しばたです。 昨年10月にGoogle(Gmail)および米国Yahoo!においてスパム対策の強化がアナウンスされました。 この件に関してつい先日まで他人事でいたのですが、実は全然他人事では済まないことが発覚し突貫で知識を仕入れています。 アナウンスに対する具体的な対応策についてはこちらのZennの記事を見れば全部わかる感じです。 最高ですね。 また、メール送信にAmazon SESを使っている場合はAWSのブログを確認すると良いでしょう。 「これらの記事を読み解けば万事解決！」という感じではあるのですが、私自身が学んだなかで予め知っておくと良さそうに思えた点がいくつかありました。 本記事ではその辺を共有するのと、実際にAmazon SESの環境を作って動作確認をしたのでその結果も合わせて共有します。 はじめに覚えておくと良い基礎知識 Zennの記事でも詳細な解説がありますが、個人的に「最

しばたです。 AWS環境を構築・運用する際は各リソースの識別子となるAmazon Resource Names(ARN)をよく見ることになると思います。 ある日ふとタイトル通りの疑問が湧いたので調べてみることにしました。 Amazon S3のARNにある ::: ってなんだろう？ AWSの識別子であるARNの形式については以下のドキュメントに記載されています。 Amazon リソースネーム (ARN) ドキュメントの内容を一部引用するとARNは一般的に以下の:区切りの形式を採ります。 arn:partition:service:region:account-id:resource-id arn:partition:service:region:account-id:resource-type/resource-id arn:partition:service:region:account-

こんにちは、臼田です。 みなさん、業務設計してますか？(挨拶 今回はMarkdownでシーケンス図やフローチャートなどの図を記述できるMermaidを使って業務フローを書いてみたら、意外と書けたので自分なりのTipsを紹介したいと思います。 その前に 注意点として、まだMermaidを使い始めたばかりなので、「もっとこうしたらいいぞ」とか「こっちのほうがいいぞ」とかあれば建設的なフィードバックとしてSNSとかでいただけるとありがたいです。 あと業務フローって表現しましたが、人によって思い描く業務フローが違うと思うので、業務フローの定義に関するツッコミはご容赦ください。私が今回Mermaidで書いたのは以下の図です。(内容はブログ用に簡素化しました) この図のコードは以下のとおりです。(後ほど解説します) sequenceDiagram autonumber actor お客様 partic

データアナリティクス事業本部 サービスソリューション部 サービス開発チームのしんやです。 Notionの直近リリースノートに「Mermaidっていうマークダウン構文がNotionで使えるようになったよ！」という情報が載っていたので、試してみた内容を軽くではありますが紹介したいと思います。 目次 Mermaidとは 実践 #1. フローチャート #2. シーケンス図 #3. クラス図 #4. 状態遷移図 #5. ER図 #6. ジャーニーマップ #7. ガントチャート #8. パイチャート #9. 要件図 まとめ Mermaidとは Mermaidとは、フローチャート、シーケンス図、クラス図、ガントチャート、およびgitグラフを生成するためのマークダウン構文です。 コードから良い感じのグラフを生成できるイメージについては下記動画を参照頂くと良さそうです。 実践 では早速実践してみたいと思いま

CODE BLUE 2021の下記セッションのレポートです。 セキュリティのアレ ～ 知識と技術とあと2つ ～ 私たちは長年、攻撃手法やインシデントなど様々な情報を収集し、知識を身に付けアウトプットしてきました。またペネトレーションテストやフォレンジックなど技術に関しても慣れ親しんできました。皆さんも形や色は違えど知識と技術の研鑽をされてきた、もしくは、その最中でしょう。でも、それだけでは足りないような気がしませんか。 このパネルでは、知識と技術を最大限に活かしていくために必要だと私たちが考える、「知識を活かす分析の着眼点」と「技術を活かす技術以外のもの」について議論していきます。 ポッドキャスト「セキュリティのアレ」 https://www.tsujileaks.com/ Presented by : 根岸 征史 - Masafumi Negishi 辻 伸弘 - Nobuhiro Ts

