★セキュリティ製品には得意分野がある!~ Deep Security<中級編①> ~
Deep Securityの得意分野はどこ? こんにちは。ISAOセキュリティプロジェクトの岩切です。 4回目です。今回から中級編になります。 中級編では、Deep Securityの設定方法について説明していくつもりです。 その前にちょっとだけ概念的なお話をします。 Deep Securityは分類すると、「IDS/IPS」と呼ばれる製品です。 「IDS/IPSって何?」と思われる方が多いと思います。 下の図をご覧ください。 まずは右端の3つの箱をご覧ください。 Webサービスを構成する環境は、大きく3つの層に分けられます。 Webアプリケーション層 PHPやJavaなどでつくられたプログラムが置かれている階層です。 DBやファイルのデータ、ランタイムライブラリもここに入ります。 原則、OSやミドルウェアがないと動きません。 これらをつくるのは開発会社や社内の開発部門の人達です。 プログラマーにはベテランもいればビギナーもいるので、そのつくりは千差万別になります。 そのため攻撃の数が最も多いのがこの層だと言えます。 OS/ミドルウェア層 OSというのは、LinuxやWindowsのことですね。 ミドルウェアは、DB(MySQLなど)やプログラム言語(PHPなど)といった、アプリケーションを動かすためのソフトウェアのことです。 これらをつくるのは大手ベンダーや有志の集まりだったりします。 高度な専門スキルを持ったエンジニアがつくっているのでセキュリティは大丈夫! ・・・と思われがちですが、OSもミドルウェアもメジャーなソフトウェアなので、技術力の高い攻撃者が狙ってきます(いわゆる、OSやミドルウェアの脆弱性を突いた攻撃です)。 また、マルウェアを置かれるのもこの層です。 ネットワーク層 ネットワーク機器を使って、ポートやプロトコルを管理している層です。 ファイアウォールやネットワークグループを適切に設定することで、セキュリティを担保します。 この層のセキュリティ対策は他の層と比べると、定型化(※)されていると思います。 ※ポートやIPアドレスの制限など、やることが決まっています。 次に左端の矢印をご覧ください。これがサイバー攻撃の種類です。 サイバー攻撃はそれぞれの層を狙い撃ちにしてくるので、大きく分けると、 Webアプリケーション層を狙った攻撃 OS/ミドルウェア層を狙った攻撃 ネットワーク層を狙った攻撃 の3つに分類されます。 そして、それぞれの攻撃を防御するセキュリティ製品も大きく3つに分類されます。 (真ん中の3つに色分けされた箱の絵をご覧ください) Web Application Firewall(以下、WAF) 主に、Webアプリケーション層を守ります。 Intrusion Detection System/Intrusion Prevention System(以下、IDS/IPS) 主に、OS/ミドルウェア層を守ります。...★未知の脅威は防げない!?〜 Deep Security<初級編③> 〜
6つのルールで、未知の脅威へ立ち向かおう! こんにちは。 セキュリティプロジェクトの岩切です。今回は3回目です。 前回のおさらいですが、マルウェア対策だけでは未知の脅威は防げません。 そのために色々な視点からサーバーをチェックする必要があります。 セキュリティは健康管理に似ています。 繰り返しになりますが、サーバーを人に例えると、セキュリティの確保は健康管理に似ています。 普通の人なら病気か否かの判断は、熱があるか?咳やくしゃみが出るか?くらいですが、お医者さんならそれに加えて、目や口の中をチェックしたり、聴診器をあてたり、血圧を測ったりします。 なるべく多くの視点で多くの箇所をチェックした方が病気は発見しやすいからです。 セキュリティもこれと同じです。 Deep Securityはマルウェア対策だけでなく、以下の6つの視点でサーバーをチェックします。 Webレピュテーション 侵入防御 不正プログラム対策 変更監視 セキュリティログ監視 ファイアウォール 前回は侵入防御までを説明しましたので、今回は不正プログラム対策からです。 不正プログラム対策 マルウェア対策です。PCで言うところのアンチウィルス機能です。 Deep Securityを入れていて、この設定を有効にしていないサーバーはほとんどないと思います。 リアルタイムでも検知しますし、スケジュールを組んでスキャンすることもできます。 発見したマルウェアは原則削除される設定にするので、このルールは「防御(駆除)を行うルール」と言いたいのですが、発見したマルウェアを放置する設定にもできるので、厳密には「検知か防御かを選べるルール」とも言えます。 変更監視 あくまで私見ですが、このルールがDeep Securityの一番の鬼門です。 