InfoQ ホームページ InfoSec に関するすべてのコンテンツ
ニュース
RSSフィード-
Apple、iMessage通信用のポスト量子暗号"PQ3"を発表
Appleは、iMessage通信の安全性を確保するために使用される新しい量子耐性暗号化プロトコルである"PQ3"を発表した。
-
自己不信やインポスタ症候群から脱却し、テクノロジにおける多様性のメリットを見出すまで
Charu Bansal氏は、自身が非技術的なバックグラウンドを持っていることから、そのキャリアにおいて、自分がセキュリティに関する価値を提供できないのではないかと不安を持つ、インポスタ(詐欺師)症候群に度々陥っている。The Diana Initiative 2021で行った講演の中で氏は、非技術系のキャリアから情報セキュリティの分野に転向したことによる多様な観点を持つことが、困難なセキュリティ問題を解決する上でいかに役に立ったか、という話をした。
-
情報漏洩の定量化によってシステムを保護する
情報漏洩は、外部から参照可能な情報を機密情報に関連付けられる場合に発生する。パスワードや医療診断、場所、財務データなど、我々の世界を支える情報の多くには、エラーメッセージや電力消費パターンといった、それら機密情報のヒントを与えるような、さまざまな種類の情報が存在している。
-
リモートでの脅威モデリングの促進
ThoughtWorkのJim Gumbley氏は先頃、リモートとオンサイトセッションを促進するテンプレートを使用して、Martinfowler.comで脅威モデリングのガイドを公開した。彼は、ビジネスの利害関係者とともに、各反復内での継続的な脅威モデリングを主張している。Derek Handova氏は、自動化によるセキュリティからの摩擦の除去と、SDLCにおけるセキュリティの焦点の強化についても書いている。
-
製品としてのセキュリティ - DevOpsとInfoSecの”協力ゲーム”
情報セキュリティに関する製品戦略の専門家であるKelly Shortridge氏が、セキュリティを製品として扱うべき理由について説明する。”we mindset”とゲーム理論を解析することで、氏は、協力ゲームとしてDevOpsとInfoSecを推進する。
-
パンデミックが浮かび上がらせたZoomコラボレーションのリスク
COVID-19による自己隔離により、Zoomのデイリーユーザは1,000万から2億に増大した。これに伴ってデータプライバシやセキュリティプラクティス、ミーティング設定に関わる問題が注目されている。Bruce Schneier氏を始めとするセキュリティコメンテータが、これらの問題に対する洞察を提供している。政府機関や主要企業での使用禁止を受け、Zoomでは、前Facebook CSOが参画する90日間のセキュリティ強化期間を開始した。
-
ESP32 IoTデバイスに永久ハック可能な脆弱性
広く普及したWiFiチップであるESP32に、ハッカーによる除去不可能なマルウェアの導入が可能なセキュリティ障害が発見された。攻撃は、1度だけ設定が可能なチップ機能であるeFuseにコードを埋め込むものだ。
-
英国政府NCSCによるセキュリティアーキテクチャのアンチパターン
英国政府のNational Cyber Security Centreは先頃、コンピュータシステムを設計する際に避けるべき6つの設計パターンに関する白書を公開した。 この記事では回避すべきアンチパターンと、それらを認知した場合に実行可能なシステム改善策について論じる。
-
ロボット・ソーシャルエンジニアリング - Brittany Postnikoff氏のQCon New Yorkでの講演より
QCon New Yorkで Brittany Postnikoff氏が、"Robot Social Engineering: Social Engineering Using Physical Robots"と題した講演を行った。学術研究文献から引用した調査結果で氏が示したのは、人は多くの場合において、ロボットを使って操ることができる、ということだ。講演の中心的なメッセージは、ロボットの基本設計の一部としての、セキュリティとプライバシの必要性だ。
-
セキュリティをもっとインテリジェントに,MicrosoftがAzure Sentinelをリリース
先日のブログ記事でMicrosoftは,インテリジェントなセキュリティ製品にこれまで以上の投資を行う同社の方針を,Azure Sentinelというセキュリティ情報およびイベント管理(SIEM)プロダクトの形で発表した。SIEMはセキュリティの専門家が,サーバやファイアウォール、ルータ、スイッチなど,さまざまなシステムを対象として,ログからセキュリティイベントを集約することのできるデータストアとして使用するものだ。
-
設計レベルでプライバシを実装するHyperledger Indy
ソーシャルメディアサイトやコンシューマ向けEメールサービスといった集中型IDプロバイダは、ユーザとって便利なものだ。しかしこのアプローチは、プライバシやセキュリティ上のリスクを発生させる。オープンソースのブロックチェーンプロジェクトであるHyerledger Indyは、このようなリスク解消のために‘プライバシ最優先’アプローチを採用し、現在の集中型IDプロバイダに存在する問題に対処する。
-
Microsoft はドキュメント向けに Azure Information Protection を発表
Microsoft は 2016 年 6 月上旬に Azure Information Protection (AIP) を発表した。同サービスはセキュリティと分類学の両面からドキュメントの分類を簡単化することを目的としている。
-
パスワード管理サイトLastPassがハッキングの被害に
Webベースのパスワード管理サービスであるLastPassがハッキングされ,その結果,Eメールアドレスや認証ハッシュを含むユーザ情報が,未知の攻撃者によって取得された。この事件はユーザにとって,すべてのパスワードを中央サーバに置くことのリスクを教えるものだ。
-
Gauntltによる継続的セキュリティテスト
GauntltコアチームのJames Wickett氏はVelocity Conf Londonで,アプリケーションのセキュリティレベルに関するフィードバックの迅速化を目的とした,継続的インテグレーションサイクルへのセキュリティテスト統合についての解説を行った。氏が強調したのは,継続的デリバリによるリリースデリバリ率の増加に伴う,定期的セキュリティチェックの重要性だ
-
Windows Server 2012 のダイナミックアクセス制御
ダイナミックアクセス制御 (Dynamic Access Control) は,Active Directory のグループよりも詳細に認証と権限を管理するための Windows Server 2012 の機能セットである。関連するいくつかのコンポーネントの中でも特筆すべきなのは,ユーザおよびデバイスクレームに対して式ベースの ACL を評価する機能だ。