春からセキュリティエンジニアとして働く人たちに伝えたいこと - トリコロールな猫/セキュリティ

2024/03/04 7 users バイナリコード トリコロール セキュリティ 老害 若手

はじめに 歳をとってきて、若手の人たちにいろいろいい残しておきたいけど直接言うと老害になるのでブログに書く試み第二弾。春からセキュリティエンジニアとして会社で働く学生に向けた言葉です。第一弾はこちら。 security.nekotricolor.com 食わず嫌いせずいろんな分野に挑戦しよう 幼稚園の頃からバイナリコードに夢... 続きを読む

トップガンでなくてもセキュリティエンジニアとして長く続けていくには - トリコロールな猫/セキュリティ

2024/01/09 90 users 一興 バイナリ マルウェア トリコロール 覚悟

はじめに セキュリティ業界は人が少ないので、どこに行っても名前を聞く人とか、バイナリを見ただけでどこ製のマルウェアかわかる人とか、つよつよ人材が身近にいがちです。そんなトップガンを目指すのも一興ですが、ある程度の期間は、起きている時間全てをセキュリティに捧げる覚悟が必要です。私はそこまでできないの... 続きを読む

「未来の“当たり前”を作る」セキュリティ・SREのスペシャリスト星北斗が今、LayerXを選ぶ理由｜LayerX

2024/01/09 9 users LayerX SRE CISO ＣＴＯ 出向

2024年1月1日。LayerXにまた、新たな仲間が加わりました。クックパッド株式会社でセキュリティエンジニア、SRE (Site Reliability Engineer) として経験を積み、技術本部長を経て2020年にグローバル本社（イギリス）に出向。コーポレートエンジニアリングを中心に海外でのマネジメントを経験したのち、CTO/CISOを務めた... 続きを読む

セキュリティエンジニアを3年続けて分かったおすすめ勉強法

2024/01/04 696 users 独断 偏見 範囲 費用対効果 時期

セキュリティエンジニアとして就職してからそろそろ3年経ちます。独断と偏見に基づき、IT初心者・セキュリティ初心者・セキュリティエンジニアの3つの時期に分け、費用対効果の良い勉強法を紹介していきたいと思います。 セキュリティエンジニアとは 「セキュリティエンジニア」という言葉は範囲が広いですが、私が今回... 続きを読む

2023年のプロダクトセキュリティを振り返る【各業界の開発・セキュリティエンジニア13人に聞く（前編）】 - #FlattSecurityMagazine

2023/12/21 8 users FlattSecurityMagazine 潮流 トピック

プロダクト開発・運用の現場では2023年のセキュリティ関連のトピックをどう受け止めているのか、また、今後のセキュア開発に関する潮流をどう予測しているのか。様々な業界で活躍する開発エンジニア・セキュリティエンジニアの方々13人に見解を伺いました。 今回は、「2023年のプロダクトセキュリティを振り返る」という... 続きを読む

Amazonの元セキュリティエンジニアが仮想通貨取引所から約17億円を盗んだ罪を認める

2023/12/18 7 users Amazon 仮想通貨取引所 被告人 補償 全額

Amazonでセキュリティエンジニアだったシャキーブ・アーメド被告人が、2つの仮想通貨取引所から1230万ドル(約17億4900万円)以上を盗み出したことを認めました。すでに、被告人が詐取した資産の全額が没収されているほか、被告人はおよそ507万ドル(約7億2200万円)の補償を行うことを約束しています。 Southern District o... 続きを読む

GitHubの内部ネットワークにアクセス可能な脆弱性(SSRF)を報告した話 - Flatt Security Blog

2023/07/31 16 users GitHub SSRF HackerOne テキサス 脆弱性

はじめに こんにちは、株式会社Flatt SecurityでセキュリティエンジニアをやっているRyotaK (@ryotkak) です。 HackerOneのイベント (H1-512) に参加するためにテキサスに行った話で紹介したイベントにおいて報告したSSRF(サーバーサイドリクエストフォージェリ)に関して、脆弱性情報を公開する許可が得られたため、今回... 続きを読む

セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン・サービスのまとめ - FFRIエンジニアブログ

2023/07/24 245 users ガイドライン 研究開発 一瀬 サービス

はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。先日は「セキュリティエンジニアを目指す人に知っておいてほしい組織」を公開しました。今回は、セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン、サービスについてまとめました。こちらも、セキュリティエンジニアとして働い... 続きを読む

