大学在学中&休学中に複数のIT系スタートアップでのインターンやベンチャーキャピタルでのリサーチバイトを経験後、フリーランスとして独立。現在は「TechCrunch Japan」などでスタートアップ企業のプロダクトや資金調達を中心としたインタビュー・執筆活動を行っている。 From DIAMOND SIGNAL スタートアップやDX(デジタルトランスフォーメーション)を進める大企業など、テクノロジーを武器に新たな産業を生み出さんとする「挑戦者」。彼ら・彼女にフォーカスして情報を届ける媒体「DIAMOND SIGNAL」から、オススメの記事を転載します。※DIAMOND SIGNALは2024年1月をもって、ダイヤモンド・オンラインと統合いたしました。すべての記事は本連載からお読みいただけます。 バックナンバー一覧 財布、カギ、自動車、部屋の中にある電化製品、ひいては自分の身体情報まで。身の回
シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、著名なフレームワークな状況とエンジニアの技術理解の現状を踏まえ、SPAセキュリティの現実的な方法について説明します。 Discord Channel: #track1-8-spa-security
はじめに 本記事では無料で公開されている企業のエンジニア向け研修資料をまとめました。 近年では、多くの企業が新人向けの研修資料を公開しています。これらの資料は内容が充実しており、初心者から中級者まで幅広いレベルの学びを得ることができます。さらに、資料の作り方も参考になるため、勉強会で発表する人や企業の研修担当者にとっても貴重な情報源となっています。 本記事では様々な企業のエンジニア向け研修資料をまとめましたので、ぜひ参考にしてみてください! 弊社Nucoでは、他にも様々なお役立ち記事を公開しています。よかったら、Organizationのページも覗いてみてください。 また、Nucoでは一緒に働く仲間も募集しています!興味をお持ちいただける方は、こちらまで。 この記事の主な対象者 有名企業の研修資料を幅広く確認したい方 エンジニアとして初級から中級レベルの方 独学で学んでいる方 今後研修資料
非常に感染力・拡散力が高く、PCにダウンロードされることでさまざまなマルウェア感染を引き起こす「Emotet」は近年、その被害の大きさから問題視されています。このEmotetのマルウェアファイルが、何者かに無害なGIFアニメーションへと置き換えられているという報告があがっています。 Emotet being hijacked by another actor | by Kevin Beaumont | Jul, 2020 | DoublePulsar https://doublepulsar.com/emotet-being-hijacked-by-another-actor-b22414352a7b A vigilante is sabotaging the Emotet botnet by replacing malware payloads with GIFs | ZDNet htt
GitHubでは削除されていたりプライベートに設定されていたりするフォークやリポジトリに誰でもアクセスでき、さらにその動作が欠陥ではなく仕様通りであるとオープンソースセキュリティ企業のTruffle Securityがブログに投稿しました。 Anyone can Access Deleted and Private Repository Data on GitHub ◆ Truffle Security Co. https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github GitHubでの一般的なワークフローとして、「新しいフォークを作成する」「コミットする」「フォークを削除する」というものを考えてみます。 この時、削除したはずのフォークの中身を誰でも確認できてしまうとのこと。
「セキュリティ情報ってどこから仕入れたら良いんだろう?」 って思ったことありませんか?今回は私が日常的に確認している、おすすめのセキュリティ情報サイトを紹介します。最後には読み方のポイントも紹介します! それでは早速やっていくっ!! 今回紹介するサイト 以下の5サイトを紹介します。 IPA JVN Security NEXT Amazon Linux Security Center Security Bulletins 1. IPA 重要なセキュリティ情報一覧 IPA の説明を Wikipedia より引用。 独立行政法人情報処理推進機構(じょうほうしょりすいしんきこう、英: Information-technology Promotion Agency, Japan、略称:IPA)は、日本におけるIT国家戦略を技術面、人材面から支えるために設立された、経済産業省所管の中期目標管理法人たる
