「DMM meetup #24 〜DMMのセキュリティ脅威への取り組み事例〜」に参加しました
内容が内容ですので、もちろん運営さんにブログを書いていいかの確認はしております。
(たいしたこと書いているわけではないのですが念のため)
目次
DMMに起こるセキュリティインシデントのリアル
〜事業部と一緒にサブドメインテイクオーバーに対処した話〜
細野 英朋さん
DNS側のCNAMEエントリがすでに使用していないクラウドサービスのサブドメインに設定したままになっていて、テイクオーバーされたとのこと。
幸いコンシューマー向けのサービスでもなければ、リリースしたことのあるサブドメインでもなかった。
DNSのCNAMEエントリを削除して対応。
サブドメインテイクオーバーは攻撃者に「非」がないってのは、そういわれるとそうですね。
使いたいサービスでDNSを使ったら、たまたまそうなってたってわけですもんね。
このあたりって、DNS管理次第なんですが、CNAMEは所有認証で使うこともあるので、削除していいのかどうか判断できずに棚卸しのときも見落としてしまうかもですよね。
不正利用を減らす為にやったこと
〜リスクの発見からシステム開発までの話〜
寺西 一平さん
昔の課題でなるほどと思ったのは、
「不正検出するためのデータを見るためには職人技が必要だった。」
「不正者の進化に追いつけなかった」
検知データを検出しやすくして、不正者を検出するルールを追加しやすくされた。
Amazon Fraud DetectorとかDMMさんのデータで試してみていただきたいですね。
すでに機械学習で不正検知しているのかなと思ってました。
最近、DMM株を始めたので、利用者側としても不正アクセスされないように気をつけます!
パネルディスカッション
「DMMセキュリティ対応現場のリアル」
セキュリティの投資についての考え方などを現場の目線で語っていただきました。
セキュリティ投資って、想定レベルの損失とのトレードオフでもないし、そして発生した損失の再発生とのトレードオフでもないですよね。
サービス利用者からの目線だと、やるべきセキュリティを実装していることもサービスの一部だと思うのですね。
いかに安心を提供いただけるかだと思います。
だからといって利用者が脆弱でいいというわけではないですよね。
なので、自分のアカウントは自分で守るべきですが、守るための選択肢や提案をサービス提供いただけることを望みます。
貴重なお話ありがとうございました!
最後までお読みいただきましてありがとうございました!
「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。
![](https://www.sbcr.jp/wp-content/uploads/2023/01/9784815617929-1-407x596.jpg)
「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。
![](https://www.sbcr.jp/wp-content/uploads/2024/01/9784815625382-3-420x596.jpg)
「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。
![](https://www.shuwasystem.co.jp//images/book/637791.jpg)
「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。
![](https://book.mynavi.jp/files/topics/135344_ext_06_0.jpg?v=1673514682)
「AWSではじめるLinux入門ガイド」という本を書きました。
![](https://www.yamamanx.com/wp-content/uploads/2023/12/81Rp5O9We6L._SY522_.jpg)
![@yamamanx](https://www.yamamanx.com/wp-content/plugins/lazy-load/images/1x1.trans.gif)
開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。
このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。
また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。
ad
ad
関連記事
-
-
「SORACOM & myThingsを使ったハンズオンセミナー in 大阪」に行ってきました
SORACOM & myThingsを使ったハンズオンセミナー in 大阪に行っ …
-
-
「関ジャバ Java開発のためのDocker & てらださんせきらら in MS関西」に行ってきました
「関ジャバ Java開発のためのDocker & てらださんせきらら i …
-
-
Java SE 7 Silver対策勉強をしながらメモ 2015/2/6
本日は例外の続き。 これで参考書の章立てはとりあえず終了!! 明日からは模試と練 …
-
-
Developers Summit 2016 KANSAIに行ってきました
Developers Summit 2016 KANSAIに行ってきました。 熱 …
-
-
「Serverless Days Tokyo 2023 サーバーレスで負荷試験を行う必要性と実践的プラクティスの紹介」を見ました
2023/9/23にServerless Days Tokyo 2023に参加し …
-
-
「nakanoshima.dev #36 コンテナについて話したい、助けてほしい人集まれLT大会」に参加しました
アールスリーインスティテュートさんのAshibinaaで開催されました! いつも …
-
-
Developers Summit 2018 「Kubernetesを用いた最強のマイクロサービス環境をGKEで実現しよう」を聞きました
以下は、思ったことや気になったことをメモしていますので、必ずしも登壇者の発表内容 …
-
-
「コミュニティリーダーズサミット in 高知 2022初鰹編」に参加しました
「コミュニティリーダーズサミット in 高知 2022初鰹編」に現地参加してきま …
-
-
「AWS認定 デベロッパーアソシエイトの試験に出るかもなデモ見せあいっこ(ヤマムギvol.12)」を開催しました
デモ勉強会を開催しました! 2021/4/7にヤマムギ12回目の勉強会「AWS認 …
-
-
AWS Summit 2016 Tokyoに参加してきました (前日 ~ Day1)
AWS Summit 2016 Tokyoにて、セッション聴講、ブース展示拝見、 …