InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
AWS Key Management Serviceにマルチリージョンキーを導入
AWSは先頃、暗号化されたデータをリージョン間で移動できるようにするクライアントサイドアプリケーションのための新機能であるKMSマルチリージョンキーが利用可能だと発表した。
-
Google CloudはBigtableのSLAを改善し、新しいセキュリティ機能を追加
Google Cloudは最近、Bigtableインスタンスに対して可用性SLAを99.999%まで引き上げた。これは、FirestoreとCloud SpannerのSLAと一致する。データストレージシステムには、エンタープライズワークロード用の2つの新しいセキュリティ機能、顧客管理の暗号化キー(CMEK)とデータアクセス監査ログが導入された。
-
Slackが新しいロール管理アーキテクチャを詳しく説明
Slackは最近、新しい役割管理システムのソフトウェアアーキテクチャの詳細な説明を投稿した。Slackは、以前よりも柔軟なシステムを構築する必要があった。Slackは、カスタムコンテナ化されたGoベースのパーミッションサービスを開発した。これは、gRPCを介して既存のシステムと統合される。その結果、顧客の管理者は、ユーザが実行できることをきめ細かく制御できるようになった。
-
OpenJDKの論じるSecurityManager以降のプラクティス
JavaのSecurityManagerを非推奨とするJEP-411の導入を受けて、この変更による影響と予想される結果、およびJava 17(長期サポート(LTS)リリース)の早期リリースビルドでの実装に関する議論に、いくつかのプロジェクトが意見を述べている。特にOracleは技術論文"Security and Sandboxing Post SecurityManager"を発表している。
-
ソフトウェアの品質とデリバリーのスピードを向上します。7月20日のInfoQ Liveで方法を学んでください
自動化、継続的テスト、およびサプライマネジメントの手法によって、ソフトウェアの品質とデリバリーのスピードがどのように向上するかを学んでください。7月20日のInfoQ Liveで、世界クラスのドメインエキスパートから貴重なインサイトを入手してください。
-
Aqua Securityの最新レポートで、クラウド攻撃の増加を強調
Aqua Platformを開発したAqua Securityは、1年分のセキュリティ修復データの分析の概要を示すレポートを公開した。このレポートで、特定されたすべての問題に対処している組織はほぼなく、企業組織が対処している問題の解決に平均88日かかっていることがわかった。彼らの分析では、コンテナベースおよびクラウドネイティブのインフラストラクチャに対する攻撃が大幅に増加していることがわかった。
-
継続的セキュリティテストを有効にしてテストにセキュリティを追加する
チームは、テストプ���セスにセキュリティテストを追加し、機能テストの自動化の一部としてセキュリティチェックを追加して領域の特定ができるようになるためにセキュリティの専門家によってトレーニングをうけることが可能だ。これにより、継続的なセキュリティテストが可能になり、すべてのリリースでセキュリティテストの対象範囲が広がり、セキュリティの欠陥を早期に発見できる。
-
AirbnbがHimejiを構築 - スケーラブルな中央認証システム
Airbnbは最近、スケーラブルな集中認証システムであるHimejiをどのように構築したかについて説明した。Himejiは、信頼できる唯一の情報源として、パーミッションデータを保存し、パーミッションチェックを実行する。シャーディングおよびレプリケートされたインメモリキャッシュを使って、パフォーマンスを向上させ、レイテンシを短縮し、本番環境で約1年間チェックを行ってきた。
-
現行のSpectre防御を無効にする新たなエクスプロイト、修正はパフォーマンスに影響
バージニア大学工学応用科学部(UVA Engineering)の研究者たちが先頃、既存のSpectre防御を回避して、Intel/AMDのマイクロ命令キャッシュから機密を盗み取ることの可能な、新たなSpectreハードウェアエクスプロイトを公開した。IntelとAMDは、新たなガイダンスは不要だと述べている。一方で研究者たちは、修正は展開が困難か、あるいはパフォーマンスの低下を伴う、と指摘する。
-
GitHubが、GitHubアクションを使って、増加する暗号通貨マイニング攻撃に対抗
最近の暗号通貨マイニング攻撃の急増に応じて、GitHubは、悪用を防ぐために、パブリックフォークからのプルリクエストをGitHubアクションで処理する方法を変更した。
-
CNCFがシークレット管理をテーマとするTechnology Radarの最新版を発行
CNCFはend-user Technology Radarの第4版を発行した。今回のテーマはシークレット管理(secrets management) — ディジタル認証を管理するための一連のツールとテクノロジだ。最新版の目的は、エンドユーザの使用しているツールや推奨するツールに関する情報、その中に現れているパターンをシェアすることにある。
-
クラウドとサーバレスセキュリティの課題。 InfoQ Liveでセキュリティエキスパートに参加してください - 6月22日
DevSecOpsとは何でしょうか? DevOpsとの関係はどのようなものでしょうか? そしてそれは何を解決するのでしょうか? 6月22日火曜日のInfoQ Liveで世界クラスのDevSecOpsとアプリケーションセキュリティの専門家から、クラウド、特にサーバレスアーキテクチャでのセキュリティの課題を克服する方法について、実践的なアドバイスを学びましょう。
-
HashiCorp Boundary: リモートアクセス管理サービスにOIDCサポートを追加
HashiCorpは、動的インフラストラクチャのために設計されたオープンソースのIDベースアクセス管理サービスであるBoundaryのバージョン 0.2のリリースを発表した。このリリースには、OIDC認証方式のサポートが含まれている。macOSに対応したBoundary Desktopアプリケーションはバージョン1.0になった。
-
ポスト量子暗号とは - Jean-Philippe Aumasson氏に聞く
量子コンピュータはいまだ初期段階にあるが、企業や研究機関の間では、ポスト量子暗号(post-quantum cryptography)に関する関心が高まっている。InfoQは今回、ポスト量子暗号がどこへ向かうのかを理解すべく、暗号研究者のJean-Philippe Aumasson氏に話を聞いた。
-
調査結果より、Infosecチームがクラウドの複雑さに対処するためにセキュリティツールの使用を拡大
非営利組織であるクラウドセキュリティアライアンス(CSA)は、最近、クラウドセキュリティプラクティスの現状に関する調査結果を発表した。これは、クラウドの採用が加速していることを示しており、より高度なセキュリティアプローチが必要とされる。