フィッシングに遭っても、パスワードが漏れても、比較的安全な方法があったとしたら気になりませんか？ この記事では、Webアプリケーションにおける認証について、特にB to Cに的を絞ってお届けしたいと思います。B to Cサービスを提供する方を読者として想定していますが、利用する側の方も知っておいて損はありません。 セキュリティ認証、突破されていませんか？ 突然ですが、あなたが提供しているサービスの認証周りのセキュリティは万全ですか？既にMFA（Multi Factor Authentication：多要素認証）を導入しているから大丈夫と考えている方もいるかもしれません。しかし、それは本当に大丈夫なのでしょうか。 MFAだって突破される MFAを有効にすることで、99.9%のリスクは低減できると言われています。しかし、最近ではMFAを突破する事例も出てきているのです。 事例1 Cloudfl

各サービスに加え、サポート費用、消費税諸々含め300万以上の課金が発生しました。 幸い今回の事象はラックの検証環境上で発生した事象のため、お客様への影響はなかったものの、これが「もしお客様環境で起きていたら......」と考えると背筋が凍ります。 事象の原因 今回上記(A)(B)の仕組みを定期的に実行する想定で各々EventBridgeルールの設定をしましたが、(B)のEventBridgeルールの設定に考慮漏れがありました。 具体的には、以下のように記載をしていました。 EventBridgeルールの作成時、イベントパターンのフォームから生成したJSONとなります。 ※ S3にオブジェクトが配置されたら後続処理を実施するというテンプレートを使用しました。 テンプレートの内容を深く理解せず、そのまま流用したことが本事象の発端となっていました。 ※ ただ、EventBridgeでは、ルールが

※1 以下資料を参照（2020年12月4日現在） Cloud modules -- Ansible Documentation ※2 OS・ミドルウェア層の構成管理にはPythonの実行環境が必要 特に大きな違いになるのが、赤い線で囲っている「インフラ層の構成管理」と「OS・ミドルウェア層の構成管理」です。これらの機能が、両製品を組み合わせて使い分けるポイントです。具体的にどのような点が異なるのか説明していきます。 IaCモデルの違い IaCツールとして、Terraformは宣言モデル、Ansibleは命令実行モデルを採用しています。宣言モデルはインフラのあるべき状態をコードで表現します。対して、命令実行モデルはリソースを作成する手順をコードで表現します。では、実際にクラウドをIaCで管理する場合に、宣言モデルと命令実行モデルでどのような違いがでてくるのでしょうか？ 例えば、AWSにEC2