はてなブックマーク

はじめまして、技術開発部セキュリティユニットの神田です。 2月7日、21日にNTT Comグループ社員を対象にセキュリティワークショップ『ハニーポッターになろう ～インターネットの今を知って正しく怖がる～』を開催しました。本記事では、その内容や当日の様子について紹介します。 セキュリティワークショップ『ハニーポッターになろう ～インターネットの今を知って正しく怖がる～』 このワークショップは、NTT Comグループ内セキュリティコミュニティの有志を中心として完全内製で企画、開催されました。開催の主な目的は以下の通りです。 インターネットを取り巻く脅威の現状を体感し、理解を深める ハニーポットの運用や分析に必要な視点を習得する セキュリティコミュニティの活性化（交流の促進） ワークショップは二部構成のグループワーク形式で、第一部（2/7）でハニーポットを構築後、2週間のログ収集期間をおいて、

はじめまして、技術開発部セキュリティユニットの志村です。 10月・11月に、NTT Comグループの社員を対象としたCTF形式のセキュリティコンテスト「ComCTF 2019」を開催しました。前年度に引き続き2回目の開催となります。私は運営側としてCTFの作問に携わりました。 今回はその模様をお伝えします。 CTFとは CTFとは “Capture The FLAG” の略であり、セキュリティ分野では、セキュリティなどの技術を競い合う競技のことを指します。国内で開催されるCTFとしてはSECCONなどが有名です。 CTFの競技形式にはいくつか種類があります。クイズ形式で様々なジャンルの問題を解いていくJeopardy方式、 自チームの脆弱なサーバを守りつつ他チームのサーバに侵入するAttack&Defenseなどの形式が有名です。ComCTFは大人数が参加しやすいJeorpady方式で行わ

はじめまして! クラウドサービス部の花川です． 9月10日に，社内ISUCONであるN-ISUCONを開催しました．その様子をレポートします． ※ 2020/03/31追記: ソースコードを公開しました! nttcom/n-isucon-2019: Codes used for N-ISUCON 2019 ISUCONとは Iikanjini Speed Up Contest（いい感じにスピードアップコンテスト）の略で，与えられたWebサービスを限界まで高速化していく，チーム対抗のチューニングバトルです． 2011年にライブドア社（現LINE社）が主催となって初めて開催され，その後，年1回開催されているエンジニアには名の知られたイベントです． 今年は第9回として，09月07日と08日に予選，10月05日に本戦が開催されています． 社内ISUCON "N-ISUCON" もともと，弊社には

情報セキュリティ部の久々宮です。 少し前になりますが、2019年6月20日、NTTコムグループ社員を対象にMicro Hardeningを開催しました。 応募者113名とたいへん多く、会場の都合でやむなく85名に絞り、実施しました。その様子をお伝えします。 Hardeningとは Hardeningとは、WASForumが2012年から年2回開催しているセキュリティ技術の向上を目的とする競技会です（くわしくは、Hardening ProjectのHPをご覧ください）。WASForumが主催するHardeningは2日間に渡って実施されますが、その他にも1日でよりカジュアルにハードニングを経験できるMINI Hardening Project、「ゲーム感覚」でサイバー攻撃に対処する能力を磨くMicro Hardening Project(リンク1、リンク2)という、より短い時間で開催できるサ

ネットワークサービス部 伊藤(@yoshiya_ito)です。10/21-22の2日間で開催された ServerlessDays Tokyo 2019 カンファレンスに参加・登壇しましたので、その模様をご紹介します。 ServerlessDaysとは？ ServerlessDaysは、サーバーレスアーキテクチャを用いたシステムの構築・運用における経験の共有を目的とした、コミュニティ主導でベンダーニュートラルな技術カンファレンスです。 https://tokyo.serverlessdays.io/ 日本におけるServerlessの年次カンファレンスは、これまでServerlessconf Tokyoが2016年から開催されていましたが、今年から東京以外の都市での開催の要望から、SeverlessDaysに変更となっております。 もともとServerlessDaysはJeffConfという

