「DMM meetup #24 〜DMMのセキュリティ脅威への取り組み事例〜」に参加しました
内容が内容ですので、もちろん運営さんにブログを書いていいかの確認はしております。
(たいしたこと書いているわけではないのですが念のため)
目次
DMMに起こるセキュリティインシデントのリアル
〜事業部と一緒にサブドメインテイクオーバーに対処した話〜
細野 英朋さん
DNS側のCNAMEエントリがすでに使用していないクラウドサービスのサブドメインに設定したままになっていて、テイクオーバーされたとのこと。
幸いコンシューマー向けのサービスでもなければ、リリースしたことのあるサブドメインでもなかった。
DNSのCNAMEエントリを削除して対応。
サブドメインテイクオーバーは攻撃者に「非」がないってのは、そういわれるとそうですね。
使いたいサービスでDNSを使ったら、たまたまそうなってたってわけですもんね。
このあたりって、DNS管理次第なんですが、CNAMEは所有認証で使うこともあるので、削除していいのかどうか判断できずに棚卸しのときも見落としてしまうかもですよね。
不正利用を減らす為にやったこと
〜リスクの発見からシステム開発までの話〜
寺西 一平さん
昔の課題でなるほどと思ったのは、
「不正検出するためのデータを見るためには職人技が必要だった。」
「不正者の進化に追いつけなかった」
検知データを検出しやすくして、不正者を検出するルールを追加しやすくされた。
Amazon Fraud DetectorとかDMMさんのデータで試してみていただきたいですね。
すでに機械学習で不正検知しているのかなと思ってました。
最近、DMM株を始めたので、利用者側としても不正アクセスされないように気をつけます!
パネルディスカッション
「DMMセキュリティ対応現場のリアル」
セキュリティの投資についての考え方などを現場の目線で語っていただきました。
セキュリティ投資って、想定レベルの損失とのトレードオフでもないし、そして発生した損失の再発生とのトレードオフでもないですよね。
サービス利用者からの目線だと、やるべきセキュリティを実装していることもサービスの一部だと思うのですね。
いかに安心を提供いただけるかだと思います。
だからといって利用者が脆弱でいいというわけではないですよね。
なので、自分のアカウントは自分で守るべきですが、守るための選択肢や提案をサービス提供いただけることを望みます。
貴重なお話ありがとうございました!
最後までお読みいただきましてありがとうございました!
「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。
「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。
「AWS認定資格試験テキスト AWS認定AIプラクティショナー」という本を書きました。
「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。
「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。
「AWSではじめるLinux入門ガイド」という本を書きました。
開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。
このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。
また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。
関連記事
-
-
「JAWS-UG KANSAI meetup Jan 2021」に参加しました
ようやくタイミングがあって、hopinに移行してから初の参加。 「今どんくらい人 …
-
-
「JAWS-UG朝会 #20」に参加しました
恒例のラジオ体操からっ! はじめてのEKS Kubernetes案件 勉強方法 …
-
-
EC-CUBE3.0 コードリーディング勉強会第1回目に行ってきました
EC-CUBE3.0 コードリーディング勉強会第1回目に行ってきました。 ECサ …
-
-
「MasterCloud第10回 ~超AWS神回の予感~」に行ってきました
JAWS DAYS 2018のコミュニテイフレンドシップにも参加しているMast …
-
-
「AWSの基礎を学ぼう 特別編 最新サービスをみんなで触ってみる Amplify + Admin UI」に参加しました。
亀田さんが定期開催というか、高頻度開催されている「AWSの基礎を学ぼう 特別編 …
-
-
「Amazon SageMaker|機械学習エンジニア向けセッション+体験ハンズオン」に行ってきました
残念ながらハンズオンまではいれませんでしたが、前半のSageMakerの解説を聞 …
-
-
YouTubeチャンネル「ヤマムギ」をはじめました
YouTubeチャンネル「ヤマムギ」をはじめました。 2021年GWチャレンジと …
-
-
ヤマムギvol.17 AWSでALBとAuto Scalingのデモをしました
ゴールデンウィーク10日連続朝30分のデモチャレンジ5日目です。 81名さんもの …
-
-
「JAWS-UG大阪 re:Invent re:Cap LT大会 サンバが始まったら強制終了」の起案記録
2025/1/16に「JAWS-UG大阪 re:Invent re:Cap LT …
-
-
ゴールデンウィーク10日連続デモ解説勉強会にチャレンジします
これまでに執筆した書籍の関連デモを解説する30分の勉強会を4/29~5/8の10 …

