セキュリティエンジニアになり、そこから2年間分の勉強内容と参考になった資料とか - ぶるーたるごぶりん

2020/02/16 1265 users セキュリティエンジニア 新卒 資料 バックエンド開発 参考

セキュリティエンジニアになり、そこから2年間分の勉強内容と参考になった資料とか 自分の振り返りも兼ねて2年分の勉強内容とかをざっくりまとめようと思います。 新卒からバックエンド開発を2年程行い、その後セキュリティエンジニアとして横断セキュリティ部門に異動しました。 そこから更に2年が経ち、来月からセキュ... 続きを読む

Dropbox vs 他社オンラインストレージ：アナタに一番合っているのはどれ？ : ライフハッカー［日本版］

2011/07/25 526 users あなた ライフハッカー 日本版 Dropbox ストレージ

Webツール , ストレージ Dropbox vs 他社オンラインストレージ：アナタに一番合っているのはどれ？ 2011.07.26 08:00 コメント数：[ 0 ] Tweet タグ:DROPBOX オンライン上でデータを同期、保管、共有するサービスでは『Dropbox』が一番有名で人気もありますが、かといってこれがベストなのかといわれると、そうでもありません。最近あったDropboxのセキュ... 続きを読む

Struts2が危険である理由 - WAF Tech Blog ｜ クラウド型 WAFサービス Scutum 【スキュータム】

2017/03/27 483 users Scutum Struts スキュータム WAFサービス 筆者

はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月（およそ3年前）に「 例えば、Strutsを避ける 」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュ... 続きを読む

広告表示したら感染…ソフト最新化を急げ : 科学 : 読売新聞（YOMIURI ONLINE）

2015/12/04 412 users YOMIURI ONLINE 感染 読売新聞 科学 広告

ウェブサイトでよく目にするバナー広告が、オンラインバンキング詐欺ツールや、ファイルを勝手に暗号化するランサムウェア感染の原因になっている。バナー広告を表示しだけで感染するもので、対策には普段使っているソフトを最新化する必要がある。（ＩＴジャーナリスト・三上洋） ５０秒で感染→ランサムウェアで暗号化・脅迫 この連載・サイバー護身術でも、繰り返し取り上げているウェブサイトの不正広告問題について、セキュ... 続きを読む

「人がパスワード入力中に視線をそらす」は当たり前のITマナー？ - ITmedia NEWS

2017/07/17 343 users 視線 ITmedia News ITリテラシー 持ち主 再起動

「パスワード、見ていませんよ」アピール PCやスマートフォンの画面を複数人で見ていると、使っているWebサービスにログインしたり、PCを再起動したりするためにパスワードの入力を求められることがある。 PCの持ち主がキーボードでパスワードの入力を始めたとき、一緒に画面を見ていた人はさりげなく視線を外に向けながら 「パスワードを入力しているところ、見ていませんよ」 とアピール──ITリテラシーやセキュ... 続きを読む

セキュリティ業務の内製とチームメンバー育成

2014/06/12 232 users セキュリティ業務 内製 DeNA Co

Full Name Comment goes here. 12 hours ago Reply Edit Delete Spam Block セキュリティ業務の内製とチームメンバー育成 Presentation Transcript Copyright (C) DeNA Co.,Ltd. All Rights Reserved. セキュリティ業務の内製 とチームメンバー育成 － 0 から作るセキュ... 続きを読む

Webアプリケーション脆弱性診断の検査対象をどう絞り込めばよいか | 徳丸浩の日記

2015/03/02 166 users 徳丸浩 Webアプリケーション脆弱性診断 異論 検査対象 日記

2015年3月2日月曜日 Webアプリケーション脆弱性診断の検査対象をどう絞り込めばよいか ソニーDNAさんの『入門！基礎からわかる「失敗しないWeb診断業者の選び方」』というブログ記事を読みました。 全体的に穏当な内容で異論はないのですが、興味深い内容なので、屋上屋を架すようですが少し追加して考えてみたいと思います。 私が特に注目したのは以下の箇所です。 2. 検査対象を適切に絞れるか？ セキュ... 続きを読む

