[B! security] nakackのブックマーク

freeeのCISO茂岩祐樹氏が大いに語る　セキュリティの事業貢献は「大変だし怖い」

やはり事業が成功することが大前提にあってその上でのセキュリティなので、﹁セキュリティが事業の成長に対してどう役に立つのか﹂﹁安全性と利便性のバランスは取れているのか﹂などはシビアに問われます。そのため前職と比べて楽かと言われると全然そうではありません。 ――安全性と利便性のバランスを取りながら、セキュリティの価値をうまく経営層に伝えるのは多くのセキュリティ担当者にとって悩みの種でしょう。茂岩さんはこれをどのように進めているのでしょうか。茂岩氏‥　セキュリティ対策にはお金や手間がかかるのは事実です。そのため、その代わりにどのようなメリットがあるのかをしっかり伝え、プラスとマイナスを相殺して提案することを意識しています。ただセキュリティの場合、全ての提案でプラスになる要素を伝えられるわけではないので、リスクベースでの提案もしています。顧客からのセキュリティ要望や金融庁のガイドラインなどへの

nakack 2024/07/23

リンク

ISO/IEC 27001 および 27002 の改定に関する、SecureNaviの対応について

概要この記事は、2022年に﹁ISO/IEC 27002﹂規格が改定され、また、それに伴い﹁ISO/IEC 27001﹂の改定がされていることに伴う、SecureNavi の対応方針や対応内容をお伝えするものです。改訂履歴この記事の内容は、情報のアップデートがあれば、すぐに更新されます。 2022/04/17　記事の公開 2022/08/01 ﹁ISO/IEC 27001﹂の改定予定が近づいたことによる細かな文言修正 2022/10/25 ﹁ISO/IEC 27001:2022﹂として発行されました。 ■ISMS適合性評価制度　ISO/IEC 27001:2022 への対応について︵一般社団法人情報マネジメントシステム認定センター (ISMS-AC)　WEBサイトより︶ 2023/7/13　新旧規格切り替え機能をリリースいたしました背景まずは、﹁ISO/IEC 27002﹂規格

nakack 2024/07/23

security

リンク

CISSP受験記 ChatGPTと共に - ラック・セキュリティごった煮ブログ

こんにちは、DP部のor2です。ギャルにあこがれて(嘘)CISSPを受験しました。1回落ちましたが2回目で無事合格できました。勉強方法は独学？です。(﹁CISSP CBKトレーニング﹂未受講) 勉強方法をまとめていきます。(﹁CISSPってなんだ﹂とかの話はギャルの方を見ていただければと思います。) 勉強期間前半はギャルの試験勉強方法を参考に、後半は先生(ChatGPT)と一緒に勉強していました。 ChatGPTを使った学習は対話的だったので非常に楽しかったです。 (ChatGPT有料版を利用) ・あくまでChatGPTの利用は私的なものです。このBlogを読んで試してみる場合は注意してください。・日本の著作権法では、﹁AIによる著作物の学習利用に権利者の許諾は原則不要﹂とされていますが、﹁ChatGTPのモデルの再学習に使われない﹂ようにオプトアウトを設定することを推奨します。・

nakack 2024/06/19

security
ai

リンク

Microsoftのセキュリティ大変革　有識者たちはこれをどう評価しているのか？

サンフランシスコにおいて、Microsoftは外部から大きな圧力をかけられている。それは、サイバーセキュリティの改革や、社内外で使うシステム全体のセキュリティを改善するように迫るものだ。 Microsoftのセキュリティ大変革を連邦当局はどう見ているか？ 2023年11月に、MicrosoftはSecure Future Initiative︵SFI︶を開始し︵注1︶、2024年4月29日︵現地時間、以下同︶の週には、サイバーセキュリティのガバナンスモデルを再構築する計画を拡大した︵注2︶。この計画は、Microsoftが22年前に実施したセキュリティへの取り組みと似ている。Microsoftのビル・ゲイツ氏︵共同創業者であり元CEO︶は、信頼できるコンピューティングイニシアチブを確立するために2002年に記したメモの中で、新機能よりもセキュリティを優先するよう従業員に義務付けた。Mi

nakack 2024/05/27

リンク

コピペ禁止の入力フォームでコピペを可能にする拡張機能「Don’t F*** With Paste」レビュー

ウェブサイトの中にはアカウント作成画面やログイン画面などの入力フォームを「コピペ禁止」に設定しているものがあります。ブラウザ拡張機能「Don't F*** With Paste」を使えば「コピペ禁止」を回避できるとのことなので、実際に使ってみました。 jswanner/DontF-WithPaste: Google Chrome extension that prevents the blocking of pasting into input fields https://github.com/jswanner/DontF-WithPaste まず、「コピペ禁止入力フォーム」を含むウェブサービスのアカウント登録ページの例を作ってみました。メモファイルやパスワード管理ソフトに登録してあるIDをコピーして、ID入力欄に貼り付けようとします。しかし、入力フォームがコピペ禁止に設定されている

