セキュリティソリューション:
20時間でマルウェア解析のプロも夢じゃない? カスペルスキーがトレーニングを提供
カスペルスキーはセキュリティ専門家向けオンライントレーニングシリーズ「Kaspersky Expert Training」の販路を拡大し、パートナー経由での提供を開始する。4つのカテゴリーで11種類のトレーニングメニューを提供する。(2024/11/16)
Cloud Nativeチートシート(29):
ついSSL/TLS証明書の更新を忘れちゃう人へ――Kubernetesの「cert-manager」で始める証明書管理自動化入門
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、cert-managerを利用したIngressによる自己署名証明書とLet's Encryptで発行した証明書の利用方法を解説し、Gateway APIでcert-managerを利用する方法を紹介する。(2024/10/25)
Webアプリ実装で学ぶ、現場で役立つRust入門(12):
Rust and WebAssemblyでSPAを作ってみよう
第12回からは、第11回までで作成した投稿アプリの延長として、Rust and WebAssemblyでTODOアプリを開発します。第12回では、プロジェクトの構築やさまざまな準備のためのコードを通じて、Rust and WebAssemblyの基本的な利用方法を理解します。(2024/9/19)
Tech TIPS:
【Windows 10/11】WindowsにOpenSSL Ver.3をインストールして証明書を取り扱う
電子証明書やSSL/TLSのための標準的なツールキット「OpenSSL Ver.3(バージョン3)」。しかしWindows OSには標準でインストールされていない。Windows OSでOpenSSL Ver.3を利用するのに必要なインストール手順と注意点を解説する。(2024/6/19)
セキュリティニュースアラート:
企業の資産セキュリティ状況 現代ネットワークのダークマターとは
runZeroが企業の資産セキュリティに関する調査を報告した。ネットワークセグメンテーションの崩壊や攻撃対象領域の管理課題、ダークマターの増加などが明らかにされ、未管理デバイスや旧式システムの問題が取り上げられている。(2024/5/21)
Innovative Tech:
Appleの“Mシリーズチップ”から秘密鍵を盗む攻撃「GoFetch」 米研究者らが発表
イリノイ大学アーバナ・シャンペーン校やテキサス大学オースティン校などに所属する米研究チームは、AppleのMシリーズチップなどの脆弱性を用いて秘密鍵を復元するサイドチャネル攻撃を提案した研究報告を発表した。(2024/4/3)
Cybersecurity Dive:
バイデン政権、メモリ安全性の高いプログラミング言語の採用を呼びかけ
重大な脆弱性を減らすための取り組みの一環として、メモリ安全性の高いプログラミング言語をソフトウェアに採用する傾向が強まっている。(2024/3/24)
ゲートウェイやロードバランサー構築に向くカスタマイズ可能なAPI:
非同期マルチスレッドフレームワーク「Pingora」をオープンソース化 Cloudflare
Cloudflareは、RustフレームワークPingoraのオープンソース化を発表した。Pingoraは、Cloudflareが開発したHTTPプロキシサービスの構築を支援するRustの非同期マルチスレッドフレームワークだ。(2024/3/22)
Python(CPython)ユーザーの脆弱性管理を支援:
「CPython」がSBOMに対応 PSFがSPDX形式のSBOMドキュメントを公開
Python Software Foundationは、Pythonのレファレンス実装である「CPython」において、SPDXフォーマットのSBOMドキュメントを公開した。(2024/3/5)
クライアント側QUICやTLSハンドシェイクにおける証明書圧縮に対応:
OpenSSL Project、「OpenSSL 3.2.0」を公開
OpenSSL Projectは、クライアント側QUICやTLSハンドシェイクにおける証明書圧縮に対応した「OpenSSL 3.2.0」を公開した。(2023/12/14)
チェック・ポイントがランサムウェア攻撃に関する調査結果を発表:
戦略的に調整されたLinux特化型ランサムウェアが急増 「これは検出が難しい」、その理由とは
チェック・ポイント・リサーチは、「Linux」と「Windows」に対するランサムウェア攻撃の調査結果を発表した。Linux特化型ランサムウェアは、中、大規模組織向けに戦略的に調整され、システムの破損を防ぐために重要なディレクトリを避けるなど巧妙に作られているという。(2023/12/14)
「Mac」の暗号化機能とデータ保護【第6回】
Appleはなぜ「fdsetup」非推奨なのか? Mac管理の正しい方法とは
Macのストレージ暗号化機能FileVaultは、企業のセキュリティを強固にしてくれる。以前はFileVaultの管理にコマンドラインツールを使う必要があったが、Appleはその方法を推奨していない。より適切な方法とは。(2023/11/1)
「RHEL互換ディストリビューション」の先が読めない中、決断が迫られる:
PR:サポート終了後も「CentOS」を安心して使い続けるための一手とは
「CentOS 7」のサポートが2024年6月末に終了する。別のOSに切り替えるのか、システムを構築し直すのか。決断と対応が求められる今、新たな選択肢として浮上する「CentOSサポートの延長サービス」とは。(2023/10/19)
