サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
はじめに 予約して買って読みました。セキュリティエンジニアの知識地図 作者:井上 圭,大塚 淳平,幸田 将司,国分 裕,下川 善久,洲崎 俊,関根 鉄平,坪井 祐一,山本 和也,山本 健太,吉田 聡技術評論社Amazon Xでとりとめなくポストしたものをまとめた記事です。Xの方にはここに書いていないことも書いているで興味のある方はこちらをどうぞ。 扁桃炎で寝込み中だけど昨日から寝っぱなしでこれ以上眠れなさそうなので、「セキュリティエンジニアの知識地図」を読んだ感想として自分のキャリアを振り返ってみる。ここに書いてあとでブログにまとめたい。 2000年に民間のセキュリティ企業に就職。入社直前に科学技術庁(現在の文科省)のサイトが— トリコロールな猫 (@nekotricolor) February 28, 2025本の感想 まずは本の感想を章ごとに。 第1章セキュリティエンジニアという
バッカじゃねーのかな。 この仕組みを考えた奴何も考えてねえだろ。 こう言う頭のいいふりしたバカにシステムを作らせてはいけない。 詳細eSIMを設定したモバイルルータが死んだので、楽手モバイルでeSIMの再発行手続きをしたところ、二段階認証の表示が出た。 SMSまたは登録のメールでコードを送ったのでみてね、だそうである。 しかし待てど暮らせどメルアドにコードが送られてこない。なんだこれは。 で、楽天モバイルのfaqを漁るとこんなことが書いてあった。 https://network.mobile.rakuten.co.jp/faq/detail/00001914/ 継続的にセキュリティー対策を強化しており、5月下旬より一部のお手続きについてワンタイムパスワードの送信方法をメールからSMSに変更しました。は? ばっかじゃねーの? ホテルで部屋のパスワードを忘れたので新しく発行してくれと言ったら、
英語の「Authentication」を整理する ここからは先ほどの分類で言うところの「ユーザ認証」としての「認証」、つまり英語の「Authentication」に該当する「認証」について、さらに整理を進めていきます。 先ほど、「ユーザ認証」を「システムを利用しようとしているユーザを、システムに登録済みのユーザかどうか識別し、ユーザが主張する身元を検証するプロセス」と説明しました。「ユーザの識別」と「身元の検証」はユーザ認証に欠かせませんが、実際は他にも「ユーザの有効/無効状態の確認」や「検証に成功した場合の身元の保証(アクセストークンの発行等)」などの処理も一般的にユーザ認証のプロセスには含まれます。 ここで冒頭の「○○認証」を振り返りましょう。パスワード認証、SMS認証、指紋認証、顔認証は実はここで言うユーザ認証には該当せず、ユーザ認証中の一処理である「身元の検証」を担っていることがお
2024年4月5日、江崎グリコは基幹システムの切り替え後にシステム障害が発生し、同社や販売委託を受けている一部の冷蔵食品の出荷に影響が生じていると公表しました。ここでは関連する情報をまとめます。 障害後緊急対応するも在庫数合わず業務停止 今回システム障害が起きたのは江崎グリコの基幹システムで2024年4月3日の新システムへの移行に伴い発生した。物流、販売、会計などを一元管理するERPパッケージ SAP社製「SAP S/4HANA」で構築されており、「顧客への継続的価値創出を可能にするバリューチェーン構築と経営の迅速な意思決定を目的とした、調達・生産・物流・ファイナンスなどの情報を統合する基幹システム」と同社では説明している。障害原因の詳細は同社から開示されてはいないが、システム障害の問題個所の特定は済んでいる。なおサイバー攻撃によるものではないと取材に答えている。*1 システム障害の影響に
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
人・カネ・ものの足りないスタートアップにおいて、どのように工夫しているか発信する「スタートアップ事例祭り ~監視・モニタリング・セキュリティ編~」。ここで菊池氏が「なるべく楽したいAWSセキュリティ」をテーマに登壇。ここからは、ネットワーク、Webアプリ、データストアのセキュリティ対策について紹介します。 ネットワークのセキュリティ対策 黒曜氏:続いて、ネットワークセキュリティの話にいきましょう。ネットワークのセキュリティは、VPCを作って、サブネットを作って、SecurityGroupを作って、アタッチして……とやっていると大変です。私はそれらを手でやると穴を作るタイプなので、Copilot CLIというツールを使い、そちらに一任しています。そうすれば安全かつ楽にできると思います。 Copilot CLIを知らない方もいるかもしれないので紹介すると、主にECS(Elastic Conta
