InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
AmazonがCLI v2をリリース、SSOとインタラクティブなユーザビリティ機能が使用可能に
Amazonは先頃、ブログ記事でAWS CLI (Command Line Interface) v2の一般提供(GA)を開始すると発表した。今回のバージョンのCLIには、AWS Single Sign-On(SSO)、インタラクティブなウイザード、サーバ側情報の自動補完と自動プロンプトなどが含まれている。また、Pythonの事前インストールが前提条件でなくなり、Windows、Linux、macOSがサポート対象になった。
-
MicrosoftがAzure Filewall Managerに仮想ネットワークのサポートを追加、管理の集中化を可能に
先日のブログ記事でMicrosoftは、Azure Firewall Managerが仮想ネットワークをサポートしたことを発表した。この新機能によって、セキュリティ付き仮想ハブとハブ仮想ネットワークという2つのネットワークアーキテクチャに基づいた、クラウドベースのセキュリティ境界におけるセキュリティポリシ管理とルート管理の集中化が実現する。
-
コンプライアンスとカリフォルニア州プライバシ法 - ”帝国の逆襲”
2020年1月1日、カリフォルニア州プライバシ法(California Privacy Act)が施行された。だが、多くの企業が同法に準拠しておらず、法律の長期的な効果については未知数だ。
-
Swift CryptoでApple CryptoKit APIがサーバサイドSwiftでも利用可能に
Swift Cryptoは、すべてのサポート対象プラットフォーム上で共通の暗号化処理APIを提供することを目的とした、Swiftの新しいオープンソースライブラリだ。macOS上ではAppleのCryptoKitフレームワークを、それ以外のプラットフォームではBoringSSLを使用している。
-
セキュアなIoTプラットフォームのAzure SphereがGAに到達
先日のブログ記事でMicrosoftは、エンドツーエンドIoTセキュリティプラットフォームAzure SphereのGA(General Availability)を発表した。マイクロコントローラユニット(MCU)、Linuxをベースとしたセキュアなオペレーティングシステム(OS)、ソフトウェア・アップデートや新たな脅威の検出などのクラウド・セキュリティサービスの提供、という3つの重要領域にフォーカスしたプラットフォームだ。
-
DevOpsチームによるセキュリティ改善の取り組み
DevOpsチームは開発、テスト、運用をひとつのチームが担当することにより、ソフトウェアの開発速度を改善している。今後数年間は多くのチームが、予測不能な専門家のゲートに検証作業を任せるのではなく、プロセスの一部としてセキュリティを取り入れるようになるだろう。
-
Jenkinsの開発者が継続的リスクベーステストのMLスタートアップを立ち上げ
Jenkinsの開発者であるKohsuke Kawaguchi氏が、マシンラーニングを使用したリスクベースのテストの識別を行うスタート��ップであるLaunchableを創立した。テストに関する思想的リーダであるWayne Ariola氏も、継続的テストアプローチの必要性に関して、ターゲットを明確にしたリスクベースのテストが継続的デリバリに信頼性を与えると述べている。
-
信頼できるハードウェアの構築は可能か - Andrew Huang氏の36C3での講演より
Andrew "bunnie" Huang氏は先頃の36C3で、ブログ記事"Can We Build Trustable Hardware?"の内容をテーマに、"ハードウェアの信頼性問題はオープンソースでは解決できない(Open Source is Insufficient to Solve Trust Problems in Hardware)"と題した講演を行った。講演の中心は、ハードウェアとソフトウェアではTOCTOU(Time-of-Check to Time-of-Use)の意味が大きく違っているため、脅威モデルにおける数々の潜在的攻撃の緩和にはさほど有用ではない、という主張だ。
-
MicrosoftがCrypto32.dllの重大な脆弱性を修正
Microsoftは、ECC(Elliptic Curve Cryptography、楕円曲線暗号)認証に影響する重大な脆弱性を修正するため、Windows 10の各バージョンとWindows Server 2019、2016を対象としたパッチをリリースした。この脆弱性は、攻撃者による証明書チェーンの有効性と署名の検証の偽装を可能にするものであるため、迅速なパッチ適用が必要である。
-
GitLabにおける剤弱性の防止と対処
GitLab public bungプログラムの公式ローンチから1年経った今、その成果と、GitLabとそのユーザのセキュリティ改善に与えた影響の評価をするべき時だ。InfoQでは、GitLabのシニアアプリケーションセキュリティエンジニアであるJames Ritchey氏から、GitLabのセキュリティ戦略、およびバグ報奨金プログラムが組織に貢献するものについて話を聞くことができた。
-
DatadogがKubernetesで大規模クラスタを実現するまで
DatadogのLaurent Bernauille氏がベルリンのVelocityカンファレンスで、自己管理型Kubernetesクラスタを大規模に運用する際の課題について講演した。Bernaille氏が焦点を当てたのは、レジリエントでスケーラブルなコントロールペーンを設定する方法、証明書(certificate)を高頻度でローテーションする理由と方法、Kubernetesで効率的な通信を実現するためにネットワークプラグインを使用することの必要性、といった話題だ。
-
Microsoftはコードのセキュリティを検証するツールApplication Inspectorをリリースした
最近のMicrosoftにのブログ投稿で、開発者がソリューションのセキュリティ脆弱性を検出するオープンソースツールが発表された。ツールはMicrosoft Application Inspectorと呼ばれ、GitHubから入手できる。組織が市場投入までの時間を短縮しようとすると、ソフトウェアの複雑さと、十分に吟味されていないオープンソースコンポーネントの利用により、見落としが生じる可能性がある。Application Inspectorは、サードパーティーライブラリで使われている悪意のあるコードを認識する。
-
172中1つのRSA認証に乱数生成の不備による脆弱性が存在
KeyFactorの研究報告によると、IoTなどネットワークデバイスの多くに、攻撃に対する脆弱性を持った弱いディジタル認証が使用されているという。研究者のJonathan Kilgallin、Ross Vasko両氏が7,500万のRSA認証を分析したところ、172に1つの割合で、鍵に共通因数が存在した。つまりそれらは、簡単にクラック可能ということだ。
-
CloudFlareがNetwork Time Securityプロトコルのオープンソース実装をリリース
CloudFlareは、同社のNetwork Time Security(NTS)プロトコルの最初のメジャーリリースを発表した。同社が以前リリースした、Network Time Protocol(NTP)とNTSをサポートする無償のタイムサービズであるtime.cloudflare.comがベースとなっている。
-
Microsoftがソフトウェアの安全性に関するソリューションとしてRustを検討
Microsoftは現在、ソフトウェアの安全性改善を目的としたRustの導入試験を行っている。RustFest Barcelonaでは同社エンジニアのRyan Levick氏とSebastian Fernandez氏が、MicrosoftがRustを使用する上で直面している課題について講演した。また、Adam Burch氏の説明によれば、同社は現在、低レベルのWindowsコンポーネントの書き直しなどでRustを試験的に使用しているという。