忙しい人のためのインテリジェンス - 2021/01/24
今週のおすすめ/一言所管
GitHubにソースコードがうpされた件について。GitHubはあくまでも「漏洩したソースコードが最終的にアップロードされた先」にすぎないことに注意。漏洩インシデントを紐解くときは経路と各ステージを考えるようにすべきで、今回の話でいうとアップロードが、業務端末から実行されたか、あるいは業務端末から何かしらの方法で私物端末にアップロードされたかによって話はことなる。また、仮に業務端末であっても、それが社内であったか、あるいは自宅であったかもあるため、本質的に考えてアップロード先であるGitHubはあまり関係ないはずだ。
一方、今後「ソースコード管理のプラットフォーム」であるGitHubが他のSNSプラットフォームのように、何らかのユーザー規制をかける役割が求められていく世界線があれば、それはそれで興味深い。
Compliance
他
Azure revenue growth of 50% すごい。
ビジネス向けもコンシューマ向けもメタ糞伸びてる。箱物(surface)は数パーセントだ
ほんまか?
zの約1/3だが...
MCASを使ってBoxのがバナンすを確保する
以下のポリシーがある
パスワードがついてない共有リンクを検知するなどのBox特有ポリシー
大量ダウンロード/userを検知する全アプリ共通のポリシー
カスタムポリシー
カスタムポリシーにはGovernance Actionという特定操作を定義する項目がある
Box専用のGovernance Actionもある
条件付きアクセスとの統合も可能
GPOのUpdate Baselineがセキュリティ・コンプライアンス化
金融機関の競争力強化のための提案力強化を図り、最新テクノロジーを活用したDXを推進する。具体的には、「Microsoft Azure(Azure)」やブロックチェーン(分散型台帳)などの技術、パートナー企業が有するバンキング・アズ・ア・サービス(BaaS)ソリューションなどを組み合わ
ECSがVPCエンドポイントをサポート
まだ、あんまりAWS private networkを絶対に通したい、というモチベーションんがないんだよな...
マイナポータルで健康関連のデータ提供が始まることに対応し、要配慮個人情報に関する統一的なデータ管理ルールを作成中
利用規約のわかりやすい提示、同意の撤回、廃業時のデータ消去、データ移転にともなうデータ形式の標準化
サードパーティークッキーを利用できなくする一方、「コホートの協調機械学習(フェデレーテッド・ラーニング・オブ・コホート=FLoC)」と呼ぶ技術で代替する方針
Chromeエンジン一強になって、広告ビジネスのコア技術を自分たちの強みがあるスタックに変えていってるかんじ
cookieみたいな特定技術に規制をかけてもね
Googleがゼロトラスト製品「BeyondCorp Enterprise」をリリース
以下の機能を提供
Identityと Contextベースのアクセス制御
マルウェアやフィッシングからのデータ保護をリアルタイム通知で
オンプレ・クラウド・ハイブリッド環境
エージェントレス
エージェントレスには惹かれる
多分、新しいプロダクトのローンチというより、既存プロダクト・サービスのパッケージな立ち位置な木はする
が、、、そもそも急なプラン改変などするとこにTrustアンカー的なことを任せられるのか
個人データ保護のための仮名化に関する報告書
高度な仮名化技術と具体的なユースケース in 医療を報告
後で詳しくよむ
Enclaveを使う場合の法的課題について
後でよむ
ロビンフッドが、ユーザーのゲームストップ株購入による高騰を、取引ストップした話
個人投資家 vs ヘッジファンドみたいな構図もある模様
公平性にかけるという議員もいる
セキュリティ研究者を狙ったキャンペーンが展開中
以下、ブログ。手口と各種マルウェアおよび関連IoCが記載されてる
Microsoftのが詳しいかな...
virust totalを使う際の注意点
WAFの仕事の本質は分類だが、依然としてマーケットにシグネチャ型WAFがおおい理由の分析
WAFの仕事の本質、超同意。
個人的に事業形態によるWAF運用はきになる
SIerによる運用の場合はどうなのか、ユーザー企業による運用の場合はどうなのか、みたいな。
セキュアでないデシリアライズで、リバースシェルを立ち上げるデモ
探索のイノベーションユニットと深化の事業ユニット
マーケットデータ(適時開示情報、約定値段)をweb APIでは意思するサービスの開始。
適時開示情報API。Indexを取得して、それをつかってFileが格納されているS3 URLにアクセスするためのAPIを叩く感じ
月額7万 + 取得数に応じたテーブル性(0 -> 5万 -> 17万
約情報情報API
約定値段情報APIは定額8万、銘柄によって取得単価/銘柄数によって変わる125~175円、ネットワーク端末料もある
ネットワーク端末料...