人・カネ・ものの足りないスタートアップにおいて、どのように工夫しているか発信する「スタートアップ事例祭り ~監視・モニタリング・セキュリティ編~」。ここで菊池氏が「なるべく楽したいAWSセキュリティ」をテーマに登壇。まずは、対策が必要な4つの攻撃されやすいポイントとAWSアカウントのセキュリティ対策について紹介します。 自己紹介黒曜氏:「なるべく楽したいAWSセキュリティ」と題して、LeanerTechnologiesの黒曜が発表します。よろしくお願いします。簡単に自己紹介をします。黒曜です。スライドのアイコンと@kokuyouwindというアカウント名で、TwitterやGitHubにいます。名古屋に住んでいて、今も名古屋の自宅からリモートで登壇しています。 LeanerTechnologiesというスタートアップの会社は東京にあって、私はフルリモートで名古屋から働くかたちで参加して
「不正な入力に対して脆弱性を発生させないようセキュリティ対策としてバリデーションを行う」。アホか。プログラマならセキュリティ対策とか気にするな。いや、気にするなというのは言い過ぎだけれど、ほとんどの場合においてあなたの書くコードはセキュリティ対策の必要性はない。 攻撃者の細工した入力によってSQL/HTML/JavaScriptが壊れるとかバッファオーバーフローが発生するとか、そういった脆弱性と呼ばれるほとんどのものはただのバグだ。セキュリティ対策っていうのはコードとは切り離された領域で行うDEPだったりASLRだったりX-Frame-OptionsだったりCSPだったりiframe sandboxだったり、そういうものがセキュリティ対策だ。コード上で書くのは「アプリケーションとして正しく動作するための処理」だけだ。 もちろん例外もあるかもしれないけど、それはあくまでも例外だ。日常的に書く
パスワードレスな認証方式である「パスキー」が急速に普及しています。OS、ブラウザ、パスワード管理ツール、サービス提供者のどれもが整いつつあり、ついに本当にパスワードが必要ない世界がやってきたことを感じます。この記事では、本腰を入れてパスキーを使い始めて快適になるまでの様子をまとめます。技術的な厳密さ・網羅性には踏み込まず、いちユーザーとしての入門記事という位置付けです。 パスキーとは パスキー -Wikipedia 認証、セキュリティに関しては門外漢なので、Wikipediaのリンクを置いておきます。私よりはWikipediaのほうが信用に足るでしょう。 そこから辿れるホワイトペーパー:マルチデバイス対応FIDO認証資格情報を読むと、多少ストーリーもわかります。FIDO2というデバイスに格納された秘密鍵に依存したパスワードレス認証の仕様に、暗号鍵(と訳されていますが秘密鍵のことで良い……
はじめに このブログに書かれていること 自己紹介 注意 Part1 古典暗号 2つの暗号方式 スキュタレー暗号 アルゴリズムと鍵 シーザー暗号 原理 頻度分析 アルベルティ暗号 ヴィジュネル暗号 如何にしてヴィジュネル暗号は破られたか Part2 近代暗号 エニグマ エニグマの登場 エニグマの基本構造 如何にしてエニグマは突破されたか 前提条件 必ず異なる文字に変換される性質を利用 ループを利用 まとめ 参考文献 採用情報 はじめに このブログに書かれていること 前半 古代暗号から始まる暗号の歴史 エニグマの構造と解読法について 後半(後半ブログは こちら) RSA暗号の基本 楕円曲線暗号の基本 自己紹介 こんにちは!株式会社ABEJAの @Takayoshi_ma です。今回のテックブログですが、ネタに5時間程度悩んだ挙句、暗号を取り上げることにしました!暗号化手法の解説にとどまらず、そ