7月に発足したIoT事業部で営業を担当している作間です。 IoT事業部にジョインさせてもらったので、IoTっぽい何かを作ってみたいということで、年明けからちょこちょこ遊んでいた個人プロジェクト。IoT事業部の懇親会で話したら意外に反応がよかったのでブログにもエントリーしてみます。クラスメソッドに入社して数々のプロジェクトに参加した知見を生かしてみよう。 ここではコードの解説とか共有はしません。趣旨がずれてくるので別エントリーにするかもしれません。 やりたいこと IoTといってもその範囲は広いし、個人なので壮大なプロジェクトやちゃんとしたサービスを作るのも難しい。とりあえず、クラウドとデバイスを使ってIoTっぽい何かを作りたい。 LEDチカチカとか部屋の温湿度測るのもいいけど、身近にあるものや実際に役立つものを作ればもっといいんじゃない。ついでに家族も喜べば。ということで、人はAWSで飯が食

AWS テクニカルサポートを 5 年経験して アノテーションの荒川です。 クラスメソッドメンバーズをご契約いただいているお客様のテクニカルサポート業務を始めて、早 5 年が経過しました。 私が対応したチケット件数をざっくりと調べたところ、本日時点で 1685 件でした。 最近は私がチケット対応する機会は減りまして、チケット対応メンバーの教育（新入社員から各チームへ所属するまでの育成）やチケット相談に使う時間がメインです。 その中で、今まで何となくこうやって対応すると上手くいくと感じていた暗黙知をメモ書きしていたので、今回ブログとして公開します。 回答者側で意識したいこと 技術的なお問い合わせに関するガイドラインを参考にする AWS サポートのガイドラインは、一般的なカスタマーサポートでも使えます。 一文を短くし、適宜改行を挿入する 例: 一行にぎっしり × お客様環境をお調べしたところ、E

AWSアクセスキーセキュリティ意識向上委員会って何？ 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵入を受け、 多額の利用費発生・情報漏洩疑いなど重大なセキュリティ事案が発生するケースが実際に多々起きています。 そこで、アクセスキー運用に関する安全向上の取組みをブログでご紹介する企画をはじめました。 アクセスキーを利用する場合は利用する上でのリスクを正しく理解し、 セキュリティ対策を事前に適用した上で適切にご利用ください。 はじめに 弊社オペレーションチームでは、AWS よりお客様アカウントの侵害疑いの連絡を受けた際に、状況確認のため CloudTrail を調査しています。本記事では調査で気づいたことをいくつかお伝えできればと思います。 仮想通貨のマイニングを例とすると、攻撃者は自分たちの IAM ユーザーを作り、とにかく「ハイスペックなインスタンス」をとにかく

日本でも始まった新型コロナウイルスのワクチン接種。しかし、予約の実態を調べると、そのハードルの高さや自治体ごとに異なる予約方法など、ITやアクセシビリティの課題が見えてきました。 結論 1700の自治体が全て異なる。 職員の方の負担がとても大きい。 アクセシビリティを改善する必要性あり。 今IT業界ができることは何か改めて考える機会となった。 両親のワクチン接種予約がなかなか取れない ある日、高齢の両親に電話で「ワクチン接種どうするの？」と聞いたら、「接種券がすぐに来たから、かかりつけの医者に電話で予約する」とのことで、思ったよりも早くワクチン接種できそうで安心していました。しかし、約1ヶ月経過したある日、ワクチン接種はまだ出来ていなくて、予約すらもできていない。指定された予約開始日に電話してもずっと話し中で、なかなか繋がらない。予約専用のWebサイトもあると聞いていたけど、かかりつけの医

Dropbox はソルトとペッパーを利用 次の Dropbox 技術ブログによると、2016年9月時点の Dropbox は、パスワードをソルト化とペッパー化のコンボで保存していました。 How Dropbox securely stores your passwords - Dropbox 具体的には パスワードを SHA512 でハッシュ化 このハッシュ値をソルトとともに bcrypt でハッシュ化 最後にペッパーを鍵に AES256 で暗号化 というようにパスワードを多段で保護してデータベースに保存していました(AES256(BCRYPT(SHA512(PASSWORD) + SALT), PEPPER))。 ※ 図はブログ記事より引用 Dropbox はあくまでもペッパーの実例として紹介しました。 bcrypt の項でお伝えしたように、bcrypt 処理前にパスワードをハッシュ化す

