InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
Java 8にバックポートされたTLSの改善
Application Layer Protocol NegotiationがJava 8で利用可能になったことで、ソフトウェア所有者はJavaの新しいバージョンがなくてもHTTP/2経由で通信できるようになった。
-
Mooreの法則55周年
2020年4月は、Intelの創業者のひとりであるGordon Moore氏が、論文"Cramming more components onto integrated circuits"を公開してから55周年になる。50年以上にわたって、Intelとその競合企業は、Mooreの法則を事実とし続けてきた。しかし近年では、チップの最小加工寸法(feature size)を引き下げようという試みが、経済的および物理的な制限によって妨げられるようになったことから、Mooreの法則以降の世界について考えざるを得ない状況になっている。
-
Safariがサードパーティクッキーをデフォルトでブロック
Safariは、Webプライバシの前進を目指す行動のひとつとして、サードパーティクッキーをデフォルトでブロックすることにより、TorやBraveのようなプライバシ重視のWebブラウザの仲間入りを果たした。一方でGoogleは、すべてのChromeユーザを対象としたデフォルトでのサードパーティクッキーのブロックについては、2022年までサポートしない予定である。サードパーティクッキーをデフォルトでブロックすれば、ログインフィンガープリントが無効になる可能性のある反面、クロスサイトリクエストフォージェリ(cross-site request forgery)攻撃を無効にできる期待もある。
-
AmazonがCLI v2をリリース、SSOとインタラクティブなユーザビリティ機能が使用可能に
Amazonは先頃、ブログ記事でAWS CLI (Command Line Interface) v2の一般提供(GA)を開始すると発表した。今回のバージョンのCLIには、AWS Single Sign-On(SSO)、インタラクティブなウイザード、サーバ側情報の自動補完と自動プロンプトなどが含まれている。また、Pythonの事前インストールが前提条件でなくなり、Windows、Linux、macOSがサポート対象になった。
-
MicrosoftがAzure Filewall Managerに仮想ネットワークのサポートを追加、管理の集中化を可能に
先日のブログ記事でMicrosoftは、Azure Firewall Managerが仮想ネットワークをサポートしたことを発表した。この新機能によって、セキュリティ付き仮想ハブとハブ仮想ネットワークという2つのネットワークアーキテクチャに基づいた、クラウドベースのセキュリティ境界におけるセキュリティポリシ管理とルート管理の集中化が実現する。
-
コンプライアンスとカリフォルニア州プライバシ法 - ”帝国の逆襲”
2020年1月1日、カリフォルニア州プライバシ法(California Privacy Act)が施行された。だが、多くの企業が同法に準拠しておらず、法律の長期的な効果については未知数だ。
-
Swift CryptoでApple CryptoKit APIがサーバサイドSwiftでも利用可能に
Swift Cryptoは、すべてのサポート対���プラットフォーム上で共通の暗号化処理APIを提供することを目的とした、Swiftの新しいオープンソースライブラリだ。macOS上ではAppleのCryptoKitフレームワークを、それ以外のプラットフォームではBoringSSLを使用している。
-
セキュアなIoTプラットフォームのAzure SphereがGAに到達
先日のブログ記事でMicrosoftは、エンドツーエンドIoTセキュリティプラットフォームAzure SphereのGA(General Availability)を発表した。マイクロコントローラユニット(MCU)、Linuxをベースとしたセキュアなオペレーティングシステム(OS)、ソフトウェア・アップデートや新たな脅威の検出などのクラウド・セキュリティサービスの提供、という3つの重要領域にフォーカスしたプラットフォームだ。
-
DevOpsチームによるセキュリティ改善の取り組み
DevOpsチームは開発、テスト、運用をひとつのチームが担当することにより、ソフトウェアの開発速度を改善している。今後数年間は多くのチームが、予測不能な専門家のゲートに検証作業を任せるのではなく、プロセスの一部としてセキュリティを取り入れるようになるだろう。
-
Jenkinsの開発者が継続的リスクベーステストのMLスタートアップを立ち上げ
Jenkinsの開発者であるKohsuke Kawaguchi氏が、マシンラーニングを使用したリスクベースのテストの識別を行うスタートアップであるLaunchableを創立した。テストに関する思想的リーダであるWayne Ariola氏も、継続的テストアプローチの必要性に関して、ターゲットを明確にしたリスクベースのテストが継続的デリバリに信頼性を与えると述べている。
-
信頼できるハードウェアの構築は可能か - Andrew Huang氏の36C3での講演より
Andrew "bunnie" Huang氏は先頃の36C3で、ブログ記事"Can We Build Trustable Hardware?"の内容をテーマに、"ハードウェアの信頼性問題はオープンソースでは解決できない(Open Source is Insufficient to Solve Trust Problems in Hardware)"と題した講演を行った。講演の中心は、ハードウェアとソフトウェアではTOCTOU(Time-of-Check to Time-of-Use)の意味が大きく違っているため、脅威モデルにおける数々の潜在的攻撃の緩和にはさほど有用ではない、という主張だ。
-
MicrosoftがCrypto32.dllの重大な脆弱性を修正
Microsoftは、ECC(Elliptic Curve Cryptography、楕円曲線暗号)認証に影響する重大な脆弱性を修正するため、Windows 10の各バージョンとWindows Server 2019、2016を対象としたパッチをリリースした。この脆弱性は、攻撃者による証明書チェーンの有効性と署名の検証の偽装を可能にするものであるため、迅速なパッチ適用が必要である。
-
GitLabにおける剤弱性の防止と対処
GitLab public bungプログラムの公式ローンチから1年経った今、その成果と、GitLabとそのユーザのセキュリティ改善に与えた影響の評価をするべき時だ。InfoQでは、GitLabのシニアアプリケーションセキュリティエンジニアであるJames Ritchey氏から、GitLabのセキュリティ戦略、およびバグ報奨金プログラムが組織に貢献するものについて話を聞くことができた。
-
DatadogがKubernetesで大規模クラスタを実現するまで
DatadogのLaurent Bernauille氏がベルリンのVelocityカンファレンスで、自己管理型Kubernetesクラスタを大規模に運用する際の課題について講演した。Bernaille氏が焦点を当てたのは、レジリエントでスケーラブルなコントロールペーンを設定する方法、証明書(certificate)を高頻度でローテーションする理由と方法、Kubernetesで効率的な通信を実現するためにネットワークプラグインを使用することの必要性、といった話題だ。
-
Microsoftはコードのセキュリティを検証するツールApplication Inspectorをリリースした
最近のMicrosoftにのブログ投稿で、開発者がソリューションのセキュリティ脆弱性を検出するオープンソースツールが発表された。ツールはMicrosoft Application Inspectorと呼ばれ、GitHubから入手できる。組織が市場投入までの時間を短縮しようとすると、ソフトウェアの複雑さと、十分に吟味されていないオープンソースコンポーネントの利用により、見落としが生じる可能性がある。Application Inspectorは、サードパーティーライブラリで使われている悪意のあるコードを認識する。