匿名通信「Tor」はどういう仕組みなのか分かりやすく解説 - GIGAZINE

2015/12/24 116 users Tor トーア GIGAZINE 匿名 サーバー

By la inventoría 通常、ウェブサイトにアクセスしたりメールを送信したりするとサーバーにアクセス元のIPアドレスが残ります。これを元に「誰がウェブサイトにアクセスしたのか？」や「誰がメールを送信したのか？」を特定することが可能なわけですが、そういった情報を一切残さずに完全に匿名で通信を行えるというシステムが「 Tor (トーア)」です。そんなTorがどうやって動作しているのかをセキュ... 続きを読む

クラウド会計ソフトfreeeのデータセキュリティと内部統制 - Speaker Deck

2021/03/19 107 users データセキュリティ freee 入隊 内部統制 陸上自衛隊

Transcript freee 株式会社 クラウド会計ソフト freeeの データセキュリティと内部統制 2018.12.06 大学在学中にIPストリーミング技術の会社を立ち上げ、 技術責任者を担当。 その後、防衛省・自衛隊に入隊。 陸上自衛隊で野外ネットワーク部隊を担当した後、 システム監査人として、各システムのシステム監査・セキュ ... 続きを読む

IPAの「安全なSQLの呼び出し方」が安全になっていた | yohgaki's blog

2013/12/04 84 users IPA SQL vuln yohgaki's blog PDF

IPAは「安全なSQLの呼び出し方」（PDF）を以下のURLから公開しています。 http://www.ipa.go.jp/security/vuln/websecurity.html 「安全なSQLの呼び出し方」は危険である、とするエントリを書こうかと思い、久しぶりに内容を確認すると改定されていました。 古い「安全なSQLの呼び出し方」は基本中の基本である「正確なSQL文の組み立て」によるセキュ... 続きを読む

宮本和明のシリコンバレー最新技術報告 - 「パスワードでの保護は限界」と結論したGoogleが評価するセキュ...：ITpro

2013/05/06 66 users ハードウェア ITpro 宮本和明 cookie セキュリティ

Googleは、2013年1月、セキュリティに関する研究結果を公表した。このレポートは「Authentication at Scale」というタイトルで、ユーザー認証技術についての評価報告である。Googleはこのレポートで、「パスワードとCookieで利用者を守ることはできない」と結論付け、新たな技術の導入を検討していることを明らかにした。 ユーザー認証にハードウエア・キーを利用 Googleが... 続きを読む

大衆はOSに革新なんて望んでいないよ - はてな村定点観測所

2017/05/16 65 users 大衆 革新 はてな村定点観測所 セキュリティパッチ 週明け

2017 - 05 - 16 大衆はOSに革新なんて望んでいないよ Windowsリスクが顕在化するディストピア 週明けは世界中のマシンがランサムウェアWannaCryの脅威に晒されることになった。日本はまだ大規模な被害は起きていないが、私達の社会にはレガシーなWindowsを使い続けている人が多数存在し、Microsoftがセキュリティパッチを提供しないとこのレガシー環境のWindowsがセキュ... 続きを読む

インターネットでの認証を、完璧と呼べる次元まで高めた後で、社会からハッカーを撲滅するためのシステム。 - 特開２００４−１２７２２３ | j-tokkyo

2016/02/03 60 users ハッカー セキュリティソフト いたちごっこ 次元 認証

【課題】 従来インターネットにおけるセキュリティは、完璧と呼べるものは未だなく、既存のセキュリティソフトは、それ自体を破る方法までが、インターネット上で公開されており、常にバージョンを上げるイタチごっこである。もし完璧を期する場合は、専門の管理会社に２４時間監視させ高額な維持費を以って解決する以外にない。 【解決手段】 インターネットにおけるサーバー運営側のセキュリティと、参加ユーザー側でのセキュ... 続きを読む

