はじめに こんにちは、クラウドエース SRE 部に所属している\textcolor{red}{赤髪}がトレードマークの Shanks です。 みなさんは Google Cloud のセキュリティオペレーション統合サービスである Security Command Center （以下、SCC）を利用していますか？ 今日はその中でも「Web Security Scanner」について深堀りしていきます。 Web Security Scanner とは WSS 概要 Web Security Scanner（以

こんにちは。 ワンキャリアでセキュリティエンジニアをしている蟹と申します。 本稿は、先日下記のイベントで、セキュリティ組織についてのフレームワーク「OWASP SAMM」についてお話しした内容を記事化したものです。

みなさん、こんにちは！myTOKYOGAS フロントエンドチームに所属しております相川と申します。2024年4月16日〜17日に「 DevOpsDays Tokyo 2024 」が開催されました。テッ クリード の中島がスピーカーとして登壇するため、ぜひ応援に行かせて欲しいと立候補し無事許可をいただいたので参加してきました！業務調整してくださったチームの皆様本当にありがとうございます！ はじめに DevOpsDaysとは DevOpsのグローバルトレンド 自動生成を活用した、運用保守コストを抑える Err

大規模言語モデル (LLM) を中心に構成された生成 AI (人工知能) アプリケーションは、ビジネスに経済的価値を生み出し、さらに加速する可能性を示してきました。アプリケーションの例には、 会話型検索 、 カスタマーサポートエージェントアシスト 、 カスタマーサポート分析 、 セルフサービス仮想アシスタント 、 チャットボット 、 リッチメディア生成 、 コンテンツモデレーション 、 セキュアで高パフォーマンスなソフトウェア開発を加速するコーディングコンパニオン 、 マルチモーダルコンテンツソースからの

はじめに

はじめに SAP Enterprise Portal (EP) などの SAP Java アプリケーションでは、HTTP(s) 要求のエントリポイントとして SAP Web ディスパッチャを使用します。SAP Web ディスパッチャは、インターネットまたはイントラネットからの要求を受信し、アプリケーションサーバー間で要求を分散します。インターネットベースの HTTP(s) リクエストの場合、SAP Web Dispatcher はインターネットにアクセスできる必要があるため、パブリックサブネットにインスト

2022 年 11 月に ChatGPT がリリースされて以来、インターネット上ではその話題で持ちきりでした。それ以降、小売業者は主に 2 つの質問を投げかけてきました： ChatGPT とは何ですか、そしてそれは私のビジネスにどのような影響を与えますか。ハイレベルに保ちつつも、この 2 つの質問について掘り下げ、この行き過ぎた騒ぎを理解できるかどうか確認してみましょう。 生成系AIとは？ ほとんどの人々は ChatGPT を耳にして、生成系 AI (Generative AI, GenAI) について知

こんにちは。QAエンジニアのTWです。 普段はソフトウェアのシステムテストを行っています。脆弱性診断について業務で触れる機会があり、脆弱性診断に興味を持ちました。この記事では自分で勉強した内容を共有したいと思います。簡単な内容ですが参考になればと思います。 ※本記事の内容は以下の書籍を参考にしています Webセキュリティ担当者のための脆弱性診断スタートガイド (第2版) 脆弱性診断とは 脆弱性とはプログラムの中に作りこまれたバグのなかでデータを書き換えたり、盗み取られることによって悪用されてしまうバグを指

こんにちは、クラウドエース SRE ディビジョンの松島です。 今回は Cloud Armor の事前構成 WAF ルールの機能紹介と、実際にサービスに適用する際のルールの調整に関する記事を投稿します。 Cloud Armorとは Cloud Armor は Google Cloud が提供するマネージド WAF です。 保護ルールをセキュリティポリシーとして定義し、ロードバランサの背後のアプリケーションに紐づけることで DDoS や XSS などの各種攻撃から Web アプリケーションを保護することができ

自己紹介 KINTOテクノロジーズにてCIO室セキュリティチームのチームリーダーを担当している森野です。 趣味は子ども時代を過ごした埼玉県大宮市（現さいたま市）のサッカーチームである大宮アルディージャの応援です。 本記事では脆弱性診断の主担当者であるヘビーメタル大好き中辻さんと共に私たちの脆弱性診断の取り組みについて紹介させて頂きます。 脆弱性とは 脆弱性とは何でしょうか。 脆弱性とはソフトウエアのバグ（欠陥、不具合）の内、情報セキュリティのCIAを損なうものを指します。 CIAは下記3つの単語の頭文字を

この記事は、 NTT Communications Advent Calendar 2022 1日目の記事です。 はじめに こんにちは。イノベーションセンターテクノロジー部門の西野と申します。 「Metemcyber」プロジェクトで、脅威インテリジェンスの運用や活用に関する研究開発をしています。 今回の記事では、SBOMを利用した脆弱性管理の取り組みについてご紹介します。 実は NTT Communications Advent Calendar に6年連続で寄稿しているので、そろそろ名前を覚えてあげてく

こんにちは。宿泊プロダクト開発部 UI開発チーム エンジニアの香西です。 半年ほど前に、一休.comとヤフートラベルで、クチコミ画像の投稿機能をリリースしました。 一休.comとヤフートラベルでは、ユーザーに画像をアップロードしてもらう機能の実装は前例が無かったため、試行錯誤しながらの開発となりました。 今回はその時の開発についてお話したいと思います。 背景 全体像 フロントエンドの実装 GraphQL のリクエスト送信 どのタイミングで画像をアップロードするか アップロード進捗状況を表示したい バックエ

はじめまして。セキュリティエンジニアの奥野（@okuken3）です。 弊社では2018年12月にプロダクトセキュリティチームを立ち上げ、脆弱性診断の一部内製化を中心とした各種セキュリティ施策に取り組んでいます。 本ブログ上でも、プロダクトセキュリティチームの取り組みについて定期的に発信していきますので、お楽しみいただければと思います！ なお、弊社におけるプロダクトセキュリティチームとは、「ウエディングパーク」をはじめとする弊社が開発運営しているWebサービス群のセキュリティを推進するチームになります。 で

はじめに 開発エンジニアのamdaba_sk（ ペンネ ーム未定）です。前回は「 ソフトウェアテストについて簡単にまとめてみた 」という記事を書きましたが、その流れで今回はセキュリティテストツール「OWASP ZAP」について少し調べてみました。 ※以下は個人的にネットで調べてみた情報をまとめたものであり、実際に開発過程で運用するなどしたものではありません。また日本語サイトを中心に調べているため、機能等の情報は古い可能性があります。 セキュリティテスト 昨今は個人情報の漏えいや顧客情報流出などのニュースを

こんにちは。システム本部の山田です。 (この記事は mediba Advent Calendar 2016 の19日目です) 弊社では機械的に実施する脆弱性診断はOWASP ZAPを利用しており、アプリを立ち上げGUIから脆弱性診断を実施しています。ただ継続的に実施していくには面倒でつい後回しになるため、自動化して開発プロセスに組み込む検討を始めました。 調査の際に作ったOWASP ZAP APIを使ったサンプルの紹介をします。 サンプルコード こちら 利用技術 Docker OWASP ZAP php-