AWSアクセスキーセキュリティ意識向上委員会って何？ 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵入を受け、 多額の利用費発生・情報漏洩疑いなど重大なセキュリティ事案が発生するケースが実際に多々起きています。 そこで、アクセスキー運用に関する安全向上の取組みをブログでご紹介する企画をはじめました。 アクセスキーを利用する場合は利用する上でのリスクを正しく理解し、 セキュリティ対策を事前に適用した上で適切にご利用ください。 【はじめに】 昨今､アクセスキーの漏洩を契機とした不正利用の発生が多発しております｡AWS 利用のお客様へのビジネスリスクが非常に大きく､弊社としても憂慮する状況です｡ そのため､以下をお読み頂き AWS 利用のお客様は環境の見直しをお願い致します｡ 【この記事で伝えたいこと】 多額の費用発生リスクをなくすために､可能な限りアクセスキーの利用を

ojichatをAPI化する必要があったため、AWS SAMを利用してサーバーレスな構成で実装してみました。 概要 ojichat とは、READMEにも書かれているとおり、「おじさんがLINEやメールで送ってきそうな文を生成」してくれる物となります。 既にDockerで環境を汚さずに利用する事も出来ますが、今回はAPI化する必要がありましたので、簡単なLambda関数を作ってみました。 作ったもの AWSの構成は下記のように、シンプルなAPI Gateway + Lambdaの構成となります。 Goで次のように、BodyからNameを取得して greymd/ojichat/generator を利用しておじさん文章を生成して返却する簡単なコードを書きました。 package main import ( "encoding/json" "github.com/aws/aws-lambda-

CX事業本部@大阪の岩田です。re:Invent 2020のWave 2で新たに公開されたセッション「SVS209 Introducing container image support for AWS Lambda 」を聴講したのでレポートさせて頂きます。 セッション概要 スピーカー:Chris Munns 以下公式サイトからの引用です。 This session covers one of the most requested new features for AWS Lambda: container image support. With container image support, developers can now package their Lambda functions and required dependencies using familiar contain

最近話題のVercelを試してみました。競合のNetlifyと同様に、ビルドとホスティング他をまとめてやってくれます。Netlifyと比べて1人で開発をするならほぼフル機能が使えますし、無料プランのままでも100回/日までデプロイできるのが利点です。 前提 Next.jsと親和性の高いVercelですが、今回アプリはGatsby + Contentfulで構築しています。 詳しくは過去に書いた記事がありますので、下記の「1. Contentfulの準備」「2. Gatsbyアプリの立ち上げ」を参考にしてください。 CircleCI × Contentful × S3で作るJamstackなブログ環境。 また、Githubリポジトリを作成し、masterにソースコードをプッシュしておきます。 Vercelにアプリをデプロイする https://vercel.comにアクセスし、「Sta

はじめに おはようございます、もきゅりんです。 メールを送信するときには、高信頼性にしましょう、ということを先日のブログ、Amazon SES でメール送信するときのベストプラクティスまとめ(2020年10月) でまとめました。 では、 Amazon SES(以下SES) ではない方法で対応するとどうなるのか。 ということで、皆大好き SendGrid と Amazon Route53(以下Route53) で SPF, DKIM 設定する方法をまとめてみました。 (SendGrid では DMARC は対応していません。) 本稿では改めて SPF, DKIM, DMARC の詳しい説明はしません。(SPF, DKIM, DMARC は被害が後を絶たない、なりすましメールの対策に有効な手法となる「送信ドメイン認証」の方法です。それぞれ異なった技術の認証方式であり、どれかではなく、組み合わせ