セキュリティエンジニアを目指す人に知っておいてほしい組織 - FFRIエンジニアブログ

2023/06/29 177 users

はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。セキュリティエンジニア同士の会話では、「"シーザ"が最近またレポート出していて…」とか「"アイピーエー"から注意喚起出てたね」といった、初学者には謎の単語がたくさん出てきます。本記事では、そういった会話に出てくる単語のうち、国内外のセキュ... 続きを読む

映画『Winny』公開記念　杉浦隆幸氏、高木浩光氏たちが振り返る「Winnyとは何だったのか」

2023/04/18 5 users Winny 杉浦隆幸氏 抑圧 映画 権力

映画『Winny』公開記念　杉浦隆幸氏、高木浩光氏たちが振り返る「Winnyとは何だったのか」：むしろ「本質的に良くない部分」を問うことが必要（1/3 ページ） それは権力による創造の抑圧だったのか――元IPAセキュリティセンター長、セキュリティ研究者、ユーザー、セキュリティエンジニア、「One Point Wall」開発者たち... 続きを読む

情シスからセキュリティエンジニアになるには？ みんなCVE取得してる？【セキュリティエンジニアだけど何か質問ある？】 - #FlattSecurityMagazine

2023/03/23 7 users Twitter Flatt Security 情シス 企画

Twitterで募集した「セキュリティエンジニアに答えてほしい質問」に、Flatt Securityのセキュリティエンジニアが答える企画。 今回は、セキュリティエンジニアへのキャリアパスに関する質問や、Flatt Securityでの働き方に関する質問にFlatt Securityのセキュリティエンジニアたちがお答えします！ セキュリティエンジニ... 続きを読む

Cookie vs Local Storage マルウェア耐性等に差はあるか？Google Chromeによる保存時の暗号化を検証する - Flatt Security Blog

2023/03/13 13 users Flatt Security Blog 暗号化 XSS 耐性

はじめに こんにちは。セキュリティエンジニアの@okazu_dmです。 皆さんはブラウザにおいてLocal StorageやCookieに格納されている値が暗号化されているかどうかを考えたことはあるでしょうか。これらWebサービスの認証・認可において使われるデータが、XSSのようなアプリケーションの脆弱性への耐性に差があるかどうか... 続きを読む

カイポケリニューアルでの SREチームの活動の一部の紹介：認証基盤選定と OpenTelemetry周辺ツール調査 - エス・エム・エス エンジニア テックブログ

2023/02/07 7 users SREチーム エム エス エンジニア SRE

こんにちは、SREをやっている@okazu_dmです。 経歴としては、サーバサイドエンジニアからセキュリティエンジニアを経て、エス・エム・エスではサービス横断で技術的な課題を解決しています。 基本的には組織に必要なことと自分ができることや、やりたいことが交わるポイントで仕事をしており、現在はSREとして働いていま... 続きを読む

2023年セキュリティトレンド大予想と2022年の総括【9社の開発・セキュリティエンジニアに聞く（後編）】 - #FlattSecurityMagazine

2023/01/26 15 users FlattSecurityMagazine 総括 サイボ

9社のSaaS・OSS開発の現場で活躍する開発エンジニア・セキュリティエンジニアの方々に、2022年のセキュリティ分野での取り組みや2023年に取り組みたいことなどを聞いた2週連続企画の後編です。後編では、5社からのコメントをご紹介します。 今回コメントをいただいた方々（社名五十音順・順不同） 後編（本記事） サイボ... 続きを読む

Rust言語を推進する「Rust Foundation」がフルタイムのエンジニアを2名募集中。年収10万ドルから15万ドル

2023/01/10 6 users Rust言語 Rust Foundation エンジニア

Rust言語を推進する「Rust Foundation」がフルタイムのエンジニアを2名募集中。年収10万ドルから15万ドル Rust言語の開発やエコシステムを推進する「Rust Foundation」が、同団体のメンバーとしてフルタイムのエンジニア2名を募集しています。 1名はセキュリティエンジニア、もう1名はRustのパッケージリポジトリcrates.... 続きを読む

セキュリティ診断ツール "Dastardly" を WSL2 上で実行してみた - Qiita

2022/12/29 25 users Qiita GitHub Lifull WSL2 新卒

LIFULL に新卒入社し、もうすぐ4年目になるヒラノです。 普段はセキュリティエンジニアとして、セキュリティ/テスト自動化に関する推進、支援などを中心に取り組んでいます。 15日目の記事 では Dastardly を GitHub 上で動かしていましたが、今回はローカル（WSL2）上で動かしてみようと思います。 What is Dastardly? ... 続きを読む