ネットワークサービス部の松田です。 10/21-22 の 2 日間で開催された ServerlessDays Tokyo 2019 の初日に行われたコンテスト形式のワークショップに参加したので、その様子や自身の振り返りをご紹介します。 Workshop Day ワークショップ会場は DMM.com さんの六本木オフィスで、4 つのセッションが用意されていました。一部写真を交えてご紹介します。 AWS公式セッション (AWS Presents, Battle against Massive Load using Your Super Sonic Lambda Function!) -- AWS Lambda を使ったコンテストなのですが、「大量に投入されるイングレスロードを、いかに高速、かつ効率よく捌くかを参加者間で競うコンペティションスタイル」とのことで、なにやらとても AWS の気合を感

経営企画部 マネージドセキュリティサービス推進室の細谷です。私が所属するインシデントレスポンスチームでは、攻撃の被害に遭ってしまったお客様を対象としたインシデントレスポンスサービス（インシデント全容解明・再発防止策の提示）を提供しています。 今回は、インシデントレスポンスチームで構築したOSINT1のデータベース（通称、OSINT-DB）を紹介します。 OSINT-DBとは？ OSINT-DBは、主にWeb上に公開されている悪性URLやハッシュ値などの脅威情報を予め収集し、インシデントレスポンスの案件対応時に検索できる弊社独自のデータベースです。OSINT-DBを活用することで、インシデントレスポンス時に見つけたURLやハッシュ値を最新の脅威情報と照らし合わせ、悪性かどうかを瞬時に判断することができます。その結果、既知のばらまき型マルウェアなどの早期発見や、解析時間の大幅な短縮につながりま

技術開発部 セキュリティユニットの後藤です。 Black Hat USA 2019 / DEFCON 27関連の記事として、第一弾「Black Hat USA 2019 / DEF CON 27に参加してきました 」、第二弾「Black Hat USA 2019 / DEF CON 27に参加してきました -Black Hat編-」に続き、今回は、DEF CON 27についてご紹介します。 DEF CONの概要は第一弾の記事をご参照ください。本記事では主に、DEF CONで体験してきたことを中心にご紹介したいと思います。 DEF CONでは、様々なイベントが並列して開催されていますので、過ごし方はその人次第です。例えば次のようなイベントがあります。 DEF CON CTF Final: 有名なCTFの決勝戦が開催されています。 多数のVillage: 各分野のスペシャリストらが開いているブ

技術開発部セキュリティユニットの山崎です。 enPiT-Security（愛称 SecCap）1において、今年度もNTT Comは協力企業として、2019年8月27日（火）～8月30日（金）の4日間に渡って産学連携によるリスクマネジメント演習を行いました。セキュリティユニットの伊藤、後藤、星野、久保、山崎がNTT Comの“Security Bootcamp プログラム”を用いて演習を行いましたので、初日の模様を紹介します。 SecCapとは SecCapは、セキュリティを正しく理解し、実社会で生かすことのできる実践力を備えた技術者や経営者、すなわち産業界が求めるセキュリティ実践力のあるIT人材を増やすことを目的として、2013年より5つの連携大学（情報セキュリティ大学院大学、奈良先端科学技術大学院大学、北陸先端科学技術大学院大学、東北大学、慶應義塾大学）が中心となり始動したプロジェクトで

技術開発部セキュリティユニットの小林です。 開催中の大規模スポーツイベントに便乗したサイバー犯罪が報告されています。12 端的に言えば「無料で試合をインターネット中継します」という触れ込みで、メールアドレスやパスワード、クレジットカード番号の窃取を試みるものです。この記事では、同じ手法の攻撃を観測したこと、またその他のスポーツイベントに対しても同様の手口による攻撃を観測したことから、スクリーンショットを交えて報告します。 観測した事象 （以下で提示する画像は、都合により一部マスクしているところがあります） 2019/11/08追記： 事態を確認した時点で関係機関に連絡しており、下記の踏み台にされているページはすでに削除されています。 Googleで「フランス トンガ live」をキーワードに検索した結果がこちらです（シークレットモードを利用しています）。 トップニュース下の、検索結果の第1