鬼門と言うには大げさですが、「ここを真剣にチェックしだすと大変なので、できれば触れたくない」という意味で使いました。 これは、「ファイル、フォルダ、レジストリなどを定点観測し、変更がないかをチェックする」ルールです。 例えばファイルで言うと、ファイルの作成/更新/削除だけでなく、所有者や権限が変わったことも検知します。 変更を監視するタイミングは、LinuxとWindowsで異なります。 Linux系サーバーだと、スケジュールによる定刻での監視しかできませんが、Windowsサーバーは、それに加えてリアルタイムでも監視してくれます。 また、このルールは変更を通知するだけなので、「検知だけを行うルール」に分類されます。 さて、これがなぜ鬼門なのかと言いますと・・・このルールを有効にすると膨大なアラートが上がるからです。 例えばLinux系サーバーの場合、このルールのデフォルト設定では「/var/log/」配下の変更を監視するので、膨大な変更が検知されアラートが上がります。 これをひとつひとつチェックするとなると大変な作業ですね。 そんな訳で、このルールを無効にしていたり、アラートが上がっても無視しているユーザーさんが多くいらっしゃると思います。 しかしこの変換監視ルールは結構重要です! ひょっとすると、最も未知の脅威を発見できるルールかもしれません。 実際に経験したことなのですが、変更監視の結果、あるphpプログラムが「新規作成」で検出されました。 おそらく開発者が新規に作成したプログラムと思いましたが、報告すると誰も知らないプログラムであることが分かり、プログラムのソースを解析したところC&Cサーバと通信するロジックが見つかりました。 バックドア系のマルウェアだったのです。 もちろん、不正プログラム対策は有効にしていましたが、検知はされませんでした・・・ この話を聞くと変更監視の大切はご理解いただけると思いますが、それでも「毎日何十件もアラートが上がっては・・・」とお思いになるでしょう。安心してください(古っ)。回避策はあります。 除外ルールをつくればいいのです。 Deep Securityでは、「このフォルダは変更監視のチェックをしなくてよい」という除外ルールの設定ができます。 どのフォルダを除外するかは悩みどころですが、日々の運用の中で判断していくしかありません。 適切に除外ルールを入れていくと変更監視が精査され、感度のいい(無駄のない)アラートが出るようになります。 除外ルールの設定には少々手こずるかもしれませんが、是非ともこの変更監視ルールは活用していただきたいところです。...★マルウェア対策だけでは防げない! 〜 Deep Security<初級編②> 〜
マルウェア対策は、既知の脅威への対策です。 こんにちは。 セキュリティプロジェクトの岩切です。今回は2回目です。 前回、「マルウェア対策だけではサーバーは守れない」というお話をしましたが、分かりやすく言うとマルウェア対策というのは、「既知の脅威」への対策です。 本当に怖いのは「未知の脅威」 未知の脅威・・・つまり新種のマルウェアには対応できない可能性があります。 新種のマルウェアの確認には時間がかかるので、確認された頃にはもう感染していて大きな被害が出ているかもしれません。 サーバーセキュリティは、健康管理と同じ。 サーバーを人間に例えると、セキュリティの維持は健康を維持すること、つまり健康管理に似ています。 健康管理の基本は日々の体調の変化を観測することです。 そして病気の予兆を見つけたら、病院に行ったり薬を飲んだりして早めに対処します。 それと同じように、サーバーもセキュリティの観点からしっかり観測(監視と検知)し、おかしいと気づいたら早めに対処(防御もしくは駆除)することが必要です。 Deep Securityは6つのルールで検知/防御します。 6つのルールというのは、前回も触れましたが以下の機能のことです。 Webレピュテーション 侵入防御 不正プログラム対策 変更監視 セキュリティログ監視 ファイアウォール そしてこれら6つのルールは、大きく3つに分類されます。 検知だけを行うルール 防御(駆除)を行うルール 検知か防御かを選べるルール それでは各ルールを見ていきましょう。 Webレピュテーション 「レピュテーション」は評判という意味です。評判の悪い(悪意に満ちたWebサイト)へのアクセスを遮断します。 フィッシングサイトへの誘導を遮断する機能と考えてください。 サイトが改ざんされて、悪意に満ちたサイトへのリンクが貼ってあったり、リダイレクトが仕組まれていたとします。 もし改ざんされたタイミングでこの異変に気づかなくても、リンク先にアクセスしようとしたタイミングで防いでくれます。 このWebレピュテーションは「防御を行うルール」です。 つまりこれを有効にすると、トレンドマイクロが認定した悪意のあるサイトへのアクセスができなくなります(※)。 ※アクセス制御のレベルを調整することはできます。 侵入防御 「不正プログラム対策」と並んで、Deep Securityで最も利用されているルールだと思います。 大きく分類すると、以下の2つの機能があります。 仮想パッチ パラメータ改ざんチェック 仮想パッチ OS/ミドルウェア/ソフトウェアに脆弱性が発見された場合、本来であれば直ちに対策用のパッチを当てなければなりません。 但し、パッチは脆弱性のあるOS/ミドルウェア/ソフトウェアに直接当てられるため、仕様変更が発生し、これらの環境上で動いていたアプリケーションが今までどおりに動作しなくなる可能性があります。 このため、脆弱性が発見されてもすぐにパッチを当てられません。 そこで、この仮想パッチを使います。 脆弱性が発見されると、対策用の仮想パッチがリリースされ、脆弱性をフィルタリングしてくれます。 OS/ミドルウェア/ソフトウェアのバージョンはそのままに、脆弱性に蓋をしてくれるのです。 また、対策用パッチが存在しない脆弱性に対しても仮想パッチがリリースされることがありますので、ゼロディ攻撃にも有効です。 但し、これは正式パッチ適用後の「アプリケーションの動作チェック」が完了するまでの一時的な処置ですので、最終的には正式なパッチを必ず当てるようにしてください。 パラメータ改ざんチェック かんたんに言うと、GET/POSTパラメータを改ざんする攻撃です。 GETなら、URLに記載されたパラメータをOSコマンドやSQLコマンドやJavaScriptに書き換え、データベースやOSファイルにアクセスして情報を引き出します。 クロスサイトスクリプティング、SQLインジェクションが有名ですね。 パラメータ改ざんチェックは、「Web Application Firewall(以下、WAF)」というセキュリティ製品が得意とする分野です。 Deep SecurityはWAFほど強力ではありませんが、この機能を備えています。...★サーバーは狙われています!〜 Deep Security<初級編①> 〜
PCには入れてるのに、サーバーにはなぜ入れないの? こんにちは。 ISAOセキュリティプロジェクトの岩切です。 セキュリティの仕事をしていると、セキュリティ製品を入れていないサーバーが多いことに気づきます。 PCにはセキュリティ製品を必ず入れるのに、サーバーにはなぜ入れないのでしょう? 推測ですが、「値段が高い」「設定がムズい」と思われているからではないでしょうか。 確かに値段の高い製品もありますが、これからご紹介するDeep Securityは比較的安価で、かんたんに導入できるセキュリティ製品です。 Deep Securityはトレンドマイクロ社が提供しているインストール型(ホスト型)の製品です。 よく「ウィルスバスターと何が違うの?」と聞かれますが、Deep Securityはウィルスバスターとは似て非なるものです。 ご存知の方も多いと思いますが、ウィルスバスターは同じトレンドマイクロ社製のウィルス対策ソフト(ウィルスを見つけて駆除してくれるソフト)です。 Deep Securityにもウィルスバスターと同じ機能がありますが、この他にも色々な機能を持っています。 大きく分類すると、以下の6つの機能を備えています。 Webレピュテーション 侵入防御 不正プログラム対策 変更監視 セキュリティログ監視 ファイアウォール この中の「不正プログラム対策」というのが、ウィルスバスターと同じ機能です。 (業界的には、ウィルスをマルウェアと呼ぶことが多いので、「マルウェア対策」とも呼ばれます。) マルウェア対策以外の機能って何でしょう? その前に、なぜマルウェア対策だけではダメなのか、かんたんに説明します。 マルウェア対策で見つかる脅威はごく一部! あまり知られていませんが、「マルウェア対策」で見つかるマルウェア(ウィルス)は全体の5〜6割と言われます(諸説あります)。 つまり、検知できずにコンピューターに潜んでいるマルウェアが4割程度いるということです。 どうしてそんなにいるんでしょう・・・? マルウェアを検知するロジック(パターンファイル)は日進月歩していますが、新しいマルウェアがどんどんつくられるので、見つける方が追いつかないのです。 マルウェアだけがサイバー攻撃ではない! サーバーへマルウェアを送り込まれるケースは、サイバー攻撃全体で見るとほんの一部です。 インターネットで公開されているWebサーバなどは、むしろそれ以外の攻撃を受けていることの方が多いのです。 様々なサイバー攻撃からサーバーを守る。 それがDeep Securityです。 それではマルウェア以外にどんなサイバー攻撃があって、Deep Securityはどのように守ってくれるのか? 次回、説明させていただきます。 つづく・・・ Deep Securityの設定・運用なら、くらまね!...BIG-IP始めました!
