セキュリティエンジニアになり、そこから2年間分の勉強内容と参考になった資料とか - ぶるーたるごぶりん
セキュリティエンジニアになり、そこから2年間分の勉強内容と参考になった資料とか 自分の振り返りも兼ねて2年分の勉強内容とかをざっくりまとめようと思います。 新卒からバックエンド開発を2年程行い、その後セキュリティエンジニアとして横断セキュリティ部門に異動しました。 そこから更に2年が経ち、来月からセキュリティサービスの開発とかをすることになったので、 もし同じような人が居た際になんとなし参考になればいいかなという意図で書いてます。 ちなみにセキュリティ部門に異動するまでのセキュリティの知識レベルは「徳丸本を2回通しで読んでる」程度です。 セキュリティ部門に移ってからは脆弱性診断・ログ監視・開発ガイドライン周り・脆弱性管理とかをやってました。 本記事では自分自身がユーザ系の企業に属しているので、ベンダーとかそちら寄りの内容ではないです。 あとできる限り社内の事情を記載しません。何が問題になる
HTML5のLocal Storageを使ってはいけない(翻訳)|TechRacho by BPS株式会社
概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Randall Degges - Please Stop Using Local Storage 原文公開日: 2018/01/26 著者: Randall Degges 日本語タイトルは内容に即したものにしました。 画像は元記事からの引用です。 初版公開: 2019/10/19 追記更新: 2024/04/05 -- リンク情報を記事末尾に移動しました 本気で申し上げます。local storageを使わないでください。 local storageにセッション情報を保存する開発者がこれほど多い理由について、私にはさっぱり見当がつきません。しかしどんな理由であれ、その手法は地上から消えてなくなってもらう必要がありますが、明らかに手に負えなくなりつつあります。 私は毎日のように、重要なユーザー情報をlocal storageに保存す
セキュリティエンジニアが本気でオススメする開発者向けコンテンツ 20選 - Flatt Security Blog
画像出典: 書籍...記事中に掲載した販売ページ / Webサイト...スクリーンショット はじめに こんにちは。株式会社Flatt Securityの @toyojuni です。 突然ですが、弊社Flatt Securityは「開発者に寄り添ったセキュリティ」を標榜しています。Webアプリケーションなどに脆弱性がないか調査する 「セキュリティ診断」 においても、セキュアコーディング学習プラットフォーム 「KENRO」 においても、いかに開発者フレンドリーなサービスを提供できるかという点を大事にしています。 そんな弊社はお客様からさまざまな開発におけるセキュリティのアドバイスを求められることも多いのですが、その中で「開発に役に立つセキュリティ」という切り口では、なかなかまとまっているリファレンス集がないという課題に気付かされました。 そこで、社内でアンケートを実施して「開発者にオススメのセ
2020年はペパボに9人の新卒エンジニアが入社しました。今年も新卒エンジニアを対象に、3ヶ月に及ぶエンジニア研修を開催しました。 本エントリでは、研修の全体像のご紹介や、研修で利用した各資料を公開します。また、領域別に研修担当者より概要の紹介をします。 新卒研修の資料作成を担当している方や、新卒・中途問わず、新しい領域にチャレンジしたいエンジニアの方はぜひご覧ください! GMO ペパボの研修 GMO インターネットグループでは、毎年 GMO Technology Bootcamp(以下、GTB) と題して、グループ全体のエンジニアとクリエイター(デザイナ)が集まってプロダクトを作っていく上で必要となるベースラインの技術を学ぶ研修を行っています。 GMO ペパボの新卒入社のメンバーは今年から本格的に GTB に参加しました。新卒メンバーが参加するなら、と講義の内容の作成や講師としての参加につ
はじめに 今年のエンジニア研修の担当をしたkurotakyとtokkyです。ペパボのエンジニア研修2021がはじまっていますという記事を書いてあっという間に時が経ち、先日研修が終わったので研修資料を公開します。各研修の講師からコメントをもらっているので、ぜひ読んでいってください! 研修を実施するにあたって、専門的な内容を学んでから現場に入る方法や、幅広い技術層に触れてから現場に入る方法など、さまざまなスタイルがあります。ペパボでは最新の技術の幅広く触れてOJTに入っていくやり方を選択しています。それはなぜかというと、GMOペパボのわたしたちが大切にしている3つのことの中で、「みんなと仲良くする」ということ話がありますが、みんなと仲良くするというのは、エンジニアという職種だけでも100人以上になり、そのみんなと仲良くするのは実際は結構難しいと思います。過去にCTOのあんちぽさんが2017年の
プログラミングの原則:構造化テキストを文字列結合で作らない、置換でいじらない - Uzabase for Engineers
