Enviar pesquisa
Carregar
20210716 Security Audit of Salesforce & Other Measures
•
1 gostou
•
946 visualizações
Typhon 666
Seguir
20210716 Umekitaforceでのスライドです。
Leia menos
Leia mais
Tecnologia
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 16
Recomendados
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
Typhon 666
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
20210404_SECURITY_MELT
20210404_SECURITY_MELT
Typhon 666
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers
Typhon 666
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
Typhon 666
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
Typhon 666
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
Recomendados
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
Typhon 666
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
20210404_SECURITY_MELT
20210404_SECURITY_MELT
Typhon 666
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers
Typhon 666
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
Typhon 666
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
Typhon 666
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
Privacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
Riotaro OKADA
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断研究会
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
Owasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
20220113 my seeking_sre_v3
20220113 my seeking_sre_v3
Ayachika Kitazaki
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会
IonicFrameworkをつかってSalesforce1アプリの開発をしよう
IonicFrameworkをつかってSalesforce1アプリの開発をしよう
Taiki Yoshikawa
DVWAで爆上げWebAppセキュリティスキル@shunaroo
DVWAで爆上げWebAppセキュリティスキル@shunaroo
shuna roo
Mais conteúdo relacionado
Mais procurados
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
Privacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
Riotaro OKADA
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断研究会
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
Owasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
20220113 my seeking_sre_v3
20220113 my seeking_sre_v3
Ayachika Kitazaki
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会
Mais procurados
(20)
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
The Shift Left Path and OWASP
The Shift Left Path and OWASP
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Privacy by Design with OWASP
Privacy by Design with OWASP
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
シフトレフト ~経営判断をサポートするセキュリティ・ビジョン~
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Owasp Project を使ってみた
Owasp Project を使ってみた
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
20220113 my seeking_sre_v3
20220113 my seeking_sre_v3
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
Semelhante a 20210716 Security Audit of Salesforce & Other Measures
IonicFrameworkをつかってSalesforce1アプリの開発をしよう
IonicFrameworkをつかってSalesforce1アプリの開発をしよう
Taiki Yoshikawa
DVWAで爆上げWebAppセキュリティスキル@shunaroo
DVWAで爆上げWebAppセキュリティスキル@shunaroo
shuna roo
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ
ymmt
Swtt2018 sfdgr2 Developer Group ルーキー会が教える!次の一歩のための開発ノウハウ
Swtt2018 sfdgr2 Developer Group ルーキー会が教える!次の一歩のための開発ノウハウ
SFDG ROOKIES
HerokuとSalesforceで例えばこんなCMSでも (LT資料)
HerokuとSalesforceで例えばこんなCMSでも (LT資料)
Takahiro Yonei
Salesforceのほんとにあった怖い話(こわれた組織)
Salesforceのほんとにあった怖い話(こわれた組織)
Toru Inoue
Salesforce開発のスタート地点で考えたいこと
Salesforce開発のスタート地点で考えたいこと
Yuki Yamaguchi
幅広い技術力が身につくSalesforceエンジニアのススメ〜入門編〜
幅広い技術力が身につくSalesforceエンジニアのススメ〜入門編〜
SFDG ROOKIES
Salesforce1 Platform 入門 2014 〜改めて基本から理解するforce.com〜
Salesforce1 Platform 入門 2014 〜改めて基本から理解するforce.com〜
Salesforce Developers Japan
150704 イノベーションエッグ第4回 umekita_force活動報告
150704 イノベーションエッグ第4回 umekita_force活動報告
Naoya Shiraishi
