ヤマムギ

growing hard days.

*

「DMM meetup #24 〜DMMのセキュリティ脅威への取り組み事例〜」に参加しました

   

内容が内容ですので、もちろん運営さんにブログを書いていいかの確認はしております。
(たいしたこと書いているわけではないのですが念のため)

DMMに起こるセキュリティインシデントのリアル

〜事業部と一緒にサブドメインテイクオーバーに対処した話〜
細野 英朋さん

DNS側のCNAMEエントリがすでに使用していないクラウドサービスのサブドメインに設定したままになっていて、テイクオーバーされたとのこと。
幸いコンシューマー向けのサービスでもなければ、リリースしたことのあるサブドメインでもなかった。
DNSのCNAMEエントリを削除して対応。

サブドメインテイクオーバーは攻撃者に「非」がないってのは、そういわれるとそうですね。
使いたいサービスでDNSを使ったら、たまたまそうなってたってわけですもんね。

このあたりって、DNS管理次第なんですが、CNAMEは所有認証で使うこともあるので、削除していいのかどうか判断できずに棚卸しのときも見落としてしまうかもですよね。

不正利用を減らす為にやったこと

〜リスクの発見からシステム開発までの話〜
寺西 一平さん

昔の課題でなるほどと思ったのは、
「不正検出するためのデータを見るためには職人技が必要だった。」
「不正者の進化に追いつけなかった」

検知データを検出しやすくして、不正者を検出するルールを追加しやすくされた。

Amazon Fraud DetectorとかDMMさんのデータで試してみていただきたいですね。

すでに機械学習で不正検知しているのかなと思ってました。
最近、DMM株を始めたので、利用者側としても不正アクセスされないように気をつけます!

パネルディスカッション

「DMMセキュリティ対応現場のリアル」

セキュリティの投資についての考え方などを現場の目線で語っていただきました。
セキュリティ投資って、想定レベルの損失とのトレードオフでもないし、そして発生した損失の再発生とのトレードオフでもないですよね。
サービス利用者からの目線だと、やるべきセキュリティを実装していることもサービスの一部だと思うのですね。
いかに安心を提供いただけるかだと思います。
だからといって利用者が脆弱でいいというわけではないですよね。
なので、自分のアカウントは自分で守るべきですが、守るための選択肢や提案をサービス提供いただけることを望みます。

貴重なお話ありがとうございました!


最後までお読みいただきましてありがとうございました!

「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。

「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

 - event, study

ad

ad

  関連記事

トラックボールユーザー集合!確実に何かが始まった日。

Logcool社のトラックボールマウス M570や他のトラックボールマウスを愛用 …

Developers Summit 2024「AWS CDK×サーバレスアーキテクチャを極める」を見ました

株式会社Works Human Intelligence Product Div …

「JAWS-UG 初心者支部#35 LT大会!!」に参加しました。

オンライン開催でした〜 AWS AthenaとFluentdでログ集約基盤構築 …

JAWS-UG 関西IoT専門支部「マクニカkibo + AWS IoTハンズオン」に行ってきました、というか運営メンバーとして参加してきました

2015/12/19(土)はJAWS-UG 関西IoT専門支部の記念すべき1回目 …

「Rによる機械学習」に参加しました

異業種データサイエンス研究会を主宰されている井伊さんが開催された「Rによる機械学 …

「JBUG広島#7 × Agile Japan」に参加しました

JBUG広島さんとAgile Japanさんの合同勉強会に参加しました。 きっと …

TwilioJP-UG大阪 第二回 勉強会「Report SIGNAL2016」に行ってきました

TwilioJP-UG大阪 第二回 勉強会「Report SIGNAL2016」 …

Java SE 7 Gold対策勉強をしながらメモ 2015/9/1

さて、9/26の試験を目指して久しぶりに試験勉強を始めます。 今月は非常に忙しい …

「はじめての Amazon Lookout for Vision ハンズオン」に参加しました

Amazon Lookout for Visionのハンズオンに参加しました。 …

『JAWS-UG 名古屋 セキュリティ勉強会』に参加しました

初心者向けAWSの守り方 JAWS-UG名古屋 森さん 初心者向けということで、 …