こんにちは、ソーシャル経済メディア「NewsPicks」のむとうです。 先日から『Ghost of Tsushima』の開発者が書いた『ルールズ・オブ・プログラミング』という本をちょっとずつ読み進めていて、プログラミング熱が高まっています。この本は大きな指針を示すだけで具体の話をするものではないのですが、読み物として面白いので私も似たようなことをやってみたくなりました。 何年もこういう仕事をしているとバグが入るパターンというのが見えてきます。そしてだいたいどこに行っても何の仕事でも似たようなことをすることになるのですが、今回の話もその一つです。 構造化テキストを文字列結合で作らない、置換でいじらないというのはこれだけみると何のことか分かりづらいかも知れませんがSaaS Product Team セキュアコーディングの啓蒙 第2回 (SQL インジェクション編)の内容とある面では同じ話です。
GitHub、脆弱性のあるコードを実際にデバッグして学べる「Secure Code Game」シーズン2がスタート
GitHub、脆弱性のあるコードを実際にデバッグして学べる「Secure Code Game」シーズン2がスタート 「Secure Code Game」は、ゲームと名付けられていますが、実際のコードを月間60時間無料で提供されるGitHub Codespacesの機能を駆使して修正し、ユニットテストを通して完成させる手順となっており、実践に近い内容となっています。 昨年(2023年)3月に開始されたシーズン1は、PythonとC言語でのセキュアなコーディングを学べる内容でした。今回のシーズン2ではこれらに加えてJavaScript、Go、そしてGitHub ActionsのYamlファイルなどが含まれており、これらのコードのバグを修正することになります。 Secure Code Gameの始め方 「Secure Code Game」の始め方は次の通りです。 まず「Secure Code G
ゼロトラストネットワーク
ゼロトラストネットワークとは、ファイアウォールやVPNに代表される従来型のセキュリティ(境界防御モデル)が通用しなくなった現状を踏まえ、すべてのトラフィックを信頼しないことを前提とし、検証することで脅威を防ぐというアプローチです。近年、クラウドサービスやモバイルの普及により、セキュリティで守るべき内外の境界があいまいになってきたことにより、強く注目を集めています。本書は、ゼロトラストネットワークの概念と実装するために必要な知識が学べる解説書です。基本的な概念の説明に始まり、デバイス、ユーザー、アプリケーション、トラフィックの信頼を実際にどのように確立していくかについて、詳しく紐解いていきます。また、Googleのゼロトラストモデル「BeyondCorp」を含む2つの詳細なケーススタディも収録しており、実装に役立つ知識を深めることができます。 はじめに 1章 ゼロトラストの基礎 1.1 ゼロ
Webエンジニア向けセキュアコーディング学習サービス「KENRO」のトライアルを一般開放しました - Flatt Security Blog
こんにちは、Flatt Security執行役員の @toyojuni です。 弊社はWebエンジニア向けのセキュアコーディング学習プラットフォーム「KENRO(ケンロー)」を提供しています。この度、商談の中で限られたお客様にのみ提供していた「KENRO」のトライアル利用を 無償・期間無制限で一般開放 することとしましたので、そのお知らせも兼ねつつ一般開放に至った背景などをこちらのブログでお話ししようと思います。 「KENRO」とは? 「KENRO」のトライアルとは? トライアル一般開放の背景 トライアルはどのような人にオススメ? トライアルの利用方法 最後に 「KENRO」とは? 「KENRO」は、Web 開発に必要なセキュリティ技術のハンズオンの研修・学習を行うことができる、環境構築不要のクラウド型学習プラットフォームです。 https://flatt.tech/kenro これまでエ
セキュアにGoを書くための「ガードレール」を置こう - 安全なGoプロダクト開発に向けた持続可能なアプローチ - Flatt Security Blog
The Go gopher was designed by Renee French. (http://reneefrench.blogspot.com/) The design is licensed under the Creative Commons 3.0 Attributions license. 種々の linter が様々なプロダクトの品質を高めてきた、というのは疑う余地のない事実です。実装の初歩的な問題をエディタ内や CI/CD パイプライン中で機械的に検出できる環境を作れば、開発者はコーディングやコードレビューの邪魔になる些末な問題を早期に頭から追い出し、本質的な問題に集中できます。 また、そのような環境づくり(e.g. linter のルールセットの定義、組織独自のルールの作成、…)は、まさに開発組織のベースラインを定義する作業として捉えることができます。一度誰かが定義