くらまねプロジェクトの湯川です。 BIG-IP始めました! ISAOはF5ネットワークスジャパン合同会社のクラウドパートナー兼SOCパートナーとなり、同社BIG-IPのパブリッククラウドへの導入と運用を行う『BIG-IP by くらまね』をリリースしました。 ちなみに、クラウドパートナー兼SOCパートナーは日本唯一です! もちろん、事例もあります! 共同プレスリリースは下記のURLから。 F5ネットワークスジャパン合同会社 https://f5.com/jp/about-us/news/press-releases/161215-press-release ISAO https://www.colorkrew.com/media/news/2016121501/ BIG-IP by くらまね 『BIG-IP by くらまね』では、クラウド環境下にBIG-IP製品を導入し、BIG-IP LTM・BIG-IP APM・BIG-IP ASMの初期設定・運用開始までの誤検知の確認、適用するシグネチャの精査などのチューニングを行います。 さらに、BIG-IP ASMにおいては、ISAOがセキュリティオペレーションセンター(SOC)を運営し、導入支援・サポート・運用・監視までを一貫して行うWebアプリケーションの保護に特化した運用サービスも利用可能です。 エンタープライズで必要とされるセキュアで可用性の高いクラウドプラットフォームの構築および運用をご希望の方はお気軽にお問い合わせください。 近日セミナーも開催予定です!...MeetUpを開催しました!「Web APIの現場あるある解決特集〜こうして僕たちのAPIは使いやすくなった〜」
こんにちは、Webエンジニアの吉田です。 先日11/30に弊社にて第7回目のMeetupを開催しました。 その様子をご報告させていただきます。 イベントページはこちらのconnpassページにて 今回は私がメインスピーカーとして 「Web APIの現場あるある解決特集〜こうして僕たちのAPIは使いやすくなった〜」 のテーマで発表いたしました。 内容 今まで様々な現場の開発で利用してきた良い/悪いWebAPIと、それらを改善した知見をケーススタディ形式でデモを交えてお話ししました。 懇親会の様子 今回も多彩な領域のエンジニアの方々とお話しでき、有意義な交流会となりました。 当日は、遠いところ足を運んでいただいた参加者の皆様、本当にありがとうございました。 次回Meetupは来年1月開催予定なので、今回参加できなかった方も是非遊びに来てください。 おわりに 弊社は今後も社外へ向けた勉強会を引き続き開催していく予定です。 勉強会テーマについても、参加者の皆さんのご意見を反映して幅広いジャンルにしていくつもりです。 connpassのISAO Meetupグループに是非ご参加ください!! http://isao.connpass.com/ 最後になりますが、ISAOでは一緒にサービスを作ってくれるエンジニアを絶賛募集中です。 ご興味を持っていただけましたら、まずは気軽に弊社に遊びにいらしてください。 https://www.colorkrew.com/recruit/...AWS re:invent2016 Key Note --- Day1 ---
こんにちは。 インフラ担当の赤川です。 現地11/30はKey Note Day1でした。 本日発表された新しい情報を簡単に書いていきたいと思います。 コンピューティングサービス Light Sail サーバなど利用したことのない方向けのVPSサービス。 できるだけ簡単にインスタンスを起動できる。 データ通信量などを含めた月額定額で、使いたいサービス(wordpress)を選択することができる。 T2 瞬間的なCPUバーストを出すことができるインスタンスである T2インスタンスの新しいタイプが追加されました。 R4 R3の後継ファミリーとして、R4が発表されました。 最大搭載メモリは488GBとなります。 I3 I2の後継ファミリーとして、I3が発表されました。 C5 C4の後継ファミリーとして、C5が発表されました。 コンピューティングの集約型ワークロードに最適なタイプです。 Elastic GPUs EBSと同じ感覚で、既存のインスタンスに対してGPUをアタッチすることができるようになります。 3Dモデリングなど、幅広いグラフィックワークロードを実行したい場合に向いています。 F1 プログラマブルなハードウェアであるFPGAを利用可能なインスタンスファミリであるF1が発表されました。 自身でカスタムハードウェアアクセラレーションをプラグラム可能で、FPGAイメージを作成し、 ハードウェア上でカスタムロジックが動作する仕様となります。 DBに関するアップデート Amazon Athena EMRやElasticSearchを利用するのはちょっと高価すぎるという場合の分析サービスで、 簡単なクエリを投げて分析/解析することができます。 ANSI-SQLをサポートしているので、特殊なスキル不要。 今後、S3を中心としたデータレイクを構成していくことをオススメしていました。 