「DMM meetup #24 〜DMMのセキュリティ脅威への取り組み事例〜」に参加しました
内容が内容ですので、もちろん運営さんにブログを書いていいかの確認はしております。
(たいしたこと書いているわけではないのですが念のため)
目次
DMMに起こるセキュリティインシデントのリアル
〜事業部と一緒にサブドメインテイクオーバーに対処した話〜
細野 英朋さん
DNS側のCNAMEエントリがすでに使用していないクラウドサービスのサブドメインに設定したままになっていて、テイクオーバーされたとのこと。
幸いコンシューマー向けのサービスでもなければ、リリースしたことのあるサブドメインでもなかった。
DNSのCNAMEエントリを削除して対応。
サブドメインテイクオーバーは攻撃者に「非」がないってのは、そういわれるとそうですね。
使いたいサービスでDNSを使ったら、たまたまそうなってたってわけですもんね。
このあたりって、DNS管理次第なんですが、CNAMEは所有認証で使うこともあるので、削除していいのかどうか判断できずに棚卸しのときも見落としてしまうかもですよね。
不正利用を減らす為にやったこと
〜リスクの発見からシステム開発までの話〜
寺西 一平さん
昔の課題でなるほどと思ったのは、
「不正検出するためのデータを見るためには職人技が必要だった。」
「不正者の進化に追いつけなかった」
検知データを検出しやすくして、不正者を検出するルールを追加しやすくされた。
Amazon Fraud DetectorとかDMMさんのデータで試してみていただきたいですね。
すでに機械学習で不正検知しているのかなと思ってました。
最近、DMM株を始めたので、利用者側としても不正アクセスされないように気をつけます!
パネルディスカッション
「DMMセキュリティ対応現場のリアル」
セキュリティの投資についての考え方などを現場の目線で語っていただきました。
セキュリティ投資って、想定レベルの損失とのトレードオフでもないし、そして発生した損失の再発生とのトレードオフでもないですよね。
サービス利用者からの目線だと、やるべきセキュリティを実装していることもサービスの一部だと思うのですね。
いかに安心を提供いただけるかだと思います。
だからといって利用者が脆弱でいいというわけではないですよね。
なので、自分のアカウントは自分で守るべきですが、守るための選択肢や提案をサービス提供いただけることを望みます。
貴重なお話ありがとうございました!
最後までお読みいただきましてありがとうございました!
「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。
「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。
「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。
「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。
「AWSではじめるLinux入門ガイド」という本を書きました。
開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。
このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。
また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。
ad
ad
関連記事
-
ヤマムギvol.19 EC2のLinuxでファイル操作(S3, EFS)のデモをしました
ゴールデンウィーク10日連続朝30分のデモチャレンジ7日目でした。 ご参加いただ …
-
Alexa Day 2018で「kokexaの話」を聞いてきました
スピーカーはサバワ坂本さん これは、私、山下の勝手な印象とか思い込みですが、坂本 …
-
「四国クラウドお遍路 2021 -コロナ後の地方創生-」に参加しました
徳島サテライト会場 今年の四国クラウドお遍路 2021 -コロナ後の地方創生-は …
-
「MasterCloud第10回 ~超AWS神回の予感~」に行ってきました
JAWS DAYS 2018のコミュニテイフレンドシップにも参加しているMast …
-
「IoTの法律勉強会 第1回」に行ってきました
「IoTの法律勉強会 第1回」に行ってきました。 「関西のIoTを盛り上げよう」 …
-
Developers Summit 2018 「事例2本立て!Redmineユーザ達が語る現場定着化への取組みと導入アンチパターン」を聞きました
以下は、思ったことや気になったことをメモしていますので、必ずしも登壇者の発表内容 …
-
「Kubernetes(k8s)導入とその後」を聞きにCTO Meetupというイベントに来ました
CTOではないのですが、参加者要項に「Kubernetesを知りたいエンジニア」 …
-
「JAWS DAYSに行きたくても行けなかった人に捧ぐ!AWSユーザーが教えてくれるAWSにまつわる最新事情」で運営と発表をしました
JAWS DAYS 2017のre:Capを大阪で開催しました。 JAWS DA …
-
「CLS高知2023戻り鰹編」に参加しました
12回目のCLS高知、2023戻り鰹編に参加しました。 高知駅付近から弁天座へ自 …
-
Alexa Day 2018で「How do we connect VUI to the real services using serverless」を聞きました
photo by Atsushi Ando Serverless for VUI …