Oktaがパスワードレス認証のパスキーを解説、「セキュリティと利便性の高い機能」
Gmailの新スパム規制対応全部書く
[2024年1月10日、19日追記] GmailとYahoo!側のアップデートに合わせていくつか細かい説明を追加しています(大筋は変わっていません)。変更点だけ知りたい方は「追記」でページ内検索してください。 2023年10月3日、Googleはスパム対策強化のため、Gmailへ送るメールが満たすべき条件を2024年2月から厳しくすると発表しました。また米国Yahoo!も、2024年2月 第一四半期[1] から同様の対策を行うと発表しています。端的に言えば、この条件を満たさないと宛先にメールが届かなくなるという影響の大きな変更です。 この記事では、Gmailや米国Yahoo!の規制強化への対応方法を解説します。ただし米国Yahoo!にメールを送る人は多くないと思うので、フォーカスはGmail寄りです。また、メール配信サービス(海外だとSendGridやAmazon SES、国産だとblas
Raspberry Pi でTPMを使う - Qiita
TPMが出来ることは大きく2つあります。ひとつは暗号と暗号鍵の管理、もうひとつは稼働するソフトウェアの改ざん検知です。前者はHSM(Hardware Security Module)では一般的な機能です。後者はTPMのユニークな機能ですが、この機能を使いこなすにはTPMとIoTデバイス上で稼働するすべてのSWとの連携が重要になります。Raspberry Piは便利なプラットフォームですが、TPMの主要な機能である、Trusted boot や Secure boot ができません。これはRaspberry Piで最初に移動するコードがブラックボックスだからです。製品化や実運用の際にはTrusted boot や Secure boot が可能な別のプラットフォームを選択してください。ただ、開発機として様々な実験やテストで使うには十分です。 また、LinuxのTPM2.0対応はまだ十分とはい
コンテナ、Kubernetesの脆弱性スキャン、3つの重点ポイント
組織が新しいテクノロジーを導入する際は、概念実証の作業と検証を優先し、セキュリティの考慮を後回しにすることが多いということを、ソフトウェアエンジニアは知っている。しかし、シフトレフトへの動きが進むとともに、最高情報責任者(CIO)や最高技術責任者(CTO)がセキュリティを最優先するようになっているため、エンジニアは開発の初期段階からセキュリティを考慮する必要がある。 開発にコンテナが関係する場合、開発者とテスト担当者は次の3つの主要な脆弱(ぜいじゃく)性スキャンに重点を置く必要がある。 これらのスキャンを正しく実装すれば、アプリケーションレベルでセキュリティのリスクを軽減できる。 コンテナは仮想化されたOSだ。そのため、フットプリントは極めて小さく、数秒で作成できる。エンジニアは、Dockerの「Docker Hub」にアクセスして、「Ubuntu」や「Nginx」などの公式リポジトリから
Introducing fine-grained personal access tokens for GitHub
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
社内用GitHub Actionsのセキュリティガイドラインを公開します | メルカリエンジニアリング
この記事は、Merpay Tech Openness Month 2023 の4日目の記事です。 こんにちは。メルコインのバックエンドエンジニアの@goroです。 はじめに このGitHub Actionsのセキュリティガイドラインは、社内でGithub Actionsの利用に先駆け、社内有志によって検討されました。「GitHub Actionsを使うにあたりどういった点に留意すれば最低限の安全性を確保できるか学習してもらいたい」「定期的に本ドキュメントを見返してもらい自分たちのリポジトリーが安全な状態になっているか点検する際に役立ててもらいたい」という思いに基づいて作成されています。 今回はそんなガイドラインの一部を、社外の方々にも役立つと思い公開することにしました。 ガイドラインにおける目標 このガイドラインは事前に2段階の目標を設定して作成されています。まず第1に「常に達成したいこと
社内のソースコードをGitHub Enterprise にとりまとめてる話 - NTT Communications Engineers' Blog
みなさんこんにちは、社内のエンジニアが働きやすくすることを目標にする Engineer Empowerment プロジェクトの @Mahito です。 この記事は、NTT Communications Advent Calendar 2021 2日目の記事です。 今回は社内のソースコードを GitHub Enterprise にとりまとめる活動とそこで遭遇した課題と解決方法についてお話します。 背景 きっかけは「NeWork のソースコードが見たい」という私の思いつきでした。 これを私が言い出した 2020 年当時、NTT Com ではソースコード管理の方法に決まりはなく、各プロジェクトの判断でバラバラにソースコードリポジトリが導入されていました。ちなみに、私が社内で見かけただけでもソースコードのホスティング先には以下のようなものがありました。 GitHub (Team plan) Git
【資料公開】進化し続けるサイバーセキュリティ脅威を防ぐSaaSソリューション – Showcase Security 2023 | DevelopersIO