ラズパイで製造業のお手軽IoT活用(14):
ラズパイにもセキュリティを、不良実績入力の品質管理を暗号化通信で実現
小型ボードコンピュータ「Raspberry Pi(ラズパイ)」を使って、低コストかつ現場レベルでIoT(モノのインターネット)を活用する手法について解説する本連載。第14回は、ラズパイのセキュリティとして暗号化通信を導入する方法を紹介します。併せて、不良実績入力の品質管理での応用も取り上げます。(2023/8/23)
コードカバレッジの向上に成功:
Google、OSS向けファジングサービス「OSS-Fuzz」をLLMで改善
Googleは、同社の大規模言語モデルを利用して、オープンソースソフトウェア向けファジングサービス「OSS-Fuzz」の対象プロジェクトのコードカバレッジを高めることに成功した。(2023/8/23)
海外拠点や子会社が危ない:
PR:外部公開サーバを把握できていない企業はなぜ危険なのか ランサムウェア攻撃増加との関係は
ランサムウェア攻撃は企業にとって危険なサイバー攻撃の一つだ。守りを固めるには自社環境の攻撃されやすい部分を見つけ出す必要がある。ところがこの基本ができていない日本企業が多いのだという。サイバー攻撃者が狙うのは「管理者も把握していない資産」だ。見えない資産を可視化して防御するにはどうすればよいのだろうか。(2023/3/24)
AWSに最適化された「Amazon Linux 2023」正式リリース 今後は5年間無償サポート 2年ごとにバージョンアップ
AWSが、同社の各種サービスや開発ツールに最適化されたLinuxディストリビューション「Amazon Linux 2023」を正式リリース。今後5年間無料サポートを提供し、2年ごとにバージョンアップする。(2023/3/17)
IoTセキュリティ:
米国のSBOM整備は2023年以降に進むか、ライセンス競合の主因はもはやGPLではない
日本シノプシスは、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2023 オープンソース・セキュリティ&リスク分析レポート」の結果について説明した。(2023/3/15)
編集部コラム:
需要減でもなお「足りない」半導体/レガシー技術、レガシースキルとの決別/VBAマクロ無効化問題
今年後半によく読まれた記事から、2022年のIT業界事情を振り返ります。(2022/12/30)
Dell、HP、Lenovoのデバイスファームウェアが古いOpenSSL使用 サプライチェーンリスクが浮き彫りに
The Hacker NewsはDellとHP、Lenovoのデバイスファームウェアに古いバージョンのOpenSSLが使われていることを指摘した。調査によれば、10年以上前のOpenSSLが使われているデバイスも見つかった。(2022/11/29)
半径300メートルのIT:
“脆弱性対策はサボったら負け” リソース不足の組織がやるべき“基本のき”
先日、OpenSSLのセキュリティアップデートが予告され、大きな話題を集めましたが、読者の皆さんはしっかりと対応できたでしょうか。しかし、今回以外にも脆弱性は日々見つかるもの。“全部は対処できない”という組織は何から始めればいいのでしょうか。(2022/11/8)
OpenSSLが「重要」の脆弱性に対処 予告通り新バージョンをリリース
OpenSSLプロジェクトは「OpenSSL 3.0.7」を公開した。当初の発表からは深刻度は下がったが、2つの脆弱性に対処しており、該当製品を使用している場合は迅速なアップデートが求められる。(2022/11/3)
OpenSSLに“脅威度HIGH”の脆弱性 リモートコード実行の可能性も 修正版は公開済み
オープンソースライブラリ「OpenSSL」に脅威度「HIGH」の脆弱性が見つかった。悪用されると、OpenSSLを使うシステムをクラッシュさせられる可能性がある。開発チームは早急なアップグレードを推奨している。(2022/11/2)
サポートは2032年までの10年間:
「RHEL 9」互換、無償の「MIRACLE LINUX 9」提供開始 CentOS移行支援も提供
サイバートラストは、「MIRACLE LINUX 9」の提供を開始した。「Red Hat Enterprise Linux 9」との互換性を備えたLinuxディストリビューションで、2032年11月までパッケージアップデートやセキュリティパッチを提供する。(2022/11/2)
OpenSSLが「緊急」の脆弱性に対処 2022年11月1日に新バージョンをリリース
OpenSSLプロジェクトは2022年11月1日にセキュリティアップデートバージョン「OpenSSL 3.0.7」を公開すると発表した。深刻度「緊急」(CRITICAL)の脆弱性に対処するとされており、リリース後には迅速なアップデートの適用が求められる。(2022/10/29)
OpenSSLにリモートコード実行の脆弱性 迅速にアップデートの適用を
OpenSSLに複数の脆弱性が見つかった。そのうち1つはRCE(リモートコード実行)を引き起こす可能性がある深刻度「重要」(High)に分類されている。該当バージョンを使用している場合、迅速にアップデートを適用してほしい。(2022/7/7)
解決!OSSコンプライアンス(5):
「ライセンスって1つじゃないの?」「OSSを『配布する』ってどういうこと?」
