忙しい人のためのセキュリティ・インテリジェンス - 2021/03/08
今週のおすすめ/一言所管
アウトプットをしましょう、というのはよく言われる話だが、正直、情報まとめ(個人的には「やってみた」系も情報まとめにカテゴライズしてる)というのは、簡単にできるが、自信をもって血肉にしにくい。このように情報をまとめることも大事だけど、やはり手を動かして得られること以上に糧になるものはないな、と。情報をまとめることは好きだし、役に立っているが、最近アウトプットが少ないようにも感じる。もともとは、監訳したO'Reilly本やその後にきたいくつもの講演で、自分の遺産を食いつぶしてる感があったのでリソース比重を増やしたので、また適正化するタイミングなようだ。
また、アウトプットにしても、週報をclubhouseでやっていたが、ぼちぼちpodcastをリリースせねば...
ユーザーごとに登録されたFIDO2 security keyの詳細が確認可能に
AzureADのExtenral IdentitiesがGA
エンドユーザー自信が通常でないサインイン行動を報告できるようになった
Widnows10/Intune/Endpoint
Compliance
他
Google
総務省が4月から新たな認定制度を導入する
無料で一般的に信用されている他社ドメインと言う意味では、firebase/cloudfront等も多いそうな
すぐRustのそれにぬかされそうな...
クロスプラットフォームの利点をRustが超えられるかどうか?
Go製マルウェアの紹介があって面白い
3兆円規模の売買機会が失われた
never stopを合言葉にしてきたのに、結局障害がおきてしまった
東証一曲集中していることについても触れている
米NASDAQとかは自社で証券取引所の標準的な機能をシステムやサービスをとして、外部の金融機関に提供していたりする
行政/会社/団体
税制改訂により、電子帳簿保存の要件が大幅緩和
タイムスタンプの付与期限が3d -> 2m
スキャン後の原本廃棄 <- うれC
事務処理人数1理でおk
書類への自署が不要に
一方、ペナルティも増しましになる
わかる
コンテナイメージ作る順は、debian:<stable>-slim, distroless:base-debian10, scratch
ecrがだぶってたりするのはなんかいまいちだよね...ecrからecrにレプリするのは1つの手
ひさしくGo書いてないけど、これはちゃんと覚えてます
そこで鍵となってくるのが、Auth0が掲げている“開発者に優しい”という理念
おお、そんな理念が。確かにAUth0はめちゃくちゃ使いやすいし、APIも素直!!
Securityのため、githubの認証トークンのフォーマットをかえるとのこと
文字セットが複雑になり、トークン種別を表すprefixができる
既存のものが無効になるか書いてないな...
Kryptonというスマホを使ったFIDO(U2F)なアプリがあるのだが、最終更新日が17ヶ月前で、もうだめかも
イベント/勉強会/発表資料
本職じゃない人が受講したのすごい
が、休日は完全に潰れると思ったほうが良さそう
コードがドメイン知識を表現するように書かれるべき、という話と、全体を疎結合にして拡張性や保守性を担保しましょう、という話、完全には両立はしないと思っていて、だってビジネス側の人はそんな拡張性とか保守性の話していなくね?
これ
ドラフト00 -> 01にて大きな変更はなかった模様
経験をベースにしたアウトプットは大事だよ、という話
情報をまとめただけのこれは...
最近、ちょっと時間かけ過ぎと思うようになってきた
2017年7月24日から2020年7月18日までに口座開設の手続きをした3万7176人が対象
情報は、名前、性別、生年月日、電話番号、メールアドレス、住所、勤務先、暗号化済みのデビット用暗証番号
デビット番号はまずそう
金融庁が注意喚起してから初の事例なので、今後増えそう
行政が委託していた開発ベンダーが、アクセス制限の実装をみすってたため、個人情報を含む画像データが公開状態にあったと
S3で適切に署名月urlとかcookieにしなかったとか?
その他
興味深い