サーバーレスのセキュリティリスク - AWS Lambdaにおける脆弱性攻撃と対策 - Flatt Security Blog
はじめに こんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。 本稿では、AWS Lambda で起こりうる脆弱性攻撃やリスク、セキュリティ対策を解説し、サーバーレスにおけるセキュリティリスクについて紹介します。 はじめに AWS Lambda について サーバーレスにおけるセキュリティリスク AWS Lambda で起こりうる脆弱性攻撃 Lambda での脆弱性攻撃によるリスク 脆弱性攻撃による更なるリスク OS Command Injection XML External Entity (XXE) Insecure Deserialization Server Side Request Forgery (SSRF) Remote Code Execution (RCE) AWS Lambda におけるセキュリティ対策 セキュリティ
はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。セキュリティエンジニア同士の会話では、「"シサ"が最近またレポート出していて…」とか「"アイピーエー"から注意喚起出てたね」といった、初学者には謎の単語がたくさん出てきます。本記事では、そういった会話に出てくる単語のうち、国内外のセキュリティ関連の主な組織についてまとめました。セキュリティに興味があれば、ここに挙げた組織と、その組織が関わる政策や活動について、事前に抑えておいて損はありません。これからセキュリティを学ぼうという方の参考になれば幸いです。 なお、記載した情報はすべて執筆時点 (2023 年 6 月) のものです。 【2023/06/30 追記】NISC および ENISA の日本語名称を修正、CISA の読み方について修正・追記、NCSC について追記しました。 はじめに 中央省庁 内閣サイバーセキュリティセンタ
Intro 以前から騒がれていた Apple によるサイドローディング周りの緩和について、正式な情報公開があった。 Apple announces changes to iOS, Safari, and the App Store in the European Union - Apple https://www.apple.com/newsroom/2024/01/apple-announces-changes-to-ios-safari-and-the-app-store-in-the-european-union/ ストアやペイメントの緩和もあるが、ここでは WebKit に関する部分だけを抜粋し、どのような条件があるのかをまとめておく。 筆者が公開情報を読んで解釈したものなので、内容は保証しない。 前提 iOS/iPadOS に入れられるブラウザには、 WebKit を用いる必要が
政府情報システムにおける 脆弱性診断導入ガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-221 〔キーワード〕 セキュリティ、脆弱性、脆弱性診断 〔概要〕 政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及 びガイダンスを提供する。 改定履歴 改定年月日 改定箇所 改定内容 2022年6月30日 - 初版決定 1 目次 1 はじめに ......................................................... 2 1.1 目的とスコープ .............................................. 2 1.2 適用対象 .................................................... 3 1.3 位置づけ ...
国内の主要なSaaS企業やSIerに脆弱性診断サービスなどを提供しているFlatt Security社は、Webエンジニアがセキュアコーディングを独習できるオンライン教材「KENRO」のトライアルとしてコンテンツの一部を無料で公開中です。 メールアドレスを登録するだけで利用を開始でき、期間も無制限。 KENROでは「SQLインジェクション」「XSS(クロスサイトスクリプティング)」「ディレクトリトラバーサル」などを始めとする10種類の一般的な脆弱性についてテキストで学び、その学びを基に攻撃者として脆弱性に対する攻撃を「ハッキング演習」で試し、その脆弱性があるコードを自分で修正する「堅牢化演習」まで、オンラインで実践できるユニークな教材です。 演習の結果もKENROが自動判定してくれるため、24時間365日、いつでも学習できます。 無料トライアルでは、一般的な10種類の脆弱性の学習コンテンツ
![Webエンジニアがセキュアコーディングを独習できるオンライン教材「KENRO」の一部を無料公開中[PR]](https://cdn-ak-scissors.b.st-hatena.com/image/square/9ea2c3f33e8bf01c1ac53e8880e27f9425b22a34/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2023%2Fkenro_trial10.png)