Laravel×DevOps -インフラ構築の自動化から運用ログの監視まで-
Laravel×DevOps -インフラ構築の自動化から運用ログの監視まで-
Shinichiro Yoshida
実演 AppExchange アプリケーション ライフサイクル
実演 AppExchange アプリケーション ライフサイクル
Takahiro Kawabata
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
What is Enterprise Agile
What is Enterprise Agile
Kenji Hiranabe
SU16 リリースノート輪読(ISVforce)
SU16 リリースノート輪読(ISVforce)
Takahiro Kawabata
今日こそわかる、安全なWebアプリの作り方2010
今日こそわかる、安全なWebアプリの作り方2010
Hiroshi Tokumaru
探検隊長が語るSoftLayerデザインパターン
探検隊長が語るSoftLayerデザインパターン
Maho Takara
Jp trgger and_custom_button_forsuperbeginner
Jp trgger and_custom_button_forsuperbeginner
Salesforce Developers Japan
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
schoowebcampus
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
Cybozucommunity
Semelhante a 20210716 Security Audit of Salesforce & Other Measures
(20)
IonicFrameworkをつかってSalesforce1アプリの開発をしよう
IonicFrameworkをつかってSalesforce1アプリの開発をしよう
DVWAで爆上げWebAppセキュリティスキル@shunaroo
DVWAで爆上げWebAppセキュリティスキル@shunaroo
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ
Swtt2018 sfdgr2 Developer Group ルーキー会が教える!次の一歩のための開発ノウハウ
Swtt2018 sfdgr2 Developer Group ルーキー会が教える!次の一歩のための開発ノウハウ
HerokuとSalesforceで例えばこんなCMSでも (LT資料)
HerokuとSalesforceで例えばこんなCMSでも (LT資料)
Salesforceのほんとにあった怖い話(こわれた組織)
Salesforceのほんとにあった怖い話(こわれた組織)
Salesforce開発のスタート地点で考えたいこと
Salesforce開発のスタート地点で考えたいこと
幅広い技術力が身につくSalesforceエンジニアのススメ〜入門編〜
幅広い技術力が身につくSalesforceエンジニアのススメ〜入門編〜
Salesforce1 Platform 入門 2014 〜改めて基本から理解するforce.com〜
Salesforce1 Platform 入門 2014 〜改めて基本から理解するforce.com〜
150704 イノベーションエッグ第4回 umekita_force活動報告
150704 イノベーションエッグ第4回 umekita_force活動報告
Laravel×DevOps -インフラ構築の自動化から運用ログの監視まで-
Laravel×DevOps -インフラ構築の自動化から運用ログの監視まで-
実演 AppExchange アプリケーション ライフサイクル
実演 AppExchange アプリケーション ライフサイクル
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
What is Enterprise Agile
What is Enterprise Agile
SU16 リリースノート輪読(ISVforce)
SU16 リリースノート輪読(ISVforce)
今日こそわかる、安全なWebアプリの作り方2010
今日こそわかる、安全なWebアプリの作り方2010
探検隊長が語るSoftLayerデザインパターン
探検隊長が語るSoftLayerデザインパターン
Jp trgger and_custom_button_forsuperbeginner
Jp trgger and_custom_button_forsuperbeginner
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
Mais de Typhon 666
20240214 Security-JAWS activity results for 2023 and activity goals for 2024
20240214 Security-JAWS activity results for 2023 and activity goals for 2024
Typhon 666
20240207 Comparison of AWS Security Hub and 3rd party CSPM, consideration of...
20240207 Comparison of AWS Security Hub and 3rd party CSPM, consideration of...
Typhon 666
20230824 Security-JAWSコラボ事例 ~NISCコラボを題材に~
20230824 Security-JAWSコラボ事例 ~NISCコラボを題材に~
Typhon 666
20230718 Community support and awards from AWS are full of benefits
20230718 Community support and awards from AWS are full of benefits
Typhon 666
20230518_The results of the digital business card Prairie Card unveiled at th...
20230518_The results of the digital business card Prairie Card unveiled at th...
Typhon 666
Continuous Community Management and Output ~What We Cherished, Successes, and...
Continuous Community Management and Output ~What We Cherished, Successes, and...
Typhon 666
継続的コミュニティマネジメントとアウトプット 〜大切にしてきたこと、成功、失敗〜/Continuous Community Management and ...
継続的コミュニティマネジメントとアウトプット 〜大切にしてきたこと、成功、失敗〜/Continuous Community Management and ...
Typhon 666
Security-JAWS activity results for 2022 and activity goals for 2023
Security-JAWS activity results for 2022 and activity goals for 2023
Typhon 666
20221222 Looking back at my JAWS-UG output in 2022
20221222 Looking back at my JAWS-UG output in 2022
Typhon 666
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Typhon 666
Efforts to Organizing & Broadcastiong JAWS-UG's global event "JAWS PANKRATION...
Efforts to Organizing & Broadcastiong JAWS-UG's global event "JAWS PANKRATION...