OSSコンプライアンスに関するお悩みポイントと解決策を具体的に紹介する連載「解決! OSSコンプライアンス」。5回目は、「ライセンスって1つじゃないの?」「OSSを配布するってどういうこと?」という2つのエピソードと解決策を紹介する。(2022/6/15)
半径300メートルのIT:
連休前のセキュリティチェックは十分? 注意すべき“たった一つ”のこと
5月の大型連休が近づいてきました。Emotetやサポート詐欺といった脅威が活発化していますが、連休前のセキュリティチェックは十分でしょうか。今回は「十分ではないがどうしよう」という企業に向けて、注意すべきたった一つのことを紹介します。(2022/4/26)
QNAP製NASにOpenSSL起因の脆弱性 現時点でアップデートは未提供
QNAP製NASがOpenSSLにおける無限ループの脆弱性の影響を受けることが判明した。現時点ではアップデートが提供されていないため、今後の続報が待たれる。(2022/4/2)
Cloud Nativeチートシート(12):
不正アクセス、盗聴を防ぐ――マイクロサービスのセキュリティを向上させる4つのIstio機能
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、Istioのセキュリティ機能に焦点を当て、通信の暗号化、認証/認可の機能を紹介する。(2022/1/21)
TechTarget発 世界のITニュース
Cisco、F5、VMwareの製品に相次いで見つかった脆弱性の正体とは?
2021年8月、大手IT企業数社の製品に脆弱性が見つかった。各社は被害の報告は受けていないというが、セキュリティアップデートの実行を推奨している。脆弱性はどのようなものだったのか。(2021/11/30)
Microsoftが2021年11月の累積更新プログラムを配信 迅速に確認と適用を
Microsoftは2021年11月の累積更新プログラムを配信した。深刻度が緊急(Critical)に分類される脆弱性が修正されており、該当プロダクトを使っている場合には迅速な対応が望まれる。(2021/11/12)
OpenSSLにDoS攻撃を引き起こす脆弱性 迅速なアップデートの適用を
US-CERTは、広く利用されるSSL/TSLライブラリ「OpenSSL」に脆弱性が発見されたと伝えた。脆弱性を利用されるとサービス運用妨害(DoS:Denial of Service)が引き起こされる危険性がある。(2021/8/27)
「シェル芸」を駆使? Bashで開発されたランサムウェア「DarkRadiation」、RHELとDebianが標的
Bashで開発されたランサムウェアが発見された。Red HatやDebianをベースとしたLinuxディストリビューションが標的だ。攻撃に必要なツールがなければ自分でインストールし、自身を隠蔽し、Telegram API経由でサイバー攻撃者と通信をして、OpenSSLでファイルを暗号化する。(2021/6/23)
踊るバズワード 〜Behind the Buzzword(9)ブロックチェーン(3):
日本最高峰のブロックチェーンは、世界最長を誇るあのシステムだった
「ブロックチェーン」とは、工学的プロセスによって生成される「人工信用」である――。私は今回、この結論を導き出しました。ブロックチェーンとは、つまりは与信システムだと考えられますが、では、この日本における「最高峰のブロックチェーン」とは何だと思いますか?(2020/12/25)
OpenSSLに「重大」な脆弱性 DoS攻撃のリスクも
さまざまなシステムで広く利用されるOpenSSLに新たな脆弱性が見つかった。DoS攻撃につながりかねないリスクがあるあため、アップグレードや修正バージョンの入手を急ぎたい。(2020/12/10)
脆弱性対策・管理入門(5):
脆弱性はアンチウイルスソフトやファイアウォールで守れるか
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。今回は、脆弱性対策におけるアンチウイルスソフトやファイアウォールの有効性について。(2020/7/8)
セキュリティのベストプラクティスを紹介
Windows管理者が知りたい「Linuxデスクトップ」4つの注意点
LinuxもWindowsと同様に、セキュリティの確保が重要になる。これまでWindowsデスクトップを中心に管理してきたIT担当者のために、Linuxデスクトップのセキュリティに関して注意すべき項目を確認しておこう。(2019/7/7)
さまざまな自動化を推進:
レッドハット、さらに普遍的な存在を目指し、OpenShift 4とRHEL 8を国内で説明
レッドハットは2019年6月21日、グローバルでは5月初めに発表された「Red Hat OpenShift Container Platform 4」と「Red Hat Enterprise Linux 8」について、日本国内で説明した。いずれも従来同様、企業における利用に焦点を合わせた上で、普遍的な存在になることを目指しており、新バージョンでもそのための機能強化が図られている。(2019/6/24)
AWS、OSSだけで構成される「Open Distro for Elasticsearch」公開 「Elasticsearchのコードにはプロプライエタリが混在している」
AWSが、オープンソースの高速な検索エンジンとして活用されている「Elasticsearch」の独自ディストリビューション「Open Distro for Elasticsearch」を公開。(2019/3/22)
「不正ユーザーの95%が利用する手法」を解説:
「未対策なら1分でできる」 スマホアプリの改ざんを防ぐには?
