「DMM meetup #24 〜DMMのセキュリティ脅威への取り組み事例〜」に参加しました
内容が内容ですので、もちろん運営さんにブログを書いていいかの確認はしております。
(たいしたこと書いているわけではないのですが念のため)
目次
DMMに起こるセキュリティインシデントのリアル
〜事業部と一緒にサブドメインテイクオーバーに対処した話〜
細野 英朋さん
DNS側のCNAMEエントリがすでに使用していないクラウドサービスのサブドメインに設定したままになっていて、テイクオーバーされたとのこと。
幸いコンシューマー向けのサービスでもなければ、リリースしたことのあるサブドメインでもなかった。
DNSのCNAMEエントリを削除して対応。
サブドメインテイクオーバーは攻撃者に「非」がないってのは、そういわれるとそうですね。
使いたいサービスでDNSを使ったら、たまたまそうなってたってわけですもんね。
このあたりって、DNS管理次第なんですが、CNAMEは所有認証で使うこともあるので、削除していいのかどうか判断できずに棚卸しのときも見落としてしまうかもですよね。
不正利用を減らす為にやったこと
〜リスクの発見からシステム開発までの話〜
寺西 一平さん
昔の課題でなるほどと思ったのは、
「不正検出するためのデータを見るためには職人技が必要だった。」
「不正者の進化に追いつけなかった」
検知データを検出しやすくして、不正者を検出するルールを追加しやすくされた。
Amazon Fraud DetectorとかDMMさんのデータで試してみていただきたいですね。
すでに機械学習で不正検知しているのかなと思ってました。
最近、DMM株を始めたので、利用者側としても不正アクセスされないように気をつけます!
パネルディスカッション
「DMMセキュリティ対応現場のリアル」
セキュリティの投資についての考え方などを現場の目線で語っていただきました。
セキュリティ投資って、想定レベルの損失とのトレードオフでもないし、そして発生した損失の再発生とのトレードオフでもないですよね。
サービス利用者からの目線だと、やるべきセキュリティを実装していることもサービスの一部だと思うのですね。
いかに安心を提供いただけるかだと思います。
だからといって利用者が脆弱でいいというわけではないですよね。
なので、自分のアカウントは自分で守るべきですが、守るための選択肢や提案をサービス提供いただけることを望みます。
貴重なお話ありがとうございました!
最後までお読みいただきましてありがとうございました!
【PR】 「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。
【PR】 「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第2版」という本を書きました。
【PR】 「ポケットスタディ AWS認定 デベロッパーアソシエイト」という本を書きました。
【PR】 「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。
【PR】 「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。
このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。
また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。
ad
ad
関連記事
-
-
AlexaのSmart HomeをAWSで作る方法(Alexa Day 2019でのブログ)
以下は、気になったことのメモとか感想を書いています。 登壇者、発表者、主催企業な …
-
-
Oracle Java SE7 Silverを受験してみて
受験の目的 Goldの前提条件だから Gold資格を取得する目的は技術レベルを理 …
-
-
Java SE 7 Silver対策勉強をしながらメモ 2015/2/4
本日は継承をどっぷりと。 一気に詰め込んで正解だったかも。 いつものごとくマーク …
-
-
ひと味違った南国の熱量を感じた高知の午後 ~「コミュニティリーダーズサミット in 高知 2018」に行ってきました~
「コミュニティリーダーズサミット in 高知 2018」という、イカしたイベント …
-
-
交通情報系スキルを事例に見る日常生活に溶け込むスキルのテクニック(Alexa Day 2019でのブログ)
以下は、気になったことのメモとか感想を書いています。 登壇者、発表者、主催企業な …
-
-
Salesforce WorldTour Tokyo 2018で、つながる世界の熱気を感じた
去年はたしか芝公園の方だったかと思いますが、今年はビッグサイトです。 数千人レベ …
-
-
「Amazon SageMaker|機械学習エンジニア向けセッション+体験ハンズオン」に行ってきました
残念ながらハンズオンまではいれませんでしたが、前半のSageMakerの解説を聞 …
-
-
ヤマムギvol.21 AWSのAPIリクエストに署名を追加するデモをしました
ゴールデンウィーク10日連続朝30分のデモチャレンジもいよいよ9日目です。 平日 …
-
-
「JP_Stripes in Osaka Vol.2」でハンズオンをやりました
JP_Stripes大阪、早くも2回目の開催です。 自分が使ってみたいという目的 …
-
-
実録 JAWS DAYS 2017 ~RoadTrip,スタッフ,ハンズオンメンターで参加しまして~
今年もJAWS DAYSにいってまいりました。 RoadTripの話 去年に引き …