セキュリティ

Google Cloud Secret Manager を使って機密情報の保存をセキュアにした話

はじめましての方ははじめまして。21新卒エンジニアの Javakky です。 突然ですが質問です!みなさんは本番環境で利用するDBのアクセス情報などの機密情報はどこに保存していますか?弊チームでは、社内でホスティングしているGitLabを利用しており、リポジ…

新卒のセキュアコーディング研修にKENROを採用した事例が公開されました

ピクシブではセキュリティに関して様々な取り組みをしていますが、普段の開発から脆弱性を作りこまないようにするため現場でのセキュリティの知識の底上げも重要です。 この度、今年の新卒のエンジニア研修としてKENROを採用した事例が株式会社Flatt Securit…

ピクシブにおけるBeyondCorp Remote Accessの活用事例

概要 こんにちは、インフラ部のkoboです。 感染症の流行を受けて、ピクシブでは2020年春から自宅でも仕事ができる体制を継続しています。 その少し前から、ピクシブでは社内サービスへのVPNレスなアクセスを可能にするための堅牢なSSOプロキシの導入を進めて…

pixivに脆弱なパスワードで登録できないようにしました

pixivではサイバー攻撃への根本的な対策のひとつとして、脆弱なパスワードを新しく設定できないようにしました。過去に他のサービスで漏洩済みとしてHave I Been Pwnedにて公開されている、ハッシュ化された漏洩パスワードのリストを使用しました。

pixiv Bug Bounty Program 2018

こんにちは、セキュリティエンジニアのkoboです。ピクシブでは2016年より脆弱性報奨金制度を運用していますが、2018年度に入ってから報奨金の増額や新しいプラットフォームへの参入など、これまでに増して注力しています。本記事では、最近のピクシブの脆弱…

Content Security Policy Level 3におけるXSS対策

こんにちは、セキュリティエンジニアのkoboです。ピクシブには2018年4月に入社しており、セキュリティ観点でのアプリケーション開発や脆弱性報奨金制度の運用などを行っています。 本記事では、現在ピクシブの一部のサービスで取り組んでいるContent Securit…

pixivを常時HTTPS化するまでの道のり(後編)

ピクシブ株式会社で開発基盤チームとして働いている @catatsuy です。 前編ではpixivを常時HTTPS化する前にやった前準備として、広告、画像といったリソースをHTTPSに切り替える際の手順を紹介しました。 pixivを常時HTTPS化するまでの道のり(前編) - pixi…

pixivを常時HTTPS化するまでの道のり(前編)

ピクシブ株式会社で開発基盤チームとして働いている @catatsuy です。主にpixivの技術的な改善をしていますが、広告チームも兼任しているので広告周りの開発もしています。 今回pixivの常時HTTPS化を担当したのでやったことを紹介します。 pixivをHTTPS化し…