みなさん大好き(?)、AWS認定試験のお話です。 参考:AWS 認定 – AWS クラウドコンピューティング認定プログラム | AWS 私は現時点で全ての認定(12個)を持っているのですが、認定の有効期限があるうちに振り返っておきたいと思います。 ※Big Data認定は現在Data Analyticsに名前が変更されています。私は古い形式のBig Dataのみ合格しています。 →2021/3/9にData Analyticsも合格しました!Big Dataの後継になるため、認定の種類としては現在も12種類ですが、バッチ的には13個手にいれることができました。 受験日、スコア 認定 受験日 スコア Solutions Architect - Associate 2017-07-23 78% (*1) Solutions Architect - Professional 2018-11-06
こんにちは、臼田です。 皆さん、WAFWAFしてますか?(挨拶 今回はタイトル通りAWS WAFを完全に理解するための情報を全部詰め込んだブログです。長いです。 そもそもWAFってなんだっけ?という話から初めて「全部理解した」と言えるようになるまでをまとめています。直近AWS WAF v2がリリースされたため、この変更点を中心に機能の説明をします。 Developers.IOではWAFを扱った記事がたくさんあるので、細かいところはブログを引用します。いわゆる元気玉ブログです。 おさらい的な部分も多いので変更点が気になる方は適当に飛ばしてください。 そもそもWAFとは AWS WAFの前にWAFの話をします。WAFはWeb Application Firewallの略でWebアプリケーションを保護するためのソリューションです。 一般的なWebアプリケーションに対する攻撃手法としてSQLインジ
OAuthにおける認可コード横取り攻撃とその対策 Jul 5, 2021 前回の記事で示したように、カスタムURLスキームを偽装した不正アプリは正規アプリへのディープリンクを乗っ取れる。この挙動の悪用シナリオとして、正規アプリと認可サーバー間のOAuthフローにおける認可コード横取り攻撃が知られている。この攻撃への対策を把握するためにiOS環境でシナリオを再現し、PKCEの有効性を確認した。 要約 OAuth 2.0の拡張機能であるPKCEを導入することで認可コード横取り攻撃を無効化できる。OAuth 2.0の仕様では、認可サーバーはネイティブアプリをクライアント認証できない。そのため、認可サーバーは認可コードを横取りした不正アプリと正規アプリを識別できない。しかし、PKCEの仕組みにより認可サーバーは正規アプリを識別できるようになり、認可コード横取り攻撃の検知が可能となる。 ネイティブア
これまでのLinuxでは、ユーザーの追加はuseraddで行われ、ホームディレクトリは/home以下にディレクトリとして作られ、ユーザーのアカウントは/etc/passwd、/etc/group、/etc/shadowで管理されていました。 これからは、systemd-homedがその全ての仕事を置換することになります。 ※タイトル詐欺感がありますが、従来の方式も並行して使えます。安心してください。 systemd-homedとは? systemd バージョン245で追加された、ユーザー管理デーモン。実体はsystemdのサービスユニットファイルで、systemd-homed.serviceとして起動されます。 今後、ユーザーの管理や認証はsystemd-homed(以下、 homed )によって行われることになるようですね。 出典が無く間違いだったため、訂正しました。systemd-ho
セキュリティエンジニアにセキュリティ技術情報収集のやり方を聞いてみた - ラック・セキュリティごった煮ブログ
こんにちは、かすたーど先生です。 セキュリティ業界を目指している学生さんとお話しする機会がたまにあるのですが、「セキュリティエンジニアの方は、どうやってセキュリティ技術に関する情報収集しているんですか?」と聞かれることがよくあります。 情報収集の方法って、学生さんももちろん、セキュリティエンジニアの方同士も「他の人はどうやっているんだろう?」と思っているネタなのではと思いまして、今回ブログのテーマにすることにしました。 ということで、私と同じデジタルペンテスト部に所属している一部のセキュリティエンジニア約30名に協力してもらい、セキュリティ技術の情報収集に関するアンケートを実施しました。結果をご紹介します。 1:セキュリティ技術の情報収集は何を使って実施していますか(複数回答可) 1位:Twitter 2位:ニュース系サイト 3位:書籍・ブログ(同数) 4位:脆弱性情報データベース 5位:
