InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
GitLabがECRイメージの移行とプル遅延を自動化した方法
GitLabは最近、Amazon Elastic Container Registry(ECR)からGitLabのContainer Registryへのコンテナイメージの移行を自動化するソリューションについて議論した。チームは、Amazon ECRからGitLabのContainer Registryへのコンテナイメージの発見、再タグ付け、転送のプロセスを自動化するCI/CDパイプラインを作成した。
-
Google CloudのAI Protection:AIアセットを保護するためのソリューション
Google Cloudは最近、生成AIに関連するリスクや脅威から保護する包括的なソリューション、AI Protectionを発表した。
-
Googleが機密フェデレーション分析でデータプライバシーを強化
Googleはプライバシーを保護しながらデータ処理の透明性を高めるために設計された技術、Confidential Federated Analytics(CFA)を発表した。フェデレーション分析を基盤に、CFAは機密コンピューティングを活用して生データがサーバーやエンジニアに公開されることなく、ユーザーデータに対して事前に定義された検査可能な計算のみが実行されるようにする。
-
GitLabがコードの変動性と重複報告に対処するための高度な脆弱性追跡を導入
GitLabは脆弱性管理における2つの重要な課題に対処する新機能を導入した:コードの変動性と重複報告である。コードの変動性がコードベースに頻繁に変更が加えられることで以前に解決された脆弱性が再検出されることを指すのに対し、重複報告は複数のセキュリティツールが同一の脆弱性を特定する場合に発生する。この新機能はこれらの問題に対処するために高度な追跡メカニズムを統合し、脆弱性検出と管理の精度と効率を向上させる。
-
Google Cloudが将来の脅威からデータセキュリティを守るため、量子安全デジタル署名をCloud KMSに導入
Googleは最近、Cloud Key Management Service(Cloud KMS)に量子耐性デジタル署名を導入し、国家標準技術研究所(NIST)のポスト量子暗号(PQC)基準に準拠した。このアップデートは現在プレビュー版として利用可能であり、将来の量子コンピュータが従来の暗号化手法を破る可能性に対する懸念に対応している。
-
ライセンス変更後にルールセットを自由化するため、OpengrepがSemgrepをフォーク
JITとOrca Securityを含むソフトウェア企業のコンソーシアムはOSSバージョンで提供されるルールに関するライセンス変更への対応として、SemgrepのオープンソースソフトウェアをフォークしたOpengrepをローンチした。
-
AWSがOrganizations用集中型ルートアクセス管理を導入
AWSがAWS Organizationsメンバー用新機能を導入し、管理者が複数のAWSアカウントにまたがるルートユーザーアクセスを一元管理および制限できるようになった。このアップデートにより組織にクラウド環境内の最も特権的なアクセスに対してより大きな制御力を持たせることで、セキュリティとガバナンスが強化される。
-
AWS、セキュリティとコンプライアンス情報の一元化リソース「AWS Trust Center」を導入
AWSは、同社がクラウド上の顧客資産保護に向けた取り組みを説明するオンラインリソース「AWS Trust Center」を導入した。
-
ほとんどの企業が毎週障害を経験:The State of Resilience 2025 Report
Cockroach Labsが発表したThe State of Resilience 2025 Reportによると、ほとんどの組織で障害は日常的に発生しており、55%の企業で毎週、14%の企業で毎日障害が発生していると報告している。驚くべきことに調査参加者の100%が障害による収益損失を経験しており、過去12ヶ月間で100万米ドル以上の損失を報告した企業(8%)もあった。
-
Appleの最新世代CPUに新たなサイドチャネル脆弱性が影響
ジョージア工科大学とルール大学ボーフムの研究者が、ポピュラーなWebサイトを閲覧する際に最近のApple MおよびA CPUでChromeとSafariを使って機密情報を漏えいさせる2つの新しいサイドチャネル攻撃をデモした。
-
AWSがポスト量子暗号への移行計画を発表
AWSは、同社のセキュリティ・ブログの最近の記事で、ポスト量子暗号(POC)への移行計画について詳述している。記事では、PQCがもたらす課題を取り上げ、移行プロセスにおけるAWSの現在の進捗状況を概説し、従来の責任共有モデルにおける顧客への影響を説明している。
-
AWSクラウド開発キットの脆弱性によりAWSアカウントの完全な乗っ取りが可能に
新たにセキュリティ企業Aquaが発見したAWSクラウド開発キット(CDK)の脆弱性により、攻撃者がアーティファクトS3バケットを手動削除することでターゲットのAWSアカウントを完全に乗っ取る可能性がある。AWSはこの脆弱性を修正したが、CDKバージョンv2.148.1以前を使用している場合はまだ対策が必要だ。
-
Cloudflare、SSH認証情報を不要にする短命のSSHアクセスを導入
Cloudflare は最近、従来のSSHキーを短命の証明書に置き換える機能であるAccess for Infrastructure SSHを発表した。この新オプションは、BastionZeroのCloudflare Oneへの統合を活用し、長期的なSSHキーを一時的なエフェメラル証明書に置き換えることでセキュリティを強化しつつ、SSHキーの管理の複雑さを軽減する。
-
Cloudflare、脆弱性報告のための標準規格security.txtの普及を提唱
未報告のセキュリティ脆弱性の問題に対処し、ウェブサイトの脆弱性開示のために、Cloudflareは最近、security.txtファイルの作成と管理を支援するダッシュボードを立ち上げた。生成されたファイルはRFC9116標準に準拠しており、セキュリティ調査チームに脆弱性を報告するための標準化された方法を提供する。
-
AWS Key Management Serviceが安全な通信のためにECDHをサポート
この夏、AWSはAWS Key Management Service (KMS)が楕円曲線ディフィー・ヘルマン(ECDH)鍵合意をサポートすると発表した。AWSのセキュリティチームは最近、新しい DeriveSharedSecret API が導出した共有シークレットを使って安全な通信チャネルを確立する方法を示した。