Typhon 666
20220121 JAWS PANKRATION 2021 re:Trospective
20220121 JAWS PANKRATION 2021 re:Trospective
Typhon 666
20211223 Intellectual Constipation, To the World!
20211223 Intellectual Constipation, To the World!
Typhon 666
20211121 JAWS PANKRATION 2021 CLOSING REMARKS
20211121 JAWS PANKRATION 2021 CLOSING REMARKS
Typhon 666
20211120 JAWS PANKRATION 2021 OPENING REMARKS
20211120 JAWS PANKRATION 2021 OPENING REMARKS
Typhon 666
20211111 Security-JAWS Introduction
20211111 Security-JAWS Introduction
Typhon 666
20210712 X-Tech JAWS Main
20210712 X-Tech JAWS Main
Typhon 666
20210624 Monitoring the AWS Observability Workshop Environment with Datadog O...
20210624 Monitoring the AWS Observability Workshop Environment with Datadog O...
Typhon 666
20210427_Introducing_X-TechJAWS
20210427_Introducing_X-TechJAWS
Typhon 666
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
Typhon 666
Mais de Typhon 666
(20)
20240214 Security-JAWS activity results for 2023 and activity goals for 2024
20240214 Security-JAWS activity results for 2023 and activity goals for 2024
20240207 Comparison of AWS Security Hub and 3rd party CSPM, consideration of...
20240207 Comparison of AWS Security Hub and 3rd party CSPM, consideration of...
20230824 Security-JAWSコラボ事例 ~NISCコラボを題材に~
20230824 Security-JAWSコラボ事例 ~NISCコラボを題材に~
20230718 Community support and awards from AWS are full of benefits
20230718 Community support and awards from AWS are full of benefits
20230518_The results of the digital business card Prairie Card unveiled at th...
20230518_The results of the digital business card Prairie Card unveiled at th...
Continuous Community Management and Output ~What We Cherished, Successes, and...
Continuous Community Management and Output ~What We Cherished, Successes, and...
継続的コミュニティマネジメントとアウトプット 〜大切にしてきたこと、成功、失敗〜/Continuous Community Management and ...
継続的コミュニティマネジメントとアウトプット 〜大切にしてきたこと、成功、失敗〜/Continuous Community Management and ...
Security-JAWS activity results for 2022 and activity goals for 2023
Security-JAWS activity results for 2022 and activity goals for 2023
20221222 Looking back at my JAWS-UG output in 2022
20221222 Looking back at my JAWS-UG output in 2022
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Efforts to Organizing & Broadcastiong JAWS-UG's global event "JAWS PANKRATION...
Efforts to Organizing & Broadcastiong JAWS-UG's global event "JAWS PANKRATION...
20220121 JAWS PANKRATION 2021 re:Trospective
20220121 JAWS PANKRATION 2021 re:Trospective
20211223 Intellectual Constipation, To the World!
20211223 Intellectual Constipation, To the World!
20211121 JAWS PANKRATION 2021 CLOSING REMARKS
20211121 JAWS PANKRATION 2021 CLOSING REMARKS
20211120 JAWS PANKRATION 2021 OPENING REMARKS
20211120 JAWS PANKRATION 2021 OPENING REMARKS
20211111 Security-JAWS Introduction
20211111 Security-JAWS Introduction
20210712 X-Tech JAWS Main
20210712 X-Tech JAWS Main
20210624 Monitoring the AWS Observability Workshop Environment with Datadog O...
20210624 Monitoring the AWS Observability Workshop Environment with Datadog O...
20210427_Introducing_X-TechJAWS
20210427_Introducing_X-TechJAWS
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
Último
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory
osamut
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
Atomu Hidaka
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
iPride Co., Ltd.
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
danielhu54
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
sugiuralab
UPWARD_share_company_information_20240415.pdf
UPWARD_share_company_information_20240415.pdf
furutsuka
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000
Shota Ito
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
iPride Co., Ltd.
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
Ryo Sasaki
Último
(9)
20240412_HCCJP での Windows Server 2025 Active Directory
20240412_HCCJP での Windows Server 2025 Active Directory
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Amazon SES を勉強してみる その12024/04/12の勉強会で発表されたものです。
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
UPWARD_share_company_information_20240415.pdf
UPWARD_share_company_information_20240415.pdf
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
新人研修のまとめ 2024/04/12の勉強会で発表されたものです。
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
20210716 Security Audit of Salesforce & Other Measures
1.
Security Audit of
Salesforce & Other Measures 2021/07/16 テポ(@Typhon666_death)
2.
自己紹介 吉江 瞬(テポ)(@Typhon666_death) 仕事:某セキュリティ専門会社にて、 セキュリティエンジニア/コンサルタント/アナリスト してます。 活動コミュニティ: Security-JAWS 運営メンバー X-Tech
JAWS 運営メンバー JAWS-UG東京支部 運営メンバー https://www.slideshare.net/Typhon666_death
3.
