今までIAMをなんとなく使っていたので、ちゃんと勉強し直して自分(ひいては所属先)の指針について考えを残していきたい。基本的には、2020/02/14にSecurity-JAWSで話した内容の補足だが、時間が足りずに話せなかったSCPについても書いた。 当日のスライド…
ちょっと真面目にIdentity系に集中しようと思い、今年の5月にEuropean Identity Conferenceに行ったところ、 プロの方に「Internet Identity Workshopにも行ったほうがいい」と進められたので、ほいほい来てしまった話をします。 IIWとは IIWは毎年2回、マ…
LastPass EnterpriseにAzure AD経由でSSO(OIDC)できるようになった
「Secure旅団」は技術書典7に参加します
今年は僭越ながら講師として招かれ、セキュリティ・キャンプ全国大会2019に参加してきました。 www.ipa.go.jp トラックBは、鈴木 研吾さんによる「ユーザー企業における情報システムとセキュリティ」です。ビジネスを継続成長させる中で、経営的なお話、ゼロ…
個人的に認証・認可まわりに興味を持ち出して以来、RFCやドキュメントを読みまくっていた。しかしながら、仕事が忙しかったり、そもそもここらへんを仕事でやるポジションにいないため、ちゃんと実装してみないことにはどうにもならんな、と思いだした。よっ…
cloud.google.com Twitterでは収まりきらなそうなので、手を動かすとき用のメモを残しておきます。 カテゴリはしてるけどMECEさは気にしてません Access Transparency IaaSプロバイダーによるアクセス履歴のトラッキング。この度、Approvalがでることで承認…
TL;DR 技術書典6に新刊「セキュリティ畑でつかまえて」を頒布してきました。 新しい試みとして「学生・新社会人応援キャンペーン」を実施しました。 当日いらして頂いた・ご購入いただいた方・執筆いただいた方、本当にありがとうございました 被チェック数…
「セキュア旅団」は技術書典6に出店します
TLDL 技術書典6にセキュア旅団として出典します 場所は「え01」です 著者は第一線で活躍している方がそれぞれ自信が注目・取り組んでいるセキュリティのことを好きに書きます すでに10人弱いますが、引き続き著者を募集中です。 主題 当サークルの目的 私…
FOLIOアドベントカレンダー ラストの個人投稿3回目です。過去2回は当社で利用しているプロダクトについてお話しましたが、今回は本ブログでも初のポエムになります。 adventar.org セキュリティエンジニア(以降、エンジニア)がユーザー企業のスタートア…
FOLIOアドベントカレンダー 8日目、個人投稿2回目です。 adventar.org 8日に当社の勉強会「Scramble!」に来ていただいた皆様、ありがとうございました。 folio.connpass.com FOLIOの情報戦略のこれから_-_情報システムを添えて.pdf - Speaker Deck その場で…
FOLIOのアドベントカレンダー1日目です。 adventar.org ブラウザから使える踏み台(Bastion)であるGravitational社のTeleportについて書きます。SSH秘密鍵を始めとしたクレデンシャル情報をローカルからなくす(もしくはクレデンシャルのアクセス権限を永続…
go-global.connpass.com 上記のイベントにシュッと参加してきたのでレポ。 tldr 各セッション [リクルート] コードテストでtrack.runを使ってる話と採用フロー by @yosuke_furukawa [インディーゲーム開発者]:付け焼き刃でベイエリアの面接を突破するたった…
TL;DR 背景 SafetyNet Attestation API SafetyNet Attestaion APIのチェック項目 チェックの経路 Key Attestation Authenticatorの真正性を確認できる 登録に必要な情報以外を集める必要がない 通信量を減らせる おまけ 余談 余談の余談 TL;DR AndroidのSafe…
きたる技術書典5で「No Security No Life」 という新刊を出します。ブースは「あ10」です 新刊 各章を紹介します。 PowerShellによるWindows APIプログラミング by @gr4vit0n Exploit-DBでARM分野の掲載数が世界一の @gr4vit0nさんが書くPen tester向けのPo…
