読者として想定しています。このため本稿での手順説明は読者の皆さんがWiresharkの使いかたをご存知であることを前提としています。また、本稿にて利用するWiresharkのバージョンは主に3.xとなります。 昨今、対象となる疑わしいネットワークアクティビティのトラフィックが暗号化されていることは珍しくありません。今はほとんどのWebサイトが Hypertext Transfer Protocol Secure(HTTPS)プロトコルを使用しており、そうした通常の Webサイトと同様にさまざまなマルウェアもまた HTTPS を利用していま

                                                                      Wiresharkによるパケット解析講座 8:HTTPSトラフィックの復号
                                                                    • ドイツでベーシックインカム実験始まる…3年間、毎月15万円を支給。イギリスなどでも議論がスタート(BUSINESS INSIDER JAPAN) - Yahoo!ニュース

                                                                      スコットランド自治政府のニコラ・スタージョン首相は5月、新型コロナウイルスのパンデミックにより壊滅状態となった経済を立て直す解決策として、ユニバーサル・ベーシック・インカムに言及した。 ドイツ経済研究所によるユニバーサル・ベーシック・インカム(UBI)研究の一環として、120人のドイツ人が3年にわたって毎月1200ユーロ(約15万円)を受け取る。 UBIは国民あるいは居住者に対して最低限必要な所得を保障する政策で、通常は政府から現金の支給という形で行われる。 暫定的なUBIは、すでにアメリカ、スペイン、デンマークなどいくつかの国で実施されている。 ドイツの研究者グループが、ユニバーサル・ベーシック・インカム(UBI)の効果を明らかにするための実験を開始した。UBIは、国民あるいは居住者に対して最低限必要な所得を保障する政策で、通常は政府から現金の支給という形で行われる。 ドイツ経済研究所が

                                                                        ドイツでベーシックインカム実験始まる…3年間、毎月15万円を支給。イギリスなどでも議論がスタート(BUSINESS INSIDER JAPAN) - Yahoo!ニュース
                                                                      • セキュリティツールの評価は難しい - knqyf263's blog

                                                                        前から思ってたことをちょっと書かずにいられなくなったのでポエムを書きました。 背景 問題 検知している方が正しいように見えがち 条件を揃えるのが難しい 環境の再現が難しい 検知数が多い方が良さそうに見える 正解かどうかの判断が難しい カバー範囲の正確な見極めが難しい 検知されないほうが嬉しい まとめ 背景 お前誰だよってなるかもしれないので書いておくと、Trivyという脆弱性スキャナーのメンテナをやっています。 github.com とある有名な方による以下のツイートがありました。 I just discovered, during @cloudflare #SecurityWeek no less, that Trivy (the vuln scanner) doesn't detect known issues in Alpine images. Including a critica

                                                                          セキュリティツールの評価は難しい - knqyf263's blog
                                                                        • Ubuntu 24.04 LTS サーバ構築手順書

                                                                          0 issue "letsencrypt.org" 0 issuewild "letsencrypt.org" 0 iodef "mailto:yourmail@example.jp" §OS再インストール 初期設定で期待通りの設定ができていない場合は、OSの再インストールをする。 さくらVPSのコントロールパネルから、OSを再インストールするサーバを選ぶ。 www99999ui.vs.sakura.ne.jp §OSのインストール操作 Ubuntu 24.04 LTS を選ぶ。 OSインストール時のパケットフィルタ(ポート制限)を無効にして、ファイアウォールは手動で設定することにする。 初期ユーザのパスワードに使える文字が制限されているので、ここでは簡単なパスワードにしておき、後ですぐに複雑なパスワードに変更する。 公開鍵認証できるように公開鍵を登録しておく。 §秘密鍵と公開鍵の作成 ク

                                                                            Ubuntu 24.04 LTS サーバ構築手順書
                                                                          • 情報セキュリティ白書2020 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構

