雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
永久交換保証の靴下
「永久」と聞いて連想するのはセゾンカードの永久不滅ポイントである。
日本人はポイント大好きで、自分も人のことを言えないのだが、貯めるのが大好きである。
そんな日本人の嗜好に永久不滅ポイントはマッチしていると思う。
以前どこかのセミナーで永久不滅ポイントが総額で1500億円以上積みあがっているなんて話を聞いた記憶がある。
自分は最終的にJALのマイルに変えるが、有効期限が無いので、必要になるその日までの~んびり貯めよう。
話がそれてしまったが、世の中には永久交換保証の靴下があるらしい。
自分はフィンガーソックス派なので、あれば試しに購入してみようと思ったのだが、普通の靴下しかなかった。残念。
ちなみに永久に〇〇とか、生涯〇〇というのは、非常に魅力的ではあるが、世の中に絶対はない。
直近ではクラウドファンディングで生涯納豆定食無料を謳っていたにもかかわらず、店側から因縁をつけられて権利を没収され、トラブルになった事例が出ている。
納豆定食「生涯無料」でトラブルに発展!クラウドファンディングの落とし穴
甘い言葉には気を付けよう。
【転載】IPA広報誌「IPA NEWS」Vol.47(7月号)を発刊しました!今号では中小企業が抱える2つの課題「IT導入」と「セキュリティ対策」を切り口に、サプライヤー&カスタマーに選ばれる企業になるためのアプローチを探っていきます。ぜひご一読ください。 ipa.go.jp/files/00008393… ipa.go.jp/about/ipa_news…
IPA広報誌「IPA NEWS」Vol.47(7月号)を発刊しました!今号では中小企業が抱える2つの課題「IT導入」と「セキュリティ対策」を切り口に、サプライヤー&カスタマーに選ばれる企業になるためのアプローチを探っていきます。ぜひご一読ください。
ipa.go.jp/files/00008393…
ipa.go.jp/about/ipa_news…:
IPA広報誌「IPA NEWS」Vol.47(7月号)を発刊しました!今号では中小企業が抱える2つの課題「IT導入」と「セキュリティ対策」を切り口に、サプライヤー&カスタマーに選ばれる企業になるためのアプローチを探っていきます。ぜひご一読ください。
ipa.go.jp/files/00008393…
ipa.go.jp/about/ipa_news…
バックアップ
ipa.go.jp/files/00008393…
ipa.go.jp/about/ipa_news…:
IPA広報誌「IPA NEWS」Vol.47(7月号)を発刊しました!今号では中小企業が抱える2つの課題「IT導入」と「セキュリティ対策」を切り口に、サプライヤー&カスタマーに選ばれる企業になるためのアプローチを探っていきます。ぜひご一読ください。
ipa.go.jp/files/00008393…
ipa.go.jp/about/ipa_news…
バックアップ
STRIDEとは何ぞや
STRIDEってご存じだろうか?
@IT主催のIT Security Live Weekのどこかのセッションで出てきたので整理しようと思ったのだが、いかんせんつかみどころが無い状況となってしまった。
とりあえずSTRIDEの簡単な概要を紹介すると、
・Microsoftが開発した脅威モデル。
・下記6つの脅威の頭文字をとってSTRIDEとなっている。
Spoofing(なりすまし)
Tampering(改ざん)
Repudiation(否認)
Information disclosure(情報漏洩)
Denial of service(DoS攻撃)
Elevation of privilege(権限昇格)
ここまでは良いのだが、先日話したサイバーキルチェーンやMITRE ATT&CKやCIAとの関連が良く分からず、難儀した。
まず、CIAとSTRIDEについては、CIAがセキュリティの要素を分類したものであるのに対し、STRIDEはセキュリティの脅威を分類したものとなる。
つまり、STRIDEの各要素には、1つ以上のCIAの要素が必ず紐づくこととなる。
(厳密にはCIAの3大要素だけではなく、真正性、責任追跡性、信頼性、否認防止、を加えた7大要素のいずれかが紐づく)
STRIDEの各概要の説明とともに、関するCIAの要素を組み合わせてみる。
■Spoofing(なりすまし)
・概要:多要素認証の欠如、セッション管理の不備、暗号化通信の不備など
・CIA要素:真正性
■Tampering(改ざん)
・概要:HTMLインジェクション、SQLインジェクションなどを含むステレスコマンドなど
・CIA要素:完全性
■Repudiation(否認)
・概要:CSRF、デジタル署名の設定不備など
・CIA要素:否認防止
■Information disclosure(情報漏洩)
・概要:情報資産の意図しない流出など
・CIA要素:機密性
■Denial of service(DoS攻撃)
・概要:DoS/DDoS攻撃によるサービス停止など
・CIA要素:可用性
■Elevation of privilege(権限昇格)
・概要:アクセスを許していないはずのユーザにアクセス権が与えられてしまうことなど
・CIA要素:機密性、完全性
んで、次にサイバーキルチェーンやMITRE ATT&CKとの関連についてなのだが、こちらはMITRE ATT&CKの方で解説があった。
自分が理解しやすいように無理やり整理すると、上の図の更に上にスーパーハイレベルモデルとしてセキュリティ7大要素がある感じであろうか。
1.ベースモデルとしてセキュリティの7大要素があり(概念!?)