先日、RFC9116が発表されました🚀 あなたのWebサービスに潜在する未知の脆弱性を誰かが見つけた時、それをあなたに連絡する方法を提示するsecurity.txtを標準化するものです。 この記事では何故これが必要だったのか、そして私たちがこれを実装する方法を簡潔に説明します。 なぜこれが必要だったのか https://securitytxt.org/のSummary(概要)にはこのように書かれています。 Webサービスのセキュリティリスクが、リスクの重大性を理解している独立したセキュリティ研究者によって発見された場合、それらを適切に開示するためのチャンネルが不足していることがよくあります。 その結果、セキュリティの問題が報告されないままになる可能性があります。 security.txtは、組織がセキュリティ研究者がセキュリティの脆弱性を安全に開示するためのプロセスを定義するのに役立つ標
多くの人、特にMacユーザに読んでほしい「Your Computer Isn't Yours」日本語訳 - YAMDAS現更新履歴
sneak.berlin コリィ・ドクトロウのブログ(ニュースレター)Pluralistic の Digital manorialism vs neofeudalism で宣伝されているローカス・マガジンの連載記事 Neofeudalism and the Digital Manor(日本語訳)経由で知ったブログ記事である。 恥ずかしい話だが、ワタシはこの記事で書かれている最近のバージョンの macOS のおそるべきユーザ支配について、これが書かれた昨年11月に話題になっていたことを知らなかった。 しかし、このエントリのはてなブックマークを見ても、その内容を考えると数が控えめで、もしかするとワタシのように知らない人も多いのかもと思ったので、ここで紹介しておいたほうがよいと思った次第である。 最近のバージョンの macOS では、君はコンピューターの利用ログを記録されていて、ログデータを送信
富士通のプロジェクト情報共有ツール「ProjectWEB」への不正アクセスについてまとめてみた - piyolog
2021年5月25日、富士通はプロジェクト情報共有ツール「ProjectWEB」を利用する一部のプロジェクトに対し不正アクセスがあり、ツール内で保管された情報が窃取されたことを発表しました。ここでは関連する情報をまとめます。 情報流出確認されシステム運用停止 不正アクセスが確認されたProjetWEBは社内外の関係者(同社グループ会社、顧客、業務委託先等)とインターネット上で情報共有するサービス。ライブラリ、予定表、Todo管理、ドキュメント管理等の機能で構成される。富士通のデータセンターで稼働。利用実績は公表されていないが、数千プロジェクトで利用と報じられている。(平成21年時点で3000か所で利用)*1 富士通が不正アクセスとみられる痕跡を確認したのは5月6日。調査の結果、流出事実が確認されたことから25日にシステム運用を停止している。富士通社内への不正アクセスは確認されていない。*2
「AWS CDK Conference Japan」は AWS CDK ユーザーが集まって事例やノウハウを共有しあうイベントです。今回は、CDKv2をメインテーマに、初の大型カンファレンスが開催されました。アマゾンウェブサービスジャパンの大村氏は「Baseline Environment on AWS (BLEA)開発にあたって検討したこと」をテーマに発表しました。まずはCDKとBLEAについて解説したのち、これからCDKを使う方たちへのナレッジを紹介します 自己紹介 司会者:次は、今までがんばってCDK(Cloud Development Kit)を普及させてきた大村さんです。 大村幸敬氏(以下、大村):よろしくお願いします。 司会者:初めて聞く単語なんですが、読み方は「ブレア」でいいですか? 大村:「ブレア」でいいです。 司会者:準備ができたらBLEA(Baseline Environ
Gmailをメーラーとして使ってますが、メールを開くのがいまだに苦手です。 これをどうにかしようと、メールをもっと気軽に消せる方法はないかなーと思ってInbox Zeroを思い出したのでやり始めました。 次の記事や動画を参考にしています。 Inbox Zero and the Inbox Zero Method — everything you need to know 【15分で完了】1度設定したら戻れない、受信トレイ0生活 | おかんの給湯室 My Complete Inbox Zero Workflow (in 2022)! - YouTube 基本的には、この動画を参考にして設定しました。 Inbox Zeroの設定方法 細かい設定は参考にした動画や記事の方に任せます。 Gmailの”設定”でやること 詳細タブ [ ] 自動表示 を有効化(アーカイブしたときに次のメールを自動で開く
PCをウイルス感染から防衛するためには、専用のアンチウイルスソフトが必要と思われがちなものですが、実はWindowsにはMicrosoftが開発した「Microsoft Defender(旧称:Windows Defender)」というウイルス対策の仕組みが用意されています。このMicrosoft Defenderについて、より防御を手厚くする方法についてセキュリティエンジニアのHoekさんが解説しています。 Windows Defender is enough, if you harden it https://0ut3r.space/2022/03/06/windows-defender/ クラウド保護と Microsoft Defender ウイルス対策 | Microsoft Docs https://docs.microsoft.com/ja-jp/microsoft-365/s