2023年2月28日に開催したクラスメソッド社イベント Showcase Security 2023 のセッション 「進化し続けるサイバーセキュリティ脅威を防ぐSaaSソリューション」 に登壇しました。その時にお話させていただいた資料の公開と、ポイントについてブログで紹介させていただきます。 登壇資料 登壇資料目次 データで見るサイバー攻撃 サイバーセキュリティ戦略をたてるには お客さまにおけるセキュリティ課題 最近のサイバー攻撃の状況 IPAやIBMセキュリティのレポートを基にサイバーセキュリティの攻撃の種類毎の被害額や、件数の多い侵入経路を調べてみると、以下のような結果になりました。 被害額の多い攻撃の種類 ランサムウェア サーバーアクセス BEC(ビジネスメール詐欺) 件数の多い侵入経路 フィッシング 脆弱性の悪用 資格情報の盗用 参考元のレポート(IPA 情報セキュリティ白書202
OPA/Regoを活用して継続的監査を実現して、楽をしよう | Money Forward Kessai TECH BLOG
あけましておめでとうございます。Open Policy Agent(以下OPA)/Rego x 監査で継続的監査をあたりまえにしていきたいと思っているMoney Forward Kessai(以下MFK)のshinofaraです。 Regoとは、OPAのポリシーを記述する言語です。 本日はOPA / Rego Advent Calendar 2021の影響を受けて、MFKでOPA/Regoを活用して実現している監査に関することの1つを紹介できればと思いブログを書き始めました。 そもそもOPAって何?に関しては、以下のZennに詳しく書かれておりますので、こちらのブログでは割愛させていただきます。 OPA/Rego入門: OPA/Regoとはなんなのか MFKではOPAで何をチェックしているか 昨年「2021年に入ってやめた3つの開発に関わる仕組み」を書かせていただきました。今回はその中で書
[レポート] 診断員と考えるサーバーレスアプリケーションのセキュリティ #devio2022 | DevelopersIO
こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。 この記事では、2022年7月19日〜29日開催の技術カンファレンス「DevelopersIO 2022」で公開されたセッション動画『診断員と考えるサーバーレスアプリケーションのセキュリティ #devio2022』をレポートします。 「DevelopersIO 2022」では今回ご紹介する動画以外にもたくさんのセッション動画が投稿されました。ご興味のある方は是非ご覧ください。↓ 動画 目次 00:00 導入 04:35 サーバーレスとは? 07:21 サーバレスのセキュリティってどうしたらいいんだっけ? 12:23 FaaSをセキュアに実装する 15:47 クラウドサービスをセキュアに設定する 19:33 クラウドサービスをセキュアにつなげる 25:11 まとめ セッション概要 サーバーレス(FaaS)アプリケ
![[レポート] 診断員と考えるサーバーレスアプリケーションのセキュリティ #devio2022 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/aabf3c59736ed8a9f3f2268b58169497882151d7/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Fierae_logo_eyecatch.png){kind=logo}
入社4日目のAWS専任者が挑むセキュリティの向上 “土地勘”がないからこそ選んだ「OODAループ」という考え方
人・カネ・ものの足りないスタートアップにおいて、どのように工夫しているか発信する「スタートアップ事例祭り ~監視・モニタリング・セキュリティ編~」。ここで山原氏が「スタートアップ入社4日目までに考えたAWSのセキュリティ向上 」をテーマに登壇。まずは、株式会社スマートラウンドがおかれている状況と、ベストプラクティスの検討について紹介します。 自己紹介と会社紹介 山原崇史氏:山原です。タイトルは「スタートアップ入社4日目までに考えたAWSのセキュリティ向上」になります。自己紹介です。スマートラウンドという会社のSREをやっています。(スライドを示して)経歴は記載のとおりで、好きなAWSサービスはAWS SSO(AWS Single Sign-On)やOrganizationsです。 会社や事業の内容についても説明します。スマートラウンドは設立が2018年、4年前のスタートアップで、従業員数は
golangで作るTLS1.2プロトコル
はじめに 前回自作でTCPIP+HTTPを実装して動作を確認することができました。 しかしご覧頂いた方はおわかりのように、通信はHTTP=平文でやり取りされておりパスワードなど機密情報が用意に見れてしまう状態です。 普段我々がブラウザに安心してパスワードを入力しているのは通信がTLSで暗号化されているからです。ではそのTLSの仕組みはどうなっているのでしょう? 恥ずかしい限りですが僕はわかりません。😇😇😇 ということで以下を読みながらTLSプロトコルを自作してみてその仕組みを学ぶことにします。 マスタリングTCP/IP情報セキュリティ編 RFC5246 プロフェッショナルSSL/TLS 今回の実装方針です。 TLS1.2プロトコルを自作する 暗号化などの処理はcryptパッケージの関数を適時利用する tcp接続にはconnectを使う 鍵交換はまずRSAで作成する TLS_RSA_W
Introduction - OWASP Cheat Sheet Series
The OWASP Cheat Sheet Series was created to provide a concise collection of high value information on specific application security topics. These cheat sheets were created by various application security professionals who have expertise in specific topics. We hope that this project provides you with excellent security guidance in an easy to read format. You can download this site here. An ATOM fee
仮想通貨の個人ウォレットの守り方 | フューチャー技術ブログ
テクノロジーイノベーショングループの前川です。 秋のブログ週間連載の9日目として、今回は仮想通貨の個人ウォレットのセキュリティの考え方についてお届けします。 仮想通貨の存在は、2017年から2018年にかけてのビットコインの暴騰と暴落のニュースを経てもまだまだ「そういう金融商品がある」「取引所を介して売買ができる為替みたいな物」程度の認識でしか一般には浸透していませんでした。 ここ1,2年でDeFi(分散型金融)、NFT、GameFiなどの関連市場やエルサルバドルの法定通貨にビットコイン採用といったホットな話題が多数立ち上がり、いよいよ腰を上げて探りを入れ始めたという方も多いのではないでしょうか(初めてこれらの単語に触れる方々の参考になるよう文末にリンクを挙げています) 様々なニュースを足掛かりに分散型金融の世界に足を踏み入れたものの、従来の金融商品の延長のように捉えて何となく運用してしま
L@EとCF2が不要に?!CloudFront単体でレスポンスヘッダーが設定できるようになりました | DevelopersIO
CX事業本部@大阪の岩田です。CloudFrontに待望のアップデートがあり、CloudFront単体でもレスポンスヘッダーが設定できるようになりました! これまではCloudFront単体でレスポンスヘッダーを設定することができませんでした。S3 & CloudFrontの構成でSPAを配信するのは非常に一般的な構成ですが、この構成でそのまま脆弱性診断を受けると、セキュリティ関連のヘッダが設定されていないと指摘されるのも「あるある」でした。Lambda@Edge(L@E)やCloudFront Function(CF2)を介入させればオリジンレスポンスやビュワーレスポンスが加工できるので、これまではL@EやCF2でレスポンスヘッダを追加付与するという対応がよく採用されていました。 が、静的なレスポンスヘッダ付与のためにいちいちコードの実行が必要になるというのは、どうも無駄が多いように感じ
入社一ヶ月でGKEのSecret管理基盤を作った話 - エムスリーテックブログ
こんにちは。エムスリーエンジニアグループAI・機械学習チームで2021年新卒の北川(@kitagry)です。最近買ってよかったものは低温調理器です。リモートワークとの相性が抜群です。 今回は僕が入社1ヶ月ほどで作成した、GKEのSecret管理基盤について書きたいと思います。 これはGKEのSecretを安全にかつ手軽に作成できるようにしたツールになります。 OSSになっているので皆さんのコントリビューションをお待ちしています。 この記事は5月始めに書こうとしましたが、書く内容をどうするかを考えている内に6月を過ぎてしまっていました。笑 AI・機械学習チームのサービスの特徴 Secretの管理方法の検討 berglasについて berglas on GKE 1. Webhookの可用性 2. IAMポリシーの複雑さ berglas-secret-controller 1. berglas-
AWSのフルマネージド型サービスを使ったソフトウェアの開発でローカル開発端末からアクセスキーの漏洩を防ぐためのテスト方法 | DevelopersIO
AWSアクセスキーセキュリティ意識向上委員会って何? 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵入を受け、 多額の利用費発生・情報漏洩疑いなど重大なセキュリティ事案が発生するケースが実際に多々起きています。 そこで、アクセスキー運用に関する安全向上の取組みをブログでご紹介する企画をはじめました。 アクセスキーを利用する場合は利用する上でのリスクを正しく理解し、 セキュリティ対策を事前に適用した上で適切にご利用ください。 本記事の想定読者 本記事ではフルマネージド型サービス=IAMを使ってアクセス制御を行うサービスと置き換えられます、これらを一切使わない開発(ALB, EC2, RDSのみなど)をしている方は対象外です 本記事はAWS上にソフトウェアを構築する開発者(主にバックエンドエンジニア)や開発環境を提供するプラットフォーマーを想定読者としています Typ
今なぜHTTPS化なのか?インターネットの信頼性のために、技術者が知っておきたいTLSの歴史と技術背景
今なぜHTTPS化なのか?インターネットの信頼性のために、技術者が知っておきたいTLSの歴史と技術背景 WebサイトをHTTPS化する最も大きな理由は、インターネットの信頼性を維持することです。TLS技術の現状や、安全なHTTPS化に何が必要かを、ヤフー株式会社の大津繁樹氏が解説します。 「SEO対策のためには、WebサイトをHTTPS化しないといけない。」 —— そう聞かされて対応を迫られている技術者の方も多いのではないでしょうか? 確かに、Googleは「HTTPSページが優先的にインデックスに登録されるようになります」と表明し、HTTPS化されたWebサイトが同社の検索結果で有利になると示唆しています。はたして、WebサイトのHTTPS化が必要な理由は、SEO対策だけなのでしょうか? そして、それはGoogleという一社だけの意向で推奨されていることなのでしょうか? こうした疑問に答
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHubセキュリティ Organization運用のベストプラクティス
自称セキュリティエンジニアがCTFでまったく歯が立たなかったお話 - JTP Technology Port - 日本サード・パーティ株式会社