情報処理推進機構(IPA)は2023年4月13日、ビジネスメール詐欺(BEC)の事例を公開した。 ビジネスメール詐欺事例を公開、確認を防止策を これまでに確認されたビジネスメール詐欺の事例を紹介することで同様の被害を避けることや、詐欺を早期に発見すること、犯罪行為を未然に防止するなどの目的があるとしている。 事例1: 国内企業と海外取引先企業のやりとりにおいて、国内企業がサイバーセキュリティ犯罪者にだまされて偽の口座へ送金した事例。ただし、偽口座に送金した後で一部を取り戻した 事例2: 国内企業と海外取引先企業のやりとりにおいて、取引先の担当者になりすました攻撃者が偽造した銀行口座証明書類を使って振込先口座変更を依頼した事例。偽造された証明書類は印影の名義が正規の証明書類と異なっていたが、被害を受けた国内企業は気付かず、偽の口座へ送金した 事例3: 国内企業の海外関連会社と海外取引先企業の
国家サイバー統括室(NCO)では、サイバーセキュリティに関する普及啓発活動の一環として、「インターネットの安全・安心ハンドブック」を公開しています。本ハンドブックは、みなさんにサイバーセキュリティに関する基本的な知識を紹介し、誰もが最低限実施しておくべき基本的なサイバーセキュリティ対策を実行してもらうことで、更に安全・安心にインターネットを利活用してもらうことを目的に制作したものです。サイバー空間の最新動向や、今特に気を付けるべきポイント等を踏まえて2025年3月にVer5.10へ改訂しました。 【活用例】本ハンドブックの著作権は NCO が保有しますが、サイバーセキュリティの普及啓発活動の範囲、かつ内容を改変しないことを条件に、多様な形でご活用いただくことができます。 活用例の詳細はこちらをご確認下さい。
2 要素認証に 1Password を使うのはよく考えてから | はったりエンジニアの備忘録AWSの多要素認証に1passwordが使えたけど使っちゃダメだと思った話 - Qiita TOTP のトークンを 1Password に保存するのはセキュリティ強度を弱めるので良くない、という話は知ってたので避けてたのだけど、ちょっとよくわからなくなってきた。Windows(具体的には社有のSurface Pro)上の1passwordとiPhone上の1passwordの両方でMFAの二段階目をクリアできたということは、もうこの2段階目は特定のデバイスを持っていることに依存しないということだ。僕のIDで他のデバイスに1passwordをインストールすることができれば、さらにそのデバイスでも2段階目をクリアできる。「AWSのパスワード」と「特定のスマホ(デバイス)」ではなく、「AWSのパスワー
よくカフェとかレストランで「カシャ♪」ってケータイで写真撮った後に なにやらメッセージを添えてどこかに送信してるような人っているじゃない? そういう人のアカウントを特定できたら面白いよねー ・・・今回はそんな方法を紹介するというライフハック。 ただ先に言っておくと、そもそも相手が実はTwitterを使ってない!っていうとアウト 送信先が友達へのメールでもアウトLINEだったりしてもアウト なので、必ず出来る!・・・とは言い切れない。 まー、せいぜい10回やって1度できるかどうかくらいの割合なので、レストランで料理が出てくるまでの時間つぶし程度のネタと思って大目に見てほしい。 肝心の方法の説明・・・の前にお店の名前とか、料理の名前・名物メニューとか話題の定番メニューが分かるなら、それで検索してみて素直にヒットするならそこで完了! 検索ワードのチョイスは推理力というか、もしも自分がそのお店を
「ウイルス罪」適用範囲、全都道府県警に開示請求 エンジニアが進ちょく公開、議員に陳情も……いたずらURL事件受け いたずらURLを掲示板に書き込んだ3人がウイルス供用未遂の疑いで摘発。エンジニアの間で「何がアウトかセーフか分からない」と不安が広がる中、ウイルス罪の適用範囲を明らかにするよう求める情報公開請求を行うエンジニアが現れた。JavaScriptを使った無限ループプログラムのURLを掲示板に書き込んだ3人が不正指令電磁的記録(ウイルス)供用未遂の疑いで摘発されたり、Coinhiveをサイトに設置した複数のユーザーがウイルス取得・保管の疑いで摘発されるといった事態を受け、「何をすればウイルス罪に当たるのか、セーフとアウトのラインが分からない」とエンジニアの間で不安が広がっている。 そんな中、全都道府県警に対して、ウイルス罪の適用範囲を明らかにするよう求める情報公開請求を行うエンジニア