マイクロソフトは2022年11月4日に「Microsoft Digital Defense Report 2022」(https://www.microsoft.com/en-us/security/business/microsoft-digital-defense-report-2022)を公開し、11月7日には抄訳の日本語訳の「独裁的指導者の攻撃性の増加に伴い、国家支援型のサイバー攻撃がより大胆に」(https://news.microsoft.com/ja-jp/2022/11/07/221107-microsoft-digital-defense-report-2022-ukraine/)を公開した。2022年に起こった主要なサイバーセキュリティ5つのポイントについてまとめている。 ピックアップされた5つのポイント ・サイバー犯罪の状況(The State of Cybercri
Chrome 113 で、 DevTools の Network ペインで HTTP ヘッダを好きなように編集して、いろんな状態をお試しできるようになっている。 What's New in DevTools (Chrome 113) - Chrome Developers で紹介されている。 GitHub から example.com を fetch してみる GitHub の CSP ヘッダを上書き example.com の CORS のヘッダを上書き 途中で指定したフォルダの中身は何? 上書きをやめるには? 感想 GitHub から example.com を fetch してみる 試しに、 CSP で外部への通信がそれなりに制限されている GitHub から、 example.com への fetch を成功させてみる (外部サイトへの通信は、認証情報や秘密の情報の漏洩などに気をつ
徳丸浩氏に聞く、クレカ情報の非保持化に潜む漏洩リスクとEC事業者の対策 ECサイトやWebサービスからの情報漏洩が相次いでおり、クレジットカード番号やセキュリティコードなど、機微な情報が漏洩する事案も散見されます。特に、クレジットカード情報は、2018年に施行された改正割賦販売法にもとづき、ECサイトやWebサービスの運営事業者では事実上、保持しないこと(非保持化)が義務付けられているなか、なぜ漏洩被害が発生してしまうのでしょうか。 本記事では、ECサイトからの漏洩事案を題材として、Webセキュリティの専門家である徳丸浩氏に「なぜクレジットカード情報の漏洩が起こってしまうのか」「ECサイト事業者はどのような対策をとるべきか」「漏洩が発生した場合、どんな流れで対応すべきか」などを伺いました。 この記事のポイント ECサイトでクレジットカード情報の漏洩事案が発生するのは、ECサイトの利用者がク
転職活動 - mala
2020年7月現在、転職活動をしています。お気軽にお問い合わせください。 https://docs.google.com/forms/d/e/1FAIpQLSfNuWiDVcCCZ58XjPn2nZIqtYOHo0XAuTMgIZisSYLbfiIcnA/viewform https://twitter.com/bulkneets/status/1279236615546654720 いわゆる履歴書や職務経歴書 要するに mala とは何者なのか? プログラマ、デザイナー、ライブドアの残党 専門領域はWebに関わること全般 セキュリティエンジニアとして認識されることを本人は嫌っていますが、そのように認識されることも多いようです 説明が面倒くさい時に自分からsecurity researcherを名乗ることはたまにあります 実績は CVEや、善行からリンクされているページを見てください。 実
新たなWindows Updateによって、プリンターの印刷を行おうとするとPCがクラッシュしてブルースクリーンが生じるバグが追加されました。 Blue Screen of the day—update crashes Windows 10 PCs on print | Ars Technica https://arstechnica.com/gadgets/2021/03/blue-screen-of-the-day-update-crashes-windows-10-pcs-on-print/ The latest Windows 10 update could cause your printer to crash your PC - The Verge https://www.theverge.com/2021/3/11/22326083/windows-10-security-u
