PLAID Engineer Blog

PLAID Engineer Blog


KARTEを提供する株式会社プレイドのエンジニアブログです。プレイドのエンジニアのユニークなパーソナリティを知ってもらうため、エンジニアメンバーたちが各々執筆しています。

PLAID Engineer Blog

Security

継続的なセキュリティ対策をするために脅威分析をしました

この記事では、PLAIDのKARTEというシステムの脅威分析をした話について書いています。 脅威分析とは、アプリケーションやシステムなどが直面する可能性のあるすべての脅威を明らかにして、その脅威のリスクを相対的に把握するために行うことを言います。 脅威とはリスクを発生させる要因のことで、クロスサイトスクリプティングなどの脆弱性を思い浮かべるとわかりやすいです。 たとえば、STRIDEと呼ばれる脅威モデリングの手法では、6種類の脅威をカテゴライズしています。 Spoofing(なりすまし) - 第三者が別のユーザーになりすます Tampering(改ざん) - データを改ざんする Repudiation(否認) - ログの消去により証拠隠滅を図る Informati…

Security Team

Privacy Sandboxはなにを語るのか

こんにちは。@otolabです。 Webのプライバシー保護について大きな動きが続いています。 現在の中心的な議論は、主に広告目的で行われるクロスサイトのトラッキング防止です。SafariのITPは有名ですが、ブラウザベンダー各社がさまざまな取り組みを行っており、なかでもトップシェアを占めるChromeを開発するGoogleが発表しているのがPrivacy Sandboxです。 Privacy Sandboxを簡単に説明すると、ユーザのクロスサイトラッキングによるプライバシー問題を解消するための一連の機能・技術開発を行うプロジェクトです。プライバシー保護と同時に、Webの大きな収益元である広告システムを破壊しないという観点を持っていることが特徴です。 大きなタイムスケジュー…

Naoto KatoNaoto Kato

Google Cloud Anthos DayでGKEのセキュリティ対策と運用について話してきました

こんにちは、エンジニアの @komukomo です。2020/01/30 に行われた Google Cloud Anthos Day に 「GKEにおけるセキュリティ対策と運用」というタイトルで登壇させていただいので、こちらのブログでもその内容を簡単にまとめておきます。(他の登壇者の方の資料も公式サイトにて公開されています) 我々が開発している KARTE ではユーザの行動データを扱っており、その中にはセンシティブなデータも含まれているので KARTE を開発する上ではセキュリティというのは重要なトピックです。ということで今回お話したのはセキュリティに関する内容で、直接プロダクトの KARTE とは関係ないのですが、 GKE でのセキュリティに関する考え方 と、個別機…

Yoshiyuki Komazaki

ITP 2.2, 2.3の検証ツールを作ってみた

@otolab です。 ITP 2.2, 2.3に関する調査を行いましたので、検証ツールの解説を行いたいと思います。 今回の検証では、ITP 2.2のリンク装飾(Link Decoration)されたランディングページによるcookieの保存期間短縮と、ITP 2.3で追加されたリファラへのリンク装飾に対する制限について調べています。 2つとも、広告流入時にIDを1st partyとして保存するようなケースを想定しており、流入元から対象サイトへの情報伝達・保存を制限するものです。 なお、localStorageに制限が掛かったことが2.3での変更の大きなポイントですが、制限の元となる条件は2.2のcookieと同様であるのと、localStorageの寿命を簡単に…

Naoto KatoNaoto Kato

社内セキュリティハッカソンと脆弱性体験ハンズオンを開催しました

こんにちは! エンジニアの@junkusaです。先日、PLAID社内でKARTEのセキュリティをテーマにしたセキュリティハッカソンを実施しました。 セキュリティハッカソンの目的と背景 PLAIDはKARTEという「リアルタイムユーザー解析プラットフォーム」を提供していますが、KARTEではさまざまな種類のデータを扱います。 KARTEのデータを安全に扱うために、PLAIDでは外部のセキュリティの専門家などとも協力して取り組んでいます。 また“セキュリティ組“というセキュリティ強化に取り組むチームもできました。セキュリティ組では開発者自身がより深くセキュリティに取り組むのを手助けしています。 開発者自身で深くセキュリティに取り組むには、セキュリティについて深く理解す…

Jun KusahanaJun Kusahana