InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
Microsoft、新たなデータガバナンスサービスAzure Purviewを公開プレビューでローンチ
Microsoftは先頃、同社クラウドプラットフォーム上の公開プレビューとして、Azure Purviewという名称の新たなデータガバナンスソリューションを発表した。この新サービスは、コンプライアンスリスクを最小化しながらデータの検出とカタログ化を自動化すると同時に、すべてのデータを所在場所に関係なくマッピングすることにより、データ資産のエンドツーエンドのビューを提供する。
-
Lets Encryptの5年間
5年前、非営利団体は、TLS証明書の自動プロビジョニングを通じて、デフォルトでWebサイトの安全性を高めることを目的として、公開認証局を設立した。 5年後、Lets Encryptは独自のトップレベルルートCAを組み立てている。これは来年デフォルトで提供される。しかし、一部の古いAndroidバージョンでは使用できない。
-
12のシスコの脆弱性
セキュリティ研究者は、Cisco Security Managerを悪用する12の脆弱性を特定した。この欠陥には、逆シリアル化、リモートコード実行、および任意のファイルアクセスがある。
-
AWSがGateway Load Balancerを発表
AWS Gateway Load Balancerは、新しいフルマネージドネットワークゲートウェイおよびロードバランサである。このサービスは、ファイアウォール、侵入検知、防止システム、ディープパケットインスペクションシステムなどのサードパーティの仮想アプライアンスをクラウドに展開、拡張、管理するように調整されている。
-
SAD DNSの仕組み
SAD DNSは、DNSキャッシュポイズニングの新たな変種である。攻撃者が悪意を持ったDNSレコードをDNSキャッシュに挿入することで、任意のトラフィックを自身のサーバにリダイレクトし、中間介在者(man-in-the-middle、MITM)になることができる。
-
HashiCorp Vaultがトークン化機能とオートジョイン機能を追加
HashiCorpはVault1.6をリリースし、シークレット・ID管理プラットフォームに新機能を追加した。クラウドオートジョインにより、新しいVaultノードをクラスターに自動的に接続できる。トランスフォームシークレットエンジンでは、Vaultの外部に保存されているデータをより安全にするためにトークン化をサポートするようになった。他には、キー管理サービスとの統合と、シール移行のサポートが追加されている。
-
リモートでの脅威モデリングの促進
ThoughtWorkのJim Gumbley氏は先頃、リモートとオンサイトセッションを促進するテンプレートを使用して、Martinfowler.comで脅威モデリングのガイドを公開した。彼は、ビジネスの利害関係者とともに、各反復内での継続的な脅威モデリングを主張している。Derek Handova氏は、自動化によるセキュリティからの摩擦の除去と、SDLCにおけるセキュリティの焦点の強化についても書いている。
-
プライバシーを保護するコンタクト追跡ソリューションを可能にする Secure Multiparty Computatio
現在のCOVID-19パンデミックは、さまざまな暗号化アプローチに基づいて、コンタクト追跡アプリを実装するためのいくつかの取り組みを促進している。InfoQは、暗号とセキュリティのHashiCorpプリンシパルプロダクトマネージャであるAndy Manoske氏と話をし、Secure Multiparty Computationと、さまざまなソースからの個人データのプライバシー保護分析を可能にする方法について学んだ。
-
ハードウェア攻撃によりnRF52デバッガーが露呈
ハードウェアバイパスにより、攻撃者は、多くの消費者向けおよび医療機器で使用されているnRF52無線チップセットで完全なデバッグ機能を復元できる。フォールトインジェクションは、ソフトウェアではパッチを適用できないシリコンを攻撃する方法でデバッグを再度有効にする。
-
Alcideの新しいsKanコマンドラインツールがKubernetesデプロイメントファイルをスキャンする
KubernetesセキュリティプラットフォームのAlcideは、開発者、DevOps、KubernetesアプリケーションビルダがAlcide Security PlatformにアクセスできるようにするコマンドラインツールであるsKanのリリースを発表した。sKanを使用すると、開発者はCIパイプラインを含むアプリケーション開発ライフサイクルの一部としてKubernetes構成ファイルとデプロイファイルをスキャンできる。
-
Appleサインインの0-Day脆弱性に$100,000の報奨金
今年の初め、セキュリティ研究者のBhavuk Jain氏は、Appleサインインのゼロデイ脆弱性を明らかにした。これにより、攻撃者は電子メールアドレスを知っているだけで被害者のアカウントを簡単に制御できるようになる。Appleはこの脆弱性にパッチを当て、悪用の証拠は見つからないと述べた。
-
GitLabの年次DevOps調査で、新たなトレンドと変化する役割を示す
21か国から3500人を超える開発者によって完了したGitLabのDevOps調査は、開発とリリース、セキュリティ、テストの3つの主要な領域を網羅している。この調査は、リリースサイクルの高速化と品質の向上を示唆しており、最近のDevSecOps領域では、より組織的な微調整が必要だ。InfoQは、GitLabのシニア開発者エバンジェリストであるBrendan O'Leary氏と話す機会を得た。
-
AWSでは、機密コンピューティング用の分離されたEC2環境であるNitro Enclavesが利用可能に
AWSでは最近、Nitro Enclavesが利用できるようになった。これは、機密データを処理するための分離されたEC2環境である。軽量Linux OSがベースのNitro Enclaveは、強化され、保証されており、高度な制約がある仮想マシンである。
-
WebAssembly: デフォルトで安全なエコシステムの構築 - WebAssembly SummitでのLin Clark氏の講演
WebAssemblyとRustに焦点を当てたMozillaの主任研究エンジニアであるLin Clark氏は、WebAssembly Summitで、WebAssemblyが対処しなければならないセキュリティの課題について話し合った。Clark氏は、ナノプロセスの提案が、ポータブルでデフォルトで安全なWebAssemblyモジュールを提供するためにどのように努力しているかを説明した。
-
CloudflareがクラウドベースのNetwork-as-a-Serviceソリューションをリリース: Cloudflare One
アメリカのWebインフラストラクチャおよびWebサイトセキュリティ会社であるCloudflareは、先頃、Cloudflare Oneと呼ばれる企業の従業員向けのクラウドベースのサービスとしてのネットワークソリューションを導入した。このソリューションは、主要なID管理およびエンドポイントセキュリティプロバイダーと統合された、安全で高速、信頼性が高く、費用効果の高いネットワークサービスを提供する。