PCやスマートフォンの認証方法として指紋認証を利用している人も多いはず。しかし、実は指紋認証は本人不要・指紋で汚れた端末の写真さえあれば、5ドル(約550円)程度で作成した「偽指紋」で簡単に突破できてしまうことが、ムービーで示されています。 Your Fingerprint Can Be Hacked For $5. Here’s How. - Kraken Blog https://blog.kraken.com/post/11905/your-fingerprint-can-be-hacked-for-5-heres-how/ 指紋がいかに簡単に偽造できてしまうのかは、以下のムービーを見るとよくわかります。 Kraken Security Labs Bypasses Biometric Security With $5 In Materials - YouTube PCやスマートフォン
はじめに Wi-Fiルータのセキュリティについて、2023年4月5日に警視庁より「家庭用ルーターの不正利用に関する注意喚起」が行われました。この中で対策として、次の4つが挙げられています。 初期設定の単純な ID やパスワードは変更する。 常に最新のファームウェアを使用する。 サポートが終了したルーターは買換えを検討する。 見覚えのない設定変更がなされていないか定期的に確認する。 定期的な設定確認が現実的に可能なのか疑問はありますがそれはさておき、今回は3番目のサポート終了についてです。 たとえばWindowsであればいつサポートを終了するのかずいぶん前に告知がありますし、他のソフトウェア製品についてもLTS(Long Term Support)の設定があるものは計画的にアップグレードを行えます。一方で家庭用のWi-Fiルーターについて、いつサポートが終了するのかわからないまま買っていまし
ログ分析勉強会では、「ログ分析」に関わるすべての技術、事例、知見を共有し、日々の業務に役立てられる情報交換ができる場所を目的として活動。初のオンライン開催となった今回、NTTドコモサービスイノベーション部の千田拓矢氏が、AWS純正サーバーレスなログ分析基盤を構築する方法を解説しました。関連資料はこちら。 AWSのサーバーレスサービスでセキュリティのログ分析 千田拓矢氏:それでは始めたいと思います。AWSのサーバーレスサービスでセキュリティのログ分析をしようという話です。 簡単に自己紹介します。千田と申します。NTTドコモのサービスイノベーション部というR&Dの部署に所属していて、5年目社員です。 基本的に普段の業務では、クラウド、AWS、GCP、Azureのセキュリティに関わる仕事をしています。機械学習もちょっとわかるくらいに勉強していて、その関連でFPGAとかGPUみたいなハードウェアの
Gmailと米国Yahoo!のあれ(2024年2月) - /var/lib/azumakuniyuki
メールシステム担当の人はもちろん、インフラ担当の人もDNSの設定とかで既に知ってはると思いますが、 10月にGoogleが発表した2024年2月から始まるGmailとYahoo!(米国)におけるスパム対策強化のあれです。 海外では数年前から"No Auth, No Entry"って「代表なくして課税なし」みたいな感じで言われているアレです。 識者の方々がいろんなところで記事にしてはりますので、他のところであんまり書かれていない気がするとこだけ記します。 まずは公式情報 Google Googleについては以下の二ヶ所を読んで理解して実践しておけば大丈夫そうです、たぶん。 パラメーターのhl=enをhl=jaに変えると日本語版になりますが、更新されるのが遅いので最初に英語版を見ておくのが良いです。 Email Sender Guidelines(81126) Email Sender Gui
先日投開票が行われた総選挙でデジタル権に関連した各党の公約をまとめていて、いわゆる「インターネット投票」や「オンライン投票」の実現を掲げる党が少なくないことに驚いた。私自身その実現を望んでいるが、これまでオンライン投票の実現を阻んできた種々の問題が解決したとは寡聞にして知らない。 2013年の公職選挙法改正で「ネット選挙」が解禁され、ネット上での選挙運動こそできるようにはなったが、候補者・政党への投票は現在も紙ベースで行われている。 確かに投票が自分のスマートフォンやパソコンからできればラクでいいし、遠隔地にいるだとか投票所まで行く負担が大きいという人にとっては非常にありがたいのもわかる。投票率の向上が見込めるので、有権者の声がより反映されることにもなるだろう。 だがメリットが大きい一方で、リスクはさらに大きい。一番に思いつくところでは、投票の秘密が守られないこと(その結果として生じる投票
![オンライン投票は現時点でも予見可能な未来でも「実現不可能」である | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/f8a0e802b7413c2d9cc0651f7dd1467feb8d4084/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2021%2F11%2Felement5-digital-T9CXBZLUvic-unsplash_e.jpg)