同僚に2要素認証を回避するフィッシング攻撃(の演習)をしてみた - SmartHR Tech Blog

2022/12/02 6 users 演習 フィッシング攻撃 同僚 2要素認証 岩田

こんにちは、セキュリティエンジニアの岩田です。今回は「擬似サイバー攻撃演習」と銘打って行った社内の演習についてご紹介します。 擬似サイバー攻撃演習とは? 実際のサイバー攻撃をシミュレーションして実施することで、現在行なっているセキュリティ対策が有効に機能しているかを検証するための演習です。「レッドチ... 続きを読む

Firebase Authenticationのバリデーション等を新機能「blocking functions」を用いて拡張する - Flatt Security Blog

2022/11/29 12 users バリデーション okazu-dm blocking 新機能

こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Firebase Authenticationに2022年7月ごろに追加されたblocking functions という機能についての紹介です。 詳細は後述しますが、blocking functionsはFirebase Authenticationの登録、サインイン処理を拡張するための機能で、この記事では、blocking... 続きを読む

Firebaseの新機能「Cross-service Rules」でCloud Storageのアクセス制御をスマートに実装しよう - Flatt Security Blog

2022/11/15 14 users Firebase Cloud Storage Sz4rny

こんにちは。株式会社Flatt Security セキュリティエンジニアの梅内 (@Sz4rny) です。 本稿では、2022年9月に Cloud Storage for Firebase に新たに導入された Cross-service Rules という機能について、前提知識をおさらいしつつ、実例を交えながらその概要や利用方法、メリットなどを紹介します。 また、Flatt Securit... 続きを読む

【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か？ - Flatt Security Blog

2022/08/09 131 users XSS auth アクセストークン okazu-dm 耐性

はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Auth0のアクセストークンの保存方法について解説した前回の記事の補足となる記事です。前回の記事の要旨をざっくりまとめると以下のようなものでした。 Auth0はデフォルトではアクセストークンをブラウザのメモリ空間上にのみ保存するin-me... 続きを読む

Auth0のアクセストークンをLocal Storageに保存するのは安全？メリット・デメリットをin-memory方式と比較して検討する - Flatt Security Blog

2022/08/02 138 users auth アクセストークン okazu-dm IDaaS 昨今

はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事では、Auth0のSPA SDKでアクセストークンのキャッシュを有効化する際の考慮ポイントについて紹介し、それを切り口にアクセストークンの保存場所に関してin-memory方式とlocalStorage方式の2つについて解説します。 Auth0のようなIDaaSは昨今か... 続きを読む

Amazon S3の脆弱な利用によるセキュリティリスクと対策 - Flatt Security Blog

2022/07/26 160 users セキュリティリスク 森岡 本稿 Flatt Security

はじめに こんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。 本稿では、Amazon S3 の脆弱な使い方によるセキュリティリスクと対策を解説し、実際の設定不備などに関する事例についても紹介します。 Flatt Security は専門家の視点でセキュリティリスクを調査するセキュリティ診断を提... 続きを読む

無名のセキュリティエンジニアがたった2本のブログ記事からSoftware Designで連載をすることになった (技術編) - NFLabs. エンジニアブログ

2022/07/19 24 users パスワード ハンズオン tl;dr アウトプット 無名

tl;dr 前半をサイバー脅威インテリジェンスの理論、後半をハンズオンの形式で全6回の連載をしてきました 連載は現実のインテリジェンス業務をなるべく反映させたものであり、戦術脅威インテリジェンスがアウトプットの中心になります 実態のよくわからないバズワードに飛びつかず、企業は自組織の体制と世の中の脅威を正... 続きを読む

セキュリティエンジニアにセキュリティ技術情報収集のやり方を聞いてみた - ラック・セキュリティごった煮ブログ

2022/07/11 241 users ラック セキュリティごった煮ブログ セキュリティ業界 機会

こんにちは、かすたーど先生です。 セキュリティ業界を目指している学生さんとお話しする機会がたまにあるのですが、「セキュリティエンジニアの方は、どうやってセキュリティ技術に関する情報収集しているんですか？」と聞かれることがよくあります。 情報収集の方法って、学生さんももちろん、セキュリティエンジニア... 続きを読む

セキュリティエンジニア向け英語教材、IPAが無償公開　「セキュリティ英単語集」など（要約）

2022/07/02 12 users IPA 要約 無償公開 English Reading 英語

情報処理推進機構は、セキュリティエンジニア向け英語教材「セキュリティエンジニアのための English Reading」を公開した。英語のリーディング力や情報収集力向上のための内容を掲載している。 続きを読む