InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
AWS Shield Network Security Director:ネットワークトポロジーの可視化と改善ガイダンス
AWS Shieldは分散サービス拒否(DDoS)保護で知られているが、新機能のプレビュー:AWS Shield Network Security Director、Shield の役割をDDoS緩和だけに留めず、ネットワーク構成の包括的な可視化を提供し、セキュリティ問題を特定、AWSリソースに対する実用的な改善提案を提供する機能を導入した。
-
CVEに別れを告げる?欧州脆弱性データベースEUVDが稼働開始
欧州連合サイバーセキュリティ機関(ENISA)は、欧州脆弱性データベース(EUVD)のベータ版を最近公開した。この新しい公共プラットフォームは、広く利用されている共通脆弱性識別子(CVE)システムと並行して運用されるが、独立して機能する。EUVDは、EU内での脆弱性対応における連携と透明性の向上を目的としている。
-
Have I Been Pwned 2.0 データ漏洩監視のための新ツールを追加
セキュリティ研究者のTroy Hunt氏が設立した人気のデータ漏洩通知サービスHave I Been Pwned社(HIBP)が漏洩情報の可視性向上と将来の機能拡張を目的とした大規模なフロントエンドの再設計を発表した。InfoQ社とのインタビューで、Hunt氏は自動化、ファミリーアカウントの登録、そして企業向けワークフローの改善を次の具体的なステップとして挙げる一方、業界全体でより強力な漏洩情報開示の規範を求めた。
-
DockerがHardened base imagesを発表
Dockerは脆弱性の低減とコンテナ化アプリケーション用ソフトウェアサプライチェーンのセキュリティ向上のために、本番環境向けの新たなセキュリティ強化型ベースイメージ群を発表した。
-
DockerがHardened Imagesを導入、コンテナセキュリティを強化
DockerはDocker Hardened Images、ソフトウェアサプライチェーンの脅威から保護するために設計された、エンタープライズグレードでセキュリティ強化されたコンテナイメージのカタログ、をリリースした。Dockerによれば、DevOpsチームが自らコンテナのセキュリティを確保する手間を省くことで、Hardened Imagesはエンタープライズグレードのセキュリティおよびコンプライアンス標準を満たすより簡単な方法を提供する。
-
SSL/TLS証明書の有効期間が2029年までに47日に短縮される
インターネットセキュリティを強化する動きの中で、CA/Browserフォーラム(CA/Bフォーラム)はSSL/TLS証明書の最大有効期間を現在の398日から、2029年3月15日までにわずか47日に短縮する提案を承認した。この決定は当初Appleによって提案され、Google、Mozilla、Sectigoなどの主要な業界関係者によって支持され、長期間有効な証明書に伴うリスクを軽減し、証明書管理の自動化を促進することを目的としている。
-
Google Goモジュールミラーが3年以上にわたって���ックドアを提供していた
2025年2月、Goプログラミングエコシステム内で重大なサプライチェーン攻撃をSocketの研究者が発見した。github.com/boltdb-go/boltという悪意のあるパッケージが正規の広く使われているBoltDBモジュールになりすましていることが発見された。このバックドア化されたパッケージはGo Module Proxyのキャッシュ機構を悪用して何年もの間検知されずに存在し続け、モジュール管理システムの脆弱性を浮き彫りにした。
-
Meta社がうるう秒を処理するためにPrecision Time Protocolを使用する方法
多くのシステムは、調整、ログ記録、セキュリティ、分散オペレーションにおいて、正確で一貫性のある時間管理に依存している。金融取引、データベースのレプリケーション、スケジュールされたタスクなど、時間に敏感なプロセスでは、1秒のズレでさえ障害を引き起こす可能性がある。分散データベース、テレメトリーパイプライン、イベント駆動アーキテクチャのような厳密な同期が必要なシステムでは、うるう秒の取り扱いを誤ると、データの損失、重複、不整合につながる可能性がある。そのため、うるう秒を正確に管理することで、高精度の時刻に依存する環境全体のシステムの信頼性と一貫性を確保できる。
-
AWSはWell-Architected Generative AI Lensにおいて責任あるAIを推進
AWSは、生成AIワークロード設計と運用のベストプラクティス提供にフォーカスした、新しいWell-Architected Generative AI Lensの提供を発表した。このLensは、生成AIを使って堅牢かつコスト効率の高いソリューションを提供する責任を持つビジネスリーダー、データサイエンティスト、アーキテクト、エンジニアを対象としている。このドキュメントはクラウドに依存しないベストプラクティス、実装ガイダンス、その他のリソースへのリンクを提供している。
-
Cloudflare Security Week 2025 総括:量子暗号からAI Labyrinthまで
先日開催されたCloudflare Security Week 2025 において、クラウドプロバイダーはサイバーセキュリティサービスの様々な改善とセキュリティ脅威の傾向と課題を分析した複数のレポートを発表した。さらに不正なクローラーに対抗するハニーポットの新バージョン AI Labyrinthと、安全なAI技術の採用を支援することを目的としたツール群 Cloudflare for AIも発表した。
-
GitHubによるCodeQLのセキュリティ活用方法
GitHubのProduct Security Engineeringチームでは、GitHubの裏側を支えるコードのセキュリティ確保に向けて、CodeQLといったツール開発を通した大規模な脆弱性の検出・修正を行っている。 同チームからアプローチに関する洞察が共有されており、他の組織でもコードベース保護に向けたCodeQLの活用方法を知ることができる。
-
GitLabがECRイメージの移行とプル遅延を自動化した方法
GitLabは最近、Amazon Elastic Container Registry(ECR)からGitLabのContainer Registryへのコンテナイメージの移行を自動化するソリューションについて議論した。チームは、Amazon ECRからGitLabのContainer Registryへのコンテナイメージの発見、再タグ付け、転送のプロセスを自動化するCI/CDパイプラインを作成した。
-
Google CloudのAI Protection:AIアセットを保護するためのソリューション
Google Cloudは最近、生成AIに関連するリスクや脅威から保護する包括的なソリューション、AI Protectionを発表した。
-
Googleが機密フェデレーション分析でデータプライバシーを強化
Googleはプライバシーを保護しながらデータ処理の透明性を高めるために設計された技術、Confidential Federated Analytics(CFA)を発表した。フェデレーション分析を基盤に、CFAは機密コンピューティングを活用して生データがサーバーやエンジニアに公開されることなく、ユーザーデータに対して事前に定義された検査可能な計算のみが実行されるようにする。
-
GitLabがコードの変動性と重複報告に対処するための高度な脆弱性追跡を導入
GitLabは脆弱性管理における2つの重要な課題に対処する新機能を導入した:コードの変動性と重複報告である。コードの変動性がコードベースに頻繁に変更が加えられることで以前に解決された脆弱性が再検出されることを指すのに対し、重複報告は複数のセキュリティツールが同一の脆弱性を特定する場合に発生する。この新機能はこれらの問題に対処するために高度な追跡メカニズムを統合し、脆弱性検出と管理の精度と効率を向上させる。