この記事は、 NTT Communications Advent Calendar 2022 7日目の記事です。 はじめに こんにちは、イノベーションセンター所属の志村と申します。 「Metemcyber」プロジェクトで脅威インテリジェンスに関する内製開発や、「NA4Sec」プロジェクトで攻撃インフラの解明・撲滅に関する技術開発を担当しています。 今回は「開発に使える脆弱性スキャンツール」をテーマに、GitHub Dependabot, Trivy, Grypeといったツールの紹介をさせていただきます。 脆弱性の原因とSCAによるスキャン 現在のソフトウェア開発は、多くのOSSを含む外部のソフトウェアに依存しています。Python、Go、npm など多くの言語は、様々なソフトウェアをパッケージとして利用できるエコシステムを提供しており、この仕組みを利用してOSSなどのコンポーネントをソフト
Wireshark Tutorial: Examining Emotet Infection Traffic
This post is also available in: 日本語 (Japanese) Executive Summary This tutorial is designed for security professionals who investigate suspicious network activity and review packet captures (pcaps). Familiarity with Wireshark is necessary to understand this tutorial, which focuses on Wireshark version 3.x. Emotet is an information-stealer first reported in 2014 as banking malware. It has since evol
本書ではGitHub Organizationをセキュアに運用する方法について解説します。 GitHubは大変便利なサービスで、個人利用のみならず組織で活用されるケースも多いです。しかしGitHubの初期設定は利便性重視であり、セキュリティ対策は利用者による明示的な設定が必要です。 本書では意外と日本語でまとまった情報がない、Organizationレベルのベストプラクティスを体系化しています。GitHub Organization管理者はもちろんのこと、ソフトウェア開発者にも有益な情報を提供します。
はじめに Azure環境作ったら最初にやるべきこと(2021年版)と題して一記事書いてみたいと思います。 ※補足事項 「Azure環境作ったら最初にやるべきこと」の定義 この場では「どんなサービス/リソースを使うかに関わらず、誰もが全環境でやるべき最初のステップ」という主旨ととらえていただければと思います。 Azure環境運用していくうえで、「SQL Databaseのベストプラクティスは何?」とか「Web Appsだったらこうやって使うよね」とか細かい設定を挙げると色々あるのですが、今回は対象外。 なので、基本的には「Azureを使うすべて人」にとって意味のある記事になってるはずです。 先駆者たちの情報を探す AWSだと個人のブログもいっぱいあるし、かの有名なClassmethodさんのブログでもこういった記事がまとめられています。 初心者に優しいというか、いろんな情報が転がっていて、「
対象読者 様々なプロダクトへ AWS アカウントや環境を提供する SRE / CCoE チームを想定しています。 マルチAWSアカウント環境 SRE / CCoE は各プロダクトが安全かつ便利に AWS を利用できるよう、AWS アカウントの設定・払い出しや周辺コンポーネントの提供(踏み台・ID管理・ログ収集 etc...)を行います。 個別プロダクトの基盤設計や構築は行いません。 私の担当案件では 100 以上の AWS アカウントを提供しています。これでも多いとは言えず、例えば NTT ドコモでは 2,000 以上の AWS アカウントを管理[1]しているそうです。 セキュリティ対応方針 セキュリティグループの全開放や S3 バケットのパブリック公開など、AWS リソースの不適切な設定についての対応を考えます。 ゲート型 IAM ポリシーやサービスコントロールポリシー (SCP) で