はじめまして、技術開発部の小倉です。 9月18日にNTTグループのエンジニアが技術交流を行うNTT Engineers' Festa #3を開催しました。 今回はその開催背景や当日の様子についてご紹介したいと思います。 NTT Engineers' Festaとは NTT Engineers’ Festaは、NTTグループのエンジニアたちが一堂に会して技術交流を行うためのイベントです。 NTTグループ内には、各社の様々な案件でアプリケーションやシステムの開発・運用を行うエンジニアやOSSのコミッタ、メンテナ、コントリビュータなどを担う多様なエンジニアが所属しています。 本イベントではエンジニアたちがもつ技術の（無駄遣い含む）ノウハウや悩みを共有・議論しあうことで、参加者ひとりひとりがエンジニアとして成長することを目的としています。 本イベントはNTTグループのエンジニア有志によって運営され

技術開発部セキュリティユニットの星野です。 前回の「Black Hat USA 2019 / DEF CON 27に参加してきました」では、それぞれのイベントの概要とおすすめの歩き方についてご紹介しました。 今回は、そのうちBlack Hat USA 2019の詳細な内容についてご紹介します。 前回も述べたとおり、Black Hatの中で行われるイベントは主にトレーニング、ブリーフィング、ビジネスホールの3つがあります。その3つのうち、私が参加したトレーニングの内容と、聴講したブリーフィングの一部をご紹介します。 トレーニング内容の紹介 私は、 “Advarsary Tactics: Red Team Ops” という4日間のトレーニングを受講しました。 https://www.blackhat.com/us-19/training/schedule/#adversary-tactics-

技術開発部 セキュリティユニットの小林です。 8月上旬にアメリカ・ラスベガスで開催された Black Hat USA 2019 および DEF CON 27 へ参加してきました。その模様をレポートしつつ、初めての方向けのアドバイスも添えてお送りします。 Black Hatとは Black Hatは1997年より開催されているコンピューターセキュリティに関する世界有数のカンファレンスで、レギュラーイベントとしては毎年アメリカ (USA) 、ヨーロッパ (Europe) 、アジア (Asia) の3地域で行われています。今回参加したUSAはBlack Hatの中でも最も長い歴史を持ち、また参加者の数も最大です。USAの会場は例年ラスベガスのマンダレイ・ベイホテルのコンベンションセンターで、今回は世界112カ国から2万人を超える参加者が訪れました1。 ちなみに本来このイベント全体を指してBlac

こんにちは、技術開発部 セキュリティユニットの田中です。社内のセキュリティエンジニアのメンバーで、サイバーセキュリティ関係の話題を書いていきます。初回となる今回は「ラテラルフィッシング」についてお送りします。 ラテラルフィッシングとは？ 皆さんは、最近ネットでも取り上げられるようになってきた、「ラテラルフィッシング」(Lateral Phishing)というセキュリティ脅威をご存知でしょうか？ ラテラルとは横方向へ、を意味し、サイバー攻撃では、攻撃者が内部ネットワークに不正侵入後、感染を拡大する行為を「ラテラルムーブメント」（横方向への移動）と呼び、ご存知の方も多いと思います。 「ラテラルフィッシング」は、攻撃者が組織内のメールアカウントを何らかの手法で乗っ取り、その組織の正規アカウント（ドメイン）からフィッシングメールを送るものです。正規の内部アカウントからのメールなので、現在の攻撃検知

