InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
Microsoftがペイメントカード業界向けにAzure Payment HSMをパブリックプレビューでリリース
最近、Microsoftはベアメタルインフラストラクチャ・アズ・ア・サービス(IaaS)Azure Payment HSMのパブリックプレビューを発表した。これは、Azureでのリアルタイムの支払いトランザクションに暗号化キー操作を提供するものである。これには、Thales payShield 10KペイメントHSMを使われ、重要な環境で実証された一連のペイメントセキュリティ機能を提供する。
-
OpenSSFが、ソフトウェアサプライチェーンのセキュリティを改善するためのAlpha-Omegaプロジェクトを発表
GoogleとMicrosoftが提携しているOpen Source Security Foundation(OpenSSF)は、Alpha-Omegaプロジェクトを発表した。オープンソースソフトウェア(OSS)プロジェクト全体のサプライチェーンセキュリティを改善するためのものだ。このプロジェクトは、最も広く展開されている重要なOSSプロジェクトのセキュリティ体制の改善に焦点を当てている。
-
12年間使われているLinuxディストリビューションの脆弱性PwnKitによりローカルの権限昇格が可能に
最近公開された脆弱性は、PolKitコンポーネントに影響を与えるものだが、12年以上にわたっていくつかのLinuxディストリビューションに存在している。この脆弱性は簡単に悪用できてしまうと、それを発見したQualys Research TeamのディレクタBharat Jogi氏は言っている。特権のないユーザが脆弱なホストで完全なroot権限を取得できてしまう。
-
GoogleとGitHubが新しいGitHubアクションワークフローを備えたOpenSSFスコアカードv4を発表
GitHubとGoogleは、Open Source Security Foundation(OpenSSF)のScorecardsプロジェクトのバージョン4リリースを発表した。スコアカードは自動化されたセキュリティツールである。このツールにより、オープンソースプロジェクトにおけるリスクの高いサプライチェーンのプラクティスが特定される。このリリースでは、新しいスコアカードGitHubアクション、新しいセキュリティチェックが追加され、Foundationsの毎週のスキャンに含まれるリポジトリが大幅に増加した。
-
Aqua Securityがサプライチェーン攻撃の大幅な増加を報告
Aqua Securityの最近のレポートで、サプライチェーン攻撃の脅威の増加が浮き彫りとなった。レポートによると、サプライチェーン攻撃は2020年から2021年にかけて300%増加した。また、ソフトウェア開発環境全体のセキュリティレベルは低いままであった。GoogleとCloud Native Computing Foundation(CNCF)は最近、サプライチェーンのセキュリティを向上させるためのアプローチを詳述した論文を発表した。
-
Amazon GuardDutyに、他のAWSアカウントからのEC2クレデンシャル使用を検出する機能が追加
Amazon GuardDutyは最近、他のAWSアカウントで使用されているEC2インスタンスクレデンシャルの検出を追加した。これにより、AWSネットワーク外のIPアドレスによって使用されているクレデンシャルのみが報告されていた以前の状態が改善される。この新しい検出は、すべてのリージョンで利用できる。
-
Cloudflareレポートで2021年第4四半期のDDoS攻撃の驚異的な増加が示された
Cloudflareは、DDoS攻撃に関する四半期ごとのトレンドレポートをリリースするという慣習に沿って、2021年第4四半期の新しい調査結果を公開した。L3/4 DDoS攻撃が95%増加しており、Ransom DDoS攻撃の記録的なレベルが示された。
-
AWSがCloudTrailログ用のフルマネージドデータレイクをリリース
AWSはCloudTrail Lakeのリリースを発表した。CloudTrailログを保存および分析するフルマネージドデータレイクである。CloudTrail Lakeは、リージョンとアカウント間でログを集約できる。レイクでは、SQL構文を使ってログを照会できる。
-
GoogleCloudはSiemplifyの買収を通じてセキュリティオーケストレーションを採用
Googleはセキュリティオーケストレーション、自動化、応答(SOAR)プロバイダーのSiemplifyの買収を発表した。SOAR機能を独自のGoogle Chronicleセキュリティソリューションに統合することを目的としたものだ。
-
誤ったIAMポリシーによるS3データへのAWSアクセスに関する疑問
AWSサポートが使うポリシーの予期し���い変更により、顧客のS3データへのアクセスに関する懸念が生じた。当クラウドプロバイダは変更を元に戻した。アクセス許可は使用されなかったし、できなかったと述べ、セキュリティ速報を公開した。セキュリティ専門家は、将来の同じような問題を検出して防止するための手順を提案している。
-
HashiCorp Boundary 0.7とBoundary Desktop 1.4が動的ホストカタログなどでリリース
HashiCorp は、ホストとサービスの環境全体にIDベースのセキュアなユーザアクセスを自動化するオープンソースプロジェクト Boundary のバージョン 0.7をリリースした。Boundary Desktop 1.4 は、Mac、Linux、および Windows にもリリースされた。主な新機能には、動的ホストカタログ、プラグインサポート (現在は内部使用のみ)、管理コンソールでの管理対象グループとリソースフィルタリングなどがある。
-
ブロックチェーンシステムにおける品質の作り込み
ブロックチェーン技術は、優れたソフトウェア品質を自然に提供可能なソリューションの構築に使用することができる。ブロックチェーンを使うことで、コントラクトにすべてを格納する、コンパクトなシステムへの移行が可能になるのだ。ただしそれには、データのニーズについて理解し、チェーン内に格納するものとしないものを判断した上で、要件、障害、テストといった履歴をコントラクトモデル内に構築する方法を検討する必要がある。
-
既存企業にスタートアップのようなイノベーションを起こすには
スタートアップの創業者は、自身のイノベーションプロセスの一部として、不確実性や失敗を想定している。企業を立ち上げるリーダは、次世代のものを作り上げるために、社員がリスクを取るようにする必要がある。プロダクトの小さな改善を着実に続けていくことが、時間とともに複合的な効果を生み出し、ユーザが本当に求めているものを実現する一助となるのだ。
-
AWSは、新しいアーキテクチャと機能を備えたAmazon Inspectorを再リリース
Amazon Inspectorは、自動化された脆弱性管理サービスである。ソフトウェアの脆弱性と意図しないネットワークの露出に対してAWSの処理を継続的にスキャンする。これは2015年に初めてリリースされた。そして、最近のre:Invent 2021で、AWSはまったく新しいアーキテクチャと多くの新機能を持って再リリースした。新機能は、コンテナベースの処理、Amazon Event Bridgeとの統合、AWS Security Hubなどである。
-
Twitterのセキュリティキー実装の概要
最近、Twitterは内部の従業員アカウントを従来の2要素認証(2FA)から物理的なセキュリティキーに移行した。フィッシング攻撃の防止を目的としたセキュリティキーは、FIDOおよびWebAuthnセキュリティ標準を活用して悪意のあるサイトを識別できる。