ログ・モニタリングのやること AWS CloudTrail の設定 CloudTrail は AWS リソースに関して「誰が」「いつ」「何に」対して「どうような」操作をしたのかのイベントを記録するサービスです。イベント履歴から 90 日間分のイベントを確認することはできますが、イベントログの長期保管の設定(証跡の作成を行い、S3 に保管)をしておくことで、トラブル発生時の解析やインシデント発生時の調査などに利用できます。 有料です(無料利用枠もあります)。 [YouTube] AWS CloudTrail を触ってみた CloudTrail Insights イベントを利用することで、機械学習により異常なアクティビティを検出することもできます。通常の操作で検出されることがあるため、始めに試してみて、あまり活用しないようであれば無効化を検討でも良いと思います。 イベントログは S3 と Cl
某月某日、OpenAI の Tokyo Location で設定されたポジションに応募したところ、レジュメ通過の連絡を同社のリクルーターの方からメールでいただいた。このような記事を書くからには、最終的に見送りとなったわけだが、結論から言うと、今まで受けた外資系企業のインタビュー体験の中でも、あまり気持ちの良いものではなかったというところが本音だ。 海外サイトの Glassdoor などには OpenAI の Interview Experience がいくつか投稿されているが、日本法人がオープンした OpenAI Japan のインタビュー体験についてはまだあまり投稿がないと思うので、ここに記しておこうと思う。なお、インタビューで質問された具体的な内容など、面接対策になるような内容はもちろん明かさないので、あくまで全体のプロセスのみにフォーカスした内容である。 2024 年 7 月 17
[ベイルート/ドバイ/国連/ワシントン 17日 ロイター] - レバノンで17日、同国に拠点を置く親イラン武装組織ヒズボラの戦闘員らが利用しているポケットベルのような通信機器の爆発が相次いだ。レバノン当局によると、少なくとも9人が死亡し、約2750人が負傷した。 レバノンの治安機関は、首都ベイルートの南部郊外を含む全土で多数の無線通信端末が爆発したと発表。ヒズボラは戦闘員2人を含む少なくとも3人の死亡を確認した。うち1人は少女だとしている。
[東京 30日 ロイター] - エマニュエル駐日米大使は30日、ロイターとのインタビューで、東京電力第1原発の処理水放出を理由とした中国による日本産水産物の全面禁輸を受け、米軍が日本の水産業者と長期契約し、ホタテなどを買い取ると明らかにした。中国に依存しない新たな流通ルートの確保を支援する考え。 購入した水産物は、米軍基地内の売店や飲食店で米兵向けに販売するほか、米艦乗員の食事に使用する。エマニュエル氏は、日米で連携して「中国の経済的威圧に対抗していく」と述べた。 エマニュエル氏は東日本大震災で日本を支援するため米軍が行った「トモダチ作戦」の第2弾だと強調し、米軍はまず日本産ホタテ約800─900キロを購入し、取引対象を全ての日本産水産物に拡大すると説明した。日本産ホタテは中国が最大の輸出先で、とりわけ禁輸の打撃を受けていた。
リンカ
ついに、リンカの説明をするときが来た。 ここに至るまでに、何度「リンカのところで説明する」と書いただろうか? ここまで読んできた人ならば、 リンカというものが、なにやら色々やっているんだな、というのはわかってきたのではないかと思う。 筆者が常々思っていることのひとつに、「C言語に関する書籍は、リンカの説明をおざなりにしすぎだ」というのがある。 多くのC言語の書籍は、 コンパイラがソースコードをアセンブリコードに変換します アセンブラがアセンブリコードを機械語に変換します リンカが機械語をリンクして実行ファイルが作られます と、いう解説がなされがちである。この説明を見たら、多くの人が、「え、リンクってなんですか?」と、思うに違いない。 アセンブラには、「人間が読めるニーモニックを、機械が読める機械語に変換する」みたいな、最低限の説明が付くものの、 リンカの説明は「リンクをします」のひとことだ
Red HatがクローンOSベンダを非難、「付加価値もなくコードをリビルドするだけなら、それはオープンソースに対する脅威だ」と
Red HatがクローンOSベンダを非難、「付加価値もなくコードをリビルドするだけなら、それはオープンソースに対する脅威だ」と Red Hatは、Red Hat Enterprise Linux(以下RHEL)のクローンOSを提供しているベンダを「オープンソースに対する脅威だ」と非難する内容を、6月26日付けのブログ「Red Hat’s commitment to open source: A response to the git.centos.org changes」(Red Hatのオープンソースへのコミット:git.centos.orgの変更に対する返答)で明らかにしました。下記はその部分の引用です。 Simply rebuilding code, without adding value or changing it in any way, represents a real t
「AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた」というタイトルでAWS Summit Japan 2024のCommunity Stageで登壇しました #AWSSummit | DevelopersIO
「AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた」というタイトルでAWS Summit Japan 2024のCommunity Stageで登壇しました #AWSSummit AWS Summit JapanのCommunity Stageで登壇した「AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた」の解説です。 こんにちは、臼田です。 みなさん、AWSセキュリティの勉強してますか?(挨拶 今回はAWS Summit JapanのCommunity Stageで登壇した内容の解説です。 資料 解説 AWSとセキュリティの勉強をしていく時、嬉しいことにAWS関連の情報はたくさんあります。しかし、どの情報から勉強していくか迷いますよね?そこで、AWS Security Heroである私がオススメする「日本語で」学習するための良いA
ttp://archive.ph/G1bYF このコメント欄に寄生する荒らしは(他にもいるが)、何年このブログに寄生続けりゃ気がすむのかねえ。日本人が自分のことをジャップと言う、黒人同士でニガーと言う、そういう皮肉や自虐を全く受け付けないんだな はてなに住む日本リベラルの中には、ジャップという単語を好む者がいる。 id:grdgs ttps://archive.fo/Zve3cid:ribbentrop189ttp://archive.ph/G1bYF あと、↑のgrdgsのコメントとかに星をつけてたりする。id:pratto ttps://archive.ph/DKI8Xid:bogus-simotukare ttp://archive.ph/Fxj5Zttp://archive.ph/JGcFFid:wattottp://archive.ph/MvsDoid:quick_past当人が
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「全ての開発者にセキュリティ知識を」演習まで完全オンラインの学習サービス公開
SPAセキュリティ入門
【2024年度】エンジニア向け研修資料まとめ - Qiita
ウェブサイトに仕込まれたマルウェアを何者かが無害なGIFアニメに置き換えていることが判明
GitHubの削除されたリポジトリや非公開のリポジトリに誰でもアクセスできてしまうのは仕様通り
IT 担当者ならみんな読みたい!! セキュリティ情報サイト5選 | DevelopersIO
AWS認定12冠を振り返る - fu3ak1's tech days
AWS WAFを完全に理解する ~WAFの基礎からv2の変更点まで~ | DevelopersIO
OAuthにおける認可コード横取り攻撃とその対策
2020年はsystemd-homedの登場でLinuxのユーザー管理が大きく変わるぞ - Qiita
あなたのWebサービスの脆弱性を発見者から教えてもらう方法 - RFC9116が発表されました
「インフラエンジニアには難しい」「手でやったほうが楽」も解消 これからCDKを使う人向けの4つのナレッジ
メールの受信トレイを空にするInbox Zeroを始めた
Windows標準のセキュリティシステム「Microsoft Defender」を最大限に活用する方法
マイクロソフトの最新レポートは盛りだくさんで勉強になる|一田和樹のメモ帳
Chrome113でHTTPヘッダを上書きしていろんな状態をお試しできる - hogashi.*
徳丸浩氏に聞く クレカ情報の漏洩が非保持化でも起こるワケ 2つの攻撃手法と対応策
Windows Updateで「プリンターを使用するとPCがクラッシュする」バグが発生、全世界で悲鳴
指紋認証は500円あれば作れる「偽指紋」で簡単に突破できることを示すムービー
Wi-Fiルーターのサポート期間 - Qiita
AWSに集まったログをどう分析するか NTTドコモのエンジニアが教えるサーバーレスなログ分析基盤
オンライン投票は現時点でも予見可能な未来でも「実現不可能」である | p2ptk[.]org
開発に使える脆弱性スキャンツール - NTT Communications Engineers' Blog
GitHubセキュリティ Organization運用のベストプラクティス
Azure環境作ったら最初にやるべきこと(2021年版)
マルチAWSアカウント環境のセキュリティって無理ゲーじゃね?
【資料公開】AWSアカウントで最初にやるべきこと 〜2022年6月版〜 | DevelopersIO
OpenAI Japan のインタビューの体験が残念だった件
ヒズボラの通信機器相次ぎ爆発、9人死亡・2700人超負傷 イスラエルに報復示唆
米軍が日本産ホタテ購入へ長期契約、「中国の経済的威圧に対抗」と米大使
「ジャップ」使うリベラルは「黒人同士はニガーと」というが。