Go Secure Coding Practice の日本語翻訳を公開します - Techtouch Developers Blog
はじめに Go Secure Coding Practice とは コンテンツ一覧 良かったところ 注意すべきところ 最後に はじめに こんにちは。SRE の izzii です。 テックタッチのエンジニア規模もそれなりに拡大し、若手の採用も進んできたため、セキュアコーディングを徹底していきたいという思いがあり、まずは意識改革ということで勉強会を実施しました。セキュアコーディングを目的とした場合には教育だけでなく Static application security testing (SAST) の導入といった方法もあるのですが、まずは自分を含めた開発メンバーにノウハウをインストールすることにしました。セキュアコーディングへの意識が高まれば、いづれ SAST の導入の際に抵抗感も少ないだろうと考えています。いきなり SAST を導入しても、誤検知が煩くて浸透しないリスクもありうると考えてい
本記事は2021年9月27日に公開したPython security best practices cheat sheetを日本語化した内容です。 2019年、Snykは最初のPythonチートシートをリリースしました。それ以来、Pythonのセキュリティの多くの側面が変化しています。開発者向けセキュリティ企業として学んだこと、そしてPython特有のベストプラクティスに基づいて、Pythonのコードを安全に保つために、この最新のチートシートをまとめました。 【チートシート】2021年版Pythonセキュリティベストプラクティス 本記事では、下記に関するPythonのセキュリティに関するヒントを紹介します。 外部データを常にサニタイズする コードをスキャンする パッケージのダウンロードに注意 依存先パッケージのライセンスを確認する システム標準版のPythonを使用しない Pythonの仮
SPA開発とセキュリティ - DOM based XSSを引き起こすインジェクションのVue, React, Angularにおける解説と対策 - Flatt Security Blog
Vue.js logo: ©︎ Evan You (CC BY-NC-SA 4.0 with extra conditions(It’s OK to use logo in technical articles for educational purposes)) / React logo: ©︎ Meta Platforms, Inc. (CC BY 4.0) / Angular logo: ©︎ Google (CC BY 4.0) はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)です。 最近のJavaScriptフレームワークの進化は著しく、VueやReactやAngularは様々なWebサービスに採用されています。そのため、多くのWebサービスがSPAを実装するようになりました。JavaScriptフレームワークは便利な一方で
2020/3/14 追記 昨年、PureSec も加盟している Cloud Security Alliance の Israel Chapter から、The 12 Most Critical Risks for Serverless Applications 2019 が公開されました。 ※本記事の公開時点で既に TOP12 が最新でした・・・ 本記事で記載している既存の TOP 10 の内容に大きな変更はなさそうですが(SAS-9 は Serverless Business Logic Manipulation に改題)、新たに追加された SAS-11、SAS-12 について本文に追記します。 既存の文章にも差分があるようですので、正確な内容は原文をご参照ください。 追記はここまで イスラエルのセキュリティスタートアップ PureSec による The Ten Most Critica
*本記事は STORES Advent Calendar 2023 6日目の記事です こんにちは。セキュリティ本部のsohです。 現在、弊社ではスマホアプリ診断内製化の準備を進めています。 同じようにスマホアプリの脆弱性診断を内製化したい、というニーズがある会社は多く存在しますが、実際のところ、スマホアプリを対象とした脆弱性診断士の確保は困難であり、外部ベンダーの方にすべてお願いせざるを得ないケースも多いかと思います。 また、その情報の少なさから、スマホアプリ診断を実施したいと考えている開発者や脆弱性診断士にとっても、「何をやればいいのか」「何から始めればいいのか」がわからないものである場合は多いかと思います。 そこで、この記事では「スマホアプリ診断って実際何をしているのか」と疑問を持つ方をターゲットとして、一般的なスマホアプリ診断の検証要件や検証方法について解説します。 要件とガイドライ
