InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
AWSがポスト量子暗号への移行計画を発表
AWSは、同社のセキュリティ・ブログの最近の記事で、ポスト量子暗号(POC)への移行計画について詳述している。記事では、PQCがもたらす課題を取り上げ、移行プロセスにおけるAWSの現在の進捗状況を概説し、従来の責任共有モデルにおける顧客への影響を説明している。
-
AWSクラウド開発キットの脆弱性によりAWSアカウントの完全な乗っ取りが可能に
新たにセキュリティ企業Aquaが発見したAWSクラウド開発キット(CDK)の脆弱性により、攻撃者がアーティファクトS3バケットを手動削除することでターゲットのAWSアカウントを完全に乗っ取る可能性がある。AWSはこの脆弱性を修正したが、CDKバージョンv2.148.1以前を使用している場合はまだ対策が必要だ。
-
Cloudflare、SSH認証情報を不要にする短命のSSHアクセスを導入
Cloudflare は最近、従来のSSHキーを短命の証明書に置き換える機能であるAccess for Infrastructure SSHを発表した。この新オプションは、BastionZeroのCloudflare Oneへの統合を活用し、長期的なSSHキーを一時的なエフェメラル証明書に置き換えることでセキュリティを強化しつつ、SSHキーの管理の複雑さを軽減する。
-
Cloudflare、脆弱性報告のための標準規格security.txtの普及を提唱
未報告のセキュリティ脆弱性の問題に対処し、ウェブサイトの脆弱性開示のために、Cloudflareは最近、security.txtファイルの作成と管理を支援するダッシュボードを立ち上げた。生成されたファイルはRFC9116標準に準拠しており、セキュリティ調査チームに脆弱性を報告するための標準化された方法を提供する。
-
AWS Key Management Serviceが安全な通信のためにECDHをサポート
この夏、AWSはAWS Key Management Service (KMS)が楕円曲線ディフィー・ヘルマン(ECDH)鍵合意をサポートすると発表した。AWSのセキュリティチームは最近、新しい DeriveSharedSecret API が導出した共有シークレットを使って安全な通信チャネルを確立する方法を示した。
-
JFrog社、強化されたDevSecOpsプラットフォームにランタイムセキュリティを統合
JFrog社は、同社のセキュリティ機能スイートにJFrog Runtimeを導入し、ソフトウェアサプライチェーンプラットフォームにリアルタイムに脆弱性を検出する機能を追加した。このアップデートは、Kubernetesクラスタやクラウドネイティブなアプリケーションを扱う開発者やDevSecOpsチームを対象としている。
-
AWSはデータ・セキュリティを強化するために、論理エアギャップ・ボールトを提供
AWSは最近、AWS Resource Access Manager(RAM)を使用して他のアカウントとリカバリ用に共有できる新しいタイプの保管庫���あるAWS Backup論理エアギャップ・ボールトのパブリックプレビューを発表した。
-
クラウドインフラストラクチャを最適化するAzure Advisor Well-Architectedアセスメントがパブリックプレビューで公開
Microsoft Azureは最近、Advisor Well-Architectedアセスメントのパブリックプレビューを発表した。この自己ガイド式のアンケートは、Azure Well-Architected Framework(WAF)の原則に沿いながら、Azureリソースを最適化するための、カスタマイズされた実用的な推奨事項を提供することを目的としている。この評価は、オペレーショナル・エクセレンスを確保しながら、システムのパフォーマンス、回復力、セキュリティ、およびコスト効率を強化するように設計されている。
-
セキュリティ専門家がSQLインジェクションで空港セキュリティの抜け穴を突く
「SQLインジェクションによる空港セキュリティのバイパス」という記事で、2人のセキュリティ研究者が最近、単純なSQLインジェクションによって実際に勤務実態がないパイロットおよび客室乗務員が空港保安検査をバイパスすることが可能になることを実証した。研究者によると、この脆弱性によって架空のユーザーを作成し、保安検査を回避し、民間旅客機のコックピットにアクセスすることが可能になったという。
-
Cloudflareが自動SSL/TLSを導入し、オリジンサーバー接続の安全性と簡素化を図る
Cloudflareは最近、オリジンサーバーとの通信におけるプロバイダーの暗号化モードを簡素化するために、新しいAutomatic SSL/TLS設定を導入した。この機能は自動設定を提供し、サイトダウンタイムのリスクを負うことなくセキュリティを確保する。
-
CloudflareのアプリケーションセキュリティレポートがDDoS攻撃とCVEエクスプロイトの急増を浮き彫りにする
Cloudflareは最近、2024年アプリケーションセキュリティレポートを発表し、多くの懸念に対処するための提言と洞察を提供した。同レポートの主な発見は、地政学的なイベントや投票シーズンによる悪意のあるトラフィックの増加である。
-
Azure API Management GAのワークスペース:ランタイムの分離とAPI管理の統合モデル
Microsoftは、開発者が1つの場所から複数のAPIサービスを管理できるように設計された機能であるAzure API ManagementのWorkspacesの一般提供を発表した。これにより、開発者は1つの場所ですべてのAPIサービスを簡単に表示および変更できる。
-
Dockerコンテナにゼロトラスト・セキュリティを適用する
Docker Desktopをベースとした開発環境にゼロトラスト・セキュリティの原則を適用し、セキュリティ侵害のリスクから保護するための戦略がいくつか存在すると、Docker社のシニア・テクニカル・リーダーであるJay Schmidt氏が説明する。
-
RADIUSプロトコルの脆弱性により、ネットワーク機器の認証が暴露される
セキュリティ研究者のチームが、広く使われているRADIUS(Remote Authentication Dial-In User Service)プロトコル に重大な脆弱性を発見した。この脆弱性は、攻撃者がネットワーク機器に不正アクセスできる可能性がある。Cloudflareのスタッフは、この発見をブログ投稿で詳述し、長年使用されてきたネットワークプロトコルのセキュリティを維持するための継続的な課題を強調した。
-
HashiCorp Boundaryがエイリアス、MinIOストレージ、検索機能を追加
HashiCorp社は、Boundary 0.16を発表した。このアップデートは、ターゲットインフラへの接続を簡素化し、検索とフィルタリングを改善し、MinIOとの互換性を追加する。