2.それらを脅威の観点で再整理したのがサイバーキルチェーンやSTRIDEとなり(抽象的知識体系)
3.それらを戦術やテクニック等より具体的に整理したものがMITRE ATT&CKとなり、
4.最後に個々の攻撃コードや脆弱性等の具体的な内容となる。
・・・という理解で今日は終えておこう。。。
【参考】
https://hanakutoman.com/threat-modeling-stride/
https://qiita.com/ohayougenki/items/a281a8330b60fad7f5e1
https://at-virtual.net/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3/cvss%E3%80%81dread%E3%80%81stride%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3/
https://www.socyeti.jp/posts/4873582/
https://www.smillione.co.jp/staffblog/2019/08/30/security02/
【転載】マイナンバーカードの総合サイトで何らかの障害が起きているらしく、現在接続するとWordPressのデータベースエラーが表示されています。
マイナンバーカードの総合サイトで何らかの障害が起きているらしく、現在接続するとWordPressのデータベースエラーが表示されています。:
マイナンバーカードの総合サイトで何らかの障害が起きているらしく、現在接続するとWordPressのデータベースエラーが表示されています。
マイナンバーカードの総合サイトで何らかの障害が起きているらしく、現在接続するとWordPressのデータベースエラーが表示されています。
フィッシングサイト・フィッシングメールの見分け方(最終版)
@IT主催のIT Security Live Weekのにゃん☆たく氏の話の中で興味深いものがあった。
それは、フィッシングサイト、フィッシングメールの見分け方について、結論に至ったというものである。
その結論とは何だったのだろうか?
それは、
見分けようとしない
である。
常に巧妙なフィッシングサイトやフィッシングメールが出てくる中で、「見分ける」という行為は不可能なのである。
インシデントレスポンスを行っているような高度なITスキルを持っている人であれば「見分ける」行為は可能である。
しかし、一般ユーザークラスに対しては不可能と言わざるを得ないのである。
では、どうすればよいのか?
結論から言うと基本に立ち返ることになる。
【対策①】
メール本文に記載されたURLにはアクセスしない。
【対策②】
サイトにアクセスする際はブラウザのお気に入り登録からのアクセスを徹底する。
シンプル イズ ベストとはまさにこのことを言うのだろう。
「気をつけろ」ではなく、「習慣化」で対応するのである。
普段自分もメール本文のURLからサイトにアクセスしているので、改めたいと感じた。
【転載】切り身1パック「会計前に食ってやったぜー」とアップ…ユーチューバー「へずまりゅう」逮捕 : 社会 : ニュース : 読売新聞オンライン yomiuri.co.jp/national/20200…
切り身1パック「会計前に食ってやったぜー」とアップ…ユーチューバー「へずまりゅう」逮捕 : 社会 : ニュース : 読売新聞オンライン yomiuri.co.jp/national/20200…: 切り身1パック「会計前に食ってやったぜー」とアップ…ユーチューバー「へずまりゅう」逮捕 : 社会 : ニュース : 読売新聞オンライン yomiuri.co.jp/national/20200…
セミリタイア(FIRE)できる人の行動TOP5
ウラケンさんがFIRE出来る人の行動TOP5を挙げていた。
詳細は動画参照なのだが、内訳は下記の通り。
ーー
5.読書をする
4.節約する
3.投資をする
2.マーケティングをマスターする
1.目標を紙に書く
ーー
5位の読書について、ウラケンさんがマスターしている速読法の紹介があった。
「フォトリーディング」と呼ばれるものなのだが、これはすごく気になった。
速読法は幾つかあるのだが、正直どれが良いのか分からない。
利害関係がなさそうな人から紹介されるのが一番説得力がある。
4位の節約はこれまでも何度か出ている。
☆家のコストは収入の10分の1以下にする。
☆テレビは見ない(⇒NHKコストの削減)。
☆会社の飲み会には参加しない。
☆車は持たない(経費化できる身分になったら経費で持っても可)。
家のコストとテレビと車は、言うは易し行う難しで、それなりの覚悟と思い切りが必要である。
自分は実践できているが、きっかけは引っ越しとかの環境変化だった。
3位の投資もこれまでに出ている。
基本的には節約したお金を投資に回して種銭の増加を加速させるというものである。
そしてどこかのタイミングで種銭を使って不動産投資に進む。
1位の「目標を紙に書く」は意外と出来ていなかった。
試みたことはあったような気がするが、具体化が出来なくてとん挫した記憶がある。
不動産投資は、個人的にはペーパーアセットと比較すると目標設定が立てやすい気がしているので、リトライしてみようと思う。
【転載】CODE BLUE 2020、参加費無料でオンライン開催(CODE BLUE 実行委員会)
CODE BLUE 2020、参加費無料でオンライン開催(CODE BLUE 実行委員会):
CODE BLUE 実行委員会は6月19日、新型コロナウイルス感染症の影響を考慮し、参加者や出展者などすべての関係者の安全を最優先に考慮し、CODE BLUE 2020 を 10月29日(木)~10月30日(金)にオンライン開催実施すると発表した。参加費は無料。
パナソニック株式会社、株式会社日立システムズ、株式会社 Flatt Security ほかの申込済みの協賛企業の「強い継続支援とリクエスト」によって実現したという。
なお、講演者募集の締め切りは8月15日(土)。また、サイバー犯罪対策トラックは別枠有料の可能性があるという。
《高橋 潤哉( Junya Takahashi )》
パナソニック株式会社、株式会社日立システムズ、株式会社 Flatt Security ほかの申込済みの協賛企業の「強い継続支援とリクエスト」によって実現したという。
なお、講演者募集の締め切りは8月15日(土)。また、サイバー犯罪対策トラックは別枠有料の可能性があるという。
《高橋 潤哉( Junya Takahashi )》
登録:
投稿 (Atom)