Aurora PostgreSQL対応 2014年に発表されたAuroraがPostgreSQL互換対応版もリリースされます。 PostgreSQLでAuroraを利用したかったお客様には朗報ですね。 AI/ディープラーニング Amazonの商品おすすめ機能など、これまでもAmazonはAIを利用してきた。 Alexa&Echoなどの音声サービスに対するディープラーニング。 Amazon Rekognition ディープラーニングを利用した画像認識サービスとなります。 S3に格納した画像に対して解析を行い、状況、物体、顔情報に関するタグ情報を出力。 Amazon Polly テキストで省略した言葉(PPAP)なども解析し、省略している言葉も フル(PenPineappleApplePen)と発生してくれるサービス。...AWS re:invent2016 Key Note — Day2 —
こんばんは。 インフラ担当の赤川です。 本日も引き続きre:invent2016 Key Note 二日目の模様をお届けします。 Deploy AWS OpsWorks For Chef Automate Full ManagedなChef Serverとして、AWS OpsWorks For Chef Automateが発表されました。 OpsWorksのStackで操作し、バックアップやソフトウェアアップグレードまでManagedされ、 これまで運用の負荷となっていたChefサーバーの管理が容易になります。 Amazon EC2 Systems Manager EC2を管理するサービスとして、Amazon EC2 System Managerがリリースされました。 コマンド実行やインベントリ、Windows Serverに対するパッチ管理などが実現され、 運用の手助けになりそうです。 AWS Code Build コード管理のCode Commit、DeployのCode Deplyの足りないピースとして、 デプロイを請け負うAWS Code Buildが発表されました。 課金体系はビルドされてから処理が終わるまでの分単位課金となるようです。 DevOps AWS X-RAY アプリケーションモニタリングツールとして、AWS X-RAYが発表されました。 アプリケーションのどこがボトルネックになっているのか、レイテンシーなどを深掘りしてみること ができるようになり、アプリケーションの見える化を実現します。 Respond AWS Personal Health Dashboard AWS Personal Health Dashboardが発表されました。 これまで個別に通知されていた(インスタンスのメンテナンス通知等)が一元的に管理されます。 つまりアカウント自体で予定されているメンテナンス情報がパッとコンソール画面で確認することができるようになります。 パフォーマンスや可用性も確認可能とのことです。...AWS re:invent2016に来ています
AWS re:invent2016 Global Partner Summit はじめまして。 インフラ担当の赤川です。 LAS VEGASで開催されているAWSのユーザカンファレンスであるre:inventに来ています。 昨年は弊社からは1名の参加でしたが、今年は私を含むインフラメンバ3名で参加しております。 本日はグローバルパートナーサミットが開催されました。 パートナー企業に対するメッセージとして、次のメッセージが響きました。 (同時通訳で聞いていたので齟齬があるかもしれません。) フォーチューン100に入る企業の90%がAWSを利用、またパートナー企業が様々な形でサポート していることも見ればわかるように、顧客は専門的なAWSの知見がなく、それを実現してくれる パートナー企業を必要としている。 つまり顧客がわからないこと=パートナー企業にとっては最大のチャンスである。 こういった要望に応えられるプロフェッショナルな人材に投資する企業が勝ち残っていくと感じている。 これは本日発表された、Partner Solutions Finderなるサービスと紐づいた メッセージなのかと思っています。 Partner Solutions Finder https://aws.amazon.com/jp/partners/find/ 検索キーワードを元にパートナー企業を探すことができる検索サービス。 そして、検索結果からダイレクトにパートナー企業へ問い合わせることができるようです。 AWSのサービスを知り尽くし、最適なシステムを提供できる企業は検索候補として引っかかる可能性が 上がり、今まで以上に多くの仕事を受注できる可能性が広がる。 弊社はAdvanced Partnerとなっておりますが、これまで以上にサービスを提供できる幅を広げ、 精進していきたいと思います!! 余談ですが、今回の参加者特典はパーカーとecho dotでした。 明日以降もKey Noteを中心にレポートしたいと思います。...I went to Seattle.
