InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
Microsoftがパブリックプレビュー版でAzure Firewall Premiumをリリース
Microsoft Azure Firewallは、Azure仮想ネットワークリソースを保護する、マネージドのクラウドベースのネットワークセキュリティサービスである。同社は最近、クラウドベースのネットワークセキュリティサービスのプレミアムバージョンのプレビューリリースを発表した。
-
GitLab 13.9では、セキュリティアラートダッシュボード、メンテナンスモードなどが導入された
GitLabの最新リリースでは、60を超える新機能が導入されている。主な目的は、大規模なDevSecOpsのサポートを改善し、自動化の複雑さを大規模な環境下でより適切に処理することである。
-
AWS OutpostsがAmazon Elastic Block Storeのローカルスナップショットをサポート
先頃、AWSは、OutpostsサービスがAmazon Elastic Block Store (ESB) のローカルスナップショットをサポートするようになったと発表した。OutpostsのAmazon EBS Local Snapshotsを使用すると、顧客はAmazon EBS ボリュームのスナップショットをOutpostsのAmazon S3にローカルに保存して、データの常駐とローカルデータ処理のニーズを満たすことができる。
-
GoogleがTsunami Security Scannerの機能を拡張
昨年オープンソースとなったGoogleのTsunamiセキュリティスキャナーは重要なアップデートを行った。アップデートとして、検出機能を拡張し、Webアプリケーションのフィンガープリントに対するサポート追加などを行った。
-
ブロックチェーンでレジリエントかつ検閲困難な分散型ストレージを目指すFilecoin
2017年にローンチされたFilecoinは、協調型ディジタルストレージとデータ取得ソリューションの実装にブロックチェーンを使用した、オープンソースの分散型ストレージネットワークである。リファレンス実装のLotusを開発したソフトウェアエンジニアのAayush Rajasekaran氏に話を聞いた。
-
AWSがAmazon S3のPrivatelinkを一般提供でリリース
AWSは先頃、Amazon S3のPrivateLinkが一般提供 (GA) になったことを発表した。Amazon S3のPrivateLinkを使用すると、顧客はAmazon S3にオンプレミスリソースを安全に接続できる。
-
Google Cloudが唱えるクラウドトラスト・パラドックス
Google Cloudは先頃、クラウドプロバイダを信頼する方法についての3編からなる技術記事シリーズを公開し、顧客の信頼やセキュリティキー管理といった概念や、暗号キーをクラウドから離す必要の生じるシナリオについて解説した。
-
Open Policy AgentがCNCFを卒業
CNCFは、Open Policy Agent(OPA)プロジェクトの卒業を発表した。OPAは、宣言型ポリシーを持ち、Kubernetesを含むさまざまなシステムと統合できるオープンソースのポリシー管理・施行エンジンである。
-
攻撃側と防御側の相違
Kenna SecurityとCyentiaは、18,000を超えるCVEを分析して、脆弱性が既知となり、悪用され、パッチが適用可能となり、そして、パッチが適用されるまでのパスを特定しました。この結果は、ほとんどの問題で攻撃者が優位に立っていることを示している。
-
iOSとmacOSでiMessageを強固にするためのサンドボックスとその他の手法
昨年iMessageでゼロクリックの脆弱性に見舞われた後、Appleはプラットフォームのセキュリティを改善するために懸命に取り組んできた。iOS 14の主な変更点の1つは、BlastDoorである。BlastDoorは、すべての信頼できないメッセージの解析をする緊密にサンドボックス化されたサービスである。また、すべてのシステムライブラリを含む共有キャッシュ領域のランダム化の改善と、ブルートフォース攻撃に対抗するための指数関数的スロットルの使用も提供する。
-
最新のTeamTNT IRCボットがAWSとDockerの認証情報を盗み取る
サイバー犯罪グループTeamTNTのインターネットリレーチャット(IRC)ボットは、暗号マイニング向けのリソース盗難以外にも、機能を拡張してきた。Docker API、Amazon Web Service、セキュアシェル(SSH)資格情報の盗難も対象とするためである。研究者は、侵入後の振る舞いについて、最近の多くの変更を特定した。犯罪グループはそれを「Dockerガトリングガン」に例えている。
-
Airbnb:ガードレールを使ってチーム全体に悪影響を与える変更を特定
Airbnbは、内部のExperiment Guardrailsシステムを展開して、さまざまなチーム間での変更による潜在的な悪影響を特定した。提案された変更がガードレールを通過しない場合は常に、影響を受けるチームと利害関係者によるさらなる分析のためにエスカレーションされる。このように、AirbnbのデータサイエンティストのTatiana Xifara氏は説明する。
-
HashiCorpがHCP Vaultのパブリックベータ版を発表
最近のブログ投稿で、HashiCorpはクラウドプラットフォーム(HCP)で提供されるHashiCorp Vaultのパブリックベータ版を発表した。Vaultを使用すると、顧客はマネージドクラウドサービスを活用して、シークレットの管理および暗号化機能を使うことができるようになる。
-
Sysdig: コンテナセキュリティのシフトレフトとDocker利用の減少
"Sysdig 2021 container security and usage report"で強調されているのは、コンテナセキュリティのシフトレフト(shift left)傾向だ。分析対象となったイメージの多くは、いまだ基本的なセキュリティプロビジョンが欠如している状況にある。
-
Vulntureによるセキュリティ脆弱性の検出
Airbnbの情報セキュリティチームが、Vulntureという同社の社内セキュリティ脆弱性報告ツールについて記事を書いた。CVE、NVD、およびその他のベンダデータベースを活用して、インフラストラクチャおよびソフトウェアスタックをスキャンし、脆弱性を検出するツールである。