皆さんこんにちは。 虎の穴ラボのY.Fです。 今回は、いつものプログラミング系の記事とは趣向を変えて、株式会社オライリー・ジャパン様から発刊されている『ゼロトラストネットワーク』を読んだので、感想などをつらつら書いていきたいと思います。 www.oreilly.co.jp 読んだ動機 弊社ではオライリーの年間定期購読に申し込んでいます。なので、なんとオライリーの新刊が発売日には読み放題です! これを活かさない手はないと発売前から気になっていた『ゼロトラストネットワーク』を読んでみた次第です。 (過去届いた書籍の一部はこちら) gramho.com gramho.com 目次 本書の目次は以下になります。 目次 はじめに 1章 ゼロトラストの基礎 1.1 ゼロトラストネットワークとは何か 1.2 境界モデルの進化 1.3 潜在的な脅威の進化 1.4 境界モデルの弱点 1.5 信用の在りか 1
大学在学中&休学中に複数のIT系スタートアップでのインターンやベンチャーキャピタルでのリサーチバイトを経験後、フリーランスとして独立。現在は「TechCrunch Japan」などでスタートアップ企業のプロダクトや資金調達を中心としたインタビュー・執筆活動を行っている。 From DIAMOND SIGNAL スタートアップやDX(デジタルトランスフォーメーション)を進める大企業など、テクノロジーを武器に新たな産業を生み出さんとする「挑戦者」。彼ら・彼女にフォーカスして情報を届ける媒体「DIAMOND SIGNAL」から、オススメの記事を転載します。※DIAMOND SIGNALは2024年1月をもって、ダイヤモンド・オンラインと統合いたしました。すべての記事は本連載からお読みいただけます。 バックナンバー一覧 セキュリティエンジニアに限らず、プロダクトの開発に携わるすべての開発者がセキュ
はじめに 下記には、typewriterまたはcomputerのkeyboardで全文写経した本は数冊(すべて英語)あります。 輪講で全部読んだ本、日本語と英語でも読んだ本などもそれぞれ10冊以上あります。 100回以上読んだ本が10冊以上あるような気がします。 影響を受けた本というよりは、愛読書かもしれません。 引用は、 https://bookmeter.com/users/121023 https://booklog.jp/users/kaizen https://www.amazon.co.jp/gp/profile/amzn1.account.AEZYBP27E36GZCMSST2PPBAVS3LQ/ref=cm_cr_dp_d_gw_tr に掲載している自分で書いたreviewです。 最初にあるところに記録し、それからamazonに転載し、10,000冊になった頃にNo.1 R
バッファオーバーフローはメモリ上のバッファを超えて書き込みが行われる攻撃手法です。アプリ開発者の視点から解説しました。
開発者のためにつくられた 攻撃とコードの修正で学ぶ実践型演習OWASP Top 10 に含まれる脆弱性をはじめ、Webアプリケーション開発で特に意識すべき脆弱性を学ぶことが出来ます。 実際にWebアプリケーションを攻撃するCTF 形式の「ハッキング演習」と、コードを書いて脆弱性を修正する「堅牢化演習」を通じて、開発現場ですぐに活かせる学びを提供します。 脆弱性の知識を基礎から体系的に。 いつもの言語やフレームワークで学べます。演習だけでなく脆弱性の原理に関わる技術の基礎など、脆弱性について体系的に学べるコンテンツを提供しています。(堅牢化演習ではGo、Java、Ruby をはじめとした6言語に対応) また、GraphQLやJSON Web Tokenのような、まだ世の中に対策情報の少ない技術のセキュリティのコンテンツも提供しています。
セキュリティ主要7分野・脅威の進化と対応 - RAKUS Developers Blog | ラクス エンジニアブログ
はじめに こんにちは、技術広報の菊池です。 セキュリティの確保は技術的な課題にとどまらず、お客様の満足、さらには企業の存続に直結する重要なトピックスです。 私たちSaaS企業も例外なく、常に変化する脅威にさらされており、日夜対策のアップデートが求められますので、 私も自身の理解を深めるためにキーワードと各分野の歴史をまとめてみました。 本記事で取り上げるセキュリティ主要7分野では、新しい技術の登場と共に、新たな脅威が絶えず発生し、その対策の進歩も伺えました。 今回は、アプリケーション、ネットワーク、エンドポイント、データ、クラウド、アイデンティティとアクセス管理、インシデント対応と復旧のセキュリティについて、 その概要と1980年代〜現代に至るまでの歴史、脅威と対応策の進化を総括しました。全てはカバーしきれませんでしたが、代表的なツールも紹介しています。 それぞれの分野では個別の発展があり
脆弱性から学ぶ
Webセキュリティ/study-web-security-from-vulnerability1
バーチー / GMO Pepabo, Inc. 2019.10.12 PHPカンファレンス沖縄 https://phpcon.okinawa.jp