プログラマーの古山です。 今回、弊社のスーパーAzureエンジニア原氏のおまけとして、レドモンドのマイクロソフト本社にお邪魔することができたので、その顛末をざっくりまとめてみます。 実のところ、私の初渡米でしたので、うっそーん、みたいな表現をあるかと思いますが、笑って許していただければ、と思います。いやほんと。 遠くへ行きたかったんだ。 僕が駆け出しのエンジニアだった頃、遥か海の向こうからやってきた肌の白い男はそう語った。 「どうして日本に来たんすか?」 「生まれたところから、とにかく遠くに行きたかったんだ。」 「どうして?」 「どうしてって、それが全てだ。君はそう思わないのか?」 なるほどと思った。 遠くへ行きたい。 遺伝子の運び手としての自分を顧みれば、確かにそれは本能に根ざした根源的な欲求なのかもしれない。 自らを構成する情報を遠くへ運び、あわよくば冗長化する。 そのために、遠くへ、ただ遠くへ行きたいと。 深く納得した僕は、自分をもっと遠くへ運びたいと、うっすらとそう思うようになった。 あれから長い時間が経ち、そして僕はまだ日本に居た。 あの遠くからやってきたエンジニアの故郷には、結局一度も足を踏み入れていない。 結局のところ、僕はそういう人間だった、ということなのだと思う。 +++ 今日も今日とて慣れ親しんだキーボードを叩き、バーチャルな意味で遠くへと逃避していた僕を、その日現実がゆさぶった。弊社のイケメン代表が、僕にこう語ったのだ。 「シアトルにいかないか?」 「!?」 そこからのやりとりはよく覚えていない。 ぼんやりとした意識の中で、妻に土下座しまくり、田舎から母を呼び子供の世話と頼み、仕事はただかなぐり捨てた、そんな覚えがあるだけだ。 チケットとパスポートを握りしめ、エコノミーシートに座り。 気がつけば、僕は生まれたところから8,000キロも離れた場所に立っていた。 ついに僕は彼の故郷に足を踏み入れたのだ。 イミグレで一人隔離され、同行者をひたすら心配させたことも、この地にたどり着けた事実に比べれば小さなことだ。 それにしても、まさか、まさかこんなに時間がかかるとは。 気がつけば配偶者がおり、子供に4人も恵まれ、このままこの場所で老いていくのだろう、そんな風にあの頃の情熱を忘れたふりをしていたこともあった。でもどうにかこうにかこの場所にたどり着いたのだ。 たとえそれが3日だけだとしても、僕の人生的には初めて月に降り立ったアームストロング船長並の出来事だった。 人類史上初より自分史上初。人間は主観という檻から抜け出すことはできない。 神様ありがとう。 +++ 僕のキャリアはゼネコン的SIerで始まった。 その大企業特有の技術は二の次で政治優先、体力優先な体質に嫌気がさし、OSSの自由な雰囲気に惹かれて、ただ電灯の明るさに蛾が惹かれるような機械的さで、ApacheやTomcat、JavaやLinuxの周りをフラフラしていた。 学ぶことは常に無限で尽きることはなかった。 政治はなく、ただ世界を前に進めようとする情熱だけがそこにあった。 正直言って、直接的な貢献はなにもできなかった。 ただ一度どこかの質問サイトで、Vmwareの上でVine Linuxを動作させようとしている人を助けたことが、その感謝の言葉が、僕にこの場所に居てもいいと、免罪符代わりになっていた気がする。 結局僕はスクリプトキディレベルの、そんなオタクだった。 そんな当時の僕にとっても、マイクロソフトは端的に言って敵だった。 だってこんなモノが出回るような会社なのだ。 ハロウィーン文書 http://cruel.org/freeware/halloween.html 今回の目的地は、その敵であるところの総本山、本社であるのだ。 オーマイガ。フォースよ、ともにあってくれ。 +++ 縦横無尽にシャトルバスと車が走り抜ける。一企業の敷地としては規格外すぎるそこが、マイクロソフトの本社だった。これをキャンパスと呼ぶ感性は僕にはない。学内に信号機がある大学なんて知らない。どう見たって街だろう、これは。 デフォルト色が灰色らしい空の下、Uber印のプリウスに乗って僕らはマイクロソフトの本社に吸い込まれた。...SXSW 2017への挑戦 〜公開選考会〜
