Webセキュリティのあるきかた2024/10/5 YAPC::Hakodate 2024
ドメイン名の終活について - JPAAWG 7th -
2024/11/11〜12 に行われた JPAAWG 7th General Meeting で発表した資料です https://meetings.jpaawg.org/
スタートアップの1人目SREが入社後にやってきたこと
こんにちは、株式会社スマートラウンドSREの@shonansurvivorsです。 私は今年5月に1人目のSREとしてこの会社に入社し、既に半年以上が経過しました。 2022年も終わりが近づいて来た中、この場を借りて、スタートアップの1人目SREとして、今年やってきたことを記録として残したいと思います。 なお、本記事で取り扱う内容はSREの理論や原理原則に沿って各種プラクティスを実践したこと、というよりは、セキュリティ、モニタリング、IaC、コスト、パフォーマンス、運用、開発効率などなど、いまこの組織で取り組むことでプロダクトと事業に貢献できるのではないか?と私なりに判断してきたこととなります。 そのため、Site Reliability Engineeringに関して学びのある記事にはなっていないと思いますし、また概ね時系列順に近い形で実施事項を羅列していきますので(述べ方が長たらしいと
パスキーのクレデンシャルがベンダ間で交換可能に、業界標準「Credential Exchange Specifications」ワーキングドラフトをFIDOアライアンスが公開
パスキーのクレデンシャルがベンダ間で交換可能に、業界標準「Credential Exchange Specifications」ワーキングドラフトをFIDOアライアンスが公開 パスワードレスを実現する業界標準「パスキー」(Passkey)の仕様策定や推進を行っているFIDOアライアンス(ファイドアライアンス)は、クレデンシャルを安全に交換するための新仕様「Credential Exchange Specifications」のワーキングドラフトを発表しました。 これによりユーザーはパスキーやその他すべてのクレデンシャルを、異なるベンダ間であっても安全に移動や交換できるようになります。 例えば、Googleパスワードマネージャに保存されたパスキーのクレデンシャルをAppleアカウントのiCloudキーチェーンへ移動してiPhoneでパスキーを使う、あるいは1Passwordなど他のパスワード
IVRyがISO/IEC 27001の認証を取得するまでの道のりを振り返ってみる|chama
はじめにこんにちは。株式会社IVRy (アイブリー) のコーポレートエンジニアのueda (chama) です。 当社ではお客さまにより安心してサービスをご利用いただけるようにプロダクトや社内ITのセキュリティの向上に努めています。 その一環で、2024年8月にISO/IEC 27001認証を取得しました! 認証の詳細に関しては以下をご参照ください。 この記事では認証取得するまでに取り組んできたことを、簡単に振り返っていきたいと思います。 取得までの流れ特別なことはなく、基本に忠実に、段階的に準備を進めました。これは当初の推進メンバーにISMS構築の主担当経験者がいなかったため、教科書どおりに段階を進めるのがもっとも効果的・効率的だろう、という考えでした。 審査機関の選定 ISMSの適用範囲の決定 情報セキュリティ方針の策定 ISMS文書の作成 リスクアセスメント 従業員への教育 内部監査
Hardeningってなんですか?怖いですか?とりあえず参加して確かめることにしました!~有給を1週間消化しても、衛ることで得られる知識があると思って望んだ"Hardening 2024 Convolu|びきニキ
Hardeningってなんですか?怖いですか?とりあえず参加して確かめることにしました!~有給を1週間消化しても、衛ることで得られる知識があると思って望んだ"Hardening 2024 Convolutions"参加レポ~ 🛡️ はじめにこんにちは!びきニキです(@BkNkbot) 10/15(火)~10/18(金)に沖縄空手会館で開催されたHardening 2024 Convolutionsに参加しました! #H2024C 今回はその内容について、参加記録を残していきたいと思います! 🛡️ Hardening 2024 Convolutionsとはハードニング競技会は、サイバーセキュリティの実践的なスキルと知識を競うイベントです。参加者はチームを組み、競技会で託されるビジネス・ウェブサイト(例えばEコマースサイト)を、ビジネス目的を踏まえて運用・改善します。降りかかるあらゆる障害
「クラウドコンピューティングのためのセキュリティガイダンスV5」を公開しました! – csajapan
本書は、CSA本部が公開している「Security Guidance For Critical Areas of Focus in Cloud Computing v5」の日本語訳です。CSAジャパンの翻訳WGとガイダンスWGにより日本語化いたしました。 セキュリティガイダンスV5では、クラウド、セキュリティ、サポート技術の進歩を取り入れ、実際のクラウドセキュリティの実践を反映し、最新のクラウドセキュリティアライアンスの研究プロジェクトを統合し、関連技術のガイダンスを提供しています。特に、アプリケーションセキュリティにおける、IaC、DevOps、サードパーティライブラリ、新しいクラウドセキュリティ技術、クラウドワークロードのセキュリティとして、コンテナ、サーバーレス機能、AIなどのセキュア化をカバーしています。また、CSPM、SSPM、CNAPP,IaC、SASE,SOARなど、様々なセ