_%25E3%2581%25AE%25E5%258E%259F%25E7%2590%2586%25E3%2581%25A8%25E6%2594%25BB%25E6%2592%2583%25E6%2589%258B%25E6%25B3%2595%25E3%2581%258A%25E3%2582%2588%25E3%2581%25B3%25E3%2581%259D%25E3%2581%25AE%25E5%25AE%259F%25E8%25A3%2585%25E3%2581%25AB%25E3%2581%25A4%25E3%2581%2584)
CSS Injection (+ Recursive Import) の原理と攻撃手法およびその実装について - Szarny.io
はじめに 注意 CSSiの原理と概要 クラシカルな手法 概要 動作デモ 実装 脆弱なWebアプリケーション(/classic/user/*) 攻撃用CSS生成スクリプト(/classic/attacker/exploit.py) 攻撃者用Webサーバ(/classic/attacker/server.py) Recursive Import を用いた手法 概要 CSSのインポートと攻撃の原理 攻撃フロー 動作デモ 実装 脆弱なWebアプリケーション(/recursive/user/*) 攻撃者用Webサーバ(/recursive/attacker/server.py) おわりに 参考文献 はじめに 本記事ではCSS Injection(以下,CSSi)について解説します. CSSiについて,その原理や攻撃手法の概要を示したあと,実際に攻撃環境を実装して,HTML上に存在する機密情報を窃取す
CISSP 勉強ノート
目次の表示 1. 情報セキュリティ環境 1-1. 職業倫理の理解、遵守、推進 職業倫理 (ISC)2 倫理規約 組織の倫理規約 エンロン事件とSOX法の策定 SOC (System and Organization Controls) レポート 1-2. セキュリティ概念の理解と適用 機密性、完全性、可用性 真正性、否認防止、プライバシー、安全性 デューケアとデューデリジェンス 1-3. セキュリティガバナンス原則の評価と適用 セキュリティ機能のビジネス戦略、目標、使命、目的との連携 組織のガバナンスプロセス 組織の役割と責任 1-4. 法的環境 法的環境 契約上の要件、法的要素、業界標準および規制要件 プライバシー保護 プライバシーシールド 忘れられる権利 データポータビリティ データのローカリゼーション 国と地域の例 米国の法律 [追加] サイバー犯罪とデータ侵害 知的財産保護 輸入と
Mercari Advent Calendar 2020 の15日目は、メルカリ Product Security チームの Gloria Chow がお送りします。 こんにちは、Product Securityチームの@gloriaです。以前、オープンソースとして公開しているTestdeckという、マイクロサービスの自動化テストのための社内ツールについて記事を書きました。 今回は、2020年のAdvent Calendarの記事として、DevSecOpsについてお話をしたいと思います。近年、耳にする機会の多い話題の一つなので既にご存じの方もいらっしゃるかもしれませんが、DevSecOpsの基本的なコンセプト、注目されている理由、よくあるチャレンジとメルカリにおけるDevSecOpsの実践事例を紹介したいと思います。 DevSecOpsとは? DevSecOps以前から提唱されているDev
プログラミングのなんとか安全まとめ
プログラミングのなんとか安全まとめ 安全とは 安全の正確な定義は難しいですが、ここでは「特定のリスクが十分に低減されている状態」について考えたいと思います。 人間社会を例に考えてみると、我々の生活は常に犯罪や災害、疫病などの危険にさらされています。しかし通常の生活において、これらのリスクを強く意識することはありません。それは行政(警察や消防や法制度など)の社会システムが、リスクを十分に低減する処置をとっているからです。 ソフトウエアにおける安全も基本的に同質であり、言語やフレームワーク、開発プロセスによって、リスクを管理することで安全の実現を目指します。 リスク管理は何らかの制限を伴いますので、何を自由とし、リスクとするかは、エコシステム毎に異なります。例えば銃器は、国によって所有に対する規制の強弱が分かれています。しかし認可されている国の治安が、必ずしも悪いわけではありません。社会がその
継続的な技術ブログ運営で最も大切な「企画」の考え方 - 年間25万PVを集めるために実践したこと - #FlattSecurityMagazine
はじめに 本記事の流れ 最初にして最大の難関「ネタ出し」 「1. ネタ出しのコミュニケーション・体制作りを構築していない」の解決 「2. 本来ネタになるはずのものを見逃している / 諦めている」の深掘り 「切り口を考える」とは? ☔️ 切り口を考えていない例 🌞 切り口を考えられている例 切り口のまとめ 切り口を考えるために必要な要素 情報の希少性 課題の鏡面性 (構造の頑強性) 「情報の希少性」「課題の鏡面性」を意識して切り口を考える 企画は難しいからこそ、ガチガチの運用はしない どのように難しいのか? 2つに共通する難しさ 「情報の希少性」をジャッジする難しさ 「課題の鏡面性」をジャッジする難しさ 難しさを受け入れる まとめ はじめに はじめまして。開発者のためのセキュリティサービスを提供したい、Flatt Security 執行役員の豊田恵二郎 @toyojuniです。 Flatt