Authlete社の創業者 川崎さんにお招きいただき次の2つのイベントに参加してきました。 (川崎さん、ありがとうございます!) ⁃ 7/24(火): Financial APIs Workshop 2018 ⁃ 7/25(水): Japan/UK Open Banking and APIs Summit 2018 両日とも満席であり金融機…
本日(2018/07/29)、July Tech Festa 2018で「GuardDutyを使ったサイバー攻撃の検出と分析」の話をしてきた。 とりあえず、今年はじめにかんがえていたインフラ関係でアウトプットを出す約束を守れてよかったとおもう、ふいー。 なお、buildersconは落ち…
RSAカンファレンス2018のスライドが公開されていたので、ざっと一通りみました。 おもに私が面白い・役に立ったなと思うもののまとめをします。 オペレーション Incident Response In the Cloud クラウド上でSANS GCIHをするには、というテーマの発表です。P…
技術書典4にサークル名「セキュア旅団」として、新著「俺らの愛したセキュリティ」を販売しました。 お立ち寄りくださった皆様、ご購入いただいた皆様、誠にありがとうございました。万が一入手できなかった方のためにbooth(など)でダウンロード購入でき…
DroidKaigi2018でスピーカーとして「認証と認可と君と」というタイトルで話してきました。 speakerdeck.com また、併せて微力ながらもスタッフとしてお手伝いさせていただきました。 スピーカーとして さて、技術的なところは今後ステップバイステップでコー…
2017年振返り 1月 Android(Java)以外のプログラミングとして、初めてGoを弄り始める。自分ツールとして、GSuiteのコマンドラインツールをGoで作成。Slack Botも作成していたりしました。Reduxを勉強し始めている形跡があるが、正直ここらへんは自分のキャリ…
Android アドベントカレンダー 20日目の記事です。 qiita.com とある同人誌に掲載する予定だったのですが、風邪でぶっ倒れて書けなかった最終章をこちらに書きます。 内容は、Firebase Authenticationを使った電話認証のあれこれです。以降、「Firebase Auth…
japanese.engadget.com 話題になってるので、改めて説明をする必要はないと思うので、注意点・対策方法について記載しておく。 注意点 どこかの記事の対策として"root"を無効化する、とあった。でも、rootと打ち込むと勝手に有効化されるので意味がありませ…
GCPで動かしてるWebサービスのstg環境にIdentity-Aware Proxy(IAP)噛ませてみた。これにより外部からアクセスする際、ドメインのサイトにたどり着く前にGoogleアカウントの認証が必要になった。事前に許可されたGoogleアカウントでなければサイトにたどり着…
11/10: 追記。CI/CDでの制限について書いてなかった。 Dockerのベストプラクティスに、サービスをnon-rootユーザーで走らせなさい、というのがある。 docs.docker.com そうすること自体は簡単なのだけれども、当然ながらユーザー権限にあわせてコンテナ内の…
きっかけ ssmjpで発表してきました。最近、「NISTはSMSによる2段階認証を非推奨」という記事をよく見るようになりました。でも、それって昨年度のPreview版の話で、2017年7月のPublic版でもそうなの?という疑問がわいたので、根性だしてNIST SP800-63bを読…
(7/21) コメント欄の指摘を受け英訳追記 前文 本記事はGoogleのセキュリティ担当者 Parisa Tabriz氏(異名: Security Princess)のSo, you want to work in security?を翻訳したものです。 go for it!— Parisa Tabriz (@laparisa) 2016年12月25日 うっ…半年以…
1月から書こうと思ってた内容をいまさら書くという。 多分偏ってる。 所感: 大体のサービスにおいてポリシーをもとに設定するという文が目立った。恐らく会社のポリシーがあることが前提になるので、それをしないで導入しても所謂運用でカバーするみたいな残…
プロジェクト毎にregistry作るの意味なくね?と思ったので、ほぼ全てのコンテナImageをアップロードしたregistry付きプロジェクト(以降project-reg)を作った。 ここに対してImageをpullするには、docker login -e相当のことをpodでしなければならない。 Serv…