「セキュリティ人材が足りない」件について：テクノロジーでビジネスを加速するための実践Webメディア EnterpriseZine (EZ)

2015/02/03 60 users EnterpriseZine CSIRT テクノロジー 必然

最近、あちらこちらで「セキュリティ人材が足りない」「セキュリティ人材を募集」などと言われるようになった。以前から周期的に「セキュリティ人材」については話題になってきた。しかし、今回はかなり本格的に言われているようだ。 一つのきっかけはCSIRT構築だろう。そもそもCSIRTを構築すれば、セキュリティ対応できる人材が必要になるのは必然なので、セキュリティ人材が足りないということになるのだろう。セキュ... 続きを読む

クラウドがもたらす国内ベンダーの苦悩 - ベテランIT営業が教える「正しいITの使い方、営業の使い方」 - ZDNet Japan

2014/04/12 59 users 苦悩 クラウド ZDNet Japan 正しいIT 営業

「“日本IBMの苦悩”とおっしゃいますが、私は“国内ベンダーの苦悩”の方が、より切実だと感じています。」 先週のブログに、ある製造業の情報システム部門長から、このような感想を頂きました。私も、その通りだと思っています。 昨今のAWSやGoogleのクラウド・サービス料金の値下げ競争でも分かるように、自社でIT資産を持つことの経済的合理性が成り立たないことに、多くの人たちが気付き始めています。セキュ... 続きを読む

「セキュリティは簡単であるべき」を目指す団体、GoogleやDropboxらが設立 -INTERNET Watch

2014/09/22 54 users INTERNET Watch セキュリティ 設立 かたち

ニュース 「セキュリティは簡単であるべき」を目指す団体、GoogleやDropboxらが設立 （2014/9/22 12:27） テクノロジーに詳しくないユーザーでも簡単に使用できるセキュリティツールの開発・普及を目指し、米Googleや米Dropboxらが19日、非営利団体「Simply Secure」の設立を発表した。 Simply Secureはオープンソースツールに限定するかたちで、セキュ... 続きを読む

痛いニュース(ﾉ∀`) : マイクロソフト、年間1万9500円で「Windows XP」のアップデートを延長か - ライブドアブログ

2013/08/30 50 users ライブドアブログ セキュリティアップデート マイクロソフト

マイクロソフト、年間1万9500円で「Windows XP」のアップデートを延長か 1 名前： フロントネックロック(家)：2013/08/30(金) 11:12:24.36 ID:85c7Yi/60 Windows XPのセキュリティアップデートを年間1万9500円でマイクロソフトが実施する可能性 すったもんだの末にWindows XPのサポート期限が5年間延長され、2014年4月8日までセキュ... 続きを読む

WordPressは低セキュリティ？　“バズレシピ”リュウジ氏のBASE移転で議論に

2023/06/06 34 users バズレシピ リュウジ氏 議論 WordPress base

人気料理YouTuber・リュウジ氏のWordPressのサイトが改ざんされたことを受け、BASEに移転。「WordPressはセキュリティが低いのか？」と議論に。 人気料理YouTuber・リュウジ氏監修の食品を販売するサイトが不正アクセスにより改ざんされ、ウイルスを含むサイトにリダイレクトされていた問題をめぐり、WordPressのセキュ... 続きを読む

日本スマートフォンセキュリティ協会、『Androidアプリのセキュア設計・セキュアコーディングガイド』2月1日版を公開 | Social Game Info

2016/02/03 32 users セキュアコーディングガイド セキュア設計 公開 技術部会

一般社団法人日本スマートフォンセキュリティ協会の技術部会 アプリケーションWG「セキュアコーディンググループ」は、2月1日、2012年6月に公開した『Android アプリのセキュア設計・セキュアコー...一般社団法人日本スマートフォンセキュリティ協会の技術部会 アプリケーションWG「セキュアコーディンググループ」は、2月1日、2012年6月に公開した『Android アプリのセキュア設計・セキュ... 続きを読む