技術ドリブンだった組織に顧客目線のサービス改善を導入する(およびMarkdown版報告書提供開始のお知らせ) - Flatt Security Blog
こんにちは。Flatt Security執行役員の豊田 @toyojuni です。 今回のブログでは「セキュリティ診断」サービスに関するお知らせに合わせて、Flatt Securityがどのようにお客様の声とサービス改善に向き合っているかを具体的に紹介したいと思います。 Flatt Securityの「セキュリティ診断」サービスでMarkdown版報告書の提供を始めました。 まず、サービスに関するお知らせというのが「Markdown版報告書提供開始」です。 「セキュリティ診断(脆弱性診断)」とは まず我々の提供している「セキュリティ診断」というサービスの概要を説明します。 端的に言うと、(巷ではホワイトハッカーなどと呼ばれることもありますが)セキュリティエンジニアがお客様のWebサービスやネットワークにハッキングされるような穴、脆弱性がないかを調査するサービスです。 「脆弱性診断」と呼ばれ
こんにちは。freee PSIRTでマネージャーをやっています、ただただし(tdtds)です。この記事はfreee Developers Advent Calendar 2023 24日目です。昨日は最近freeeにグループジョインしたBundleのkouheiさんによる「Bundleの3年間をライブラリで振り返る」でした。 さて、「freeeでは新卒研修でHardeningをやってるらしい」という話は界隈ではちょっとは知られているものの、その内幕が伺えるのは、まだPSIRTがCSIRTから独立する前の2018年の記事しかありませんでした。 developers.freee.co.jp あれから5年。最近のHardening研修はどうなっているのか、アップデートしようというのが今回の記事になります。 Hardening 2023! 細かい話はあとまわしにして、さっそく今年行われたHarde
今だから話せる「トップエンジニアが新人だった頃」【LayerX 名村卓×Ms. Engineer 齋藤匠×Flatt Security 米内貴志 鼎談(後編)】 - #FlattSecurityMagazine
これまで様々な開発組織を牽引してきた株式会社LayerX 執行役員の名村卓さん、Ms.Engineer株式会社 Mother of Engineerの齋藤匠さんのお二人に、株式会社Flatt Security CTOの米内貴志がお話を伺う鼎談企画。 経営・マネジメントの立場から「セキュアな開発組織」のあり方について語り合った前編と打って変わって、後編ではお二人の"新人エンジニア時代"のエピソードを教えていただきました。 今やトップエンジニアとして経営・マネジメントに携わる名村さんと齋藤さんはどんな新人時代を過ごし、どのようにスキルアップしていったのでしょうか? 3人の若手エンジニア時代の秘蔵写真とともに振り返ります! ▼前編記事はこちらから flatt.tech 新人時代は"エンジニアがブラックだった時代" 今の新卒エンジニアの方が苦労している? 「調べて手を動かす」にハマった新人時代 こ
SECURE CODING Dojo #230分で理解できる、セキュアなWeb開発を「いい感じ」に始める方法(Python編) イベント概要プロダクトの抱えるセキュリティリスクを最小限にし、安定したプロダクト提供を実現していくためには、一人ひとりの開発者が高いセキュリティ意識を持っていることが重要です。 しかし、そもそもセキュリティについて常に意識し続けながら開発を進めるためには慣れが必要ですし、どうしてもミスをしてしまうこともあります。そもそも、セキュリティに関する知識を全員が高く持てているチームはそう多くありません。 そこで本ウェビナーでは、そんな不安を軽減しつつセキュアな Web サービス開発を進めていくための “備え” として、以下を紹介します。 シフトレフト・DevSecOpsの考え方自社 Web アプリケーションをセキュアにしていくためのベストプラクティス(※ とりわけ今回は
車両サイバーセキュリティの実現に向けて
はじめに Turing Vehicleチームのチーフエンジニアの徳弘 (@res_circuit) です。 Turingは、完全自動運転システムを搭載した車を商品として販売することを目指しており、これに向けて量産を見据えた完全独自の車両の設計に取り組んでいます。お客様の元に届く商品としての車両を自社で開発する上では、膨大な数の課題を解決する必要が出てきます。 今回は、そのうちの一つであるサイバーセキュリティについての概要を説明した上で、Turingでの取り組みを少し紹介します。 車両サイバーセキュリティとは? 車両のサイバーセキュリティとは、車両に対するサイバー攻撃の防衛策が実施されており、車両を構成する部品や資産が保護されていることを意味します。現代の車両システムは多数のECU(電子制御ユニット)で構成され、車両内でネットワークを構築しています。車両の走行に関する制御指令や、ユーザーの個
