ヤマムギ

growing hard days.

*

「DMM meetup #24 〜DMMのセキュリティ脅威への取り組み事例〜」に参加しました

   


内容が内容ですので、もちろん運営さんにブログを書いていいかの確認はしております。
(たいしたこと書いているわけではないのですが念のため)

DMMに起こるセキュリティインシデントのリアル

〜事業部と一緒にサブドメインテイクオーバーに対処した話〜
細野 英朋さん

DNS側のCNAMEエントリがすでに使用していないクラウドサービスのサブドメインに設定したままになっていて、テイクオーバーされたとのこと。
幸いコンシューマー向けのサービスでもなければ、リリースしたことのあるサブドメインでもなかった。
DNSのCNAMEエントリを削除して対応。

サブドメインテイクオーバーは攻撃者に「非」がないってのは、そういわれるとそうですね。
使いたいサービスでDNSを使ったら、たまたまそうなってたってわけですもんね。

このあたりって、DNS管理次第なんですが、CNAMEは所有認証で使うこともあるので、削除していいのかどうか判断できずに棚卸しのときも見落としてしまうかもですよね。

不正利用を減らす為にやったこと

〜リスクの発見からシステム開発までの話〜
寺西 一平さん

昔の課題でなるほどと思ったのは、
「不正検出するためのデータを見るためには職人技が必要だった。」
「不正者の進化に追いつけなかった」

検知データを検出しやすくして、不正者を検出するルールを追加しやすくされた。

Amazon Fraud DetectorとかDMMさんのデータで試してみていただきたいですね。

すでに機械学習で不正検知しているのかなと思ってました。
最近、DMM株を始めたので、利用者側としても不正アクセスされないように気をつけます!

パネルディスカッション

「DMMセキュリティ対応現場のリアル」

セキュリティの投資についての考え方などを現場の目線で語っていただきました。
セキュリティ投資って、想定レベルの損失とのトレードオフでもないし、そして発生した損失の再発生とのトレードオフでもないですよね。
サービス利用者からの目線だと、やるべきセキュリティを実装していることもサービスの一部だと思うのですね。
いかに安心を提供いただけるかだと思います。
だからといって利用者が脆弱でいいというわけではないですよね。
なので、自分のアカウントは自分で守るべきですが、守るための選択肢や提案をサービス提供いただけることを望みます。

貴重なお話ありがとうございました!


最後までお読みいただきましてありがとうございました!

【PR】 「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】 「AWSではじめるLinux入門ガイド」という本を書きました。

i

【PR】 「ポケットスタディ AWS認定 デベロッパーアソシエイト」という本を書きました。

 - event, study

ad

ad

  関連記事

「MasterCloud-Alexa makes the world a better place-」で登壇しました

クラウド全体を扱う勉強会MasterCloudのAlexaの会で登壇してきました …

DevLOVE関西 「サイボウズ開発の現場」に行ってきました

DevLOVE関西 「サイボウズ開発の現場」に行ってきました 所感 「KAIZE …

第四回 八子クラウド座談会in関西 「メーカーとITが急接近!?IoTってどないやねん!?」に参加しました

第四回 八子クラウド座談会in関西 「メーカーとITが急接近!?IoTってどない …

「【Twilio x kintone 合同ハンズオン in 大阪】Twilio Studioとkintoneで電話受付システムをつくろう」に行ってきました

「【Twilio x kintone 合同ハンズオン in 大阪】Twilio …

「大阪Pythonユーザの集まり」に行ってきました

「大阪Pythonユーザの集まり」 に行ってきました。 あんまりメモ取れてません …

「kintone Café 大阪 Vol.14 〜モザイクなし!うちのkintoneはこれだ!〜」で登壇しました

「kintone Café 大阪 Vol.14 〜モザイクなし!うちのkinto …

Developers Summit 2018 「AWSのフルマネージドな環境でCI/CDをやってみよう!AWS Cloud9からAWS Fargateへの継続的デプロイをご紹介」を聞きました

※写真は展示のAmazon Echoです。 以下は、思ったことや気になったことを …

「JAWS-UG Osaka AWSデビューするなら大阪から!大阪リージョン触ろうの会」に参加しました

3/2に大阪リージョンがオープンしたことを受けて、大阪リージョンでサーバーレスア …

「JP_Stipes Osaka meetup vol.1」を運営させていただきました

Stripeのユーザーグループ、JP_Stripesの大阪ミートアップの運営をさ …

YouTubeチャンネル「ヤマムギ」をはじめました

YouTubeチャンネル「ヤマムギ」をはじめました。 2021年GWチャレンジと …