Salesforceのセキュリティ監査した話 • Salesforce設定不備からの漏洩 • Salesforce設定監査した内容 •
Salesforceセキュリティ施策あれこれ • まとめ
4.
未だ途絶えないSalesforce設定不備からの漏洩 https://piyolog.hatenadiary.jp/entry/2020/12/28/060000 最大流出可能件数でいえば、PayPayの約20,000,000件
5.
未だ途絶えないSalesforce設定不備からの漏洩 https://www.okinawatimes.co.jp/articles/-/775625
6.
未だ途絶えないSalesforce設定不備からの漏洩 漏洩起きてないよて言ったのに、、、、 後から突きつけられる漏洩事実とその件数、、 怖いに決まってる、、、
7.
SaaSの設定監査 SaaSの設定を監査するための方式は、大きく3通り SaaSベンダー提供のベストプラクティスを自分達で監査 外部ベンダー(コンサルタント)による設定監査 専用ツール(クラウドサービス)を導入することによる継続的監査 SaaS Security Posture
Management (SSPM)
8.
Salesforceのゲストユーザー向けセキュリティ強化 こちらの2つを用いて監査しました。 「GUARを使った診断レポート」の活用 https://quip.com/HT4mA9yuy3AV 「ゲストユーザーセキュリティベス トプラクティスの解説」の活用 trailblazers.salesforce.com/0694S 000001DHlM
9.
「GUARを使った診断レポート」の活用 Salesforce社にて開発したコミュニティ/サイトのゲストユーザ がアクセスできるオブジェクトと権限の確認ができるアプリケ ーションを利用して、リスク内容の可視化を自動診断 各サイトごとに出力し対策を確認するものとなります。 カスタムURLも含みます。 オブジェクトアクセス情報における潜在的リスクを公開情報を もとに確認し、設定修正 約250項目のプロファイル権限について確認 AuraEnabledApexプロファイル権限情報の潜在的リスクの確認 は自社開発や、他社アプリであれば他社に確認する必要あり。
10.
「GUARを使った診断レポート」の活用 以下はレポートをもとに監査した例 定期的にGUARによる診断を行うことも運用設計として組み入れるこ とをおすすめ
11.
「ゲストユーザーセキュリティベストプラクティスの解説」の活 用 Salesforce TrailblazerCommunityで公開されているカスタ マーサクセスグループのメンバーが作成した、ゲストユ ーザーのセキュリティ設定におけるベストプラクティス 集 ゲストユーザーがどのようなデータにアクセスできるよ うにするか、設計管理するにあたっての方針が記載され ているもの 2021年2月時点でのベストプラクティスの解説記事で あり、手引きとなっている 対象ドキュメント内にある確認項目全25項目の内容を各 サイトごとに手引きにそって確認 157ページあります。
12.
「ゲストユーザーセキュリティベストプラクティスの解説」の活 用 以下はレポートをもとに監査した例
13.
他にも考えられるセキュリティ施策 Salesforceのイベント/ログモニタリングを行い、問題がある場合はアラートをあげ ることで、自社の環境で何が起きているかを把握できるようにすること Salesforce Event Monitoring Datadog NTT-TX
TrustBind/CloudDaemon https://www.datadoghq.com/ja/blog/monitor-salesforce-logs-datadog/
14.
他にも考えられるセキュリティ施策 脆弱性診断を行うことにより、実際に漏洩できない状態にあるかを確認 企業によっては、cronで毎日エクスプロイトコード打ち込んで漏洩していな いことを確認している企業もある exploit exploit
15.
他にも考えられるセキュリティ施策 "Critical Controls Implementation
for Salesforce”の翻訳版 Salesforce をクラウドで展開する際に、 どのようなセキュリティの変更が必要かを 組織が判断するのに役立つ (JP) https://www.cloudsecurityalliance.jp/site/wp- content/uploads/2021/07/Salesforce-Critical-Controls- Implementation_J.pdf (EN) https://cloudsecurityalliance.org/artifacts/critical- controls-implementation-for-salesforce/
16.
おわりに Salesforceの管理者の方はユーザーが安心して使 えるよう、設定の可視化や、ログモニタリングを 行って、安全に利用できていることを確認するこ とについて、今一度、気を使ってもらえればと思 います。