InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
172中1つのRSA認証に乱数生成の不備による脆弱性が存在
KeyFactorの研究報告によると、IoTなどネットワークデバイスの多くに、攻撃に対する脆弱性を持った弱いディジタル認証が使用されているという。研究者のJonathan Kilgallin、Ross Vasko両氏が7,500万のRSA認証を分析したところ、172に1つの割合で、鍵に共通因数が存在した。つまりそれらは、簡単にクラック可能ということだ。
-
CloudFlareがNetwork Time Securityプロトコルのオープンソース実装をリリース
CloudFlareは、同社のNetwork Time Security(NTS)プロトコルの最初のメジャーリリースを発表した。同社が以前リリースした、Network Time Protocol(NTP)とNTSをサポートする無償のタイムサービズであるtime.cloudflare.comがベースとなっている。
-
Microsoftがソフトウェアの安全性に関するソリューションとしてRustを検討
Microsoftは現在、ソフトウェアの安全性改善を目的としたRustの導入試験を行っている。RustFest Barcelonaでは同社エンジニアのRyan Levick氏とSebastian Fernandez氏が、MicrosoftがRustを使用する上で直面している課題について講演した。また、Adam Burch氏の説明によれば、同社は現在、低レベルのWindowsコンポーネントの書き直しなどでRustを試験的に使用しているという。
-
新たに創設されたBytecode Alliance、モジュールの安全使用のためにWebAssemblyナノプロセスを提案
MozillaのLin Clark氏は先頃、Bytecode Alliance設立を発表した。Bytecode Allianceは、ブラウザ内外においてデフォルト状態で安全性の確保されたWebAssemblyエコシステムの成長を実現するための、標準の提案と実装を目的とした、業界的なパートナシップである。サードパーティ製Wasmパッケージ実行時の分離性と安全性を提供する手段として、Bytecode Allianceではナノプロセス(nanoprocess)という概念を導入している。
-
GitHubが脆弱性ワークフローを改善してCVE採番機関に
Semmleの買収に伴って、GitHubは、メンテナや開発者による脆弱性の修正と保護を容易にすることを目的とした改善を数多く公開した。この中に、GitHub UIから直接セキュリティアドバイザリを生成し、CVE番号を割り当てる機能が含まれている。
-
Eclipseが脆弱性評価ツールを提案
Eclipse Foundationでは、既知のセキュリティ問題を持つライブラリの識別を支援する、脆弱性評価ツールを取り入れる提案を評価中である。これによって開発者は、自身の開発中の技術が脆弱なコンポーネントを使うことによってダウンストリームリスクに直面するアプリケーションに対して、開発者を支援することが可能になる。
-
MicrosoftがActive Directoryベースのサービスアクセス制御の一般供用を開始
Microsoftは先頃の声明で、Azure Active Directory(AD)ベースのService Busアクセス制御の一般供用を開始すると発表した。これにより、ユーザIDとRBAC(Role Based Access Control)を組み合わせて、サービスのエンドポイントを認証するオプションが利用可能になる。この目的で使用するRBACロールも同時に導入しており、付与するアクセス許可をきめ細かく制御することができる。
-
GatekeeperによるKubernetesポリシの拡張
Kubernetes Policy Controller Gatekeeperの最新リリースでは、CNCFプロジェクトであるOpen Policy Agentをこれまで以上に活用して、ポリシ、制約テンプレートの共有、ポリシ違反に対する監査リソースの宣言を可能にしている。
-
英国政府NCSCによるセキュリティアーキテクチャのアンチパターン
英国政府のNational Cyber Security Centreは先頃、コンピュータシステムを設計する際に避けるべき6つの設計パターンに関する白書を公開した。 この記事では回避すべきアンチパターンと、それらを認知した場合に実行可能なシステム改善策について論じる。
-
iOSの5つのゼロディ脆弱性チェーンが数年にわたってエクスプロイトの対象に
iOS 10からiOS 12まで、ほぼすべてのiOSバージョンに影響する14の脆弱性によって、ハッキングされた多数のWebサイトが訪問者のデバイスを制御し、少なくとも2年間にわたって大量の個人データを盗むことに成功したと、Google Threat Analysis Group(TAG)エンジニアのIan Beer氏が記している。
-
ロボット・ソーシャルエンジニアリング - Brittany Postnikoff氏のQCon New Yorkでの講演より
QCon New Yorkで Brittany Postnikoff氏が、"Robot Social Engineering: Social Engineering Using Physical Robots"と題した講演を行った。学術研究文献から引用した調査結果で氏が示したのは、人は多くの場合において、ロボットを使って操ることができる、ということだ。講演の中心的なメッセージは、ロボットの基本設計の一部としての、セキュリティとプライバシの必要性だ。
-
コンプライアンスとセキュリティの統一インターフェースを提供するAWS Security Hubが一般利用可能に
Amazonは先頃、AWS Security Hubの一般公開(GA)を発表した。AWS環境全体のセキュリティとコンプライアンスを管理する中心的な場所を顧客に提供する、新たなセキュリティサービスである。
-
DOES London - Mark Schwartz氏の語る”戦争と平和とIT”
元CIOで因襲打破主義者(iconoclast)を自称するMark Schwartz氏が、先日のDevOps Enterprise Summit Londonで講演した。Schwartz氏は、IT Revolutionの出版した3つの書籍'The Art of Business Value'、'A Seat at the Table'、'War & Peace & IT'の著者であり、現在はAmazon Web Servicesでエンタープライズストラテジストの任にある。
-
GitHubは継続的な脆弱性検出のためにSemmleコード分析を統合する
GitHubはスタートアップのSemmleを買収し、継続的統合/継続的デプロイサービスの一部として、継続的脆弱性検出を目指している
-
マイクロサービスとKubernetesのための継続的セキュリティを実践する
コンテナやKubernetesの世界でますます高速化する継続的デリバリに、セキュリティは適応しなければならない、それにはコードとしてのセキュリティ(security as code)が必要だ、とMateo Bruillo氏は主張する。氏はRebelCon.io 2019で、継続的セキュリティを備えたDevSecOpsプロセスの実装方法について講演した。