情報収集 - 2020/10/05
今週のおすすめ/一言所管
CBDC関連のニュース多し。
国内初、電子記録移転有価証券表示権利等に対応した資金調達スキームであるSTO案件が国内で最初にでたのが一番でかいのではないか
アプリケーションアイデンティティの機能
portal > enterprise apps > consent and permissions > user consent settingsから「Allow user consent for apps」にし、とadmin consent workflow を推奨している Windowsパッチで配布されるアップデート置き場が変更された
アカウント無効化やパスワードリセットなどのリアルタイムな変更に対して、セッションを切ることができるようになった
対象はMicrosoftサービスのみ
AWSがどうEC2のデータプレーンとコントロールプレーンという分散システムを設計したか、という話
S3 Object Ownershipにより、デフォ挙動である「オブジェクトをアップロードしたAWS垢に所有されるS3オブジェクト」をbucket-owner-full-control を指定してすることでバケットオーナーの管理下におかれる
object-writerで、デフォ動作
プレビュー
RBACをセットアップできる管理用ユーザー・グループをElastiCache Redisでサポートし始めた。
↑をつかって1つのRedisクラスタを複数のアプリで利用可能に。
IAM?ではなさそうだ
任意の数のトランザクション / secを生成するDistributed Loat Testing on AWS
Fargateで立ち上がり、アプリのパフォーマンスをテストできる
JMeterテストが追加された
ブロチェ周りの技術スタックの正式な定義
GitHubが買収したLGTM by SemmleがGitHub内GA化
GitHub Actionにくみこまれているため、CICDにセキュアコードチェック(SAST)で実現可能
静的解析結果のデータフォーマットがあるみたい
銀行口座保有者の継続的可能を確認とする金融機関向けBPOサービス
銀行口座の利用者が、金融機関側口座の名義人と同一人物であることを継続的に確認する
銀行に結局依拠する。
信用情報が指定信用情報機関にサイロ化されており、ユーザー自信による管理が難しkあった
LINEスコアで、LINE上の行動データに基づいた独自アプローチで推量して貸付利率(実質年率)を決定したり。
友だちの数の増減やコミュニケーションの仕方が、延滞や貸倒れの発生確率と高い相関関係がある 不透明な独自のスコアによって、信用力が決定され、それが外部機関に連携されるのは、正直すごく怖い
LINE上でのマイノリティをどうカバーするのか。ホワイトペーパーは見当たらなかった
念の為、LINEに確認したところ、明示的にLINE Credit利用に同意しないかぎり、同グループ内でもデータ連携はされない模様
GitHub DOcsがOSS化
イベント/勉強会/発表資料
Mitreのイベント。クラウドむけMitreなどがあるのは初めてしった
社内基盤チームが、社内基盤をどのように捉え、課題を発見し、優先度をきめて、アサインを考えるか、、、という社内基盤 as プロダクトの話
実務に基づいた話なので身近に感じつつ、参考にした文献が揃っている
Shift Leftに対する疑問について
右も必要では?
エンジニアリングしていく上で、シフトレフトがなにをもたらしていくのか?
メトリクスは?なにがレフト(成功)をしめすのか?
その場合、preventiveに比重がよったほうがいいよね
misconfigurationのことあんまり話されない
OWASP Top10はちょっとtoo tacticalで、あまり致命的(impact)じゃないアプリにフォーカスしすぎ
emoter感染症例: 情報漏えい、別マルウェア感染、横展開、踏み台化
メールに添付されたwordのマクロがベクター
officeのコンテンツ有効化した痕跡
https://gyazo.com/42c4bc32b513f1fdf3243089d7c7d8a4
解析するとwmi経由でpowershellを実行してそう
process create(systemon)や、prefetchでwmiprvse.exe
powershellの難読化実行
event id 600: powershell event logs
cyber shef
any runとかで↑のあたりは見れる
emotetの実行と永続化
難読化powershell内はきえちゃうので、実行履歴をおう。これもanyrunから追える
virusTotalでもおk.hash値や挙動からフォーカスを絞っていく
パスワードが設定されたzipファイルなど、セキュリティ対策ソフトでスキャンできないメールの添付ファイルについてもブロックすることをベストプラクティス
Block email attachments that cannot be scanned by antivirus software (e.g., .zip files).
MITRE ATT&CKカテゴリを使ったリスクアセスメントのうち、各種(サブ)テクニックの成功率を44の診断対象からインフォグラフィック化
行政/会社/団体
規制が法改正レベルでかわる。書面規制や押印の撤廃など。
官房長官レベルで「CBDCの検討」を閣議決定された基本方針に掲げている
電子記録移転有価証券表示権利等にて規定された、電子的手段によって証券化されたトークンによる資金調達スキームSTO
その国内初。くそっやられた!
NRIの子会社であるBoostryが提供するブロチェ基盤「ibet」によって、SBI e-Sportsの株式が発行・管理される
市場を通して銀行に限らない金融事業社や火金融事業社が参加し、互いのシステムやアプリを連携する
Open Banking Directory + マーケットプレイスみたいなものか?
価格体系や参加企業のAssurance Levelやガバナンスレベルがどうなるか気になる
NTTデータは地銀・銀行 <-> 資金移動業の件で結局、表舞台に引きずり出されてない
AMLによって犯罪に対する経済活動に対しては1%未満の抑止になってない
一方、AMLによる効果およびコストについては、一貫した測定方法がないため、各機関によってバラバラ
カナダ中央銀によるトークンベース発行時のCBDCについて、鍵紛失リスクに対する設計3パターン
ドイツのナショナルデジタルIDがモバイルへ。
ドイチェテレコムセキュリティとGalaxyがパートナーシップを組んでいる。
セキュアな認証を提供するオープンなエコシステムを目標とする「Optimos 2.0 project」の一環。TEEかな?
重要なコンセプ: フェアな透明性。Integrity & transparencyかな
相互監視により、トラストが情勢されると捉えている
ワンスオンリー(MSAもこれをキーワードにしてたと思う)
エストニアは義務化できるが、日本は背景や文化が異なるから「そんなに簡単ではない」と言ってたのが好印象
1号機のメモリ障害自体は、1号機内で検知されていた。
じゃあ、なんで切替されたなかったというと、メモリ障害を起因とした切替えをする特定の設定が有効化されてなかったから
これがオンになってなかった。オンになってなかった理由は不明
その他