タクシー配車アプリ「JapanTaxi」を運営するJapanTaxiは3月24日、タクシー車両に搭載したタブレットのカメラで乗客の顔写真を撮影して性別を推定し、広告の出し分けを行っていることについて昨年11月、政府の個人情報保護委員会から「カメラの存在や利用目的の通知が不十分」と行政指導を受けていたと発表した。指導を受け同社は、カメラの存在や挙動をタブレット上で乗客に説明する機能の開発に着手しており、4月にリリースするという。 JapanTaxiのタクシーは、助手席の背面に、動画広告などが表示されるタブレットが設置されている。このタブレットでは、乗客の顔画像を撮影して性別を判定しており、性別に応じて広告の種類の出し分けている。撮影した顔写真はその場で破棄しており、顔画像を位置情報や顧客情報とひも付けることは「以前から一切行っていない」としている。 同社は昨年11月30日、乗客の顔写真を撮影
KrebsOnSecurityが関係筋からの情報として、一部のFacebookユーザーのパスワードが暗号化されずに社内のデータストレージに読取可能な方式(平文)で保管されていたセキュリティ上の問題が生じていたと明らかにしました。Facebookはその後、この問題に関する見解を公開しています。ここでは関連する情報をまとめます。 KrebsOnSecurityの記事 問題を明らかにしたBrian Krebs氏の記事。 krebsonsecurity.com 明らかになった問題(Krebs氏の記事より) 一部のユーザーパスワードを平文で保存。 保存されたデータに対して2万人以上のFacebook従業員が検索可能な状態だった。 アクセスログから平文パスワードを含むデータに対して約2000人のエンジニア/開発者のアクセスが判明。 約900万の内部クエリが実行されていた。(悪用は確認されていない) 問
Last Updated on: 2021年6月10日バリデーション、と一言で言っても一種類/一箇所だけではありません。バリデーションには3種類のバリデーションがあります。 バリデーションは重要であるにも関わらず誤解が多い機能の筆頭だと思います。日本に限らず世界中でよくある議論に バリデーションはモデルで集中的に行うべきだ! なのでコントローラー(入力)でバリデーションなんて必要ない! モデル集中型バリデーション以外の方法/場所でバリデーションするのは非効率で馬鹿馬鹿しい考えだ! があります。どこかで見た事があるような議論ですが、世界的にこのような考えの開発者が多いことは、この入力バリデーション用のPHP拡張モジュールを書いた時の議論で分かりました。1PHP開発者MLで議論したのですが、紹介したような議論をした方が少なからず居ました。少し続くとすかさず「そもそもActiveRecordパタ
doda X(旧:iX転職)は、パーソルキャリアが運営するハイクラス転職サービス。今すぐ転職しない方にも登録いただいています。 今の自分の市場価値を確かめてみましょう。 日進月歩で進化するテクノロジー、若いメンバーからの斬新な提案・・・こうした新しいものに対して、人は歳を取れば取るほど抵抗を示すようになると言われます。 その理由の一つが「捨てられないから」。過去の成功体験、現在の地位や権力を手放したくない思いが、新しいものに対する抵抗感、あるいは先入観につながっているとは、中高年のビジネスパーソンを指してよく批判されるところです。 どうすれば、いくつになっても「捨てられる」人になれるでしょうか。「捨てられる」人とそうでない人とでは、いったい何が違うのでしょう。 今回は、50代にして起業し、110億円の資金調達に成功したことで話題になった「セキュリティおじさんベンチャー」ことBlue Pla
Last Updated on: 2019年2月13日Webアプリの入力はバリデーションできない、と誤解している方は少なく無いようです。システム開発に関わる人でなければ誤解していても構わないのですが、システム開発者が誤解していると安全なシステムを作ることは難しいでしょう。 Webアプリの入力はバリデーションできない、と誤解している開発者にも理解できるよう噛み砕いて解説してみます。 入力とプログラムの基本構造 入力のバリデーション(入力の制御)はセキュリティ対策で全てのアプリケーションにとって最も重要なセキュリティ対策です。(SANSTOP 25 Monster Mitigation #1) 入力仕様を決めること、知ることはプログラマにとって重要な仕事の1つです。プログラムは特定の入力を受け付け、その処理を行い、何らかの出力を行います。プログラムが処理する入力を知らず(決めれず)にプログラ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