更新間隔は1min(遅延は20minほど?約定情報としては十分か?)
個人でも申し込みはできるみたい....が、ちと高いかな...
こちらも東証
APIによるデータの提供でデータ分析のインプット学習を可能にしつつ、それをもとにしたモデルのコンペをするアウトプットする環境を提供する実証実験の開始
狙い
データ分析の経験者のみならず、「今まで金融データやデータ分析に知見がなかった初心者の方にもポートフォリオ分析等のITを活用した投資手法を学んでいただくこと」や、「データサイエンスを学ぶ学生の方々に金融データに興味を持っていただくきっかけとなること」
金融庁に登録する資金移動業者に給与払いが解禁
安全基準がいくつかある
多要素認証の仕組み導入
月一度は無料で現金化可能
本人確認態勢が十分性
本人確認の徹底というより、認証強度を高めることによる証券側への不正アクセス対策の強化(本人認証の強化)
日証協は不正流出の防止策として、ログインや銀行口座への送金時に複雑なパスワードを設定し、さらにメールなどで別途伝える「ワンタイムパスワード」など複数の要素を取り入れるように求める。
不正を早期に検知できるように口座内の動きを監視する体制整備のほか、不正があった際に業界で早期に情報共有できる仕組みも検討する。
東証が責任を問われていた取引所の一極集中だけど、海外の取引所事情が取引量と一緒に書かれてたり
その違いの根本原因である最良執行(best execution)とか。
SBIと三井住友FGがPTSを作る予定
「デジタル証券」も23年をめどに扱う方針
地銀再編をめぐる各種法規制の動向や、地銀間の動きがまとめられてる良い記事
行政/会社/団体
大型契約(ACV > $1M)含む売上も成長率もRemaining Performance Obligation(RPO)も契約更新率もすごい
RPO: すでに契約済みでこれから入ってくる売上
SoRやワークフローの統合能力だけでんあく、汎用性があることも判明
新サービスも好調で隙がない
ドバイのセキュリティ系スタートアップ Spider Silkが$2.25を調達
公開されるべきでない資産が公開されてることを自動一覧化・検知してくれるっぽい
これはくるかも
API GatewayとLambdaを使う感じ(安く済ませたいからS3でホストするのに、API Gateway使うと高くならないか?)
あと、これだとS3がpublicになる前提?
イベント/勉強会/発表資料
Observabilityとtoilの話
DMMに起こるセキュリティインシデントのリアル 〜事業部と一緒にサブドメインテイクオーバーに対処した話〜
不正利用を減らす為にやったこと 〜リスクの発見からシステム開発までの話〜
DMMセキュリティ対応現場のリアル
以下、資料一覧
次世代KYCのあるべき姿
法人認証基盤GビズIDと今後の法人KYC
OpenID Foundation/JapanにおけるKYCに関する取り組み概要
OpenID Connectと身元確認/KYCのトレンド
gBizのは個人的に何回か読み直したい
(Podcast) 金融API仕様に関する説明
GitHubは流出された側で正直、直接的に関係ない...
別に三井住銀がGitHub使っててそこからローカルに落とされて、内部不正されたという話ではない
コードちらっとみたけど、機密性性による影響というより、ビジロジを突かれる可能性はあるよね
流出確定 -> 口座開設や取引開始の作業時にご入力いただきました、お客様の電子メールアドレス、氏名、暗号化されたパスワード、APIキー等169,782件
流出可能性 -> 身分証明書、セルフィー画像、住所証明等の本人確認書類28,639件
GoDaddyがやられたことに違いはないけど、どうやったら社内のサーバー内にあるはずの各種個人情報にアクセスできるようになったのだろうか
既知の脆弱性をつかれて、ファイルサーバーに不正アクセスされた。
不正アクセスの通信量から、x百Mb/3tbytesが流出したっぽい
過去・現在の従業員(含む本体)のマイナンバー含む個人情報や口座情報
特定時期の採用候補者
取引先の担当者の個人情報
その他