nakack 2024/03/17

リンク

FIDO認証＆パスキー総復習（認証の仕組みやパスキー登場までの経緯）

ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blogこんにちは。サービス統括本部ID本部で認証サービスの開発運用を担当している服部です。パスワードに代わる新たな認証手段としてパスキーが登場し、多くのサービスでも利用ができるようになってきていますが、みなさんはご活用されていますでしょうか。このパスキーとはパスワードに代わる認証情報で、Fast IDentity Online︵FIDO︶仕様というFIDOアライアンスによって規格策定されている技術をベースとしています。ヤフーでも2018年から﹁生体認証でログイン﹂としてFIDO認証に対応し、2023年よりパスキーをつかった認証にも対応しています。この記事ではこのFIDO認証の技術的な説明から当時の課題と解決方法、そしてその解決方法を

nakack 2023/11/17

リンク

FIDO2で緊急管理者を作ろう

皆さんこんにちは。国井です。今めちゃくちゃ忙しくてブログを書く時間がなかなか取れないでいるのですが、ちょっと気になったAzure ADの機能があったので共有しておきます。Azure ADに﹁一時アクセスパス﹂というサービスがあるのをご存知でしょうか？パスワードレスでAzure ADの認証を行う場合、Microsoft Authenticatorを利用する場合でも、FIDO2.0を利用する場合でも、最初に登録をしなければなりません。じゃあ、最初の登録を行うときのサインインには何を使うのか？という問題があります。ここでパスワードを使ったら、結局パス... FIDO2デバイス利用の有効化次にFIDO2デバイスをAzure ADで利用できるようにするための設定を行います。 Microsoft Entra管理センターの保護とセキュリティ保護 > 認証方法にアクセスして [FIDO2 セキュリテ

nakack 2023/03/24

リンク

Windowsを「危ないOS」にしないための“最も重要なこと”はこれだ

関連キーワード Windows | サイバー攻撃 | セキュリティ MicrosoftのOS﹁Windows﹂のセキュリティ向上は簡単なことではない。Windowsは企業で広く普及しているため、攻撃者にとって格好の標的になるからだ。Windowsを安全に利用するためには、OS自体に加え、デバイス設定やユーザー行動に関する深い理解が必要になる。 Windowsのセキュリティ対策で“最も重要なこと”はこれだセキュリティ専門家のマーク・ダンカーリー氏とマット・トゥンバレロ氏は2022年、Windowsのセキュリティ向上のためのヒントをまとめた書籍﹃Mastering Windows Security and Hardening - Second Edition﹄︵Packt Publishing︶を出版した。Windowsのセキュリティを向上させる要点について、執筆者2人に聞いた。併せて読み

nakack 2023/02/16

security

リンク

Webサイトスキャンサービス経由による情報漏えいの実態調査 | セキュリティ研究センターブログ

はじめに近年、BoxやGoogle Drive等のようなオンラインストレージサービスを利用するケースが増えています。それに伴い、オンラインストレージサービス特有の機能による情報漏えい事件も増加しています。下記のような「個人情報漏えいのお詫び」を皆さんも目にされたことがあるのではないでしょうか。個人情報漏えいのお詫びクラウドサービス上で作成したファイルで個人情報を管理しておりましたが、閲覧範囲を「このリンクを知っているインターネット上の全員が閲覧できます」と設定したことから、リンクを知っていれば誰でも閲覧できる状態であり、一部の方の個人情報がインターネット上において閲覧できる状態でありました。対応状況個人情報を含むすべてのファイルに閲覧制限を実施し、社外からのアクセスができない状態に変更しました。このようなオンラインストレージサービス特有の情報漏えいが生じる要因は様々ありますが、

nakack 2022/09/07

security
web

リンク

Yahoo! JAPAN がメールセキュリティ「BIMI」を導入するまでのお話

ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blogこんにちは。メッセージング技術領域における第11代黒帯︵ヤフーでのスキル任命制度︶の中村成陽と申します。エンジニアとしてYahoo!メールを担当しております。今回の記事では、メールの比較的新しい認証規格である BIMI についてのご紹介、そしてその BIMI を Yahoo! JAPAN が導入することになりましたので、それまでの過程や実際の対応内容などについてご説明します。さらに、BIMI における今後の展望に関しても触れられればと思います。フィッシングメール対策として、Yahoo! JAPANから配信するメールにアイコンが表示される規格﹁BIMI﹂を導入︵プレスリリース︶ BIMI とは？ BIMI (Brand Indi

nakack 2022/09/06

リンク

Microsoft Defender SmartScreen Demo

Microsoft Defender SmartScreen Demo Pages These pages are just for demonstration ... nothing is actually malicious.