こんにちは、 NTT国際通信株式会社 ICTインフラサービス部 クラウドサービス部門の北澤です。先日NTTグループの国内事業再編に伴い、NTTコミュニケーションズ株式会社 クラウドサービス部 から所属が変更になりました。 先日新会社になってすぐに、チーム内にて Kubernetes 1day 勉強会を実施しました。今回はその様子をお伝えします。 背景 私たちのチームは SREs (Site Reliability Engineers) として GKE (Google Kubernetes Engine) を運用しています。また週に1度、 Kubernetes に関する勉強会を実施することで自分たちの扱う技術に関する知識を深めています。 しかしながら GKE はマネージド Kubernetes サービスであるために Kubernetes クラスタを利用者としてしか使用できません。そのため、

こんにちは、SkyWayの開発・運用をしている岩瀬（@iwashi86）です。 今回の記事では、弊社の研修内容の一部を公開します。 研修の狙い 毎年200名超の社員がNTTコミュニケーションズグループに入社しています。 入社いただいた社員の中には、もともと高い技術力を持っている社員も多くいます。 今年度より、ソフトウェアエンジニアリングのスキルの高い社員（今回は35名）を対象として新たな研修1を実施しています。 研修の主な狙いは以下の2つです。 即戦力レベルのスキル習得 実際の現場で有用となる技術・開発スキルの習得して、現場ですぐに活躍できるように ネットワーキングの強化 / コミュニティ形成 同期だけでなく、講師・メンタを含む先輩エンジニアとのネットワークを形成し、互いに影響を与え合い成長できるように なお、2点目について補足すると、今回の研修では社外のエキスパートによるプログラムに加え

こんにちは、SkyWayのエンジニアの岩瀬(@iwashi86)です。 NTTコミュニケーションズに新しい拠点が完成しました。名前は Lean Agile Base (略して LAB) と言います。 本記事では、 LABの概要・狙い どうやって作り上げていったのか？ の2点を紹介いたします。 概要 まずはどんな感じか見ていただくのが早いので、いくつか新オフィスの写真を載せておきます。 複数人でモブプログラミングする場合は、全員が同一方向を見て作業できると身体的負荷が軽減され、快適に作業できます。そこで、ソファで囲むようにして作業できる環境を用意しています。 モブプログラミングだけではなく、ペアプロ/ペアワークに便利なデスクも配置しています。このデスクは、高さが電動で変更できるため、座って作業するだけでなく、スタンディングでの作業も可能です。 打ち合わせをする場合や、チームで固まって作業が必

ネットワークサービス部 初開発合宿開催！！ こんにちは。ネットワークサービス部テクノロジー部門の嶋です。そろそろ暖かくなってきた先月、2月25～2月27日にかけて、ネットワークサービス部テクノロジー部門のエンジニアが集まって、伊東温泉（静岡県）で開発合宿を行いました。今回はその様子をお伝えします。 開発合宿を行ったきっかけ 先日、ComCTFが開催されました。ComCTFとは、NTT Com内で実施しているセキュリティに関するテクニックを競い合うコンテストのことです。そのとき、「惜しくも予選突破できなくて悔しい」という意見や、「本選で実力不足を感じた」など、さまざまな意見がありました。また、「まとまって勉強できる時間がなかなか確保できず厳しい」という意見もあり、「どこかで勉強できたらいいよね」ということになって開発合宿を計画しはじめ、その後、合宿に参加する有志7人が集まり、“開発合宿にオス

楽天の及部さん(@TAKAKING22)さんに、モブプログラミングの1日ワークショップを、2018/9/20(木)に開催していただきました！ モブプログラミングとは？ モブプログラミングとは、シンプルにチーム全員で、同じ仕事を、同じ時間に、同じ場所で、同じコンピュータでプログラミングすることです。 元々はHunter Industries社が始めた開発手法で、日本でも徐々に広がり始めています。Hunter Industries者の実際のモブプログラミングの様子は、こちらの動画から確認できます。 今回のワークショップでは、最初にモブプログラミングについての簡単な説明があった後に、自動販売機の実装をテーマに、参加者が4チームに分かれてモブプログラミングを体験しました。 実際のモブプログラミング中の様子は次のとおりです。 参加者の学びの声 ワークショップの最後には、まとめおよび振り返り時間があり