SQLインジェクションは古典的な攻撃手法でありながら、今なお多くの被害が報告されている。機密情報や個人情報を扱うWebサイトの担当者は、SQLインジェクションに対して適切な対策を講じる責任を負っている。本記事では、SQLインジェクションに関連する被害事例を紹介しながら、その対策について解説する。 SQLインジェクションによる被害とは? デジタル全盛の時代では、あらゆる情報システムにおいてデータベースが利用されている。会員制サイトやECサイト、投稿機能を有する、さまざまなWebサービスに至るまで、多くのWebサイトに組み込まれている。例えば、ECサイトであれば顧客情報、商品情報、注文情報といった機密性が高い情報がデータベースに格納されている。Webサイト上のデータベースの検索、読み出し、書き出しは多くの場合、SQLで記述されたプログラムで処理される。 SQLインジェクションとは、このSQLと
書誌情報 書名:オンラインゲームセキュリティ 著作者名:松田和樹(株式会社ラック) 発行:データハウス 発売日:2022年6月18日 価格:3,500円(+税) 単行本(ソフトカバー):496ページ ※電子書籍版はありません。 ISBN-13:978-4-7817-0251-3 出版社の商品ページはこちらから ↓をクリックするとAmazon.co.jpの商品ページにジャンプします。 オンラインゲームセキュリティ 作者:松田和樹データハウスAmazon↑をクリックするとAmazon.co.jpの商品ページにジャンプします。 店頭在庫はこちらから 紀伊國屋書店 / TSUTAYA 概要 本書はオンラインゲームにおけるチート行為と、それに立ち向かうために必要な知識や手法を防御視点で記した、(おそらく)世界初となる書籍です。 オンラインゲームにおけるチートと、それに対するチート対策の基本的な考察か
「みんなのAWS〜AWSの基本を最新アーキテクチャでまるごと理解!」 全著者集合トークイベントのQ&Aをまとめました!(動画あり) | DevelopersIO
「みんなのAWS〜AWSの基本を最新アーキテクチャでまるごと理解!」 全著者集合トークイベントのQ&Aをまとめました!(動画あり) 2020年4月17日に開催された「みんなのAWS〜AWSの基本を最新アーキテクチャでまるごと理解!」出版記念!全著者集合トークイベントの動画およびQAコーナーの内容をまとめました。 2020年4月17日に「みんなのAWS〜AWSの基本を最新アーキテクチャでまるごと理解!」出版記念!全著者集合トークイベントを開催しました。 当日は約200人の方に参加いただき、非常に盛り上がりました。ありがとうございます! 「みんなのAWS〜AWSの基本を最新アーキテクチャでまるごと理解!」出版記念全著者集合トークイベント #awsforeveryone - Togetter 本記事では当日の動画およびイベント後半のQAコーナーをまとめてご紹介&回答します。 なお、質問内容や回答
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ペパボの新卒研修で利用した資料を公開します - Pepabo Tech Portal
GMOペパボのエンジニア研修2021の資料を公開します - Pepabo Tech Portal
セキュリティエンジニアを目指す人に知っておいてほしい組織 - FFRIエンジニアブログ
Apple によるブラウザエンジン規制の緩和 | blog.jxck.io
政府情報システムにおける 脆弱性診断導入ガイドライン
Webエンジニアがセキュアコーディングを独習できるオンライン教材「KENRO」の一部を無料公開中[PR]
Python開発者のためのセキュアコーディングのコツ10個 - Qiita
サーバーレスアプリケーションの最も危険なリスク12選 - Qiita
スマホアプリの脆弱性診断って何するの?(iOS編) - STORES Product Blog
『ゼロトラストネットワーク』を読んだ感想 - 虎の穴開発室ブログ
エンジニア向け「セキュリティ学習サービス」が国内外で加速、全開発者がセキュアコーディング学ぶ時代へ
人生で影響を受けた本100冊。英語(77) - Qiita
Web アプリ開発者も他人事じゃない バッファオーバーフロー攻撃の概要と対策 | yamory Blog
KENRO (ケンロー) | セキュアコーディングを当たり前にするエンジニアの学習プラットフォーム
DevSecOpsとは何か — 導入する組織が増加している理由 | メルカリエンジニアリング
新人研修でHardening! 2023 - freee Developers Hub
30分で理解できる、セキュアなWeb開発を「いい感じ」に始める方法(Python編) | Flatt Security
SQLインジェクションによる攻撃の被害事例と5つの防止策
書籍『オンラインゲームセキュリティ』サポートページ - ど~もeagle0wlです(再)