                                                                            編集・発行元 独立行政法人情報処理推進機構(IPA) 発行日 2020年9月3日 サイズ ソフトカバー/A4判 ISBN ISBN 978-4-905318-74-3 定価 定価:2,200円(税抜価格2,000 円、消費税率10%) 書籍概要 概要 IPAでは、「情報セキュリティ白書」を2008年から毎年発行しており、今年で13冊目を数えます。本白書は、情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態など定番トピックの他、毎年タイムリーなトピックを新たに取り上げています。 各トピックでは国内外の官民の各種データ、資料を数多く紹介しており、情報の網羅性と参照性の高さが特長で、情報セキュリティ分野の全体把握が容易です。 また、本白書は次のような使途で利用されています(昨年版の読者アンケートから抜粋)。 顧客向け資料への参考や引用 社内資料に使用 業界動向把握

                                                                              情報セキュリティ白書2020 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構
                                                                            • Wiresharkで観察して理解するHTTPS(HTTP over TLS)の仕組み - RAKUS Developers Blog | ラクス エンジニアブログ

                                                                              はじめに HTTPS(HTTP Over TLS)とは SSL/TLS HTTPSの流れ 実際に通信を観察 自己署名証明書の用意 サーバーの作成 WireSharkの準備 リクエストを送信して観察 まとめ 年に1度の技術イベント「RAKUS Tech Conference」を開催します!! はじめに エンジニア2年目のTKDSです! 普段何気なく使ってるほとんどのWebサイトが対応しているHTTPS通信の仕組みについて調べてみました。 本記事では、Wiresharkを用いてHTTPSの内部動作を解析し、どのようにしてデータが保護されているのかを具体的に解説します。 記事の後半では、Wiresharkを使って実際の通信データを観察し、暗号化プロセスの詳細を確認してみます。 HTTPS(HTTP Over TLS)とは HTTPS(HTTP Over TLS)は、HTTPの暗号化版で、ウェブサ

                                                                                Wiresharkで観察して理解するHTTPS(HTTP over TLS)の仕組み - RAKUS Developers Blog | ラクス エンジニアブログ
                                                                              • 警察庁内端末不正アクセスと5万件の脆弱なVPNホストの公開についてまとめてみた - piyolog

                                                                                警察庁は2020年11月27日、庁内の端末が1年以上前から不正アクセスを受けていたことを発表しました。また同時期に公開された脆弱なVPN機器リストについても併せてここでまとめます。 VPNのパスワードが漏れた可能性 不正アクセスが確認されたのは警察庁情報通信局のノートPC1台。業務物品の手配を行う専用端末として利用されていたもの。 ノートPCは他のシステムとは接続されておらず、警察庁は情報流出の可能性は低いと判断。不正アクセスが行われたタイミングでは端末に情報保管を行っていなかった。 複数のIPアドレスから2019年8月から2020年11月中旬まで合計46回の不正アクセスが行われていた。*1 ノートPCからインターネット接続を行う際にVPN機器を利用。このVPNのパスワードが第三者に利用された可能性がある。*2 警視庁からの情報提供を受け発覚 2020年11月25日に警視庁から「不正アクセ

                                                                                  警察庁内端末不正アクセスと5万件の脆弱なVPNホストの公開についてまとめてみた - piyolog
                                                                                • 型キャストの場所のせいで、秒で終わっていたクエリに1時間超かかるようになってしまった話 - SmartHR Tech Blog

                                                                                  SmartHRで届出書類という機能を担当しているプロダクトエンジニアのsato-sと申します。 今日は、以前私が調査にとても苦労したパフォーマンス上の問題の話を紹介したいと思います。 TL;DR PostgreSQLのアップグレードを実施した アップグレード後、今までは問題のなかった特定のクエリの実行に1時間超かかり、DBのCPU使用率がピッタリ100%に張り付くようになった 色々調査した結果、PostgreSQL上の型キャストの場所のせいで、良くないクエリプランが選択されることが原因だった 型キャストの場所には気をつけよう PostgreSQLのアップグレードと挫折 SmartHRでは基本的にWebアプリケーションのデータベースとしてGoogle CloudのCloudSQLによって提供されるPostgreSQLを利用しています。 私の担当している届出書類機能では、利用中のPostgre

                                                                                    型キャストの場所のせいで、秒で終わっていたクエリに1時間超かかるようになってしまった話 - SmartHR Tech Blog