InfoQ ホームページ Risk-Management に関するすべてのコンテンツ
-
AWSが未使用のIAMロール、ユーザー、権限を自動検出する機能を追加した
AWSは最近、AWS IAM Access Analyzerツール内で、IAMロールとユーザーに付与された未使用のアクセスを検出するサポートを追加した。新しいIAM Access Analyzerの未使用アクセス検出は、未使用のロール、未使用のIAMユーザーアクセスキーとパスワード、定義された使用ウィンドウ内の未使用パーミッションを特定できる。この分析は、組織内のアカウント全体で実行でき、委任された管理者アカウントから制御できる。
-
GitHub、Swiftのコードスキャンとセキュリティアドバイザリーサポートを発表
GitHubはSwiftのコードスキャンサポートをベータ版で開始し、脆弱性モニターDependabotの機能を拡張するためにSwiftのセキュリティアドバイザリをアドバイザリ・データベースに含めることを発表した。
-
心理的安全性の測定から学ぶこと
リスクテイクについてどう感じるかを尋ねることで、心理的安全性のレベルを知ることができるし、問題を発見するのに役立つ。その答えを議論することで成熟したチームであれば安全性のレベルを強化できるし、成熟していないチームであれば改善策を理解してもらう機会になる。
-
MicrosoftはデータガバナンスサービスをMicrosoft Purviewに統合し、再ブランド化
最近、MicrosoftはMicrosoft Purviewを発表した。これは新製品のブランドであり、Azure PurviewデータガバナンスサービスとさまざまなMicrosoft 365コンプライアンスソリューションが合わせて提供される。
-
Google Cloudがコミュニティセキュリティ分析を導入
Google Cloudは最近、コミュニティセキュリティ分析(CSA)をリリースした。これは、一般的なクラウドベースの脅威の検出に役立てられるように設計されたセキュリティ分析用のオープンソースクエリとルールの集合である。
-
セキュリティ・バイ・デザインがクラウド移行のリスク管理にどのように役立ったか
企業がクラウドに移行したとき、最初から利害関係者を参加させたり、セキュリティを関与させたりすることが困難であったため、セキュリティの問題が発生した。継続的なクラウドDevOpsプロセスの一部としてセキュリティ評価を組み込み、プロジェクトのライフサイクル全体を通じてセキュリティリスク管理にアジャイル戦略を採用することで、移行中のセキュリティのガバナンスを強化することができた。
-
Detector Libraryとログインジェクション脆弱性のためのセキュリティ検出器を特徴とする新たなCodeGuru Reviewer
Amazon CodeGuru Reviewerは、機械学習を活用してコード(JavaとPython)のセキュリティ上の欠陥を検出し、コードの品質向上のための提案をする開発者ツールである。最近、AWSはツールに2つの新機能を導入した。新しいDetector Libraryと、ログインジェクション脆弱性用のセキュリティ検出器である。
-
GoogleとGitHubが新しいGitHubアクションワークフローを備えたOpenSSFスコアカードv4を発表
GitHubとGoogleは、Open Source Security Foundation(OpenSSF)のScorecardsプロジェクトのバージョン4リリースを発表した。スコアカードは自動化されたセキュリティツールである。このツールにより、オープンソースプロジェクトにおけるリスクの高いサプライチェーンのプラクティスが特定される。このリリースでは、新しいスコアカードGitHubアクション、新しいセキュリティチェックが追加され、Foundationsの毎週のスキャンに含まれるリポジトリが大幅に増加した。
-
既存企業にスタートアップのようなイノベーションを起こすには
スタートアップの創業者は、自身のイノベーションプロセスの一部として、不確実性や失敗を想定している。企業を立ち上げるリーダは、次世代のものを作り上げるために、社員がリスクを取るようにする必要がある。プロダクトの小さな改善を着実に続けていくことが、時間とともに複合的な効果を生み出し、ユーザが本当に求めているものを実現する一助となるのだ。
-
AWSは、新しいアーキテクチャと機能を備えたAmazon Inspectorを再リリース
Amazon Inspectorは、自動化された脆弱性管理サービスである。ソフトウェアの脆弱性と意図しないネットワークの露出に対してAWSの処理を継続的にスキャンする。これは2015年に初めてリリースされた。そして、最近のre:Invent 2021で、AWSはまったく新しいアーキテクチャと多くの新機能を持って再リリースした。新機能は、コンテナベースの処理、Amazon Event Bridgeとの統合、AWS Security Hubなどである。
-
MicrosoftがAzure AD MyアプリとID保護のための新しいリスク検出をGAとしてリリース
Microsoftは最近、新しいAzure Active Directory(AD)機能、つまりMy Appsの「コレクション」と新しい「リスク検出」機能を一般向け提供(GA)としてリリースした。これらの機能により、同社はIDとアクセス管理を簡素化すると同時に、カスタマイズと制御も強化するつもりである。
-
MicrosoftがAzure Attestationを一般向け提供としてリリース
Microsoftは最近、Azure Attestationの一般向け提供を発表した。これは、プラットフォームの信頼性とその内部で実行されているバイナリの完全性をリモートで検証するための統合ソリューションである。
-
Airbnb:ガードレールを使ってチーム全体に悪影響を与える変更を特定
Airbnbは、内部のExperiment Guardrailsシステムを展開して、さまざまなチーム間での変更による潜在的な悪影響を特定した。提案された変更がガードレールを通過しない場合は常に、影響を受けるチームと利害関係者によるさらなる分析のためにエスカレーションされる。このように、AirbnbのデータサイエンティストのTatiana Xifara氏は説明する。
-
Jenkinsの開発者が継続的リスクベーステストのMLスタートアップを立ち上げ
Jenkinsの開発者であるKohsuke Kawaguchi氏が、マシンラーニングを使用したリスクベースのテストの識別を行うスタートアップであるLaunchableを創立した。テストに関する思想的リーダであるWayne Ariola氏も、継続的テストアプローチの必要性に関して、ターゲットを明確にしたリスクベースのテストが継続的デリバリに信頼性を与えると述べている。
-
DOES London - Mark Schwartz氏の語る”戦争と平和とIT”
元CIOで因襲打破主義者(iconoclast)を自称するMark Schwartz氏が、先日のDevOps Enterprise Summit Londonで講演した。Schwartz氏は、IT Revolutionの出版した3つの書籍'The Art of Business Value'、'A Seat at the Table'、'War & Peace & IT'の著者であり、現在はAmazon Web Servicesでエンタープライズストラテジストの任にある。