InfoQ ホームページ applicationSecurity に関するすべてのコンテンツ
-
「セキュリティの悪夢」:DockerがMCPツールチェーンのリスクを警告
Dockerの新しいブログ投稿は、Model Context Protocol (MCP)を基に構築されたAI駆動開発者ツールが重大なセキュリティ脆弱性―認証情報の漏洩、無許可ファイルアクセス、リモートコード実行の実例を含む―をもたらしていると警告している。
-
AWS Shield Network Security Director:ネットワークトポロジーの可視化と改善ガイダンス
AWS Shieldは分散サービス拒否(DDoS)保護で知られているが、新機能のプレビュー:AWS Shield Network Security Director、Shield の役割をDDoS緩和だけに留めず、ネットワーク構成の包括的な可視化を提供し、セキュリティ問題を特定、AWSリソースに対する実用的な改善提案を提供する機能を導入した。
-
CVEに別れを告げる?欧州脆弱性データベースEUVDが稼働開始
欧州連合サイバーセキュリティ機関(ENISA)は、欧州脆弱性データベース(EUVD)のベータ版を最近公開した。この新しい公共プラットフォームは、広く利用されている共通脆弱性識別子(CVE)システムと並行して運用されるが、独立して機能する。EUVDは、EU内での脆弱性対応における連携と透明性の向上を目的としている。
-
Have I Been Pwned 2.0 データ漏洩監視のための新ツールを追加
セキュリティ研究者のTroy Hunt氏が設立した人気のデータ漏洩通知サービスHave I Been Pwned社(HIBP)が漏洩情報の可視性向上と将来の機能拡張を目的とした大規模なフロントエンドの再設計を発表した。InfoQ社とのインタビューで、Hunt氏は自動化、ファミリーアカウントの登録、そして企業向けワークフローの改善を次の具体的なステップとして挙げる一方、業界全体でより強力な漏洩情報開示の規範を求めた。
-
DockerがHardened base imagesを発表
Dockerは脆弱性の低減とコンテナ化アプリケーション用ソフトウェアサプライチェーンのセキュリティ向上のために、本番環境向けの新たなセキュリティ強化型ベースイメージ群を発表した。
-
DockerがHardened Imagesを導入、コンテナセキュリティを強化
DockerはDocker Hardened Images、ソフトウェアサプライチェーンの脅威から保護するために設計された、エンタープライズグレードでセキュリティ強化されたコンテナイメージのカタログ、をリリースした。Dockerによれば、DevOpsチームが自らコンテナのセキュリティを確保する手間を省くことで、Hardened Imagesはエンタープライズグレードのセキュリティおよびコンプライアンス標準を満たすより簡単な方法を提供する。
-
GitHubによるCodeQLのセキュリティ活用方法
GitHubのProduct Security Engineeringチームでは、GitHubの裏側を支えるコードのセキュリティ確保に��けて、CodeQLといったツール開発を通した大規模な脆弱性の検出・修正を行っている。 同チームからアプローチに関する洞察が共有されており、他の組織でもコードベース保護に向けたCodeQLの活用方法を知ることができる。
-
セキュリティ専門家がSQLインジェクションで空港セキュリティの抜け穴を突く
「SQLインジェクションによる空港セキュリティのバイパス」という記事で、2人のセキュリティ研究者が最近、単純なSQLインジェクションによって実際に勤務実態がないパイロットおよび客室乗務員が空港保安検査をバイパスすることが可能になることを実証した。研究者によると、この脆弱性によって架空のユーザーを作成し、保安検査を回避し、民間旅客機のコックピットにアクセスすることが可能になったという。
-
CloudflareのアプリケーションセキュリティレポートがDDoS攻撃とCVEエクスプロイトの急増を浮き彫りにする
Cloudflareは最近、2024年アプリケーションセキュリティレポートを発表し、多くの懸念に対処するための提言と洞察を提供した。同レポートの主な発見は、地政学的なイベントや投票シーズンによる悪意のあるトラフィックの増加である。
-
RADIUSプロトコルの脆弱性により、ネットワーク機器の認証が暴露される
セキュリティ研究者のチームが、広く使われているRADIUS(Remote Authentication Dial-In User Service)プロトコル に重大な脆弱性を発見した。この脆弱性は、攻撃者がネットワーク機器に不正アクセスできる可能性がある。Cloudflareのスタッフは、この発見をブログ投稿で詳述し、長年使用されてきたネットワークプロトコルのセキュリティを維持するため���継続的な課題を強調した。
-
AWSにおける攻撃対象領域としての非本番エンドポイント
Datadogのセキュリティチームは最近、AWSのセキュリティ問題を公開した。この問題では、本番環境ではないエンドポイントが攻撃対象として利用され、権限の列挙が無言で実行されていた。AWSはその後、これらの特定のバイパスを修正した。
-
Amazon Verified PermissionsとAmazon CognitoによるAPIアクセス
AWSは先日、Amazon API GatewayのリクエストがAmazon Verified Permissionsで認証可能になったことを発表した。この機能によって、Amazon Cognitoが発行したトークンを含むHTTPリクエストを使用し、APIリソースに対して認可の判断ができる。
-
OpenSSF、オープンソースに対する脅威インテリジェンス共有サービス "Siren"を発表
Open Source Security Foundation(OpenSSF)は、「オープンソースプロジェクトに特化した脅威インテリジェンスを集約し、広めるための共同作業」と称した、"Siren"を発表した。このイニシアチブは、オープンソースプロジェクトが関連する脅威インテリジェンスを普及させ、それらを受け取るためのより良い方法を必要としていることが明らかになった、XZ Utilsの侵害をきっかけに生まれた。企業の脅威インテリジェンス・プラットフォーム(TIPs)のように、Sirenは戦術、技術、手順(TTPs)と侵害の指標(IoCs)を共有する場所を提供する。
-
エンジニアリングの生産性に最適化されたアプリケーション・セキュリティ
アジャイル・アプリケーション・セキュリティの著者であり、SafeStackの創設者でもあるLaura Bell Main氏は最近、「Decoding Dev Culture 2024」と題したウェビナーを開催し、2024年のセキュリティについて「現場からの視点」を提供した。Bell氏は、自身の経験と SafeStack の 12 か月にわたる調査から、DevSecOps 実践者が SAST やその他のツールへの過度の集中から脱却する必要性について論じた。彼女は、セキュリティプロセスとツールに関連する開発者の経験をよりよく理解することを提唱した。Bell氏は、効果的なセキュリティ・オーナーシップはコミュニケーションの改善を通じて促進され、エンジニアの生産性にプラスの影響を与えることができると説明した。
-
AIとFinOpsが、2024年のオブザーバビリティ革新を牽引すると予測
最近発表された記事の中で、3つの大手オブザーバビリティ(可観測性)企業が、2024年以降にオブザーバビリティ分野で見られるであろうトレンドについて予測を行っている。これらの寄稿は、AIインテグレーション、FinOps、OpenTelemetry、セキュリティとガバナンスの分野が、これからの1年でオブザーバビリティに大きな影響を与えることを提案している。