ヤマムギ

growing hard days.

*

「DMM meetup #24 〜DMMのセキュリティ脅威への取り組み事例〜」に参加しました

   


内容が内容ですので、もちろん運営さんにブログを書いていいかの確認はしております。
(たいしたこと書いているわけではないのですが念のため)

DMMに起こるセキュリティインシデントのリアル

〜事業部と一緒にサブドメインテイクオーバーに対処した話〜
細野 英朋さん

DNS側のCNAMEエントリがすでに使用していないクラウドサービスのサブドメインに設定したままになっていて、テイクオーバーされたとのこと。
幸いコンシューマー向けのサービスでもなければ、リリースしたことのあるサブドメインでもなかった。
DNSのCNAMEエントリを削除して対応。

サブドメインテイクオーバーは攻撃者に「非」がないってのは、そういわれるとそうですね。
使いたいサービスでDNSを使ったら、たまたまそうなってたってわけですもんね。

このあたりって、DNS管理次第なんですが、CNAMEは所有認証で使うこともあるので、削除していいのかどうか判断できずに棚卸しのときも見落としてしまうかもですよね。

不正利用を減らす為にやったこと

〜リスクの発見からシステム開発までの話〜
寺西 一平さん

昔の課題でなるほどと思ったのは、
「不正検出するためのデータを見るためには職人技が必要だった。」
「不正者の進化に追いつけなかった」

検知データを検出しやすくして、不正者を検出するルールを追加しやすくされた。

Amazon Fraud DetectorとかDMMさんのデータで試してみていただきたいですね。

すでに機械学習で不正検知しているのかなと思ってました。
最近、DMM株を始めたので、利用者側としても不正アクセスされないように気をつけます!

パネルディスカッション

「DMMセキュリティ対応現場のリアル」

セキュリティの投資についての考え方などを現場の目線で語っていただきました。
セキュリティ投資って、想定レベルの損失とのトレードオフでもないし、そして発生した損失の再発生とのトレードオフでもないですよね。
サービス利用者からの目線だと、やるべきセキュリティを実装していることもサービスの一部だと思うのですね。
いかに安心を提供いただけるかだと思います。
だからといって利用者が脆弱でいいというわけではないですよね。
なので、自分のアカウントは自分で守るべきですが、守るための選択肢や提案をサービス提供いただけることを望みます。

貴重なお話ありがとうございました!


最後までお読みいただきましてありがとうございました!

【PR】 「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】 「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】 「ポケットスタディ AWS認定 デベロッパーアソシエイト」という本を書きました。

【PR】 「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル」という本を書きました。

 - event, study

ad

ad

  関連記事

「JAWS-UG 初心者支部#35 LT大会!!」に参加しました。

オンライン開催でした〜 AWS AthenaとFluentdでログ集約基盤構築 …

DevLOVE関西 「サイボウズ開発の現場」に行ってきました

DevLOVE関西 「サイボウズ開発の現場」に行ってきました 所感 「KAIZE …

JAWS DAYS 2018 振り返り(特にコミュニティフレンドシップ)

JAWS DAYS 2018を振り返りたいと思います。 やったこと コミュニティ …

IoTセミナー in おおさか「IoTで変わる!企業と働き方」に行ってきました

これからの企業と働き方 ~IoT・AIが創造する未来~ さくらインターネット株式 …

「X-Tech JAWS 【第2回】~9割のX-Techと1割の優しさで切り拓く未来~」に行ってきました

「X-Tech JAWS 【第2回】~9割のX-Techと1割の優しさで切り拓く …

JAWS DAYS 2018の1日前に名古屋にいました「JAWS-UG名古屋 AWS勉強会 JAWS DAYS 2018前夜祭」

仕事の都合でJAWS DAYS 2018の前日は名古屋にいました。 宿泊地はお店 …

「Einsteinボット構築体験ハンズオン」でボットをノーコードで構築した

Salesforce World Tour Tokyoで基調講演の後、最近のニー …

第17回 人工知能研究会 「今後のDeepLearning技術の発展とビジネス応用」に行ってきました

第17回 人工知能研究会 「今後のDeepLearning技術の発展とビジネス応 …

docomo雑談APIのAPIキーを発行する

docomo雑談 APIのキー取得の方法です。 (2017年8月13日時点の情報 …

JAWS DAYSで人生が変わった話

明日はJAWS DAYS 2021です! JAWS DAYSが変えた私の人生 「 …