InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
-
マイクロサービスシステムにおける認証ストラテジ
ソフトウェアのセキュリティは複雑な問題だが,それぞれのサービスがセキュリティを扱わなくてはならないマイクロサービスを採用することで,さらに複雑なものになる – 先日ロンドンで開催されたMicroservices ConferenceでDavid Borsos氏は,マイクロサービスベースのシステムにおける4つのエンドユーザ認証方法を評価した自身の講演の中で,このように説明した。
-
AmazonがDDoS防御のためのAWS Shieldを発表
先日のre:Invent 2016イベントでAmazonは,DDoS(Distributed Denial of Service)攻撃からの防御をユーザに提供する“AWS Shield”という新サービスを発表した。今回のこの発表は,Amazonが使用しているDNSプロバイダのDynamic Network Service(Dyn)に対するDDoS攻撃による影響をAmazonが受けてから,ちょうど1ヶ月後というタイミングになる。
-
Lawyer.comがHTTP/2に対応
顧客と弁護��をマッチするサイトであるLawyer.comはHTTP/2を導入したと発表した。InfoQはLawyer.comのCEOであり共同創業者であるGerald Gorman氏にインタビューし、技術について、マイクロサービスや軽量コンテナ、独自の検索エンジン、ソーシャルメディアについて話を聞いた。
-
Windowsの脆弱性を修正プログラム公開前にGoogleが開示
Serverlessconf London 2016の初日に挙げられたテーマは,‘NoOps’からは程遠い,サーバレスプラットフォームがもたらす運用上の課題についてだった。物理サーバと仮想マシンはかけ離れた概念かも知れないが,それは必ずしもインフラストラクチャ設定が不要になったということではない - その上で開発者たちは,危険を覚悟して,基盤である永続化機構の影響を無視しているのだ。
-
マイクロサービスとセキュリティ
アプリケーションセキュリティとなると、ばしば後付けで処置しようと試みる。開発ワークフローにテストを加える方法については既に学んでいるが、セキュリティに関しては誰かが来て後で修正してくれるとしばしば決めてかかってしまう。Sam Newman氏はロンドンのMicroservices Conferenceの基調講演において、マイクロサービスの文脈でのセキュリティに関してこう主張した。
-
Google、Microsoft、Mozillaがサイト運営者にSHA-1証明書の置き換えを促す
昨年発表されたSHA-1の廃止計画に従って、Google、Microsoft、Mozillaは、SHA-1証明書のサポートを主力ブラウザから削除するためのスケジュールを説明している。セキュリティ会社Venafiの研究者によると、1100万の公開されているWebサイトのうち35%がまだSHA-1証明書を使用しているという。
-
Ethereumにセキュリティ警告が発生,Ethereum Foundationが"From Shanghai, With Love"で対応
9月18日,Ethereum Foundationのdevcon 2 カンファレンスが始まろうとする数時間前,EthereumのブログにDOSセキュリティの警告がポストされた。この警告はEthereumブロックチェーンのブロック2283416で発見された脆弱性に関するもので,可能性および重要性の高いものと認識された。
-
Microsoft はドキュメント向けに Azure Information Protection を発表
Microsoft は 2016 年 6 月上旬に Azure Information Protection (AIP) を発表した。同サービスはセキュリティと分類学の両面からドキュメントの分類を簡単化することを目的としている。
-
MozillaがWebサイトセキュリティ分析ツールのObservatoryを提供
MozillaがWebサイトのセキュリティ分析ツールをローンチした。Observatoryという名のこのツールは,ガイダンスを求める開発者やシステム管理者を対象に,セキュリティのベストプラクティスの普及を支援する。
-
Dockerとセキュアなマイクロサービス - Aaron Grattafiori氏のDockerCon 2016での講演より
米国シアトルで開催されたDockerCon 2016でAaron Grattafiori氏が,“The Golden Ticket: Docker and High Security Microservices”と題したプレゼンテーションを行なった。コンテナベースのマイクロサービスのセキュアな運用のために氏が強く推奨したのは,ユーザネームスペースの有効化,アプリケーション独自に設定したAppArmorあるいはSELinux,seccompホワイトリストの使用,ホストシステムの強化,ホストアクセスの制限,ネットワークセキュリティの考慮などだ。
-
.NET Framework 4.6.2の提供するWPFとセキュリティ改善
.NET Frameworkの最新リリースでは,WPFとセキュリティを中心に,いくつかの新機能が提供されている - その中には,待望のClickOnceによるデプロイの改善も含まれる。Microsoftが.NET Framework 4.6.2プレビューをリリースしたのは3月下旬のことだった。今回そのリリースの新機能を,開発者が自身のプロジェクトで利用できるようになったのだ。
-
最新iOSアプリのセキュリティ事情
Trail of BitsのCEOでセキュリティ専門家のDan Guido氏がQCon New York 2016で,iOSアプリのセキュリティ確保の方法を解説した。iOSのセキュリティ機構を正しく使用すること,脱獄されたデバイス上でアプリが実行される可能性を忘れないこと,などがその内容だ。
-
StormpathのJava SDK 1.0がリリースされた
今週、Stormpathはユーザ管理と認証のJava SDK バージョン1.0をリリースした。StormpathはWebとモバイルのアプリケーションで認証や認可を実装するために広くAPIを提供している。そこにはオープンソース実装を含んでおり、さまざまな言語やフレームワークを対象にしている。
-
高度に規制された金融業界におけるDevOpsの実践
SIXのアプリケーションエンジニアリング部門の長を務めるRobert Scherrer氏が,規制の厳しいスイスの金融業界において,同社がいかにDevOpsの原則とメリットを活用しているかを解説する。コンプライアンスの監査人とソリューションに関して早期に(変更コストが過大になる以前に)合意することと,旧態依然とした(対外的な規制とは実際には無関係な)社内規制を回避することが,氏からのアドバイスだ。