ヤマムギ

growing hard days.

*

「DMM meetup #24 〜DMMのセキュリティ脅威への取り組み事例〜」に参加しました

   


内容が内容ですので、もちろん運営さんにブログを書いていいかの確認はしております。
(たいしたこと書いているわけではないのですが念のため)

DMMに起こるセキュリティインシデントのリアル

〜事業部と一緒にサブドメインテイクオーバーに対処した話〜
細野 英朋さん

DNS側のCNAMEエントリがすでに使用していないクラウドサービスのサブドメインに設定したままになっていて、テイクオーバーされたとのこと。
幸いコンシューマー向けのサービスでもなければ、リリースしたことのあるサブドメインでもなかった。
DNSのCNAMEエントリを削除して対応。

サブドメインテイクオーバーは攻撃者に「非」がないってのは、そういわれるとそうですね。
使いたいサービスでDNSを使ったら、たまたまそうなってたってわけですもんね。

このあたりって、DNS管理次第なんですが、CNAMEは所有認証で使うこともあるので、削除していいのかどうか判断できずに棚卸しのときも見落としてしまうかもですよね。

不正利用を減らす為にやったこと

〜リスクの発見からシステム開発までの話〜
寺西 一平さん

昔の課題でなるほどと思ったのは、
「不正検出するためのデータを見るためには職人技が必要だった。」
「不正者の進化に追いつけなかった」

検知データを検出しやすくして、不正者を検出するルールを追加しやすくされた。

Amazon Fraud DetectorとかDMMさんのデータで試してみていただきたいですね。

すでに機械学習で不正検知しているのかなと思ってました。
最近、DMM株を始めたので、利用者側としても不正アクセスされないように気をつけます!

パネルディスカッション

「DMMセキュリティ対応現場のリアル」

セキュリティの投資についての考え方などを現場の目線で語っていただきました。
セキュリティ投資って、想定レベルの損失とのトレードオフでもないし、そして発生した損失の再発生とのトレードオフでもないですよね。
サービス利用者からの目線だと、やるべきセキュリティを実装していることもサービスの一部だと思うのですね。
いかに安心を提供いただけるかだと思います。
だからといって利用者が脆弱でいいというわけではないですよね。
なので、自分のアカウントは自分で守るべきですが、守るための選択肢や提案をサービス提供いただけることを望みます。

貴重なお話ありがとうございました!


最後までお読みいただきましてありがとうございました!

【PR】 「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】 「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】 「ポケットスタディ AWS認定 デベロッパーアソシエイト」という本を書きました。

 - event, study

ad

ad

  関連記事

「kintone Café 大阪 Vol.17 〜 kintoneと連携するスマホアプリを作ってみよう! 〜」会場スポンサー初体験!

kintone Café 大阪で弊社の会場を使ってもらいました。 この会社に来て …

LINEとAWSとTwilioとkintoneでBOTを作ってみるハンズオン (1)LambdaからSlackへ通知する1

作る部分 SlackのWebURLを確認する Slackでチームを作成してbot …

Java SE 7 Silver対策勉強をしながらメモ 2015/2/10

練習問題3日目。 疲れてきた。 でも明日は休みだし一気にやる。 いつものごとくマ …

Developers Summit 2018 「Kubernetesを用いた最強のマイクロサービス環境をGKEで実現しよう」を聞きました

以下は、思ったことや気になったことをメモしていますので、必ずしも登壇者の発表内容 …

「Amazon SageMaker|機械学習エンジニア向けセッション+体験ハンズオン」に行ってきました

残念ながらハンズオンまではいれませんでしたが、前半のSageMakerの解説を聞 …

「MasterCloud第10回 ~超AWS神回の予感~」に行ってきました

JAWS DAYS 2018のコミュニテイフレンドシップにも参加しているMast …

東大阪メーカーズ・ミートアップ Vol.2に行ってきました

今回初参加で行ってきました。 東大阪メーカーズ・ミートアップとは 「主に東大阪の …

LINEとAWSとTwilioとkintoneでBOTを作ってみるハンズオン (5) LINEからの投稿へ返信と登録処理

作る部分 LINEからのメッセージを受けて各APIより返信し、StepFunct …

Alexa Day2018で「Alexa連携デバイスクラウドを構成するAWS ソリューション」を聞きました

以下は、思ったことや気になったことをメモしていますので、必ずしも登壇者の発表内容 …

Java SE 7 Silver模擬テストの結果気になる問題をメモ 2015/2/13

違う種類の模擬テスト1回目。 90問中77問正解。 正解率85%。 まだまだ不安 …