nakack 2022/07/26

リンク

Become a Microsoft Defender XDR Ninja

nakack 2022/06/14

security

リンク

トレンドマイクロ出題問題振り返り会 | トレンドマイクロ

︻AWS Security Jam 参加者向け限定開催︼トレンドマイクロ出題問題振り返り会～回答を確認して理解を深めよう～ AWS SummitOnline 2022にて開催されたAWS Security Jamへのご参加ありがとうございました。トレンドマイクロはAWS Security Jamに協賛し、﹁Camp Codaway︵子供たちの夏季プログラミング合宿︶﹂というチャレンジを出題させていただきました。本Webinarは、AWS Security Jamに参加された方向けに限定し、トレンドマイクロ出題チャレンジの回答と解説を差し上げるWebinarとなります。当日は、出題した製品の概要/ユースケース/価格などもご紹介いたしますので、よりSecurity Jamの学びを深めることができます。無事全問正解された方も、途中までの回答になってしまった方も、お時間がなくてトレンド

nakack 2022/05/26

security

リンク

2022年 AWS Security Jam 開催のご案内 | Amazon Web Services

Amazon Web Services ブログ 2022年 AWS Security Jam 開催のご案内皆さん、こんにちは。プロフェッショナルサービス本部の藤浦です。 2022 年5月25日、26日に AWS SummitOnline (AWS Summit) が開催されますが、2日目にあたる5月26日(木︶の14時から18時に開催する AWS Security Jam についてご案内します。 2022/5/25 12:08 追記募集人数を超えるお申込みをいただきましたので、当イベントへの参加申し込みは終了させていただきました。 AWS Jamユーザー登録をしていただいても当日ご参加いただくことができませんのでご了承ください。 AWS Security Jamとは AWS Security Jam は、権限管理、ネットワークセキュリティ、暗号化、自動化

nakack 2022/05/24

security
aws

リンク

Free Cybersecurity Services & Tools | CISA

Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.

nakack 2022/03/05

security

リンク

Windowsイベントログ解析ツール「Hayabusa」リリース | スラド

Windows用イベントログ解説ツール﹁Hayabusa﹂が昨年の12月25日にリリースされたそうだ。同ツールは事前に作成したルールに則ってWindowsイベントログを調査、ルールに引っかかるものがあれば検知するという形でエラーなどを見つけ出すことができるとしている。ルールはあらかじめ1000以上のプリセットが用意されているため、手軽に始めることができる。自分でルールを作成することも可能だ。日本のコミュニティが作成しているため、日本語のREADMEが充実している点も特徴となっている︵GitHub‥Hayabusa、Hayabusa について、itiblog、KazuminEngine︶。

nakack 2022/01/05

リンク

Microsoft Defender for Endpointで印刷・外付けディスク利用を追跡

これを見ていて思ったのですが、プリンターのアクセスをブロックするのではなく、プリンターのアクセスを追跡したい場合ってどうするんだろうか？と。前置きが長くなりましたが、今日はMicrosoft Defender for Endpointを使ってプリンターへのアクセスがあった場合、これを見つける方法を探ってみたいと思います。 (外付けハードディスクの利用を見つける方法もあるよ) Microsoft Defender for Endpointでアクティビティの追跡 Microsoft Defender for EndpointはWindows10デバイスに対してオンボーディングと呼ばれる設定を事前に行っておくことによって、Windows10デバイス上のアクティビティがMicrosoft Defender for Endpointの画面上で確認できるようになります。ここで言うアクティビテ

nakack 2021/08/24

security

リンク

複式簿記・会計システムとゼロトラスト・アーキテクチャ、そして収斂進化 - まるちゃんの情報セキュリティ気まぐれ日記

nakack 2021/04/19

security

リンク

IIW (Internet Identity Workshop) の Verifiable Credential チケット – IIJ Security Diary

デジタルアイデンティティ難しいです。勉強のため、アイデンティティに関する世界最大規模のワークショップ IIW (Internet Identity Workshop) に参加してみることにしました。年に2回の会合で、第32回となる今回は2021年4月20日から3日間のオンライン開催です。アンカンファレンスと呼ばれるスタイルが採用されています。あらかじめプログラムが決められる通常のカンファレンスとは異なり、毎朝 Opening Circleという場でその日のプログラムを参加者たちが話し合いながら決めていくようです。開催まで一週間を切った4月16日、IIW の事務局から開催案内メールが届きました。ワークショップでは QiqoChat という交流システムを使うようで、開催前に参加登録と動作確認をしておくようにとの指示でした。 QiqoChat への参加登録には2通りのやり方があるようです。1

nakack 2021/04/19

security

リンク

はてなブックマーク

タグ

関連タグで絞り込む (397)

securityに関するnakackのブックマーク (2,298)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第3週）

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス