こんにちは、北海道から freee PSIRT（Product Security Incident Response Team）に参加している yu です。 今年は雪が少ないな〜と思っていたら最近ドカドカ降るようになってきて、1日デスクで集中した後に外に出ようとすると玄関のドアが雪で開かない日もありました。雪国エンジニアの各位、除雪も忘れず頑張っていきましょう！ さて、この記事では前回の記事で bucyou が紹介した開発合宿において、私と同僚の tomoya さんで取り組んだ freee の Attack Surface Management（以下、ASM）について紹介します。 ASM とは ASM、Attack Surface Management という用語はさまざまなところで異なる定義がされており、私自身、この言葉を使うときにはまだ少しだけ違和感があります。 国内では昨年の5月に経

安易にjpドメインを取得して運用を試みるべきでなかったここの結論を先にいうと，神奈川県公立高等学校入学者選抜インターネット出願システムなんだからドメインは shutugan.pref.kanagawa.jp か shutugan.pref.kanagawa.lg.jp などの地域型JPドメインか属性型JPドメインを使う設定をするべきであった． これは最近問題になっているいわゆる行政サイト使い捨てドメイン問題とも関連あるし，（１次ソースにするには怪しいとしても総合的にみると載っている情報は正しそうな）カナガク https://kanagaku.com/archives/69495 によれば，なんと shutsugankanagawa.jp shutsugan-kanagawa.jp nyuushi-kanagawa.jp の三つとも本番環境として使われているようなのであり( nyushi-k