公開選考会に参加しました 先日こちらのブログにて予告した、 経済産業省×ASCII STARTUP 日本発グローバル・ベンチャー公開選考会 に参加しました。 本日の選考を通過すると、SXSW 2017で、Trade Showでのブース出展ができます! 審査の流れ 10:00~12:00:クローズド審査会(主催:経済産業省、事務局:トーマツベンチャーサポート株式会社) 12:00~13:00:休憩(審査・予備時間) 13:00~18:00:一般来場者向けの展示会(主催・運営:株式会社KADOKAWA) 審査員による審査時間はわずか3分! 1分間のPitch(プレゼン)と、2分間のQ&A時間が与えられています。 初めの1分間に、スマートフォンアプリでeプッシュ認証を体験していただくデモもおこないました。 午後は一般のお客さんが来場。 ハードウェアを駆使したIoT関連サービスが多い中で、たくさんのお客様にブースへお立ち寄りいただきました。 世の中でセキュリティへの関心が高まっていることを実感します。 Mamoruは、会員管理が必要な全てのサービスが対象で、 もちろん日本だけでなく海外でも通用するテクノロジーを提供しています。 パスワード不要の認証サービス Mamoruをぜひ応援してください! 日本語 https://mamoru-secure.com/ English https://www.colorkrew.com/en/mamoru/...SXSW 2017への挑戦、はじめました!
SXSWが気になる季節がやってきました こんにちは、中嶋あいみです。 今年の春頃にSXSW (サウス・バイ・サウスウエスト) のブログを書きましたが、 お陰さまで**『SXSW ブログ』でGoogle検索第3位**をキープしております! 『日本語での情報が少ない中、重宝した』と、嬉しい反響をいただきました。 SEO対策、ちゃんと効いていて良かった! ところで2017年のSXSWまで早くも半年を切りました。 前回、ISAOからは初めて視察に行かせていただきましたが、今回は出展しちゃおうと思っています! ・・・うまくいけば。 SXSW Trade Showへの挑戦 先日公開したばかりの パスワードがいらない認証サービス Mamoru を 経済産業省が主催する、飛躍 Next Enterpriseのオースティン 派遣コースにエントリーし、なんと1次選考を通過しました! 最終選考を通ると、SXSW 2017で、Trade Showでのブース出展ができるんです! (Trade Showは以前のブログにて紹介しています。) 飛躍 Next Enterpriseって? ざっくり言うと、グローバル展開したいベンチャー企業や中小企業を経済産業省が支援してくれるプログラムです。 本事業では、日本全国各地から、高い技術力や優れた事業アイディアを持つ中堅・中小・ベンチャー企業等を募り、選抜された派遣企業がシリコンバレーをはじめとする世界各地のベンチャーエコシステムの仕組みと活用方法を知ることによって、海外進出に必要な知見と人脈を早期に獲得し、世界の課題解決に寄与するビジネスをグローバルに展開させることを目指します。 引用元:https://www.hiyaku.go.jp/program.php オースティン 派遣コース 推奨応募者 - 独自のテクノロジーを持ち、来場者が面白さを体感できるプロダクトを出展可能な企業 - BtoCあるいは BtoBtoCのビジネスモデルを世界的に展開する意思のある企業 - キーワード:BtoC/BtoBtoC、プロトタイプあり、最先端の技術・コンセプト、ローンチ前 募集締切の前日に週刊アスキーの記事で知り、締め切り当日に急いで応募! 間に合ってよかった〜 Mamoruって? Mamoruは、パスワードがいらない認証サービスで、ISAOが特許出願中のeプッシュ認証を使用しています。 この認証を利用したサービスは、わずか2ステップでログインが可能になるんです! 詳しくは特設サイトをご覧ください。...Googleさんと開催!「Google社員が語る!今抑えておきたいStackdriver/Docker/Container管理」
