InfoQ ホームページ Cloud-Security に関するすべてのコンテンツ
-
サプライチェーンのセキュリティ対策の調査結果、有用性の認識と導入に相関があることが判明か
サプライチェーンのセキュリティ対策に関する最近の調査では、一部の対策は広く採用されているものの、主要な対策では採用が遅れていることが判明した。この調査は、Supply-chain Levels for Software Artifacts (SLSA) フレームワークに基づいて行われた。証明書の作成などの主要な対策は、採用が遅れていることが指摘されている。またこの調査では対策の有用性の認知度と採用には高い相関関係があることがわかった。
-
GitHub Actionsによるパスワード不要なクラウドデプロイメント
GitHub Actionsは、長期間有効な認証やパスワードを使用せずに、Open Identity Connect認証情報を使用してHashicorp Vault、AWS、Azure、GCPなどのクラウドプロバイダーに認証することをサポートしている。
-
Google、Security Command Centerに新たな料金モデルを追加
Googleはこのほど、Security Command Center(SCC)に、従量制の料金モデルと、プロジェクトレベルでのデプロイメントとセルフサービスによるアクティベーションという2つの機能を追加し、いくつかの新しいアップデートを発表した。
-
ソフトウェアサプライチェーンフレームワーク「OSC&R」を構築し、セキュリティ脅威の軽減を支援
OX Securityは、Google、Microsoft、GitLabなどの企業と共同で、ソフトウェアサプライチェーンのセキュリティリスクを評価・査定するためのセキュリティフレームワークを公開した。 オープンソフトウェアサプライチェーン攻撃リファレンス(OSC&R)は、コンテナ、オープンソースソフトウェア、適切な取り扱いが行われない秘密情報、CI/CDへの取組み姿勢をカバーするMITREのようなフレームワークである。
-
CloudNativeSecurityCon 2023にて ~ eBPFを活用した不審な動作の特定
ワシントン州シアトルで開催されたCloudNativeSecrityCon2023で、AWSのエンジニアであるJeremy Cowan氏とWasiq Muhammad氏が、eBPFによる疑わしい行動の特定やそのユースケース、そしてAWSがそれを使ってどのように脅威検出と保護をしているかを発表した。
-
Cockroach Labs 2022クラウドレポート:AMDがIntelの性能を上回る
Cockroach Labsは最近、一般的なOLTP処理に対するAWS、Microsoft Azure、Google Cloudのパフォーマンスを評価する年次クラウドレポートをリリースした。これまでとは異なり、今年のレポートでは総合的なベストプロバイダーを掲示していないが、AMDインスタンスはIntelインスタンスよりも優れていると結論付けている。ARMインスタンスはテストの対象外であった。
-
OpenSSFがFuzz Introspectorをリリースして、C/C++ファズテストのカバレッジを改善
Open Source Security Foundation(OpenSSF)は、ファジングのカバレッジを改善するツールをリリースした。このツールは、開発者がアクションに移すことができる分析結果を提供し、カバレッジブロッカー(カバレッジを阻害するもの)の特定を支援する。
-
HashiCorp Vaultでサーバーサイド整合性トークンにより結果整合性が向上
HashiCorpはVault 1.10をリリースした。シークレットとID管理プラットフォームに多くの新機能が追加されている。サーバサイド整合性トークンを使うと、パフォーマンススタンバイノードを使うときに結果整合性モデルをより細かく制御できる。新しいオープンソースのログイン多要素認証統合を使って認証を実行できるようになった。データベースプラグインの多重化サポートが追加され、Vaultエージェントのテレメトリが改善されている。
-
Amazon EC2がNitroTPMとUEFIセキュアブートをサポート
AWSは最近、UEFIセキュアブートとNitroTPMの一般向け提供を発表した。NitroTPMは、AWS Nitroシステムをベースとした、EC2インスタンス向けの仮想TPMモジュールである。この新機能は、ブートプロセスの検証、キーの保護、デジタル著作権管理のための設計となっている。
-
MicrosoftはデータガバナンスサービスをMicrosoft Purviewに統合し、再ブランド化
最近、MicrosoftはMicrosoft Purviewを発表した。これは新製品のブランドであり、Azure PurviewデータガバナンスサービスとさまざまなMicrosoft 365コンプライアンスソリューションが合わせて提供される。
-
Metaがどのように匿名化された認証でプライバシーを配慮したクレデンシャルを使ったか
Metaは認証を使って、サービスのエンドポイントを不正使用から保護している。個人を特定できる情報を削除するためにアクセスデータを後処理することは、リソースを大量に消費するアプローチであることがわかった。どのようにMetaが匿名化された認証を活用して、サービスとユーザのプライバシーを同時に保護するかを説明する記事が最近公開された。
-
Veracodeの報告書に見る、ソフトウェアサプライチェーン保護の進展の兆し
Veracodeが先頃リリースした"State of Software Security" レポートには、サードパーティライブラリで発見された既知のセキュリティ脆弱性の数が全般的に減少傾向にあること、小規模なアプリケーションほどイシュースキャンがより定期的に実行される傾向があること、などが報告されている。さらには、業界が発展途上の段階にあることも明らかになった。
-
AWS Firewall ManagerがPalo Alto NetworksのCloud Next Generation Firewallに対応
AWSは先頃、Firewall ManagerがPalo Alto NetworksのCloud Next Generation Filewalls(NGFW)をサポートすることを発表した。Palo Alto NetworksはAWSとの提携を通じて、AWSデプロイメントのセキュリティを簡単に確保できるように設計された"マネージド・ファイアウォールサービス"を提供する。
-
Intel、Arm、AMD CPUのハードウェア軽減策がSpectre v2に対して効果がないことが明らかに
Vrije Universiteit Amsterdamのセキュリティ研究者は、IntelプロセッサとArmプロセッサの両方で実行されるSpectre v2攻撃に対するハードウェアによる軽減策には、ブランチ履歴インジェクションに対して脆弱になる根本的な欠陥があることを示した。
-
Google Cloudがコミュニティセキュリティ分析を導入
Google Cloudは最近、コミュニティセキュリティ分析(CSA)をリリースした。これは、一般的なクラウドベースの脅威の検出に役立てられるように設計されたセキュリティ分析用のオープンソースクエリとルールの集合である。