スマートフォン向けアプリケーションを開発する際にもセキュリティ対策は欠かせない。DeNAの舟久保氏は内製ツールと自作アプリを利用して模擬的に改ざん行為を行い、アプリ開発時にどういった対策が有効になるかを解説した。(2019/2/27)
セキュリティ・アディッショナルタイム(30):
量子コンピュータ時代到来後に備え、今から耐量子コンピュータ暗号を開発する理由
DigiCertは2018年1月31日に開催した年次カンファレンスにおいて、Microsoft Researchらと共に進めている耐量子コンピュータ暗号研究の背景と状況を紹介した。(2019/2/27)
MySQLはデジタルビジネスに何をもたらすか :
MySQL開発陣にあらためて聞く、 DX時代におけるバージョン 8.0のポイント
グローバルで高いシェアを誇るオープンソースソフトウェアのMySQL。2018年4月、バージョン8.0が提供されてから、多数の情報が各種メディアで公開されてきたが、DX(デジタルトランスフォーメーション)の文脈では何がポイントになるのか、今あらためて、開発陣にアップデートの意図を聞いた。(2018/12/28)
「Skylake」「Kaby Lake」で確認:
IntelのCPUに新たな脆弱性、研究チームが実証コード公開
脆弱性はIntelのCPU「Skylake」「Kaby Lake」で確認され、研究チームはこの問題を突いて、TLSサーバからOpenSSL秘密鍵を盗むことに成功したという。(2018/11/6)
@ITセキュリティセミナー2018.6-7:
OSS脆弱性管理の課題とベストプラクティスとは――日本シノプシス
@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、日本シノプシスの講演「OSSの脆弱性管理の課題と効率的な解決策」の内容をお伝えする。(2018/10/16)
運用スキルの見直しが迫られている
サーバレスを使いこなすにはIT運用専門家の「コーディング能力」が必要な理由
サーバレスインフラの管理を成功させるには、IT運用部門の協力が欠かせない。だが運用のプロフェッショナルも、システムエンジニアリングのスキルやインフラをコードで表現するスキルを磨く必要がある。(2018/9/11)
インフィニオン TPM2.0ソフトウェアスタック:
ホストCPUとTPMを安全、容易に接続するOSSスタック
インフィニオンテクノロジーズは、「TPM2.0用オープンソースソフトウェアスタック」を発表した。新しいESAPIレイヤーを含むため、産業向けアプリケーションやネットワーク機器の組み込みシステムに、TPMを容易に実装できるようになる。(2018/9/6)
企業ネットへの侵入許す脆弱性を狙った攻撃が増加:
2018年7月の脆弱性順位でIoT関係が3件ランクイン――チェック・ポイント調べ
チェック・ポイント・ソフトウェア・テクノロジーズは、既知の脆弱(ぜいじゃく)性を狙った攻撃検出数とマルウェアのランキングを発表した。対象期間は2018年7月。マルウェアの上位は仮想通貨関連が占めた。脆弱性悪用ランキングの上位10種には、IoT関連の脆弱性が新たに3件ランクインした。(2018/8/30)
通信確立までの時間を短縮:
暗号化通信ライブラリwolfSSLが「TLS 1.3」に対応
wolfSSLは、同社が開発する組み込み向け暗号化通信ライブラリをTLS 1.3に対応させた。旧バージョンに比べて、通信を確立(ハンドシェイク)するまでの時間を短縮した他、デフォルトでより安全な暗号化方式を使用できる。(2018/8/16)
システム面でも「安心・安全」を後押し
セブン&アイ・ネットメディア OSSを含む網羅的な脆弱性チェックを導入
「omni7」などのシステム開発に携わるセブン&アイ・ネットメディアは、脆弱性チェックツールを採用し、オープンソースも含む網羅的なセキュリティ対策に取り組んでいる。(2018/8/10)
にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。