Google Cloud PAMを使った権限昇格の仕組みと、Terraformでloopをネストする方法 - newmo 技術ブログ
PAM(Privileged Access Manager)とは Google CloudのPrivileged Access Manager(PAM)という機能をご存知でしょうか。 詳しくは 新しい Privileged Access Manager を使用して常時オンの特権からオンデマンド アクセスに移行 | Google Cloud 公式ブログ に書かれています。 簡単な方法で、必要なときにのみ、必要な期間だけ、必要なアクセス権を正確に取得できるようにすることで、最小権限の原則を実現するのに役立ちます。PAM は、常時オンの常設特権から、ジャストインタイム(JIT)、時間制限付き、承認ベースのアクセス昇格を備えたオンデマンドの特権アクセスに移行できるようにすることで、リスクを軽減します。 常に強い権限を持つ運用にしていると、アカウントが乗っ取られた場合のリスクや開発環境だと思って作業
ed25519 のサーバー証明書はブラウザがまだ対応していないという話
#2024/10/07: タイトルと TL;DR、本文中などに技術的に不正確な表現、意図とは異なる表現になっている部分が含まれていたため訂正(✕: ed25519 で署名した →◯: ed25519 鍵で作成された)1 TL;DR #BoringSSL2 を使って https サーバー制作中3にブラウザ(Brave(Chromium ベースのブラウザ)4)からテストしようとしたら 2024-10-06 09:56:30 [::1]:56185 method="SSL_read" ssl_error_code=1 ssl_error_desc="SSL" lib_error=error:100000fd:SSL routines::NO_COMMON_SIGNATURE_ALGORITHMS というエラーが出た。 多分証明書の署名関連が悪いんだろうとは思いとりあえず調べていったら 必要以上に
セキュリティ・ミニキャンプ in 愛知 2024に講師として参加してきた話 - NTT Communications Engineers' Blog
みなさんこんにちは、イノベーションセンターの益本(@masaomi346)です。 Network Analytics for Security (以下、NA4Sec) プロジェクトのメンバーとして活動しています。 この記事では、2024年9月14日に開催されたセキュリティ・ミニキャンプ in 愛知 2024で、講師として参加したことについて紹介します。 ぜひ最後まで読んでみてください。 NA4Secについて セキュリティ・キャンプについて 参加者から講師に 担当した講義について 講師をしてみて 学生の方へ 出張講演承ります NA4Secについて NA4Secは、「NTTはインターネットを安心・安全にする社会的責務がある」を理念として、インターネットにおける攻撃インフラの解明・撲滅を目指した活動をしているプロジェクトです。 NTT Comグループにおける脅威インテリジェンスチームとしての側面
【インフラエンジニアbooks】30分でわかる「AWS継続的セキュリティ実践ガイド」
インフラエンジニアbooks #49
パスワードマネージャーは必要か? そしてなぜKeeperか? - Qiita
総当たりする所要時間を考えると、9桁以下や10桁でも文字の組み合わせに記号がないと、危険ですね。 尚、同ガイド「インターネットの安全・安心ハンドブック」には、第6章でパスワードに関することのみにフォーカスした章があり気になる方にはおススメです。 パスワードの使い回し禁止の人力は現実的? パスワード長く記号も使おうはわかったよと、そして次の節が「使い回しはだめよ」です。使い回しがだめなら単に最後の文字だけ変える、これもだめです。 それが、だめなのはわかるのですが、わかりますが長くて複雑かつ使い回さないものは覚えられないですよね、私は電話番号という数値のみの10~11桁をよく使うものなら覚えられ、それ以上は厳しいです。 覚えられないパスワードは保管して、適時利用することが推奨されます。次の節でその方法について説明します。 「ノートに書く」? 必要に応じてノートを開く、そこに複雑な文字列がある.
サーバーレスなユーザー認証認可の考慮事項と実践的プラクティス紹介 / slsdays-tokyo-2024
Serverless Web Hosting Strategy For Modern Front-end Application
セルフホスト型ランタイムによる WebAssembly インストルメンテーションの実現可能性検討/jssst-41
https://jssst2024.wordpress.com/program/ セルフホスト型ランタイムによる WebAssembly インストルメンテーションの実現可能性検討 中田 裕貴(さくらインターネット / はこだて未来大), 松原 克弥(はこだて未来大)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ソフトウェアセキュリティはAIの登場でどう変わるか - OWASP LLM Top 10
NICTサイバーセキュリティ研究所長 井上大介が考える 日本の「セキュリティ自給率」向上を生む好循環 | ScanNetSecurity
Identifying User Idenity
Hardening 2024 convolution参加記(感想編)
Hardening 2024 Convolutions参加記
SBOMの本質を大阪大学 猪俣教授が語る――「うちのソフトは大丈夫なんです」とユーザーにどう証明する?