「サイバーセキュリティ戦略」見直しへ　NHKニュース

2015/06/03 29 users サイバーセキュリティ戦略 NHKニュース 事案 菅官房長官

菅官房長官は午後の記者会見で、日本年金機構のシステムから大量の個人情報が流出した問題を受けて、今月、閣議決定を予定している「サイバーセキュリティ戦略」に盛り込む内容を見直し、サイバー攻撃への対策に万全を期す考えを示しました。 そのうえで、菅官房長官は、今月、閣議決定を予定している「サイバーセキュリティ戦略」について、「今回の事案を踏まえて戦略自体も見直す必要があると考えている。政府全体としてセキュ... 続きを読む

問題が相次いで発覚した「Zoom」でヴィデオ会議を開く際に、まずユーザーが考えるべきこと｜WIRED.jp

2020/04/02 27 users Zoom パンデミック ヴィデオ会議 新型コロナウイルス 側面

KENA BETANCUR/GETTY IMAGES 新型コロナウイルスのパンデミック（世界的大流行）に見舞われるなか、ヴィデオ会議アプリケーション「Zoom」が注目されている。仕事も人間関係もオンラインで完結させる人が増え、爆発的に普及しているのだ。 ところが、これは決してプラスの側面ばかりではない。Zoomの普及によってセキュ... 続きを読む

セキュリティ界隈、誰をフォローしたら良いの？二番煎じで考えてみた。 by @ymzkei5

2018/01/12 27 users セキュリティ界隈 二番煎じ ssmjp entry エントリ

作成日： 2018/1/12 （データは、2018/1/11お昼くらい時点） きっかけ 以下のエントリが話題になっていた！（わーい！ 私は30位だ！） セキュリティ界隈の方々って誰をフォローしてるの？ - nanka iroiro http://waaai-tanoshiiiii.hatenablog.com/entry/2018/01/08/023437 でも、まてよ、 #ssmjp は、セキュ... 続きを読む

Taosoftware: Android OS 4.1のセキュリティ的な変更点

2012/06/29 26 users Taosoftware KeyNote Android メモ

Google I/Oが開催されAndroid 4.1がリリースされました。ざっと見た感じ5.0と付けるには、ちょっと機能が少なすぎだから4.1なので納得感です。Keynoteでも4.1の話の時は全然盛り上がってませんでしたしね Android Security本を出版したおかげで、なんだかセキュリティ周りは一通り見ておく必要が出てきておりますので、今後調査するのを忘れないようにメモも兼ねて、セキュ... 続きを読む

“政府認定クラウドサービス”から自主的にサービス取り下げ　辞退企業に理由を聞いた

2022/04/07 22 users 政府認定クラウドサービス 理由 ISMAP サービス 自治体

日本政府が定めるクラウドサービスの認定制度「政府情報システムのためのセキュリティ評価制度」（ISMAP）の登録を自ら取り下げたSaaS企業。自治体・官公庁向けにサービスを提供しているにもかかわらず、自主的に登録を解除した理由とは。 日本政府が定めるクラウドサービスの認定制度「政府情報システムのためのセキュ... 続きを読む

「ロシアがKaspersky経由でNSAの情報盗んだ」、米紙報道 - ITmedia NEWS

2017/10/06 19 users NSA ＷＳＪ Kaspersky Lab ハッカー集団 人物

米紙Wall Street Journalは、ロシア政府の関与するハッカー集団がKaspersky Labのウイルス対策ソフトウェアを経由して、米国家安全保障局（NSA）の極秘情報を盗み出したと伝えた。 米紙Wall Street Journal（WSJ）は10月5日、事情を知る複数の人物の話として、ロシア政府の関与するハッカー集団が、米国家安全保障局（NSA）の契約職員が使っていたロシアのセキュ... 続きを読む