情報収集 - 2020/11/02
今週のおすすめ/一言所管
AWS Fargate1.4のアプデで、今までEC2版でしかつかえなかった、Secrets ManagerのJSON型がサポート + S3からのenvファイル読み込みが可能になった。ところでSecrets ManagerがJSON型サポートするなら、s3におかなくてもいい気はするけどどうだろう
re:inventでec2 on WAFで顧客データをひっこぬかれたCapitalOneが話すそうな。公益性の高いサービス on IaaSに対する捉え方などで、みておきたい
特筆事項なし
MFAチェック用KQLがちょっと参考になる
GHCRより容量がめちゃくちゃでかい。しかし、プライベートリポにはAWSアカウントでログインしないといけないなら、それは実質ECRでは?という気もしなくはない
NitroにはNitro Cards, Nitro Security Chip, Nitro Hypervisorがある
Nitro Cards: EC2を実現するネットワーク、ストレージ、管理ツール、監視ツールがオフロードされているシステム
Nitro Security Chip: マザボに組み込まれたHW Root of Trust, UEFI Secure Boot。非揮発性領域の書き込みはHW的にブロック
Nitro Hypervisor: 軽量ハイパーバイザ
Cognito + LambdaでFIDOを使ったパスワードレス、パスワード + FIDO認証をする
nested partition_keyのサポートが嬉しそう
AWS Secrets ManagerのJSONオブジェクト
envファイル on S3参照
あと、container insightsでtx・rxバイトが取れるようになった
データ流通を旨とするCSP化な Society5.0 では、データの信頼性を確保することが重要
その仕組みがトラストサービス。本検討会は、組織が発行するデータの信頼性に主眼をおいている
信頼性: データそのもの信頼性と、流通基盤の信頼性
信頼性を高めることで、電子化を促進し、DX(改革や生産性工場)を狙う検討会
日本総研によるデジガバ化における先駆者から参照すべきこと。(一元的な推進体制とガバナンスを前提にした)国と地方自治体間の一貫性ある取り組み、自治体への技術支援、進捗や評価の透明性。同時に新しい法案は原則デジタル対応したり、基本データを共同利用する基盤の整備
Securitize, Boostry, LayerX
ToIPの各レイヤーにおける(未定のも含めた)標準化推進ツール。相互互換性の強化が目的。ユースケース、設計原則、技術標準、テストケースが入ってる。また、実装による標準への近似値もスコア化可能
Etherum-consortium/Quorumベースのdigital identity
MUFJとAkamaiブロックチェーンによる新決済NW会社の展望
プライベートブロックチェーン
10万件処理/sec,
2021/02~03: クレカ決済NW接続サービス、電子商取引のオーぞリザーションに使う与信枠管理サービス
2021夏: 少額決済。まずは自動販売機のタッチ決済から
CAFISに対抗するつもりはない。
東証の障害で質問があったとおり、公共性の高い証券取引機能を大きく東証荷依存している
そこで、証券会社に施設取引システム(PTS)の利用を促し、競争を後押しする
金商法は顧客が最良の条件で有価証券を売買できるよう、証券会社に「最良執行方針」をつくることを義務づけていたが、具体的な内容はなかた。
今後は、最も有利な価格で顧客に注文をつなぐことを求める
という、有識者会議を設ける
銀行による中小企業の事業支援を、不動産担保や経営者の個人保証から、機械・設備・技術・ノウハウ・・顧客基盤など無形資産を一括で担保にできる制度づくりをめざす
銀行が企業の将来性を評価して資金を出しやすくする
多額の入金直後に「多数の者へ頻繁に送金」、「短期間に繰り返し海外へ送金」がよく見られるとのこと
電子マネーのインオペにcbdcが一石を投じるだろうとしつつ、その前に銀行apiが必要だとするやつ。ただ昨今の不正引き出しは、設計時点でのポカであるため、法的な制限でも書けない限り銀行apiが役に立つかは個人的には疑問(認証に金ケチった地銀がやるだろうか?)
責任共有モデルとトラストにおける重要なポイント、reinventでcapital oneが講演するの知らなかった。見なければ
Meta service疲れたSSRFだった気がする
そもそもCapital Oneはなんで自前WAF on EC2をやったのか...AWS WAFに我慢ならなかったのだろうか
行政/会社/団体
昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性を公表
企業が取るべきアクション
Share: サプライチェーンを共有する企業間における高密度な情報共有
Report: 機微技術情報の流出懸念がある場合の方国
Announcement: 多数の関係者に影響するおそれがある場合の公表
ということを、協同で取り組むためのコンソーシアム
スマートシティの肝となる個人情報の活用とプライバシー保護の両立のため、秘匿化・匿名化技術の研究開発を推進
多様な人々が快適に過ごせるまち作りに貢献
「分野間データ連携基盤」の確立が最重要とした上で、優先度としては、多くの社会活動から参照される情報を、標準化されたデータである「ベースレジストリ」として整備すること、というのがわかりみ。この過程で必然的にID体型も整備されるだろう
かなり思い切った法案。総務省的にはもう推進しんどいし、手放したいのかしら
まずはマイナンバー利用用途の限定をはずさないとね★
まだ開催告知だけ。これから
イベント/勉強会/発表資料
Go testについて各種パターンと実装があってわかりやすい。ハシコープ社のMichelle Hashimotoが書いてる
AWS AZ障害の演習
時系列DBの書き込み障害想定の演習
というのを11月のWeb+DBで書いてるという内容
CapcomのインシデントはRagnar Lockerランサムっぽい
その他
日銀のシステムエンジニア募集。半年watchしたけど初めてかも?
基本プロマネ業っぽい