プロダクトオーナー(PO)にこそ「情報セキュリティマネジメント試験」を受けて欲しいと切実に願う理由
情報セキュリティマネジメントの当事者になってしまったTNKです。 最近他社事例ではありますが、アジャイルな開発手法においてセキュリティが軽視されているのではないかと感じるような事象を目にすることがあり、他人事ではないなと思い立ったので、TechBlogを書いてみました。 昨今、市場の変化に俊敏に対応するために、アジャイルな開発手法を取り入れる企業が増えているそうです。 弊社も例に漏れず、スクラ
セキュリティ
WebAuthnのやさしい解説!安全にパスワードレス認証ができる仕組みとは?
オンライン上のサービスを利用する時、皆さんはどの様に自分のアカウントにログインしていますか? 恐らく多くの場合、IDとパスワードでログインしていることが多いのではないかと思います。 パスワードの流出による個人情報の漏洩などの被害は後を絶ちません。 今回紹介するWebAuthn(Web Authentication API) は、Web上でのより安全な認証可能にしてくれます。 この記事では、We
2020.7.17
CookieのSameSite=Laxデフォルト化 アクセスログで影響調査
2月4日リリース予定のChrome80からCookieのSameSite属性が明示されていない場合の挙動がLaxに変更される予定です。 Cookieは至るとこで使用されており、影響範囲の特定に苦労されている方も多いのではないでしょうか? 一方でChromeにはFetch Metadataリクエストヘッダという機能が実装されています。 このヘッダはリクエストが生成されたページとのオリジン間の関係を
OSSなWAF、ModSecurityの導入①【インストール編】
ここ最近、弊社のサイトへサイバー攻撃と思わしき不審なアクセスが増えてきました。 大半はOSSな脆弱性検査ツールなどを悪用した、いわゆるスクリプトキディによるもののようです。 それらはあまり高度なものではなく、今のところは情報漏えいなど大きな被害はありませんが、このまま放置していてはいずれ致命的な脆弱性が発見されてしまわないとも限りません。 そこで弊社ではApacheのモジュールとしてOSSで公開