InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
NISTの指針は生体認証を使用する場合に第二の認証因子を要求する
NISTは、"過去のリビジョンからのかなりの更新"と記された、新しいデジタルアイデンティティガイドラインをリリースした。このガイドラインは容認可能な複数要素認証(MFA)の使用方法について記載している。更に、生体認証を因子の1つとして用いる場合、個人が有する何らかの情報と組み合わせなければならず、パスワードのような個人が知る何らかの情報と組み合わせてはならない。
-
Apache Eagleがトップレベルプロジェクトに昇格
ビッグデータプラットフォーム上でのセキュリティおよびパフォーマンスに関する問題を特定する,オープンソースソリューションのApache Eagleが,2017年1月10日,Apacheのトップレベルプロジェクトに昇格した。eBayが2015年10月にオープンソースとしたEagleは,機密データへのアクセスや悪意のある活動を簡単に検出し,タイムリに対応する目的で開発されたソフトウェアだ。
-
Googleが監査ログ機能の提供を拡大し、ほとんどのクラウドサービスに対応
セルフサービスのパブリッククラウドで"誰が何をしたか"を追跡することは難しい。Google Cloud Audit Loggingでは、Google Cloud Platform(GCP)の17のサービスに対してログストリームを取得する。
-
Googleがクラウドベースの暗号鍵マネジメントサービスを公開
Googleは、Google Cloud Platform(GCP)の新たなサービスとして、秘密鍵暗号方式の鍵の作成、使用、ローテーション、破棄を可能にするサービスを発表した。新しいCloud Key Management Service(KMS)はGoogleのCloud Identity Access ManagementおよびCloud Audit Loggingと統合されているが、KMSを利用して管理されているキーは独立して利用することが出来る。
-
Neo4j 3.1がリリース - Causal Clusteringをサポート,セキュリティを強化
NoSQLグラフデータベースNeo4jの最新バージョンには,Causal Clustering(因果クラスタリング)と新たなセキュリティアーキテクチャが導入されている。Neo4jチームは先頃,同グラフデータベースのバージョン3.1をリリースした。その他の機能としては,データベースカーネルが改良され,現在のグラフモデルを表示するSchema Viewerが追加された。
-
IntelはApache Spark上で動作する分散型ディープラーニングライブラリであるBigDLをオープンソース化
IntelはApache Spark上で動作する分散型ディープラーニングライブラリであるBigDLをオープンソース化した。既存のSparkクラスタを活用して、ディープラーニングの計算を実行し、Hadoopに格納された大量のデータセットからのデータロードを容易にする。
-
Dockerコンテナを安全に運用するには
運用中のDockerコンテナを堅牢化するには��不変化や攻撃面の最小化,標準的なLinuxの堅牢化手法とコンテナ環境特有の手法との併用など,さまざまなテクニックを組み合わせる必要がある。
-
-
マイクロサービスシステムにおける認証ストラテジ
ソフトウェアのセキュリティは複雑な問題だが,それぞれのサービスがセキュリティを扱わなくてはならないマイクロサービスを採用することで,さらに複雑なものになる – 先日ロンドンで開催されたMicroservices ConferenceでDavid Borsos氏は,マイクロサービスベースのシステムにおける4つのエンドユーザ認証方法を評価した自身の講演の中で,このように説明した。
-
AmazonがDDoS防御のためのAWS Shieldを発表
先日のre:Invent 2016イベントでAmazonは,DDoS(Distributed Denial of Service)攻撃からの防御をユーザに提供する“AWS Shield”という新サービスを発表した。今回のこの発表は,Amazonが使用しているDNSプロバイダのDynamic Network Service(Dyn)に対するDDoS攻撃による影響をAmazonが受けてから,ちょうど1ヶ月後というタイミングになる。
-
Lawyer.comがHTTP/2に対応
顧客と弁護士をマッチするサイトであるLawyer.comはHTTP/2を導入したと発表した。InfoQはLawyer.comのCEOであり共同創業者であるGerald Gorman氏にインタビューし、技術について、マイクロサービスや軽量コンテナ、独自の検索エンジン、ソーシャルメディアについて話を聞いた。
-
Windowsの脆弱性を修正プログラム公開前にGoogleが開示
Serverlessconf London 2016の初日に挙げられたテーマは,‘NoOps’からは程遠い,サーバレスプラットフォームがもたらす運用上の課題についてだった。物理サーバと仮想マシンはかけ離れた概念かも知れないが,それは必ずしもインフラストラクチャ設定が不要になったということではない - その上で開発者たちは,危険を覚悟して,基盤である永続化機構の影響を無視しているのだ。
-
マイクロサービスとセキュリティ
アプリケーションセキュリティとなると、ばしば後付けで処置しようと試みる。開発ワークフローにテストを加える方法については既に学んでいるが、セキュリティに関しては誰かが来て後で修正してくれるとしばしば決めてかかってしまう。Sam Newman氏はロンドンのMicroservices Conferenceの基調講演において、マイクロサービスの文脈でのセキュリティに関してこう主張した。
-
Google、Microsoft、Mozillaがサイト運営者にSHA-1証明書の置き換えを促す
昨年発表されたSHA-1の廃止計画に従って、Google、Microsoft、Mozillaは、SHA-1証明書のサポートを主力ブラウザから削除するためのスケジュールを説明している。セキュリティ会社Venafiの研究者によると、1100万の公開されているWebサイトのうち35%がまだSHA-1証明書を使用しているという。
-
Ethereumにセキュリティ警告が発生,Ethereum Foundationが"From Shanghai, With Love"で対応
9月18日,Ethereum Foundationのdevcon 2 カンファレンスが始まろうとする数時間前,EthereumのブログにDOSセキュリティの警告がポストされた。この警告はEthereumブロックチェーンのブロック2283416で発見された脆弱性に関するもので,可能性および重要性の高いものと認識された。