ヤマムギ

growing hard days.

*

「DMM meetup #24 〜DMMのセキュリティ脅威への取り組み事例〜」に参加しました

   

内容が内容ですので、もちろん運営さんにブログを書いていいかの確認はしております。
(たいしたこと書いているわけではないのですが念のため)

DMMに起こるセキュリティインシデントのリアル

〜事業部と一緒にサブドメインテイクオーバーに対処した話〜
細野 英朋さん

DNS側のCNAMEエントリがすでに使用していないクラウドサービスのサブドメインに設定したままになっていて、テイクオーバーされたとのこと。
幸いコンシューマー向けのサービスでもなければ、リリースしたことのあるサブドメインでもなかった。
DNSのCNAMEエントリを削除して対応。

サブドメインテイクオーバーは攻撃者に「非」がないってのは、そういわれるとそうですね。
使いたいサービスでDNSを使ったら、たまたまそうなってたってわけですもんね。

このあたりって、DNS管理次第なんですが、CNAMEは所有認証で使うこともあるので、削除していいのかどうか判断できずに棚卸しのときも見落としてしまうかもですよね。

不正利用を減らす為にやったこと

〜リスクの発見からシステム開発までの話〜
寺西 一平さん

昔の課題でなるほどと思ったのは、
「不正検出するためのデータを見るためには職人技が必要だった。」
「不正者の進化に追いつけなかった」

検知データを検出しやすくして、不正者を検出するルールを追加しやすくされた。

Amazon Fraud DetectorとかDMMさんのデータで試してみていただきたいですね。

すでに機械学習で不正検知しているのかなと思ってました。
最近、DMM株を始めたので、利用者側としても不正アクセスされないように気をつけます!

パネルディスカッション

「DMMセキュリティ対応現場のリアル」

セキュリティの投資についての考え方などを現場の目線で語っていただきました。
セキュリティ投資って、想定レベルの損失とのトレードオフでもないし、そして発生した損失の再発生とのトレードオフでもないですよね。
サービス利用者からの目線だと、やるべきセキュリティを実装していることもサービスの一部だと思うのですね。
いかに安心を提供いただけるかだと思います。
だからといって利用者が脆弱でいいというわけではないですよね。
なので、自分のアカウントは自分で守るべきですが、守るための選択肢や提案をサービス提供いただけることを望みます。

貴重なお話ありがとうございました!


最後までお読みいただきましてありがとうございました!

「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。

「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

 - event, study

ad

ad

  関連記事

ヤマムギvol.11「AWSではじめるLinux入門ガイド」クイックスタート勉強会を開催しました

2020/7/15に、ヤマムギvol.11としまして、「AWSではじめるLinu …

「JAWS-UG大阪 第18回勉強会 サーバーレス」の運営をしました

JAWS-UG大阪 第18回勉強会 サーバーレスを開催、運営しました〜。 事の発 …

「四国クラウドお遍路 2021 -コロナ後の地方創生-」に参加しました

徳島サテライト会場 今年の四国クラウドお遍路 2021 -コロナ後の地方創生-は …

「JAWS-UG KANSAI meetup Jan 2021」に参加しました

ようやくタイミングがあって、hopinに移行してから初の参加。 「今どんくらい人 …

「自ら修羅の道を作り、修羅場を楽しみ、自内外に変化を起こし続ける」(『ソフトウェアファースト』読書感想)

「ソフトウェア・ファースト あらゆるビジネスを一変させる最強戦略」を読みました。 …

Oracle Java SE7 Silverを受験してみて

受験の目的 Goldの前提条件だから Gold資格を取得する目的は技術レベルを理 …

Developers Summit 2024「LLMで切り拓く完全自動運転の道、エンジニアが創るクルマの未来」を見ました

チューリング株式会社 取締役CTO 青木 俊介さん 「ハンドルがない乗用車」の販 …

「Media-JAWS 【第10回】渋谷に集合!」に参加しました

Media-JAWS 【第10回】渋谷に集合!に参加しました。 Media-JA …

「Bluemix勉強会 -Watson、Node-RED 最新情報を学ぼう!」に行ってきました

「Bluemix勉強会 -Watson、Node-RED 最新情報を学ぼう! 」 …

「SORACOM & myThingsを使ったハンズオンセミナー in 大阪」に行ってきました

SORACOM & myThingsを使ったハンズオンセミナー in 大阪に行っ …