本記事前半では、4年を越えて継続的に開催している社内ランチ勉強会であるTechLunchを紹介します。後半では、TechLunchの最新回について紹介いたします。 社内勉強会 / TechLunchとは NTTコミュニケーションズではランチを食べながら、気軽に参加できる社内勉強会としてTechLunchを不定期開催しています。主に技術的なトピックを扱いますが、社内ハックのような裏話がトピックになることもあります。 誰でも気軽に参加できること、を重要視しているため、開放感のある場所で開催しています。開催模様はこんな感じです。 TechLunchは2014年の6月から始まっており、現時点（2018年9月）の段階で開催回数は60回を越えており、継続的に勉強会が続いています。目的としては、 気軽に最新の技術や、基礎的な技術を学べること 分からないことを気軽に聞ける人を見つけること を挙げています。

2018/6/25(月)に、吉羽龍太郎氏(@ryuzee)・永瀬美穂氏(@miholovesq)にお越しいただいて、1Dayスクラムブートキャンプ(ワークショップ)を開催していただきました！ ワークショップ内容の詳細なレポートは、内容のネタバレになってしまいますので、本レポートでは序盤にワークショップ概要を述べ、主にブラックボックス的に、参加者がスクラムブートキャンプを通じて得た学びを中心に記載します。 ワークショップの概要 ワークショップ全体は以下のような構成でした。 あるお題に対して複数回のスプリントをチームで実施 スプリントからの学びを全体で振り返り★ 座学によるスクラム全体の知識習得 + 質疑応答★ 習得した知識のアウトプット 座学でプロダクトバックログについての学習 + 質疑応答 この中から、★でマークしている振り返りで出てきた参加者の意見、および座学後の質疑応答を紹介いたします

こんにちは、普段はSkyWayの開発・運用をしている岩瀬(@iwashi86)です。 先日、後から気づいたSlackでの分報がもたらすメリットを掲載したところ、SkyWayチームのマネージャおよびプロダクトオーナから、「別のメリットもあるよ」とコメントをもらいました。面白い観点だと個人的に感じましたので、本記事ではまず マネージャから見た分報の価値 について紹介いたします。 オフィスワークとリモートワークの情報量/仕事の理解度の逆転 昔からある従来の職場であれば、同じチームのメンバは一箇所に集まって仕事をするケースが多いかと思います(本記事ではこれをオフィスワークと呼びます)。マネージャは、集まっているメンバと会話し、仕事の進捗状況・困りごとなどをヒアリングして、必要であれば解決にあたります。職場によっては、定例の会議のようなイベントを設けて、情報共有をしているかもしれません。マネージャは

こんにちは、普段はSkyWayの開発・運用をしている岩瀬(@iwashi86)です。 SkyWayチームでは、普段のコミュニケーションツールとしてSlackを活用しています。SkyWayチームでは、リモートワークを積極活用しているので、非同期で気軽に連絡が取れるSlackは重要なコミュニケーション基盤となっています。 Slackの使い方としては、いわゆる分報を導入しています。分報とは具体的には、個人のpublic channelを用意しておいて、「今やっていること」「困っていること」「今の気持ち」など、普段考えていること・思っていることを各メンバが積極的にアウトプットするという方法です。 この分報は、当初は「仕事の進捗共有」・「学びの共有」・「課題の共同解決」が主なメリットだと考えていたのですが、分報を続けるにあたり、最初に気づけていなかった他のメリットが見えてきました。 以降、本記事では

