InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
AWSはセキュリティ強化のためにパスキーのサポートを追加し、rootユーザーに対してMFAを強制
AWSは先日、2つの新しいセキュリティ機能を発表した。1つ目は、rootユーザーとIAMユーザーの多要素認証(MFA)にパスキーが使用できるようになり、ユーザー名とパスワードだけでなく、さらなるセキュリティを提供できるようになった。2つ目は、AWSはAWS組織のrootユーザーアカウントから、rootユーザーに対してMFAを要求するようになった。この要件は、年間を通じて他のアカウントにも拡大される予定だ。
-
AWSにおける攻撃対象領域としての非本番エンドポイント
Datadogのセキュリティチームは最近、AWSのセキュリティ問題を公開した。この問題では、本番環境ではないエンドポイントが攻撃対象として利用され、権限の列挙が無言で実行されていた。AWSはその後、これらの特定のバイパスを修正した。
-
Kubernetes向けクラウドネイティブ・セキュリティツール「Falco」がCNCFを認定
CNCFは、Linuxシステム向けに設計されたツールであり、事実上のKubernetes脅威検知エンジンであるFalcoの卒業を発表した。このプロジェクトは、適正評価プロセスを受け、第三者によるセキュリティ監査を完了し、ソフトウェア・ライセンスの承認を得るなど、すべての認定要件件を満たすことに成功した。
-
内部告発とジャーナリズムのためのセキュアなソリューション:Qubes OSを『The Guardian』紙が深堀り
The Guardian紙のエンジニアリング・チームは最近、セキュリティに特化したデスクトップOSであるQubes OSの使用経験を共有した。エンジニアリングチームは、Qubes OSのデフォルトの管理エンジンであるSaltStackを利用してQubesワークステーションを設定した。
-
Amazon Verified PermissionsとAmazon CognitoによるAPIアクセス
AWSは先日、Amazon API GatewayのリクエストがAmazon Verified Permissionsで認証可能になったことを発表した。この機能によって、Amazon Cognitoが発行したトークンを含むHTTPリクエストを使用し、APIリソースに対して認可の判断ができる。
-
Amazon S3不正リクエスト課金問題:空のS3バケットがコストを劇的に増加させる可能性
シニア・ソフトウェア・エンジニアのMaciej Pocwierz氏は最近、重大な問題を明らかにした。空のS3バケットは、予期せず多額のAWS請求書をもたらす可能性がある。彼のケースでは、ほぼ100,000,000のS3 PUTリクエストが1日以内に実行され、無視できない請求につながった。
-
ネットワーク監視とセキュリティ分析を強化するAzure仮想ネットワーク・フロー・ログ
マイクロソフトは最近、AzureのNetwork Watcherサービスの新機能である仮想ネットワーク・フロー・ログの一般提供(GA)を発表した。
-
OpenSSF、オープンソースに対する脅威インテリジェンス共有サービス "Siren"を発表
Open Source Security Foundation(OpenSSF)は、「オープンソースプロジェクトに特化した脅威インテリジェンスを集約し、広めるための共同作業」と称した、"Siren"を発表した。このイニシアチブは、オープンソースプロジェクトが関連する脅威インテリジェンスを普及させ、それらを受け取るためのより良い方法を必要としていることが明らかになった、XZ Utilsの侵害をきっかけに生まれた。企業の脅威インテリジェンス・プラットフォーム(TIPs)のように、Sirenは戦術、技術、手順(TTPs)と侵害の指標(IoCs)を共有する場所を提供する。
-
.NET 9 Preview 2のASP.NET Coreアップデート:Blazor、OIDC、OAuth、HTTP.sysの設定
Microsoftがリリースした.NET 9 Preview 2には、ASP.NET Coreに関するいくつかの更新が含まれている。Blazorコンポーネントコンストラクタインジェクション、BlazorインタラクティブサーバーコンポーネントのWebSocket圧縮などだ。さらに、開発者はOIDCとOAuthパラメータをカスタマイズし、HTTP.sys拡張認証フラグを設定することで、認証統合を効率化できる。
-
Azure API Management Basic V2とStandard V2をリリース:拡張性、セキュリティ、ネットワークの強化
先日、Microsoft社はAzure API Managementの新しい価格オプション、Basic v2とStandard v2のリリースを発表した。これにより小規模からエンタープライズレベルのアプリケーションまで、さまざまな開発プロジェ���トをサポートする拡張性と柔軟性を提供する。
-
KubeCon EU:Mercedes BenzにおけるPod Security PoliciesからValidation Admission Policiesへの移行
KubeCon EUの期間中、Mercedes Benzのチームは、1000以上のKubernetesクラスタを保護するために、Pod Security Policiesから Validation Admission Policiesへの移行を発表した。このソリューションは、パフォーマンスの向上によりKyvernoが選択された。
-
Google Cloud環境向けのシャドーAPI検出機能が、プレビュー段階へ
Google Cloud Nextの期間中、GoogleはApigee API Managementソリューションの一部であるAdvanced API SecurityのシャドーAPI検出のプレビューリリースを発表した。Google CloudのこのマネージドAPIブローカーサービスにより、ユーザーはAPIの設計、セキュア化、デプロイ、監視、分析をすることができる。
-
エンジニアリングの生産性に最適化されたアプリケーション・セキュリティ
アジャイル・アプリケーション・セキュリティの著者であり、SafeStackの創設者でもあるLaura Bell Main氏は最近、「Decoding Dev Culture 2024」と題したウェビナーを開催し、2024年のセキュリティについて「現場からの視点」を提供した。Bell氏は、自身の経験と SafeStack の 12 か月にわたる調査から、DevSecOps 実践者が SAST やその他のツールへの過度の集中から脱却する必要性について論じた。彼女は、セキュリティプロセスとツールに関連する開発者の経験をよりよく理解することを提唱した。Bell氏は、効果的なセキュリティ・オーナーシップはコミュニケーションの改善を通じて促進され、エンジニアの生産性にプラスの影響を与えることができると説明した。
-
Google Cloud、"Security Command Center Enterprise"を発表
Google Cloudは、Security Command Center(SSC)Enterpriseの提供を開始した。このソリューションは、企業のセキュリティ運用に対応したプロアクティブなクラウドセキュリティを提供するクラウドリスク管理ソリューションである。このソリューションは、マルチクラウド環境におけるリスクの管理と軽減を支援し、Mandiant社の専門知識によって強化されている。
-
"Cloudflare for AI"で、サイバー脅威に対する大規模言語モデル(LLM)の保護を強化
Cloudflareはこのほど、同社のWebアプリケーションファイアウォール(WAF)製品に、「Firewall for AI」と呼ばれる新機能を追加したことを発表した。この機能は、悪用や攻撃がLarge Language Models(LLM)に到達し、改ざんされる前に特定する新たな保護レイヤーを追加する。