情報収集 - 2020/09/28
今週のおすすめ/一言所管
なんといっても東証のインシデントがやはり大きいだろう。過去にない丸一日(しかも下半期開始日!)における証券取引停止は、 流通性を含めた市場インパクトを考えると、非常に大きいインシデントであると言わざると得ない。早急な根本原因と恒久対応が求められるだろう。HW障害はおこるものなので、どのように検知・回復・隔離をするか勉強したい。一方、会見については非常に誠実で、今後の東証を応援したくなる内容ではあった。なお、ブロックチェーンをつかった証券取引の提案がややSNS上を賑わせているが、今回のインフラにおける「共有かつ一元されてリアルタイム性を求められるデータの取得失敗 」が分散取引環境で、どう解決できるかのアーキについては気になっている
記者の質問は確かに「それもう説明したやんけ・資料見ろや」質問もあったけど、東証の企業利益とか公益のバランスや、BCPポリシーに関する質問・回答などがあって、勉強になった
個人的には「そういう質問も含めて記者会見よね」って気持ちではある
当日中の再開が厳しかった理由がどういう観点なのか気になった
verifiable credential/didも含めて、着々とkim cameronの世界に進めてる風に思えた
NISTのブロチェトークン設計と管理に関するOverview。Available for Comment.
目次とOverviewをざっと見た限りよさそう。もうちょっとちゃんと読みたい
5ゲストユーザー/p1ライセンスから、一気に無料 for 50,000 MAUに
Microsoftの方針が伺えるようだ
Azure ADがダウン
手元では約2hourで復旧
正式報告だと3hr
コンフィグ変更がバックエンドストレージにえ今日して、認証リクエストに遅延がでちゃった
Post Incident Report(PIR)待ち
https://gyazo.com/45d0726bd7c4f8c3a153add9e4a303a3
コンテナレジストリのセキュアな設計 by AWS(AWSで実現する方法ではない)
IAMに対するPen Test
攻撃社は過度なpermissionのついたIAM user/role/policyを探す
IAM users/roles, ec2 instances, s3 bucketに関する設定ミスをよくみる
ので、以下を見よう
UnauthorizedActivity
AWS Guardduty DetectorDeleted
S3: Bucket Enumeration (ListBuckets), Bucket Policy Modification (PutBucketPolicy) , Public Access Block Removed (DeleteAccountPublicAccessBlock)
Network: VPC Created or Modified, Route Table Created or Modified, Network Gateway Created or Modified, Network Access Control List Created or Modified, Security Group Created or Modified
OAuth2.0をマイナーバージョンあっぷさせたOAuth2.1に関するポッドキャストエピソード
NISTのブロチェトークン設計と管理に関するOverview。Available for Comment.
目次とOverviewをざっと見た限りよさそう。もうちょっとちゃんと読みたい
Github Actionでjobとserviceにプライベートレジストリのコンテナを利用できるようになった
特定の期間だけのログをわたして分析する。SoCのオンデマンド的サービスという印象。
ただ、ノウハウのない機器やサービスのログもあると思うが、それでもバリューを発揮できるのか。
1契約当たりの料金は約300万円で、調査期間は平均1~1.5カ月。いって250万くらいじゃないだろうか...
初回書き込みサービスだったら値切れるかも。経験上、こういうのは手探りでやってるので、事例がほしいはず。
Terraform Enterprise相当のTerraform Cloud Business。
監査ログのJSON API吐き出し、applyの並列実行は魅力的だが
最小構成(5ユーザー、100ワークスペース、同時実行数2)の「スモールスタートパック」で、年額397万4400円...
パット見た限り、recommendation letterあるいはletter of referenceをoptionalにしているところが多かったが、イリノイ大学が来てるみたいに基本はhighly recommendedな気はするが、案外、今の御時世であればすんなりといけるものだろうか?
Jamf用のSlackアプリ。Jamf Pro関係のイベントを通知してくれる
他にもマケプレがある 。The MUT, Depnotify, Autopkg, Profile Creatorとかよさそう。
gRPCとHTTPエンドポイントのインテグレーション・E2Eテストの提供
Charles/Burp Suiteとの連携&Intercept&変更&リプレイ
イベント/勉強会/発表資料
あまりnewなことはなかった
ppidは名寄せ対策。特定のRPに対してだけ提供するID。
例: sha-256(sector_identifier || local_accountid || salt ) -> OIDCに仕様はある
subに対するemailはメールアカウントが乗っ取られたときに大変なので、耐久性があるIDの利用が推奨
GetメソッドでURLフラグメント(以降)は、ブラウザでは取得出来るパラメタ、サーバーには届かない。
SSIの話
ch 09: Design for Recoveryとch10: Mitigating Denial-of-Service Attacksをカバー。資料はリンク先に。
Github Actionのrunディレクティブで環境変数を指定できた set-env コマンドがdeprecated に
echo "{name}={value}" >> $GITHUB_ENV
会社/団体
国や県の法令で義務づけられている約900種類の書類を除き、市単独で見直せる約3800種類を全て廃止
法令で義務付けられrているのは逆に何?
英国OBIEの進捗はロックダウン期間中にダブルになり、200万 MAUになった模様
現時点は、アカウント集約や資産管理(AISP)がメイン
銀行はAALが1未満なので、資金移動業と銀行をつないだサービスにおける銀行口座は保護されない、という話
2020/09/28にAzure ADログインできなくなった理由のレポート
デプロイの仕組みにバグがあり、Microsoft内部だけで検証するべきstg(?)的リリースが、本番環境にリリースされちゃっ...という内容
自動ロールバックで対応しようとしたが、やっぱりデプロイの仕組みに問題があり失敗。手動でロールバックした
2020/08に投稿データにIPアドレスが記載されてた問題
いつからについては記載なし。IPアドレスの利用目的および個人情報該当性についても記載なし。
やる内容がインシデントに直結してなさそうだが、大体インシデントクローズはこういう感じ...(悪い意味で慣れた)
その他
ベンダーロックインとは結局のところ、雇用し続けることのリスクをSIerに切り出したつもりがデータと業務を人質に取られて、手を切れなくなっている状態です。そして国が従業員を雇用し続けることを義務づけている以上、とても合理的な経済行動
日本のIT人材の77%はSI企業などサービス提供側で働いており、利用企業に在籍しているのは2割ほどだ。比率は10年前とほぼ変わらず、7割近くが利用企業に所属する米国などとは対照的
日本のSI企業は顧客企業に食い込んでおり強力。時間を買うためにも組む必要がある
英語を読もう!喋られるようにならなくても、リリースノートとか読めば、十分ベンダーなみにできるって!
SI入れて明示的にいいのは、領収書。