SwaggerやOpen API Specification（以下OAS）はAPIのデファクトフォーマットになってきています。特にこれらのフォーマットでドキュメントを作っておくと、関連するライブラリやドキュメントが自動生成できるのが便利です。 Swagger/OASを使ったモックサーバであったり、テスト環境やエディタなどをまとめて提供してくれるのがSwaggerHubです。Swagger周辺のエコシステムを活用したい方はぜひ使ってみてください。 SwaggerHubについて SwaggerHubはSwagger/OASファイルの編集とプレビュー、ドキュメント表示などに加えてモックサーバを立ち上げたり関連するサーバ、クライアント双方のライブラリが生成できます。 設定は公開することもできるので、そのままAPIドキュメントとして開発者に使ってもらうことができます。 仕組みとしてはGitHub風で

単一のエンドポイントで、クライアント側で指定することで任意のデータを取得できるGraphQLですが、ビジネスで利用する際に必ず注意しなければならないのがセキュリティでしょう。GraphQLを利用、提供する上での注意点を紹介します。 認証 GraphQLではサーバサイドのデータベースのようにID/パスワードのような仕組みは用意されていません。他のAPIと同様に、認証技術と組み合わせることができます。例えばOAuth2であったり、トークン認証になります。これらは自分で実装する必要があります。 そのため、REST APIとGraphQLの共存は難しいことではありません。取得（GET）についてはGraphQLを、データの追加/更新/削除はREST APIといった具合に使い分けることもできます。その際、どちらも同じ認証データを用いられるでしょう。 ネスト GraphQL特有の問題として、関連データの

前回に引き続き、和田 卓人(@t_wada)さんに、テスト駆動開発(Test Driven Development, 以下TDD)の1日ワークショップを2018/3/22(木)に開催していただきました！ TDD ワークショップの開催概要などは前回の記事で述べているので、本記事では視点を変えて、TDDワークショップを活用するためにどのような準備/工夫をしたら良いか、という運営側視点での一風変わった内容を扱います。全員が対象となるわけではありませんが、特にTDDワークショップを運営としてこれから開催する皆様に役立つ情報になると思います。もし、TDDワークショップに参加者として参加する場合は、運営にこの記事のURLを送っておくと、より良い会になるかもしれません。 以下、運営における準備/工夫について述べます。 事前: 周知文言にテストフレームワーク/スイートに関する準備を含める ワークショップに

改ざんを防止するJSONとして注目されているのがJSON Web Tokenです。署名することでデータの改ざんを防止しつつ、URLセーフな仕組みとなっています。JSON自体は誰でも閲覧できるのでセキュアな情報を送るのには適していませんが、改ざんしたとしてもそれを検証する仕組みが用意されていることで安心して利用できます。 そんなJSON Web Tokenがどういった場面で使われているのか紹介します。 セッション トークンの中にユーザIDであったり、ユーザ名、有効期限といった情報を持たせることで認証後のクライアントにセッションとして使ってもらいます。サーバ側ではセッションをデータベースで管理する必要がなくなります。 Cookieなどにデータを持たせておいて、アクセスの度にその内容をチェックすることで改ざんされていないか確認ができます。改ざんされていないのであれば、ユーザIDをそのまま利用でき

JSON Web Tokenは署名されたJSONで、改変を防止できる仕組みになっています。さらにBASE64エンコードされていることで、URLセーフな仕組みです。 すでに多くのサービスで使われているJSON Web Tokenについて、明示的に紹介されているサイトについてリストアップしました。 JSON Web Token（JWT）の紹介とYahoo! JAPANにおけるJWTの活用 - Yahoo! JAPAN Tech Blog Yahoo! IDを使って認証を外部サービス化する際、Yahoo! JapanではJSON Web Tokenでレスポンスが返ってきます。これはOpenID Connectの仕様に則って行われています。 JSON Web Token（JWT）の紹介とYahoo! JAPANにおけるJWTの活用 - Yahoo! JAPAN Tech Blog ユーザープールの