Meet upを開催しました こんにちは、稲富です。 先日、10月27日 (木) にISAOにて Google社員が語る!今抑えておきたいStackdriver/Docker/Container管理 を開催いたしました。 Googleさんのご登壇もあり、かなりの大盛況。 50人弱のお客さんにご参加をいただきました。 ご参加いただいた皆さま、誠にありがとうございました! 今回の内容は Google Cloud Platform ゲームインフラとしてのコンテナ Google Container Engine についてご紹介。 当日使用した資料とは違いますが、コンテナの参考資料になります。 あのポケモンGOを支えるGoogle Cloud。 参加者の皆様からも質疑応答の際にたくさんご質問をいただきました。 MeetUPの後は、懇親会! お酒と万カツ♡ 皆様にご参加いただきまして たくさんの方と交流をさせていただきました。 今後もISAOにて定期的にパートナーの方とも一緒にMeetUPを開催していく予定です。 皆様が関心を持っているキーワードをピックアップしてお届けできればと思います! さらに盛り上げていきたいと思いますので、 是非ご参加ください! 次回をお楽しみに。 また、ISAOは Google Cloud Platform 専用パッケージ くらまね for GCP を提供しています。 詳しくは特設サイトをご覧ください。 次回予告 11月30日 (水) 19時頃〜 分かりやすく使いやすい実践的なWeb API(仮) 詳細が決まり次第、connpassのISAO Meet upページにてお知らせします。 是非メンバー登録をお願いします! http://isao....パスワードがいらない認証サービス「Mamoru」をリリースしました!
こんにちは! Mamoruプロジェクトの愛です。 (くらまねプロジェクトと兼任です^^) 本日は、先月リリースしたばかりのパスワードがいらない認証サービス 「Mamoru」をご紹介いたします。 「Mamoru」の最大の特徴は、 パスワードがいらないこと! なのにとってもセキュアなんです。 それはなぜ? 本日は、ISAOが「Mamoru」をつくろうと思ったきっかけと、サービス内容を詳しく説明しちゃいます。 パスワードの呪縛をかけられた現代人 SNS、ゲーム、メール、アプリ…私たちの生活にインターネットサービスは欠かせません。 そして現代人は平均すると一人あたり14個、ログイン認証するサービスを利用していることをご存知ですか? サービスを利用するたびにパスワードを入力しなければならず、サービス内容よりも、ログイン時のパスワード認証に関して不満を持っている人も多いでしょう。 パスワード神話の崩壊 しかし、つい先日発覚した数億件規模の個人情報流出のように、セキュリティを保証するためにパスワードのみでは、完全なセキュリティとは程遠いと改めて気づかされました。 弊社調べによると、インターネットユーザーは平均3個のパスワードを使いまわしており、一度流出すると別のサイトにも被害が広がる可能性が非常に高くなります。 もはやパスワード認証は、万全なセキュリティとは言えません。 企業の認証の現状 そんな状況にもかかわらず、多くの企業では未だパスワード認証を導入しています。 企業が考慮するのは、まずインターネットサービスの内容やサービス自体のユーザビリティで、セキュリティや認証方法に関してはまだまだ優先順位が低いのが現実です。 セキュリティ面でも安全とは言い切れず、認証のユーザービリティも低い。 インターネットサービスの品質は向上していく中、セキュリティでもパスワードに代わる認証を、生み出すべきではないでしょうか。 いや、ISAOがうみだしとどけましょう!というところから、「Mamoru」はスタートしました。 Noパスワードでもセキュアになる理由 「Mamoru」は、ISAOが特許出願中のeプッシュ認証を使用しています。 この認証を利用したサービスは、わずか2ステップでログインが可能に! WEBのログイン画面でIDを入力 Mamoruアプリをインストールしたデバイスに届く確認通知をタップ しかも、アプリを経由することで第三者の不正アクセスを防げるので、パスワード認証よりもセキュアです。 ユーザー側は、自分のスマホにアプリを⼀度インストールしてしまえば、複数のサービスでも利用可能です。 No Password But Secure. 企業はパスワードに頼らなくても、ユーザーの大切な個人情報を守ることができます。 10年間ゲーム業界の裏方として運用と経験を積んできたISAOだからできる、企業とユーザーのことを本気で考えた認証! それが「Mamoru」です。 お見積もり、デモ体験は無料です。 まずはお気軽にここからご相談ください。...