STORES Product Blog

こだわりを持ったお商売を支える「STORES」のテクノロジー部門のメンバーによるブログです。

セキュリティ

スマホアプリの脆弱性診断って何するの?(iOS編)

公開ナレッジの少ない「スマホアプリ診断」の内製化。本記事では、「スマホアプリ診断って実際何をすればいいのか」と疑問を持つ方をターゲットとして、一般的なスマホアプリ診断の検証要件や検証方法について解説します。

パスキーは何を解決するのか

近年、パスワードレス認証として「パスキー」が話題です。実際パスキーは他の認証要素と比較してどんな点が優れているのでしょうか。 この記事では、パスキーと他の認証要素のセキュリティ面での比較などを行い、パスキーの利点について解説します。

Gunosy さんと AWS さん共同主催の SIEM GameDay に参加しました

セキュリティ本部の清水です。 先日、Gunosy さんと AWS さん共同主催の SIEM GameDay というイベントにセキュリティ本部のメンバーと参加しましたので、その内容を紹介させていただきたいと思います。開催場所は渋谷スクランブルスクエアの WeWork。初めて …

WAFを活用する上で入れておきたいファイアウォールのルール定義

プロダクト基盤本部の藤原です。 本エントリではWAF(Web Application Firewall)を活用していく上で、最初に導入をお勧めするファイアウォールルールを解説します。 WAFとは WAF(Web Application Firewall)とはWebアプリケーションに特化したファイアウォー…

STORES社内用のAIサービス利用ガイドラインの初版をリリースしました

はじめに こんにちは!セキュリティ本部のyoshioです。 STORESでは、最近話題のAIサービスに関して、STORES社内で利用するときのガイドラインをリリースしました。 今日は、それをどんなポリシーや考え方で作成したのかをお話していこうと思います。 ガイド…

セキュリティ・キャンプ全国大会2022オンラインで、企業説明イベントを開催します

heyは2022年度のセキュリティ・キャンプ協議会のオフィシャルメンバーになりました。また、8月8日(月)~12日(金)にセキュリティ・キャンプ協議会が主催するセキュリティ・キャンプ全国大会2022オンラインでは、バーチャル会場での企業説明イベントを開催…

複数の AWS メンバーアカウントに対して Terraform を実行する環境を CodeBuild で構築する

こんにちは。hey セキュリティ本部の清水です。 複数のAWSメンバーアカウントに対して Terraform を実行する環境を CodeBuild 上に構築したので、今回はその内容を記載したいと思います。 そもそも、なぜ Terraform の実行環境を構築したのかというと、セキ…

SecurityHubを利用したAWSサービスのSlack通知

こんにちは。hey セキュリティ本部の清水です。 hey ではAWS Organization を利用して複数の AWS アカウントをまとめて管理しています。AWS Organization と連携できるサービスは年々増えており、hey では Amazon GuardDuty, AWS IAM Access Analyzer, AWS C…

heyのセキュリティエンジニアはどんな仕事をしているの?

こんにちは。hey のセキュリティ本部に所属している清水です。この記事では、hey のセキュリティ本部がいまどんな仕事をしているのか、その内容を紹介していきたいと思います。hey のセキュリティエンジニアがどんな仕事をしているのか興味ある方の参考とな…

社内セキュリティ座談会 〜 heyで目指しているセキュリティの在り方 〜

heyのテクノロジー部門セキュリティ本部のtyabeです。 セキュリティ本部は"STORES プラットフォームに内在するセキュリティリスクを適切にコントロールする"ことをミッションとして、社内の色々な人と協力しながら活動を行っているチームです。 社内で広く活…

GitHubリポジトリを別Organizationに移動させる時の注意点

テクノロジー部門セキュリティ本部の清水です。セキュリティとは直接関係のない内容ですが、最近、あるOrganizationにあるリポジトリを別Organizationに移動させる作業を経験しました。今回は、その作業を通して得た知見を共有したいと思います。 リポジトリ…

社内セキュリティ勉強会のはなし

はじめに STORES でセキュリティエンジニアをしている横山です。 hey アドベントカレンダー 2020 の20日目の記事です。今回はエンジニア向けに行ったセキュリティ勉強会の一部を紹介したいと思います。 セキュリティグループでは、セキュリティ施策の一部と…

WebアプリケーションをWAFでサクッと守って年末年始をもっと安心に

STORES 予約の @sa2dai です。 今年は予約管理サービス「クービック」が、heyにジョインさせてもらうこととなり、サービス名称も「STORES 予約」となったそんな年でした。 今回heyアドベントカレンダー2020に参加させてもらい、13日目として本記事を作成しま…