「AWS環境のセキュリティが不安だ…」そんな方にはセキュリティチェック！AWSでは定量的にチェックすることができる機能があります。いくつかあるので長短などを説明しつつ私が思う最強のセキュリティチェックを伝授します！ こんにちは、臼田です。 みなさん、AWS環境のセキュリティチェックしてますか？(挨拶 全国のAWSのセキュリティについて悩んでいるみなさまのために、今回は僕の考える最強のAWS環境セキュリティチェックについて情報をまとめ・伝授します。 初心者向けに、比較的AWSの経験が浅くても始めやすいように、かつ上級者が応用するために活用できる情報もぜんぶまとめていきます。 この記事は2020年の決定版となるでしょう！(それ　いいすぎ。 ながーくなってしまったので最初は適宜飛ばして読むといいかもしれません。 AWS環境のセキュリティチェックの意義 AWS環境でセキュリティチェックをすることは

こんにちは、CX事業本部の若槻です。 最近Webアプリケーション向けのセキュリティ診断ツールについて調べてみたところ、OWASP ZAPというオープンソースツールが定番としてよく使われているそうです。 https://owasp.org/www-project-zap 今回は、Docker版OWASP ZAPを使用してWebアプリのログインページの簡易的な脆弱性診断を行ってみました。 なぜDocker版を使ったのか OWASP ZAPにはWindows、Mac、Linuxで使えるインストーラー版およびパッケージ版と、Docker版があります。 https://www.zaproxy.org/download/ 当初はMac向けインストーラー版を使おうとしましたが、Macのセキュリティによりインストールできなかったため断念しました。 よってインストールを要しないDocker版を使うこととしま

どうも、 もこ@札幌オフィス です。 私事とはなりますが、先日「Unicorn Rentals」というユニコーンを貸し出すスタートアップ企業に転職しまして、ユニコーンを使って初出社している最中です。 皆さんご存じの通り、世の中の車・バス・電車などの交通手段は全てユニコーンに置き換えられ、近年ユニコーンの貸し出し事業は盛んになりつつあります。 Unicorn Rentalsではビジネスの主軸となるサービスをAWS上で運用しています。 オフィスに着くと入社オリエンテーション担当の人事の方がこう言いました。 「DevOpsチームは昨日全員退職してしまった。まあ、大した人たちじゃ無かったから、君の活躍に期待してるよ」 どうやら私の仕事はDevOpsチームが残したAWS環境を改善して、負荷対策を行ったり 環境を構築したり、AWSレイヤーでトラブルシュートをしたり、チューニングをする必要があるみたいで

こんにちは、クラスメソッドの岡です。 先日MacBookProにコーヒーをこぼしてしまい、見事に壊れました。 電源はつくけどバックアップが取れない。。しかし不幸中の幸いで直前にGoogleDriveにデータを移していて、gitにもpushしていたので復元する必要はあまりないかも、、？ ということで、環境の見直しも兼ねて新しいMacをまっさらな状態からセットアップすることにしました。 今回はセットアップも兼ねて自分のお気に入りのツール等を一部ご紹介させていただこうと思います。 環境 macOS Catalina 10.15.6 アプリケーション 1Password: パスワード管理 Googleアカウントのパスワードすら覚えてないのでとりあえず1Passwordを入れます。 他にサインインしているデバイスがあれば、環境設定→アカウント→その他のデバイスを設定でセットアップ用のQRコードが出せ

弊社主催のオンラインイベント、Developers.IO 2020 CONNECT！　みなさんはもう参加されましたでしょうか。 今回ぼくもこちらに参加し、2本の動画をあげました。 その動画編集につかったのが、標題にも書きました Blackmagic Design 社製の「DaVinci Resolve 16」です。 こちらはプロユースの本格的な機能が備わっている一方で無償でも使え1、今回のようなセッション動画向けの編集程度であれば、3年落ちのMacBook Pro 13inch2でもそこそこの速度で動きます。 むしろZoomやQuickTime Playerで撮ったままの720p・1080pサイズのMP4ビデオ・AACオーディオ、つまり不可逆圧縮された素材をそのままタイムラインに配置してストレスなく動いてくれるので、サブスクリプションなし・登録のみで使えることを考えれば、今回の用途において